CN118054934A - 一种基于可信计算的电力系统安全实现方法和架构 - Google Patents

Abstract

本发明公开了一种基于可信计算的电力系统安全实现方法和架构，属于电力信息安全技术领域。通过对请求接入的设备进行平台层度量，连接前的完整性度量，以及通信时对通信报文的加密，有效提高电力信息系统在连接传输过程中的系统安全性和可靠性。本发明具体通过访问控制器和策略管理器实现；其中访问控制器，用于接收访问请求设备的访问请求后，与所述访问请求设备和所述策略管理器进行双向身份验证，验证通过后，建立通信信道；策略管理器，用于通过所述通信信道对所述访问请求者进行可信度量，对链接动作进行完整性度量，以及根据度量结果下发访问控制策略。

Description

一种基于可信计算的电力系统安全实现方法和架构

技术领域

本发明涉及电力信息安全技术领域，更具体的说是涉及一种基于可信计算的电力系统安全实现方法和架构。

背景技术

随着网络技术的快速发展和规模的不断扩大，电力系统正面临着严峻的安全挑战。

通常，电力系统中设备之间互联是通过登陆验证、SSL协议、VPN机制等方式来验证和保护网络设备之间的连接，但这些机制一般只能确认远程用户的身份和保证数据在网络间的安全传输，并不能保证远端设备是否已经感染了病毒或者被黑客攻陷，也不能保证数据在网络传输过程中有足够的安全控制措施。因此，电力系统核心设备边缘网关，经常受到攻击，比如非法获取网关控制权，导致网络瘫痪等。

为提升电力系统的网络安全，目前可通过防火墙隔离的形式完成，即对于设备本身而言大多数的网关设备对于安全感防护都是依赖防火墙的防护，但该种方式无法为局域网内部设备与设备之间提供相关的网络安全防护；或针对可信设备增加管理中心服务器，但无疑增加了成本以及服务器的数据连接，甚至如果老旧的服务器不具备增加可信功能，还需要部署新的服务器。

因此，针对上述问题，亟需提出一种新的电力系统安全实现方法。

发明内容

有鉴于此，本发明聚焦于分析和阐述在电力系统中实施网络安全措施的方法以及具体形式。针对现有技术的不足，主要提供了一种基于边缘网关的可信网络连接架构，该结构设计简单，可有效改进电力信息系统安全持续深入保障的问题。

为了实现上述目的，本发明采用如下技术方案：

一种基于可信计算的电力系统安全实现方法和架构，包括访问控制器和策略管理器；

所述访问控制器，用于接收访问请求设备的访问请求后，与所述访问请求设备和所述策略管理器进行双向身份验证，验证通过后，建立通信信道；

所述策略管理器，用于通过所述通信信道对所述访问请求者进行可信度量，对链接动作进行完整性度量，以及根据度量结果下发访问控制策略。

优选的，所述访问请求设备包括连接申请子模块、身份鉴别请求子模块、第一策略部署子模块、第一密钥管理子模块，以及节点通信加密机制子模块；

所述访问控制器包括连接应答子模块、证书鉴别请求子模块、第二策略部署子模块、第二密钥管理子模块，以及边界通信加密机制子模块；

所述策略管理器中包括身份鉴别子模块。

优选的，双向身份验证的步骤包括：

S1、连接申请子模块发送访问请求至连接应答子模块；

S2、连接应答子模块根据访问请求生成认证激活消息，并将所述认证激活消息发送至身份鉴别请求子模块；

S3、身份鉴别请求子模块接收到认证激活消息后，将身份认证请求包发送至生疏鉴别请求子模块；

S4、证书鉴别请求子模块提取身份认证请求包中的身份证书后，发送至策略管理器中的身份鉴别子模块中；

S5、身份鉴别子模块根据所述身份证书对访问请求者进行身份认证，并生成证书认证应答，以及将所述证书认证应答返回至证书鉴别请求子模块中；

S6、若证书认证应答为鉴别未通过，则身份认证失败；若为鉴别通过，则由证书鉴别请求子模块想第二密钥管理子模块发送会话密钥申请；

S7、第二密钥管理子模块根据会话密钥申请下发会话密钥以及会话密钥封装包至身份鉴别请求子模块；

S8、身份鉴别请求子模块将会话密钥和会话密钥封装包依次通过第一策略部署子模块和第二策略部署子模块，发送至边界通信加密机制子模块进行通信加密；

S9、所述边界通信加密机制子模块将加密后的会话密钥发送至第一密钥管理子模块进行解密，解密后返回至身份鉴别请求子模块；以及由身份鉴别请求子模块通过第一策略部署子模块将解密后的密钥发送至节点通信加密机制子模块，用于建立通信信道。

所述节点通信加密机制子模块和所述边界通信加密机制子模块根据所述密钥建立访问请求客户端和访问控制接入点之间的通信信道。

本发明中双向身份验证可以在装置互连之前进行不同级别步骤的验证，以确保设备间网络连接的安全性，以及保证后续的网络数据传输数据不会被修改等。

优选的，所述访问请求设备中还包括第一完整性收集单元，所述访问控制器中还包括第二完整性收集单元，第一完整性收集单元和第二完整性收集单元，用于生成对应本体的可信报告；

所述策略管理器还包括完整性校验单元，用于对所述可信报告进行校验；以及策略评估单元，用于根据校验结果对访问请求设备进行可信度量和完整性度量，并根据度量结果下发访问控制策略。

优选的，所述策略管理器采用代理服务通过加密UDP数据报文的方式对访问请求设备进行可信管理。包括告警报文、审计日志、以及安全策略下发。

优选的，以边缘网关作为访问控制器，并在所述边缘网关中集成策略管理器。

优选的，所述策略管理器中配置有可信云计算环境，用于对访问控制器进行可信度量，完成访问请求设备与云端设备的认证交互。

优选的，可信云计算环境包括多个云计算环境节点，每个所述云计算环境节点包括多个宿主机系统和虚拟机层，

所述虚拟机层用于根据用户需求，分配调用所述宿主机系统的计算资源运行虚拟机，

以及服务结束后，终止虚拟机，回收资源并分配给其他服务的虚拟机使用。

优选的，所述虚拟机层包括虚拟可信根和虚拟机安全可信机制；

所述虚拟可信根的可信性基于物理可信芯片中的可信根；

所述虚拟机安全可信机制基于所述虚拟可信根，和策略管理器中预设策略进行安全控制。

经由上述的技术方案可知，本发明公开提供了一种基于可信计算的电力系统安全实现方法和架构，与现有技术相比，

1、本方法公开的基于可信计算的电力系统安全实现方法和架构，具有可信计算环境、可信接入边界、可信通信网络三重防护架构，包括对请求接入设备的平台层度量，连接前的完整性度量，以及通信时对通信报文的加密，可有效提高电力信息系统在连接传输过程中的系统安全性和可靠性，改进电力信息系统安全存在的不足；

2、可信云计算环境中，可信链传递从基础设施可信根出发，度量基础设施、计算平台，验证虚拟计算资源可信，支持应用服务的可信，以确保计算环境可信，验证用户请求和连接的计算资源可信，从而拒绝非法用户和伪造请求；

3、本发明提供服务器安全集中管控中心，以B/S架构部署，支持可信交换服务基线配置、安全策略备份与恢复、安全策略集中下发等功能，减少管理员重复工作，大大提高管理员安全运维效率。

4、本发明在边界网关中增加管理中心服务，无需依赖防火墙，并可以无需增加布线的方式对可信设备进行管理，同时能够提供局域网内部设备之间的网络安全防护，以及在保证远端设备安全的情况下，进一步提供数据传输过程中的安全控制措施。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明基于可信计算的电力系统安全实现架构图；

图2为本发明网络访问控制层中各单元的内部结构图；

图3为本发明集成于边缘网关后的系统结构示意图；

图4为本发明基于可信云计算的系统结构示意图；

图5为本发明可信云计算的内部结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明旨在将边缘网关设备本身做到安全的同时，在系统硬件的构成上，能够抵御底层攻击也就是硬件上出发的攻击，在人机交互上可以防止人为的攻击行为，在系统运行之后，能够在系统层面保护已经运行的系统环境以及运行中的进程，

对此，本申请公开了策略管理器，并基于此提出对可信连接的处理，以及提供对不同设备间交互的安全通信验证与度量方法。

具体的，本发明通过如下方案实现：

一种基于可信计算的电力系统安全实现方法和架构，包括访问控制器和策略管理器；

访问控制器，用于接收访问请求设备的访问请求后，与访问请求设备和所述策略管理器进行双向身份验证，验证通过后，建立通信信道；其中，本发明中访问请求设备需支持可信安全防护功能。

策略管理器，用于通过所述通信信道对所述访问请求者进行可信度量，对链接动作进行完整性度量，以及根据度量结果下发访问控制策略。

即本发明电力系统中包括访问请求设备、访问控制器和策略控制器；

一种实施例中，系统整体架构如图1所示，

访问请求设备包括网络访问请求单元、可信网络连接客户端和第一完整性收集单元；

访问控制器包括网络访问控制单元、可信网络连接接入点和第二完整性收集单元；

策略管理器包括鉴别策略服务单元、策略评估单元和完整性校验单元。

在电力系统局域网中，将其划分为与系统不同层面对接的可信功能机制，主要分为网络访问控制层、可信平台评估层，和完整性度量层。

网络访问控制层，是与系统边界访问控制机制和内部或者外部节点的网络访问控制相对接的可信功能机制，存在于边缘网关系统的底层；包括访问请求设备中的网络访问请求单元，访问控制器中的网络访问控制单元，以及策略管理器中的鉴别策略服务单元；

可信平台评估层，是与系统可信中间件接口对接的可信功能机制，本实施例中由边缘网关的可信代理程序完成；由访问请求设备中可信网络连接客户端、访问控制器中可信网络连接接入点以及策略管理器中评估策略服务单元组成；

完整性度量层，是与应用、安全部署应用对接的可信功能机制，包括分别包括访问请求设备和访问控制器中的第一和第二完成性收集单元和策略管理器中的完整性校验单元。

在建立网络连接和进行完整性校验之前，可信加密连接的访问请求设备和访问控制器都需要与所在平台的可信链绑定，对完整性收集者进行初始化，使完整性收集者可以产生自己的可信报告。

当访问请求设备请求连入时，由网络访问请求单元向网络访问控制单元发起访问请求；

网络访问控制单元收到网络访问请求单元的访问请求后，与网络访问请求单元和鉴别策略服务单元执行用户身份鉴别协议，实现访问请求单元和访问控制器的双向用户身份鉴别。在用户身份鉴别过程中，策略管理器作为可信方。访问请求设备和访问控制器协商一个主密钥，并利用该主密钥协商会话密钥。访问请求设备和访问控制器依据用户身份鉴别结果对本地端口进行控制。

用户身份鉴别及密协商成功后，网络访问请求单元和网络访问控制单元分别将成功信息发送给可信平台评估层的可信网络连接客户端和可信网络连接接入点。

连接初始过程在网络访问请求单元和网络访问控制单元之间建立通信信道，并通过会话密钥保障通信信道数据的保密性。但目前信道应仍处于受限状态，只支持双方之间可信连接相关信息的交互。

当策略管理器对访问请求设备和访问控制器完成可信度量以及完整性度量后，根据度量结果下发访问控制策略，进而可使通信信道处于导通状态。

进一步，策略管理器基于通信信道对访问请求设备进行可信度量和完成性度量。

本实施例中，采用国产可信计算技术，对接入方进行可信度量，不仅可以度量接入方的身份，还可以度量其所在物理平台的可信性，是否执行了符合可信要求的操作系统，其配置状况是否安全，系统启动时候可靠，程序是否被篡改。

对于完整性度量，使访问请求设备中包括第一完整性收集单元，所述访问控制器中包括第二完整性收集单元，其中第一完整性收集单元和第二完整性收集单元，用于生成对应本体的可信报告；

相应的，策略管理器包括完整性校验单元，用于对所述可信报告进行校验；以及策略评估单元，用于根据校验结果对访问请求设备进行可信度量和完整性度量，并根据度量结果下发访问控制策略。

进一步，策略评估单元采用代理服务通过加密UDP数据报文的方式对连接设备进行可信管理，包含获取可信设备的状态，告警报文、审计日志，以及对于可信设备的安全策略下发。

本实施例中，为便于访问控制器与与访问请求设备和所述策略管理器进行双向身份验证，以及建立通信信道，将其内部结构设置如下：

如图2所示，网络访问请求单元包括连接申请子模块、身份鉴别请求子模块、第一策略部署子模块、第一密钥管理子模块，以及节点通信加密机制子模块；

网络访问控制单元包括连接应答子模块、证书鉴别请求子模块、第二策略部署子模块、第二密钥管理子模块，以及边界通信加密机制子模块；

鉴别策略服务单元中包括身份鉴别子模块。

相应的，双向身份验证的步骤包括：

S1、连接申请子模块发送访问请求至连接应答子模块；

S2、连接应答子模块根据访问请求生成认证激活消息，并将所述认证激活消息发送至身份鉴别请求子模块；

S3、身份鉴别请求子模块接收到认证激活消息后，将身份认证请求包发送至生疏鉴别请求子模块；

S4、证书鉴别请求子模块提取身份认证请求包中的身份证书后，发送至策略管理器中的身份鉴别子模块中；

S5、身份鉴别子模块根据所述身份证书对访问请求者进行身份认证，并生成证书认证应答，以及将所述证书认证应答返回至证书鉴别请求子模块中；

S6、若证书认证应答为鉴别未通过，则身份认证失败；若为鉴别通过，则由证书鉴别请求子模块想第二密钥管理子模块发送会话密钥申请；

S7、第二密钥管理子模块根据会话密钥申请下发会话密钥以及会话密钥封装包至身份鉴别请求子模块；

S8、身份鉴别请求子模块将会话密钥和会话密钥封装包依次通过第一策略部署子模块和第二策略部署子模块，发送至边界通信加密机制子模块进行通信加密；

S9、所述边界通信加密机制子模块将加密后的会话密钥发送至第一密钥管理子模块进行解密，解密后返回至身份鉴别请求子模块；以及由身份鉴别请求子模块通过第一策略部署子模块将解密后的密钥发送至节点通信加密机制子模块，用于建立通信信道。具体为，所述节点通信加密机制子模块和所述边界通信加密机制子模块根据所述密钥建立访问请求客户端和访问控制接入点之间的通信信道。

至此，访问请求设备与访问控制器之间完成了身份鉴别，并建立了保密的数据通信信道。

本发明中，由于存在访问控制器和策略管理器和外部/内部可信终端的双向认证和加密传输，因此系统可以防范外部恶意终端发起的外部渗透攻击和网络窃听攻击，外部可信终端也可以识别边界网关服务，防范仿冒网管采取钓鱼行为，进行网关仿冒攻击。内部的电力装置的可信度量机制和访问控制机制可以防范内部提取权攻击和内部用户对外界的非法外联攻击行为。

同时，考虑到目前电力系统中对于局域网外部的设备要通过边缘网关进行控制，且边缘网关的实现对与网络安全还是存在一定的风险，因此，本发明中，将策略管理服务集成到可信边缘网关中，具体利用电力系统中的边缘网关支持可信计算功能，在边缘网关中集成可信管理中心服务，

此时，内部电力设备以及外部终端设备属于可信网络连接架构中的访问请求者，可信边界网关服务相当于访问控制器，可信边缘网关的管理中心服务相当于策略管理器，如图3所示，安全管理中心服务负责向内部的电力设备、终端设备、边界网关服务下发访问控制策略，并从这些节点接收审计输出，安全管理中心服务也可以通过边界网关服务向外部终端下发访问控制策略；

本申请上述设置做到网关自身可以安全的同时，可通过安全管理中心服务管理局域网内的可信设备，控制局域网内部与外部设备节点的访问控制，做到用边缘网关作为整个电力系统中网络安全传输的核心。

同时，作为本发明的边缘网关本体可信安全概念，设备本体安全在满足业务功能和性能的基础之上，需要在系统硬件的构成、人机交互、主动动态免疫、静态防护链、安全审计信息、攻击告警、安全策略下发融合考虑多种安全要素。

本发明将边缘网关设备同时作为策略管理器、访问控制器，可以便捷的部署可信连接架构，极大的减少了部署时候的复杂度，并且边缘网关本身作为网络转节点，对所有接入网络做可信管理十分稳定。

另一种实施例中，本发明整合了可信云连接，以提升电力网络系统的整体安全性和可靠性，拒绝非法用户和伪造请求，包括利用先进的云技术，建立安全弹性的通信，确保无缝的数据传输，以免受潜在的网络威胁的影响。

具体通过在策略管理器中配置可信云计算环境，以通过访问控制器对访问请求设备进行可信度量，从而完成访问请求设备与云端设备的认证交互。

一般，可信接入边界由策略管理器的前置处理机组成，架构如图4所示，与可信云计算环境的要求类似，只不过规模相对小一些。由可信根支撑下的可信软件基实施边界处理的安全可信检测，并按照安全管理中心制订的安全策略进行外部用户请求的可信验证。

其中，如图5所示，可信云计算环境包括大量的云计算环境节点(即宿主机节点)，为了充分发挥基础软硬件资源效率，基于虚拟化资源调度进行管理，即使每个所述云计算环境节点包括多个宿主机系统和虚拟机层(VM层)，

虚拟机层(VM层)用于根据用户需求，分配调用所述宿主机系统的计算资源运行虚拟机(虚拟计算节点)，以及服务结束后，终止虚拟机，回收资源并分配给其他服务的虚拟机使用。

这样形成了任意多个动态的虚拟机映射使用宿主机群物理计算资源的体系架构。但可信云框架既要保证基础计算资源的可信，也要保证虚拟机资源和运行的可信，因此提供了虚拟可信根和虚拟机安全可信机制，用以支持和保护虚拟机资源。

其中虚拟可信根的可信性基于物理可信芯片中的可信根；

虚拟机安全可信机制基于所述虚拟可信根，和策略管理器中预设策略进行安全控制。

本发明中电力系统安全实现方法和架构在策略管理器的支撑下，具有可信计算环境、可信接入边界、可信通信网络三重防护架构。不仅仅是通过加密UDP报文保证网络的可信，还包括对接入设备的平台层度量，连接前的完整性度量，以及通信时对通信报文的加密。

进一步，本实施例中通过边缘网关的可信网络连接，可以全面检查介入对象的身份、物理平台的可信性以及应用的运行环境状态。同时，利用可信计算技术支持边缘网关接口的身份验证和访问控制，从而有效检查接入边缘网关的行为的可信性，以及及时发现并阻止用户对网络环境设备的恶意访问。此外，通过与边缘网关系统的本体安全机制相结合，限制接入用户对整个电力网络系统的访问权限。

边缘网关作为必经之处，在本发明中扮演了电力系统网络访问控制的核心角色。通过实现可信边缘网关并增加管理中心服务，做到自身可以新安全的同时，通过可信管理中心服务管理局域网内的可信设备，以及控制局域网内部与外部设备的节点访问控制，做到用边缘网关作为整个电力系统中网络安全传输的核心，同时对外可以跟云做可信连接交互为整个电力系统的网络安全提供了安全控制服务。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种基于可信计算的电力系统安全实现方法和架构，其特征在于，包括访问控制器和策略管理器；

所述访问控制器，用于接收访问请求设备的访问请求后，与所述访问请求设备和所述策略管理器进行双向身份验证，验证通过后，建立通信信道；

所述策略管理器，用于通过所述通信信道对所述访问请求设备进行可信度量，对链接动作进行完整性度量，以及根据度量结果下发访问控制策略。

2.根据权利要求1所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，所述访问请求设备包括连接申请子模块、身份鉴别请求子模块、第一策略部署子模块、第一密钥管理子模块，以及节点通信加密机制子模块；

所述访问控制器包括连接应答子模块、证书鉴别请求子模块、第二策略部署子模块、第二密钥管理子模块，以及边界通信加密机制子模块；

所述策略管理器中包括身份鉴别子模块。

3.根据权利要求2所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，双向身份验证的步骤包括：

S1、连接申请子模块发送访问请求至连接应答子模块；

S2、连接应答子模块根据访问请求生成认证激活消息，并将所述认证激活消息发送至身份鉴别请求子模块；

S3、身份鉴别请求子模块接收到认证激活消息后，将身份认证请求包发送至生疏鉴别请求子模块；

S4、证书鉴别请求子模块提取身份认证请求包中的身份证书后，发送至策略管理器中的身份鉴别子模块中；

S5、身份鉴别子模块根据所述身份证书对访问请求者进行身份认证，并生成证书认证应答，以及将所述证书认证应答返回至证书鉴别请求子模块中；

S6、若证书认证应答为鉴别未通过，则身份认证失败；若为鉴别通过，则由证书鉴别请求子模块想第二密钥管理子模块发送会话密钥申请；

S7、第二密钥管理子模块根据会话密钥申请下发会话密钥封装包至身份鉴别请求子模块；

S8、身份鉴别请求子模块将会话密钥和会话密钥封装包依次通过第一策略部署子模块和第二策略部署子模块，发送至边界通信加密机制子模块进行通信加密；

S9、所述边界通信加密机制子模块将加密后的会话密钥发送至第一密钥管理子模块进行解密，解密后返回至身份鉴别请求子模块；以及由身份鉴别请求子模块通过第一策略部署子模块将解密后的密钥发送至节点通信加密机制子模块，用于建立通信信道。

4.根据权利要求1所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，所述访问请求设备中还包括第一完整性收集单元，所述访问控制器中还包括第二完整性收集单元，第一完整性收集单元和第二完整性收集单元，用于生成对应本体的可信报告；

所述策略管理器还包括完整性校验单元，用于对所述可信报告进行校验；以及策略评估单元，用于根据校验结果对访问请求设备进行可信度量和完整性度量，并根据度量结果下发访问控制策略。

5.根据权利要求1所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，所述策略管理器采用代理服务通过加密UDP数据报文的方式对访问请求设备进行可信管理。

6.根据权利要求1所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，以边缘网关作为访问控制器，并在所述边缘网关中集成策略管理器。

7.根据权利要求1所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，所述策略管理器中配置有可信云计算环境，用于通过访问控制器对访问请求设备进行可信度量，完成访问请求设备与云端设备的认证交互。

8.根据权利要求7所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，可信云计算环境包括多个云计算环境节点，每个所述云计算环境节点包括多个宿主机系统和虚拟机层，

所述虚拟机层用于根据用户需求，分配调用所述宿主机系统的计算资源运行虚拟机，以及结束后进行回收。

9.根据权利要求8所述的一种基于可信计算的电力系统安全实现方法和架构，其特征在于，所述虚拟机层包括虚拟可信根和虚拟机安全可信机制；

所述虚拟可信根的可信性基于物理可信芯片中的可信根；

所述虚拟机安全可信机制基于所述虚拟可信根，和策略管理器中预设策略进行安全控制。