關于電網核心業務可信身份認證框架體系之研究

國網新疆電力有限公司信息通信公司 胡美慧 孫若寒 郭新營 曹進平

電力企業中的電網核心業務在實施的過程中需要展開可信身份認證，這是非常基礎的電網應用業務，通常會將自頂向下、自底向上這兩種方法結合完成場景識別，再采用交叉分類法分類業務場景所具備的身份認證功能，獲得電網核心業務可信身份認證需求呈現出來的共性與個性特點。對于多場景背景下的電力用戶動態行為，必須要組建結構完善的可信身份認證框架體系，通過應用場景技術驗證保證業務安全。

1 電網核心業務可信身份認證框架體系內容

典型應用場景。結合現有文獻資料的研究與分析，采用自頂向下與自底向上等手段，可以深入分析電網核心業務的所有應用場景。充分考慮基建、運檢、營銷等業務范疇，將可信身份認證的基本要求進行整理，可以生成內容完善的分析報告[1]。

可信身份認證風險防范。按照應用場景提出的安全要求展開電網核心業務可信身份認證模型的分析，制定多重安全防護方案，例如人證結合、白名單認證與網絡實名認證；結合應用場景與業務流程特征設計應用場景，采用“云+端”認證技術、組合認證技術，將其與可信身份認證模式相結合驗證電網核心業務，保證電力系統運行穩定性。

2 框架體系結構

可信基礎。電網核心業務可信身份認證框架體系內部的可信基礎為基礎信任源，也是信任鏈傳遞的初始環節，體系中的所有信任活動均是在該基礎中向上層延伸。電網核心業務身份認證流程比較繁瑣，期間涉及到多種身份信息的配置，最終構建可信身份認證主體要素模型。

可信支撐。框架體系中的可信支撐主要是作為支撐平臺發揮作用具備諸多功能，例如生物識別、身份加密與大數據分析。在信任分類評價體系的支持下可以展開可信服務層的分級與分類信任操作，使可信服務具備多層次與多場景等特征[2]。

可信服務。即能夠用于傳遞的信任憑證。可信支撐層簽發作為電力系統的身份憑證具有經濟性、可接受度高的優勢，構建信任鏈可完成身份認證、系統訪問控制、訪問行為安全審計與分析等操作，從基建、運檢、營銷等層面提供針對性的信任服務，使業務覆蓋空間范圍更廣、可信任度更高。

可信應用。不同類型應用系統在電網核心業務可信身份認證服務模式的支持下會形成功能豐富的應用服務，即可信應用，包括基建類、運檢類、安監類、營銷類、后勤類、信通類等應用[3]。其中運檢類應用是指變電站的出入管理過程中巡檢工作人員實施的可信全過程管理；安監類應用是針對一些重大活動而言，負責工作人員可信安全管理；營銷類應用是指現代化電網核心業務中，工作人員的可信身份認證與移動支付可信身份認證操作。

服務用戶。服務電網核心業務可信身份認證在實際應用中是以服務用戶的形式加以體現，例如電力企業的職工、客戶都是可信服務實施可信應用操作的實體對象。互聯網環境下，對于相關身份與行為信息不僅要加強安全性，還要使一些關鍵業務無法抵賴，這是構建電網核心業務可信身份認證框架體系的重要內容之一。

監管與安全制度。是保證電網核心業務可信認證框架體系穩定運行的前提，其中包括諸多規范與制度，例如電力企業核心業務主管部門監督、安全機制構建等，其目的是規避身份信息被盜等安全問題，提高電力企業信息安全能力。

3 電網核心業務可信身份認證框架體系設計方案

3.1 繪制技術路線圖

針對電力企業先行可信身份認證框架體系、電網核心業務身份認證進行分析，建議將框架體系和電網核心業務有機融合，明確今后電網核心業務可信身份認證框架體系的優化目標。鑒于此，工作人員需構建電網核心業務可信身份認證框架模型，研發新型針對電網核心業務的可信身份認證服務形式，最終獲得結構完善的框架體系結構。具體實施過程中建議劃分為幾個流程：

全面、深入的采集電網核心業務身份認證信息，制定信息采集方案，在電網核心業務身份認證基本情況的基礎上分析優化設計方向，使框架體系的構建有充足的數據支持[4]；針對可信身份認證對象，選擇合適的要素識別方式，并且按照可信身份認證要求構建主體要素模型。期間需要與電網核心業務特征相結合，從可信身份認證技術、建模、服務模式等幾個角度展開深入分析，確定當前電力企業中采用的身份認證框架體系存在不足，制定內容完整的優化方案；根據得出的優化制定不同的模式，具體可從身份量化模型、身份鑒別模型、隱私保護模型、云服務模式、端服務模式、云+端混合服務模式中做出選擇。將選擇的模型作為框架體系架構的重要內容，立足于整體優化設計電力系統，提高框架體系的應用服務水平。

當確定以上內容之后，所有涉及到的研究內容之間相互結合便可組成一個有機整體，從而形成電網核心業務可信身份認證框架體系研究技術路線圖。工作人員采集、整理電網核心業務身份認證的需求信息作為選擇關鍵主體要素識別方式的依據，進而完成建模。參考電網核心業務特征，完成移動設備、專用設備等可交互終端采用指紋芯片、二維碼授權身份識別與授信技術，根據法定身份提出網絡身份副本認證方案，基于時間、空間與行為等特征分析，采用按需授信技術完成可信身份認證，保證電網核心業務可信身份認證框架體系的系統性，以此獲得理想的體系架構頂層設計成果[5]。

3.2 制定技術方案

針對電力企業中的電網核心業務深入剖析，整理身份認證信息，將其歸納到可信身份認證框架體系中，總結框架體系在企業中運行存在的優勢與不足，同時判斷框架體系的適用性。期間需要結合身份認證操作流程與電網核心業務，構建新的電網核心業務可信身份認證框架體系，結合電力企業安全防護工作現狀構建對應的可信身份認證框架模型，發揮可信身份認證服務功能優勢提升業務水平。

優化電網核心業務可信身份認證框架體系，要從主體要素、信息技術、框架模型與服務模式等方面著手，采用現代化核心技術，處理電力系統數據，充分發揮出框架模型、服務模式所有的功能。其中主體要素包括電力企業的自外委與主業等工作人員的身份信息，信息技術是指電力系統身份認證的相關技術，如身份鑒別、生物特征加密、身份認證融合等，框架模型則包含身份量化、身份鑒別、隱私信息保護等，服務模式比較常用的有云服務模式與端服務模式等。

結合電網核心業務選擇可信身份認證技術。為了保證電力企業信息、數據安全，工作人員需要采用可行的可信身份認證技術，準確識別身份信息。其一建議應用基于動態行為特征的風險賬號防控技術，構建電力業務行為特征庫與模型，通過可持續認證關鍵技術切實提高身份認證體系風險預控水平；其二建議應用以可交互終端為前提的身份識別與授信技術。針對移動設備與專用設備進行可交互終端，可以使用指紋新品與二維碼授權身份識別、授信技術，采集可交互終端用戶行為特征信息，制定身份認證方案；其三建議應用電力業務場景下動態身份安全認證技術，針對多維度用戶幸福為特征進行安全認證，整理電力場景中的時間、空間與行為變換因素信息，提出滿足用戶需求的動態身份安全認證技術[6]。

除此之外，還可以使用隱私保護模型，在用戶生物特征、匿名隱私保護、生物特征與數據失真隱私保護、生物特征與數據加密隱私保護多重方案的基礎上，保證電力系統信息安全，有效兼容電網核心業務隱私信息。

解決可信身份認證服務問題。電力企業在選擇服務模式中主要是以云服務模式、端服務模式、云+端混合服務模式為準。應用端服務模式需要有指定的業務場景與增強嵌入式系統運算、經過優化的生物特征識別算法相結合，將可信身份認證模塊嵌入到前端設備中可減少傳輸數據量，降低系統后臺存儲壓力，同時也可將電力系統中存在的單域可信身份認證問題解決；云服務模式適用于多業務場景，通過后臺部署方式嵌入可信身份認證模塊，將前端設備傳輸的身份數據信息作為管理重點，快速完成多個業務場景身份認證。期間參照行為記錄信息可對用戶訪問行為進行預測，將跨域可信身份認證環節存在的問題及時解決；云+端混合服務模式可在所有電網核心業務場景中運用，突出體現云、端服務優勢，防范跨應用可信身份認證風險。

電網核心業務可信身份認證框架體系在實際運行期間，一方面可以準確判定訪問人員身份信息，另一方面也可以規避電力系統資源、數據泄露等問題，在企業內部構建功能齊全、結構完整的身份認證體系，實現電力資源信息的有效傳輸，從而有效提升電力企業管理水平。