基于5G的電力終端云邊協同部署和安全可信接入研究

曹童杰，王忠新，李丕范

（中訊郵電咨詢設計院有限公司，北京 100048）

0 引 言

隨著5G網絡建設進程的不斷加快，智能電網（Smart Grid）概念的落地，電力行業對移動終端的需求也在快速增長[1]。移動終端數量大、種類多、接入方式多變且接入環境復雜，因此給電力行業的信息安全性帶來了很大挑戰。一方面，由于電力多應用在惡劣或無人環境，巡檢等環節依賴智能巡檢機器人等設備，但隨著設備的增多，傳輸數據量也不斷增加，將導致云端收發和處理數據時延增長，不能及時發現安全隱患。另一方面，終端與電力系統的通信方式多為無線通信技術，這種開放性的數據傳輸方式在帶來便利的同時，也帶來了機密信息被竊取和非法接入等威脅[2]。相比于2G、3G以及4G，5G網絡擁有更大的容量、更低的時延以及更快的速度，其靈活性和可擴展性也意味著5G可以提供更高和更多層次的安全機制[3]。因此，如何在5G環境下保證電力終端及時且安全地接入內網并進行信息傳送成為了亟待解決的問題。邊緣計算（Edge Computing）是云計算的一種，但不同于云計算的集中式，它將存儲和計算等能力推進到靠近數據源頭的一側，實現快速的本地數據分析能力，因此邊緣計算是一種分布式的計算方式[4]。這種方式不僅能減少數據傳輸的次數，降低網絡帶寬壓力，還能提高數據處理效率和安全性。因此邊緣計算在電網這種需要低時延、高可靠、多連接、強安全以及異構匯聚特點的場景具有非常突出的優勢[5]。

1 電力終端的邊緣云部署

1.1 云計算與邊緣計算對比

在5G到來之前，數據的處理和決策大部分是集中在云端，終端只負責收集和回傳信息。但隨著終端數量的增多，海量數據爆炸式增長，傳輸負載急劇增加，云端計算能力初顯不足，越來越難以滿足實時性的要求[6]。與傳統的云計算不同，邊緣計算將存儲和計算等核心能力集成在終端側，在多源異構數據處理、帶寬負載、資源浪費、資源安全以及隱私保護等方面都有所不同，具體如表1所示[7]。

表1 云計算與邊緣計算的比較

從表1可以看出，云計算與邊緣計算各有優劣。雖然在速度和安全等方面邊緣計算略勝一籌，但計算能力稍弱，不適合進行大規模的分析和決策，且信息是短期保存的，也不適合用來存儲一些需要長期調用的數據。因此，邊緣計算可以看成是云計算的補充和延伸。使用云計算進行長周期非實時的大數據計算，使用邊緣計算進行短周期快速響應的本地計算，二者互補，就能解決傳統云計算“最后一公里”的問題。對于電力場景這種垂直行業，信息的及時和安全傳遞是很重要的一環，而傳統的基于云的系統過于集中化和平臺化，因此為了保證電力終端接入的實時性和安全性，需要著力于建立基于云邊協同計算的電力系統構架。

1.2 邊緣云部署

邊緣計算將計算能力從云端下沉到數據源側，在巡檢機器人上集成數據存儲、計算以及分析等能力。分離5G核心網的控制層和數據層，使得巡檢機器人可以在本地處理大部分數據，只需將特殊節點（如故障點）的數據信息傳送回云端，避免了海量信息同時傳送造成的阻塞。云端作為大數據中心，通過終端回傳的數據不斷更新模型下沉到終端里，電網與終端整體構成了一個分布式的端云協同計算部署，云端可以處理匯總的數據并給出決策模型，終端可以在數據源一側快速響應環境的變化，非常適合電力這種對速度和安全有需求的領域。邊云一體的計算構架如圖1所示。

圖1 邊云協同計算的整體構架

2 安全可信接入

終端提供存儲、計算以及網絡連接等功能的同時，其安全問題也日益突出[8]。安全可信接入是指終端設備能夠安全地接入內網中，抵御路徑上的惡意攻擊并進行信息交互[9]。由于終端設備數量眾多、類型多樣且接入方式靈活，而且一般采用無線通信技術進行傳輸，終端與網絡接口屬于開放性接口，因此很容易被攻擊，造成數據泄露和信息盜取等危害。因此，需要完善和改進接入的認證方案，保證終端設備能夠安全的接入內網[10]。

成立于2003年的可信計算組織TCG致力于通過硬件自底向上的實現信任計算和安全接入。除了保證終端計算環境的可信，還要擴展到網絡，建設可信的網絡計算環境[11]。可信網絡連接TNC以終端為出發點，提出將可信計算機制引入網絡，使網絡成為可信的計算環境。這從理論上和從技術上都十分滿足解決網絡可信問題的需求[12]。

3 電力終端安全可信部署

在電力場景下，接入終端設備數量巨大，且不斷有終端接入或斷開連接。在電力終端接入過程中，終端、傳輸通道以及應用系統都有可能會帶來安全隱患[13]。電力企業中應用較為廣泛的終端，如巡檢機器人和PDA等，便于在惡劣環境下進行監控，但在物理、系統以及存儲等方面都面臨著威脅。如已經接入內網的終端一旦丟失或被入侵，很容易泄露機密數據，為電力企業帶來重大損失[14]。在傳輸過程中，終端和內網要進行大量的信息交互，同時由于移動終端的特點，交互方式多采用無線通信技術。但這種方式開放性高，傳輸通道可能被破壞，數據信息可能被竊聽和截獲[15]。此外，應用系統的安全性也很重要，在通信過程中要保證實時監控，防止賬戶被竊取，信息暴露。為了滿足這些接入要求，在終端安全可信接入技術上引入移動邊緣計算技術，將計算能力下沉到本地，解決終端的身份認證問題，在電力系統中實現終端的高可靠和高安全接入[16]。

在終端側集成終端接入管理裝置。該裝置可以控制終端的身份管理、接入權限以及接入方式等，并與云端數據中心協同，在終端設備側完成身份驗證和連接等程序，及時響應終端請求，并將風險限制在可控范圍內。終端安全可信接入部署構架如圖2所示。

圖2 終端安全可信接入部署

4 電力終端安全可信接入

一種基于用戶行為的電力終端安全可信接入方法如圖3所示。除了驗證身份和平臺完整性外，還會實時地收集用戶行為信息，間隔性地查驗判斷用戶身份和行為，一旦發現異常，立刻切斷與終端的連接，從而保證系統的實時安全和可靠性。

5 結 論

圖3 電力終端安全可信接入方法

隨著5G網絡和智能電網的建設，無線終端設備被廣泛應用。為了解決海量設備接入帶來的速度、時延以及安全等方面的問題，本文提出了一種針對電力終端設備的計算部署和接入構架。將邊緣計算引入到傳統的云中心計算模式，結合電力終端介紹了一種面向電力業務的低時延、高可靠、多連接、強安全以及結構匯聚的云邊協同計算部署框架，將可信計算機制引入網絡，利用邊緣計算的特點在終端側驗證身份，保障了終端接入的安全性，進而提高了整個系統的安全性。雖然5G建設還在起步階段，并不能完全體現該構架的特點，如低時延等。但相信隨著5G技術的不斷成熟，該技術能真正投入使用，更加精確、快速以及安全地處理海量終端設備的數據，實現安全可信接入。