基于零信任機制的用電信息采集架構設計

劉 濤 馬 越 姜和芳 周 宇 鐘佳晨

（1.深圳供電局有限公司，廣東 深圳 518133；2.南瑞集團（國網電力科學研究院），江蘇 南京 210000；3.南京農業大學人工智能學院，江蘇 南京 210095）

0 引言

高級計量架構（Advanced Metering Infrastructure，AMI）是智能電網的核心和基礎[1]，而電能信息采集與管理系統在AMI架構中常發揮核心作用，實現了智能、高效、準確獲取售電量數據，并對其進行有效分析的目的。

然而，電力數據包含大量隱私信息，在傳統AMI架構中直接傳輸和存儲，將帶來巨大的安全隱患[2]。目前，傳統的數據安全保障工作多以購入第三方軟硬件為主，既增加了部署成本，也不利于后期維護。

近年來，零信任機制的探索與制訂，為電力信息的安全性保障提供了新的思路。為此，本文借助AMI架構的便捷性和高效性，提出并設計了基于零信任機制的用電信息采集架構，使用更為健全的身份鑒權和隱私防護方法，進一步提升了用電信息管理的安全性和便捷性。

1 研究背景

1.1 傳統用電信息采集系統的安全形勢

AMI是智能電網建設順利發展的關鍵，是電力系統穩定使用的重要保證。AMI架構中的智能電表等終端設備組成用電信息采集系統的核心，定期采集用戶電力數據，隨后根據不同需求進行分發，以滿足智能化電網建設需求。

為了滿足電力服務高效需求，近年來，越來越多的電力工作者開始關注電力信息采集系統的優化研究。劉超等人[3]用NB-物聯網技術實現對配電網用戶用電信息采集和管理的智能化；朱亮等人[4]設計的采集終端智能報警裝置，能夠解決因非及時購電而跳閘的矛盾；俞秋霞[5]為解決傳統電力信息采集存在的解析殘差大的問題，設計了一種新的電力信息采集與通信規約解析系統。然而，這些研究并未強調用戶數據的私密性控制。隨著新型網絡風險的增加和用戶對隱私保護問題的不斷重視，目前眾多的用采系統設計均出現了潛在的數據安全威脅。

1.2 零信任安全研究現狀

2021年，中國信通院發布《數字化時代零信任安全藍皮書》，解讀了數字化時代零信任機制的優勢和廣泛應用的場景[6]。傳統的安全機制失效的本質是過度信任，即默認用戶可信，僅利用防火墻等邊界安全防護機制進行防護。隨著網絡流量的復雜度增加，內網安全也不斷面臨挑戰。因此，零信任的核心是“永不信任，持續驗證”，默認一切參與因素都不受信，且只給予當前行為最小權限分配[7]。

此間，零信任的相關研究也頗具規模。丁銳[8]針對石油信息系統的網絡安全問題，提出零信任訪問控制模型；薛瑩等人[9]基于零信任架構原理和模型方法，加強和完善社區防控信息系統建設；章俊等人[10]通過搭建零信任平臺，解決通過5G網絡安全訪問醫院內部資源時醫院網絡邊界模糊等安全隱患。

目前，我國電網轉型中存在身份認證管理復雜等痛點[11]，綜合零信任機制的優勢和用電信息采集的業務特點，將零信任機制運用于能源電力行業的安全性優化是切實可行的。

2 零信任機制實現

2.1 零信任機制運行邏輯

零信任機制本質是一個更加完善的安全認證架構[12]，其邏輯架構如圖1所示，由零信任核心組件和諸多外部數據源構成。

外部數據源主要用于提供身份驗證和行為授權的依據，主要包括行業合規、活動日志等內容，針對具體需求可自行選擇。核心部分分為控制平面和數據平面。訪問主體發起請求，由控制平面的策略引擎進行多源信任評估計算，再由控制引擎進行結果判定，得出是否授權。一旦授權，則通知數據平面的安全代理模塊對本次訪問建立安全鏈接，并開放目標資源。

2.2 零信任機制模塊部署

由于智能電網架構中設備型號差異大、線路老化難以更換等問題依舊存在[13]，因此用電信息采集系統的優化不可采用強耦合的方式。鑒于此，本文將零信任機制模塊與用采系統本身業務解耦，以降低業務復雜度，提升工作效率。

零信任機制模塊設計如圖2所示，主要包括客戶端模塊和服務端模塊。在客戶端，系統配備零信任終端監測插件，提供零信任安全認證機制中所需的身份令牌合法性檢查、安全代理請求等功能。在服務端，零信任機制模塊與業務系統分開，作為用戶行為的服務中間件，其主要包括零信任監測模塊、請求行為監控模塊、日志分析系統和統一認證系統。

（1）零信任監測模塊負責進行用戶身份驗證和行為鑒權，對于非法請求，可直接拒絕服務；

（2）請求行為監控模塊負責收集操作系統和用戶請求的相關信息，用以輔助安全驗證工作；

（3）日志分析系統負責記錄所有請求的相關信息，并進行持久化存儲與分析，對潛在的危險用戶進行監控與預警；

（4）統一認證系統負責接收安全代理傳輸的身份驗證信息，并給出最終的身份授權結果。

3 用電信息采集架構設計

用電信息采集系統具有網絡架構復雜、功能模塊精密等特點[14]，本文采用非侵入式的架構設計，將零信任安全模塊搭建于現有的AMI架構中，與電力信息采集系統進行數據交互。

3.1 服務架構設計

本文將零信任安全防護模塊作為中間件，隔開原本直接相連的用戶終端設備或系統服務和電力采集系統服務，整體的安全服務架構如圖3所示。

由圖3可知，用戶終端向代理網關發出請求，經過安全防護模塊驗證無誤后可下發合法憑證用以訪問業務。在安全防護模塊中，將原抽象模塊中相關聯的部分進一步聚合，主要包括數據匯總平臺、信任權限評估平臺和安全服務平臺。

（1）數據匯總平臺：統一快速獲取并匯總AMI架構中用戶提供的諸多電力數據，并將所收集的信息統一預包裝，最終發送給信任權限評估平臺，作為用戶鑒權的主要依據。

（2）信任權限評估平臺：針對接收打包好的實時電力信息，使用自定義的安全評估算法進行身份合法評估。

（3）安全服務平臺：用于接收用戶請求，并發放合法權限憑證或拒絕服務。其包括簡單的、基于數據庫的身份判別策略，以過濾低級的非法請求，保障基本的安全控制需求。

3.2 零信任防護控制服務

同時，本文提出的零信任防護服務也可單獨抽離，為AMI架構中的其他模塊提供服務。整體服務總體框架如圖4所示，包括終端接口攔截、動態鑒權控制、統一身份管理和安全防護IaaS。

（1）終端接口攔截服務：用于在設備終端進行直接安全控制，對電力信息的合法性監測粒度最為精細，可針對不同型號、不同系統的設備單獨設計。

（2）動態鑒權控制服務：適合較為復雜的安全控制需求。所有業務請求均被分割為不同級別的權限，根據用戶具體需求進行不同權限的動態發放，保證了系統的實時安全性。

（3）統一身份管理服務：是為了解決動態鑒權控制的不足而設計，可支持將多種權限綁定到同一身份中，在授權時將優先進行身份檢查，身份核驗通過后直接發放若干權限。

（4）安全防護IaaS服務：是處于最底層的基礎設施服務，適用于需大量個性化定制的業務場景。不同電力用戶可自行配置其他安全防護模塊，降低總體業務運維成本。

4 結語

本文針對當前電力信息采集系統中存在的網絡安全風險和隱私泄露問題，結合零信任機制，從提升系統整體安全防護的層面設計了新型智能用電信息采集架構，在一定程度上提升了電力用戶的數據隱私性和業務安全性。零信任安全模塊與用采系統解耦部署的方式，避免了與現有電力架構的兼容問題，同時也降低了技術人員和管理人員的維護難度。