關(guān)于電網(wǎng)核心業(yè)務可信身份認證框架體系之研究

2020-12-12 21:54:02國網(wǎng)新疆電力有限公司信息通信公司胡美慧孫若寒郭新營曹進平

電力設(shè)備管理 2020年5期

國網(wǎng)新疆電力有限公司信息通信公司胡美慧孫若寒郭新營曹進平

電力企業(yè)中的電網(wǎng)核心業(yè)務在實施的過程中需要展開可信身份認證，這是非?；A(chǔ)的電網(wǎng)應用業(yè)務，通常會將自頂向下、自底向上這兩種方法結(jié)合完成場景識別，再采用交叉分類法分類業(yè)務場景所具備的身份認證功能，獲得電網(wǎng)核心業(yè)務可信身份認證需求呈現(xiàn)出來的共性與個性特點。對于多場景背景下的電力用戶動態(tài)行為，必須要組建結(jié)構(gòu)完善的可信身份認證框架體系，通過應用場景技術(shù)驗證保證業(yè)務安全。

1 電網(wǎng)核心業(yè)務可信身份認證框架體系內(nèi)容

典型應用場景。結(jié)合現(xiàn)有文獻資料的研究與分析，采用自頂向下與自底向上等手段，可以深入分析電網(wǎng)核心業(yè)務的所有應用場景。充分考慮基建、運檢、營銷等業(yè)務范疇，將可信身份認證的基本要求進行整理，可以生成內(nèi)容完善的分析報告[1]。

可信身份認證風險防范。按照應用場景提出的安全要求展開電網(wǎng)核心業(yè)務可信身份認證模型的分析，制定多重安全防護方案，例如人證結(jié)合、白名單認證與網(wǎng)絡實名認證；結(jié)合應用場景與業(yè)務流程特征設(shè)計應用場景，采用“云+端”認證技術(shù)、組合認證技術(shù)，將其與可信身份認證模式相結(jié)合驗證電網(wǎng)核心業(yè)務，保證電力系統(tǒng)運行穩(wěn)定性。

2 框架體系結(jié)構(gòu)

可信基礎(chǔ)。電網(wǎng)核心業(yè)務可信身份認證框架體系內(nèi)部的可信基礎(chǔ)為基礎(chǔ)信任源，也是信任鏈傳遞的初始環(huán)節(jié)，體系中的所有信任活動均是在該基礎(chǔ)中向上層延伸。電網(wǎng)核心業(yè)務身份認證流程比較繁瑣，期間涉及到多種身份信息的配置，最終構(gòu)建可信身份認證主體要素模型。

可信支撐?？蚣荏w系中的可信支撐主要是作為支撐平臺發(fā)揮作用具備諸多功能，例如生物識別、身份加密與大數(shù)據(jù)分析。在信任分類評價體系的支持下可以展開可信服務層的分級與分類信任操作，使可信服務具備多層次與多場景等特征[2]。

可信服務。即能夠用于傳遞的信任憑證?？尚胖螌雍灠l(fā)作為電力系統(tǒng)的身份憑證具有經(jīng)濟性、可接受度高的優(yōu)勢，構(gòu)建信任鏈可完成身份認證、系統(tǒng)訪問控制、訪問行為安全審計與分析等操作，從基建、運檢、營銷等層面提供針對性的信任服務，使業(yè)務覆蓋空間范圍更廣、可信任度更高。

可信應用。不同類型應用系統(tǒng)在電網(wǎng)核心業(yè)務可信身份認證服務模式的支持下會形成功能豐富的應用服務，即可信應用，包括基建類、運檢類、安監(jiān)類、營銷類、后勤類、信通類等應用[3]。其中運檢類應用是指變電站的出入管理過程中巡檢工作人員實施的可信全過程管理；安監(jiān)類應用是針對一些重大活動而言，負責工作人員可信安全管理；營銷類應用是指現(xiàn)代化電網(wǎng)核心業(yè)務中，工作人員的可信身份認證與移動支付可信身份認證操作。

服務用戶。服務電網(wǎng)核心業(yè)務可信身份認證在實際應用中是以服務用戶的形式加以體現(xiàn)，例如電力企業(yè)的職工、客戶都是可信服務實施可信應用操作的實體對象。互聯(lián)網(wǎng)環(huán)境下，對于相關(guān)身份與行為信息不僅要加強安全性，還要使一些關(guān)鍵業(yè)務無法抵賴，這是構(gòu)建電網(wǎng)核心業(yè)務可信身份認證框架體系的重要內(nèi)容之一。

監(jiān)管與安全制度。是保證電網(wǎng)核心業(yè)務可信認證框架體系穩(wěn)定運行的前提，其中包括諸多規(guī)范與制度，例如電力企業(yè)核心業(yè)務主管部門監(jiān)督、安全機制構(gòu)建等，其目的是規(guī)避身份信息被盜等安全問題，提高電力企業(yè)信息安全能力。

3 電網(wǎng)核心業(yè)務可信身份認證框架體系設(shè)計方案

3.1 繪制技術(shù)路線圖

針對電力企業(yè)先行可信身份認證框架體系、電網(wǎng)核心業(yè)務身份認證進行分析，建議將框架體系和電網(wǎng)核心業(yè)務有機融合，明確今后電網(wǎng)核心業(yè)務可信身份認證框架體系的優(yōu)化目標。鑒于此，工作人員需構(gòu)建電網(wǎng)核心業(yè)務可信身份認證框架模型，研發(fā)新型針對電網(wǎng)核心業(yè)務的可信身份認證服務形式，最終獲得結(jié)構(gòu)完善的框架體系結(jié)構(gòu)。具體實施過程中建議劃分為幾個流程：

全面、深入的采集電網(wǎng)核心業(yè)務身份認證信息，制定信息采集方案，在電網(wǎng)核心業(yè)務身份認證基本情況的基礎(chǔ)上分析優(yōu)化設(shè)計方向，使框架體系的構(gòu)建有充足的數(shù)據(jù)支持[4]；針對可信身份認證對象，選擇合適的要素識別方式，并且按照可信身份認證要求構(gòu)建主體要素模型。期間需要與電網(wǎng)核心業(yè)務特征相結(jié)合，從可信身份認證技術(shù)、建模、服務模式等幾個角度展開深入分析，確定當前電力企業(yè)中采用的身份認證框架體系存在不足，制定內(nèi)容完整的優(yōu)化方案；根據(jù)得出的優(yōu)化制定不同的模式，具體可從身份量化模型、身份鑒別模型、隱私保護模型、云服務模式、端服務模式、云+端混合服務模式中做出選擇。將選擇的模型作為框架體系架構(gòu)的重要內(nèi)容，立足于整體優(yōu)化設(shè)計電力系統(tǒng)，提高框架體系的應用服務水平。

當確定以上內(nèi)容之后，所有涉及到的研究內(nèi)容之間相互結(jié)合便可組成一個有機整體，從而形成電網(wǎng)核心業(yè)務可信身份認證框架體系研究技術(shù)路線圖。工作人員采集、整理電網(wǎng)核心業(yè)務身份認證的需求信息作為選擇關(guān)鍵主體要素識別方式的依據(jù)，進而完成建模。參考電網(wǎng)核心業(yè)務特征，完成移動設(shè)備、專用設(shè)備等可交互終端采用指紋芯片、二維碼授權(quán)身份識別與授信技術(shù)，根據(jù)法定身份提出網(wǎng)絡身份副本認證方案，基于時間、空間與行為等特征分析，采用按需授信技術(shù)完成可信身份認證，保證電網(wǎng)核心業(yè)務可信身份認證框架體系的系統(tǒng)性，以此獲得理想的體系架構(gòu)頂層設(shè)計成果[5]。

3.2 制定技術(shù)方案

針對電力企業(yè)中的電網(wǎng)核心業(yè)務深入剖析，整理身份認證信息，將其歸納到可信身份認證框架體系中，總結(jié)框架體系在企業(yè)中運行存在的優(yōu)勢與不足，同時判斷框架體系的適用性。期間需要結(jié)合身份認證操作流程與電網(wǎng)核心業(yè)務，構(gòu)建新的電網(wǎng)核心業(yè)務可信身份認證框架體系，結(jié)合電力企業(yè)安全防護工作現(xiàn)狀構(gòu)建對應的可信身份認證框架模型，發(fā)揮可信身份認證服務功能優(yōu)勢提升業(yè)務水平。

優(yōu)化電網(wǎng)核心業(yè)務可信身份認證框架體系，要從主體要素、信息技術(shù)、框架模型與服務模式等方面著手，采用現(xiàn)代化核心技術(shù)，處理電力系統(tǒng)數(shù)據(jù)，充分發(fā)揮出框架模型、服務模式所有的功能。其中主體要素包括電力企業(yè)的自外委與主業(yè)等工作人員的身份信息，信息技術(shù)是指電力系統(tǒng)身份認證的相關(guān)技術(shù)，如身份鑒別、生物特征加密、身份認證融合等，框架模型則包含身份量化、身份鑒別、隱私信息保護等，服務模式比較常用的有云服務模式與端服務模式等。

結(jié)合電網(wǎng)核心業(yè)務選擇可信身份認證技術(shù)。為了保證電力企業(yè)信息、數(shù)據(jù)安全，工作人員需要采用可行的可信身份認證技術(shù)，準確識別身份信息。其一建議應用基于動態(tài)行為特征的風險賬號防控技術(shù)，構(gòu)建電力業(yè)務行為特征庫與模型，通過可持續(xù)認證關(guān)鍵技術(shù)切實提高身份認證體系風險預控水平；其二建議應用以可交互終端為前提的身份識別與授信技術(shù)。針對移動設(shè)備與專用設(shè)備進行可交互終端，可以使用指紋新品與二維碼授權(quán)身份識別、授信技術(shù)，采集可交互終端用戶行為特征信息，制定身份認證方案；其三建議應用電力業(yè)務場景下動態(tài)身份安全認證技術(shù)，針對多維度用戶幸福為特征進行安全認證，整理電力場景中的時間、空間與行為變換因素信息，提出滿足用戶需求的動態(tài)身份安全認證技術(shù)[6]。

除此之外，還可以使用隱私保護模型，在用戶生物特征、匿名隱私保護、生物特征與數(shù)據(jù)失真隱私保護、生物特征與數(shù)據(jù)加密隱私保護多重方案的基礎(chǔ)上，保證電力系統(tǒng)信息安全，有效兼容電網(wǎng)核心業(yè)務隱私信息。

解決可信身份認證服務問題。電力企業(yè)在選擇服務模式中主要是以云服務模式、端服務模式、云+端混合服務模式為準。應用端服務模式需要有指定的業(yè)務場景與增強嵌入式系統(tǒng)運算、經(jīng)過優(yōu)化的生物特征識別算法相結(jié)合，將可信身份認證模塊嵌入到前端設(shè)備中可減少傳輸數(shù)據(jù)量，降低系統(tǒng)后臺存儲壓力，同時也可將電力系統(tǒng)中存在的單域可信身份認證問題解決；云服務模式適用于多業(yè)務場景，通過后臺部署方式嵌入可信身份認證模塊，將前端設(shè)備傳輸?shù)纳矸輸?shù)據(jù)信息作為管理重點，快速完成多個業(yè)務場景身份認證。期間參照行為記錄信息可對用戶訪問行為進行預測，將跨域可信身份認證環(huán)節(jié)存在的問題及時解決；云+端混合服務模式可在所有電網(wǎng)核心業(yè)務場景中運用，突出體現(xiàn)云、端服務優(yōu)勢，防范跨應用可信身份認證風險。