余曉光 余瀅鑫 陽(yáng)陳錦劍 解曉青

1(華為技術(shù)有限公司松山湖研究所 廣東東莞 523808)2(華為技術(shù)有限公司西安研究所 西安 710075)(sean.yuxg@huawei.com)

1 智能電網(wǎng)行業(yè)介紹

智能電網(wǎng)是指電力通信利用5G等新技術(shù)，在電力生產(chǎn)控制過(guò)程中實(shí)現(xiàn)智能化、無(wú)人化、安全化.智能電網(wǎng)無(wú)線(xiàn)通信應(yīng)用場(chǎng)景總體上可分為控制、采集2大類(lèi).其中，控制類(lèi)包含智能分布式配電自動(dòng)化、用電負(fù)荷需求側(cè)響應(yīng)、分布式能源調(diào)控等；采集類(lèi)主要包括高級(jí)計(jì)量、智能電網(wǎng)大視頻應(yīng)用[1-2].

將5G技術(shù)應(yīng)用在智能電網(wǎng)的應(yīng)用場(chǎng)景可細(xì)分為以下幾大類(lèi).

第1類(lèi)：利用5G低時(shí)延特性和切片等新技術(shù)，保護(hù)電網(wǎng)差動(dòng)保護(hù)等操作，如智能電網(wǎng)配網(wǎng)差動(dòng)保護(hù)；

第2類(lèi)：利用5G低時(shí)延特性和切片、邊緣計(jì)算等新技術(shù)，保證電網(wǎng)三遙操作，如智能電網(wǎng)配網(wǎng)自動(dòng)化三遙；

第3類(lèi)：利用5G高帶寬特性和切片、邊緣計(jì)算等新技術(shù)，保證電網(wǎng)業(yè)務(wù)正常、安全操作，如智能電網(wǎng)無(wú)人巡檢、電網(wǎng)應(yīng)急通信；

第4類(lèi)：利用5G高帶寬、低時(shí)延特性和切片、邊緣計(jì)算等新技術(shù)，保證電網(wǎng)業(yè)務(wù)正常、安全操作，如智能電網(wǎng)配網(wǎng)PMU、精準(zhǔn)負(fù)荷控制；

第5類(lèi)：利用5G高帶寬、海量連接特性和切片、邊緣計(jì)算等新技術(shù)，保證電網(wǎng)業(yè)務(wù)正常、安全操作，如智能電網(wǎng)高級(jí)計(jì)量.

智能電網(wǎng)的業(yè)務(wù)分類(lèi)和場(chǎng)景分類(lèi)如表1所示：

表1 智能電網(wǎng)的業(yè)務(wù)和場(chǎng)景分類(lèi)

2 智能電網(wǎng)的5G安全需求

2.1 行業(yè)監(jiān)管要求和客戶(hù)需求

為了加強(qiáng)電力監(jiān)控系統(tǒng)的信息安全管理，防范黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及侵害，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行，國(guó)家發(fā)展與改革委員會(huì)于2014年發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(國(guó)家發(fā)展改革委員會(huì)2014年第14號(hào)令).規(guī)定中指出電力監(jiān)控系統(tǒng)安全防護(hù)工作應(yīng)當(dāng)落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，按照國(guó)家信息安全等級(jí)保護(hù)的有關(guān)要求，堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的原則，保障電力監(jiān)控系統(tǒng)的安全.國(guó)家能源局于2015年發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》(國(guó)能安全[2015]36號(hào))[3]，方案確定了電力監(jiān)控系統(tǒng)安全防護(hù)體系的總體框架，細(xì)化了電力監(jiān)控系統(tǒng)安全防護(hù)總體原則，定義了通用和專(zhuān)用的安全防護(hù)技術(shù)與設(shè)備，提出了梯級(jí)調(diào)度中心、發(fā)電廠(chǎng)、變電站、配電等的電力監(jiān)控系統(tǒng)安全防護(hù)方案及電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估規(guī)范.

2.2 智能電網(wǎng)行業(yè)5G主要安全風(fēng)險(xiǎn)

針對(duì)以上行業(yè)場(chǎng)景與業(yè)務(wù)特點(diǎn)進(jìn)行分析，5G智慧電網(wǎng)行業(yè)包括如下關(guān)鍵安全風(fēng)險(xiǎn)：

1) 增強(qiáng)移動(dòng)寬帶(eMBB)業(yè)務(wù)安全.智能化巡檢等場(chǎng)景中，高清視頻下面臨數(shù)據(jù)泄露/竊取風(fēng)險(xiǎn)、不良信息傳播風(fēng)險(xiǎn)、現(xiàn)有安全設(shè)備防護(hù)能力不足風(fēng)險(xiǎn)[4].

2) 超高可靠超低時(shí)延通信(uRLLC)業(yè)務(wù)安全.配網(wǎng)差動(dòng)保護(hù)、精準(zhǔn)負(fù)荷控制等場(chǎng)景中，如發(fā)生DDoS攻擊，將對(duì)網(wǎng)絡(luò)的可靠性、時(shí)延造成影響.此外還存在網(wǎng)絡(luò)數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)、低時(shí)延導(dǎo)致安全設(shè)備部署受限風(fēng)險(xiǎn)等.

3) 大連接物聯(lián)網(wǎng)(mMTC)業(yè)務(wù)安全.評(píng)估并降低新型物聯(lián)網(wǎng)設(shè)備存在的安全新風(fēng)險(xiǎn)；降低智能電網(wǎng)中海量物聯(lián)網(wǎng)設(shè)備對(duì)空口、業(yè)務(wù)平臺(tái)的大規(guī)模攻擊風(fēng)險(xiǎn)；評(píng)估并有效降低由于安全監(jiān)管能力不足造成的風(fēng)險(xiǎn)[4].

4) 網(wǎng)絡(luò)切片.部分業(yè)務(wù)場(chǎng)景要求時(shí)延極低，可能需要定制專(zhuān)屬切片，應(yīng)保障專(zhuān)屬切片安全：惡意終端接入切片的安全風(fēng)險(xiǎn)、核心網(wǎng)側(cè)的切片隔離不到位風(fēng)險(xiǎn)、切片管理不善導(dǎo)致跨切片攻擊風(fēng)險(xiǎn)等.

5) 邊緣計(jì)算.對(duì)于部分智能電網(wǎng)中部署的邊緣節(jié)點(diǎn)，應(yīng)保障邊緣節(jié)點(diǎn)的安全，對(duì)邊緣節(jié)點(diǎn)進(jìn)行安全管控：NFV系統(tǒng)、MEC平臺(tái)、MEC編排管理系統(tǒng)、UPF以及ME APP的安全風(fēng)險(xiǎn).

3 安全技術(shù)在5G智能電網(wǎng)的應(yīng)用

3.1 安全總體框架

針對(duì)上述5G新技術(shù)應(yīng)用到電網(wǎng)行業(yè)應(yīng)用的安全風(fēng)險(xiǎn)和需求，需提供安全技術(shù)以確保5G電網(wǎng)建設(shè)遵從電力行業(yè)“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的安全要求[3].

智能電網(wǎng)5G安全總體框架如圖1所示：

圖1 智能電網(wǎng)5G安全總體框架

在該框架中，采用層層縱深防御理念來(lái)實(shí)現(xiàn)智能電網(wǎng)安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離要求[5]；采用零信任的基于動(dòng)態(tài)驗(yàn)證原則實(shí)現(xiàn)縱向認(rèn)證；除此之外，采用全網(wǎng)安全態(tài)勢(shì)感知和軟硬件自主可控[5]，確保智能電網(wǎng)的總體安全管控.

3.2 安全分區(qū)的技術(shù)實(shí)現(xiàn)

網(wǎng)絡(luò)縱深防御理念要求將安全性應(yīng)用于多個(gè)層，其工作原理是為每個(gè)層提供不同類(lèi)型的保護(hù)，以便提供阻止攻擊的最佳手段.因此，首先需要將網(wǎng)絡(luò)進(jìn)行安全分區(qū).智慧電網(wǎng)業(yè)務(wù)主要分為生產(chǎn)控制大區(qū)、管理信息大區(qū)2大類(lèi).可根據(jù)智慧電網(wǎng)業(yè)務(wù)需求按需定制網(wǎng)絡(luò)切片，比如可提供生產(chǎn)控制切片、管理信息切片等，并針對(duì)每類(lèi)切片下沉獨(dú)立的UPF網(wǎng)元，針對(duì)智慧電網(wǎng)業(yè)務(wù)建設(shè)SMF為智慧電網(wǎng)獨(dú)享.生產(chǎn)控制大區(qū)與管理信息大區(qū)實(shí)現(xiàn)物理隔離.

1) 生產(chǎn)控制大區(qū)，包括生產(chǎn)控制和生產(chǎn)非控制2大類(lèi)業(yè)務(wù).其中生產(chǎn)控制類(lèi)包括配網(wǎng)自動(dòng)化實(shí)現(xiàn)配網(wǎng)差動(dòng)保護(hù)、配網(wǎng)廣域同步向量測(cè)量PMU和配網(wǎng)自動(dòng)化三遙業(yè)務(wù)等[1-2].生產(chǎn)非控制類(lèi)主要是計(jì)量業(yè)務(wù)，實(shí)現(xiàn)電能/電壓質(zhì)量監(jiān)測(cè)、工廠(chǎng)/園區(qū)/樓宇智慧用電等.生產(chǎn)控制大區(qū)業(yè)務(wù)的共性特征在于點(diǎn)多面廣，需要全程全域全覆蓋，屬于廣域場(chǎng)景，要求5G網(wǎng)絡(luò)提供高安全隔離、低時(shí)延、高頻轉(zhuǎn)發(fā)、高精授時(shí)等能力，用戶(hù)面UPF接入電力生產(chǎn)控制大區(qū)的專(zhuān)用MEC.

2) 管理信息大區(qū)，包括管理區(qū)視頻類(lèi)和局域?qū)＞W(wǎng)[6]2大類(lèi)業(yè)務(wù).管理區(qū)視頻類(lèi)包括利用機(jī)器人和無(wú)人機(jī)進(jìn)行變電站和線(xiàn)路巡檢、攝像頭監(jiān)控等，屬于廣域場(chǎng)景，要求用戶(hù)面UPF接入電力管理信息大區(qū)專(zhuān)用MEC.局域?qū)＞W(wǎng)類(lèi)實(shí)現(xiàn)智慧園區(qū)、智能變電站等局域場(chǎng)景電力業(yè)務(wù)，其特征在于特定區(qū)域有限覆蓋，屬于典型的局域?qū)＞W(wǎng)[6]場(chǎng)景，要求5G網(wǎng)絡(luò)提供上行大帶寬、數(shù)據(jù)本地化處理等能力，其用戶(hù)面UPF接入電力管理信息大區(qū)專(zhuān)用MEC；后續(xù)根據(jù)業(yè)務(wù)需求，在電力園區(qū)部署小型化MEC，進(jìn)一步滿(mǎn)足數(shù)據(jù)不出場(chǎng)站的安全需求.

3.3 網(wǎng)絡(luò)專(zhuān)用方案的技術(shù)實(shí)現(xiàn)

網(wǎng)絡(luò)專(zhuān)用要求所使用的無(wú)線(xiàn)專(zhuān)網(wǎng)或者公網(wǎng)實(shí)現(xiàn)專(zhuān)用[6]，達(dá)到“網(wǎng)關(guān)到網(wǎng)關(guān)”(甚至“終端到終端”)的專(zhuān)網(wǎng)[6]水平，不與其他業(yè)務(wù)混用.

1) 生產(chǎn)控制大區(qū)業(yè)務(wù)需與其他業(yè)務(wù)進(jìn)行物理隔離.對(duì)于個(gè)別生產(chǎn)控制大區(qū)業(yè)務(wù)，在使用無(wú)線(xiàn)公網(wǎng)、無(wú)線(xiàn)通信網(wǎng)絡(luò)及處于非可控狀態(tài)下的網(wǎng)絡(luò)設(shè)備和終端進(jìn)行通信，其安全防護(hù)水平低于生產(chǎn)控制大區(qū)內(nèi)的其他系統(tǒng)時(shí)，應(yīng)設(shè)立安全接入?yún)^(qū)，并采用安全隔離、訪(fǎng)問(wèn)控制、認(rèn)證及加密等措施.典型業(yè)務(wù)如配網(wǎng)自動(dòng)化、負(fù)荷管控管理系統(tǒng)、分布式能源調(diào)控系統(tǒng).

對(duì)于重要的生產(chǎn)控制大區(qū)業(yè)務(wù)，如配網(wǎng)自動(dòng)化，在空口將采用RB無(wú)線(xiàn)空口資源預(yù)留，傳輸網(wǎng)采用FlexE方式進(jìn)行隔離，核心網(wǎng)可通過(guò)VLAN/VXLAN劃分切片，并在物理或虛擬網(wǎng)絡(luò)邊界部署硬件或虛擬防火墻來(lái)完成訪(fǎng)問(wèn)控制，基于物理部署來(lái)實(shí)現(xiàn)切片的物理隔離，保證每個(gè)切片都能獲得相對(duì)獨(dú)立的物理資源[3]，UPF至配電自動(dòng)化業(yè)務(wù)主站通過(guò)專(zhuān)線(xiàn)連接.

① 無(wú)線(xiàn)空口為配電自動(dòng)化業(yè)務(wù)提供RB無(wú)線(xiàn)空口資源預(yù)留，并可開(kāi)啟業(yè)務(wù)數(shù)據(jù)面加密、完整性保護(hù)，保證空口數(shù)據(jù)安全.

② 針對(duì)配電終端，采用接入雙向鑒權(quán)機(jī)制,通過(guò)UE的NSSAI(網(wǎng)絡(luò)切片選擇輔助信息),為UE選擇正確的切片，保證合法UE接入網(wǎng)絡(luò).

③ 傳輸網(wǎng)為配電自動(dòng)化業(yè)務(wù)提供FlexE方式進(jìn)行隔離.

④ 核心網(wǎng)可通過(guò)VLAN/VXLAN劃分切片，并在物理或虛擬網(wǎng)絡(luò)邊界部署硬件或虛擬防火墻來(lái)完成訪(fǎng)問(wèn)控制，基于物理部署來(lái)實(shí)現(xiàn)切片的物理隔離，保證每個(gè)切片都能獲得相對(duì)獨(dú)立的物理資源，提供專(zhuān)用SMF，UPF網(wǎng)元實(shí)現(xiàn)與安全接入?yún)^(qū)安全連接及網(wǎng)絡(luò)專(zhuān)用[6].

⑤ 為電網(wǎng)切片與其他切片提供隔離，如部署時(shí)可通過(guò)VLAN/VXLAN劃分切片，并在物理或虛擬網(wǎng)絡(luò)邊界部署硬件或虛擬防火墻來(lái)完成訪(fǎng)問(wèn)控制，以及基于物理部署來(lái)實(shí)現(xiàn)切片的物理隔離，保證每個(gè)切片都能獲得相對(duì)獨(dú)立的物理資源[7-8]；

⑥ 可提供網(wǎng)絡(luò)層的IPSec VPN加密.在5G基站到MEC，UPF邊界防火墻之間使用IPSec加密；智慧電網(wǎng)業(yè)務(wù)層IPSec VPN加密：5G終端到MEC APP邊界防火墻之間使用IPSec加密，其中IPSec的證書(shū)密鑰由智慧電網(wǎng)掌握.

⑦ 在配電加密認(rèn)證網(wǎng)關(guān)邊界部署安全資源池，在智慧電網(wǎng)的安全需求下，通過(guò)流調(diào)度的方式將特定應(yīng)用流量在安全資源池內(nèi)進(jìn)行安全檢測(cè)和防護(hù)；可向用戶(hù)提供防火墻、WAF、抗DDoS、IDS/IPS等安全能力.

⑧ 管理面的接口都具備認(rèn)證和鑒權(quán)，管理面的傳輸通過(guò)TLS加密和完保；NSMF管理功能上，支持分權(quán)分域，防止越權(quán)運(yùn)維；流程內(nèi)的不同節(jié)點(diǎn)也支持指定相應(yīng)的角色.

2) 各大區(qū)內(nèi)部不同業(yè)務(wù)之間需進(jìn)行邏輯隔離：可以采用MPLS-VPN技術(shù)、安全隧道技術(shù)、PVC技術(shù)、靜態(tài)路由等構(gòu)造子網(wǎng)，進(jìn)行邏輯隔離.

3.4 橫向隔離方案技術(shù)實(shí)現(xiàn)

橫向隔離主要體現(xiàn)在不同分區(qū)主站系統(tǒng)之間的隔離，滿(mǎn)足縱深防御的設(shè)計(jì)理念.

1) 生產(chǎn)控制大區(qū)與管理信息大區(qū)之間：必須設(shè)置國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離.

2) 生產(chǎn)控制大區(qū)內(nèi)部：不同業(yè)務(wù)之間采用具有訪(fǎng)問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、防火墻等實(shí)現(xiàn)邏輯隔離.

3) 安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)相連時(shí)，應(yīng)采用電力專(zhuān)用橫向單向安全隔離裝置進(jìn)行集中互聯(lián).

傳統(tǒng)網(wǎng)絡(luò)承載電力業(yè)務(wù)時(shí)，包括電力專(zhuān)網(wǎng)和公網(wǎng)2大類(lèi)，專(zhuān)網(wǎng)的物理層主要通過(guò)不同波長(zhǎng)、時(shí)隙、物理纖芯等資源實(shí)現(xiàn)物理隔離，專(zhuān)網(wǎng)邏輯層主要通過(guò)VLAN，VPN等手段實(shí)現(xiàn)邏輯隔離.對(duì)于公網(wǎng)，生產(chǎn)控制類(lèi)業(yè)務(wù)需接入安全接入?yún)^(qū)，管理信息類(lèi)需接入防火墻.如圖2所示：

圖2 5G與傳統(tǒng)網(wǎng)絡(luò)承載電力業(yè)務(wù)的整體差異

相比較傳統(tǒng)網(wǎng)絡(luò)，采用5G公網(wǎng)承載電力業(yè)務(wù)時(shí)，引入了全新的端到端網(wǎng)絡(luò)切片隔離方案.通過(guò)MEC+切片，5G在技術(shù)上具備了為業(yè)務(wù)提供端到端物理隔離和邏輯隔離的能力.在物理隔離層面，無(wú)線(xiàn)空口側(cè)采用時(shí)、頻、空域正交資源塊RB傳輸數(shù)據(jù)，傳送網(wǎng)側(cè)引入了基于FlexE技術(shù)的硬隔離方式，使得傳送網(wǎng)具備類(lèi)似于TDM獨(dú)占時(shí)隙，業(yè)務(wù)可實(shí)現(xiàn)基于時(shí)分的網(wǎng)絡(luò)切割，不同F(xiàn)lexE切片之間業(yè)務(wù)互不影響，核心網(wǎng)側(cè)利用網(wǎng)絡(luò)功能虛擬化方式為電網(wǎng)分配獨(dú)立的物理服務(wù)器資源.上述從無(wú)線(xiàn)空口→基站→傳送網(wǎng)→核心網(wǎng)的端到端切片技術(shù)，為電力行業(yè)在物理資源層面上隔離出了一張“無(wú)線(xiàn)專(zhuān)網(wǎng)”[6]，滿(mǎn)足電網(wǎng)業(yè)務(wù)的安全性、可靠性需求.在邏輯隔離層面，5G網(wǎng)絡(luò)切片仍然采用VLAN、IP隧道、VPN虛擬機(jī)等方式進(jìn)行業(yè)務(wù)邏輯隔離[7-8].

3.5 縱向認(rèn)證的技術(shù)實(shí)現(xiàn)

5G電力縱向認(rèn)證，重點(diǎn)聚焦在管、端兩側(cè)，通過(guò)利用5G提供的統(tǒng)一認(rèn)證框架、多層次網(wǎng)絡(luò)切片安全管理、靈活的二次認(rèn)證和密鑰能力及安全能力開(kāi)放等新屬性，進(jìn)一步提升行業(yè)網(wǎng)絡(luò)安全性[7-8].

5G電力縱向認(rèn)證安全增強(qiáng)主要依托EAP-AKA’協(xié)議進(jìn)行增強(qiáng)，包含如下幾方面：

1) 接入認(rèn)證增強(qiáng).行業(yè)算法替換，實(shí)現(xiàn)電網(wǎng)安全終端接入5G網(wǎng)絡(luò)的接入認(rèn)證增強(qiáng)；5G接入認(rèn)證增強(qiáng).根據(jù)5G的通信機(jī)制，電網(wǎng)業(yè)務(wù)在開(kāi)卡時(shí)，預(yù)先分配好DNN(類(lèi)比公網(wǎng)APN)、網(wǎng)絡(luò)切片選擇輔助信息(NSSAI)等屬性，業(yè)務(wù)上線(xiàn)時(shí)，終端首先附著5G網(wǎng)絡(luò)，在附著的過(guò)程中，完成5G AKA主鑒權(quán)，核心網(wǎng)將根據(jù)事先分配的DNN，NSSAI等簽約屬性，分配對(duì)應(yīng)的SMF和UPF，建立PDU會(huì)話(huà)連接.主鑒權(quán)的鑒權(quán)消息全部采用國(guó)密祖沖之算法集(ZUC算法)實(shí)施加密和完整性保護(hù).此外，5G通信機(jī)制要求用戶(hù)數(shù)據(jù)必須先經(jīng)過(guò)UPF再進(jìn)行轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)了從終端至基站至UPF的傳輸隧道，且不暴露在公網(wǎng)上，保障了用戶(hù)通信數(shù)據(jù)安全.

2) 二次認(rèn)證技術(shù).電網(wǎng)業(yè)務(wù)PDU會(huì)話(huà)建立期間，由智慧電網(wǎng)企業(yè)側(cè)DN-AAA服務(wù)器進(jìn)行輔助二次認(rèn)證/授權(quán)；USIM卡的主認(rèn)證能力由運(yùn)營(yíng)商提供，電網(wǎng)為了自行對(duì)行業(yè)終端進(jìn)行認(rèn)證和管理，部署AAA服務(wù)對(duì)終端設(shè)備二次認(rèn)證.5G網(wǎng)絡(luò)可以與智能電網(wǎng)的業(yè)務(wù)側(cè)平臺(tái)配合，通過(guò)二次認(rèn)證可以實(shí)現(xiàn)外部數(shù)據(jù)網(wǎng)絡(luò)的DN-AAA服務(wù)器對(duì)與其有簽約關(guān)系的UE進(jìn)行認(rèn)證，然后根據(jù)認(rèn)證成功與否來(lái)決定該UE是否被允許接入上述數(shù)據(jù)網(wǎng)絡(luò).在智能電網(wǎng)領(lǐng)域，電網(wǎng)CPE通常位于無(wú)人值守的戶(hù)外，其所使用的USIM卡可能被攻擊者竊取，然后插入其他設(shè)備中冒充正常CPE接入電網(wǎng)網(wǎng)絡(luò)而發(fā)起攻擊.二次認(rèn)證可以解決由于電網(wǎng)客戶(hù)終端設(shè)備(CPE)所使用的USIM卡被盜而引起的針對(duì)電網(wǎng)網(wǎng)絡(luò)發(fā)起的攻擊.

3) 二次認(rèn)證網(wǎng)關(guān)加密增強(qiáng)技術(shù).具備會(huì)話(huà)加解密功能，可為通過(guò)認(rèn)證的會(huì)話(huà)建立加密通道.對(duì)于重點(diǎn)防護(hù)的調(diào)度中心、發(fā)電廠(chǎng)、變電站，由于其數(shù)據(jù)的高度敏感性，應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)及相關(guān)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪(fǎng)問(wèn)控制.縱向加密認(rèn)證裝置為廣域網(wǎng)通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)，同時(shí)具有安全過(guò)濾功能.加密認(rèn)證網(wǎng)關(guān)除具有加密認(rèn)證裝置的全部功能外，還應(yīng)實(shí)現(xiàn)電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的處理.

4) 定制5G安全認(rèn)證終端.使用電網(wǎng)安全芯片結(jié)合5G CPE終端，實(shí)現(xiàn)物理芯片級(jí)認(rèn)證、加密等安全功能.通過(guò)安全模塊中的微處理器MCU連接電力終端、電力安全芯片及5G通信模組.安全模塊采用的安全芯片應(yīng)具有國(guó)密型號(hào)，可聯(lián)合協(xié)議配置選項(xiàng)(protocol configuration option, PCO)及二次認(rèn)證流程實(shí)現(xiàn)二次接入安全、密鑰分發(fā)及信息加解密.

3.6 安全管理的技術(shù)實(shí)現(xiàn)

當(dāng)前5G智能電網(wǎng)的安全建設(shè)側(cè)重通過(guò)安全產(chǎn)品在邊界提供防護(hù)能力，通用的安全態(tài)勢(shì)感知等產(chǎn)品主要是針對(duì)企業(yè)網(wǎng)絡(luò)、固定網(wǎng)絡(luò)的，缺乏對(duì)5G移動(dòng)網(wǎng)元資產(chǎn)、移動(dòng)網(wǎng)絡(luò)業(yè)務(wù)的安全可見(jiàn)性能力，缺乏網(wǎng)元、網(wǎng)絡(luò)的安全威脅的檢測(cè)和響應(yīng)能力，未能實(shí)現(xiàn)安全和網(wǎng)絡(luò)“規(guī)劃、建設(shè)、運(yùn)營(yíng)”三同步.

因此，需要網(wǎng)絡(luò)提供內(nèi)生網(wǎng)元安全韌性能力、網(wǎng)管內(nèi)生安全運(yùn)維能力，來(lái)縮短5G網(wǎng)絡(luò)的威脅發(fā)現(xiàn)時(shí)間，提升安全事件的響應(yīng)速度，確保安全和網(wǎng)絡(luò)三同步顯得尤為重要.

電網(wǎng)部署安全態(tài)勢(shì)感知系統(tǒng)，如圖3所示，用戶(hù)側(cè)的安全設(shè)備具備安全探針功能，能與態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警系統(tǒng)進(jìn)行集成，支持安全設(shè)備信息上報(bào)以及安全設(shè)備策略下發(fā)功能.

圖3 用戶(hù)側(cè)安全設(shè)備與態(tài)勢(shì)感知系統(tǒng)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)從評(píng)價(jià)指標(biāo)的角度出發(fā)，設(shè)置電力切片業(yè)務(wù)流可采集的數(shù)據(jù)維度，采用電力切片業(yè)務(wù)流探針、網(wǎng)管平臺(tái)互通等采集方法，通過(guò)數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等技術(shù)手段分析電力切片業(yè)務(wù)流與網(wǎng)絡(luò)不安全結(jié)果之間的關(guān)系，構(gòu)建面向切片業(yè)務(wù)流數(shù)據(jù)在內(nèi)的新網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案[9].

除了上述數(shù)據(jù)融合、數(shù)據(jù)感知外，由于電力行業(yè)隔離與安全的特殊性需求，電力企業(yè)安全態(tài)勢(shì)感知系統(tǒng)需要運(yùn)營(yíng)商通過(guò)API接口將安全能力開(kāi)放給不同電力業(yè)務(wù)，讓電力企業(yè)能便捷地使用移動(dòng)網(wǎng)絡(luò)的安全能力，使網(wǎng)絡(luò)安全能力深入地滲透到電力業(yè)務(wù)的環(huán)境中，增強(qiáng)適配性.

4 總 結(jié)

本文以探索5G智能電網(wǎng)端到端安全解決方案技術(shù)為目標(biāo)，實(shí)現(xiàn)智能電網(wǎng)行業(yè)“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的安全需求，并基于內(nèi)生安全、縱深防御等理念在安全管理和技術(shù)領(lǐng)域開(kāi)展5G安全創(chuàng)新研究，在5G智能電網(wǎng)行業(yè)具有廣闊的應(yīng)用前景.