電力大數據安全體系架構研究與應用

郭乃網蘇 運瞿海妮楊洪山

（1.國網上海市電力公司電力科學研究院，上海 200437；2.星環信息科技（上海）有限公司，上海 200437）

電力大數據安全體系架構研究與應用

郭乃網1蘇 運1瞿海妮1楊洪山2

（1.國網上海市電力公司電力科學研究院，上海 200437；2.星環信息科技（上海）有限公司，上海 200437）

隨著電力系統智能化的不斷深入，涵蓋整個電力系統運行過程的信息系統已經逐步建立和發展，電力大數據將在電力系統的各個環節發揮重要的作用。由于電力大數據涉及大量的用戶和企業資料，因此對信息安全具有較高的要求。本文針對大數據安全的關鍵點，采用建立完善的身份認證體系的方式，對用戶權限進行了限制和保護，有效地確保了系統數據的安全。

電力系統；大數據安全體系；證書驗證

電力大數據在電力行業未來發展中將發揮越來越重要的作用，其將貫穿于電力運行生產的各個環節中，并極大地推進電力行業的可持續性發展。而在大數據和互聯網迅速發展的今天，數據信息已經成為重要的資源存在極大的價值，是經濟和社會發展的無形動力。對于數據庫訪問安全的關鍵在于用戶的身份認證和訪問限制，因此，可以在服務器端和客戶端的安全機制在組件中集成，把用戶身份認證、訪問限制、通道加密以及數據加密等安全操作在組件中封裝，一方面確保應用系統訪問接口的安全，另一方面實現用戶身份確認和密碼驗證。本文通過權威的證書機構為用戶證書進行頒發，通過數字證書對每個用戶的合法性進行確認，并設立數個注冊管理機構審核用戶的訪問申請，以確保請求及時受理。注冊機構根據用戶的職能對其權限進行控制，確保用戶在有限權利范圍內進行相關訪問操作。從而確保系統數據的安全[1]。

1 大數據安全體系架構的設計

1.1 安全體系的整體結構

大數據安全訪問體系的結構如圖1所示。

圖1 大數據訪問安全體系的結構

本設計方案的核心在于證書服務中心，客戶服務中心負責系統服務器、客戶端服務器以及注冊管理機構所有數字證書的頒發，同時進行證書的管理工作。服務器負責證書和數據的轉發，客戶端用戶對數據庫所有的訪問職能通過服務器進行，證書的請求訪問的結構也通過服務器返回到用戶。證書服務中心和服務器代理存在于同一臺服務器中，二者通過不同的端口號實現數據交換，其中的未加密數據不在網絡中傳送，因此服務器證書申請和證書的發放相對來說要簡單且安全。

而在客戶端有新用戶需要對數據庫進行訪問操作時，需要首先由注冊管理機構進行申請注冊，注冊管理機構把新用戶的基本信息上傳到證書服務中心，并且將服務中心分配的授權碼發送給客戶端用戶，用戶獲得授權碼后就可以進行數字證書的申請操作，當證書服務中心完成新用戶合法性的審查后，用戶則可獲得合法的數字證書。客戶端用戶和服務器代理獲得相應的數字證書后，就可在證書規定的權限范圍內進行訪問操作，而此期間的數據傳輸也會在安全通道中完成[2]。

由于進行數據訪問的客戶端用戶可能分布在不同的地點，為方便用戶的申請注冊，因此在系統中會設立數個注冊管理機構，規定范圍內用戶的申請注冊由一個注冊管理機構負責。為確保每個注冊管理機構的合法性，證書服務中心會給每個注冊管理機構頒發相應的數字證書和密鑰，注冊管理機構證書的申請過程通過離線方式進行。客戶端用戶、注冊管理機構和證書服務中心之間的關系如圖2所示。

圖2 用戶、注冊管理機構、證書服務中心的關系

1.2 各部分結構的功能

1）注冊管理機構部分

注冊管理機構控制客戶端用戶的所有操作。注冊管理機構的功能主要是負責新用戶的賬號設立、授權碼授予、標志注冊管理機構和角色，向證書服務中心申請用戶信息的添加、刪除。注冊管理機構的功能結構圖如圖3所示。

圖3 注冊管理機構功能圖

注冊管理機構在運行之前要通過證書服務中性進行證書的下載安裝，并在證書中進行證書公鑰的提取，主要用于需要傳送到證書服務中心的相關用戶信息的加密。新用戶通過注冊管理機構建立獨立的賬號、授權碼以及注冊管理機構和角色標識。通過用戶賬號和密碼，用戶可以在證書服務中心進行證書下載。新用戶利用授權碼在證書服務中心申請數字證書。用戶的名稱、賬號、密碼、角色信息等內容首先通過注冊管理機構的私鑰簽名，然后再通過證書服務中心公鑰對數字簽名和注冊管理機構的賬號進行加密，并發送到證書服務中心。證書的公鑰加密可以確保發送的數據只能通過證書服務中心解密讀取，從而確保了數據的安全性，而私鑰簽名確保消息來源注冊機構的合法性。每個注冊用戶的惟一合法標識是授權碼，它是用戶進行證書申請的惟一合法標志。證書管理機構可以執行客戶端證書的刪除，在進行證書的刪除時，注冊管理機構將賬號信息發送給證書服務中心，證書服務中心執行刪除操作，注銷相應的用戶證書。

2）客戶端用戶部分

用戶通過客戶端用戶模塊向證書服務中心申請相應的證書，申請的證書和用戶的私鑰打包后由用戶自己保存?？蛻舳擞脩艚Y構如圖4所示。

圖4 客戶端用戶結構

客戶端用戶也通過證書服務中心獲取根證書，并在其中提取公鑰，用于用戶證書申請數據的加密。在數據上傳之前需要通過證書進行用戶身份確認。若用戶在首次使用證書時已經成功申請了證書，則用戶只需輸入用戶名和密碼即可下載打包策略和用戶私鑰。

3）證書服務中心部分

證書服務中心在進行證書管理的同時，還要建立標準的索引文件，該索引用于證書的保存和用戶信息的對應。每當生成新證書后，索引表會自動增加。用戶的角色信息也會通過證書管理中心簽名后和證書同時發送到客戶端，從而避免非法用戶登錄以及用戶的越權操作。證書服務中心和服務器代理在相同主機中，只要確保二者邏輯的獨立即可。證書服務中心的管理功能如圖5所示。

圖5 證書服務中心管理功能結構

4）身份認證部分

在執行身份認證時，首先客戶端用戶和服務器端代理提取對方的數字證書，獲得對方的公鑰?？蛻舳擞脩暨€需得到證書服務中心頒發的數字簽名的角色[3]。

客戶端用戶和服務器端代理的認證過程為：

（1）客戶端自動生產一個隨機操作數，并執行操作數的簽名，對摘要和簽名通過服務器代理的公鑰進行數據加密后，上傳服務器代理。

（2）服務器代理收到數據后首先進行解密，在通過客戶端的公鑰進行簽名驗證。

（3）之后服務器代理把解密后的隨機數通過公鑰加密后回傳客戶端，客戶端將回傳數據進行解密并和隨機數比較，二者相等則完成服務器代理的認證。

由于服務器代理可以用客戶端的公鑰對簽名進行驗證，所以可以對客戶端進行認證，只有服務器代理可以對客戶端的密文進行解密，因此客戶端也可以對服務器代理進行認證。雙方認證過程如圖 6所示。

圖6 用戶和服務器端代理認證過程

圖6中，N表示客戶端用戶自動生成的隨機數；N′為用客戶端用戶公鑰解密的數據結果；PKc和 SKc分別代表客戶端用戶公鑰和私鑰；PKs和 SKs分別為服務器端代理公鑰和私鑰。

在認證過程中，服務器端代理只承認證書服務中心認證的角色數字簽名，從而避免用戶非法定義角色。通過驗證后，客戶端用戶獲得有限的操作權限。

2 大數據安全體系架構的應用分析

電力系統中，包括實時監控系統、電能交易系統、自動調度系統等業務系統，需要大量的數據支持。為了確保相關業務中用戶的身份認證和管理、重要數據的訪問安全，可以應用文中的數據庫安全訪問方案確保數據安全。我們在某監控系統中加入該安全組件，采用數字證書進行客戶端和服務器的身份認證。我們在同一臺主機中用多個用戶進行數字證書認證登錄。用戶通過認證后，可以在各自權限內進行操作，而各自的數據也是在安全通道中傳輸?？梢钥闯霭踩M件的使用確保了用戶身份的合法性和權限控制，同時也確保了數據的安全性。

3 結論

本文基于大數據數據安全管理的關鍵點出發，結合以往項目的實際應用，對大數據安全體系關鍵部分進行了研究和分析，相關技術在包括電力行業在內的多個行業內使用，并獲得了比較滿意的效果。但是其中仍有很多有關大數據安全的問題需要進一步的研究解決。信息安全在網絡迅速發展的當下受到人們極大的關注，解決客戶身份認證、權限控制和數據傳輸的加密和完整是數據訪問的重點。相信經過不斷的研究和改進，最終形成一套有效的安全管理體系，從而為電力大數據安全保駕護航。

[1]林大增,邵強.電力數據的采集及處理方法[J].科技風,2012(24):50.

[2]李熙春,姚偉剛,何志明.電力數據網絡的應用與安全性[J].江蘇電機工程,2008,27(3):8-10.

[3]李寧.分布式數據庫系統中用戶身份認證及訪問控制研究[D].濟南:山東大學,2005.

Research and Application of Power System Architecture for Large Data Security

Guo Naiwang1Su Yun1Zhai Haini1Yang Hongshan2
(1.Electric Power Science Research Institute of Shanghai Municipal Electric Power Company,Shanghai 200427;2.Xinghuan Mdt InfoTech Ltd,Shanghai 200427)

With the deepening of the power system intelligent and the running process of power system information system has gradually set up and development domains,the power of big data will in all aspects of power system play an important role.Because the power big data involves a large number of users and enterprise information,so it has higher requirements for information security.In this paper,the key point of large data security,the establishment of a perfect system of identity authentication,the user rights are restricted and protected,and effectively ensure the security of the system data.

power system;large data security system;certificate validation

郭乃網（1984-），男，江蘇鹽城人，碩士，工程師，主要從事大數據及信息安全工作。