时间:2024-07-28
曹童杰,王忠新,李丕范
(中讯邮电咨询设计院有限公司,北京 100048)
随着5G网络建设进程的不断加快,智能电网(Smart Grid)概念的落地,电力行业对移动终端的需求也在快速增长[1]。移动终端数量大、种类多、接入方式多变且接入环境复杂,因此给电力行业的信息安全性带来了很大挑战。一方面,由于电力多应用在恶劣或无人环境,巡检等环节依赖智能巡检机器人等设备,但随着设备的增多,传输数据量也不断增加,将导致云端收发和处理数据时延增长,不能及时发现安全隐患。另一方面,终端与电力系统的通信方式多为无线通信技术,这种开放性的数据传输方式在带来便利的同时,也带来了机密信息被窃取和非法接入等威胁[2]。相比于2G、3G以及4G,5G网络拥有更大的容量、更低的时延以及更快的速度,其灵活性和可扩展性也意味着5G可以提供更高和更多层次的安全机制[3]。因此,如何在5G环境下保证电力终端及时且安全地接入内网并进行信息传送成为了亟待解决的问题。边缘计算(Edge Computing)是云计算的一种,但不同于云计算的集中式,它将存储和计算等能力推进到靠近数据源头的一侧,实现快速的本地数据分析能力,因此边缘计算是一种分布式的计算方式[4]。这种方式不仅能减少数据传输的次数,降低网络带宽压力,还能提高数据处理效率和安全性。因此边缘计算在电网这种需要低时延、高可靠、多连接、强安全以及异构汇聚特点的场景具有非常突出的优势[5]。
在5G到来之前,数据的处理和决策大部分是集中在云端,终端只负责收集和回传信息。但随着终端数量的增多,海量数据爆炸式增长,传输负载急剧增加,云端计算能力初显不足,越来越难以满足实时性的要求[6]。与传统的云计算不同,边缘计算将存储和计算等核心能力集成在终端侧,在多源异构数据处理、带宽负载、资源浪费、资源安全以及隐私保护等方面都有所不同,具体如表1所示[7]。
表1 云计算与边缘计算的比较
从表1可以看出,云计算与边缘计算各有优劣。虽然在速度和安全等方面边缘计算略胜一筹,但计算能力稍弱,不适合进行大规模的分析和决策,且信息是短期保存的,也不适合用来存储一些需要长期调用的数据。因此,边缘计算可以看成是云计算的补充和延伸。使用云计算进行长周期非实时的大数据计算,使用边缘计算进行短周期快速响应的本地计算,二者互补,就能解决传统云计算“最后一公里”的问题。对于电力场景这种垂直行业,信息的及时和安全传递是很重要的一环,而传统的基于云的系统过于集中化和平台化,因此为了保证电力终端接入的实时性和安全性,需要着力于建立基于云边协同计算的电力系统构架。
边缘计算将计算能力从云端下沉到数据源侧,在巡检机器人上集成数据存储、计算以及分析等能力。分离5G核心网的控制层和数据层,使得巡检机器人可以在本地处理大部分数据,只需将特殊节点(如故障点)的数据信息传送回云端,避免了海量信息同时传送造成的阻塞。云端作为大数据中心,通过终端回传的数据不断更新模型下沉到终端里,电网与终端整体构成了一个分布式的端云协同计算部署,云端可以处理汇总的数据并给出决策模型,终端可以在数据源一侧快速响应环境的变化,非常适合电力这种对速度和安全有需求的领域。边云一体的计算构架如图1所示。
图1 边云协同计算的整体构架
终端提供存储、计算以及网络连接等功能的同时,其安全问题也日益突出[8]。安全可信接入是指终端设备能够安全地接入内网中,抵御路径上的恶意攻击并进行信息交互[9]。由于终端设备数量众多、类型多样且接入方式灵活,而且一般采用无线通信技术进行传输,终端与网络接口属于开放性接口,因此很容易被攻击,造成数据泄露和信息盗取等危害。因此,需要完善和改进接入的认证方案,保证终端设备能够安全的接入内网[10]。
成立于2003年的可信计算组织TCG致力于通过硬件自底向上的实现信任计算和安全接入。除了保证终端计算环境的可信,还要扩展到网络,建设可信的网络计算环境[11]。可信网络连接TNC以终端为出发点,提出将可信计算机制引入网络,使网络成为可信的计算环境。这从理论上和从技术上都十分满足解决网络可信问题的需求[12]。
在电力场景下,接入终端设备数量巨大,且不断有终端接入或断开连接。在电力终端接入过程中,终端、传输通道以及应用系统都有可能会带来安全隐患[13]。电力企业中应用较为广泛的终端,如巡检机器人和PDA等,便于在恶劣环境下进行监控,但在物理、系统以及存储等方面都面临着威胁。如已经接入内网的终端一旦丢失或被入侵,很容易泄露机密数据,为电力企业带来重大损失[14]。在传输过程中,终端和内网要进行大量的信息交互,同时由于移动终端的特点,交互方式多采用无线通信技术。但这种方式开放性高,传输通道可能被破坏,数据信息可能被窃听和截获[15]。此外,应用系统的安全性也很重要,在通信过程中要保证实时监控,防止账户被窃取,信息暴露。为了满足这些接入要求,在终端安全可信接入技术上引入移动边缘计算技术,将计算能力下沉到本地,解决终端的身份认证问题,在电力系统中实现终端的高可靠和高安全接入[16]。
在终端侧集成终端接入管理装置。该装置可以控制终端的身份管理、接入权限以及接入方式等,并与云端数据中心协同,在终端设备侧完成身份验证和连接等程序,及时响应终端请求,并将风险限制在可控范围内。终端安全可信接入部署构架如图2所示。
图2 终端安全可信接入部署
一种基于用户行为的电力终端安全可信接入方法如图3所示。除了验证身份和平台完整性外,还会实时地收集用户行为信息,间隔性地查验判断用户身份和行为,一旦发现异常,立刻切断与终端的连接,从而保证系统的实时安全和可靠性。
图3 电力终端安全可信接入方法
随着5G网络和智能电网的建设,无线终端设备被广泛应用。为了解决海量设备接入带来的速度、时延以及安全等方面的问题,本文提出了一种针对电力终端设备的计算部署和接入构架。将边缘计算引入到传统的云中心计算模式,结合电力终端介绍了一种面向电力业务的低时延、高可靠、多连接、强安全以及结构汇聚的云边协同计算部署框架,将可信计算机制引入网络,利用边缘计算的特点在终端侧验证身份,保障了终端接入的安全性,进而提高了整个系统的安全性。虽然5G建设还在起步阶段,并不能完全体现该构架的特点,如低时延等。但相信随着5G技术的不断成熟,该技术能真正投入使用,更加精确、快速以及安全地处理海量终端设备的数据,实现安全可信接入。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!