电力大数据安全体系架构研究与应用

郭乃网苏 运瞿海妮杨洪山

（1.国网上海市电力公司电力科学研究院，上海 200437；2.星环信息科技（上海）有限公司，上海 200437）

电力大数据安全体系架构研究与应用

郭乃网1苏 运1瞿海妮1杨洪山2

（1.国网上海市电力公司电力科学研究院，上海 200437；2.星环信息科技（上海）有限公司，上海 200437）

随着电力系统智能化的不断深入，涵盖整个电力系统运行过程的信息系统已经逐步建立和发展，电力大数据将在电力系统的各个环节发挥重要的作用。由于电力大数据涉及大量的用户和企业资料，因此对信息安全具有较高的要求。本文针对大数据安全的关键点，采用建立完善的身份认证体系的方式，对用户权限进行了限制和保护，有效地确保了系统数据的安全。

电力系统；大数据安全体系；证书验证

电力大数据在电力行业未来发展中将发挥越来越重要的作用，其将贯穿于电力运行生产的各个环节中，并极大地推进电力行业的可持续性发展。而在大数据和互联网迅速发展的今天，数据信息已经成为重要的资源存在极大的价值，是经济和社会发展的无形动力。对于数据库访问安全的关键在于用户的身份认证和访问限制，因此，可以在服务器端和客户端的安全机制在组件中集成，把用户身份认证、访问限制、通道加密以及数据加密等安全操作在组件中封装，一方面确保应用系统访问接口的安全，另一方面实现用户身份确认和密码验证。本文通过权威的证书机构为用户证书进行颁发，通过数字证书对每个用户的合法性进行确认，并设立数个注册管理机构审核用户的访问申请，以确保请求及时受理。注册机构根据用户的职能对其权限进行控制，确保用户在有限权利范围内进行相关访问操作。从而确保系统数据的安全[1]。

1 大数据安全体系架构的设计

1.1 安全体系的整体结构

大数据安全访问体系的结构如图1所示。

图1 大数据访问安全体系的结构

本设计方案的核心在于证书服务中心，客户服务中心负责系统服务器、客户端服务器以及注册管理机构所有数字证书的颁发，同时进行证书的管理工作。服务器负责证书和数据的转发，客户端用户对数据库所有的访问职能通过服务器进行，证书的请求访问的结构也通过服务器返回到用户。证书服务中心和服务器代理存在于同一台服务器中，二者通过不同的端口号实现数据交换，其中的未加密数据不在网络中传送，因此服务器证书申请和证书的发放相对来说要简单且安全。

而在客户端有新用户需要对数据库进行访问操作时，需要首先由注册管理机构进行申请注册，注册管理机构把新用户的基本信息上传到证书服务中心，并且将服务中心分配的授权码发送给客户端用户，用户获得授权码后就可以进行数字证书的申请操作，当证书服务中心完成新用户合法性的审查后，用户则可获得合法的数字证书。客户端用户和服务器代理获得相应的数字证书后，就可在证书规定的权限范围内进行访问操作，而此期间的数据传输也会在安全通道中完成[2]。

由于进行数据访问的客户端用户可能分布在不同的地点，为方便用户的申请注册，因此在系统中会设立数个注册管理机构，规定范围内用户的申请注册由一个注册管理机构负责。为确保每个注册管理机构的合法性，证书服务中心会给每个注册管理机构颁发相应的数字证书和密钥，注册管理机构证书的申请过程通过离线方式进行。客户端用户、注册管理机构和证书服务中心之间的关系如图2所示。

图2 用户、注册管理机构、证书服务中心的关系

1.2 各部分结构的功能

1）注册管理机构部分

注册管理机构控制客户端用户的所有操作。注册管理机构的功能主要是负责新用户的账号设立、授权码授予、标志注册管理机构和角色，向证书服务中心申请用户信息的添加、删除。注册管理机构的功能结构图如图3所示。

图3 注册管理机构功能图

注册管理机构在运行之前要通过证书服务中性进行证书的下载安装，并在证书中进行证书公钥的提取，主要用于需要传送到证书服务中心的相关用户信息的加密。新用户通过注册管理机构建立独立的账号、授权码以及注册管理机构和角色标识。通过用户账号和密码，用户可以在证书服务中心进行证书下载。新用户利用授权码在证书服务中心申请数字证书。用户的名称、账号、密码、角色信息等内容首先通过注册管理机构的私钥签名，然后再通过证书服务中心公钥对数字签名和注册管理机构的账号进行加密，并发送到证书服务中心。证书的公钥加密可以确保发送的数据只能通过证书服务中心解密读取，从而确保了数据的安全性，而私钥签名确保消息来源注册机构的合法性。每个注册用户的惟一合法标识是授权码，它是用户进行证书申请的惟一合法标志。证书管理机构可以执行客户端证书的删除，在进行证书的删除时，注册管理机构将账号信息发送给证书服务中心，证书服务中心执行删除操作，注销相应的用户证书。

2）客户端用户部分

用户通过客户端用户模块向证书服务中心申请相应的证书，申请的证书和用户的私钥打包后由用户自己保存。客户端用户结构如图4所示。

图4 客户端用户结构

客户端用户也通过证书服务中心获取根证书，并在其中提取公钥，用于用户证书申请数据的加密。在数据上传之前需要通过证书进行用户身份确认。若用户在首次使用证书时已经成功申请了证书，则用户只需输入用户名和密码即可下载打包策略和用户私钥。

3）证书服务中心部分

证书服务中心在进行证书管理的同时，还要建立标准的索引文件，该索引用于证书的保存和用户信息的对应。每当生成新证书后，索引表会自动增加。用户的角色信息也会通过证书管理中心签名后和证书同时发送到客户端，从而避免非法用户登录以及用户的越权操作。证书服务中心和服务器代理在相同主机中，只要确保二者逻辑的独立即可。证书服务中心的管理功能如图5所示。

图5 证书服务中心管理功能结构

4）身份认证部分

在执行身份认证时，首先客户端用户和服务器端代理提取对方的数字证书，获得对方的公钥。客户端用户还需得到证书服务中心颁发的数字签名的角色[3]。

客户端用户和服务器端代理的认证过程为：

（1）客户端自动生产一个随机操作数，并执行操作数的签名，对摘要和签名通过服务器代理的公钥进行数据加密后，上传服务器代理。

（2）服务器代理收到数据后首先进行解密，在通过客户端的公钥进行签名验证。

（3）之后服务器代理把解密后的随机数通过公钥加密后回传客户端，客户端将回传数据进行解密并和随机数比较，二者相等则完成服务器代理的认证。

由于服务器代理可以用客户端的公钥对签名进行验证，所以可以对客户端进行认证，只有服务器代理可以对客户端的密文进行解密，因此客户端也可以对服务器代理进行认证。双方认证过程如图 6所示。

图6 用户和服务器端代理认证过程

图6中，N表示客户端用户自动生成的随机数；N′为用客户端用户公钥解密的数据结果；PKc和 SKc分别代表客户端用户公钥和私钥；PKs和 SKs分别为服务器端代理公钥和私钥。

在认证过程中，服务器端代理只承认证书服务中心认证的角色数字签名，从而避免用户非法定义角色。通过验证后，客户端用户获得有限的操作权限。

2 大数据安全体系架构的应用分析

电力系统中，包括实时监控系统、电能交易系统、自动调度系统等业务系统，需要大量的数据支持。为了确保相关业务中用户的身份认证和管理、重要数据的访问安全，可以应用文中的数据库安全访问方案确保数据安全。我们在某监控系统中加入该安全组件，采用数字证书进行客户端和服务器的身份认证。我们在同一台主机中用多个用户进行数字证书认证登录。用户通过认证后，可以在各自权限内进行操作，而各自的数据也是在安全通道中传输。可以看出安全组件的使用确保了用户身份的合法性和权限控制，同时也确保了数据的安全性。

3 结论

本文基于大数据数据安全管理的关键点出发，结合以往项目的实际应用，对大数据安全体系关键部分进行了研究和分析，相关技术在包括电力行业在内的多个行业内使用，并获得了比较满意的效果。但是其中仍有很多有关大数据安全的问题需要进一步的研究解决。信息安全在网络迅速发展的当下受到人们极大的关注，解决客户身份认证、权限控制和数据传输的加密和完整是数据访问的重点。相信经过不断的研究和改进，最终形成一套有效的安全管理体系，从而为电力大数据安全保驾护航。

[1]林大增,邵强.电力数据的采集及处理方法[J].科技风,2012(24):50.

[2]李熙春,姚伟刚,何志明.电力数据网络的应用与安全性[J].江苏电机工程,2008,27(3):8-10.

[3]李宁.分布式数据库系统中用户身份认证及访问控制研究[D].济南:山东大学,2005.

Research and Application of Power System Architecture for Large Data Security

Guo Naiwang1Su Yun1Zhai Haini1Yang Hongshan2
(1.Electric Power Science Research Institute of Shanghai Municipal Electric Power Company,Shanghai 200427;2.Xinghuan Mdt InfoTech Ltd,Shanghai 200427)

With the deepening of the power system intelligent and the running process of power system information system has gradually set up and development domains,the power of big data will in all aspects of power system play an important role.Because the power big data involves a large number of users and enterprise information,so it has higher requirements for information security.In this paper,the key point of large data security,the establishment of a perfect system of identity authentication,the user rights are restricted and protected,and effectively ensure the security of the system data.

power system;large data security system;certificate validation

郭乃网（1984-），男，江苏盐城人，硕士，工程师，主要从事大数据及信息安全工作。