(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111593913.5 (22)申请日 2021.12.24 (71)申请人 国网福建省电力有限公司 地址 350003 福建省福州市 鼓楼区五四路 257号 申请人 国网福建省电力有限公司泉州供电 公司　 国网信通亿力科技有限责任公司 (72)发明人 陈端云　陈泽文　李元九　张宏坡　 李毅靖　张翔　林彧茜　谢石木林 　 李俊　林明福　颜泗海　吴冠雄　 汤泽毅　粘为帆　刘旭杰　张宁　 蔡伟洲　颜巧玲　钟育庆　许倩　 (74)专利代理 机构 福州元创专利商标代理有限 公司 35100 代理人 陈明鑫　蔡学俊(51)Int.Cl. H04W 12/122(2021.01) H04W 12/121(2021.01) H04W 12/128(2021.01) H04W 12/60(2021.01) H04W 12/08(2021.01) H04W 12/084(2021.01) H04W 12/086(2021.01) H04W 12/06(2021.01) H04W 12/69(2021.01) H04W 12/37(2021.01) G06Q 10/06(2012.01) G06Q 50/06(2012.01) H04L 9/40(2022.01) (54)发明名称 一种基于5G的电力调控业 务安全通信方法 (57)摘要 本发明涉及一种基于5G的电力调控业务安 全通信方法。 通过构建5G网络承载电力调控业务 的整体网络安全防护体系， 掌握调控业务中终端 本体安全、 身份认证、 传输通道安全、 网络切片安 全、 系统整体可靠性安全等网络安全防护关键技 术， 提出调控业务终端、 通道、 切片安全实现机 制， 完善身份认证体系， 提升调控业务5G网络安 全防护水平。 权利要求书3页 说明书11页 附图9页 CN 114302402 A 2022.04.08 CN 114302402 A 1.一种基于 5G的电力调控业 务安全通信方法， 其特 征在于， 包括如下步骤： （1） 建立基于 5G网络的电力零信任安全架构模型 构建满足电力业务安全需求的零信任技术架构， 包括访 问主体、 访问客体、 身份认证/ 访问策略、 可信代理、 动态访问控制引擎、 信任评估引擎、 可信环境感知和 5G网络安全监测 平台/其他网络安全分析平台； 其中， 信任评估引擎、 动态访问控制引擎、 可信代理构成基于 5G网络的电力业 务安全访问代理网关， 是零信任技 术架构的核心组件； 在电力网络环境中实施零信任技术 时， 作为访问客体的电力终端和作为访问主体的服 务端与零信任设备的通信通道有零信任数据 平面和零信任控制平面两个独立的通道； 电力 终端的正常业务数据经可信代理通过零信任数据平面访问服务端， 在经过可信代理设备 时， 需要通过信任评价并获得授权； 信任评估引擎则通过零信任控制平面从电力终端、 服务 端及5G网络安全监测平台/其他网络安全分析平台获得的包括状态信息、 日志记录、 行为记 录对服务端进行风险评估； （2） 构建应用层接入到边 缘计算节点的安全认证与授权 机制 以零信任为核心的泛在身份管理平台基于身份保障5G网络边缘计算设施的环境可信、 身份可信和行为可信； 在 泛在身份模型的基础上， 开 发泛在身份管理平台， 包括统一身份中 心、 统一身份认证中心、 统一授权与访问控制中心和统一行为审计中心； 其中， 统一身份中心， 实现泛在身份管理的能力， 为包括人/组织、 物/设备、 域/ 网络、 应用/服 务和数据的各类对象赋予身份， 身份是由包括标识、 凭据和 属性的要素组成的； 统一身份认证中心， 负责存放与认证相关的包括用户口令、 生物特征、 令牌、 票据的信 息， 以及负责管理复杂场景 的认证方式， 包括加强认证、 协同认证、 多因素认证的复杂场景 的认证； 统一授权与访 问控制中心， 在实 际业务场景中， 每一个业务动作都有管理、 使用、 审计 三个基本的操作层面， 需要独立规划权限， 最小化操作粒度， 并且单独实现访问控制； 然后 创建授权模型和管理模型， 通过权限管理模型实现 “管理、 使用、 审计 ”三权分立， 通过细粒 度的独立规划， 用创建的权限授权模型实现业务访问以及业务互斥实现对 具体业务资源的 操作， 包括访问权限内可以访问到的数据； 统一行为审计中心， 承担数据分析以及审计报告的功能， 是泛在身份管理平台的支撑 模块， 其功能包括用户行为审 计、 认证审 计、 管理审 计、 异常行为审 计、 合规性审 计以及审 计 报告可视化； （3） 构建5G调控业 务通道安全实现机制 5G调控业务通道安全实现机制包括5G调控业务终端安全实现机制、 5G切片边界安全防 护技术、 切片智能安全技 术， 其中， 1） 5G调控业 务终端安全实现机制 研究调控业务终端物 理安全防护手段， 对各类设备及系统 的安全进行问题分析和风险 进行预判， 以规避出现严重的电网事故； 研究基于FIDO协议的5G调控业务服务器端对终端 的安全认证协 议和研发适于调控业务 终端使用的FIDO协 议客户端 软件； 研究适用于调控业 务的芯片级加密认证技术， 终端采用国密硬件加密技术， 实现数据的高强度加 解密和强身 份认证功能； 研究以机器学习为中心的5G智能电网与恶意网络攻击的内联特征发现模型， 构建基于生成对抗网络的迁移学习 方案， 实现较高的攻击检测准确 率； 研究5G调控业务中权　利　要　求　书 1/3 页 2 CN 114302402 A 2终端身份合法性认证的问题， 通过构建场景自适应的复合身份指纹以及相应的认证机制， 验证调控终端的身份合法性， 实现无线接入端的安全防护； 研究数据隔离交换控制机制， 控 制业务终端数据交换行为， 保证数据交换的安全性； 研究终端操作系统崩溃预防、 病毒防护 和快速启动三项安全功能， 实现终端操作系统安全防护； 最 终构建适应五个维度的5 G+智能 电网调控业 务终端安全实现机制； 2） 5G切片边界安全防护技 术 研究电力与其他行业及个人用户通信业务之间切片边界 防护技术； 针对电力不同分区 业务之间的切片， 从接入网、 承载网和核心网三个层面分别研究不同的切片边界安全防护 技术； 3） 切片智能安全技 术 切片智能安全技术， 针对5G云切片网络在包括用户标识安全性、 数据机密性与完整性、 网络功能可用性方面的安全威胁行为， 设计基于电力调控业务模型 的异常行为检测方法； 从包括切片网络请求参数响应、 异常行为和知识库的多个维度抽取会话特征， 实现基于强 化学习的云切片网络异常行为 准确识别和检测； （4） 通过5G业 务流量的主动测量和被动测量 技术实现安全监测 1） 主动测量 技术 首先根据测试目的完成测量目标选择； 基于目标选择进行测量数据包构造， 完成测试 依托协议的选择， 并根据所选择 的协议设计协议数据包中的相关参数； 根据协议需要设计 测试接入方法， 完成接入点选择和接入信息配置； 与被测网元或链路完成接口调接联通； 随 后实施并监控具体测试过程； 完成测量结果输出与分析； 最后对主动测 量过程的附加网络 性能开销进行分析； 2） 被动测量 技术研究 首先根据测试目的完成测量目标选择； 基于测量目标的选择选取适当的探针技术， 完 成探针的构造； 根据目标节点特性设计探针布设方法， 完成具体的探针布设点选择和探针 布设的实施； 对探针进行调试； 随后实施并监控具体测试 过程； 完成测量结果输出与分析； 3） 基于流 量监测的5G切片安全管控 从多维度分析5G切片承载的各种电力业务的流量特征， 构建电力业务5G切片典型流量 特征库； 研究基于流量等多源信息的5G切片安全风险评估技术； 研究满足电力业务安全防 护需求的5G切片安全策略。 2.根据权利要求1所述的一种基于5G的电力调控业务安全通信方法， 其特征在于， 电力 终端在接入5G网络后， 应同时接入2个网络切片， 一个切片作为零信任数据平面， 用于正常 的数据通信， 承载正常业务数据； 另外使用一个切片作为零信任控制平面， 传输电力终端包 括状态信息、 日志 记录、 行为记录的信息 。 3.根据权利要求1所述的一种基于5G的电力调控业务安全通信方法， 其特征在于， 在权 限管理模型中， 对应划分人、 角色和资源三种对象， 并做分类分级， 分类是指： 从业务的角度 对人、 角色、 资源进 行管理、 使用、 审 计分类， 即人员分为管 理类人员、 业务类人员、 审 计类人 员， 依此类 推， 角色和资源也做相同的分类； 分级是指： 每一类里面又进行分级。 4.根据权利要求1所述的一种基于5G的电力调控业务安全通信方法， 其特征在于， 实现 5G切片生产控制业务切片和管理信息业务切片间的物理隔离， 以及各大区物理切片内不同权　利　要　求　书 2/3 页 3 CN 114302402 A 3