一种基于5G切片网络的分布式配网保护方法及系统

技术领域

本申请涉及配电网信息处理领域，具体而言，涉及一种基于5G切片网络的分布式配网保护方法及系统。

背景技术

配电终端通常仅专注于保护和控制能力，普遍存在安全意识不到位、安全测试不充分等问题，内生安全极其缺失。在有线和专网环境下，终端的安全防护主要依赖于物理安全和分区隔离，在接入5G公网后，将面临来自网络内南北向和东西向的多种安全威胁，对其本体的安全防护能力是一个极大考验。

电力应用中存在终端主动向主站上报数据、主站向终端发起数据请求、终端和终端直接传递数据等多种不同的数据交互模式。终端在接入5G公网失去物理隔离和有线专网保护后，终端开启的网络监听端口将面临切片内部的东西向流量的威胁。

在5G切片环境下，电网作为使用单位难以采用自建专网的细粒度隔离来消除东西向安全隐患，运营商因不具备业务访问关系也无法有效提供东西向隔离，从而使得网络安全边界变得十分模糊。

因此，需要一种新的基于5G切片网络的分布式配网保护方法及系统。

在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本申请提供一种基于5G切片网络的分布式配网保护方法及系统，能够在不影响电力业务实时性的前提下，满足能源互联网海量智能终端的安全接入需求，助力电网向综合能源服务转型。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请的一方面，提出一种基于5G切片网络的分布式配网保护方法，该方法包括：基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略；在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证；在验证通过后为所述电力终端发放认证因子；根据所述认证因子，所述电力终端接入所述分布式配电网；分布式配电网对所述电力终端进行安全管理。

在本申请的一种示例性实施例中，基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略，包括：基于5G切片网络的划分准则将分布式配电网中的多个电力终端划分为多个切片网络；根据每个切片网络的网络特征生成其对应的验证规则；将每个切片网络中的验证规则和电力终端的基本信息生成所述验证策略。

在本申请的一种示例性实施例中，通过所述验证策略对所述电力终端进行验证，包括：零信任控制器通过所述验证策略对所述电力终端进行验证。

在本申请的一种示例性实施例中，零信任控制器通过所述验证策略对所述电力终端进行验证，包括：所述电力终端和所述零信任控制器建立双向TLS连接；基于双向TLS连接将所述验证策略发送至所述零信任控制器；所述零信任控制器根据所述验证策略进行安全验证。

在本申请的一种示例性实施例中，在验证通过后为所述电力终端发放认证因子，包括：所述零信任控制器对验证策略中的身份标识和可信度量参数进行验证；在验证通过后，为所述电力终端发放认证因子。

在本申请的一种示例性实施例中，根据所述认证因子，所述电力终端接入所述分布式配电网，包括：所述电力终端根据所述认证因子生成单包请求；将所述单包请求发送给5G网络中的用户平面功能模块；零信任网关对所述单包请求进行验证以使得所述电力终端接入所述分布式配电网。

在本申请的一种示例性实施例中，零信任网关对所述单包请求进行验证以使得所述电力终端接入所述分布式配电网，包括：零信任网关对所述单包请求进行验证；在验证通过后打开通道；根据所述通道所述电力终端接入所述分布式配电网。

在本申请的一种示例性实施例中，分布式配电网对所述电力终端进行安全管理，包括：分布式配电网控制零信任控制器对所述电力终端定时进行验证，以实现安全管理。

根据本申请的一方面，提出一种基于5G切片网络的分布式配网保护系统，该系统包括：策略设备，用于基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略；零信任控制器，用于在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证；在验证通过后为所述电力终端发放认证因子；零信任网关，用于根据所述认证因子，所述电力终端接入所述分布式配电网；配电网主站，用于对所述电力终端进行安全管理。

在本申请的一种示例性实施例中，配电网主站，还用于控制零信任控制器对所述电力终端定时进行验证，以实现安全管理。

根据本申请的一方面，提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上文的方法。

根据本申请的一方面，提出一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中的方法。

根据本申请的基于5G切片网络的分布式配网保护方法及系统，通过基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略；在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证；在验证通过后为所述电力终端发放认证因子；根据所述认证因子，所述电力终端接入所述分布式配电网；分布式配电网对所述电力终端进行安全管理的方式，能够在不影响电力业务实时性的前提下，满足能源互联网海量智能终端的安全接入需求，助力电网向综合能源服务转型。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

通过参照附图详细描述其示例实施例，本申请的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据一示例性实施例示出的一种基于5G切片网络的分布式配网保护方法的流程图。

图2是根据另一示例性实施例示出的一种基于5G切片网络的分布式配网保护方法的流程图。

图3是根据另一示例性实施例示出的一种基于5G切片网络的分布式配网保护系统的框图。

图4是根据一示例性实施例示出的一种基于5G切片网络的分布式配网保护系统的示意图。

图5是根据一示例性实施例示出的一种电子设备的框图。

图6是根据一示例性实施例示出的一种计算机可读介质的框图。

具体实施方式

现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本申请将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本申请的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本申请的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

应理解，虽然本文中可能使用术语第一、第二、第三等来描述各种组件，但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此，下文论述的第一组件可称为第二组件而不偏离本申请概念的教示。如本文中所使用，术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。

本领域技术人员可以理解，附图只是示例实施例的示意图，附图中的模块或流程并不一定是实施本申请所必须的，因此不能用于限制本申请的保护范围。

图1是根据一示例性实施例示出的一种基于5G切片网络的分布式配网保护方法的流程图。基于5G切片网络的分布式配网保护方法至少包括步骤S102至S108。

如图1所示，在S102中，基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略。可例如，基于5G切片网络的划分准则将分布式配电网中的多个电力终端划分为多个切片网络；根据每个切片网络的网络特征生成其对应的验证规则；将每个切片网络中的验证规则和电力终端的基本信息生成所述验证策略。

在S104中，在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证。零信任控制器可通过所述验证策略对所述电力终端进行验证。

更具体的，所述电力终端和所述零信任控制器建立双向TLS连接；基于双向TLS连接将所述验证策略发送至所述零信任控制器；所述零信任控制器根据所述验证策略进行安全验证。

在S106中，在验证通过后为所述电力终端发放认证因子。所述零信任控制器对验证策略中的身份标识和可信度量参数进行验证；在验证通过后，为所述电力终端发放认证因子。

在S108中，根据所述认证因子，所述电力终端接入所述分布式配电网。所述电力终端可根据所述认证因子生成单包请求；将所述单包请求发送给5G网络中的用户平面功能模块；零信任网关对所述单包请求进行验证以使得所述电力终端接入所述分布式配电网。

更具体的，零信任网关对所述单包请求进行验证；在验证通过后打开通道；根据所述通道所述电力终端接入所述分布式配电网。

在S110中，分布式配电网对所述电力终端进行安全管理。分布式配电网控制零信任控制器对所述电力终端定时进行验证，以实现安全管理。

根据本申请的基于5G切片网络的分布式配网保护方法，通过基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略；在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证；在验证通过后为所述电力终端发放认证因子；根据所述认证因子，所述电力终端接入所述分布式配电网；分布式配电网对所述电力终端进行安全管理的方式，能够在不影响电力业务实时性的前提下，满足能源互联网海量智能终端的安全接入需求，助力电网向综合能源服务转型。

应清楚地理解，本申请描述了如何形成和使用特定示例，但本申请的原理不限于这些示例的任何细节。相反，基于本申请公开的内容的教导，这些原理能够应用于许多其它实施例。

图2是根据另一示例性实施例示出的一种基于5G切片网络的分布式配网保护方法的流程图。图2所示的流程是对图2所示的流程的详细描述。

如图2所示，在S1中，零信任控制器准备就绪。

零信任控制器可主要包括三个模块：SDP控制器，用于对终端的快速身份鉴别与最小授权；SDP网关，实现串联模式下的数据转发与网络异常行为的高速检测；MEC流量探针，针对硬切片的场景，通过从数据交换设备旁路采集数据后实现网络异常行为的高速检测。

在S2中，5G电力终端与控制器建立双向TLS连接，并且发送可信度量参数。

在S3中，可信控制器如果判定5G电力终端的身份标识以及安全可信状态为合法，下发认证因子。

在S4中，5G电力终端根据认证因子生成单包请求(SPA)，发送给UPF。

在S5中，零信任网关验证SPA，并打开通道。

在S6中，5G电力建立到配电自动化主站的连接。

通过统一的零信任安全接入流程，建立了安全可靠的认证体系，并持续验证终端的可信和交互数据的可信，有效避免了海量设备接入导致的安全威胁。

本申请的基于5G切片网络的分布式配网保护方法，在电力业务场景运行过程中，实现各类5G电力终端(CPE)在部署和接入时，加强终端接入时对终端的保护，防止如电网USIM卡插入恶意终端从而导致USIM卡被滥用或恶意攻击电网等风险。

构建面向5G电力终端的零信任安全认证体系，基于统一密码服务平台建设物联网数字证书和可信根发布机制，对接和运用移动5G的MEC的开放功能，与5G电力终端联动，对接入的5G电力终端进行身份可信接入认证，保证边缘侧电力智能终端的接入安全，对边缘侧电力智能终端威胁风险进行收敛和阻断，保证电力业务的安全。如下图所示，只有经过零信任控制器认证后，5G电力终端才能通过由MEC终端的UPF与配电自动化主站建立联接。

本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时，执行本申请提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中，该存储介质可以是只读存储器，磁盘或光盘等。

此外，需要注意的是，上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

下述为本申请装置实施例，可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

图3是根据一示例性实施例示出的一种基于5G切片网络的分布式配网保护系统的示意图。如图3所示，基于5G切片网络的分布式配网保护系统包括：策略设备302，零信任控制器304，零信任网关306，配电网主站308。

策略设备302用于基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略；策略设备302还用于基于5G切片网络的划分准则将分布式配电网中的多个电力终端划分为多个切片网络；根据每个切片网络的网络特征生成其对应的验证规则；将每个切片网络中的验证规则和电力终端的基本信息生成所述验证策略。

零信任控制器304用于在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证；在验证通过后为所述电力终端发放认证因子；零信任控制器304还用于通过所述验证策略对所述电力终端进行验证。所述电力终端和所述零信任控制器建立双向TLS连接；基于双向TLS连接将所述验证策略发送至所述零信任控制器；所述零信任控制器根据所述验证策略进行安全验证。

零信任网关306用于根据所述认证因子，所述电力终端接入所述分布式配电网；零信任网关306还用于所述电力终端根据所述认证因子生成单包请求；将所述单包请求发送给5G网络中的用户平面功能模块；零信任网关对所述单包请求进行验证以使得所述电力终端接入所述分布式配电网。

配电网主站308用于对所述电力终端进行安全管理。配电网主站308还用于控制零信任控制器对所述电力终端定时进行验证，以实现安全管理。配电网主站308还用于控制零信任控制器对所述电力终端定时进行验证，以实现安全管理。

根据本申请的基于5G切片网络的分布式配网保护系统，通过基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略；在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证；在验证通过后为所述电力终端发放认证因子；根据所述认证因子，所述电力终端接入所述分布式配电网；分布式配电网对所述电力终端进行安全管理的方式，能够在不影响电力业务实时性的前提下，满足能源互联网海量智能终端的安全接入需求，助力电网向综合能源服务转型。

通过对配电网5GMEC设备进行5GCPE零信任模组改造，构建面向5G电力终端的零信任安全认证体系，基于统一密码服务平台建设物联网数字证书和可信根发布机制，对接和运用移动5G的MEC的开放功能，与5G电力终端联动，对接入的5G电力终端进行身份可信接入认证，保证边缘侧电力智能终端的接入安全，对边缘侧电力智能终端威胁风险进行收敛和阻断，保证电力业务的安全。如图4所示，只有经过零信任控制器认证后，5G电力终端才能通过由MEC终端的UPF(用户平面功能)与配电自动化主站建立联接。

为了满足不同业务场景的网络传输以及服务计算的时延性要求，本申请通过核心网下发用户面到5G边缘计算MEC环境中，实现在严格遵守3GPP的标准背景前提下，通过编排5G开放能力，实现以下开放能力：

1、安全接入：在身份认证过程中可以通过MEP开放的认证鉴权能力、提供的用户标志能力、位置定位能力等认证状态信息进行二次身份认证业务开发；

2、持续信任评估：MEP支持通过开放的N6接口获取用户面的流量数据日志，和流量数据分析，实现零信任控制器持续信任评估等工作；

3、微隔离：MEP支持通过连接增强的路由控制功能，实现将业务流路由至零信任的SDP应用服务中；

4、动态访问控制，可通过MP1接口去激活/去活DNS/Traffic策略等规则，实现危险访问终止会话、正常业务访问权限最小化等能力。

通过在5G智能终端内轻量化部署安全可信代理，在电力专享MEC环境下MEP上部署零信任相关组件，在应用上通过N6镜像采集相关业务流量，并和运营商通过NEF进行终端认证信息以及零信任安全分析结果等的交互，从而通过多边协同实现从5G电力终端安全接入、东西向微隔离、动态持续信任评估、5G开放能力编排等维度建设5G电力边缘侧典型业务场景的安全防护体系。

根据本申请的基于5G切片网络的分布式配网保护系统，建设基于零信任的海量5G终端+MEC+自动化主站的多边协同全场景安全管控生态体系：项目对每平方公里百万连接，通过5G公网接入自动化主站的5G终端进行安全能力改造，并和边缘MEP平台开放能力进行结合，实现对低时延敏感的电网5G业务终端的安全可信接入，终端的本体安全防护和最小化权限动态业务访问控制，最终实现对电网控制类业务、采集类业务、移动应用类业务和以多站融合为代表的电网新型业务等具体应用场景的零信任安全赋能，满足能源互联网海量智能终端的安全接入需求，助力电网向综合能源服务转型。

图5是根据一示例性实施例示出的一种电子设备的框图。

下面参照图5来描述根据本申请的这种实施方式的电子设备500。图5显示的电子设备500仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图5所示，电子设备500以通用计算设备的形式表现。电子设备500的组件可以包括但不限于：至少一个处理单元510、至少一个存储单元520、连接不同系统组件(包括存储单元520和处理单元510)的总线530、显示单元540等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元510执行，使得所述处理单元510执行本说明书中描述的根据本申请各种示例性实施方式的步骤。例如，所述处理单元510可以执行如图1，图2中所示的步骤。

所述存储单元520可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)5201和/或高速缓存存储单元5202，还可以进一步包括只读存储单元(ROM)5203。

所述存储单元520还可以包括具有一组(至少一个)程序模块5205的程序/实用工具5204，这样的程序模块5205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线530可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备500也可以与一个或多个外部设备500’(例如键盘、指向设备、蓝牙设备等)通信，使得用户能与该电子设备500交互的设备通信，和/或该电子设备500能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口550进行。并且，电子设备500还可以通过网络适配器560与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。网络适配器560可以通过总线530与电子设备500的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备500使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，如图6所示，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本申请实施方式的上述方法。

所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该计算机可读介质实现如下功能：基于5G切片网络的划分准则为每个切片网络中的电力终端生成验证策略；在电力终端接入分布式配电网之前，通过所述验证策略对所述电力终端进行验证；在验证通过后为所述电力终端发放认证因子；根据所述认证因子，所述电力终端接入所述分布式配电网；分布式配电网对所述电力终端进行安全管理。

本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中，也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施例的方法。

以上具体地示出和描述了本申请的示例性实施例。应可理解的是，本申请不限于这里描述的详细结构、设置方式或实现方法；相反，本申请意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。