国网新疆电力有限公司信息通信公司 胡美慧 孙若寒 郭新营 曹进平

电力企业中的电网核心业务在实施的过程中需要展开可信身份认证，这是非常基础的电网应用业务，通常会将自顶向下、自底向上这两种方法结合完成场景识别，再采用交叉分类法分类业务场景所具备的身份认证功能，获得电网核心业务可信身份认证需求呈现出来的共性与个性特点。对于多场景背景下的电力用户动态行为，必须要组建结构完善的可信身份认证框架体系，通过应用场景技术验证保证业务安全。

1 电网核心业务可信身份认证框架体系内容

典型应用场景。结合现有文献资料的研究与分析，采用自顶向下与自底向上等手段，可以深入分析电网核心业务的所有应用场景。充分考虑基建、运检、营销等业务范畴，将可信身份认证的基本要求进行整理，可以生成内容完善的分析报告[1]。

可信身份认证风险防范。按照应用场景提出的安全要求展开电网核心业务可信身份认证模型的分析，制定多重安全防护方案，例如人证结合、白名单认证与网络实名认证；结合应用场景与业务流程特征设计应用场景，采用“云+端”认证技术、组合认证技术，将其与可信身份认证模式相结合验证电网核心业务，保证电力系统运行稳定性。

2 框架体系结构

可信基础。电网核心业务可信身份认证框架体系内部的可信基础为基础信任源，也是信任链传递的初始环节，体系中的所有信任活动均是在该基础中向上层延伸。电网核心业务身份认证流程比较繁琐，期间涉及到多种身份信息的配置，最终构建可信身份认证主体要素模型。

可信支撑。框架体系中的可信支撑主要是作为支撑平台发挥作用具备诸多功能，例如生物识别、身份加密与大数据分析。在信任分类评价体系的支持下可以展开可信服务层的分级与分类信任操作，使可信服务具备多层次与多场景等特征[2]。

可信服务。即能够用于传递的信任凭证。可信支撑层签发作为电力系统的身份凭证具有经济性、可接受度高的优势，构建信任链可完成身份认证、系统访问控制、访问行为安全审计与分析等操作，从基建、运检、营销等层面提供针对性的信任服务，使业务覆盖空间范围更广、可信任度更高。

可信应用。不同类型应用系统在电网核心业务可信身份认证服务模式的支持下会形成功能丰富的应用服务，即可信应用，包括基建类、运检类、安监类、营销类、后勤类、信通类等应用[3]。其中运检类应用是指变电站的出入管理过程中巡检工作人员实施的可信全过程管理；安监类应用是针对一些重大活动而言，负责工作人员可信安全管理；营销类应用是指现代化电网核心业务中，工作人员的可信身份认证与移动支付可信身份认证操作。

服务用户。服务电网核心业务可信身份认证在实际应用中是以服务用户的形式加以体现，例如电力企业的职工、客户都是可信服务实施可信应用操作的实体对象。互联网环境下，对于相关身份与行为信息不仅要加强安全性，还要使一些关键业务无法抵赖，这是构建电网核心业务可信身份认证框架体系的重要内容之一。

监管与安全制度。是保证电网核心业务可信认证框架体系稳定运行的前提，其中包括诸多规范与制度，例如电力企业核心业务主管部门监督、安全机制构建等，其目的是规避身份信息被盗等安全问题，提高电力企业信息安全能力。

3 电网核心业务可信身份认证框架体系设计方案

3.1 绘制技术路线图

针对电力企业先行可信身份认证框架体系、电网核心业务身份认证进行分析，建议将框架体系和电网核心业务有机融合，明确今后电网核心业务可信身份认证框架体系的优化目标。鉴于此，工作人员需构建电网核心业务可信身份认证框架模型，研发新型针对电网核心业务的可信身份认证服务形式，最终获得结构完善的框架体系结构。具体实施过程中建议划分为几个流程：

全面、深入的采集电网核心业务身份认证信息，制定信息采集方案，在电网核心业务身份认证基本情况的基础上分析优化设计方向，使框架体系的构建有充足的数据支持[4]；针对可信身份认证对象，选择合适的要素识别方式，并且按照可信身份认证要求构建主体要素模型。期间需要与电网核心业务特征相结合，从可信身份认证技术、建模、服务模式等几个角度展开深入分析，确定当前电力企业中采用的身份认证框架体系存在不足，制定内容完整的优化方案；根据得出的优化制定不同的模式，具体可从身份量化模型、身份鉴别模型、隐私保护模型、云服务模式、端服务模式、云+端混合服务模式中做出选择。将选择的模型作为框架体系架构的重要内容，立足于整体优化设计电力系统，提高框架体系的应用服务水平。

当确定以上内容之后，所有涉及到的研究内容之间相互结合便可组成一个有机整体，从而形成电网核心业务可信身份认证框架体系研究技术路线图。工作人员采集、整理电网核心业务身份认证的需求信息作为选择关键主体要素识别方式的依据，进而完成建模。参考电网核心业务特征，完成移动设备、专用设备等可交互终端采用指纹芯片、二维码授权身份识别与授信技术，根据法定身份提出网络身份副本认证方案，基于时间、空间与行为等特征分析，采用按需授信技术完成可信身份认证，保证电网核心业务可信身份认证框架体系的系统性，以此获得理想的体系架构顶层设计成果[5]。

3.2 制定技术方案

针对电力企业中的电网核心业务深入剖析，整理身份认证信息，将其归纳到可信身份认证框架体系中，总结框架体系在企业中运行存在的优势与不足，同时判断框架体系的适用性。期间需要结合身份认证操作流程与电网核心业务，构建新的电网核心业务可信身份认证框架体系，结合电力企业安全防护工作现状构建对应的可信身份认证框架模型，发挥可信身份认证服务功能优势提升业务水平。

优化电网核心业务可信身份认证框架体系，要从主体要素、信息技术、框架模型与服务模式等方面着手，采用现代化核心技术，处理电力系统数据，充分发挥出框架模型、服务模式所有的功能。其中主体要素包括电力企业的自外委与主业等工作人员的身份信息，信息技术是指电力系统身份认证的相关技术，如身份鉴别、生物特征加密、身份认证融合等，框架模型则包含身份量化、身份鉴别、隐私信息保护等，服务模式比较常用的有云服务模式与端服务模式等。

结合电网核心业务选择可信身份认证技术。为了保证电力企业信息、数据安全，工作人员需要采用可行的可信身份认证技术，准确识别身份信息。其一建议应用基于动态行为特征的风险账号防控技术，构建电力业务行为特征库与模型，通过可持续认证关键技术切实提高身份认证体系风险预控水平；其二建议应用以可交互终端为前提的身份识别与授信技术。针对移动设备与专用设备进行可交互终端，可以使用指纹新品与二维码授权身份识别、授信技术，采集可交互终端用户行为特征信息，制定身份认证方案；其三建议应用电力业务场景下动态身份安全认证技术，针对多维度用户幸福为特征进行安全认证，整理电力场景中的时间、空间与行为变换因素信息，提出满足用户需求的动态身份安全认证技术[6]。

除此之外，还可以使用隐私保护模型，在用户生物特征、匿名隐私保护、生物特征与数据失真隐私保护、生物特征与数据加密隐私保护多重方案的基础上，保证电力系统信息安全，有效兼容电网核心业务隐私信息。

解决可信身份认证服务问题。电力企业在选择服务模式中主要是以云服务模式、端服务模式、云+端混合服务模式为准。应用端服务模式需要有指定的业务场景与增强嵌入式系统运算、经过优化的生物特征识别算法相结合，将可信身份认证模块嵌入到前端设备中可减少传输数据量，降低系统后台存储压力，同时也可将电力系统中存在的单域可信身份认证问题解决；云服务模式适用于多业务场景，通过后台部署方式嵌入可信身份认证模块，将前端设备传输的身份数据信息作为管理重点，快速完成多个业务场景身份认证。期间参照行为记录信息可对用户访问行为进行预测，将跨域可信身份认证环节存在的问题及时解决；云+端混合服务模式可在所有电网核心业务场景中运用，突出体现云、端服务优势，防范跨应用可信身份认证风险。

电网核心业务可信身份认证框架体系在实际运行期间，一方面可以准确判定访问人员身份信息，另一方面也可以规避电力系统资源、数据泄露等问题，在企业内部构建功能齐全、结构完整的身份认证体系，实现电力资源信息的有效传输，从而有效提升电力企业管理水平。