王志男

國電南京自動化股份有限公司 江蘇 南京 211100

引言

在傳統(tǒng)的電網(wǎng)系統(tǒng)方案中，主備機(jī)切換主要通過在機(jī)器間傳播代表本機(jī)節(jié)點(diǎn)進(jìn)程運(yùn)行狀態(tài)的心跳來體現(xiàn)節(jié)點(diǎn)是否正常工作。當(dāng)心跳停止時(shí)備機(jī)進(jìn)程激活，承擔(dān)相關(guān)工作。由于進(jìn)程的特殊性，進(jìn)程心跳判斷進(jìn)程狀態(tài)是不盡合理的，如進(jìn)程可能在某些資源死鎖的情況下依然存在心跳，但此時(shí)已經(jīng)影響了系統(tǒng)正常運(yùn)行。

1 可信網(wǎng)絡(luò)連接

可信計(jì)算[2]認(rèn)為，當(dāng)實(shí)體按照設(shè)計(jì)者預(yù)期運(yùn)行時(shí)即為可信，而實(shí)體在特定條件下的狀態(tài)都是可預(yù)期的。TNC基本架構(gòu)是基于可信計(jì)算思想，通過將本節(jié)點(diǎn)運(yùn)行狀態(tài)的特征值加工為不可偽造、不可篡改的信任信息發(fā)送給目標(biāo)節(jié)點(diǎn)，目標(biāo)節(jié)點(diǎn)按照預(yù)期特征值在本節(jié)點(diǎn)同樣生成一份信任信息，將兩者作比較。若信任信息相符，目標(biāo)節(jié)點(diǎn)認(rèn)定該節(jié)點(diǎn)可信。當(dāng)域內(nèi)節(jié)點(diǎn)都彼此認(rèn)定通過后，認(rèn)為實(shí)現(xiàn)節(jié)點(diǎn)間互信。對于一次可信網(wǎng)絡(luò)連接，分為請求者（AR）、策略執(zhí)行點(diǎn)（PEP）、策略決定點(diǎn)實(shí)體（PDP）。請求者這一實(shí)體，又可以按照所屬層次由下向上劃分為三層：網(wǎng)絡(luò)訪問請求者（NAR）是具體的網(wǎng)絡(luò)請求發(fā)出者，申請建立網(wǎng)絡(luò)連接；TNC客戶端（TNCC）是請求者內(nèi)部對信任信息的總管理者，它負(fù)責(zé)收集和使用來自完整性度量收集器（IMC）的信任信息；IMC測量請求者內(nèi)各個(gè)組件，測量內(nèi)容包括但不限于組件資源、組件數(shù)據(jù)、組件內(nèi)可執(zhí)行程序等，IMC通過其他機(jī)制可以有效防止外部對生成信任信息的干擾。目標(biāo)節(jié)點(diǎn)作為PDP包括由下向上的三個(gè)與請求者層次相對應(yīng)的組件，網(wǎng)絡(luò)訪問授權(quán)者（NAA）對請求者的網(wǎng)絡(luò)訪問請求進(jìn)行決策。NAA可以咨詢上層的可信網(wǎng)絡(luò)連接服務(wù)器（TNCS）來判斷請求者的信任信息是否與既定的安全策略一致，從而決定請求是否被允許；TNCS負(fù)責(zé)與TNCC之間的同層通信，并讀取來自完整性度量驗(yàn)證器（IMV）的驗(yàn)證結(jié)果，綜合研判后傳遞給NAA；IMV對傳遞過來的請求者各組件的信任信息進(jìn)行驗(yàn)證。在可信網(wǎng)絡(luò)連接中，PEP扮演了AR與PDP間的中間人，以及網(wǎng)絡(luò)連接的決策執(zhí)行人。

2 方案思想

本文提出的方案基于TNC結(jié)構(gòu)，在機(jī)器節(jié)點(diǎn)中統(tǒng)一配置對應(yīng)的網(wǎng)絡(luò)接入判定實(shí)體，同時(shí)為避免中間人PEP轉(zhuǎn)發(fā)等環(huán)節(jié)帶來的通信負(fù)擔(dān)和降低其作用，在本方案中省去了中間環(huán)節(jié)。方案思想上，將處理包括進(jìn)程心跳、資源占用、環(huán)境狀態(tài)等能真實(shí)反映節(jié)點(diǎn)狀態(tài)關(guān)鍵信息的信任度量方法對應(yīng)于IMC，從多方角度衡量進(jìn)程是否正常工作，對應(yīng)各進(jìn)程生成各自特征值。TNCC使用從IMC獲知的特征值作為信任信息，實(shí)現(xiàn)與對端同層的信任信息交互事務(wù)。這里的對端既可以包括承擔(dān)相同角色的主備機(jī)，也可以包括其他需要接受主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)的其他職能機(jī)器。比如在一般的電網(wǎng)主站系統(tǒng)中，SCADA主服務(wù)器需與備服務(wù)器發(fā)送心跳報(bào)文，同時(shí)，主服務(wù)器需將嵌入式終端上送的部分采集信息進(jìn)行轉(zhuǎn)發(fā)，主服務(wù)器進(jìn)程是否正常工作，既影響備服務(wù)器進(jìn)程是否喚醒，也影響系統(tǒng)內(nèi)其他機(jī)器節(jié)點(diǎn)是否認(rèn)可轉(zhuǎn)發(fā)數(shù)據(jù)。網(wǎng)絡(luò)層的對應(yīng)關(guān)系則具體到涉及數(shù)據(jù)交互的應(yīng)用進(jìn)程級別，在不同的應(yīng)用實(shí)現(xiàn)中會采用廣播、TCP等多種不同方式，這里不做具體分析。對端TNCS處理將信任信息解析，由IMV參考正常運(yùn)行下的標(biāo)準(zhǔn)特征值對比信任信息，由此對請求者做出響應(yīng)。

3 方案實(shí)現(xiàn)

下面以主備冗余場景說明一次典型的網(wǎng)絡(luò)連接步驟：

（1）在進(jìn)行網(wǎng)絡(luò)連接前，需要確保本節(jié)點(diǎn)和對端雙方的連接狀態(tài)已經(jīng)初始化，內(nèi)容包括基本的節(jié)點(diǎn)間通信，節(jié)點(diǎn)內(nèi)工作進(jìn)程正常工作，可信網(wǎng)絡(luò)連接組件正常運(yùn)行等。

（2）當(dāng)本節(jié)點(diǎn)中的組件因業(yè)務(wù)需求要加入某群體工作時(shí)，NAR需向NAA發(fā)送請求信息，申請NAA做出決策。在主備冗余場景中，主備機(jī)都可能各自扮演NAA和NAR的角色，在自身進(jìn)程為主運(yùn)行時(shí)向?qū)Ψ桨l(fā)出請求。對于使用廣播通信的業(yè)務(wù)，發(fā)送相關(guān)信息這一步驟也可能是同時(shí)向多個(gè)NAR發(fā)送請求。如，主機(jī)向數(shù)據(jù)下行方向其他節(jié)點(diǎn)廣播發(fā)送請求。

（4）如果NAR與NAA之間的用戶身份驗(yàn)證成功，則NAA通知TNCS收到一個(gè)連接請求。這里的用戶身份可以指代節(jié)點(diǎn)的當(dāng)前登錄用戶、操作用戶。

（5）TNCS和TNCC進(jìn)行平臺身份驗(yàn)證，證明各自當(dāng)前節(jié)點(diǎn)是否為合法節(jié)點(diǎn)或進(jìn)程實(shí)體，證明請求者有權(quán)限進(jìn)行業(yè)務(wù)操作。在應(yīng)用場景中為驗(yàn)證節(jié)點(diǎn)是否具備某些進(jìn)程的運(yùn)行條件。

（6）如果上一步的驗(yàn)證通過，TNCS通知上層的IMV進(jìn)行信任信息驗(yàn)證，從本地獲取各進(jìn)程預(yù)期特征值，同時(shí)通知IMC準(zhǔn)備提交相關(guān)信息。

（7）TNCC和TNCS交換由其上層IMC和IMV產(chǎn)生信任驗(yàn)證相關(guān)信息。架構(gòu)底層的NAR、NAA負(fù)責(zé)轉(zhuǎn)發(fā)，直到請求者的信任狀態(tài)滿足TNCS的要求。這一部分交互并沒有嚴(yán)格的先后順序，目的是實(shí)現(xiàn)TNCS對TNCC的信任驗(yàn)證。

（8）當(dāng)完成以上信任檢測后，TNCS將給NAA發(fā)送節(jié)點(diǎn)狀態(tài)驗(yàn)證結(jié)論，由NAA決定下一步計(jì)劃。在此，當(dāng)主機(jī)個(gè)別進(jìn)程狀態(tài)未通過信任驗(yàn)證時(shí)，備機(jī)將該進(jìn)程切換為主運(yùn)行。

4 結(jié)束語

本文提出了一種基于可信網(wǎng)絡(luò)連接架構(gòu)的適用于電網(wǎng)系統(tǒng)主備切換的狀態(tài)驗(yàn)證方案。通過多元特征對主機(jī)運(yùn)行狀態(tài)做出評估，以此代替心跳作為其他節(jié)點(diǎn)驗(yàn)證狀態(tài)的依據(jù)。本文僅提出了方案，在實(shí)施中關(guān)鍵在于確定代表節(jié)點(diǎn)運(yùn)行狀態(tài)的特征值。該特征值為了滿足限定，需要是嚴(yán)格且靈活的，這是進(jìn)一步的研究方向。