基于可信网络连接的电网系统节点状态验证方案探究

王志男

国电南京自动化股份有限公司 江苏 南京 211100

引言

在传统的电网系统方案中，主备机切换主要通过在机器间传播代表本机节点进程运行状态的心跳来体现节点是否正常工作。当心跳停止时备机进程激活，承担相关工作。由于进程的特殊性，进程心跳判断进程状态是不尽合理的，如进程可能在某些资源死锁的情况下依然存在心跳，但此时已经影响了系统正常运行。

1 可信网络连接

可信计算[2]认为，当实体按照设计者预期运行时即为可信，而实体在特定条件下的状态都是可预期的。TNC基本架构是基于可信计算思想，通过将本节点运行状态的特征值加工为不可伪造、不可篡改的信任信息发送给目标节点，目标节点按照预期特征值在本节点同样生成一份信任信息，将两者作比较。若信任信息相符，目标节点认定该节点可信。当域内节点都彼此认定通过后，认为实现节点间互信。对于一次可信网络连接，分为请求者（AR）、策略执行点（PEP）、策略决定点实体（PDP）。请求者这一实体，又可以按照所属层次由下向上划分为三层：网络访问请求者（NAR）是具体的网络请求发出者，申请建立网络连接；TNC客户端（TNCC）是请求者内部对信任信息的总管理者，它负责收集和使用来自完整性度量收集器（IMC）的信任信息；IMC测量请求者内各个组件，测量内容包括但不限于组件资源、组件数据、组件内可执行程序等，IMC通过其他机制可以有效防止外部对生成信任信息的干扰。目标节点作为PDP包括由下向上的三个与请求者层次相对应的组件，网络访问授权者（NAA）对请求者的网络访问请求进行决策。NAA可以咨询上层的可信网络连接服务器（TNCS）来判断请求者的信任信息是否与既定的安全策略一致，从而决定请求是否被允许；TNCS负责与TNCC之间的同层通信，并读取来自完整性度量验证器（IMV）的验证结果，综合研判后传递给NAA；IMV对传递过来的请求者各组件的信任信息进行验证。在可信网络连接中，PEP扮演了AR与PDP间的中间人，以及网络连接的决策执行人。

2 方案思想

本文提出的方案基于TNC结构，在机器节点中统一配置对应的网络接入判定实体，同时为避免中间人PEP转发等环节带来的通信负担和降低其作用，在本方案中省去了中间环节。方案思想上，将处理包括进程心跳、资源占用、环境状态等能真实反映节点状态关键信息的信任度量方法对应于IMC，从多方角度衡量进程是否正常工作，对应各进程生成各自特征值。TNCC使用从IMC获知的特征值作为信任信息，实现与对端同层的信任信息交互事务。这里的对端既可以包括承担相同角色的主备机，也可以包括其他需要接受主机转发数据的其他职能机器。比如在一般的电网主站系统中，SCADA主服务器需与备服务器发送心跳报文，同时，主服务器需将嵌入式终端上送的部分采集信息进行转发，主服务器进程是否正常工作，既影响备服务器进程是否唤醒，也影响系统内其他机器节点是否认可转发数据。网络层的对应关系则具体到涉及数据交互的应用进程级别，在不同的应用实现中会采用广播、TCP等多种不同方式，这里不做具体分析。对端TNCS处理将信任信息解析，由IMV参考正常运行下的标准特征值对比信任信息，由此对请求者做出响应。

3 方案实现

下面以主备冗余场景说明一次典型的网络连接步骤：

（1）在进行网络连接前，需要确保本节点和对端双方的连接状态已经初始化，内容包括基本的节点间通信，节点内工作进程正常工作，可信网络连接组件正常运行等。

（2）当本节点中的组件因业务需求要加入某群体工作时，NAR需向NAA发送请求信息，申请NAA做出决策。在主备冗余场景中，主备机都可能各自扮演NAA和NAR的角色，在自身进程为主运行时向对方发出请求。对于使用广播通信的业务，发送相关信息这一步骤也可能是同时向多个NAR发送请求。如，主机向数据下行方向其他节点广播发送请求。

（4）如果NAR与NAA之间的用户身份验证成功，则NAA通知TNCS收到一个连接请求。这里的用户身份可以指代节点的当前登录用户、操作用户。

（5）TNCS和TNCC进行平台身份验证，证明各自当前节点是否为合法节点或进程实体，证明请求者有权限进行业务操作。在应用场景中为验证节点是否具备某些进程的运行条件。

（6）如果上一步的验证通过，TNCS通知上层的IMV进行信任信息验证，从本地获取各进程预期特征值，同时通知IMC准备提交相关信息。

（7）TNCC和TNCS交换由其上层IMC和IMV产生信任验证相关信息。架构底层的NAR、NAA负责转发，直到请求者的信任状态满足TNCS的要求。这一部分交互并没有严格的先后顺序，目的是实现TNCS对TNCC的信任验证。

（8）当完成以上信任检测后，TNCS将给NAA发送节点状态验证结论，由NAA决定下一步计划。在此，当主机个别进程状态未通过信任验证时，备机将该进程切换为主运行。

4 结束语

本文提出了一种基于可信网络连接架构的适用于电网系统主备切换的状态验证方案。通过多元特征对主机运行状态做出评估，以此代替心跳作为其他节点验证状态的依据。本文仅提出了方案，在实施中关键在于确定代表节点运行状态的特征值。该特征值为了满足限定，需要是严格且灵活的，这是进一步的研究方向。