李少秋

摘要：近年來，經(jīng)濟(jì)的發(fā)展，促進(jìn)我國科技水平的提升?？萍嫉倪M(jìn)步促進(jìn)物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)中的應(yīng)用，在電力生產(chǎn)、輸送、消費(fèi)、管理各環(huán)節(jié)，廣泛部署了具有一定感知能力、計(jì)算能力和執(zhí)行能力的智能傳感裝置，促進(jìn)電網(wǎng)生產(chǎn)運(yùn)行及企業(yè)管理全過程的全景全息感知、信息融合及智能管理與決策。智能傳感裝置在改善電力系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施利用效率，為電網(wǎng)發(fā)、輸、變、配、用電等環(huán)節(jié)提供重要技術(shù)支撐的同時(shí)，也為電網(wǎng)的信息網(wǎng)絡(luò)帶來極大地安全風(fēng)險(xiǎn)。為避免數(shù)量眾多的智能裝置帶來安全風(fēng)險(xiǎn)，對(duì)智能終端傳感裝置進(jìn)行身份認(rèn)證和識(shí)別，實(shí)現(xiàn)安全加密的數(shù)據(jù)傳輸，是物聯(lián)網(wǎng)應(yīng)用中必須正視和解決的問題。本文就電力物聯(lián)網(wǎng)傳感裝置安全接入技術(shù)展開探討。

關(guān)鍵詞：電力物聯(lián)網(wǎng);網(wǎng)絡(luò)安全;傳感器

引言

近年來，隨著我國電子信息技術(shù)的不斷發(fā)展與廣泛應(yīng)用，網(wǎng)絡(luò)通信這一新媒體技術(shù)成為了當(dāng)下各企業(yè)競(jìng)相追逐的研發(fā)目標(biāo)。智能數(shù)字媒體化時(shí)代的來臨，推進(jìn)了各個(gè)行業(yè)的智能化改革，其中，智能電網(wǎng)建設(shè)與移動(dòng)通信技術(shù)的發(fā)展便是這一推進(jìn)下的產(chǎn)物。

1物聯(lián)網(wǎng)及物聯(lián)網(wǎng)感知層

電力物聯(lián)網(wǎng)是物聯(lián)網(wǎng)技術(shù)在電網(wǎng)的應(yīng)用，從技術(shù)角度分為三層：感知層、網(wǎng)絡(luò)層、應(yīng)用層。如圖1所示，感知層基于低功耗廣域網(wǎng)、移動(dòng)無線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、近場(chǎng)無線通信、有線網(wǎng)絡(luò)等多種通信方式傳輸數(shù)據(jù);感知層通過Internet網(wǎng)絡(luò)傳輸數(shù)據(jù)到網(wǎng)絡(luò)服務(wù)。物聯(lián)網(wǎng)感知層具有節(jié)點(diǎn)數(shù)量大，存儲(chǔ)、運(yùn)算能力有限，數(shù)據(jù)類型和網(wǎng)絡(luò)類型復(fù)雜多樣等特點(diǎn)，易于受到外部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。針對(duì)感知層節(jié)點(diǎn)，主要的安全風(fēng)險(xiǎn)包括節(jié)點(diǎn)物理攻擊、替換攻擊、假冒攻擊、中間人攻擊等，所以感知層的節(jié)點(diǎn)必須具備身份識(shí)別的安全機(jī)制。針對(duì)感知層網(wǎng)絡(luò)，主要的安全風(fēng)險(xiǎn)包括網(wǎng)關(guān)節(jié)點(diǎn)物理攻擊、信息截取和泄漏攻擊、DoS攻擊等，所以建立從終端節(jié)點(diǎn)到網(wǎng)關(guān)節(jié)點(diǎn)，再到網(wǎng)絡(luò)服務(wù)的全鏈路身份認(rèn)證和數(shù)據(jù)加密的安全機(jī)制。

2安全接入流程概述

安全終端和安全接入平臺(tái)共同構(gòu)成完整的安全接入體系。安全接入平臺(tái)內(nèi)部各功能組件通過平臺(tái)總線進(jìn)行高速消息、數(shù)據(jù)通訊，對(duì)外提供一致的安全服務(wù)，并和外圍的第三方系統(tǒng)進(jìn)行有機(jī)集成通訊。移動(dòng)安全客戶端請(qǐng)求連接安全接入網(wǎng)關(guān)的站點(diǎn)服務(wù)，身份認(rèn)證系統(tǒng)負(fù)責(zé)審核用戶的身份是否合法，審核通過以后，安全接入網(wǎng)關(guān)站點(diǎn)服務(wù)器會(huì)向客戶端分配虛擬IP，客戶端依據(jù)分配的IP連接安全接入網(wǎng)關(guān)服務(wù)器，連接成功之后安全接入網(wǎng)關(guān)通過外網(wǎng)口接收IP數(shù)據(jù)包，IP數(shù)據(jù)包經(jīng)過源地址轉(zhuǎn)換后，通過安全接入網(wǎng)關(guān)內(nèi)網(wǎng)口傳遞至數(shù)據(jù)過濾服務(wù)器，數(shù)據(jù)過濾是一臺(tái)硬件隔離服務(wù)器，主要工作原理是將接收到的來自網(wǎng)關(guān)的IP數(shù)據(jù)包與過濾服務(wù)器配置的規(guī)則匹配（主要根據(jù)訪問的目的服務(wù)器的IP和端口進(jìn)行過濾），數(shù)據(jù)傳遞至內(nèi)網(wǎng)服務(wù)器。

3方案

3.1總體方案

電力物聯(lián)平臺(tái)安全接入基于CPK組合公鑰生產(chǎn)中心和管理中心實(shí)現(xiàn)傳感裝置密鑰管理，基于物聯(lián)云平臺(tái)為核心實(shí)現(xiàn)設(shè)備統(tǒng)一接入以及身份認(rèn)證和權(quán)限控制，并實(shí)現(xiàn)物聯(lián)設(shè)備和物聯(lián)應(yīng)用的完全解耦，簡化設(shè)備接入和物聯(lián)應(yīng)用的開發(fā)?？傮w架構(gòu)圖如圖2所示。密鑰生產(chǎn)中心：基于種子密鑰卡生產(chǎn)雙因子密鑰并加密，種子密鑰卡采用嚴(yán)格措施安全加密。傳感器（終端節(jié)點(diǎn)）：持有基于用戶標(biāo)識(shí)的私鑰和公鑰矩陣，實(shí)現(xiàn)身份識(shí)別、身份認(rèn)證和數(shù)據(jù)傳輸加密。匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)：既有基于用戶標(biāo)識(shí)的私鑰和公鑰矩陣，驗(yàn)證傳感器的身份并解密數(shù)據(jù);另外，面向消息網(wǎng)關(guān)實(shí)現(xiàn)自身身份識(shí)別、身份認(rèn)證和數(shù)據(jù)傳輸加密。消息網(wǎng)關(guān)：基于物聯(lián)協(xié)議MQTT實(shí)現(xiàn)同傳感裝置之間的數(shù)據(jù)傳輸，持有私鑰和公鑰矩陣，用以驗(yàn)證匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)的身份，解密數(shù)據(jù)并轉(zhuǎn)發(fā)到物聯(lián)云平臺(tái)內(nèi)部組件。物聯(lián)云平臺(tái)實(shí)現(xiàn)設(shè)備注冊(cè)，設(shè)備狀態(tài)管理等功能，對(duì)物聯(lián)傳感裝置的統(tǒng)一管控，設(shè)備即使離線，物聯(lián)應(yīng)用也可訪問設(shè)備狀態(tài)。此外，云平臺(tái)基于規(guī)則實(shí)現(xiàn)傳感裝置的消息處理，轉(zhuǎn)發(fā)到應(yīng)用服務(wù)，解耦物聯(lián)應(yīng)用和物聯(lián)設(shè)備。

3.2電力移動(dòng)終端的安全需求

（1）為保障實(shí)現(xiàn)電力移動(dòng)終端關(guān)鍵部位、系統(tǒng)代碼等完整性的認(rèn)證，必須在電力移動(dòng)終端提供安全措施，進(jìn)而創(chuàng)造一個(gè)安全的工作環(huán)境;（2）為實(shí)現(xiàn)終端用戶的身份認(rèn)證，嚴(yán)格控制訪問的渠道與訪問內(nèi)容，防止程序之間的信息讀取與修改，必須完善電力移動(dòng)終端的控制策略，進(jìn)而保障應(yīng)用程序之間的安全通信;（3）為實(shí)現(xiàn)信息數(shù)據(jù)的分類儲(chǔ)存，電力移動(dòng)終端還應(yīng)該具備針對(duì)不同數(shù)據(jù)文件采取不同安全措施的能力，杜絕潛在危險(xiǎn)的發(fā)生;（4）為保護(hù)信息數(shù)據(jù)不外泄，電力移動(dòng)終端還應(yīng)該具有一套獨(dú)特的自我防御機(jī)制，對(duì)于敏感信息泄漏后，會(huì)進(jìn)行自我銷毀。

3.3物聯(lián)云平臺(tái)

物聯(lián)云平臺(tái)是面向電力物聯(lián)網(wǎng)的解耦物聯(lián)設(shè)備和物聯(lián)應(yīng)用，提供物聯(lián)設(shè)備的統(tǒng)一安全接入，物聯(lián)消息數(shù)據(jù)的統(tǒng)一存儲(chǔ)、分析和轉(zhuǎn)發(fā)，同物聯(lián)應(yīng)用松耦合集成的服務(wù)平臺(tái)。物聯(lián)平臺(tái)的網(wǎng)絡(luò)層的核心通信協(xié)議目前有多種協(xié)議互相競(jìng)爭(zhēng)，IBM推出的MQTT被AmazonIoT平臺(tái)采用，具有其低功耗、高QoS等優(yōu)勢(shì)，且兼容HTTP協(xié)議。匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)同物聯(lián)平臺(tái)之間的通信流程如下，但是作為匯聚層，首先驗(yàn)證終端節(jié)點(diǎn)，接收消息并解密。然后，將終端節(jié)點(diǎn)的數(shù)據(jù)匯聚之后，以自己的密鑰再次加密發(fā)送到物聯(lián)平臺(tái)。匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)注冊(cè)：首先生成隨機(jī)序列，以私鑰簽名隨機(jī)序列發(fā)送給物聯(lián)云平臺(tái)。物聯(lián)云平臺(tái)從公鑰矩陣獲取網(wǎng)關(guān)節(jié)點(diǎn)公鑰，對(duì)網(wǎng)關(guān)節(jié)點(diǎn)簽名進(jìn)行驗(yàn)證，如驗(yàn)證不通過，則斷開同網(wǎng)關(guān)節(jié)點(diǎn)的連接。如果驗(yàn)證通過，則同樣使用自己的私鑰簽名發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)。網(wǎng)關(guān)節(jié)點(diǎn)從公鑰矩陣獲取物聯(lián)云平臺(tái)的公鑰，對(duì)物聯(lián)云平臺(tái)的簽名進(jìn)行驗(yàn)證。驗(yàn)證通過則建立可信鏈接，交換數(shù)據(jù)加密用的隨機(jī)密鑰。網(wǎng)關(guān)節(jié)點(diǎn)傳輸數(shù)據(jù)時(shí)使用隨機(jī)密鑰，采用對(duì)稱加密算法SM4加密數(shù)據(jù)，發(fā)送到物聯(lián)云平臺(tái)。物聯(lián)云平臺(tái)使用同樣的隨機(jī)密鑰，采用對(duì)稱加密算法SM4等對(duì)數(shù)據(jù)進(jìn)行解密。

結(jié)語

信息安全接入平臺(tái)是構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)信息安全接入體系的核心基礎(chǔ)安全防護(hù)設(shè)施，承擔(dān)智能電網(wǎng)各種復(fù)雜網(wǎng)絡(luò)環(huán)境下智能終端實(shí)時(shí)監(jiān)控、安全接入、數(shù)據(jù)安全傳輸與交換、主動(dòng)防御預(yù)警等重要功能。其設(shè)計(jì)開發(fā)質(zhì)量、整體防護(hù)強(qiáng)度直接關(guān)系到智能電網(wǎng)環(huán)境下電力信息網(wǎng)絡(luò)底層安全，意義深遠(yuǎn)。

參考文獻(xiàn)

[1]黃朔.WiMAX標(biāo)準(zhǔn)下3G技術(shù)在智能電網(wǎng)中的運(yùn)用分析[J].現(xiàn)代電子技術(shù)，2015，34（1）：20–22.

[2]王雅娟，喬嘉賡.基于分層思想的電力通信網(wǎng)絡(luò)綜合評(píng)價(jià)模型[J].電力系統(tǒng)通信，2016，33（3）：36–39.