賴丹暉，羅偉峰，黃建華，袁旭東，邱子良

(深圳供電局有限公司，廣東 深圳 518001)

0 引言

計算機網(wǎng)絡(luò)對社會各個領(lǐng)域都產(chǎn)生了不同程度的影響。尤其在電力行業(yè)，電網(wǎng)的快速發(fā)展使數(shù)據(jù)量呈現(xiàn)指數(shù)級的增長。現(xiàn)代智能電網(wǎng)高度結(jié)合信息和通信技術(shù)，監(jiān)控電力網(wǎng)絡(luò)運行情況，可以節(jié)約能源，增強電網(wǎng)可靠性。

隨著物聯(lián)網(wǎng)地快速發(fā)展，攻擊者可以通過互聯(lián)網(wǎng)利用安全風(fēng)險和漏洞進行遠(yuǎn)程攻擊，進而破壞物理電力系統(tǒng)的穩(wěn)定運行。電力大數(shù)據(jù)提高人們生活質(zhì)量的同時，會受到病毒、木馬以及網(wǎng)絡(luò)攻擊等來自外部的威脅，造成內(nèi)部數(shù)據(jù)泄露。

目前，較多學(xué)者開展了關(guān)于信息防泄漏方法的設(shè)計。文獻[1]采用訪問樹構(gòu)造訪問策略對用戶屬性匹配度計算，實現(xiàn)對數(shù)據(jù)的加密控制，但是該方法無法獲取攻擊源信息的傳遞路徑，不能顯著抑制信息泄露情況。文獻[2]提出了基于可搜索加密的區(qū)塊鏈數(shù)據(jù)隱私保護機制，加強了對信息的保護，但是該方法忽略了對電網(wǎng)信息泄露風(fēng)險的概率量化處理，且信息加密效率不夠理想。文獻[3]結(jié)合電網(wǎng)系統(tǒng)特點，提出了適用于電力物聯(lián)網(wǎng)的分布式認(rèn)證方法，但是該方法無法控制業(yè)務(wù)調(diào)用認(rèn)證登錄接口信息的訪問，導(dǎo)致終端認(rèn)證的吞吐量偏低。

為此，本文提出了基于業(yè)務(wù)調(diào)用認(rèn)證登錄接口的電網(wǎng)信息防泄漏技術(shù)，對電網(wǎng)信息泄露風(fēng)險的概率進行量化處理，并設(shè)計可信計算的終端主動免疫結(jié)構(gòu)和免疫節(jié)點傳輸流程，實現(xiàn)融合可信計算和業(yè)務(wù)安全的異構(gòu)終端的主動免疫，提高了電網(wǎng)信息的安全性。

1 信息流傳遞路徑及風(fēng)險量化處理

電網(wǎng)的線下業(yè)務(wù)存在一些不安全性和不確定性，因此需要單獨設(shè)置一個獨立的帶寬通道?？紤]到業(yè)務(wù)的特殊性，為了不影響正常的業(yè)務(wù)往來，需要備用一個通道，防止電網(wǎng)出現(xiàn)故障，在對正常通道進行維修時，可以同時使用備用通道完成業(yè)務(wù)，具體智能電網(wǎng)信息流模型如圖1所示。

圖1 智能電網(wǎng)信息流模型Fig. 1 Model of information flow in smart grid

本文將業(yè)務(wù)過程中損耗的帶寬流量表示為

式中：BZX為具有安全性的專線業(yè)務(wù)需要的流量；B為一般業(yè)務(wù)或者高級業(yè)務(wù)使用的流量；Kr為專線業(yè)務(wù)的安全可靠性系數(shù)。

按照正常的專線的業(yè)務(wù)評估，可靠性系數(shù)通常為2，即該業(yè)務(wù)會在正常運行的同時，還要保證備用通道的通暢。而與基礎(chǔ)業(yè)務(wù)不同的是，更高級的專線業(yè)務(wù)含有多個通道，帶寬可供多個業(yè)務(wù)共享。業(yè)務(wù)流量的使用情況不僅基于獨立業(yè)務(wù)需要的流量，還與用戶的數(shù)量與通道的故障情況有關(guān)。因此，若要減少帶寬流量、增加業(yè)務(wù)的安全性，須考慮用戶的需求與影響帶寬的因素[4]。故將高級業(yè)務(wù)帶寬流量表示為

式中：BIP為用戶數(shù)量達到最大時網(wǎng)際互連協(xié)議（internet protocol，IP）業(yè)務(wù)需要的流量；N為使用IP業(yè)務(wù)的用戶人數(shù)；C為業(yè)務(wù)的最高系數(shù)；Ur為所用用戶對于業(yè)務(wù)的使用率。

本文構(gòu)建了信息的傳遞路徑，在電網(wǎng)信息初始傳輸過程中就能夠保證信息的安全性。電網(wǎng)中大多數(shù)業(yè)務(wù)節(jié)點包括通信調(diào)控中心、充電站、供電站、營業(yè)廳和各個級別行政管理單位等。不同用戶有不同需求，因而每個節(jié)點都會具有相應(yīng)的作用。由于節(jié)點的級別不同，其種類與供應(yīng)和生產(chǎn)均會有所差異。電網(wǎng)中的第i個業(yè)務(wù)輸出的帶寬流量Bi可以表示為

式中：BZXi為各個分支節(jié)點共同作用下的第i個業(yè)務(wù)帶寬流量；BIPi為節(jié)點聚合下第i個業(yè)務(wù)的IP流量。

本文基于攻擊圖的概率判斷來形容系統(tǒng)的安全系數(shù)。攻擊圖可以清晰地描述出在帶寬與流量一定的情況下登錄接口的風(fēng)險程度[5-6]，利用圖形與數(shù)字的形式來模擬信號的攻擊過程，然后賦予圖中每個節(jié)點一個估計值，進行風(fēng)險分析。本文將攻擊圖中的每個節(jié)點定義為：假設(shè)存在一個元素組G={S,A,e,P}，其中S為節(jié)點組合，A為主動攻擊集合，e為每個節(jié)點的關(guān)聯(lián)性，P為風(fēng)險概率。通過此方式對信息完成風(fēng)險量化處理，以便對風(fēng)險因素進行識別。

2 電網(wǎng)信息防泄漏方法

本文將馬爾科夫鏈方法引入到電網(wǎng)的穩(wěn)態(tài)中，通過多次考察采樣，確定一個相對穩(wěn)定的馬爾科夫鏈[7-12]，將其與出現(xiàn)的故障原因相結(jié)合構(gòu)成系統(tǒng)的暫穩(wěn)狀態(tài)，以量化電網(wǎng)信息泄露風(fēng)險，加速信號傳輸，提高仿真效率。馬爾科夫鏈評估主要包括節(jié)點狀態(tài)抽取、暫態(tài)模型評估和暫態(tài)風(fēng)險的評估[13-15]。

在馬爾科夫鏈下，本文將第i個業(yè)務(wù)節(jié)點的風(fēng)險標(biāo)準(zhǔn)Ri表示為

式中：R為正常運行下的系統(tǒng)狀態(tài)；Pi為第i個業(yè)務(wù)節(jié)點的信息分布概率。

若m為業(yè)務(wù)節(jié)點的總數(shù)量，則各個環(huán)節(jié)的風(fēng)險概率之和可表示為

可信計算是實施主動免疫的重要技術(shù)手段，在系統(tǒng)運行時，它能夠?qū)ο到y(tǒng)上的關(guān)鍵操作行為進行監(jiān)控。可信計算在主動免疫技術(shù)上主要體現(xiàn)為主動性和安全免疫。通過電網(wǎng)拓?fù)浣Y(jié)構(gòu)設(shè)計可信模塊，業(yè)務(wù)調(diào)用認(rèn)證登錄接口認(rèn)證后，本文設(shè)計了可信計算的終端主動免疫結(jié)構(gòu)和免疫節(jié)點傳輸流程，從而實現(xiàn)融合可信計算和業(yè)務(wù)安全的異構(gòu)終端的主動免疫。具體拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 拓?fù)浣Y(jié)構(gòu)Fig. 2 Topological structure

在拓?fù)浣Y(jié)構(gòu)中，為保證數(shù)據(jù)的安全性，每個環(huán)節(jié)都會有一個特定的密碼[16-19]，只有2個密碼同時輸入正確時，才能共享信息。當(dāng)節(jié)點攜帶數(shù)據(jù)連接電源后，會將特定代碼傳輸?shù)叫酒恢?，下達指令，進行解碼，迭代驗證安全性。如果不具有風(fēng)險性就可以直接給出能源節(jié)點的代碼，反之則重新計算。如果3次計算皆沒有達到目標(biāo)，那么就會將代碼加密，并終止系統(tǒng)程序。

在進入可信模塊之前，一般要去除干擾節(jié)點的因素，與此同時，節(jié)點會自行帶有數(shù)據(jù)信息的記憶[20]。節(jié)點經(jīng)過驗證后再輸入密鑰，繼續(xù)傳輸?shù)较乱粋€可信模塊。本文將業(yè)務(wù)調(diào)用認(rèn)證登錄技術(shù)應(yīng)用到電網(wǎng)信息防泄漏中，主要包含數(shù)據(jù)中心A中的用戶u、服務(wù)代理YA、服務(wù)器ZA，具體過程如下。

（1）u通過YA在ZA中進行登錄認(rèn)證，服務(wù)器與用戶協(xié)商生成代理簽名密鑰。

（2）u與數(shù)據(jù)中心進行雙向認(rèn)證，驗證通過后發(fā)送下一個數(shù)據(jù)中心的會話密鑰。

（3）協(xié)商生成，分發(fā)密鑰。

（4）通過會話密鑰，進行通信。

當(dāng)在攻擊圖[21-25]中出現(xiàn)多個節(jié)點時，首先單獨將每個節(jié)點逐步通過模塊驗證，互相交接密鑰信息，同時進行解碼，然后根據(jù)系統(tǒng)中的指令傳輸?shù)较乱粋€程序。多次多個節(jié)點同時進行后，需再進行一次加密，才能保證安全性。具體過程如圖3所示。從圖3中可以看出，對電網(wǎng)異構(gòu)終端進行主動免疫，可實現(xiàn)電網(wǎng)信息的防泄漏。

圖3 節(jié)點信息的傳輸流程Fig. 3 Transmission process of node information

3 仿真實驗

為驗證所提方法的效果，將VC++6.0系統(tǒng)作為實驗系統(tǒng)。設(shè)置電網(wǎng)節(jié)點個數(shù)為103，功率基準(zhǔn)值取為100 MV·A，在matlab軟件中實現(xiàn)仿真分析。具體仿真參數(shù)如表1所示。

表1 仿真參數(shù)Table 1 Simulation parameters

文獻[1]提出了面向外包數(shù)據(jù)的可追蹤防泄漏訪問控制方案。文獻[2]提出了基于可搜索加密的區(qū)塊鏈數(shù)據(jù)隱私保護機制。將本文方法與文獻[1]及文獻[2]方法進行對比。電網(wǎng)信息泄露次數(shù)的對比結(jié)果如表2所示。從表2中可以看出，本文方法的電網(wǎng)信息泄露次數(shù)最少，只有在需要保護的數(shù)據(jù)最多時才出現(xiàn)信息泄露情況。而文獻[1]方法與文獻[2]方法防泄漏效果較差，不能有效保護信息的安全性。

表2 電網(wǎng)信息泄露次數(shù)對比Table 2 Comparison of power grid information leakage times

電網(wǎng)信息被更改情況的對比結(jié)果如表3所示。從表3中可以看出，本文方法僅發(fā)生一次信息被更改的情況，說明本文所提技術(shù)能夠做好信息的隱蔽性保護，而其他方法均發(fā)生不同次數(shù)的信息被更改情況，信息防泄漏效果較差。

表3 電網(wǎng)信息被更改情況對比Table 3 Comparison of grid information changes

3種方法的信息加密時間對比結(jié)果如圖4所示。從圖4中可以看出，相比于其他方法，本文的加密方法花費的加密時間最短。

圖4 電網(wǎng)信息加密時間對比Fig. 4 Comparison of power grid information encryption time

在電網(wǎng)信息防泄漏中，需要處理較多的信息。吞吐量為在單位時間內(nèi)算法能夠處理的最大信息量，其對比結(jié)果如圖5所示。從圖5中可以看出，本文方法的吞吐量較高，能夠同時處理多條信息，在保證信息安全的前提下具有較高的信息處理速度，而其他方法的吞吐量較低，不能同時處理較多信息，且信息解密及傳輸速度較慢。

圖5 吞吐量Fig. 5 Throughput curve

4 結(jié)語

本文提出了基于業(yè)務(wù)調(diào)用認(rèn)證登錄接口的電網(wǎng)信息防泄漏技術(shù)。構(gòu)建信息流傳遞路徑模型，計算智能電網(wǎng)普通業(yè)務(wù)和高級業(yè)務(wù)所損耗的帶寬流量?；诖?，利用圖形與數(shù)字的形式來模擬信號的攻擊過程。通過馬爾科夫鏈方法量化電網(wǎng)信息泄露風(fēng)險。設(shè)計安全引導(dǎo)流程，完成電網(wǎng)信息加密，實現(xiàn)了防泄漏技術(shù)優(yōu)化。為驗證所提方法的有效性，設(shè)計了仿真實驗。實驗結(jié)果證明了本文所提防泄漏技術(shù)的有效性。

為了更全面地保護電網(wǎng)信息的安全，在后續(xù)研究中，計劃將訪問控制、入侵檢測方法等應(yīng)用到電網(wǎng)信息防泄漏中，進一步提高電網(wǎng)信息的安全性。