王 鵬，李 松，豆 科，王治豪，李 珂

（國(guó)網(wǎng)陜西省電力公司，陜西 西安 710061）

隨著智能電網(wǎng)的快速發(fā)展，大量數(shù)據(jù)需要進(jìn)行采集、交換和處理等工作，電力物資信息系統(tǒng)作為電網(wǎng)運(yùn)營(yíng)的關(guān)鍵平臺(tái)，其安全性受到了越來(lái)越多的關(guān)注[1]。而身份認(rèn)證、授權(quán)是其中的重要一環(huán)，如何進(jìn)行可靠的信息認(rèn)證，確保系統(tǒng)安全成為了亟待解決的問(wèn)題[2]。

目前，常規(guī)的安全機(jī)制包括加密機(jī)制、安全認(rèn)證機(jī)制、訪問(wèn)控制策略等。然而，單一機(jī)制難以滿(mǎn)足復(fù)雜電力系統(tǒng)的安全需求[3-4]。此外，大部分安全機(jī)制均采用限制外界訪問(wèn)重要信息和資源的方式，這與未來(lái)電網(wǎng)開(kāi)放式的發(fā)展趨勢(shì)是不相符的[5-6]。為此，該文基于PKI 體系展開(kāi)了針對(duì)電力物資信息系統(tǒng)安全機(jī)制研究。其中，利用公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)、授權(quán)管理基礎(chǔ)設(shè)施(Privilege Management Infrastructure，PMI)分別完成身份認(rèn)證和權(quán)限管理，并融入一種可信度模型以解決用戶(hù)動(dòng)態(tài)特性無(wú)法感知的問(wèn)題，進(jìn)而確保了系統(tǒng)信息的安全性。

1 電力物資信息系統(tǒng)

電力物資信息系統(tǒng)是電力企業(yè)部門(mén)的物資管理工具，其業(yè)務(wù)需求功能包括采購(gòu)管理、入庫(kù)管理、出庫(kù)管理、合同管理、基礎(chǔ)資料管理和系統(tǒng)管理。該系統(tǒng)功能架構(gòu)如圖1 所示。

圖1 電力物資信息系統(tǒng)的功能架構(gòu)

其中，“采購(gòu)管理”模塊的功能在于管控電力物資的采購(gòu)過(guò)程，例如物資需求、采購(gòu)和庫(kù)存規(guī)劃等?！叭霂?kù)管理”、“出庫(kù)管理”模塊主要是管控電力物資的入庫(kù)、出庫(kù)過(guò)程，一般包括了出入庫(kù)的信息查詢(xún)、信息統(tǒng)計(jì)、驗(yàn)收、審批等模塊。“合同管理”模塊主要是管控電力物資采購(gòu)合同的全過(guò)程?！跋到y(tǒng)管理”模塊主要是管控系統(tǒng)登陸人員及權(quán)限，保障信息安全。而電力物資信息系統(tǒng)的一些基本資料，如倉(cāng)儲(chǔ)信息、人員資料等，均由“基礎(chǔ)資料”模塊管控。

2 PKI-PMI體系設(shè)計(jì)

由于PKI體系主要是用于認(rèn)證用戶(hù)身份，而無(wú)法進(jìn)行授權(quán)管理[7]。為了進(jìn)一步完善信息系統(tǒng)的安全機(jī)制，設(shè)計(jì)了PKI-PMI體系。其中利用PMI證明用戶(hù)的權(quán)限，將PMI 的屬性證書(shū)(Attribute Certificate，AC)與公鑰證書(shū)(Public Key Certificate，PKC)捆綁，在實(shí)現(xiàn)身份認(rèn)證的同時(shí)，分配用戶(hù)權(quán)限，實(shí)現(xiàn)認(rèn)證與授權(quán)的分離。

2.1 PKI體系

PKI 是一個(gè)綜合性安全平臺(tái)，可以為所有網(wǎng)絡(luò)應(yīng)用提供透明的密鑰和證書(shū)管理，確保在線(xiàn)信息的安全性、真實(shí)性、完整性和不可否認(rèn)性。利用PKI 構(gòu)建的網(wǎng)絡(luò)計(jì)算環(huán)境，用戶(hù)可以在無(wú)法直接面對(duì)面的環(huán)境中確認(rèn)彼此的身份和交換的信息。典型的PKI體系結(jié)構(gòu)闡述如下：

1）實(shí)體終端：是PKI 服務(wù)的最終使用者。根據(jù)通信過(guò)程中的不同性質(zhì)，終端用戶(hù)分為兩類(lèi)：證書(shū)持有者和依賴(lài)方。其中證書(shū)持有者是證書(shū)中標(biāo)記的用戶(hù)，而依賴(lài)方則是依賴(lài)于證書(shū)真實(shí)性的一方。

2）證書(shū)認(rèn)證機(jī)構(gòu)(Certificate Authority，CA)：具有公信力和權(quán)威性的機(jī)構(gòu)負(fù)責(zé)最終實(shí)體證書(shū)的頒發(fā)、管理和撤銷(xiāo)。CA 負(fù)責(zé)所有最終實(shí)體的身份驗(yàn)證，是整個(gè)PKI 體系的核心，也被稱(chēng)為域[8]。只要用戶(hù)在一個(gè)域中注冊(cè)，當(dāng)不同域中的用戶(hù)需要通信時(shí)，其便會(huì)通過(guò)域間的信任關(guān)系建立可信信息的交換。

3）注冊(cè)機(jī)構(gòu)(Registration Authority，RA)：負(fù)責(zé)數(shù)字證書(shū)的申請(qǐng)、注冊(cè)、頒發(fā)和管理的機(jī)構(gòu)，且受CA信任。

4）數(shù)字證書(shū)和證書(shū)庫(kù)：數(shù)字證書(shū)是在線(xiàn)實(shí)體身份的證明，由具有權(quán)威性、公信力和公正性的第三方出具，是權(quán)威性的數(shù)字文件。證書(shū)庫(kù)是CA 頒發(fā)和撤銷(xiāo)證書(shū)的集中存儲(chǔ)庫(kù)，負(fù)責(zé)向所有最終用戶(hù)公開(kāi)數(shù)字證書(shū)和證書(shū)撤銷(xiāo)列表。

2.2 PKI-PMI體系

基于PKI 體系能夠?qū)崿F(xiàn)用戶(hù)身份的可靠認(rèn)證，但對(duì)于其權(quán)限無(wú)法做到有效管理[9-11]。為此，采用PMI 進(jìn)行PKI 體系的權(quán)限管控，使得信息系統(tǒng)具備更加安全的訪問(wèn)權(quán)限機(jī)制。所構(gòu)建的PKI-PMI 體系結(jié)構(gòu)如圖2 所示。其中PMI 作為授權(quán)管理基礎(chǔ)設(shè)施，可以單獨(dú)向用戶(hù)提供授權(quán)管理、身份與權(quán)限的對(duì)應(yīng)服務(wù)[12]。PMI 體系主要由信任源點(diǎn)、屬性權(quán)威、特權(quán)驗(yàn)證者、代理證書(shū)庫(kù)和通信協(xié)議等組成。

圖2 PKI-PMI體系結(jié)構(gòu)

在PKI-PMI 體系中，PMI 建立在身份認(rèn)證即PKI的基礎(chǔ)上，用戶(hù)權(quán)限相關(guān)信息存儲(chǔ)于AC 中并進(jìn)行標(biāo)識(shí)，從而實(shí)現(xiàn)安全、可靠的權(quán)限管控。系統(tǒng)通過(guò)管理屬性證書(shū)來(lái)申請(qǐng)相關(guān)權(quán)限，而權(quán)限和屬性證書(shū)之間存在對(duì)照聯(lián)系，兩者的處理流程相同。PKI-PMI 體系實(shí)現(xiàn)了統(tǒng)一的用戶(hù)身份認(rèn)證，并針對(duì)每個(gè)用戶(hù)均會(huì)給予特定的訪問(wèn)操作權(quán)限，以此保障電力物資信息系統(tǒng)的安全訪問(wèn)。

3 基于可信度的信息系統(tǒng)安全機(jī)制

設(shè)計(jì)的PKI-PMI 體系能夠完成用戶(hù)身份認(rèn)證及相應(yīng)的權(quán)限分配，但無(wú)法感知用戶(hù)行為的動(dòng)態(tài)變化。為此，該文引入可信度模型，其根據(jù)用戶(hù)信譽(yù)等級(jí)更新身份認(rèn)證授權(quán)過(guò)程，從而防止冒充用戶(hù)的訪問(wèn)，以進(jìn)一步提高安全機(jī)制的性能。

3.1 可信度模型

安全風(fēng)險(xiǎn)主要是因?yàn)閷?shí)體動(dòng)態(tài)變化造成的，因此構(gòu)建基于實(shí)體行為的可信度模型，以此反映動(dòng)態(tài)改變量。其中，信任度由直接信任度和推薦信任度兩個(gè)方面構(gòu)成。

式中，φR(O)為推薦實(shí)體R對(duì)客體O的信任度評(píng)價(jià)。

因此，總的信任度HS(O)計(jì)算如下：

根據(jù)信任度對(duì)用戶(hù)可信任程度進(jìn)行劃分，表示為：

式中，Ω為可信任和不可信任的邊界值。

3.2 提出的信息系統(tǒng)安全機(jī)制

在PKI-PMI 體系中利用可信度模型對(duì)用戶(hù)行文進(jìn)行評(píng)價(jià)，以確保系統(tǒng)的信息安全?；诳尚哦鹊腜KI-PMI 安全機(jī)制包括可信度控制、身份認(rèn)證、訪問(wèn)控制等模塊組成。其實(shí)施流程如圖3 所示。

圖3 基于可信度的安全機(jī)制實(shí)施流程

首先，采用用戶(hù)名和密碼的系統(tǒng)登錄方式，在系統(tǒng)中的訪問(wèn)控制模塊、可信度計(jì)算模塊會(huì)根據(jù)用戶(hù)身份信息進(jìn)行認(rèn)證，以判斷其能否登錄信息系統(tǒng)[13-16]。

然后，對(duì)主體的訪問(wèn)請(qǐng)求進(jìn)行判斷，同時(shí)計(jì)算用戶(hù)可信度，其計(jì)算結(jié)果是動(dòng)態(tài)的，且會(huì)隨著信息而變化。根據(jù)可信度計(jì)算結(jié)果判斷用戶(hù)是否達(dá)到可信任程度，并結(jié)合訪問(wèn)控制模塊的決策來(lái)確定是否授權(quán)。若不滿(mǎn)足訪問(wèn)要求，則對(duì)實(shí)體身份進(jìn)行重新認(rèn)證。

最終，完成用戶(hù)的身份認(rèn)證后，進(jìn)行用戶(hù)權(quán)限授予。不同的用戶(hù)根據(jù)自身?yè)碛械臋?quán)限，來(lái)登錄信息系統(tǒng)進(jìn)行功能操作[17-18]。

4 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)中基于NS2 網(wǎng)絡(luò)仿真軟件搭建PKI-PMI 體系，并選取某市的電力物資信息系統(tǒng)進(jìn)行實(shí)驗(yàn)。同時(shí)，計(jì)算機(jī)的硬件配置為128 GB內(nèi)存、Core i5 2.7 GHz處理器，且利用Matlab 平臺(tái)構(gòu)建訓(xùn)練可信度模型，將其部署于PKI-PMI 體系中。

實(shí)驗(yàn)過(guò)程中，模擬篡改消息、拒絕服務(wù)、偽造等網(wǎng)絡(luò)攻擊對(duì)電力物資信息系統(tǒng)進(jìn)行攻擊。根據(jù)用戶(hù)可靠登錄的次數(shù)，來(lái)論證所提機(jī)制的安全性。其中電力物資信息系統(tǒng)設(shè)置了50 個(gè)用戶(hù)信息及其權(quán)限，還包含了近三年的電力物資相關(guān)信息。

4.1 可信度衰減因子的影響分析

實(shí)體的可信任度存在一定的時(shí)間特性，假如其長(zhǎng)時(shí)間未與主體進(jìn)行信息交互，其的可信任度會(huì)有所降低。而衰減因子正好能體現(xiàn)可信度的時(shí)間屬性，故合理設(shè)置衰減因子的數(shù)值能夠提升所提安全機(jī)制的性能。而對(duì)于不同的衰減因子，所提安全機(jī)制的身份認(rèn)證時(shí)間如圖4 所示。

圖4 衰減因子對(duì)安全認(rèn)證時(shí)間的影響

從圖4 中可以看出，隨著衰減因子的增加，所提機(jī)制中安全認(rèn)證的時(shí)間也相應(yīng)增長(zhǎng)，最大超過(guò)了20 ms。由于衰減因子越大，說(shuō)明信任度下降越快，需要重新進(jìn)行認(rèn)證，增加了身份認(rèn)證過(guò)程中的耗時(shí)。而當(dāng)衰減因子過(guò)小時(shí)，無(wú)法體現(xiàn)信任度的動(dòng)態(tài)特性。綜合考慮，將衰減因子λ設(shè)為0.15，此時(shí)認(rèn)證時(shí)間約為7.3 ms。

4.2 安全性分析

應(yīng)用基于PKI-PMI 體系安全機(jī)制的核心功能在于保證電力物資信息系統(tǒng)的安全，因此其安全性至關(guān)重要。為了論證所提機(jī)制的安全性能，將其與文獻(xiàn)[4]、文獻(xiàn)[6]進(jìn)行對(duì)比，結(jié)果如圖5 所示。其中，安全性為每小時(shí)抵御的網(wǎng)絡(luò)攻擊次數(shù)占總次數(shù)的比值。

圖5 不同機(jī)制的安全性

從圖5 中可看出，隨著每小時(shí)網(wǎng)絡(luò)攻擊次數(shù)的增加，各種機(jī)制的安全性均有所下降。但相比于其他網(wǎng)絡(luò)安全機(jī)制，所提機(jī)制的安全性最佳。當(dāng)每小時(shí)發(fā)生1 000 次網(wǎng)絡(luò)攻擊時(shí)，其安全性仍高于85%。這是由于所提機(jī)制采用PKI-PMI 體系，并結(jié)合了可信度模型，從而能夠進(jìn)一步明確用戶(hù)身份的真實(shí)性，確保信息系統(tǒng)安全。文獻(xiàn)[4]和文獻(xiàn)[6]均采用單一的網(wǎng)絡(luò)安全防護(hù)機(jī)制，在面對(duì)復(fù)雜的電力物資信息系統(tǒng)時(shí)，其安全性能仍有待提升。

4.3 效率分析

安全機(jī)制部署于信息系統(tǒng)中，其運(yùn)行效率需要滿(mǎn)足系統(tǒng)要求。以用戶(hù)登錄系統(tǒng)并可操作的時(shí)間為指標(biāo)，不同機(jī)制的運(yùn)行結(jié)果如表1 所示。

表1 不同機(jī)制的運(yùn)行時(shí)間

從表1 中可以看出，該文機(jī)制的運(yùn)行時(shí)間為15.28 ms，可滿(mǎn)足系統(tǒng)登錄時(shí)間要求。由于其采用了PKI-PMI 體系和可信度模型雙重認(rèn)證，相比于文獻(xiàn)[4]中單一的防護(hù)機(jī)制，其時(shí)間有所增加。文獻(xiàn)[6]在考慮了信息失效環(huán)境下進(jìn)行安全防護(hù)，其運(yùn)行時(shí)間與所提機(jī)制相差較小。但結(jié)合三種機(jī)制的安全性分析，該文機(jī)制的整體性能明顯更為理想。

5 結(jié)束語(yǔ)

電力物資信息系統(tǒng)有著較高的安全需求，尤其是在智能電網(wǎng)快速發(fā)展的趨勢(shì)下，傳統(tǒng)的安全機(jī)制已無(wú)法保證日漸開(kāi)放的系統(tǒng)信息安全。為此，提出了基于PKI 體系的電力物資信息系統(tǒng)安全機(jī)制。該機(jī)制將基于實(shí)體行為的可信度模型融入構(gòu)建的PKI-PMI 體系中，以進(jìn)行系統(tǒng)身份認(rèn)證和權(quán)限管理，并能夠動(dòng)態(tài)感知用戶(hù)行為的變化?；贜S2 平臺(tái)的實(shí)驗(yàn)結(jié)果表明，當(dāng)衰減因子設(shè)為0.15 時(shí)，模型性能最佳。該文所提機(jī)制的安全性不低于85%，且用戶(hù)登錄系統(tǒng)并可操作的時(shí)間為15.28 ms。測(cè)試結(jié)果表明，該文所提方法可為電力物資信息系統(tǒng)提供堅(jiān)固、可靠的安全機(jī)制。在接下來(lái)的研究，將考慮引入?yún)^(qū)塊鏈技術(shù)，利用其特性構(gòu)建一個(gè)更好的安全機(jī)制。