电力物联网传感装置安全接入技术

2019年第2期总第381

期

电力物联网传感装置安全接入技术

任晓龙1，韩大为2，杨海文1

（1.国网陕西省电力公司，陕西西安7100482.北京中电普华信息技术有限公司，北京海淀100085）

随着物联网技术在智能电网中的应用，在电力生产、输送、消费、管理各环节，广泛部署了具有一定感知能力、计算能力和执行能力的智能传感装置，促进电网生产运行及企业管理全过程的全景全息感知、信息融合及智能管理与决策。

智能传感装置在改善电力系统现有基础设施利用效率，为电网发、输、变、配、用电等环节提供重要技术支撑的同时，也为电网的信息网络带来极大地安全风险。为避免数量众多的智能装置带来安全风险，对智能终端传感装置进行身份认证和识别，实现安全加密的数据传输，是物联网应用中必须正视和解决的问题。

1物联网及物联网感知层

电力物联网是物联网技术在电网的应用，从技术角度分为三层：感知层、网络层、应用层。

如图1所示，感知层基于低功耗广域网、移动无线网络、无线网络、近场无线通信、有线网络等多种通信方式传输数据；感知层通过Internet 网络传输数据到网络服务。

物联网感知层具有节点数量大，存储、运算能力有限，数据类型和网络类型复杂多样等特点，易于受到外部的网络安全风险。

针对感知层节点，主要的安全风险包括节点物理攻击、替换攻击、假冒攻击、中间人攻击等，所以感知层的节点必须具备身份识别的安全机制。

针对感知层网络，主要的安全风险包括网关节

点物理攻击、信息截取和泄漏攻击、DoS 攻击等，所以建立从终端节点到网关节点，再到网络服务的全链路身份认证和数据加密的安全机制。

2密钥技术的研究

电力物联网感知层的传感器节点通常通过有线或者无线的多种通信方式接入网络层，运算能力千差万别，各自的安全保护措施也不尽相同，所以采用密钥管理技术作为一种通用的身份认证和识别解决方案是电力物联网的必然选择。目前，行业内常用的密钥管理技术通常有PKI （public key infrastruc-ture ）公钥基础设施、CPK （combined public key ）组合公钥技术和IBC （identity-based crypt 。system ）基于身份的公钥密钥系统。

2.1PKI （public key infrastructure）公钥基础设施

PKI 公钥基础设施基于X.509框架，由证书颁发机构（CA ）充当可信第三方，对用户公钥进行真实

DOI:10.13882/ki.ncdqh.2019.02.001

图1物联网系统构成

2019年第2期总第381

期

性担保。个人密钥和身份信息一起由CA签名后组成证书存储在公开目录中以供检索，用来验证签名。

CA作为PKI体系的核心，通常采用分层机制，由上级CA为下级CA提供担保。用户公钥证书的真实性由底层CA提供担保，并可基于对根CA的信任逐级进行验证。CA不仅要发放用户的公钥证书，还要对其进行维护，包括用户证书的在线查询，证书的撤销、更新以及黑名单管理等。

2.2CPK（combined public key）组合公钥技术

CPK组合公钥技术基于ECC椭圆曲线加密技术，以少量种子生成几乎无限个公钥，只需很小的存储空间就可形成一个相当大的密钥空间,解决规模密钥管理的难题。

用户向密钥管理中心（KMC）提出申请，由专门的注册管理中心负责用户身份的审查，然后通过专用网向密钥生成中心申请得到密钥对，私钥写入安全媒体中，通过安全通道分发给署名用户，同时公钥因子矩阵连同安全媒体一起分发给用户，使得最终用户能够一次性获得所有的公钥，相当于一次性完成了对所有的公钥的认证。任一用户要求验证其他用户的公钥时，先访问管理中心的黑名单，然后利用公钥查询函数查找PSK即可。

2.3IBC（identity-based crypt。system）基于身份的公钥密钥系统

IBC基于身份的公钥和密钥系统直接以用户的身份信息作为公钥，用于加解密和签名验证，由一个可信第三方，称为PKG（private key generator），负责设置全局系统参数和主密钥，系统参数被公开,而主密钥只有PKG持有。用户使用自身标识信息，从PKG获取用户私钥，在数据加密时使用公钥加密，私钥解密，在签名时使用私钥加密，公钥解密。

PKI：密钥生产由用户分散生产，必须经由第三方认证并CA中心公布，安全责任由个人承担，安全性随着用户规模的增加而逐步降低；CA证书采用静态分发，动态管理模式，证书库必须实时在线，运行维护成本较高；用户公钥以目录形式存放于CA 中心集中保存，提供证书管理和分发的单一入口，用户规模增加时需要扩充层级结构；基于X.509的证书认证过程复杂，要求运算能力高，并且不能点对点认证，其真实性由一个CA证书链担保，基于根CA的信誉逐级验证。

CPK：密钥生产由密钥中心集中生产，安全责任由密钥中心承担，安全性不会随用户规模增加而降低；密钥分发采用静态分发，静态管理模式，可离线认证；用户公钥通过专用媒体一次性通过安全通道发给所有用户，CPK算法确保使用少量种子即可生成大量公钥；CPK的认证过程简单，要求运算能力低，支持点对点认证，由于公钥存储量几乎无限，单层KMC结构即可满足大规模需要。

IBC：公钥即用户身份信息，私钥的生成采用集中方式，生产时同用户身份一次性绑定；密钥分发采用动态分发，动态管理模式，必须在线认证；IBC的不存在密钥存储问题，但是主密钥泄漏将导致所有用户私钥泄漏；IBE使用用户身份作为公钥无需认证，但是由于动态管理机制，用户规模很大时需采用分层模式降低负载。

3方案

物联网的感知层作为物联网的末梢实现真实环境中的人、物、环境等的感知工作，在电力物联网中，在电力生产、输送、消费、管理各环节将部署类型繁多，数量庞大的传感器装置。

感知装置数量庞大，数以亿万计，其身份认证识别技术必须在大规模用户下从成本、速度以及管理难度等多方面综合考虑。

传感器装置类型众多，各种装置的运算能力、存储方式和通信方式千差万别，要求较低的运算能力以及多种存储方式，并对网络环境以及网络协议具有良好的兼容性。

感知层网络通常从终端节点采集的数据，经由汇聚层的网关节点收集之后经由网络层发送到后台物联应用，必须从终端节点、汇聚层网关节点到后台网络服务之间的全链路实现安全接入和加密。

3.1电力物联网密钥管理技术

根据电力物联网的应用特征，在充分比较PKI、CPK以及BIC的密钥管理技术的基础上，选择CPK 技术作为电力物联网传感装置的密钥技术。

基于CPK认证技术构建认证体系具有技术、成本方面的优势，认证快捷方便，可满足电力物联网的大规模认证的需求。