泛在电力物联网信息安全综述

泛在电力物联网信息安全综述

发表时间：2019-11-06T08:55:06.223Z 来源：《电力设备》2019年第14期作者：卢学佳李屹烜刘福盛魏宝林高茜

[导读] 摘要：泛在电力物联网作为能源互联网和泛在物联网在电力行业的具体实现形式和应用落地，其信息安全与互联网、物联网的信息安全相比，既有共性也有特性，主要面临的有访问控制、数据机密性和完整性、身份认证、隐私保护、可用性和不可抵赖性等信息安全问题。

（国网衡水供电公司河北衡水 053000）

摘要：泛在电力物联网作为能源互联网和泛在物联网在电力行业的具体实现形式和应用落地，其信息安全与互联网、物联网的信息安全相比，既有共性也有特性，主要面临的有访问控制、数据机密性和完整性、身份认证、隐私保护、可用性和不可抵赖性等信息安全问题。本文结合互联网信息安全、物联网信息安全和《泛在电力物联网建设大纲》，首先分析了泛在电力物联网建设过程中存在的主要信息安全需求，然后概述了泛在电力物联网的安全体系和4个层面的信息安全，最后介绍了密码学特别是新型密码学技术在泛在电力物联网中的应用。

关键词：泛在电力物联网；信息安全

1引言

由于物联网中信息的感知和传输方式的特殊性，使得物联网的传输信息很容易被窃取，也很容易被重放，传统的安全防护措施已无法满足新型物联网设备的安全防护需求。因此，如何实现泛在电力物联网的安全，构建适应泛在电力物联网的安全防护体系成为国网公司迫切需要解决的难题。

2泛在电力物联网的概念及特点

泛在电力物联网是指充分应用“大云物移智”等现代化信息通信技术，实现电力系统各个环节万物互联、人机交互，具有状态全面感知，信息高效处理，应用更加灵活等特征的智慧服务系统。泛在电力物联网是电网公司具有智慧化、多元化、生态化特征的“第二张网”，与电网公司坚强智能电网相辅相成、融合发展，二者协同并进形成强大平台，构成能源流、业务流、数据流“三流合一”的能源互联网。泛在电力物联网具有全息感知、泛在连接、开放共享、融合创新的特点。全息感知是指电网各环节设备与用户状态的全面感知和业务全面穿透。泛在连接是指实现电网设备、用户及数据的全时空泛在连接。开放共享是指电网数据价值的共享融通，为能源行业和市场主体发展创造共享平台。融合创新是指泛在电力物联网和坚强智能电网深度融合，生产者和消费者共同参与电网业务创新，支撑电网公司创造更高水平价值。

3安全风险分析

3.1感知层存在的安全风险

在泛在电力物联网环境下，电网公司原采集、作业等智能终端风险仍存在，同时大量计算、存储受限终端接入网络，带来了新的安全风险。1）风险1：泛在电力物联网终端面广、量大，遭受网络攻击的风险较高，轻则造成服务中断，甚至影响电网关键信息基础设施安全。2）风险2：终端计算、存储资源受限，传统技防措施失效，存在较大安全隐患。3）风险3：边缘物联代理安全防护未纳入现有安全防护体系。

3.2网络层存在的安全风险

1）风险1：新业务模式改变了业务交互方式，对传统安全防护体系提出了新的挑战。2）风险2：通信方式和网络协议复杂，网络安全防护难度加大。

3.3平台层存在的安全风险

泛在电力物联网平台层包括一体化“国网云”、全业务统一数据中心、物联管理平台等，目前国网公司已制定了云平台防护方案，但数据、物联管理中心等安全机制缺乏，存在一定安全风险。1）风险1：泛在电力物联网环境下，数据量大、类多且交互复杂，进一步加剧了数据泄露、非法访问等风险。2）风险2：物联管理中心作为落实安全防护的重要环节，其自身安全尤为重要。

3.4应用层存在的安全风险

1）风险1：新的业务模式对现有防护体系带来了挑战，同时可能触及国家政策风险。2）风险2：物联网模式下应用涉及面广、用户规模大，对应用管理机制和应用本身提出了新的挑战。

4泛在电力物联网信息安全体系

4.1具体技术

4.1.1加密技术

加密技术主要为电子标签RFID技术，其实质上是一种无线通信技术。当前学术界及实务界针对于RFID的研究较为丰富，包括Hash-Lock协议、分布式RFID询问–应答认证协议、Hash链协议、David的数字图书馆RFID协议、LCAP协议和基于杂凑的ID变化协议等。

4.1.2认证技术

认证技术是立足于电力物联网的工作实际，对于资源申请者的实际身份进行认证的过程，通过认证排除潜在的安全威胁，从而有效防范资源外泄问题，也是公认的实现分级管理的典型方法。当前应用较为广泛的认证技术主要包括口令认证、X.590认证、域认证等。

4.1.3入侵检测与保护机制

该技术是一种“事后”防御机制，即管理者已经发现物联网中的安全威胁之后，组织一系列的防护操作。入侵检测包括网络入侵检测、基于主机的入侵检测以及基于组件的入侵检测。只有通过检测与保护手段的协同工作，才能达到理想的防护效果。

4.2具体的安全防护

（1）感知层的信息安全可以通过加强传感网络机密性的安全控制而得到进一步的保障，例如在泛在电力物联网构建中选择射频识别系统，根据实际需求考虑是否选择有密码和认证功能的模块；个别传感网需要节点认证，确保非法节点不能接入，认证性可以通过数字证书解决；此外，还要提高传感器网络中的拓扑控制等技术，强化传感器网络的密钥管理。（2）网络层的安全应对措施可从几个方面展开：①在网络层安装防火墙，给内部网络和外部网络之间提供一个安全屏障；②采用SSL/TSL协议的安全机制，对感知层传输过来的信息进行加密处理，然后再对信息进行传输，保障信息在传输过程中的安全；③采用轻量级算法，加快跨网认证，提高传输效率，才能有效地减少破

坏者的攻击，从而保护信息的传输安全。（3）平台层的安全可以根据应用的需求，对所有接入的设备和应用提供双向验证机制，进行身份鉴别和授权管理，确保接入的终端设备与传输的信息安全可靠；加强API调用的访问控制，防止未授权的访问，调用API接口前进行用户的鉴别，验证用户凭据和用户身份，防止篡改和重放攻击；对敏感数据加密防范数据被篡改。（4）应用层安全主要保障各类应用在用户使用过程中的安全，包括对用户的身份鉴别、访问控制、应用漏洞管理、外部攻击防护、隐私保护等。应用访问时进行强制认证和业务权限控制，应尽可能采用双因素身份验证机制，加强权限管理、端口控制和敏感信息访问等，防范应用本身漏洞而导致的数据被盗取或系统攻击。

5基于电力物联网的网络安全靶场系统设计

第一，网络配置管理子系统。该子系统主要功能包括资产信息和配置管理、测试场景管理、拓扑管理以及虚拟资源管理，主要管理虚拟机、Docker容器、网络设备、安全设备、服务器、电力泛终端设备和其他装备，管理内容包括但不限于配置、策略、拓扑关系等。可视化展示设计为UI层与最终用户交互的界面，最终用户通过可视化展示页面操作IT基础设施，完成配置管理、拓扑管理、测试场景管理等。第二，网络渗透攻击子系统。通过统一的人机交互界面，集成现有主流的网络攻击、渗透测试、脆弱性发现和合规检查等安全工具软件，针对特定目标系统发动攻击。第三，网络安全监测子系统。综合各种日志信息，进行关联分析，检测系统中发生的各种攻击、威胁、恶意行为，为用户提供安全预警。网络安全监测子系统主要由四层组成。日志收集层负责收集和处理来自多种厂商系统的数据，包括电力泛在终端、物联网网关和入侵检测系统等。日志处理层负责标准化处理日志，并进行集中存储和索引。日志分析层负责实现关联分析、过滤和处理实验环节中的所安全事件。分析展示层提供配置系统，可视化展示全局安全状况。

6结束语

泛在电力物联网的推广和运用，一方面将显著提高国家电网有限公司经济效益和电网系统运行效率；另一方面也对公民、企业，甚至是国家的信息安全和隐私保护等提出了严峻的挑战。有关部门应该未雨绸缪，尽早规划和研究泛在电力物联网4个层次的信息安全问题，为泛在电力物联网的安全运行和安全防护保驾护航。

参考文献

[1]凌晨.基于物联网的信息安全传输系统的研究与应用[D].北方工业大学,2014.

[2]伊平.物联网技术发展和应用的信息安全及伦理问题研究[D].渤海大学,2018.

[3]刘熙胖,廖正赟,卫志刚.面向物联网信息安全保护的轻量化密钥体系设计[J].信息安全研究,2018,409:819-824.