泛在电力物联网可信安全接入方案

泛在电力物联网可信安全接入方案

摘要：随着经济和信息技术的快速发展，电力行业发展也十分快速。传统电力物联网已经发展多年，但是电力物联网尤其是现场物联终端层面的安全研究仍处于起步阶段，国内外网络安全的形势近年来日益严峻，乌克兰电网因黑客攻击而导致大面积停电，震网病毒等针对工业物联网的恶意软件的出现，愈加映衬出现有防护能力的缺失。“推动全业务泛在电力物联网建设，扩大电力无线专网试点及业务应用”的工作要求，使得传统电力物联网向“全数据统一管理、全业务云上运行、全环节物物互联、全时空通信覆盖、全过程可信互动、全方位数据应用”的全业务泛在电力物联网新形态演进，国家电网公司原有的安全防护体系如何应对物联网新形态下的新风险，成为亟待解答的重要问题。

关键词:泛在电力物联网;可信安全接入；方案

引言

中国经济的快速发展使得生产和生活对电能的依赖程度越来越高，电能供应压力逐年增大的同时各种分布式能源的接入又给电网经济、安全、高效运行提出了严峻挑战。鉴于此，国网公司提出了建设“泛在电力物联网”的构想。即实现电网系统中各环节人机交互、万物互联，打造状态全局感知、信息高效处理、应用灵活便捷的智慧电力系统[1]。该系统可以给人们的日常生活提供安全、绿色、高效电力服务，为政府治理社会、持续发展、智慧+城市建设提供新的标准，为经济增长提供新的动力。“泛在电力物联网”是由传统电网企业向全方位能源服务型企业转型的重要里程碑。

1泛在电力物联网风险分析

1.1网络层

网络层通过现有的互联网等基础网络设施，对来自感知层的信息进行接入和传输。在物联网系统中，网络层链接感知层和平台层，具有强大的纽带作用。网络层对于各种通信协议均有明确的规范，在传输方式上，包括有线、无线共十几种。在泛在物联网中采用何种传输方式需要根据具体场景进行选择。在物联网传输协议上，MQTT协议和COAP协议已经成为了公认的物联网通信协议，有明确的规范可以遵循。常见的网络可用性攻击主要以拒绝服务的形式发生，通过耗尽网路的通信和计算资源，导致通信失败或延迟。例如当攻击者向智能电网处理中心大量发送垃圾信息时，网络会花费大量时间验证信息的真实性，而牺牲合法的网络流量，从而导致通信延迟或网络彻底中断。因此，必须有效处理网络可用性攻击。最常见的攻击类型有：恶意软件注入，即将有害软件（病毒、间谍软件、广告软件、勒索软件、特洛伊木马或蠕虫）安装到网络空间，以造成损害或使计算机和网络失效；网络钓鱼，诱骗用户认为对方可信，进而使用户提供敏感信息或点击恶意链接；黑客攻击，如获取系统平台密码达到进入系统的目的；SQL注入，用于攻击数据驱动应用程序，攻击者执行针对Web应用程序数据库服务器的恶意SQL查询语句，达到窃取、修改或删除数据库内容的目的。

1.2平台层

平台层位于网络层和应用层中间，是泛在电力物联网的核心。经常有人把物联网冠以“智慧网络”的名称，其中的“智慧”就来自于这一层。平台层的设备主要由高强度工作站、服务器、通信光纤等组成，负责管理一定区域内所有网络层上传的数据，同时下达运行指令。在服务器集群或者数据中心的环境下，平台层将网络内海量的信息资源通过超强计算整合成一个互联互通的大型网络，确保数据

存储、检索、使用、挖掘和安全隐私[2]。泛在电力物联网不同于常规Internet互

联网，在数据流通基础上，各层级网络承担的任务较重，具备自主探究与智能能力，对计算能力要求颇高，伴随数据种类与数据量的增加，计算成本大大提高。

因此，平台层的覆盖范围覆盖至区、镇即可，通过缩小监管范围以保证质量。因此，依托物联网管理中心建立统一主站，实现各种数据“一次采集，处处使用”，

充分挖掘数据价值，实现检测管理功能实时动态调控。

2电力物联网可信安全接入方案

2.1无线网络设备不可仿冒的指纹生成

物联网如果接入未经认证的终端会形成巨大的安全隐患，现有的无论是基于

轻量级公钥算法还是预共享密钥认证技术的物联网身份认证方案，都是基于存在

密钥泄漏、身份仿冒、终端捕获等安全威胁的传统密码体制。需要找到一种不可

仿冒的身份标识，与设备进行严格的绑定。针对上述问题，本文以设备指纹作为

其身份标识，设备指纹由一组无线目标的特征组成。通过无线目标特征提取，可

以得到用于识别无线目标的不同特征点，从而为后面的无线目标识别分类算法提

供基础。

2.2高效配置清洁能源，减少地理限制

目前，我国能源消耗中清洁能源的占比较低。由于风能、太阳能和部分清洁

能源存在诸多的不确定性，使得电网的安全稳定运行受到较大影响，加之地理分

布和人员聚集区域的影响，风能和太阳能等清洁能源没有得到有效利用。泛在电

力物联网技术引入人工智能，对新型能源短期内发电实时预测，降低调度难度；

全息感知对入网能源进行有效分配，实现源、网、荷、储的动态交互，形成虚拟

电厂，互补传统能源与新能源之间的占比；通过市场询价，引导客户用电行为，

实现削峰填谷。总之，泛在电力物联网的引入，可实现电力交易平台互联互通，

减少地理限制，动态增减负荷，减少分布式能源并网冲击，从而实现清洁能源广

泛高效配置。

2.3接入访问控制

接入访问控制定义了用户或设备将被授予访问哪些资源、数据文件或设备的权限。通过对网络设备和系统功能使用这些预定义的访问权限，避免了不法分子的恶意

访问。诸如自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控

制（RBAC）等访问控制都可消除潜在的安全威胁。由于泛在电力物联网是1个远

程监控和配置的网络物理系统，为了限制用户和设备在网络中的访问，访问控制

至关重要。

2.4组织架构

设计数据安全组织架构时，可按照决策层、管理层、执行层和监督层的架构

进行设计。其中，决策层负责制定企业的数据安全目标和战略发展定位，发布数

据安全方针、规划和制度规范，提供必要的资源并对重大事件进行决策和协调；

管理层负责制定数据安全方针、规划和管理规范体系，对相关人员开展数据安全

意识和技能培训，建立监控审计机制和运作机制，确保数据安全工作能有效开展；执行层负责数据分类分级、数据安全运营、风险评估识别与控制、安全事件的跟

进和处理等工作；监督层负责监督检查数据安全制度规范和实际工作开展的落地

执行情况。

3结语

为全面提高全业务泛在电力物联网安全综合防御能力，解决目前全业务泛在

电力物联网安全防护指导和终端认证机制的缺失和不足，本文提出一种泛在电力