吕宏昌，韩志杰，刘 征

（中国电力科学研究院智能电网产业基地 北京102206）

1 引言

目前的配电网已经在向“智能化”的方向迈进。如自动计量管理、资产的远程监视和控制、地理信息系统及先进的配电网络分析等单项技术以及它们的个别组合已在配电网中成功应用，并显现出不同的优势[1]。根据智能电网的含义，可将智能配电网定义为一个集成了传统和前沿配电工程技术、高级传感和测控技术、现代计算机与通信技术的配电系统，更加安全、可靠、优质、高效，支持分布式电源的大量接入，并为用户提供择时用电等与配电网互动的服务[1]。

随着智能配电网的发展，电力实时数据网络迅速扩大，信息化应用也不断增强，电力系统中的信息安全也成为倍受人们关注的一个话题。电力系统信息安全问题会直接威胁到电力系统的安全、稳定、经济、优质运行，影响着“数字电力系统”的实现进程，电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。目前，电力系统信息安全技术还十分单薄，开发相应的应用软件及硬件、制定电力内网遭受外部攻击时的防范等信息安全战略是当前信息化工作的重要内容。

2 智能配电网的信息安全

智能配电网是人们对未来配电网的愿景。它不是一项局部的技术，也不是传统配电网的简单改进与提高，而是将各种配电新技术进行有机的集成、融合，使系统的性能出现革命性的变化。它具有以下功能特征[1]。

（1）更高的安全性

能够有效抵御自然灾害与外力破坏的影响。

（2）自愈能力

能够及时检测出已发生或正在发生的故障并进行相应的纠正性操作,使其不影响用户的正常供电或将其影响降至最小。

（3）更高的电能质量

提供电压有效值和波形符合用户要求的电能。

（4）支持分布式电源的大量接入

不再像传统电网只能被动地硬性限制分布式电源的接入点与容量,而是从有利于可再生能源发电足额上网、提高运行效率、节省整体投资出发,积极接入分布式电源并发挥其作用。

（5）支持与用户的互动

一是应用智能电表,实行动态实时电价,让用户自行选择用电时段；二是允许用户拥有的分布式电源(包括电动车等)向电网送电。

（6）对配电网及其设备进行可视化管理

实时采集配电网及其设备运行数据以及电能质量、故障停电等数据,为运行人员提供高级的电网监控界面,克服目前的“盲管”现象。

（7）配电管理与用电管理的信息化

将配电网实时运行与离线管理数据高度融合、深度集成,实现设备管理、检修管理、停电管理以及用电管理的信息化。

配电网直接面向用户，是保证供电质量、提高运行效率的关键环节。由于智能配电网功能的进一步完善，大大增加了电力通信网络中的信息量。为保证更高的安全性和自愈能力，要对电力设备进行实时的监测、可视化管理并诊断设备运行状态，实施状态检修，延长设备使用寿命，也能实时地反映出整个电力网的运行状态。保证了配电网的安全性和自愈能力的同时，大量的被检测信息、视频监控图像和设备的运行参数也加大了配电网中的信息传输，而不法分子进入配电网恶意篡改电力设备的运行参数，发出虚假的设备警报信息等行为，都将给电网的运行带来巨大的损失。智能配电网提出分布式电源的接入，要求建立一个分布式电源管理系统，把分布式电源集成入配电网，使分布式电源能够提供辅助服务，分布电源的大量电能信息需要在配电网中传输，以便整个电网的调配，如果无法保证这些电能信息的安全传送会给电力部门带来直接的经济损失。最后，对于配电管理与用电管理的信息化更是加大了网络中高信息量的负担，管理人员的本地数据安全更是关系到整个系统的安全。

为了确保智能配电网信息安全，要对电力信息通信网络的操作者进行严格的身份核查，以免不法分子进入电力专网窃取重要信息和修改敏感信息。同时还要保证存储在工作人员电脑上的相关电力信息安全，所以急需一种非常有效的身份认证手段以及一种保护本地数据安全的方法。

3 USBKey技术介绍

随着互联网和电子商务的发展，USBKey作为网络用户身份识别和数据保护的电子钥匙正在被越来越多的用户所认识和使用。USBKey是一种采用USB接口的硬件存储器件，它搭载单片机或智能卡芯片，有一定存储空间，可以存储用户私钥和数字证书。

USBKey具有安全的存储空间，可以存储数字证书、用户密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户私钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性。内置CPU或智能卡芯片，可以使用的数据摘要、数据加解密和签名的各种算法，加解密运算在USBKey内进行，保证了用户密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性[2]。采用双因子方式保障安全性，在使用USBKey时要求输入PIN码，用户只有同时拥有USBKey硬件和PIN码才能进行操作。USBKey采用的USB接口已经广泛应用，而且如拇指般大的USBKey非常方便随身携带，并且密钥和证书不可导出，Key的硬件不可复制，保证了使用的安全可靠[2]。

利用USBKey技术，电力信息的网管中心可以有效地对用户端身份进行认证。通过把密钥安全存储在USBKey中，能够防止泄漏、篡改并保证密钥不落地；通过网管平台进行统一的密钥分配和管理，可以在一定程度上消除密钥管理中潜在的安全隐患。利用USBKey所具有的安全数据存储空间来构建一个对本地计算机文件加解密系统，提高本地工作人员计算机上的文件安全性。

4 USBKey认证系统的设计

USBKey认证系统采用的是基于公钥基础设施（PKI）的数字证书认证模式，可以有效保证用户的身份安全和数据传输安全。USBKey存储了数字证书和用户私钥，在USBKey内用私钥将原文加密，与原文和数字证书一起打包通过网络传输，服务器端接收后还原出数字证书，利用公钥解密，结果与原文校验，确定用户合法性。而数字证书存储在USBKey中可以保障数字证书无法被复制，所有密钥运算在USBKey中实现，用户密钥不在计算机内存出现也不在网络中传播，只有USBKey的持有人才能够对数字证书进行操作[3]。

（1）USBKey认证系统构成

USBKey认证系统主要包括认证中心、验证服务器和USBKey。认证中心实际是PKI的核心，它是数字证书的申请注册、证书签发和管理机构[3]。签名验证服务器完成数字签名服务以及验证其数字签名是否真实。USBKey是数字证书及密钥的载体。USBKey认证系统如图1所示。只有通过了身份认证才能进入电力信息网络，访问内部的数据库和服务器。

（2）USBKey认证的流程

USBKey认证采用目前普遍使用的基于PKI的数字证书验证方式，这种方式既保证了数据传输安全，也保证了用户身份安全。认证过程主要分为两部分：客户端数字签名过程和服务器端验证过程[3]。签名验证流程如图2所示。

客户端数字签名过程：首先，用户需要输入PIN码，启动USBKey；然后，计算机将待发送信息传送到USBKey上，通过USBKey的内置加密算法，将用户登录信息及待发送信息进行签名加密；加密结束后，通过计算机上的控件读取USBKey中存储的数字证书及已经过加密的信息，再根据加密消息的语法标准（PKCS#7），将原文、签名后的密文和自己的数字证书打包；最后，客户端将打包报文发送给认证服务器。

服务器端验证过程：认证服务器收到报文，根据PKCS#7格式读出打包信息；然后，认证服务器验证用户端所提供数字证书的有效期、证书链，并完成使用权限检查，验证失败则放弃。有效期、证书链和权限检查通过后，认证服务器即利用用户数字证书的公钥对用户所提供的密文进行解密。解密后的报文和原文核对，相同则表明接受由用户提交的数字证书所申明的身份，允许此用户的数据接入电力信息网。

5 基于USBKey的文件加解密方案

加密文件系统是在操作系统级保护系统和防止用户敏感数据泄漏的一种有效手段[4]。为了满足智能配电网的用户数据的安全以及数据使用的方便性，给出了一种文件加密的方案。首先，USBKey记录下欲加密文件及其后缀名，然后用私钥对欲加密的文件内容进行加密，加密完成后以相同的文件后缀名存放在计算机的指定路径中，最后对计算机中的原文件进行粉碎，防止数据恢复软件对数据进行恢复，这样文件加密就已完成。对于文件的解密，首先就是要把加密的数据传输到USBKey内，用公钥对加密后的文件进行解密，解密后的文件不会传输到计算机上，而是暂时存储在USBKey内，供工作人员进行修改和查看。这样用户密钥就不会在计算机中出现，而只出现在用户的USBKey中，也保证了加密和解密文件的操作在用户可信任设备中进行，对于原始文件也不会在计算机中出现，大大保证了文件的安全性。

本设计方案，充分地利用了USBKey中安全的存储空间，保证了原始数据不会出现在客户的计算机中，形成了一个很好的物理形式的隔离，使客户的计算机只存储已加密的文件，即使这些文件被他人获得，也因为没有USBKey中的密钥而无法打开文件。对于文件的加密、解密以及对文件的编辑修改的操作也是很简单的。把加密文件复制到USBKey的同时，USBKey就根据自己的公钥把文件进行解密并且安放在USBKey内安全的存储空间内，在这片空间内，可以对原始文件进行修改和阅览。当修改或阅览完毕时，再对文件进行加密并覆盖原始文件。

文件的加解密系统还可以与认证系统相结合，认证中心通过用户的公钥可以解密用户的数据，通过身份认证后，用户加密后的文件可以直接传送到电力信息网络中，同时还实现了用户与用户之间的安全性。

6 结束语

本文分析了智能配电网给电力通信的安全性带来的挑战，同时也介绍了USBKey技术及其优势，并综合了当前USBKey技术的发展，设计了一个基于USBKey技术可靠的网络认证体系以及一种本地用户加解方案，来保证电力通信的网络安全以及电力员工计算机内重要信息的安全。希望本文能为电力公司加强新形式下的智能配电网信息安全提供一些参考。