密码技术在配网自动化中的访问控制研究
2012-03-19项彬陈泓祁兵
项 彬 陈 泓 祁 兵
(1.华北电力大学电气与电子工程学院,北京 102206; 2.华北电力大学控制与计算机学院,北京 102206)
电力是国家能源的基础和经济发展的驱动力,是我国经济社会快速、稳定、可持续发展的重要保障,电力系统的安全可靠运行对于维护社会稳定、经济发展具有至关重要的作用[1]。当前,能源问题日益凸显,节能减排、绿色能源成为各国关注的焦点。如何改造现有的能源利用体系,创建新型的能源消费模式,以最大限度地提高电网体系的能源效率是人们共同的目标。在经济技术发展和社会进步需求的大背景下,我国提出了建设坚强智能电网的国家方案,利用先进的技术提高电力系统的能效,提高电网的安全性可靠性和自动化水平。
作为智能电网的重要组成部分,随着国民经济的不断发展和电网改革的不断深入,我国配电网的自动化水平也不断提高。配网是联系电力系统和居民客户的纽带,它稳定与否,关系到居民的用电服务质量和电力系统的安全,配网信息安全,在很大程度上决定了电网控制系统的安全,其重要性不言而喻。因此,如何有效的保障配网自动化信息安全已成为一项非常紧迫的任务。电力信息安全问题属于信息通信技术领域,采用密码技术是有效保障配网信息安全的重要技术手段。本文对配网自动化通信系统的访问控制展开研究,基于现代密码技术,采用PKI协议模型,提出一种基于身份认证的智能访问控制方案。
1 密码技术简介
密码技术是保护信息安全的主要手段之一,是访问控制、身份认证的核心。它是一门结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,不仅具有保证信息机密性的信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能[2]。所以,使用密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确定性,防止信息被篡改、伪造和假冒。
图1 加密和解密
图1是密码技术的一个简单图示,其中消息被称为明文,用某种方法伪装消息以隐藏它的内容的过程称为加密,被加密的消息称为密文,而把密文转化为明文的过程称为解密。明文用M或P表示,它可能是位序列、语音序列或数字化的视频图像等。密文用C表示,它也可能是二进制数据。加密函数E作用于M得到C,可以数学公式表示:
相反地,解密函数D作用于C产生M:
先加密后在解密,原始的明文将会恢复,故下面的等式成立:
如果一个算法的保密性是基于保持算法的秘密,该算法被称为受限制的算法。受限制的算法但按现在的标准,其保密性已达不到要求,且其无法进行质量控制和进行标准化。现代密码学用密钥解决了个问题,密钥可以是很多数值里的任意值。密钥K的可能值的范围叫做密钥空间。加密和解密运算都使用这个密钥,所有运算都依赖密钥,这样,加密/解密函数变成
该函数特性如图2所示。
随着社会经济的高速发展,生活水平不断提高,人民环保意识也在逐渐增强,面对日益恶化的水体环境,要求改善和治理河道环境的呼声越来越高。江苏省常州市委、市政府高度重视水环境综合治理,2006年开始实施清水工程,工程内容涵盖城区186条河道,整治方向在最初控源截污、清淤活水的基础上不断深化,并引入生态治水的理念,开展城区河道的生态修复示范。通过“控源截污、调水、疏浚、生态修复”等措施,消除了河道黑臭,改善了河道水质,美化了河道景观,部分河道从“龙须沟”变成“水清鱼跃、岸绿鸟飞”的景观河。
图2 密钥加密、解密
根据密钥K1和K2的值是否相同,又可以分为对称密钥和非对称加密。密码技术是保证信息安全的一个首选方法,目前,虽然已经有许多关于电子商务的安全技术和标准出现,但多数情况下,密码技术仍是保证信息的机密性的唯一的方法,基于此,本文将采用基于身份认证的密码体制实现智能配电网的访问控制。
2 配网自动化
配电网自动化是运用信息通信技术、自动控制技术等技术手段,对配电网进行智能化监控与管理,使配电网始终处于安全、可靠、高效的最优运行状态。其最终目的是为了提高供电可靠性和供电质量,缩短事故处理时间,减少停电范围,减少事故的损失,提高配电系统运行的经济性,降低运行维护费用,最大限度提高电力企业的经济效益,提高整个配电系统的管理水平、工作效率以及为用户服务的水平。
2.1 主要功能及组成
1)自动设备管理系统
根据配电网的电压、功率因数、电流等参数,自动控制无功补偿电容器的投切、变压器有载分接开关分接头的档位等功能。
2)配电工作管理系统
网络分析、运行管理、设备检修管理、配电工程设计,合理分割变电所配电负荷,电线负荷调整,实施电线、配电网络改造和发展规划等各种设计任务,以及线损计算等。
3)客户信息系统
4)负荷管理系统
负荷曲线调整;分类电价管理、负荷监控、需方发电管理等。
5)计量、计费系统
实现自动抄表、自动生成账单、与银行系统联网等。
6)用电营业管理系统
客户用电申请、业扩报装、咨询服务、电能计量、收费管理、用电检查、故障报修等功能。
2.2 配网自动化的网络架构
目前配电网自动化系统典型的体系结构如图1所示。
从图3可以看出,配电自动化系统一般由主站、子站、底层终端以及他们之间的通信网络组成。其中:
主站层:主要设备包括后台服务器、工作站、网络管理系统等,负责分析处理由通信汇聚层传送的各种信息,提供配网自动化的决策服务,主站层内部采用高速以太网,实现实时数据迅速更新和共享。一般设置在市级或地区级分局。
图3 配电网通信架构
子站层:是配网自动化的中间层,向上与配网主站等各个系统进行计算机通信,向下与所辖区内终端设备进行通信,完成终端设备数据的集中和转发,同时还完成传输数据所必要的错误检测、路由选择、传输安全等功能。一般设置在县级分局各变电站。
终端接入层:处于网络最底层,包括FTU、TTU等,主要完成对支线开关、配电变压器、配电室、环网开关、箱式变等现场信息的采集,经过简单处理后发给子站层,并执行上级下发的控制命令的。一般布置在小区或者台区变电站等应用现场。
通信网络部分通常由通信主机、网络设备、适配器和通信介质等组成。
3 配网自动化保护控制方案
随着配网自动化的发展, 在电力系统中的实时数据越来越多,终端接入层和主站层的信息交互不断增强,电力网络的负荷不断增大。配网信息安全问题会直接威胁到电力系统的安全、稳定、经济、可靠的运行,如何保证底层终端接入网络,防止非法访问,保证配网自动化通信系统的信息安全成为倍受人们关注的一个问题。
本文提出了一种基于身份认证的密码体制保护方案,在该保护控制方案中,终端要接入网络获取信息时,有一个身份认证的过程,认证成功则允许接入,认证失败则拒绝访问。身份认证是建立安全通信的前提,只有通信双方相互确认身份后才能建立安全的通信连接。因此,身份认证在网络安全中占据十分重要的位置。
3.1 身份认证
简单地说,身份认证就是证明自己是谁的一种技术手段,通过提供的信息来惟一标识你自己区别于其他事物。随着网络技术和密码技术的不断发展,密码技术已经很广泛地运用于网络通信当中。
身份认证是通过身份认证协议来完成的。身份认证协议是一种特殊的通信协议,它规定了参与认证的双方在身份认证过程中交换信息的格式、时序以及语义。目前大部分采用密码学机制,比如用加密算法来保证消息的保密性和完整性。常用的身份认证协议包括SSL协议、SET协议、Kerberos协议、PKI协议等,这里我们采用PKI协议进行重点介绍。
3.2 PK I协议
PKI(Public Key Infrastructure)即公开密钥体系,是一个利用现代密码学的公钥密码技术,在开放网络环境中提供数据加密以及身份认证的技术框架[3]。一个完整的PKI系统必须具备身份认证机构(CA)、密钥生成库、加密/解密算法、和应用接口(API)等基本组成部分。
1)身份认证机构(Certificate Authority):简称CA,是PKI的核心组成部分,也称作认证中心,是PKI应用中权威的、可信任的、公正的第三方机构。
2)密钥生成库:在使用公钥体制的网络环境中,一对密钥包含一个公钥和一个私钥,它们是一一对应的。公钥是大家都可知的,而密钥只有服务器惟一知晓。通过对比密钥是否相同就可以验证身份的合法性。
3)加密/解密算法:根据系统提供的明文或者密文进行加密和解密,根据算法是否相同可以分为对称加密和非对称加密。
4)PKI应用接口系统: PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保所建立起来的网络环境安全可信,并降低管理成本。没有PKI应用接口系统,PKI就无法有效地提供服务[4]。
3.3 访问控制
在配网自动化系统当中,当有终端要接入网络访问相应资源的时候,访问控制服务器会根据身份认证的结果来决定下一步操作。目标是通信双方进行相互认证,从而达到访问控制的目的。认证过程从终端发起,具体的过程如下所述:
当接入层终端要入网时,向主站发送连接请求,请求包里面包含有该终端的PID信息,主站收到终端的连接请求后,自动查找PID数据库,如果该PID不存在,则终止连接,如果存在,那么密钥数据库随机生成一对密钥(K 1,K2), 并根据系统采用的加密算法对公钥K1加密,然后将结果发给终端,终端收到后也根据自己的私钥和解密算法对该密文解密,得到结果K3,反馈给主站服务器,主站对比K 2和K 3的值,若不等,说明终端非法接入,终止连接,若相等,则系统认证中心人为该终端具有合法性,系统会根据其分配的权限采取相应的动作。
图4 身份认证流程图
4 结论
基于身份认证的密码技术已经比较成熟,在电子商务等领域有着广泛的应用。随着智能电网的快速发展,配网自动化水平不断提升,配网中电力信息的安全问题日益凸显。本文针对智能配电网存在的信息安全问题,采用身份认证的密码体制,提出一种配网自动化中通信系统的访问控制方案。该方案能有效解决配网中主站和终端的身份认证问题,对于提高电力信息安全作用明显,而且该方案所提供的理论体系可以应用到智能电网信息安全的其他层次,为解决智能电网信息安全提供一种新的思路。
[1] 孙中伟,马亚宁,王一容,等. 基于EPON的配电网自动化通信系统及其安全机制[J].电力系统自动化,2010,34(8):72-75.
[2] 徐艺,李武杭,侯雅林.无源光网络技术在配网自动化中的应用[J].电网技术,2008,32(8): 95-96
[3] 党卫红.浅析网络身份认证技术[J].濮阳职业技术学院学报,2005,23(2):27-30.
[4] 王景伟,郭英敏.密码技术在信息网络安全中的应用[J].专题研究,2009,25(5):48-50.