孙跃，杨晟，龚钢军，杨佳轩，周波

SUN Yue1，YANG Sheng2，GONG Gangjun2，YANG Jiaxuan2，ZHOU Bo2

（1.国网冀北电力有限公司电力科学研究院，北京100045；2.北京市能源电力信息安全工程技术研究中心（华北电力大学），北京102206）

（1.State Grid Jibei Electric Power Research Institute，Beijing 100045，China；2.Beijing Engineering Research Center of Energy Electric Power Information Security（North China Electric Power University），Beijing 102206，China）

0 引言

为了加快构建清洁、高效、安全、可持续的现代能源体系，国家积极推进能源互联网试点示范，鼓励各企业探索新技术、新模式、新业态。2019 年，国家电网有限公司对建设电力物联网作出全面部署，开启电网战略转型之路。受当前技术和投资的限制，以主动配电网支撑的区域能源互联网是现阶段能源互联网落地的最佳选择［1-5］。区域能源互联网主要基于110 kV 电压等级以下的配电网，并依据配电物联网支撑实现能源互联、信息共享、业务互动，因此，区域能源互联网应是“主动配电网+配电物联网”的综合有机体。

随着配电网源-荷两端随机性的增强，配电网的结构和潮流方向均发生了显著变化，电网也由传统单一的电能传输分配角色转变为集电能收集、电能传输、电能分配和电能存储于一体的新型电力交换系统，亟须通过物联网技术实现主动控制。泛在电力物联网在运行方式、拓扑形态等方面可以很好地支撑主动配电网的建设［6-8］，但配电网运行环境复杂，既要基于配电物联网来实现泛在物联和全景感知，又要面对由于物联网灵活多样的接入环境和方式、数量庞大的终端带来的配电网结构和边界的动态多变，同时还要面临更高的安全风险，因此，有必要开展攻防结合、里外兼顾、多维融合的配电网信息安全纵深防护体系的研究。

本文针对配电网的互补耦合和扁平化管理结构需求，以及现有能源电力信息安全“重边界，轻内部”的被动式和预防性的防御现状，研究如何从配电网物联网的体系结构和内部机制方面提升主动配电网的信息安全防御能力，实现配电物联网自身环境可信、运行机制可信和数据可信等3 个维度的内生安全管理，全面提升配电网的信息安全防御水平。

1 主动配电网的信息安全研究现状

近几年来，伴随着能源互联网和智能电网建设的全面推进，配电互联网的发展面临诸多挑战，如分布式能源、电动车、控制负荷等电网新要素的出现以及新要素的动态、大规模接入等，都对配电网络的能源高效配置、灵活调度有了更高的要求。因此，主动配电网将成为传统配电网的转变方向。2008 年国际大电网会议C6.11 项目组提出了主动配电网这一概念，主动配电网采用灵活的网络拓扑结构，可以有效地控制潮流，为局部分布式发电提供主动控制和主动管理。随着微网技术的日益成熟和新型智能负荷的大规模引入，配电网呈现出拓扑结构和边界动态变化的新特征，能量类型逐步多样化，不同类型能量使用性能也存在着差异。因此，通过以微网为载体的形式将分布式能源和新型负荷接入配电网，实现了灵活、高效的配电网管理。

随着主动配电网的发展，用电侧的能量流和信息流交互需求愈加频繁，用户侧安装了具备多种功能的新型智能电表；同时，为了给用户侧提供更好的能量流和信息流的交互服务，开放的通信网络也是必需的。开放的通信网络以及各种新型智能电表等的灵活接入，无形中增加了潜入路径和威胁接入点。针对配电终端侧，随着用户侧的需求越来越高，各类终端装置的功能越来越多，新型负荷装置需要与电力系统产生更加深入的交互。面对越来越高的功能需求，配电终端及配用电侧负荷的信息安全也变得至关重要，如果负荷被非授权用户恶意占用或非法使用，造成的后果将会是极其严重的。除此之外，配电网的智能监控系统就是配电自动化系统，它负责对配电网运行进行监测与控制，其信息安全不仅关乎自身系统的运行，更关乎于整个配电网的正常运行。而配电自动化系统稳定可靠运行的重要条件是数据的真实、有效和实时。因此，针对配电自动化系统各层次的信息安全防护研究也是主动配电网信息安全防护研究的重点之一。

智能电网和能源互联网的重要基础是主动配电网，它有效地保证了对用电侧负荷的高效感知和主动控制，为电网的稳定运行起到了关键的支撑作用，因此保护其信息数据安全尤其重要。目前，主动配电网的研究成果主要集中在能源智能化协调控制、超短期负荷预测和分布式电网实时监测等方面，针对信息安全的研究较为匮乏，关于双向需求互动用电的信息安全关键技术尤其欠缺，信息安全建设的相关标准也有待完善。因此，对于主动配电网信息安全防护体系的研究尤为重要。

主动配电网中用户与电网的信息流交互集中在用户侧，随着电力用户参与的不断深入和信息通信技术开放性、互动性的增强，网络信息安全事故发生率不断升高。因此，电力系统信息安全问题备受关注，国内外相关研究机构纷纷着手于安全标准制定、安全风险分析与评估等。其中IEC 62351 安全国际标准最为典型，该标准提出在通信系统不同层面采取不同措施以保证信息安全。北美电力可靠性协会制定了《关键设施保护》标准，以保护电网不受访问控制存在的控制缺陷、软件漏洞或其他控制系统漏洞造成的信息安全事件威胁。国际电工委员会提出关于双向需求互动用电的安全需求，强调同期研究安全需求的解决方案和智能电网高级量测体系的其他功能。同时，信息化是发展国家电网有限公司提出的“坚强智能电网”的基础和保障，要始终把自主、可控放在重要位置。

2 可信计算与区块链技术

2.1 可信计算

随着计算机及网络的普及，信息安全问题愈发突出，排在前3位的安全威胁为恶意代码攻击、信息非法窃取、数据和系统非法破坏，其中，以用户私密信息为目标的恶意代码攻击超过传统病毒成为最大的安全威胁。这些安全威胁的根源在于没有从体系架构上建立计算机的恶意代码攻击免疫机制。

可信计算就是在此背景下提出的一种技术理念，它通过建立一种特定的完整性度量机制，使计算平台运行时具备分辨可信程序代码与不可信程序代码的能力，从而对不可信的程序代码建立有效的防治措施。

可信计算是以密码芯片为可信根，建立计算平台安全功能体系，解决计算平台核心安全问题［9-11］，其技术原理如图1 所示（图中:BIOS 为基本输入输出系统；OS为操作系统）。

图1 可信计算技术原理Fig.1 Principles of trusted computing technology

可信计算平台通过以下3类机制实现平台安全功能。

（1）以可信度量根为起点，计算系统平台完整性度量值，建立计算机系统平台信任链，确保系统平台可信，抵御病毒等恶意代码攻击。

（2）可信报告根标志平台身份的可信性，具有唯一性，以可信报告根为基础，实现平台身份证明和完整性证明，从而识别假冒平台。

（3）基于可信存储根，实现密钥管理、平台数据安全保护功能，提供相应的密码服务，从而确保受保护数据不会被非法拷贝。

2.2 区块链技术

比特币之父中本聪在2008 年发表的《比特币:一个P2P 电子现金系统》一文中提到了比特币背后的核心技术——区块链技术，区块链的去中心化、对等等特点迅速吸引众多学者探究其在各个领域应用的可能性。

金融行业最先掀起区块链的应用浪潮，比特币诞生后，以太币、莱特币等数字货币也先后面世。与此同时，纽交所、纳斯达克等大型金融集团陆续以创业投资的方式加入区块链领域，在众多项目中，作为分布式账本初创公司的R3CEV 提出的区块链金融项目，已有汇丰、高盛、摩根大通等25家大型银行集团表示出浓厚的兴趣。

良好的数据透明性和可靠性是区块链能够从单一的货币应用逐渐拓展到更多领域的关键。现如今，我国能源体制改革尚处于起步阶段，而区块链在建立和维护信用等方面低成本的特点与能源互联网的发展趋势十分吻合，由此可见，区块链技术在能源行业的应用前景十分广阔。

区块链作为一个分布式的数据库和去中心化的对等（P2P）网络，具有智能合约、分布决策、协同自治、防篡改的高安全性和公开透明等特征，在运行方式、拓扑形态、安全防护等方面与配电物联网有相似之处［12-14］，可基于区块链技术将配电物联网概念升级到配电物联网2.0 时代，即配电区块链时代。

3 基于可信计算和区块链的配电物联网内生安全

3.1 “云-边-端”架构的配电物联网主站端和边缘端的分级可信免疫管控策略

配电物联网具有广泛接入、交互互联等特点，因此信息安全隐患也越来越多，传统被动式防御策略对针对电网内部的攻击效果甚微。近年来出现的震网（Stuxnet）病毒事件、乌克兰电网遭黑客攻击事件、以色列国家电网大规模网络攻击事件等造成重大影响的安全事件，不仅危及电网，还涵盖了天然气、石油、汽油以及供水系统。由此可见，多数攻击事件的攻击对象是关键基础设施（即终端），如果能在终端接入电网前就保证其安全可信，就从根源上降低了恶意攻击事件发生的可能性。此外，网络传输过程中的安全可信认证机制也是安全防护的重要内容之一。因此，本文基于配电物联网架构，分析针对内部终端的主动可信防护薄弱点，研究其进行主动防御的可信计算环境。

目前，电力二次系统安全防护总体策略可概括为安全分区、网络专用、横向隔离、纵向认证4 个部分［15-16］，针对内部终端的主动可信防护薄弱点显而易见:配电物联网终端数量多，部署环境开放，易被攻击，缺乏对配电终端和物联网终端的安全可信认证；终端入网的连接可信性不能保障，终端入网环节仍有可能被攻击者恶意利用。

可信计算技术通过“计算＋保护”的双体系结构，有效弥补了计算平台本体的安全漏洞，可保障配电物联网系统内部操作系统、业务程序、操作逻辑的完整性，使其免受恶意代码和操作的干扰，达到类似生物体的安全免疫系统功效［17-18］。

因此，本文基于泛在电力物联网的“云-边-端”架构与边缘计算技术，减轻配电主站端的处理负荷，从而构建配电物联网主站端和边缘端的分级可信免疫管控策略，保证配电物联网的安全稳定，如图2 所示（图中:RTU 为远程终端单元；DTU 为配电终端单元；FTU 为馈线终端设备；TTU 为配电变压器远方终端）。

可信计算一般分为节点可信、网络连接可信和应用可信3 个层次:节点可信层为整个主动免疫系统提供信任起点，是主动免疫系统的源头；网络连接可信层承担节点之间交互的免疫，是网络可信的关键部分；应用可信层为节点和网络提供免疫支持和服务，更新安全策略，增强节点的免疫能力。

图2 “云-边-端”架构的配电物联网主站端和边缘端的分级可信免疫管控策略Fig.2 Hierarchical credibility immune management and control strategy for the master station and the terminals of the distribution IoT with a"cloud-side-user"architecture

本文构建的配电物联网主站端和边缘端的分级可信免疫管控策略每一级分别实现可信计算的节点可信、网络连接可信和应用可信3 个层次的功能，将安全接入区和可信管控下放至边缘侧，利用边缘计算技术实现计算、分析与安全控制的本地化和就地化，提升处理效率和响应速率，减轻主站端的处理负荷，支撑远程和本地化处理协同与优化管理。

3.2 基于区块链的配电物联网节点映射模型

区块链技术在运行方式、拓扑形态、双边协商、安全防护等方面与配电物联网有相似之处，因此，本文开展区块链和配电物联网的物理、逻辑、功能、协议等对应映射模型的研究，以区块链技术支撑配电物联网对等互联式的数据安全交互与分享，确保配电物联网的分布决策和协同自治管理机制的安全可信以及数据防篡改和可追溯。

区块链技术去中心化和去信任的特点使得网络中的每个节点均参与相关工作，例如数据交互及记录管理等，但网络中的节点差异性较大，其计算能力不尽相同，故难以要求全部节点都负担安全防护的任务，因此将节点类型分为2类:（1）全节点，具有完整的区块结构与链上数据，每个节点配置有区块链中的所有功能；（2）轻节点，节点只保留链上的部分数据，不为整体网络提供算力，依托全节点的功能参与网络中的简单验证［19-20］。

本文参照区块链节点类型并依据配电物联网中各节点的计算能力、安全防护能力和数据的重要性，将配电物联网各节点映射为2 类区块链节点:（1）分布电源、电网、配电终端、大用户负荷、储能装置、物联网网关等类节点为全节点或主节点，其计算、存储和安全防护能力最强，具有保存完整区块、路由、查询和安全验证等完整功能；（2）物联网终端节点为轻节点或从节点，该类节点算力输出和存储空间均不足以保留完整的区块链，仅具有保存区块链、路由、查询及简单安全验证等基础功能。

3.3 基于可信计算和区块链的配电物联网内生安全防护模型

可信计算技术实现了配电物联网的节点可信、网络连接可信和应用可信的安全可信运行环境，即自身安全可信的维度管控；而区块链实现了配电物联网的分布决策和协同自治管理机制的可管和可信，即运行管理机制安全可信的维度管控。因此，本文在构建配电物联网主站端和边缘端的分级可信免疫管控策略的基础上，在每一级分别实现可信计算的节点可信、网络连接可信和应用可信等3 个层次功能，并将配电网和配电物联网中各节点的计算能力、安全防护能力和数据重要性等特点分别映射为全节点或主节点、轻节点或从节点，从而结合配电业务感知设备和网络安全管理的需求，搭建基于区块链的配电物联网分布决策和协同自治模型，并建立配电物联网的“可管可控、精准防护、可视可信、智能防御”安全防护模型，如图3所示。

图3 基于可信计算和区块链的能源互联网内生安全防护模型Fig.3 Endogenous security protection model for energy internet based on trusted computing and blockchain

配电物联网运行前，各级节点之间进行逐级的可信认证与连接，双方通过公钥与私钥进行非对称加密互验身份后建立起临时的通信信道，通过传递可信报告并与白名单进行对比确定其是否处于安全可信的状态。可信认证逐级进行，信任链从主站端逐渐传递到边缘端；同时，主站、子站、智能终端之间搭建的联盟链进一步保证了链上数据的不可篡改性与可溯源性。

4 结束语

本文基于区块链与可信计算深入探究了配电物联网的内生安全，在设计“云-边-端”架构的配电物联网主站端和边缘端的分级可信免疫管控策略的基础上，搭建了基于区块链的配电物联网分布决策和协同自治模型，并建立配电物联网的“可管可控、精准防护、可视可信、智能防御”安全防护模型，实现了配电物联网自身环境可信、运行机制可信和数据可信等3 个维度的内生安全管理，全面提升了配电网的信息安全防御水平。