论文部分内容阅读
摘要:近年来,经济的发展,促进我国科技水平的提升。科技的进步促进物联网技术在智能电网中的应用,在电力生产、输送、消费、管理各环节,广泛部署了具有一定感知能力、计算能力和执行能力的智能传感装置,促进电网生产运行及企业管理全过程的全景全息感知、信息融合及智能管理与决策。智能传感装置在改善电力系统现有基础设施利用效率,为电网发、输、变、配、用电等环节提供重要技术支撑的同时,也为电网的信息网络带来极大地安全风险。为避免数量众多的智能装置带来安全风险,对智能终端传感装置进行身份认证和识别,实现安全加密的数据传输,是物联网应用中必须正视和解决的问题。本文就电力物联网传感装置安全接入技术展开探讨。
关键词:电力物联网;网络安全;传感器
引言
近年来,随着我国电子信息技术的不断发展与广泛应用,网络通信这一新媒体技术成为了当下各企业竞相追逐的研发目标。智能数字媒体化时代的来临,推进了各个行业的智能化改革,其中,智能电网建设与移动通信技术的发展便是这一推进下的产物。
1物联网及物联网感知层
电力物联网是物联网技术在电网的应用,从技术角度分为三层:感知层、网络层、应用层。如图1所示,感知层基于低功耗广域网、移动无线网络、无线网络、近场无线通信、有线网络等多种通信方式传输数据;感知层通过Internet网络传输数据到网络服务。物联网感知层具有节点数量大,存储、运算能力有限,数据类型和网络类型复杂多样等特点,易于受到外部的网络安全风险。针对感知层节点,主要的安全风险包括节点物理攻击、替换攻击、假冒攻击、中间人攻击等,所以感知层的节点必须具备身份识别的安全机制。针对感知层网络,主要的安全风险包括网关节点物理攻击、信息截取和泄漏攻击、DoS攻击等,所以建立从终端节点到网关节点,再到网络服务的全链路身份认证和数据加密的安全机制。
2安全接入流程概述
安全终端和安全接入平台共同构成完整的安全接入体系。安全接入平台内部各功能组件通过平台总线进行高速消息、数据通讯,对外提供一致的安全服务,并和外围的第三方系统进行有机集成通讯。移动安全客户端请求连接安全接入网关的站点服务,身份认证系统负责审核用户的身份是否合法,审核通过以后,安全接入网关站点服务器会向客户端分配虚拟IP,客户端依据分配的IP连接安全接入网关服务器,连接成功之后安全接入网关通过外网口接收IP数据包,IP数据包经过源地址转换后,通过安全接入网关内网口传递至数据过滤服务器,数据过滤是一台硬件隔离服务器,主要工作原理是将接收到的来自网关的IP数据包与过滤服务器配置的规则匹配(主要根据访问的目的服务器的IP和端口进行过滤),数据传递至内网服务器。
3方案
3.1总体方案
电力物联平台安全接入基于CPK组合公钥生产中心和管理中心实现传感装置密钥管理,基于物联云平台为核心实现设备统一接入以及身份认证和权限控制,并实现物联设备和物联应用的完全解耦,简化设备接入和物联应用的开发。总体架构图如图2所示。密钥生产中心:基于种子密钥卡生产双因子密钥并加密,种子密钥卡采用严格措施安全加密。传感器(终端节点):持有基于用户标识的私钥和公钥矩阵,实现身份识别、身份认证和数据传输加密。汇聚节点/网关节点:既有基于用户标识的私钥和公钥矩阵,验证传感器的身份并解密数据;另外,面向消息网关实现自身身份识别、身份认证和数据传输加密。消息网关:基于物联协议MQTT实现同传感装置之间的数据传输,持有私钥和公钥矩阵,用以验证汇聚节点/网关节点的身份,解密数据并转发到物联云平台内部组件。物联云平台实现设备注册,设备状态管理等功能,对物联传感装置的统一管控,设备即使离线,物联应用也可访问设备状态。此外,云平台基于规则实现传感装置的消息处理,转发到应用服务,解耦物联应用和物联设备。
3.2电力移动终端的安全需求
(1)为保障实现电力移动终端关键部位、系统代码等完整性的认证,必须在电力移动终端提供安全措施,进而创造一个安全的工作环境;(2)为实现终端用户的身份认证,严格控制访问的渠道与访问内容,防止程序之间的信息读取与修改,必须完善电力移动终端的控制策略,进而保障应用程序之间的安全通信;(3)为实现信息数据的分类储存,电力移动终端还应该具备针对不同数据文件采取不同安全措施的能力,杜绝潜在危险的发生;(4)为保护信息数据不外泄,电力移动终端还应该具有一套独特的自我防御机制,对于敏感信息泄漏后,会进行自我销毁。
3.3物联云平台
物联云平台是面向电力物联网的解耦物联设备和物联应用,提供物联设备的统一安全接入,物联消息数据的统一存储、分析和转发,同物联应用松耦合集成的服务平台。物联平台的网络层的核心通信协议目前有多种协议互相竞争,IBM推出的MQTT被AmazonIoT平台采用,具有其低功耗、高QoS等优势,且兼容HTTP协议。汇聚节点/网关节点同物联平台之间的通信流程如下,但是作为汇聚层,首先验证终端节点,接收消息并解密。然后,将终端节点的数据汇聚之后,以自己的密钥再次加密发送到物联平台。汇聚节点/网关节点注册:首先生成随机序列,以私钥签名随机序列发送给物联云平台。物联云平台从公钥矩阵获取网关节点公钥,对网关节点签名进行验证,如验证不通过,则断开同网关节点的连接。如果验证通过,则同样使用自己的私钥签名發送给网关节点。网关节点从公钥矩阵获取物联云平台的公钥,对物联云平台的签名进行验证。验证通过则建立可信链接,交换数据加密用的随机密钥。网关节点传输数据时使用随机密钥,采用对称加密算法SM4加密数据,发送到物联云平台。物联云平台使用同样的随机密钥,采用对称加密算法SM4等对数据进行解密。
结语
信息安全接入平台是构建坚强智能电网信息安全接入体系的核心基础安全防护设施,承担智能电网各种复杂网络环境下智能终端实时监控、安全接入、数据安全传输与交换、主动防御预警等重要功能。其设计开发质量、整体防护强度直接关系到智能电网环境下电力信息网络底层安全,意义深远。
参考文献
[1]黄朔.WiMAX标准下3G技术在智能电网中的运用分析[J].现代电子技术,2015,34(1):20–22.
[2]王雅娟,乔嘉赓.基于分层思想的电力通信网络综合评价模型[J].电力系统通信,2016,33(3):36–39.
关键词:电力物联网;网络安全;传感器
引言
近年来,随着我国电子信息技术的不断发展与广泛应用,网络通信这一新媒体技术成为了当下各企业竞相追逐的研发目标。智能数字媒体化时代的来临,推进了各个行业的智能化改革,其中,智能电网建设与移动通信技术的发展便是这一推进下的产物。
1物联网及物联网感知层
电力物联网是物联网技术在电网的应用,从技术角度分为三层:感知层、网络层、应用层。如图1所示,感知层基于低功耗广域网、移动无线网络、无线网络、近场无线通信、有线网络等多种通信方式传输数据;感知层通过Internet网络传输数据到网络服务。物联网感知层具有节点数量大,存储、运算能力有限,数据类型和网络类型复杂多样等特点,易于受到外部的网络安全风险。针对感知层节点,主要的安全风险包括节点物理攻击、替换攻击、假冒攻击、中间人攻击等,所以感知层的节点必须具备身份识别的安全机制。针对感知层网络,主要的安全风险包括网关节点物理攻击、信息截取和泄漏攻击、DoS攻击等,所以建立从终端节点到网关节点,再到网络服务的全链路身份认证和数据加密的安全机制。
2安全接入流程概述
安全终端和安全接入平台共同构成完整的安全接入体系。安全接入平台内部各功能组件通过平台总线进行高速消息、数据通讯,对外提供一致的安全服务,并和外围的第三方系统进行有机集成通讯。移动安全客户端请求连接安全接入网关的站点服务,身份认证系统负责审核用户的身份是否合法,审核通过以后,安全接入网关站点服务器会向客户端分配虚拟IP,客户端依据分配的IP连接安全接入网关服务器,连接成功之后安全接入网关通过外网口接收IP数据包,IP数据包经过源地址转换后,通过安全接入网关内网口传递至数据过滤服务器,数据过滤是一台硬件隔离服务器,主要工作原理是将接收到的来自网关的IP数据包与过滤服务器配置的规则匹配(主要根据访问的目的服务器的IP和端口进行过滤),数据传递至内网服务器。
3方案
3.1总体方案
电力物联平台安全接入基于CPK组合公钥生产中心和管理中心实现传感装置密钥管理,基于物联云平台为核心实现设备统一接入以及身份认证和权限控制,并实现物联设备和物联应用的完全解耦,简化设备接入和物联应用的开发。总体架构图如图2所示。密钥生产中心:基于种子密钥卡生产双因子密钥并加密,种子密钥卡采用严格措施安全加密。传感器(终端节点):持有基于用户标识的私钥和公钥矩阵,实现身份识别、身份认证和数据传输加密。汇聚节点/网关节点:既有基于用户标识的私钥和公钥矩阵,验证传感器的身份并解密数据;另外,面向消息网关实现自身身份识别、身份认证和数据传输加密。消息网关:基于物联协议MQTT实现同传感装置之间的数据传输,持有私钥和公钥矩阵,用以验证汇聚节点/网关节点的身份,解密数据并转发到物联云平台内部组件。物联云平台实现设备注册,设备状态管理等功能,对物联传感装置的统一管控,设备即使离线,物联应用也可访问设备状态。此外,云平台基于规则实现传感装置的消息处理,转发到应用服务,解耦物联应用和物联设备。
3.2电力移动终端的安全需求
(1)为保障实现电力移动终端关键部位、系统代码等完整性的认证,必须在电力移动终端提供安全措施,进而创造一个安全的工作环境;(2)为实现终端用户的身份认证,严格控制访问的渠道与访问内容,防止程序之间的信息读取与修改,必须完善电力移动终端的控制策略,进而保障应用程序之间的安全通信;(3)为实现信息数据的分类储存,电力移动终端还应该具备针对不同数据文件采取不同安全措施的能力,杜绝潜在危险的发生;(4)为保护信息数据不外泄,电力移动终端还应该具有一套独特的自我防御机制,对于敏感信息泄漏后,会进行自我销毁。
3.3物联云平台
物联云平台是面向电力物联网的解耦物联设备和物联应用,提供物联设备的统一安全接入,物联消息数据的统一存储、分析和转发,同物联应用松耦合集成的服务平台。物联平台的网络层的核心通信协议目前有多种协议互相竞争,IBM推出的MQTT被AmazonIoT平台采用,具有其低功耗、高QoS等优势,且兼容HTTP协议。汇聚节点/网关节点同物联平台之间的通信流程如下,但是作为汇聚层,首先验证终端节点,接收消息并解密。然后,将终端节点的数据汇聚之后,以自己的密钥再次加密发送到物联平台。汇聚节点/网关节点注册:首先生成随机序列,以私钥签名随机序列发送给物联云平台。物联云平台从公钥矩阵获取网关节点公钥,对网关节点签名进行验证,如验证不通过,则断开同网关节点的连接。如果验证通过,则同样使用自己的私钥签名發送给网关节点。网关节点从公钥矩阵获取物联云平台的公钥,对物联云平台的签名进行验证。验证通过则建立可信链接,交换数据加密用的随机密钥。网关节点传输数据时使用随机密钥,采用对称加密算法SM4加密数据,发送到物联云平台。物联云平台使用同样的随机密钥,采用对称加密算法SM4等对数据进行解密。
结语
信息安全接入平台是构建坚强智能电网信息安全接入体系的核心基础安全防护设施,承担智能电网各种复杂网络环境下智能终端实时监控、安全接入、数据安全传输与交换、主动防御预警等重要功能。其设计开发质量、整体防护强度直接关系到智能电网环境下电力信息网络底层安全,意义深远。
参考文献
[1]黄朔.WiMAX标准下3G技术在智能电网中的运用分析[J].现代电子技术,2015,34(1):20–22.
[2]王雅娟,乔嘉赓.基于分层思想的电力通信网络综合评价模型[J].电力系统通信,2016,33(3):36–39.