數(shù)字化電網(wǎng)發(fā)展中的信息安全系統(tǒng)設(shè)計及應(yīng)用

汪 剛,王 萍

（南京工業(yè)職業(yè)技術(shù)學院,江蘇南京,210023）

數(shù)字化電網(wǎng)發(fā)展中的信息安全系統(tǒng)設(shè)計及應(yīng)用

汪 剛,王 萍

（南京工業(yè)職業(yè)技術(shù)學院,江蘇南京,210023）

隨著數(shù)字化時代的來臨，各個行業(yè)的數(shù)字化程度越來越高，這也帶來了數(shù)字化的信息安全問題，并會關(guān)系到很多方面。如何解決這個問題顯得迫在眉睫。本文以我國電網(wǎng)為研究對象，簡要探討數(shù)字化電網(wǎng)發(fā)展中信息安全系統(tǒng)設(shè)計。此次設(shè)計采取雙層加密方式即AES算法以及MD5算法實現(xiàn)，同時采用XML的許可證結(jié)構(gòu)完成實際應(yīng)用。

數(shù)字化；電網(wǎng)；信息安全；系統(tǒng)設(shè)計；應(yīng)用

0 引言

目前各國電網(wǎng)的建設(shè)開始不斷地朝著信息標準化集成化等方向發(fā)展，信息化開始被應(yīng)用到電網(wǎng)的各個環(huán)節(jié)，不管是發(fā)電、輸電、變電、配電還是用戶的服務(wù)等都在全面的想著的智能化的方向發(fā)展。它與傳統(tǒng)的電網(wǎng)相比對于數(shù)字化的要求變得更高，使得各個信息實現(xiàn)了互聯(lián)。這種數(shù)字化電網(wǎng)技術(shù)要求也是越來越高，同時會帶來一系列的問題，例如電網(wǎng)設(shè)計以及信息安全問題是一個關(guān)鍵技術(shù)難題，開始不斷地困擾著電網(wǎng)發(fā)展管理人員。所以對于這些問題都要亟待解決。

1 數(shù)字化電網(wǎng)信息安全相關(guān)技術(shù)研究

現(xiàn)在的數(shù)字化電網(wǎng)是一個高度集成化、信息化的多層次復雜系統(tǒng)，這個系統(tǒng)的設(shè)計應(yīng)該在前期設(shè)計好對應(yīng)的運行控制，特別是信息安全控制。在相關(guān)的控制中，安全問題一般包括三個方面：控制系統(tǒng)安全、信息系統(tǒng)安全以及在應(yīng)用中的安全問題。當下電力企業(yè)主要采用安全分區(qū)、橫向隔離、網(wǎng)絡(luò)占用以及縱向認證等方式來進行系統(tǒng)安全控制。在具體的技術(shù)實現(xiàn)上主要包括入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離、認證技術(shù)以及機密技術(shù)等技術(shù)。以上的網(wǎng)絡(luò)隔離技術(shù)可以對不同的網(wǎng)絡(luò)功能要求以及不同的保密程度進行區(qū)分和隔離；入侵檢測可以在短時間內(nèi)檢測到對系統(tǒng)的有危害的各種黑客以及病毒等；防火墻主要實現(xiàn)的是對用戶的一個過濾的過程；加密技術(shù)具有很好地保密作用，特別是對于一些比較敏感的文件；認證技術(shù)的使用可以實現(xiàn)對各個訪問路徑進行前期的控制目的；而最后的IP檢測過程尤為重要，它可以很好地防止外界的IP欺騙最大限度的防止了各種竊聽、偽裝以及任意篡改等問題?？偟膩碚f數(shù)字化的電網(wǎng)信息安全技術(shù)的控制過程是一個集聚優(yōu)缺點的嘗試過程，所以要根據(jù)實際的電網(wǎng)情況進行對應(yīng)的整合和科學的處理，只有這樣才能保證數(shù)字電網(wǎng)的安全。而事實上要想保證數(shù)字化電網(wǎng)的信息安全問題就必須要進行嚴密的系統(tǒng)安全設(shè)計，這個設(shè)計一定是符合各個數(shù)字化電網(wǎng)完全系統(tǒng)的實際要求。

2 信息安全系統(tǒng)設(shè)計方案

2.1 信息安全框架

在前期設(shè)計中安全的框架一定是包括三個方面的。其中信息安全中心是最核心的環(huán)節(jié)，第二個是各個節(jié)點的電網(wǎng)信息的交互連接，最后是安全中心的實際安全策略。具體情況如下。

2.1.1 信息安全中心是真?zhèn)€系統(tǒng)的核心

通過信息安全中心這個核心可以實現(xiàn)安全策略的制定、發(fā)布以及實施，同時還可以為整個系統(tǒng)提過對應(yīng)的認證服務(wù)。信息安全中心還包括了三個方面：CA中心、安全策略管理中心、各個節(jié)點管理中心。CA中心實際上是一個層次化的結(jié)構(gòu)，CA系統(tǒng)有著非常多的功能而一個非常關(guān)鍵的功能就是它可以對證書進行發(fā)放和撤銷。安全策略管理可以在前期接受對應(yīng)管理員的安全策略，然后對各個節(jié)點實施安全策略下發(fā)。這里的節(jié)點管理系統(tǒng)指的是所有的節(jié)點，可以向管理員提供一定的節(jié)點信息還包括各種信息的查詢。

2.1.2 節(jié)點是電網(wǎng)信息交互的實體

在電網(wǎng)的運行中各個節(jié)點是各個實體的交互式實現(xiàn)依據(jù)，它包含了很多的環(huán)節(jié)。例如對應(yīng)的信息管理中心以及各種授權(quán)服務(wù)和加密服務(wù)，在最末端還有客戶端服務(wù)等，整個流程下來實現(xiàn)信息的安全交互。管理中心負責接收信息安全中心傳來的安全策略，對授權(quán)服務(wù)以及加密服務(wù)進行控制。整個過程就是一個信息流加密來保護信息流的安全性和私密性。這樣客戶端就可以通過許可證來對信息流進行解密然后使用安全可靠的信息流。

2.1.3 安全中心的安全策略制定

安全中心的安全策略包括信息流的加密算法，節(jié)點與節(jié)點之間的信息交互以及各個使用的權(quán)限。首先信息安全中心會將信息安全策略發(fā)送給對應(yīng)的節(jié)點。節(jié)點之間再次進行信息的交換。在安全控制中是以各個節(jié)點為一個主體，實現(xiàn)安全策略。直接規(guī)定了節(jié)點之間信息交互的方式以及信息的實際權(quán)限，這樣做可以滿足種類多樣的電網(wǎng)用戶以及多變的環(huán)境，在一定程度上保證了整個系統(tǒng)的多樣性。

2.2 雙層加密機制

對于數(shù)字化電網(wǎng)信息的具體的防護環(huán)節(jié)其中一個比較重要的環(huán)節(jié)。關(guān)系到電網(wǎng)的實際運行以及具體的調(diào)度。在運行以及調(diào)度中要很好地杜絕外部或者是內(nèi)部的信息竊取。于是在對數(shù)字化的電網(wǎng)信息設(shè)計中采取了雙層的加密機制，保證了敏感新的安全和完整。在具體的加密中對于內(nèi)容的加密主要是通過隨機生成的加密的密鑰CKEY同時也對應(yīng)的生成了HKEY。這個方案采用可AES的算法來實現(xiàn)，可以對相關(guān)的敏感信息加密而HMAC算法可以對加密后的信息生成的摘要形成密鑰摘要，而這個摘要密鑰采用的是HKEY。

2.2.1 AES算法的實現(xiàn)

這里的AES算法可以保證或信息內(nèi)容的完整性，其中的HMAC算法可以快速發(fā)現(xiàn)外部原因?qū)π畔?nèi)容的篡改，這樣就可以在源頭上保證了信息完整性。要想保證CKEY、HKEY在實際的信息流運行中對用生成的摘要密鑰以及信息密鑰的安全性，在進行安全加密的同時還要加入一定的權(quán)限，只有這樣才能保證兩種密鑰的安全。

2.2.2 MD5算法的實現(xiàn)

在第二層的加密中具體的加密方案是利用MD5的算法來生成CKEY、HKEY 還包括各種權(quán)限以及信息的摘要。在設(shè)計中選取了證書中的私鑰作為前期的加密密鑰，對于加密信息摘要這里采取的是RSA算法。具體的方法是選取對方的節(jié)點證書作為整個公鑰的加密密鑰。利用RSA算法來加密了CKEY、HKEY 以及權(quán)限信息，將這些經(jīng)過加密后的信息存入到許可證當中。當每一個節(jié)點想要獲得信息時，可以將自己的節(jié)點許可證作為私鑰的解密密鑰。這個時候可以選著對方的公鑰而這個公鑰可以作為解密的密鑰，利用RSA算法可以先解密出摘要，再利用摘要來判斷出信息的完整性。如果發(fā)現(xiàn)信息是完整的就可以利用CKEY來進行原始信息的解密。

以上采取的雙層加密機制成功的將信息以及對應(yīng)的密鑰權(quán)限進行了保護，管理員可以根據(jù)實際的情況靈活制定對應(yīng)的安全策略。一般情況下都會采取定期改變CKEY的安全策略，這樣從長期來看可以保證系統(tǒng)的整體安全性；在雙層的加密中還進行了密鑰的交換技術(shù)，這樣又可以再一次提高了信息傳播的安全問題。

2.3 基于XML的許可證結(jié)構(gòu)

隨著數(shù)字化電網(wǎng)的發(fā)展，其中的信息種類也在不斷地改變和增加，這就需要系統(tǒng)具有很強的可拓展性以靈活性，只有這樣才能保證各個系統(tǒng)之間的操作具有實際效用。具體可采用拓展標志語言（XML）來對信息的權(quán)限進行描述，其中包含了所有許可證的基本信息，甚至包括了許可證的簽發(fā)時間；而權(quán)限的信息包含了節(jié)點信息的使用權(quán)，包括可以實現(xiàn)讀寫以及各種修改等其中的數(shù)字簽名等授權(quán)服務(wù)，可以對節(jié)點信息的完整性和安全性進行判定。

3 結(jié)語

隨著電力的發(fā)展以及計算機信息技術(shù)控制和管理信息技術(shù)的互聯(lián)交叉式的操作，使得電網(wǎng)信息安全問題變得越發(fā)的嚴重同時難度也變得更大。所以各個電力管理部門應(yīng)加大在這方面的研究，從而保證數(shù)字化電網(wǎng)信息安全問題能夠得到及時科學的解決。在本次研究中主要對數(shù)字化電網(wǎng)運行中信息安全系統(tǒng)進行了相關(guān)設(shè)計。整個設(shè)計設(shè)計采取雙層加密方式即AES算法以及MD5算法實現(xiàn)，同時采用XML的許可證結(jié)構(gòu)完成實際應(yīng)用，最大程度的保證了信息安全問題。

[1] 涂衛(wèi)平, 周華鋒. 電力系統(tǒng)信息安全標準的發(fā)展及其在數(shù)字化變電站中的應(yīng)用[J]. 廣東電力, 2009, 22:16-20. DOI:doi:10.3969/j.issn.1007-290X.2009.08.004.

[2] 許瑾, 王洪誠, 沈霞,等. 數(shù)字化電網(wǎng)信息安全系統(tǒng)的設(shè)計[J]. 微計算機信息, 2011, 第6期:155-157. DOI:doi:10.3969/j.issn.2095-6835.2011.06.062.

汪剛 男 1978.11 籍貫：安徽桐城 蘇州大學碩士.研究領(lǐng)域：計算機軟件研究與開發(fā)、信息網(wǎng)絡(luò)及安全技術(shù)研究

Information Security System Design and Application in the Development of Digitized Power Grid

Wang Gang,Wang Ping
(Nanjing Institute of Industry Technology,Nanjing,210023,China)

The advent of digital age comes with an increasing degree of digitization in various industries. However,it also brings with some security problems,related to many aspects of information security.It seems imminent to solve these problems.Based on this situation,this paper,taking China's power grid as the object of research,briefly discusses an information security system design in the development of digital power grid, which takes an approach of double encryption,namely,AES algorithm and MD5 algorithm, and at the same time uses XML license structure to complete practical applications.

digitization; power grid;information security;system design;application