電力物聯(lián)網(wǎng)傳感裝置安全接入技術(shù)

李少秋

摘要：近年來，經(jīng)濟(jì)的發(fā)展，促進(jìn)我國科技水平的提升?？萍嫉倪M(jìn)步促進(jìn)物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)中的應(yīng)用，在電力生產(chǎn)、輸送、消費(fèi)、管理各環(huán)節(jié)，廣泛部署了具有一定感知能力、計(jì)算能力和執(zhí)行能力的智能傳感裝置，促進(jìn)電網(wǎng)生產(chǎn)運(yùn)行及企業(yè)管理全過程的全景全息感知、信息融合及智能管理與決策。智能傳感裝置在改善電力系統(tǒng)現(xiàn)有基礎(chǔ)設(shè)施利用效率，為電網(wǎng)發(fā)、輸、變、配、用電等環(huán)節(jié)提供重要技術(shù)支撐的同時，也為電網(wǎng)的信息網(wǎng)絡(luò)帶來極大地安全風(fēng)險。為避免數(shù)量眾多的智能裝置帶來安全風(fēng)險，對智能終端傳感裝置進(jìn)行身份認(rèn)證和識別，實(shí)現(xiàn)安全加密的數(shù)據(jù)傳輸，是物聯(lián)網(wǎng)應(yīng)用中必須正視和解決的問題。本文就電力物聯(lián)網(wǎng)傳感裝置安全接入技術(shù)展開探討。

關(guān)鍵詞：電力物聯(lián)網(wǎng);網(wǎng)絡(luò)安全;傳感器

引言

近年來，隨著我國電子信息技術(shù)的不斷發(fā)展與廣泛應(yīng)用，網(wǎng)絡(luò)通信這一新媒體技術(shù)成為了當(dāng)下各企業(yè)競相追逐的研發(fā)目標(biāo)。智能數(shù)字媒體化時代的來臨，推進(jìn)了各個行業(yè)的智能化改革，其中，智能電網(wǎng)建設(shè)與移動通信技術(shù)的發(fā)展便是這一推進(jìn)下的產(chǎn)物。

1物聯(lián)網(wǎng)及物聯(lián)網(wǎng)感知層

電力物聯(lián)網(wǎng)是物聯(lián)網(wǎng)技術(shù)在電網(wǎng)的應(yīng)用，從技術(shù)角度分為三層：感知層、網(wǎng)絡(luò)層、應(yīng)用層。如圖1所示，感知層基于低功耗廣域網(wǎng)、移動無線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、近場無線通信、有線網(wǎng)絡(luò)等多種通信方式傳輸數(shù)據(jù);感知層通過Internet網(wǎng)絡(luò)傳輸數(shù)據(jù)到網(wǎng)絡(luò)服務(wù)。物聯(lián)網(wǎng)感知層具有節(jié)點(diǎn)數(shù)量大，存儲、運(yùn)算能力有限，數(shù)據(jù)類型和網(wǎng)絡(luò)類型復(fù)雜多樣等特點(diǎn)，易于受到外部的網(wǎng)絡(luò)安全風(fēng)險。針對感知層節(jié)點(diǎn)，主要的安全風(fēng)險包括節(jié)點(diǎn)物理攻擊、替換攻擊、假冒攻擊、中間人攻擊等，所以感知層的節(jié)點(diǎn)必須具備身份識別的安全機(jī)制。針對感知層網(wǎng)絡(luò)，主要的安全風(fēng)險包括網(wǎng)關(guān)節(jié)點(diǎn)物理攻擊、信息截取和泄漏攻擊、DoS攻擊等，所以建立從終端節(jié)點(diǎn)到網(wǎng)關(guān)節(jié)點(diǎn)，再到網(wǎng)絡(luò)服務(wù)的全鏈路身份認(rèn)證和數(shù)據(jù)加密的安全機(jī)制。

2安全接入流程概述

安全終端和安全接入平臺共同構(gòu)成完整的安全接入體系。安全接入平臺內(nèi)部各功能組件通過平臺總線進(jìn)行高速消息、數(shù)據(jù)通訊，對外提供一致的安全服務(wù)，并和外圍的第三方系統(tǒng)進(jìn)行有機(jī)集成通訊。移動安全客戶端請求連接安全接入網(wǎng)關(guān)的站點(diǎn)服務(wù)，身份認(rèn)證系統(tǒng)負(fù)責(zé)審核用戶的身份是否合法，審核通過以后，安全接入網(wǎng)關(guān)站點(diǎn)服務(wù)器會向客戶端分配虛擬IP，客戶端依據(jù)分配的IP連接安全接入網(wǎng)關(guān)服務(wù)器，連接成功之后安全接入網(wǎng)關(guān)通過外網(wǎng)口接收IP數(shù)據(jù)包，IP數(shù)據(jù)包經(jīng)過源地址轉(zhuǎn)換后，通過安全接入網(wǎng)關(guān)內(nèi)網(wǎng)口傳遞至數(shù)據(jù)過濾服務(wù)器，數(shù)據(jù)過濾是一臺硬件隔離服務(wù)器，主要工作原理是將接收到的來自網(wǎng)關(guān)的IP數(shù)據(jù)包與過濾服務(wù)器配置的規(guī)則匹配（主要根據(jù)訪問的目的服務(wù)器的IP和端口進(jìn)行過濾），數(shù)據(jù)傳遞至內(nèi)網(wǎng)服務(wù)器。

3方案

3.1總體方案

電力物聯(lián)平臺安全接入基于CPK組合公鑰生產(chǎn)中心和管理中心實(shí)現(xiàn)傳感裝置密鑰管理，基于物聯(lián)云平臺為核心實(shí)現(xiàn)設(shè)備統(tǒng)一接入以及身份認(rèn)證和權(quán)限控制，并實(shí)現(xiàn)物聯(lián)設(shè)備和物聯(lián)應(yīng)用的完全解耦，簡化設(shè)備接入和物聯(lián)應(yīng)用的開發(fā)?？傮w架構(gòu)圖如圖2所示。密鑰生產(chǎn)中心：基于種子密鑰卡生產(chǎn)雙因子密鑰并加密，種子密鑰卡采用嚴(yán)格措施安全加密。傳感器（終端節(jié)點(diǎn)）：持有基于用戶標(biāo)識的私鑰和公鑰矩陣，實(shí)現(xiàn)身份識別、身份認(rèn)證和數(shù)據(jù)傳輸加密。匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)：既有基于用戶標(biāo)識的私鑰和公鑰矩陣，驗(yàn)證傳感器的身份并解密數(shù)據(jù);另外，面向消息網(wǎng)關(guān)實(shí)現(xiàn)自身身份識別、身份認(rèn)證和數(shù)據(jù)傳輸加密。消息網(wǎng)關(guān)：基于物聯(lián)協(xié)議MQTT實(shí)現(xiàn)同傳感裝置之間的數(shù)據(jù)傳輸，持有私鑰和公鑰矩陣，用以驗(yàn)證匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)的身份，解密數(shù)據(jù)并轉(zhuǎn)發(fā)到物聯(lián)云平臺內(nèi)部組件。物聯(lián)云平臺實(shí)現(xiàn)設(shè)備注冊，設(shè)備狀態(tài)管理等功能，對物聯(lián)傳感裝置的統(tǒng)一管控，設(shè)備即使離線，物聯(lián)應(yīng)用也可訪問設(shè)備狀態(tài)。此外，云平臺基于規(guī)則實(shí)現(xiàn)傳感裝置的消息處理，轉(zhuǎn)發(fā)到應(yīng)用服務(wù)，解耦物聯(lián)應(yīng)用和物聯(lián)設(shè)備。

3.2電力移動終端的安全需求

（1）為保障實(shí)現(xiàn)電力移動終端關(guān)鍵部位、系統(tǒng)代碼等完整性的認(rèn)證，必須在電力移動終端提供安全措施，進(jìn)而創(chuàng)造一個安全的工作環(huán)境;（2）為實(shí)現(xiàn)終端用戶的身份認(rèn)證，嚴(yán)格控制訪問的渠道與訪問內(nèi)容，防止程序之間的信息讀取與修改，必須完善電力移動終端的控制策略，進(jìn)而保障應(yīng)用程序之間的安全通信;（3）為實(shí)現(xiàn)信息數(shù)據(jù)的分類儲存，電力移動終端還應(yīng)該具備針對不同數(shù)據(jù)文件采取不同安全措施的能力，杜絕潛在危險的發(fā)生;（4）為保護(hù)信息數(shù)據(jù)不外泄，電力移動終端還應(yīng)該具有一套獨(dú)特的自我防御機(jī)制，對于敏感信息泄漏后，會進(jìn)行自我銷毀。

3.3物聯(lián)云平臺

物聯(lián)云平臺是面向電力物聯(lián)網(wǎng)的解耦物聯(lián)設(shè)備和物聯(lián)應(yīng)用，提供物聯(lián)設(shè)備的統(tǒng)一安全接入，物聯(lián)消息數(shù)據(jù)的統(tǒng)一存儲、分析和轉(zhuǎn)發(fā)，同物聯(lián)應(yīng)用松耦合集成的服務(wù)平臺。物聯(lián)平臺的網(wǎng)絡(luò)層的核心通信協(xié)議目前有多種協(xié)議互相競爭，IBM推出的MQTT被AmazonIoT平臺采用，具有其低功耗、高QoS等優(yōu)勢，且兼容HTTP協(xié)議。匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)同物聯(lián)平臺之間的通信流程如下，但是作為匯聚層，首先驗(yàn)證終端節(jié)點(diǎn)，接收消息并解密。然后，將終端節(jié)點(diǎn)的數(shù)據(jù)匯聚之后，以自己的密鑰再次加密發(fā)送到物聯(lián)平臺。匯聚節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)注冊：首先生成隨機(jī)序列，以私鑰簽名隨機(jī)序列發(fā)送給物聯(lián)云平臺。物聯(lián)云平臺從公鑰矩陣獲取網(wǎng)關(guān)節(jié)點(diǎn)公鑰，對網(wǎng)關(guān)節(jié)點(diǎn)簽名進(jìn)行驗(yàn)證，如驗(yàn)證不通過，則斷開同網(wǎng)關(guān)節(jié)點(diǎn)的連接。如果驗(yàn)證通過，則同樣使用自己的私鑰簽名發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)。網(wǎng)關(guān)節(jié)點(diǎn)從公鑰矩陣獲取物聯(lián)云平臺的公鑰，對物聯(lián)云平臺的簽名進(jìn)行驗(yàn)證。驗(yàn)證通過則建立可信鏈接，交換數(shù)據(jù)加密用的隨機(jī)密鑰。網(wǎng)關(guān)節(jié)點(diǎn)傳輸數(shù)據(jù)時使用隨機(jī)密鑰，采用對稱加密算法SM4加密數(shù)據(jù)，發(fā)送到物聯(lián)云平臺。物聯(lián)云平臺使用同樣的隨機(jī)密鑰，采用對稱加密算法SM4等對數(shù)據(jù)進(jìn)行解密。

結(jié)語

信息安全接入平臺是構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)信息安全接入體系的核心基礎(chǔ)安全防護(hù)設(shè)施，承擔(dān)智能電網(wǎng)各種復(fù)雜網(wǎng)絡(luò)環(huán)境下智能終端實(shí)時監(jiān)控、安全接入、數(shù)據(jù)安全傳輸與交換、主動防御預(yù)警等重要功能。其設(shè)計(jì)開發(fā)質(zhì)量、整體防護(hù)強(qiáng)度直接關(guān)系到智能電網(wǎng)環(huán)境下電力信息網(wǎng)絡(luò)底層安全，意義深遠(yuǎn)。

參考文獻(xiàn)

[1]黃朔.WiMAX標(biāo)準(zhǔn)下3G技術(shù)在智能電網(wǎng)中的運(yùn)用分析[J].現(xiàn)代電子技術(shù)，2015，34（1）：20–22.

[2]王雅娟，喬嘉賡.基于分層思想的電力通信網(wǎng)絡(luò)綜合評價模型[J].電力系統(tǒng)通信，2016，33（3）：36–39.