国家电网公司PKI/CA认证体系的建设思路

信息安全是信息化推进的重要保障,面对智能电网带来的安全风险和挑战,国家电网公司需要建立全网的安全认证体系,来保证数据的可靠性和保密性。分析了国家电网公司公钥基础设施/认证中心(PKI/CA,Public Key Infrastructure/Certificate Authority)体系的架构,提出了各组成部分的功能和部署模式,对于已建 CA 系统的网省公司采取"入根"方式形成统一信任域。提出了建设企业级 PKI/CA 系统的几个关键性问题,针对国家电网公司的特点,重点研究了 PKI/CA系统的安全区域划分,数字证书库的部署等核心建设问题。     

PKI技术在昆明供电局的应用

为最大限度地降低业务应用系统的安全隐患,全方位保证业务应用系统的安全,以公钥基础设施（Public Key Infrastructure,PKI）技术为核心,建设统一的PKI/CA数字身份认证系统。通过该系统的建设,统一了信息系统访问的身份认证方式,实现了PKI/CA体系与信息应用系统的有机结合,解决了业务系统安全管理等复杂的问题。昆明供电局通过建立PKI体系,为企业业务应用构建了一个信息安全基础平台,同时也为企业信息化建设、应用系统开发提供可靠的安全标准。     

PKI在电力系统信息网络安全中的应用

随着电力系统网络建设的迅速发展，信息安全日益重要，而公钥认证体系已逐渐成为网络信息安全系统的主流。提出在电力系统中可以运用PKI(公钥基础设施)技术建立管理平台，以保护电力信息网络的安全性，并从技术、应用和安全管理等方面加以探讨。     

基于VPN的电力调度数据网络安全方案

在分析电力调度数据网络现有的基于公钥数字证书的公钥基础设施/认证中心(PKI/CA)的安全系统基础上,针对调度数据网络中实时性与安全性需求之间的矛盾,提出了新的身份认证和密钥协商安全方案,通过改进基于有限域上离散对数的数字签名和密钥协商算法,将身份认证和密钥协商融合在一次会话中,并且使安全方案不依赖于第三方的在线证书系统,同时在现有的虚拟专用网(VPN)安全框架内对冗余功能进行了裁剪,取代了传统的PKI/CA体制,在保证电力调度数据网络安全性需求的同时满足了实时性需求.     

电力企业集中式电子商务平台信息安全建设研究

为降低招投标成本,提升物资管理水平,调研了某大型电网公司集中式电子商务平台的建设背景,明确了该平台的主要业务与技术架构,分析了安全需求与风险,依据国家信息安全等级保护基本要求与电子招标投标办法的技术规范,设计并阐述了平台中从基础设施到应用的层次化安全架构与实施效果,研究了公钥基础设施/认证中心(PKI/CA)体系在其中的安全防护应用,平台已经部署上线,目前信息安全状况良好。     

基于PKI的身份认证系统的研究与设计

公钥基础设施是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,文中分析了PKI技术,提出了一种基于PKI体系结构的身份认证模型的方案,给出了其流程图。该身份认证系统利用PKI技术,并结合数字签名的原理来进行通信双方身份的识别,并采用权威机构CA发放的证书作为通信双方的身份标识。     

基于PKI/PMI和Agent的电力企业单一登录方法

针对电力企业信息系统集成的高安全性要求,提出一种基于电力行业公钥基础设施/授权管理基础设施(public key infrastructure/privilege management infrastructure,PKI/PMI)的单一登录模型,并给出相关算法的具体实现过程。单一登录系统通过PKI/PMI完成身份认证和授权功能,同时采用基于代理的系统模型,让用户使用统一账号登录,同时不用修改旧的账号/口令系统,从而尽可能少地修改应用服务程序就能满足电力企业网络信息安全要求。该系统为电力企业集成操作和实现安全的统一调度提供了参考。     

贵州电网PKI／CA实施应用探讨

1.PKI／CA技术概论 PKI是Public Key Infrastructure的缩写,即“公钥基础设施”,PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。     

数字证书技术在电力二次系统中的实现及应用

分析了电力二次系统所面临的风险;简要阐述了电力二次系统安全防护相关规定;介绍了在我国电力调度系统内专用的证书服务系统;说明了证书服务系统签发的数字证书的几种典型应用。电力调度证书服务系统是依据《电力二次系统安全防护总体方案》进行设计的,一款基于PKI(Public Key Infrastructure,公钥基础设施)技术,但又不同于传统CA(Certificate Authority,证书颁发机构)的,分布式的,符合我国电力调度系统具体情况的公钥证书管理系统。该系统签发的数字证书,已经在我国电力调度系统内有着广泛的应用。     

内蒙古电力PKI／CA认证体系的初步规划和建设

从内蒙古电力业务系统的实际需求出发,对规划和建设内蒙古电力PKI／CA认证体系的必要性及可行性进行了分析,提出了PKI／CA认证是保障内蒙古电力各项信息系统安全的一项基础设施。对目前市场上主流的3种建设模式的优缺点进行了分析,结合内蒙古电力自身应用系统的实际情况和特点,提出内蒙古电力PKI／CA体系的建设应采用完全自建的模式。对内蒙古电力PKI／CA认证体系总体规划以及与现有系统整合进行简要介绍。     

电力调度证书系统的特点及应用

分析了电力二次系统所面临的风险;简要阐述了电力二次系统安全防护相关规定;介绍了在我国电力调度系统内专用的证书服务系统;说明了证书服务系统签发的数字证书的几种典型应用。文中介绍的基于公钥基础设施(public key infrastructure,PKI)技术的电力调度证书服务系统是一款由中国电力科学研究院开发的、基于PKI技术的分布式证书管理系统,符合我国电力调度系统的具体情况,在结构上与传统的证书颁发机构不同。该系统签发的数字证书已经在我国电力调度系统内广泛应用。     

构建可控的内网安全管理系统

以遵义供电局内网安全管理的目标为研究对象,构建一个可控的内网安全管理体系。根据遵义供电局的IT基础架构环境的特点和现状,提出了PKI／CA技术、AD域技术和端点准入技术三种技术无缝融合为一体的统一内网计算机身份认证的设想。通过前期调研、考察学习、二次开发等综合手段实现了实名制准入（即3合1认证）。表明了3合1认证的设想是科学的、先进的,符合构建可控的内网安全管理体系这一核心目标。     

分布式LDAP及其在电力系统PKI中的应用

作为访问信息服务开放标准协议的轻量级目录访问协议（LDAP）．其最大优势是可以在任何计算机平台上访问LDAP目录。分析了公钥基础设施（PKI）中传统的LDAP服务体系结构会造成LDAP系统负载过大而导致网络堵塞的缺点．提出了基于分布式LDAP服务体系结构设计方法。详细讨论了电力系统PKl分布式LDAP的设计原则、总体框架、目录数据及系统的安全性设计。PKI已经用于办公自动化、用电营销等电力业务系统．基于分布式LDAP的设计方法保证了PKI体系的安全。     

基于PKI/PMI的变电站自动化系统访问安全管理

随着信息技术的发展,电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求,其中有关智能电子设备(IED)的访问 安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现 IED的访问安全,而公钥基础设施／权限管理基础设施(PKI／PMI)体制正在电力系统企业中广泛 推行,通过设计专用的认证访问处理模块实现二者的有机结合,采用基于角色的访问控制(RBAC) 模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析,证明该系统 能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应 用系统统一管理的实际需要,相关的密码算法遵循国家密码管理局的商用密码管理条例,设计内容 既符合国际标准的发展方向,为电力系统通信安全标准的制定提供了参考,又能满足国家对信息安 全方面的特殊要求。     

基于改进认证协议的电力LTE专网安全接入技术

面对输电线路海量监测终端的无线接入,解决电力LTE无线专网安全接入问题显得十分重要。为了提高电力终端接入LTE专网的安全性和认证效率。提出基于公钥密钥机制安全性增强的认证和密钥协商机制(SE-EPSAKA),引入传输层安全(TLS)协议的公钥基础设施(PKI),利用非对称加密算法生成动态的传输密钥;同时建立MAC地址历史访问状态表和优先访问机制。并对所提方案进行安全性和耗时性分析比较,实验证明:所提出的新方案提高终端接入的安全性和认证效率,具有较好的实用性。