基于PKI/PMI的AAAA服务器在电力系统信息安全中的应用研究

为了简化电力系统信息网络应用中的访问控制和权限管理系统的维护,提高电力信息网安全,文章以PKI体系为基础,借助于PMI技术,将用户身份认证和授权管理集成,同时辅以日志审计和用户管理功能,构建一个集成的AAAA服务器,并介绍了各个功能模块的组成部分.该服务器实现了对用户身份认证和访问的权限的集中管理和控制,在电力二次系统信息管理中有较广阔前景.     

基于网络准入控制的内网安全防护方案探讨

为抵御来自内网的安全威胁,保障供电局网络信息安全,探讨内网安全防护方案.通过分析内网信息安全事件原因,对比两种802.1X认证的控制方式,根据内网安全现状和需求,采用NAC准入控制系统结合接入交换机基于端口的802.1x认证方式,设计了桂林供电局内网安全防护解决方案.给出了网络准入控制系统的总体系统架构及策略管理服务器、准入控制服务器、接入层交换机等系统组成部分的具体部署方式.应用效果表明,该方案在病毒防范等内网安全防护方面有积极作用.     

光伏系统测量体系G3_PLC通信技术实现

对适合光伏测量体系的通信技术展开研究,基于G3_PLC技术给出光伏测量体系通信网络架构,通信终端硬件采用MCU控制载波模块来实现,通过交直流耦合单元实现不同电力线上的数据互通,分析通信网络的可靠性,互操作性,高速性和安全性,基于楼顶10 k W光伏发电系统直流电力线和楼内插座交流电力线环境布置通信节点进行通信网络测试,实验结果显示,各通信节点均可通过安全认证加入网络,mesh网络拓扑和自适应动态路由技术能够确保网络稳定,数据通信速率可达64 kbps.     

基于区块链的电力物联网信任网关设计与实现

为保障大电网安全,解决电力物联网复杂通信网络中网关抗攻击能力弱、设备集中式接入认证方式导致认证中心负荷大、效率低、存在安全隐患等问题,提出了一种基于区块链的分布式动态网关架构以及接入认证机制。将区块链的共识机制运用到主网关的动态切换过程,形成了分布式的动态网关结构;结合门限秘密共享算法提出一种可信、灵活的分布式接入认证方式,并将接入认证过程中所涉及的设备ID等数字信息存入区块链数据存储结构中以提高认证过程的安全性。为了从理论和实践上说明该方法的有效性,进行了安全性分析与实验。结果表明,所提出的动态网关架构可以抵御物联网常见攻击,接入认证机制可以为电力物联网设备提供高度安全的接入认证保障。     

基于PKI/PMI的变电站自动化系统访问安全管理

随着信息技术的发展,电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求,其中有关智能电子设备(IED)的访问 安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现 IED的访问安全,而公钥基础设施／权限管理基础设施(PKI／PMI)体制正在电力系统企业中广泛 推行,通过设计专用的认证访问处理模块实现二者的有机结合,采用基于角色的访问控制(RBAC) 模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析,证明该系统 能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应 用系统统一管理的实际需要,相关的密码算法遵循国家密码管理局的商用密码管理条例,设计内容 既符合国际标准的发展方向,为电力系统通信安全标准的制定提供了参考,又能满足国家对信息安 全方面的特殊要求。     

复合多媒体无线通信网安全系统的授权

讨论了在复合多媒体无线通信网HRN(Hybrid Radio Network)中的授权问题。阐述了各种不同的授权过程。HRN安全系统HSS(HRN Security System)是IP安全体系结构部分及Internet工程任务组IETF(Intemet Engineering Task Force)认证和授权模式部分的应用。给出了电力数据网络的整体安全策略以及电力企业网络建设与管理的具体安全策略。     

基于SAML的电力企业集成服务智能登录系统设计

随着信息技术的发展,电力行业的信息安全已成为影响电力系统稳定运行的重要问题.其中确保访问主体身份的合法性是关键要素.文中针对下一代能量管理系统(EMS)/市场管理系统(MMS)体系结构中关于互操作性和安全性的需求,对其中的智能登录系统进行了研究.运用基于组件和以服务为导向的思想,采用安全声明标记语言(SAML)、可扩展标记语言(XML)、简单对象访问协议(SOAP)、Web服务安全技术(WS-Security)等最新的信息技术,设计了集中式用户身份认证管理、分布式授权访问管理的智能登录系统.通过模型的实例分析,论证了该模型符合未来电力系统所要求的便于集成和重用的设计开发原则.     

共识机制的身份认证算法研究*

共识机制是区块链的核心,实现整个区块链网络中高度分散节点对数据快速地达成共识,确保全网数据的一致性。随着泛在电力物联网的建设,海量终端接入系统的同时,给泛在电力物联网信息安全带来挑战。因此,文章基于区块链共识机制应用于泛在电力物联网,首先分析区块链整体架构的特性,将其应用于泛在电力物联网身份认证环节,构建基于区块链的身份认证算法,解决了终端(SM)与数据聚合器(SP)之间的身份认证问题,提高了认证的效率及安全,将认证的安全性与可靠性和区块链的安全性与可靠性保持一致。采用哈希算法签名及验签,提高区块链在泛在电力物联网认证的效率及认证过程的可扩展性,认证过程应用RSA算法进行非对称加密。最后,进行了安全分析和效率方面分析论证,指出了未来泛在电力物联网身份管理系统建设的趋势,并阐述了如何构建泛在电力物联网完整身份认证系统,论文的研究成果可为区块链在泛在电力物联网身份认证领域的应用提供参考。     

电力市场运营系统中的安全访问控制

电力市场覆盖范围广,市场成员分散,交易中心与市场成员之间需要交换大量市场私有信息。市场中用户类型众多,访问权限各不相同,并且受市场规则变动的影响。电力市场的信息保密性、用户多样性和访问权限多变性,要求支持市场运行的电力市场运营系统必须具备严格而且灵活的安全访问控制机制。为此,文中描述了硬件层、系统软件层和应用软件层相协调的安全访问控制的整体结构,设计了基于Java2平台企业版（J2EE）架构的内嵌访问控制、动态代理和控制中心3种应用层用户访问控制方案。对各方案的对比分析表明,控制中心方式安全性高,配置灵活,能够将权限管理与应用开发彻底分离,使应用开发人员专注于业务逻辑实现,以快速响应市场交易模式和访问逻辑的变化。基于该控制方式的区域电力市场运营系统已经投入现场运行。     

一种DNP3 SAv5的安全架构在配网终端的设计与应用

为了解决配网终端日益突出的通信安全问题,针对配网终端通信系统的安全技术需求展开研究,设计出配网馈线远程自动化终端(FRTU)安全架构。该安全架构实现了分布式网络协议(DNP3)三层架构,突出应用层对象、变体、组别、安全数据应用分类。重点对FRTU的安全数据进行分类和建模,给出了FRTU数据到DNP3安全功能的映射。设计出一种符合安全认证一致性的协议模型,有效解决了FRTU协议安全的脆弱性问题。最后通过国际权威机构认证和安全测试,证明其安全认证(SAv5)符合认证和加密等一致性标准,为配网终端的安全接入提供参考依据。     

基于WLAN的电力监控网络智能化安全防护研究

为了保障电力监控网络的安全性,本文根据无线局域网在电力监控网络中的应用方向和存在的安全威胁,设计了基于WLAN的电力监控网络智能化安全防护方案,建立安全防护网络架构后,介绍了接入认证、漏洞扫描、入侵防御和智能分析等安全防护机制的工作原理。该安全防护方案实施后,能够进一步提高电力监控系统的机密性,增强用户和电力监控系统间的信息交互,实现电力监控网络的主动防御。     

电力系统一体化设计中信息安全防护体系研究

建设电力系统集成环境已成为实现全电网信息共享的自动化系统的基础建设。然而,信息安全问题也是威胁电力系统的安全、稳定、经济、优质运行的重大问题。介绍了一体化的电力系统及特点;阐述了电力系统一体化信息安全的主要内容(保密性、完整性、有效性);几种安全技术(防火墙、虚拟专用网、认证中心、入侵检测系统等);以及一体化信息安全防护体系的设计原则、系数设计、管理上的安全策略。该系统安全方案已应用于地区电网自动化系统。效果良好。     

基于PKI/PMI和Agent的电力企业单一登录方法

针对电力企业信息系统集成的高安全性要求,提出一种基于电力行业公钥基础设施/授权管理基础设施(public key infrastructure/privilege management infrastructure,PKI/PMI)的单一登录模型,并给出相关算法的具体实现过程。单一登录系统通过PKI/PMI完成身份认证和授权功能,同时采用基于代理的系统模型,让用户使用统一账号登录,同时不用修改旧的账号/口令系统,从而尽可能少地修改应用服务程序就能满足电力企业网络信息安全要求。该系统为电力企业集成操作和实现安全的统一调度提供了参考。     

企业内部网用户接入的安全管理

目前企业信息安全建设较多关注信息系统重点区域的保护,忽视用户接入的安全管理。分析了传统用户接入管理存在的安全问题,提出在802.1x协议的基础上,综合采用802.1x验证、基于用户的VLAN划分和ACL、交换机二层安全机制、防IP盗用等多种安全措施,从验证、授权、审计3个层面将安全防御措施扩展到边缘接入层,从用户接入源头进行安全防护,从而有效构建企业信息安全立体防御体系。     

基于VPN的电力调度数据网络安全方案

在分析电力调度数据网络现有的基于公钥数字证书的公钥基础设施/认证中心(PKI/CA)的安全系统基础上,针对调度数据网络中实时性与安全性需求之间的矛盾,提出了新的身份认证和密钥协商安全方案,通过改进基于有限域上离散对数的数字签名和密钥协商算法,将身份认证和密钥协商融合在一次会话中,并且使安全方案不依赖于第三方的在线证书系统,同时在现有的虚拟专用网(VPN)安全框架内对冗余功能进行了裁剪,取代了传统的PKI/CA体制,在保证电力调度数据网络安全性需求的同时满足了实时性需求.     

风电场SCADA系统安全接口单元设计

随着信息技术在风力发电中的应用,风电场SCADA系统的安全稳定运行已变得越来越重要。文章结合风电场SCADA系统的安全需求,提出在SCADA Server中设计一个SIU以实现网络环境下对该系统的安全访问。SIU采用证书方式实现身份认证,通过验证MAC保证数据的完整性,并通过IEC 61850的虚拟访问视图执行访问控制策略。文章还给出了SIU的实现与应用实例。     

电力市场运营系统的一种J2EE实现

该文提出并实现了一种的基于J2EE架构的电力市场运营系统。该系统针对电力市场的要求和特点在J2EE架构的基础上进行了底层开发。该底层模块主要包含负责EJB远程定位的控制中心和统一权限管理等模块。所有的EJB的客户端都只能通过控制中心寻找EJB的远程接口,而控制中心再通过Java反射机制寻找EJB的本地接口。如果EJB客户端通过权限校验,则控制中心转发客户端的请求到相应的EJB并返回结果;否则返回错误信息。在权限管理模块,采用声明式的权限管理机制,应用程序无需处理权限,通过配置即可实现复杂的权限分配。与此同时,充分利用了J2EE技术的跨平台移植特性,内嵌安全和事务管理机制以及分层分布的特点带来的系统模块间及与外系统松散耦合,各层变动不会相互影响的优势,满足电力市场发展过程中运营规则多变的需求。     

县级供电企业网络准入控制方案的设计与实现

探讨县级供电企业网络准入控制的实现方法。通过分析桂林网区县级供电企业网络的实际情况,对网关认证方式和802.1x接入认证方式从网络环境、部署形式、实施周期、维护成本等方面进行对比,提出部署接入网关与虚拟隔离接入控制系统结合的网络准入控制方案。该方案可实现终端准入网络控制、终端安全性检查和对内网用户私自接入外部网络的行为进行严格控制,并对不安全的PC终端以及没有经过注册验证的移动介质进行隔离,对计算机终端进行统一管理。网络准入控制方案的实现,从根本上减轻了终端维护工作量,提高了信息网络的安全性。     

电力营销移动作业安全分析及防护研究

设计了电力营销移动作业整体物理架构和安全架构,从个人数字助理(PDA)终端、传输通道、外网接入、应用服务、监控管理系统等方面分析了电力营销移动作业过程中存在的数据丢失、身份认证强度低、网络隔离强度弱等安全风险,提出了数据安全存储及传输,高强度的身份认证、网络访问控制及安全管理等安全防护措施,可有效解决电力营销移动作业安全隐患。     

电力EPON通信网安全设计

分析电力EPON通信网存在的安全隐患的基础上,对电力EPON通信网的安全机制进行了设计.针对电力EPON通信网的安全隐患,从终端认证、业务隔离、深度检测与防御三个方面对电力EPON通信设备进行安全防护部署.通过EPON通信数据的加密处理和密钥管理,实现OLT与ONU的双向身份认证,确保了电力EPON通信数据的安全.测试结果表明,系统正常工作时,数据传输的上行延时小于2ms,下行延时不超过1ms,完全满足电力系统数据和信息传输的要求.