密碼技術在配網自動化中的訪問控制研究

項 彬 陳 泓 祁 兵

（1.華北電力大學電氣與電子工程學院，北京 102206； 2.華北電力大學控制與計算機學院，北京 102206）

電力是國家能源的基礎和經濟發展的驅動力，是我國經濟社會快速、穩定、可持續發展的重要保障，電力系統的安全可靠運行對于維護社會穩定、經濟發展具有至關重要的作用[1]。當前，能源問題日益凸顯，節能減排、綠色能源成為各國關注的焦點。如何改造現有的能源利用體系，創建新型的能源消費模式，以最大限度地提高電網體系的能源效率是人們共同的目標。在經濟技術發展和社會進步需求的大背景下，我國提出了建設堅強智能電網的國家方案，利用先進的技術提高電力系統的能效，提高電網的安全性可靠性和自動化水平。

作為智能電網的重要組成部分，隨著國民經濟的不斷發展和電網改革的不斷深入，我國配電網的自動化水平也不斷提高。配網是聯系電力系統和居民客戶的紐帶，它穩定與否，關系到居民的用電服務質量和電力系統的安全，配網信息安全，在很大程度上決定了電網控制系統的安全，其重要性不言而喻。因此，如何有效的保障配網自動化信息安全已成為一項非常緊迫的任務。電力信息安全問題屬于信息通信技術領域，采用密碼技術是有效保障配網信息安全的重要技術手段。本文對配網自動化通信系統的訪問控制展開研究，基于現代密碼技術，采用PKI協議模型，提出一種基于身份認證的智能訪問控制方案。

1 密碼技術簡介

密碼技術是保護信息安全的主要手段之一，是訪問控制、身份認證的核心。它是一門結合數學、計算機科學、電子與通信等諸多學科于一身的交叉學科，不僅具有保證信息機密性的信息加密功能，而且具有數字簽名、身份驗證、秘密分存、系統安全等功能[2]。所以，使用密碼技術不僅可以保證信息的機密性，而且可以保證信息的完整性和確定性，防止信息被篡改、偽造和假冒。

圖1 加密和解密

圖1是密碼技術的一個簡單圖示，其中消息被稱為明文，用某種方法偽裝消息以隱藏它的內容的過程稱為加密，被加密的消息稱為密文，而把密文轉化為明文的過程稱為解密。明文用M或P表示，它可能是位序列、語音序列或數字化的視頻圖像等。密文用C表示，它也可能是二進制數據。加密函數E作用于M得到C，可以數學公式表示：

相反地，解密函數D作用于C產生M：

先加密后在解密，原始的明文將會恢復，故下面的等式成立：

如果一個算法的保密性是基于保持算法的秘密，該算法被稱為受限制的算法。受限制的算法但按現在的標準，其保密性已達不到要求，且其無法進行質量控制和進行標準化?，F代密碼學用密鑰解決了個問題，密鑰可以是很多數值里的任意值。密鑰K的可能值的范圍叫做密鑰空間。加密和解密運算都使用這個密鑰，所有運算都依賴密鑰，這樣，加密/解密函數變成

該函數特性如圖2所示。

隨著社會經濟的高速發展，生活水平不斷提高，人民環保意識也在逐漸增強，面對日益惡化的水體環境，要求改善和治理河道環境的呼聲越來越高。江蘇省常州市委、市政府高度重視水環境綜合治理，2006年開始實施清水工程，工程內容涵蓋城區186條河道，整治方向在最初控源截污、清淤活水的基礎上不斷深化，并引入生態治水的理念，開展城區河道的生態修復示范。通過“控源截污、調水、疏浚、生態修復”等措施，消除了河道黑臭，改善了河道水質，美化了河道景觀，部分河道從“龍須溝”變成“水清魚躍、岸綠鳥飛”的景觀河。

圖2 密鑰加密、解密

根據密鑰K1和K2的值是否相同，又可以分為對稱密鑰和非對稱加密。密碼技術是保證信息安全的一個首選方法，目前，雖然已經有許多關于電子商務的安全技術和標準出現，但多數情況下，密碼技術仍是保證信息的機密性的唯一的方法，基于此，本文將采用基于身份認證的密碼體制實現智能配電網的訪問控制。

2 配網自動化

配電網自動化是運用信息通信技術、自動控制技術等技術手段，對配電網進行智能化監控與管理，使配電網始終處于安全、可靠、高效的最優運行狀態。其最終目的是為了提高供電可靠性和供電質量，縮短事故處理時間，減少停電范圍，減少事故的損失，提高配電系統運行的經濟性，降低運行維護費用，最大限度提高電力企業的經濟效益，提高整個配電系統的管理水平、工作效率以及為用戶服務的水平。

2.1 主要功能及組成

1）自動設備管理系統

根據配電網的電壓、功率因數、電流等參數，自動控制無功補償電容器的投切、變壓器有載分接開關分接頭的檔位等功能。

2）配電工作管理系統

網絡分析、運行管理、設備檢修管理、配電工程設計，合理分割變電所配電負荷，電線負荷調整，實施電線、配電網絡改造和發展規劃等各種設計任務，以及線損計算等。

3）客戶信息系統

4）負荷管理系統

負荷曲線調整；分類電價管理、負荷監控、需方發電管理等。

5）計量、計費系統

實現自動抄表、自動生成賬單、與銀行系統聯網等。

6）用電營業管理系統

客戶用電申請、業擴報裝、咨詢服務、電能計量、收費管理、用電檢查、故障報修等功能。

2.2 配網自動化的網絡架構

目前配電網自動化系統典型的體系結構如圖1所示。

從圖3可以看出，配電自動化系統一般由主站、子站、底層終端以及他們之間的通信網絡組成。其中：

主站層：主要設備包括后臺服務器、工作站、網絡管理系統等，負責分析處理由通信匯聚層傳送的各種信息，提供配網自動化的決策服務，主站層內部采用高速以太網，實現實時數據迅速更新和共享。一般設置在市級或地區級分局。

圖3 配電網通信架構

子站層：是配網自動化的中間層，向上與配網主站等各個系統進行計算機通信，向下與所轄區內終端設備進行通信，完成終端設備數據的集中和轉發，同時還完成傳輸數據所必要的錯誤檢測、路由選擇、傳輸安全等功能。一般設置在縣級分局各變電站。

終端接入層：處于網絡最底層，包括FTU、TTU等，主要完成對支線開關、配電變壓器、配電室、環網開關、箱式變等現場信息的采集，經過簡單處理后發給子站層，并執行上級下發的控制命令的。一般布置在小區或者臺區變電站等應用現場。

通信網絡部分通常由通信主機、網絡設備、適配器和通信介質等組成。

3 配網自動化保護控制方案

隨著配網自動化的發展， 在電力系統中的實時數據越來越多，終端接入層和主站層的信息交互不斷增強，電力網絡的負荷不斷增大。配網信息安全問題會直接威脅到電力系統的安全、穩定、經濟、可靠的運行，如何保證底層終端接入網絡，防止非法訪問，保證配網自動化通信系統的信息安全成為倍受人們關注的一個問題。

本文提出了一種基于身份認證的密碼體制保護方案，在該保護控制方案中，終端要接入網絡獲取信息時，有一個身份認證的過程，認證成功則允許接入，認證失敗則拒絕訪問。身份認證是建立安全通信的前提，只有通信雙方相互確認身份后才能建立安全的通信連接。因此，身份認證在網絡安全中占據十分重要的位置。

3.1 身份認證

簡單地說，身份認證就是證明自己是誰的一種技術手段，通過提供的信息來惟一標識你自己區別于其他事物。隨著網絡技術和密碼技術的不斷發展，密碼技術已經很廣泛地運用于網絡通信當中。

身份認證是通過身份認證協議來完成的。身份認證協議是一種特殊的通信協議，它規定了參與認證的雙方在身份認證過程中交換信息的格式、時序以及語義。目前大部分采用密碼學機制，比如用加密算法來保證消息的保密性和完整性。常用的身份認證協議包括SSL協議、SET協議、Kerberos協議、PKI協議等，這里我們采用PKI協議進行重點介紹。

3.2 PK I協議

PKI（Public Key Infrastructure）即公開密鑰體系，是一個利用現代密碼學的公鑰密碼技術，在開放網絡環境中提供數據加密以及身份認證的技術框架[3]。一個完整的PKI系統必須具備身份認證機構（CA）、密鑰生成庫、加密/解密算法、和應用接口（API）等基本組成部分。

1）身份認證機構（Certificate Authority）：簡稱CA，是PKI的核心組成部分，也稱作認證中心，是PKI應用中權威的、可信任的、公正的第三方機構。

2）密鑰生成庫：在使用公鑰體制的網絡環境中，一對密鑰包含一個公鑰和一個私鑰，它們是一一對應的。公鑰是大家都可知的，而密鑰只有服務器惟一知曉。通過對比密鑰是否相同就可以驗證身份的合法性。

3）加密/解密算法：根據系統提供的明文或者密文進行加密和解密，根據算法是否相同可以分為對稱加密和非對稱加密。

4）PKI應用接口系統： PKI應用接口系統是為各種各樣的應用提供安全、一致、可信任的方式與PKI交互，確保所建立起來的網絡環境安全可信，并降低管理成本。沒有PKI應用接口系統，PKI就無法有效地提供服務[4]。

3.3 訪問控制

在配網自動化系統當中，當有終端要接入網絡訪問相應資源的時候，訪問控制服務器會根據身份認證的結果來決定下一步操作。目標是通信雙方進行相互認證，從而達到訪問控制的目的。認證過程從終端發起，具體的過程如下所述：

當接入層終端要入網時，向主站發送連接請求，請求包里面包含有該終端的PID信息，主站收到終端的連接請求后，自動查找PID數據庫，如果該PID不存在，則終止連接，如果存在，那么密鑰數據庫隨機生成一對密鑰（K 1，K2）， 并根據系統采用的加密算法對公鑰K1加密，然后將結果發給終端，終端收到后也根據自己的私鑰和解密算法對該密文解密，得到結果K3，反饋給主站服務器，主站對比K 2和K 3的值，若不等，說明終端非法接入，終止連接，若相等，則系統認證中心人為該終端具有合法性，系統會根據其分配的權限采取相應的動作。

圖4 身份認證流程圖

4 結論

基于身份認證的密碼技術已經比較成熟，在電子商務等領域有著廣泛的應用。隨著智能電網的快速發展，配網自動化水平不斷提升，配網中電力信息的安全問題日益凸顯。本文針對智能配電網存在的信息安全問題，采用身份認證的密碼體制，提出一種配網自動化中通信系統的訪問控制方案。該方案能有效解決配網中主站和終端的身份認證問題，對于提高電力信息安全作用明顯，而且該方案所提供的理論體系可以應用到智能電網信息安全的其他層次，為解決智能電網信息安全提供一種新的思路。

[1] 孫中偉,馬亞寧,王一容,等. 基于EPON的配電網自動化通信系統及其安全機制[J].電力系統自動化,2010,34(8):72-75.

[2] 徐藝,李武杭,侯雅林.無源光網絡技術在配網自動化中的應用[J].電網技術,2008,32(8): 95-96

[3] 黨衛紅.淺析網絡身份認證技術[J].濮陽職業技術學院學報，2005,23(2):27-30.

[4] 王景偉,郭英敏.密碼技術在信息網絡安全中的應用[J].專題研究,2009,25(5):48-50.