适用于用电信息采集的轻量级认证密钥协商协议

用电信息采集系统信息量巨大、覆盖面广,而传统的认证密钥协商协议计算量开销大、通信交互次数多,无法满足其高实时、低成本的现实需求。为了实现电力数据的安全高效传输,文中基于证书认证及新旧参数保护密钥动态协商机制,提出了一种轻量级认证密钥协商协议,结合BAN逻辑形式化分析和非形式化分析方法对协议进行分析,证明协议在达到一级信仰和二级信仰的同时具有双向实体认证、完美的向前保密性等安全属性。该协议能够抵抗多种攻击,在保证安全的情况下实时高效地完成身份认证及密钥协商,适用于用电信息采集系统对密钥应用的需求。     

基于属性基加密与阈值秘密共享的智能电表密钥管理方法

智能电表是计量自动化中作为电力公司与用户之间计费的一种重要计量设备,而传统智能电表密钥管理方法存在效率低、通信量大且易受网络攻击等问题。为此,提出了一种基于属性基加密与阈值秘密共享的智能电表密钥管理方法。首先,采用组认证对智能电表的身份进行认证,减少了一对一认证的通信次数。然后,抄表过程中进行身份认证时采用(t,n)-阈值秘密共享技术,并且在密钥生成过程中采用属性基加密技术,以隐藏访问结构,避免智能电表信息泄露。最后,针对网络存在多种安全威胁,利用大数据技术对网络攻击类型进行挖掘,以快速识别恶意攻击者。将提出的方法进行仿真实验以验证其有效性,仿真结果表明,相比其他技术,提出的方法显著降低了系统存储负担,提高了通信效率,且识别恶意参与者耗时短,从而保证了密钥管理的安全性。     

集中器模式下四表合一的通信问题与基于自组网的网络化采集系统北大核心

研究了基于集中器模式的四表合一系统的通信机制,对其中的单点故障和通信瓶颈进行了分析。提出了基于自组网的大规模表计管理新架构,其中将智能电网的通信网络作为多种计量装置的虚拟专用网,临近的多个计量装置构成无线Mesh网络。设计了将SCEP协议进行扩展并采用轻量级证书的表计身份认证新机制,以解决多表网络的身份认证和安全问题。设计了基于IPv6的数据采集协议,并进行了原型系统实验。结果表明,该系统实现了表计自组网拓扑发现、数据采集等关键功能。新机制可以大幅减少重复性通信网络建设,支持＂互联网＋＂模式新业务。     

集中器模式下四表合一的通信问题与基于自组网的网络化采集系统

研究了基于集中器模式的四表合一系统的通信机制,对其中的单点故障和通信瓶颈进行了分析。提出了基于自组网的大规模表计管理新架构,其中将智能电网的通信网络作为多种计量装置的虚拟专用网,临近的多个计量装置构成无线Mesh网络。设计了将SCEP协议进行扩展并采用轻量级证书的表计身份认证新机制,以解决多表网络的身份认证和安全问题。设计了基于IPv6的数据采集协议,并进行了原型系统实验。结果表明,该系统实现了表计自组网拓扑发现、数据采集等关键功能。新机制可以大幅减少重复性通信网络建设,支持"互联网+"模式新业务。     

面向智能用电信息采集终端的访问控制协议

针对智能用电信息采集系统的建设需求,将射频识别(RFID)技术应用于采集终端全过程管理中,为解决RFID系统在终端身份认证及信息传输过程中存在的众多隐私安全漏洞,提出了面向智能用电信息采集终端的访问控制协议。该协议分为终端身份认证和终端信息访问控制两个阶段,采用哈希(hash)函数、私有密钥及随机密钥保证了消息的隐私性与安全性。为满足实际信息采集和终端维护需求,将识别器对采集终端的操作权限融入协议设计中,保证了终端敏感信息的安全。非形式化分析说明新协议能够有效地抵御阻断攻击、欺骗攻击及识别器非法访问攻击等6类攻击。协议在保证采集终端安全接入情况下实现终端信息的合法操作,可从设备层面提高用电信息采集系统的安全防护水平。     

OPC现场总线安全代理研究

设计了一种OPC现场总线安全代理方式,采用基于USBkey密钥存储及数字签名载体的X.509身份认证体系及3向鉴别认证方式,会话数据加密采用AES算法及密码分组链接CBC工作方式,保证了身份认证及数据传输的安全.采用客户端数据包截获的方式保证了OPC代理对原有用户程序的透明.     

基于VPN的电力调度数据网络安全方案

在分析电力调度数据网络现有的基于公钥数字证书的公钥基础设施/认证中心(PKI/CA)的安全系统基础上,针对调度数据网络中实时性与安全性需求之间的矛盾,提出了新的身份认证和密钥协商安全方案,通过改进基于有限域上离散对数的数字签名和密钥协商算法,将身份认证和密钥协商融合在一次会话中,并且使安全方案不依赖于第三方的在线证书系统,同时在现有的虚拟专用网(VPN)安全框架内对冗余功能进行了裁剪,取代了传统的PKI/CA体制,在保证电力调度数据网络安全性需求的同时满足了实时性需求.     

STS预付费售电标准安全体系研究

STS预付费表计与传统的预付费表计相比,其售电方式和安全体系完全不同。根据IEC 62055系列标准,结合实际开发使用的经验,分析了Token码的产生和使用流程,并研究了STS预付费表计的售电方式和密钥管理体系的安全性,为深入理解IEC 62055系列标准和STS预付费表计的推广应用提供了保证。     

基于PKI技术的校园网认证中心CA的设计

PKI系统核心CA认证中心的建立为校园网信息系统的各种网络设备、操作人员、用户等提供标准的数字证书,为系统的安全通讯、身份识别以及用户密钥的管理提供强有力的支持。建设一个高效、安全、可靠的校园网PKI/CA子系统至关重要。文章通过PKI技术设计出符合实际情况的统一身份认证的认证中心CA(certificate authority)系统,从而保障校园网系统的安全性和可靠性。     

配电物联网边缘物联代理网络安全防护研究

配电物联网是配电监控系统向物联网模式演进的结果,边缘物联代理是连接物联网终端与云端的重要感知层设备。通过分析边缘物联代理自身及交互面临的安全风险和安全需求,研究了可信启动、身份认证、密钥协商、数据机密性保护、数据完整性保护、安全监测等技术,构建了基于可信启动的设备本体安全、基于身份认证和数据保护的交互安全以及基于日志、流量信息实时采集的安全监测于一体的安全防护架构,有效避免了因边缘物联代理遭受恶意攻击而导致整个系统瘫痪事件发生,有助于提升配电物联网在新的网络安全形势下抵御恶意攻击的能力。     

电力EPON通信网安全设计

分析电力EPON通信网存在的安全隐患的基础上,对电力EPON通信网的安全机制进行了设计.针对电力EPON通信网的安全隐患,从终端认证、业务隔离、深度检测与防御三个方面对电力EPON通信设备进行安全防护部署.通过EPON通信数据的加密处理和密钥管理,实现OLT与ONU的双向身份认证,确保了电力EPON通信数据的安全.测试结果表明,系统正常工作时,数据传输的上行延时小于2ms,下行延时不超过1ms,完全满足电力系统数据和信息传输的要求.     

基于单片机的USB安全钥设计与实现

本文针对当前电子网络身份认证和数据的安全传输问题阐述了一种基于AT89C2051的USB安全钥的系统结构及相关技术.USB安全钥将密钥存储于USB硬件中,结合相应的加密算法.文中主要对USB安全钥端的软硬件设计进行了详细介绍.     

针对网络通信中认证和密钥建立协议的假冒攻击

为了保障信息在无线系统中的安全传输,用户和服务器在交换信息之前需要相互认证,并在建立1个共享的会话密钥。对邓方民提出的基于椭圆曲线的相互认证和密钥建立协议的安全性进行分析,指出协议本身存在的安全隐患。     

PKI／CA技术在电力信息系统安全保障方面的应用研究

贵州电网公司作为“南方电网公司PKI／CA身份认证系统”省级试点单位,率先在省网公司范围内部署PKI／CA身份认证信息系统,完成了PKI／CA系统平台的搭建：为电力信息系统提供身份认证．访问控制,数据传输加密和安全管理等服务。同时对财务,门户等关键应用系统进行了安全登陆改造。     

PKI／CA技术在电力信息系统安全保障方面的应用研究

贵州电网公司作为“南方电网公司PKI／CA身份认证系统”省级试点单位,率先在省网公司范围内部署PKI／CA身份认证信息系统,完成了PKUCA系统平台的搭建,为电力信息系统提供身份认证、访问控制、数据传输加密和安全管理等眼务。同时对财务、门户等关键应用系统进行了安全登陆改造。     

基于二代身份证的生物识别身份验证系统研究

在电网核心业务应用中缺乏对人员安全管控的强身份认证技术手段,针对人员真实身份验证问题,尚未有信息系统支撑。人员可信身份安全认证是守护电网核心业务资产的一道防线,为了解决身份盗窃、身份欺诈、身份冒用、隐私泄露等安全问题,提出基于二代身份证的生物识别身份验证系统在电网核心业务中的应用方案,该系统实现了身份认证、身份模型管理、凭证管理、属性管理、身份全生命周期管理、访问控制管理、签验管理和安全管理等功能,为电网核心应用系统和网络用户提供"实名+实人+实证"的真实身份管理服务和身份认证服务,有效解决实名认证、人证合一的问题,在保护用户隐私信息的同时,有效解决现有电力核心业务应用身份认证模式中易被"盗用"、"冒用"难题。     

基于BB84的量子密钥分发和身份认证

在现实世界中,一个完整的量子加密通常包括量子密钥分发和量子身份认证两个部分。然而,很少有协议一起完成这样的工作。为了解决这个问题,提出了一种基于BB84新的密钥分发方案。通过多次经典一次hash函数计算,可以确保身份认证,并能确定错误粒子的具体位置。除此之外,这个协议可以抵抗多种常见攻击。     

智能变电站计量系统安全防护技术探讨

针对智能变电站计量系统的特点及其存在的安全隐患,从数据加密、安全认证与密钥协商协议设计、访问控制等方面探讨了智能变电站计量系统安全防护技术。该技术已应用于智能变电站计量系统并经过安全性验证,验证结果表明智能变电站计量系统安全防护技术可有效抵抗病毒、DDos、重放等多种攻击,可以高效地实现身份认证及密钥协商,可以在不影响传输数据实时性和可靠性的前提条件下有效拦截非授权设备访问系统,具有较高的推广应用价值。     

基于短信动态口令的身份认证管理服务

针对配电馈线终端（FTU）智能手机人机交互接口MMI应用身份认证管理的技术要求,需要在配网调控制中心建设动态身份验证的服务器系统,以实现对手机MMI应用的安全防护。控制中心服务器侧的身份认证管理软件采用挑战/响应方式的动态口令身份认证技术,并使用手机短信实现认证信息的传输,微型加密算法TEA对短信内容进行加解密处理,从而实现MMI应用的异步双因子安全体系登录认证的目的。在分析研究相关理论、方法和实现技术的基础上,完成了身份认证管理软件的设计与实现,并在用户控制中心机房成功部署,达到了项目开发的目的。     

基于SAML的Web服务认证技术

为了解决W eb服务中信息之间的安全传输,需要引入一种安全有效的用户身份认证机制。文章首先分析了W eb服务中的安全性问题及传统的W eb服务认证机制,然后引入了解决问题的办法,即安全声明标记语言(SAML),介绍了SAML的三种断言、体系结构及应用现状,给出了利用SAML实现身份认证的系统结构及认证过程,实现了客户方、身份验证方、目标站点方三方之间声明信息的安全传输,最后指出SAML认证技术的优势及其发展前景。