基于TNC的电力终端安全接入技术研究

随着智能电网互动化业务的不断发展,针对各种业务系统终端接入的安全需求,文章以电力物联网环境为研究背景,以可信网络连接为理论基础,以各类电力终端为研究对象,提出了电力物联网环境下基于可信网络连接的电力终端安全技术.通过详细论述基于可信网络连接的电力终端安全接入体系和工作流程,证实了方案设计的可行性.     

利用可信计算机保障湖北省电力公司重要用户桌面终端安全

对保护计算机桌面终端安全的技术进行了分析、总结，并对可信计算机技术进行了介绍，提出了利用可信计算机保障湖北省电力公司重要用户桌面终端安全的工作方案。     

基于TNC的输电线路在线监测代理终端安全接入技术研究

输电状态在线监测系统是国家电网公司坚强智能电网的重要组成部分,如何保证输电线路在线监测代理终端接入的安全,已成为国家电网公司坚强智能电网建设过程中的迫切需求。文章基于可信网络连接的优势和原理,结合坚强智能电网建设对输电线路在线监测代理终端安全防护的需求,提出了基于可信网络连接的输电线路在线监测代理终端可信接入方案并详细阐述了输电线路在线监测代理终端安全接入的设计。     

基于可信计算的用电信息采集终端完整性检测方案

针对信息物理融合下用电信息采集终端面临的信息安全风险问题,结合采集终端的特点,提出了一种基于可信计算的终端完整性检测方案以保护终端安全。从信任结构、可信平台模块扩展方式、扩展策略三方面改进了可信计算组织的检测方案,减少了信任传递损失,并提高了扩展在计算上的灵活性。在验证所提扩展方式可行性和安全性的基础上,重新设计了扩展策略。与原方案相比,所提方案对计算资源、存储空间的占用都有一定的优化,也为终端提供了支持动态信任度量的方法。     

能源互联网环境下基于用户行为的电网终端可信接入技术研究

未来能源发展的基本格局将以电力为中心,能源互联网可理解为将大量分布式能源节点互联起来,实现能量对等交换和共享的智能电网。随着全球能源互联网的发展,国家电网公司逐渐在信息外网开展互动化业务系统应用,电网智能终端的广泛使用在加快电网发展的同时也带来了安全隐患。文章基于可信网络连接的思想,提出了基于用户行为的电网终端可信接入方法,在对终端进行身份认证和平台完整性验证的基础上,增加了对用户行为进行周期性可信判断的过程,从而实现了终端的全过程实时管控,解决了电网终端的安全可信接入问题。     

基于区块链的电力物联终端信任共识方法

电力物联网(PIoT)智能终端安全机制是当前能源互联网发展的难点与热点.信任管理是提高终端攻击防御能力的关键环节,但目前已有方法缺少对信任参数的安全存储和多元评价主体的相关研究.文中提出一种基于区块链的电力物联终端信任共识方法,能够评估终端可信度并应对多种恶意攻击.首先,基于联盟区块链设计PIoT信任共识系统架构,增强信任参数的可靠性.其次,基于Beta分布建立多元信任评价主体机制,用熵值为不同评价主体分配动态权重,得出更准确的综合信任值.然后,提出5条共识机制准则和记账权选择机制,深度融合区块链技术与信任管理方法,为电力终端安全提供双重保障.最后,通过实验验证了所提方法的有效性.     

基于可信计算的电力可信云终端设计

为了增强电力云计算系统应对恶意攻击的能力,降低安全风险,文章提出一种基于可信计算的网络安全防护技术。通过在电力云终端嵌入可信计算芯片,采用完整性度量、信任链传递等可信计算框架下的方法实现电力云终端自身的安全可信。通过构建可信电力私有云,实现可信电力云终端安全接入,提高电力云系统面对恶意攻击的主动防御能力。     

配电物联网边缘物联代理网络安全防护研究

配电物联网是配电监控系统向物联网模式演进的结果,边缘物联代理是连接物联网终端与云端的重要感知层设备。通过分析边缘物联代理自身及交互面临的安全风险和安全需求,研究了可信启动、身份认证、密钥协商、数据机密性保护、数据完整性保护、安全监测等技术,构建了基于可信启动的设备本体安全、基于身份认证和数据保护的交互安全以及基于日志、流量信息实时采集的安全监测于一体的安全防护架构,有效避免了因边缘物联代理遭受恶意攻击而导致整个系统瘫痪事件发生,有助于提升配电物联网在新的网络安全形势下抵御恶意攻击的能力。     

电力系统智能终端信息安全防护技术研究框架

随着中国电网“三型两网”泛在电力物联网发展目标的提出,电力系统智能终端广泛互联、泛在接入,终端易成为攻击电网的主要目标和跳板。在此背景下,围绕电力系统智能终端安全互联和现场移动作业需求,对电力系统智能终端安全防护挑战及防护技术框架进行了阐述。构建了覆盖芯片层、终端层、交互层的电力系统智能终端防护框架,对芯片电路级可证明安全防护和内核故障自修复、融合可信计算和业务安全的异构终端主动免疫、面向不确定攻击特征的终端威胁精确感知与阻断、终端互联计算环境下电力系统智能终端安全接入和业务隔离等关键技术进行了详细展望。     

基于DHT和区块链技术的电网安全稳定控制终端分布式认证

电网安全稳定控制系统终端资源有限、业务实时性要求高,现有认证方案难以兼顾系统的安全性、实时性和存储效率。将分布式哈希表（distributed Hash table, DHT）技术与区块链技术相结合,提出基于跳图（skip graph）结构DHT的区块链分布式存储优化方法;设计了基于DHT和区块链技术的电网安全稳定控制终端分布式认证方案,给出了终端注册、入网和认证的流程与关键算法;分析了该方案的安全性和时空复杂度;对认证方案进行系统实现,从平均认证时延和平均终端存储开销2方面进行了实验测试,验证了该方案的可行性和在时空效率方面的优势。方案在不影响电网安全稳定控制系统终端间通信效率的同时提升了终端间通信安全性,进而保障了电网的安全稳定运行。     

智能电网调度控制系统安全防护技术及发展

对中国电网调度控制系统信息安全防护体系的发展历程进行梳理,总结为3个阶段,即基于边界安全的纵深防护体系阶段、基于等级保护的业务安全防护体系阶段以及基于可信计算的主动防御体系阶段。结合当前日新月异的新型威胁及国家级网络空间对抗新形势,提出基于可信计算技术,实现计算环境可信、应用行为可信、网络通信可信,构建以安全免疫为特征、以安全可控为目标的新一代智能电网调度控制系统安全主动防御体系,并介绍了其核心防御技术。     

基于SM2密码体系的SD卡的电力移动终端安全接入方案

随着移动终端在智能电网中的广泛应用,如何确保移动终端更加安全地接入电力信息网亟待解决。针对现有加密SD卡的安全体系公钥算法大多采用RSA算法的现状,提出了电力移动终端采用国产SM2密码体系的SD卡安全接入方案,对SM2密码体系的SD卡、设计方案的网络和应用架构进行了详细分析。并以Android手机作为电力移动终端,对安全接入方案的代理功能和SD卡安全应用功能进行了测试分析,证明了该方案的可行性和安全性,该SD卡目前已在某省级电网试点应用,实际系统运行表明,方案有利于提高电力移动终端信息安全主动防御能力及实现电力信息安全产品国产化。     

安全数据网的构建及其在河南电力调度数据网应用

随着网络安全问题的日益突出,虚拟专用网VPN(Virtual Private Networks)技术将被广泛应用,VPN的基础安全协议——互联网协议安全IPSec(Internet Protocol Security)能为任何Inter-net通信提供安全保护协议。详细分析了IPSec协议的体系结构、工作模式和关键技术,并结合IPSec采用鉴别报头、封装安全有效负荷等加密技术特点,提出了实现安全电力调度数据网的方案和建议,给出了一种利用IPSec协议构造电力数据网安全VPN的模型,该模型既能保证数据在网络层的保密传送,同时也能对真实通信主机的IP地址进行屏蔽和保护。最后,详细介绍了IPSec在河南电力调度数据网的应用。     

基于可信计算的广域保护与变电站通信安全防御策略

将信息安全与系统自身业务及算法相结合,运用可信计算理论,提出了分层分布多Agent主动型通信安全防御框架。首先分析了网络攻击的特点和安全威胁的原因,给出了该防御框架的结构,研究其关键技术和策略,包括加密、签名、用户身份认证、访问权限与角色检查、平台认证、网络可信连接、可疑网络行为检查、加强型数字关联、与业务相关的容错处理和恶意行为分析等不同层次的可信模块。针对一种广域后备保护系统,给出了初步的安全设计,对变电站中多种加密算法的运行性能进行了测试。     

基于共识机制的电力物联网群组密钥管理研究

随着电力物联网的建设,终端接入数量的大量增加,实现低延迟和提供实时服务是传统电力物联网面临的两大挑战。虽然在电力物联网系统中已经有一些加密方案被设计来促进安全通信,但是现有的方案通常不支持匿名和灵活的密钥管理。文中基于区块链的共识机制,在电力物联网系统中保证了分散节点在区块链系统中实现一致性。提出了一种基于区块链的智能电网系统互认证和密钥方案,基于区块链共识机制的特性,所提方案可以支持高效的条件匿名和密钥管理,对终端(TA)与数据聚合器(DA)之间安全私有通信和密钥管理问题提出解决方案,提供了一个有效的密钥更新和撤销算法。对所提出方案的存储成本及时间成本进行了实验数据分析,实验结果与其他文献分别提出的三个密钥管理认证方案进行了对比,结果表明所提方案在存储成本及时间成本有明显优势。最后,进行了安全和效率之间的讨论分析,对未来电力物联网建设方面提出了建设性意见。     

电力系统安全分析的网格化计算

确保大规模电力系统的安全稳定运行是电力系统的重要课题。对于复杂、多样的电网安全分析必须进行大量的数字运算,运用网格化分析可以大大提高计算速度,并能满足实时计算的要求。     

电力物联网可信树形批量认证机制

电力物联网设备需要进行可信度量,然而现有数据处理架构存在云端压力过大的问题,现有可信度量架构也存在效率低下、消耗过大等问题。提出一种适用于云边协同电力物联网环境的基于树形结构的可信批量认证机制。该机制采用云边端协同的边缘计算架构缓解云平台压力,设备采用一种轻量级可信架构进行可信度量,获取度量信息;非平衡哈希树存储结构在设备认证时传递的认证信息较少并在一定程度上保障了隐私;采用稀疏哈希树多值证明方式生成认证信息,实现设备的批量认证。进行了安全威胁分析、原型实现和性能分析,实验表明该机制在树形结构的构造耗时上优于默克尔哈希树,在设备的可信认证耗时上优于IMA线性结构,在批量认证时,能大大减少认证信息的大小。     

QGrid: An Adaptive Trust Aware Resource Management Framework

Recent years have witnessed the rapid development of Grid computing over the Internet, which promises to empower highly desirable resource sharing and cooperation among different organizations. However, there remains a challenging issue facing Grid environments. Malicious or selfish nodes consume precious resources without contribution or even try to destroy the system intentionally. This can severely degrade the system performance and limit the healthy development of Grid systems. To encourage resource sharing and fight against malicious behaviors, we propose an adaptive resource management framework QGrid which integrates trust factor into economic-driven allocation process. Each provider allocates resources according to the bidding price and the trust value of a requester by controlling the corresponding threshold of price and trust value. The incomplete information is a key issue for a provider in determining the two thresholds. We employ a Q-learning technique to resolve the issue, which can adapt to the dynamics of Grid environments. Furthermore, we introduce a simple isolation scheme to secure the Grid system by frustrating malicious participants from joining the system. A QGrid prototype has been successfully implemented in a real Grid test-bed, CROWN. Theoretical analysis and comprehensive experiments have been conducted, which demonstrate the efficacy of QGrid.