智能电网中的信息安全技术(5)

(3)LTE安全

在长期演进/3GPP系统架构演进(LTE/SAE)中将安全措施在接入层(AS)和非接入层(NAS)信令之间分离开，无线链路和核心网需要有各自的密钥。这样，LTE系统有两层保护，第一层为用户层安全，第二层是EPC中的网络附加存储(NAS)信令安全。用户和网络的相互认证和安全密钥生成都在AKA流程中进行。该流程采用了基于对称加密体制的挑战-响应机制，产生128比特的密钥。

2.3 信息处理安全

2.3.1 存储安全

存储可以分为本地存储和网络存储。本地存储需要提供文件透明加密存储功能和加密共享功能，并实现文件访问的实时解密。本地存储严格界定每个用户的读取权限。用户访问数据时，必须经过身份认证。网络存储主要分NAS、存储区域网络(SAN)与IP存储3类。在文件系统层上实现网络存取安全是最佳策略，既保证了数据在网络传输中和异地存储时的安全，又对上层的应用程序和用户来说是透明的;SAN可以使用用户身份认证和访问控制列表实现访问控制，还可以加密存储，当数据进入存储系统时加密，输出存储系统时解密;IP存储安全需要提供数据的机密性、完整性及提供身份认证，可以用IPSec、防火墙技术等技术实现，在进行密钥分发的时候，还会用到PKI技术[14]。

2.3.2 容灾备份

容灾备份[15]可以分为3个级别：数据级别、应用级别和业务级别。从对用户业务连续性的保障程度来看，它们的可用级别逐渐提高。前两个级别都仅仅是对通信信息的备份，后一个则包括整个业务的备份。智能电网业务的实时性需求很强，应当选用业务级别的容灾备份。备份不仅包括信息通信系统，还包括智能电网的其他相关部分。整个智能电网可以构建一个集中式的容灾备份中心，为各地区运营部门提供一个集中的异地备份环境。各部门将自己的容灾备份系统托管在备份中心，不仅要支持近距离的同步数据容灾，还必须能支持远程的异步数据容灾。对于异步数据容灾，数据复制不仅要求在异地有一份数据拷贝，同时还必须保证异地数据的完整性、可用性。对于网络的关键节点，要能够实时切换。网络还要具有一定的自愈能力。

2.3.3 访问控制和授权管理

访问控制技术[16]分为3类：自主访问控制、强制访问控制、基于角色的访问控制。自主访问控制即一个用户可以有选择地与其他用户共享文件。主体全权管理有关客体的访问授权，有权修改该客体的有关信息，而且主体之间可以权限转移。强制访问控制即用户与文件都有一个固定的安全属性系统，该安全属性决定一个用户是否可以访问某个文件。基于角色的访问控制即授予用户的访问权限由用户在组织中担当的角色来确定。根据用户在组织内所处的角色进行访问授权与控制。当前在智能电网中主要使用的是第三类技术。

授权管理的核心是授权管理基础设施(PMI)。PMI与PKI在结构上非常相似。信任的基础都是有关权威机构。在PKI中，由有关部门建立并管理根证书授权中心(CA)，下设各级CA、注册机构(RA)和其他机构。在PMI中，由有关部门建立授权源(SOA)，下设分布式的属性机构(AA)和其他机构。PMI能够与PKI和目录服务紧密集成，并系统地建立起对认可用户的特定授权。PMI对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程。

3 结束语

未来的信息安全技术必须要与智能电网信息通信系统相互融合，而不仅仅是简单的集成。在制订智能电网标准的时候就需要考虑到可能存在的各种信息安全隐患，而不能先制订标准再去考虑信息安全，否则就会重蹈互联网的覆辙。

未来智能电网作为物联网在电力行业的应用，将会融合更多的先进的信息安全技术，如可信计算、云安全等。智能电网将会发展成基于可信计算的可信网络平台。智能电网中的可信设备通过网络搜集和验证接入者的完整性信息，依据安全策略对这些信息进行评估，从而决定是否允许接入，以确保智能电网的安全性。同时，可信计算还可以协助智能电网建立合理的用户控制策略，并依据用户的行为分析数据来建立统一的用户信任管理模型。智能电网还将会融合云安全技术，借助于云端的数据信息，在病毒未危害到设备时就提前阻止危害发生。云端数据信息的实时更新将会是物联网时代应对病毒的有效手段。

4 参考文献

[1] 陈树勇, 宋书芳, 李兰欣, 等. 智能电网技术综述 [J]. 电网技术, 2009, 33(8): 1-7.

[2] 王庆红. 智能电网研究综述 [J]. 广西电力, 2009(6): 1-6.

[3] WAKEFIELD M. EPRI Smart Grid Demonstration [R]. Palo Alto, CA,USA: Electric Power Research Institute, 2009: 1-4.

[4] 宋永华, 杨霞, 孙静. 低碳高效安全可靠的智能电网 [J]. 中国能源, 2009, 31(10): 23-27.

[5] 朱红儒, 齐鹏 中国移动研究院：应加强对物联网安全举措 [N]. 人民邮电报, 2010-02-04(3).

[6] NIST. NIST Framework and Roadmap for Smart Grid Interoperability Standards [S]. 2009.

[7] 国家电网. 关于加快推进坚强智能电网建设的意见 [N]. 国家电网报, 2010-01-12(2).

[8] ERGEN S C. ZigBee/IEEE 802.15.4 Summary [R]. Berkeley, CA,USA: University of California Berkeley, 2004: 4-21.

[9] HOPPER N J, BLUM M. Secure Human Identification Protocols [C]//Proceedings of the 7th International Conference on the Theory and Application of Cryptology and Information Security (Asiacrypt""01), Dec 9-13, 2001, Gold Coast, Australia. LNCS 2248. Berlin, Germany: Springer - Verlag, 2001:52-66.

[10] EDNEY J, ARBAUGH W A. 无线局域网安全实务——WPA与802.11i [M]. 周正, 译. 北京: 人民邮电出版, 2006.

[11] 杨义先, 钮心忻, 李名选. 网络信息安全与保密 [M]. 北京: 北京邮电大学出版社, 2001: 65-147.

[12] 杨义先, 钮心忻. 无线通信安全技术 [M]. 北京: 北京邮电大学出版社, 2005: 53-161.

[13] NIEMI V, NYBERG K. UMTS 安全 [M]. 宋美娜, 宋梅, 周文安, 译. 北京: 中国铁道出版社, 2005.

[14] CHIRILLO J, BLAUL S I. 存储安全技术：SAN、NAS和DAS的安全保护 [M]. 金甄平, 王宝生, 洪平, 等译. 北京: 电子工业出版社, 2004.

[15] 王树鹏, 云晓春, 余翔湛, 等. 容灾的理论与关键技术分析 [J]. 计算机工程与应用, 2004, 40(28): 54-58.

[16] CHADWICK D W, OTENKO A. The PERMIS X.509 Role Based Privilege Management Infrastructure [J]. Future Generation Computer Systems, 2003, 19(2): 277-289.