電力企業集成環境下的信息安全解決方案研究

摘要:針對如何確保電力企業中各應用系統的安全無縫集成，以及新開發的應用系統快速#65380;安全#65380;靈活地融入，提出了基于Web services的電力企業安全集成解決方案;從信息的安全訪問和傳輸角度出發，分析了現有安全通信解決方案的不足，并通過對國際最新信息技術和信息安全技術規范的研究，設計了基于XML#65380;SOAP#65380;SAML#65380;WS－security的集成安全系統模型。重點對其中的身份認證和安全通信機制問題進行了研究，解決了用戶與系統之間#65380;系統與系統之間的安全通信問題，從應用層級別確保了信息的有效性#65380;完整性#65380;機密性和不可否認性。

關鍵詞:電力企業; 應用集成; 信息安全; Web服務安全

中圖分類號:TM73文獻標志碼:A

文章編號:1001－3695(2008)02－0533－05

隨著計算機技術#65380;網絡技術和信息技術的飛躍，電力企業信息化也得到了快速發展，同時電力企業中各種應用系統之間的數據交換和協作需求日趨頻繁。但電力企業中各種應用系統是由不同開發商基于不同平臺#65380;語言#65380;設備和應用需求所開發的，因此各應用系統之間很難實現真正意義上的有效數據交換和無縫協作，各應用系統之間是彼此相互獨立的信息孤島。如何消除巨大的信息孤島，實現信息共享，進行不同系統之間#65380;不同格式的數據交換，從而達到信息的一致性和實時性，成了人們在電力企業信息化道路上必須解決的關鍵問題。

為了解決信息孤島問題，實現電力企業中各應用系統的有效數據交換和無縫協作，全面提高電力企業自動化程度和工作效率，國內外眾多研究機構和公司提出了電力企業集成構想[1~4]，同時也給出了部分實現，如2005年底我國長江電力企業實現的EIIS信息集成應用系統。目前，電力企業集成還存在許多問題有待解決，其中之一就是信息的安全問題。如何確保信息與數據在各應用系統之間，以及用戶與各應用系統之間的安全傳輸和交換，是電力企業實現集成，并投入運行的必要前提和保障。因此國際電工委員會IECTC57在電力系統信息基礎架構安全標準白皮書中指出:未來電力系統的發展是傳統電力基礎架構和信息基礎架構共同建設與管理的過程，信息安全技術是保障電力系統穩定運行的重要方向。同時，第15工作組針對電力系統中的各種通信協議制定了相應的數據和通信安全標準草案IEC62351，以解決開放的通信體系帶來的安全問題。本文在參照IEC62351數據和通信安全標準白皮書要求的前提下[5]，給出了電力企業應用系統安全集成的具體解決方案，并重點對安全通信問題進行研究，采用WS－security#65380;XML encryption#65380;XML signature#65380;SAML 等國際最新標準對信息的安全訪問和傳輸予以解決。

1電力企業集成環境下安全問題分析

1.1集成方案選擇分析

從電力企業及其他行業的應用系統集成實現方式來看，有兩種主流方案可供選擇[1~7]:a)基于通用對象請求代理體系結構(common object request broker architecture，CORBA)#65380;Java遠程方法調用(Java remote method invocation，Java RMI)或分布式通用對象模型(distributed common object model，DCOM)的緊密耦合集成模式;b)基于Web services 等一系列技術規范的松散耦合集成模式。方案a)采用復雜系統對接模式來實現緊耦合的集成，因此使用此方案集成運行于相同平臺的軟件，實現局域網范圍內的緊密管理非常優秀。其不足是要求信息語義與通信數據語義緊密耦合。在實際應用中，一旦信息模型有變化，將直接導致通信模型的大范圍修改;采用基于二進制通信協議，將導致整個系統的可伸縮性差，不能友好地跨越防火墻。方案b)中由于Web services的主要目標是在現有的各種異構平臺的基礎上構建一個通用的與平臺無關#65380;語言無關的技術層，各種不同平臺之上的應用依靠這個技術層來實現彼此的連接和集成。通過此種方式，可以將分布于不同平臺的異構系統以一種柔性的#65380;松耦合的方式集成，并且可以根據不同的要求靈活地變化，容易分解和重組。考慮到電力行業各應用系統分布特點和國際特大電網運行年會第2工作組提出的下一代EMS/MMS體系結構的構想[8]，采用方案b)實現電力企業的應用集成是合適的選擇，本文也將在基于解決方案b)的前提下對電力企業應用集成中的信息安全傳輸和訪問予以研究。

1.2信息傳輸和訪問安全

電力企業集成環境下，安全性所涉及的議題十分廣泛，包括信息網絡的安全防護體系研究[9]#65380;安全需求與策略分析[10]#65380;基礎支持系統的設計與應用[11]#65380;信息系統與業務系統的安全保障措施[12，13]#65380;系統的安全評估和容侵能力等多個方面[14~16]。但就信息的傳輸和訪問角度看，概括起來可以包括如下幾點:a)有效性。保證用戶發送的是可靠而有用的信息。b)完整性。保護敏感信息免受未經授權的修改。消息在網絡上傳輸時，確保接收方所收到的消息與發送方所發送的消息一樣，即確保消息發送后未被竄改。c)機密性。保證只有經驗證的用戶才能理解數據的含義，未經驗證的用戶可能知道數據的存在，但無法理解數據的內容。d)不可否認性。確保用戶不能否認自己所執行的特定動作。e)身份驗證。確保執行特定應用系統的操作者是給定安全域中的用戶。f)授權和訪問控制。確保用戶的操作不能超越其所授權限范圍，即拒絕未經授權的用戶訪問和阻止未經授權的用戶執行特定操作，存取敏感數據。

具體實施細節方面，在進行電力企業的應用集成時，還有如下幾點必須加以考慮:a)信任。集成時，用戶與各異構信息系統之間#65380;系統與系統之間的信任關系如何建立和維護。b)會話。如何建立和管理用戶與各異構信息系統之間#65380;系統與系統之間的會話關系。c)策略管理。安全策略的定義和實施。d)審計和日志。用戶對系統操作的審計和日志管理。e)安全協作。集成時，不同安全環境下和安全域的系統之間如何有效#65380;安全地進行協作，從而確保整個體系的安全。

1.3現有信息安全解決方案不足

a)SSL/TLS主要用來解決傳輸層的信息加密，因此只能對全部的信息加密，而不能有選擇地對其中的敏感信息進行加密，并提供細粒度的保護;當傳送大量數據時，將嚴重影響系統性能。

b)SSL/TLS#65380;IPSec只能提供點到點的安全，無法提供端到端的安全。SSL/TLS 只能保證消息在傳輸線路上的安全。當經過中間節點內部時，消息是以明文方式存在，因此當中間節點被非法攻破時，入侵者可以查看甚至竄改消息。

c)SSL/TLS 只能提供傳輸期間的信息安全，無法滿足當前提出的存儲期間信息安全的需求。

d)傳統安全通信解決方案只能提供傳輸層和網絡層的信息安全，無法解決集成環境下應用層數據安全交換的需求。同時，當用戶與多個系統進行安全會話時，基于傳統的傳輸層和網絡層安全解決方案，密鑰管理復雜，靈活性差，且難于實現。

在電力企業集成環境下，屏蔽異構系統的復雜性，實現用戶與各系統之間#65380;系統與系統之間的無縫和安全互操作，不能將信息的安全傳輸僅僅依賴網絡層和傳輸層的安全，必須從更高的應用層對信息安全予以解決，以實現IEC62351中所提出的端到端的通信安全需求。

2相關安全技術

為了提供應用層級別上細粒度的信息加密，提供端到端的安全通信，結構化信息標準促進組織OASIS在SOAP 協議#65380;XML encryption標準和XML signature 標準的基礎上進行擴展提出了WSsecurity規范[17，18]。WS－security 1.1是最新的版本，于2006年2月15日被OASIS批準為官方標準。

WS－security 規范本身并沒有提出新的加密算法和安全模型，它通過提供一個通用的框架，用戶可以自由地將Web services 協議#65380;應用層協議與各種加密技術#65380;安全模型結合起來，實現Web 服務集成環境下消息的機密性#65380;完整性#65380;不可否認性和身份驗證。

1)消息的機密性WS－security 使用XML encryption 對SOAP消息和密鑰進行加密，實現SOAP消息的安全傳輸和密鑰的安全交換，保證消息即使被監聽或攔截，竊取者也無法從中提取有效信息。

2)消息的完整性和不可否認性WS－security 使用 XML signature 對SOAP 消息進行數字簽名。與常規簽名方法不同的是，它允許對SOAP消息中一部分進行數字簽名。這樣，一方面可以提高性能;另一方面，由于SOAP 消息在傳遞過程中，中間節點可能會對SOAP頭進行合法的修改，進行數字簽名時就可以忽略允許修改的部分，使之不影響整個消息的完整性。

3)身份驗證WS－security 通過引入基于XML的安全令牌(security token)，結合數字簽名技術，對用戶名#65380;口令#65380;X.509證書和kerberos 票據等認證信息提供封裝機制，實現認證信息的傳輸，支持對服務的提供方和服務的請求方進行身份驗證。

3電力企業應用集成解決方案

要實現電力企業應用集成，其中有兩個關鍵的問題必須予以解決:數據的融合和安全模塊的集成。在不改變原有各系統信息模型的前提下，必須通過構造一個標準的通信模型，將本地數據轉換為各系統均能理解的標準數據形式，實現數據的融合，達到系統之間無縫互操作。安全模塊的集成要解決的問題是:在應用層級別上為所有待集成的系統提供一個統一的安全互操作服務平臺，實現與原有各目標系統安全模塊進行交互，屏蔽系統之間安全實施方案差異。上述兩個關鍵問題的解決不是完全獨立分開的，而是存在一定的關聯性。數據的融合可以參照IEC61970為EMS專業制定的CIM，結合XML技術來解決。通過前期對基于SAML的電力企業集成服務智能登錄系統深入研究后[19]，本文將重點從安全模塊集成的問題出發，對電力企業的應用集成給出相應的解決方案。

3.1安全體系結構

以面向服務為指導思想，考慮到集成系統的靈活性#65380;層次性#65380;可管理性和易維護性，本文提出了如圖1所示的電力企業應用集成體系結構。

電力系統操作用戶通過桌面應用程序或Web 瀏覽器，利用安全通信代理，實現與安全訪問服務器和目標應用系統集成平臺的安全通信。安全訪問服務器屏蔽原有各系統身份認證差異，提供統一的基于SAML的身份認證模式，同時將身份認證發布為一項服務，以供需要進行用戶身份認證的系統提供認證服務。目標應用系統集成訪問平臺通過與原有數據庫#65380;應用系統協商，負責與其安全模塊交互，為用戶和需要交互的系統提供一個統一的安全訪問接口。同時本平臺不僅是一個安全信息轉換接口，還作為一個完整安全訪問與通信模塊，解決新系統加入時可以不必單獨為其設計安全模塊的問題。

3. 2集成安全系統模型

從電力企業應用集成安全體系結構中，可以看出客戶端安全通信代理(security communication agent of the client， SCAC)#65380;安全訪問服務器(security access server， SAS)#65380;目標應用系統集成訪問平臺(integration access platform of target application systems， IAPTAS)是整個體系結構的核心。因此，基于Web services#65380;WS－security#65380;SAML等一系列安全技術，筆者設計了面向電力企業的集成安全系統模型，如圖2所示。

該模型不但從網絡層和傳輸層上保證信息的安全傳輸，更重要的是從應用層上對SOAP消息中的敏感信息進行簽名#65380;加密#65380;令牌認證和安全屬性處理，保證信息的有效性#65380;完整性#65380;機密性和不可否認性。該模型由客戶端安全通信代理#65380;安全訪問服務器#65380;目標應用系統集成訪問平臺三部分組成。

3.2.1客戶端安全通信代理

消息對象:實現本地消息格式和基于SOAP消息格式的轉換，包括請求消息和應答消息兩部分。

請求消息:通過數據轉換引擎，將本地消息中數據格式轉換為基于SOAP的標準格式，并予以封裝。

應答消息:通過數據轉換引擎，提取SOAP消息中的有用數據，轉換為本地數據格式。

添加安全屬性:通過加入時間戳#65380;有效期#65380;會話ID#65380;發送者和接收者等屬性信息，防止重放和中間人攻擊。

消息簽名:基于XML signature 規范對SOAP消息運用MD4#65380;MD5或SHA算法生成消息摘要，運用不對稱算法RSA或DSA對摘要生成數字簽名。

消息加密:基于XML encryption 規范對SOAP消息實現加/解密。該模塊既可以在應用層級別對全部消息實現加/解密，也可以只對部分敏感消息實現加/解密。當同一消息要傳給多個系統，而每個系統只對其中的自己那一部分數據有讀或寫的權限時，可以對基于XML格式消息的不同部分采用不同的算法或密鑰進行加/解密。該模塊具有非常靈活的加/解密特性。

添加認證信息:從集成體系結構下智能登錄需求出發，主要支持基于SAML的令牌提取與封裝功能，解決多個系統之間認證信息和授權信息的傳遞;同時還支持WS－security規范所描述的用戶名/口令認證#65380;X.509證書認證和kerberos 票據認證等多種認證方式。

XML解析封裝:提供對XML格式的數據進行解析操作的編程接口，包括數據的序列化和反序列化。

XML signature:滿足XML signature規范，提供對XML 格式數據進行數字簽名的編程接口。

XML encryption:滿足XML encryption規范，提供對XML格式數據進行加/解密的編程接口，包括DES#65380;3DES#65380;RSA等加/解密算法的接口。

SAML安全令牌提取和封裝:滿足SAML規范，提供從獲得的SOAP消息中提取SAML令牌的編程接口。當需要向出示SAML令牌的系統發送消息時，提供在SOAP中封裝獲得的此SAML令牌的編程接口。

編/解碼器:對XML文檔采用統一的字符標準進行編/解碼。

傳輸層/網絡層安全處理:當系統之間的交互需要更高的安全強度時，提供傳輸層SSL/TLS的信息加密和網絡層的IPSec安全處理。但在安全要求不是很高時，不宜調用此模塊功能，它會影響系統的整體運行效率。

3.2.2安全訪問服務器

安全訪問服務器的主要功能是:為所有要訪問應用目標系統的客戶端提供統一的身份驗證服務，并基于SAML標準規范構造SAML安全訪問令牌，實現用戶智能登錄和各系統安全架構的無縫集成。其安全通信部分的模塊為通用模塊，與客戶端相同。

主體/角色信息庫:存儲和維護授權訪問主體的屬性信息，以及該主體所分配的角色。

SAML令牌生成器:依據SAML規范，根據用戶的屬性信息#65380;認證信息，提供SAML令牌生成。

3.2.3目標應用系統集成訪問平臺

目標應用系統集成訪問平臺的主要功能是:為所有目標應用系統提供一個統一的安全訪問#65380;通信接口。屏蔽各應用系統安全實現的復雜性和開發的語言差異#65380;部署的平臺差異#65380;采用的通信協議差異和數據描述的格式差異。本平臺同時也作為一個安全實現的基礎結構，提供必要的信息交互安全手段，將安全架構實現的復雜性從具體的應用系統中分離出來，當有新系統加入時，不必為其單獨設計和實現安全體系架構。

SAML安全令牌提取:負責從獲取的SOAP消息頭中提取SAML令牌。

SAML令牌解析器:負責從SAML令牌中解析出用戶的身份認證信息#65380;屬性信息，并將該用戶角色與具體的權限綁定起來。即根據令牌中的用戶信息，實現基于角色的訪問控制，并根據用戶的角色對用戶授予相應的權限。

授權決策:根據制定的安全策略，對用戶的身份和所要進行的操作以及所要訪問的資源進行評測，作出授權決定聲明。

角色/權限信息庫:存儲和維護角色所對應的權限，根據最小權限制訂的原則，實現角色到權限的映射，并提供編程訪問接口。

平臺維護管理:實現對平臺的配置管理和狀態監控。通過系統管理服務配置服務平臺各部分的運行參數#65380;服務平臺的啟停控制，監控整個系統的運行狀態。

審計/日志管理:提供統一的日志記錄和安全審計功能界面。將客戶對目標系統的各種操作予以記錄，并對其中各種非法操作按預先制定的策略予以分類和統計，從而可為審計員#65380;網絡管理員和網絡安全分析員提供直觀的決策支持數據。

安全協作管理:對上層屏蔽原先各目標應用系統的安全架構和實現的差異性，協調各目標系統之間的安全訪問和通信。

執行器:根據授權決策聲明調用特定目標系統提供的服務，執行授予權限范圍內的操作。

針對上述模型，下面將重點對用戶和安全訪問服務器的身份機制，以及與目標應用系統集成訪問平臺的安全通信機制予以研究。

3. 3身份認證機制

如何對操作用戶身份進行安全認證，并確保SAML令牌的機密性和完整性，是確保后續操作安全進行的前提。依據WS－security規范，基于SAML的身份認證機制如圖3所示。值得注意的是，下述討論均是在用戶獲得安全訪問服務器和集成訪問平臺的公鑰的前提下進行的。

a)用戶A通過桌面應用程序或Web 瀏覽器，輸入用戶登錄信息，客戶端安全通信代理中的消息對象模塊根據用戶輸入的信息生成SAML請求消息。

b)對生成的SAML請求添加安全屬性，生成隨機會話密鑰Key_A。根據WS－security規范中XML encryption 標準，使用Key_A對請求消息加密，使用安全訪問服務器的公鑰對會話密鑰Key_A加密。然后將請求信息打包成SOAP消息發送至安全訪問服務器，并等待應答。

c)安全訪問服務器監聽和接收客戶端發來的請求消息，并將該消息傳遞給信息安全處理模塊，對消息進行反向處理(解密和驗證安全屬性)。通過對請求消息用戶信息的驗證，確認該請求是否來自合法用戶，即完成了身份認證的過程。

d)安全訪問服務器端驗證用戶的身份后，生成用戶身份認證聲明，同時通過解析驗證用戶的請求信息，獲取用戶需要指定查詢的屬性信息名稱。安全訪問服務器根據屬性名稱，通過查找主體/角色信息庫，對用戶賦予某個角色，并生成用戶的屬性聲明。該聲明構成了用戶訪問目標應用系統集成訪問平臺時使用的SAML令牌核心。

e)SAML令牌發送到信息安全處理模塊進行安全處理，使用安全訪問服務器私鑰簽名，保證SAML令牌的完整性，防止用戶竄改令牌內容，獲取非法權限。

f)根據XML encryption標準使用隨機會話密鑰Key_A對SAML令牌加密，并打包成SOAP消息返回至客戶端，以防止令牌在返回客戶端的過程中被惡意用戶截獲并使用。

3.4安全通信機制

用戶獲取SAML安全令牌后如何安全地與各個應用系統進行無縫交互，以及如何保證交互信息的有效性#65380;真實性#65380;完整性#65380;機密性和不可否認性，是安全通信機制所要解決的關鍵問題。其詳細流程如圖4所示。

a)用戶A獲取由安全訪問服務器簽名和加密的SAML安全訪問令牌，解密SAML令牌，構造包含此令牌的SOAP消息，添加安全屬性標志，對整個消息采用XML signature簽名后，發送至目標應用系統集成訪問平臺。

b)集成訪問平臺獲取包含SAML令牌的SOAP消息后，先對其安全屬性予以檢查，防止消息重放和中間人攻擊。從通過檢查的SOAP消息中提取SAML令牌，對SAML令牌的有效性#65380;真實性和完整性予以檢查，以確定該令牌確實是由安全訪問服務器生成的，并且沒有經過竄改。最后根據SAML令牌中的身份認證聲明中的相關信息，對該消息的簽名予以驗證，以確認該消息確實是由持有該令牌的用戶發送，并且沒有經過竄改。因此通過上述操作能對整個消息和令牌的合法性#65380;有效性和完整性予以保證。

c)通過上面的驗證，得到原始的SAML聲明。集成訪問平臺根據SAMI規范解析令牌中的聲明，獲取SAML權威為該用戶生成的聲明信息，根據聲明信息中包含的用戶屬性聲明(即用戶所屬角色)，查詢角色/權限信息庫，對用戶進行基于角色的授權，用以判斷用戶對哪些目標應用系統具有何種操作權限。

d)集成訪問平臺根據客戶端安全通信代理支持的對稱加密算法類型，選擇合適的加密算法，隨機生成本次會話密鑰。構造包含會話密鑰的SOAP消息，添加安全屬性，如時間戳和會話標志，根據SAML令牌中的信息，使用用戶A的公鑰對會話密鑰加密，基于XML encryption 規范予以封裝，并添加至SOAP消息中，最后使用 XML signature 規范對整個消息實施簽名，并添加至SOAP消息中。

e)客戶端收到響應消息后驗證消息簽名，確保消息沒被竄改，并對其安全屬性予以檢查。然后采用用戶A的私鑰解密，獲取雙方通信過程中的會話密鑰。

f)客戶端構造對目標系統實施具體操作的SOAP請求消息。接著添加相應的安全屬性，基于WS－security 規范對其中的敏感信息簽名，并使用會話密鑰予以加密，保證敏感信息的機密性。為確保整個消息的完整性，使用會話密鑰對上述處理結果進行MAC計算。

g)集成訪問平臺收到客戶端發送過來的SOAP消息后。先檢查安全屬性，確保消息的有效性;接著對MAC予以驗證，確保消息的完整性;然后解密敏感信息，并予以驗證;最后根據用戶角色所具有的權限，通過執行器調用目標系統，執行有關操作。

h)集成訪問平臺根據目標系統執行結果，構造SOAP響應消息，添加安全屬性，基于WS－security規范采用會話密鑰對敏感信息簽名和加密，使用會話密鑰對上述處理結果進行MAC計算。

i)客戶端接收集成訪問平臺返回的SOAP響應消息，檢查安全屬性，進行MAC驗證，解密敏感信息，并進行驗證，提取有用信息顯示給用戶A。

j)客戶端和集成訪問平臺重復f)~i)。

上述安全通信過程中，通過安全屬性確保消息的有效性，并提供會話超時機制;通過SAML 令牌，確保訪問用戶身份的合法性;通過 XML signature 和非對稱加密算法，保證敏感消息的完整性和不可否認性;通過 XML encryption 和對稱加密算法，保證敏感信息的機密性;通過基于會話密鑰的MAC計算， 保證整個消息的完整性。

4結束語

本文根據電力企業應用系統安全集成需求，在滿足第2工作組提出的原則前提下，通過對國際上最新信息技術和信息安全技術規范研究，以及在幾種常用的集成解決方案分析的基礎上，提出了基于Web services 的解決方案;根據電力行業控制網絡和數據網絡一體化安全集成的發展方向，提出了基于XML#65380; SAML#65380;WS－security等國際標準規范的電力企業安全集成訪問系統體系結構，并在此基礎上設計了模塊化的集成安全系統模型，重點對用戶的身份認證和信息的安全通信機制進行了研究和設計實現。該方案保證了應用層消息的安全，實現了較高的實體認證安全性和安全通信效率， 并具有靈活#65380;可擴展#65380;跨平臺#65380;易維護等特性。

本方案可以在J2EE平臺下，采用Java開發語言#65380;相關安全開發包和XML#65380;Web services技術，以Web BEA weblogic server為服務器，以MySQL或Oracal為數據庫后臺開發實現。

該方案不但能夠解決電力企業中各應用信息系統的#65380;安全的#65380;高效的#65380;靈活的集成問題，而且對其他行業的應用信息系統集成也有很好的參考價值。

參考文獻:

[1]彭春華.基于Web services實現電力系統信息集成[J].江西電力，2005，29(6):13－17.

[2]李新葉，苑津莎，戚銀城，等.基于Web services的異構電力MIS信息集成方案[J].中國電力，2005，38(8):71－73.

[3]魯杰爽，石東源.基于CORBA/XML的電力企業應用集成[J].繼電器，2003，31(12):29－33.

[4]羅杰.能量管理系統中應用系統集成平臺[J].科技廣場，2006(2):79－80.

[5]IEC TC57 WG15 security standards ver 5.white paper on security standards in IEC_TC57_ver_5[EB/OL].[2005－10].http://www.pcsforum.org/library/files/1129579675－White_Paper_on_Security_Standards_in_IEC_TC57_ver_5.pdf.

[6]劉海，毛莉.開放式企業應用集成系統的解決方案[J].現代計算機，2004(4):61－64.

[7]COYLE F P.XML，Web services， and the data revolution[M].北京:清華大學出版社，2003.

[8]電力系統自動化雜志社.國際特大電網運行年會工作重點[J].電力系統自動化，2005，29(23):1，86.

[9]劉靜芳，陳赤培，樊江濤.電力系統一體化設計中信息安全防護體系研究[J].電力自動化設備，2005，25(2):83－85.

[10]韓禎祥，曹一家.電力系統的安全性及防治措施[J].電網技術，2004，28(9):1－6.

[11]余勇，林為民，何軍.電力數字證書服務系統的設計及應用[J].電力系統自動化，2005，29(10):64－68.

[12]向繼東，黃天戍，孫東.電力企業信息網絡安全管理系統設計與實現[J].電力系統自動化，2003，27(15):71－74.

[13]尚金成，黃永皓，黃勇前，等.電力市場技術支持系統網絡信息安全技術與解決方案[J].電力系統自動化，2003，27(9):15－19.

[14]叢琳，李志民，潘明惠，等.基于模糊綜合評判法的電力系統信息安全評估[J].電力系統自動化，2004，28(12):65－69.

[15]TAYLOR C，KRINGS A，ALVES－FOSS J.Risk analysis and probabilistic survivability assessment (RAPSA): an assessment approach for power substation hardening[C]//Proc of the 1st Workshop on Scientific Aspects of Cyber Terrorism. Washington D C:[s.n.]，2002.

[16]王先培，許靚，李峰，等.一種三層結構帶自保護的電力信息網絡容入侵系統[J].電力系統自動化，2005，29(10):69－72.

[17]NADALIN A，KALER C，MONZILLO R， et al. Web services security:SOAP message security 1.1[EB/OL].[2006－02－01].http://www.oasis－open.org/committees/download.php/16790/wss－v1.1－spec－os－SOAPMessageSecurity.pdf.

[18]MONZILLO R， KALER C， NADALIN A， et al.Web services security:SAML token profile 1.1[EB/OL].[2006－02－01].http://www.oasis－open.org/committees/download.php/16768/wss－v1.1－spec－os－SAMLTokenProfile.pdf.

[19]段斌，孫璐，鄒吉昌.基于SAML的電力企業集成服務智能登錄系統設計[J].電力系統自動化，2006，30(15):30－34.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”