智能電網環境下用戶行為可信數據安全交換研究

摘 要： 隨著智能電網的建設，電力信息網絡越來越復雜，為了解決電力信息網絡環境下各信息孤島之間、電力企業與電力用戶之間數據交換和共享的安全，提出智能電網環境下用戶行為可信數據安全交換：在客戶端，記錄數據的基本屬性及用戶操作；通過統一的安全交換協議進行信息傳輸；在服務端，依據數據屬性和用戶操作通過配置策略過濾數據，使用關聯分析分析用戶異常行為，并采用用戶行為可信技術對用戶行為進行可信檢查。通過分析，用戶行為可信數據交換能夠在異構環境下從數據傳輸、數據安全和用戶行為可信三方面確保數據的安全交換。

關鍵詞： 智能電網； 數據交換； 行為可信； 交換協議； 關聯分析

中圖分類號： TN915.853?34 文獻標識碼： A 文章編號： 1004?373X（2014）01?0075?05

0 引 言

智能電網提出以來，還沒有統一定義，但各種不同定義的智能電網[1?6]的基本思想卻很相似：將電力網與信息網相結合，經信息化將電能的生產、傳輸、分配與使用環節緊密聯系在一起，從而使得電網具備堅強、自愈、兼容、經濟、集成和優化等功能，通過智能化的控制實現實時、高效、安全、靈活、自動化、友好、清潔環保的新型智能電力系統。

隨著智能電網的發展，在保障電力系統的安全運行過程中，信息安全的重要性越發的突顯出來[7?13]。文獻[7?9]從電力與信息結合的二元網絡結構分析了智能電網下的電力信息安全現狀，以及信息安全對電力系統生存的重要性影響。文獻[10?13]描述信息網絡的安全隱患以及在惡意攻擊條件下，信息網絡的不安全影響到電力網絡的不穩定，甚至可能造成大范圍的連鎖停電事故。

智能電網實踐的深入，電力企業和電力用戶的信息交互越來越頻繁。由于電力網絡與用戶使用的Internet網絡存在差別，數據傳輸過程中，進行數據的隔離交換是必要的。目前，對數據交換問題的研究非?；钴S。業界許多著名企業的研究中心將數據交換作為主要研究內容，如IBM，微軟，Sybase等。國內也有不少的機構在從事數據交換方面的研究，如武漢大學的XML在信息交換中的應用[14]，清華大學在基于XML的數據交換平臺的研究[15]，華中科技大學通過XML在電力系統上的數據交換[16]，復旦大學基于XML的電子數據交換研究[17]，東南大學基于XML數據交換系統研究[18]。他們主要關注數據交換的效率，而數據交換的安全考慮不足。在現有的數據安全基礎上，國際研究表明網絡安全正朝著網絡可信方向發展，未來網絡安全是增加行為可信的可信網絡[19]?？尚啪W絡包括服務提供者的可信、網絡信息傳輸的可信和終端用戶的可信[20?21]。通過研究用戶的行為信任，不僅可以減少或避免與惡意用戶交往，而且因為服務提供者與用戶之間建立了互信，從而提高了它們合作完成任務的可能性，降低了因不信任帶來的監控和防范等額外開銷。

在數據交換基本之上，研究用戶行為可信的數據安全交換：依據記錄數據屬性，通過策略對數據屬性進行匹配而達到對數據進行過濾的目的；引入用戶行為可信與關聯分析技術，研究可信的數據安全交換。數據安全交換在數據交換的基礎上，不僅能提高數據交換效率，改善決策和投資環境，增加效益，而且增強數據交換的安全性，減少因數據的原因而造成的損失。

1 用戶行為可信的數據安全交換

基于用戶行為可信的數據安全交換如圖1所示，數據安全交換包含有客戶端的驅動，傳輸過程的統一安全交換協議，隔離交換中心的協議分析、策略過濾、用戶行為可信分析和日志審計。

圖1 用戶行為可信的數據安全交換框架

客戶端的驅動將數據及其屬性封裝成私有化的統一格式，它包含有數據屬性驅動和交換協議驅動。屬性驅動對數據屬性進行封裝，以便在隔離交換交換中心通過屬性對數據過濾和用戶行為可信檢查；交換協議驅動將數據及其屬性一起封裝為安全交換協議，安全交換協議會將數據及數據屬性以分塊隨機加密方式重新組合，以提高數據傳輸和交換的安全及數據的統一處理。

隔離交換中心負責數據的安全交換，它通過對數據、用戶和用戶行為進行安全分析來確保安全。隔離交換中心首先進行協議分析和屬性分析來恢復數據及其屬性；然后通過身份認證驗證用戶身份，確保用戶合法；再經數據屬性，利用策略規則對數據進行過濾，將不滿足策略規則的數據過濾掉；最后通過用戶信任值、用戶行為，對用戶行為進行可信檢查和異常行為檢查。隔離交換中心通過身份認證，策略過濾和用戶行為可信檢查三層保障來確保數據在交換過程中的安全。

策略過濾通過記錄數據屬性信息、數據使用者信息以及傳輸中數據產生的信息，在隔離交換中心的策略規則約束下，不滿足規則的數據不可通過，從而對數據進行過濾。

1.1 數據屬性

數據屬性為數據相關的基本屬性、用戶添加屬性及用戶操作。數據屬性在隔離交換中心為基于策略的過濾、用戶行為可信檢查和用戶異常行為分析服務。基于策略的過濾通過提取數據基本屬性值和用戶添加信息對數據進行過濾，用戶行為可信檢查和異常行為分析通過數據屬性中的用戶信息和用戶對數據的操作行為對用戶歷史及現在行為進行可信判定。

數據基本屬性為數據相關的直接信息，它包含有數據類型、數據大小、數據創造者、數據修改時間等。用戶添加屬性為用戶對數據的描述，有數據的安全級別、數據是否需要加密、數據關鍵詞、操作數據的用戶身份等。用戶操作為用戶對數據的操作，包含有訪問目的地、訪問協議、訪問動作、訪問時間、訪問源等信息。數據屬性[A]形式描述為：

[A=]

式中：[u]為用戶信息；[Ad]為數據的基本屬性；[Ao]為用戶對數據的操作；[ef]為屬性加密標識；[E]為屬性加密密鑰信息；[ta]為屬性生成時間。

為了在后續描述中減少符號引入，對符號的描述將不區分是否為加密狀態。

在隔離交換中心采用物理隔離條件下，數據屬性可作為裸數據隨數據從一個安全網絡帶到另一個安全網絡，而不會丟棄用戶在之前網絡的行為。

1.2 安全交換協議

安全交換協議一方面是在SSL安全通道的基礎之上對數據進行雙重保護，以保證交互數據在網絡傳輸過程中的安全，另一方面，安全交換協議將各種數據以協議的格式進行封裝，以達到異構平臺下的統一交換。

安全交換協議對數據進行分塊，且對分塊采取隨機加密方式。分塊加密對格式化的文檔，如PDF、Word等采取對文檔頭、尾加密，對文檔中間部分的分塊隨機選取加密，以提高加解密速率且不失安全性。協議格式P形式描述為：

[P=]

式中：[hp]為協議頭，協議頭包含有協議生成時間、協議內容長度、數據信息加密位、協議校驗等信息；[A]為數據屬性；[BD]為數據的分塊；[E（BD）]為分塊的隨機加密信息，包含隨機選取的加密塊、加密密鑰。

1.3 驅動

驅動包含有屬性驅動和協議驅動。屬性驅動對數據基本屬性、用戶添加屬性及用戶操作封裝成數據屬性，數據屬性以鍵值對形式封裝，并進行加密，以保證安全和方便解析；交換協議驅動以分塊隨機加密方式將數據及其屬性一起封裝為安全交換協議，以提高數據傳輸和交換的安全及數據的統一處理。

數據在客戶端經屬性驅動和協議驅動將帶屬性的數據封裝成統一安全交換數據，再經SSL隧道傳輸到隔離交換中心，操作如圖2所示。

步驟1：對數據基本屬性、用戶添加屬性和用戶操作屬性進行鍵值對處理，得到[Ad（k，v）]和[Ao（k，v）；]

步驟2：加密數據后封裝，得到加密后的數據屬性A；

步驟3：對數據進行隨機分塊，得到[BD；]

步驟4：隨機選取數據分塊，然后進行加密，得到加密后的[BD]和[E（BD）；]

步驟5：將數據屬性與數據進行封裝，形成統一安全交換格式數據[P。]

1.4 隔離交換中心

隔離交換中心負責數據的安全交換。協議分析和屬性分析分別解析客戶端的協議驅動和屬性驅動封裝的數據，以恢復數據及其屬性；身份認證用于認證用戶身份；策略過濾依據數據屬性利用策略規則對數據進行過濾，以過濾不符合策略規則的數據；用戶行為可信檢查和異常行為分析依據數據屬性，采用可信操作集合的匹配來檢查用戶行為是否可信，并在用戶行為不可信的條件下結合異常行為集合通過關聯分析分析用戶行為是否異常。這里的可信性與異常性并不沖突，因為不可信的行為并不都是惡意的行為。本小節先介紹隔離交換中心的數據處理流程，在后續小節中詳細介紹基于策略的過濾和行為可信檢查，并簡單介紹異常行為分析。

當客戶端數據到達隔離交換中心后，數據將被進行如下操作，如圖3所示。

步驟1：安全交換協議分析，恢復數據及其屬性[BD]和[A；]

步驟2：用戶認證階段從[A]中提取用戶[u]進行身份認證，非認證階段直接進入下一步；

步驟3：數據屬性分析提取數據屬性信息[A；]

步驟4：提取數據基本屬性和用戶添加屬性[Ad（k，v），]通過策略規則對數據進行過濾；

步驟5：提取用戶[u]及用戶對數據的操作行為[Ao（k，v），]判定用戶行為的可信性，用戶行為可信，結束并返回操作可信，不可信，進入下一步；

步驟6：依據數據屬性中的用戶對數據的操作行為，對用戶行為進行關聯分析，判定用戶行為是否為異常行為。如行為異常，將降低用戶信任值。結束。

在操作的整個過程中，包含有日志記錄功能。

1.5 基于策略的過濾

基于策略的過濾通過設計靈活的策略規則，依客戶端提供的數據屬性，對數據進行過濾。

策略規則為策略過濾的規范。策略規則提供了一個統一的策略描述，以能夠處理屬性信息來達到過濾數據的目的。為了方便計算與擴展，策略規則設計為自定義的表達式，它由變量、值和操作符構成。變量值依據變量從數據屬性信息中提取，操作符和變量由具體策略設置。過濾時，將屬性值替換變量值，然后計算策略表達式，最后輸出計算結果。由于策略規則使用表達式，所以策略規則非常靈活。

形式化策略規則如圖4所示。

圖4 策略規則

策略規則由左括號[，關鍵字begin，表達式（exp），關鍵字end，右括號]構成。表達式由兩部分構成：

基本項：變量（var）、數值（float和integer）和字符串（string）；

構成項：由變量、數值和字符串，通過一元（opu）、二元（opb）操作符連接的復雜表達式。

使用自定義的表達式來描述策略規則，能夠使基于策略的過濾不僅方便，而且操作性強，擴展性靈活。策略過濾流程如圖5所示。

圖5 策略過濾

步驟1：提取數據屬性信息[Ad（k，v）；]

步驟2：遍歷策略規則表達式exp，提取表達式中的變量var；

步驟3：將var為鍵從[Ad（k，v）]中提取var對應值v（整型數、浮點型數和字符串）；

步驟4：將策略規則中的var由v替代，并計算表達式；

步驟5：依據計算結果判定數據是否被過濾，并記錄日志。

1.6 用戶行為可信檢查

用戶行為可信檢查通過檢查用戶的行為是否可信，來判定用戶是否允許訪問資源。

用戶行為可信檢查有用戶可信行為集合和用戶行為可信檢查規則兩部分。用戶可信行為集合通過預先設置，行為可信檢查規則依據可信集合來檢查。

定義可信行為集合之前，需要先定義主體集合、客體集合及行為集合。

主體集合：[S={s1，s2，…，sm}]

[S]中的[si（1≤i≤m）]為一個主體，也表示為用戶，主體上設置信任值[tvi，]信任值大于0，表示允許用戶能夠進行的異常操作步驟，當信任值低于0，將禁止用戶操作，待問題解決后，重新設置信任值。

客體集合：[O={o1，o2，…，on}]

[O]中的[oi（1≤i≤n）]為一個客體，也表示操作的對象。

行為集合： [B={b1，b2，…，bl}]

[B]中的[bi（1≤i≤l）]表示一次主體對客戶的操作（用戶對對象的操作）。

可信行為集合： [TB={t1，t2，…，tk}]

其中可信行為[ti]描述為：

[ti=s1 b1 o1，l=1s1 b1 o1，s2 b2 o2，…，sl bl ol， l>1]

[ti]為主體對客體的操作序列。簡單的操作可以說類似訪問控制，只是控制粒度更?。粡碗s操作在簡單操作的基礎之上，要求更加嚴格，只允許按照設置的訪問序列來訪問資源。

用戶行為可信檢查如圖6所示。

步驟1：從數據屬性A中提取用戶[u]及用戶操作[Ao（k，v），]并轉換為訪問主體[si、]訪問客體[oi、]訪問操作[bi]（用戶行為）等；

步驟2：檢查[si]的信任值[tvi，]并與0（閾值）比較，不低于0，進入下一步，低于0，記錄日志并發出警告，結束；

步驟3：加載用戶行為可信集合[TB；]

步驟4：遍歷[TB；]

步驟5：提取[ti，]將[ti]中的[s、][o、][b]分別與[si、][oi、][bi]進行匹配，若匹配，則可信；反之，記錄日志并轉至異常行為分析。

圖6 用戶行為可信檢查

1.7 用戶異常行為關聯分析

基于用戶行為的關聯是以用戶異常行為模式為原型，監測操作者的行為規律。用戶的異常行為模式存儲在異常行為規則庫中，如果用戶行為符合異常行為規則庫中定義的行為模式，則檢查其為異常行為。異常行為規則庫由多個樹型結構的規則組成，規則樹由多條規則構成。規則記錄了用戶異常的操作行為。

關聯分析通過預設規則庫，對訪問用戶，提取他們的行為，并依據規則庫進行關聯分析，以確定用戶行為是否存在異常。當用戶行為出現異常時，用戶的信任值會受到影響，并記錄日志，以供日后分析。用戶行為關聯分析步驟如下：

（1） 從數據屬性中提取用戶的訪問動作信息；

（2） 遍歷異常行為規則庫，提取異常操作規則，與用戶操作行為進行比較，若匹配，從主體集合中獲取相應的主體并將主體的信任值下降1，發出警告并記錄日志。

2 安全性分析

用戶行為可信數據安全交換通過自定義網絡傳輸中的私有統一安全交換協議保障數據傳輸過程中的安全性，依據數據屬性利用策略對數據過濾保障數據內容的安全性，判定用戶行為可信和異常行為分析來保證用戶行為的可信，即通過確保傳輸安全、數據內容安全和用戶行為可信三個方面保障數據在異構環境下從源端到目的端的安全。

安全交換協議：通過自定義統一安全交換協議，提高待傳輸的數據在傳輸過程中的安全性，自定義格式協議在不公開數據格式條件，加大了攻擊者恢復數據的難度，甚至在隨機分塊加密的條件難以恢復。而自定義協議是構建在TCP/IP協議之上，所以它可以在Internet上正常傳輸。

基于策略的過濾：策略過濾依據數據基本屬性和客戶端用戶添加屬性，在服務端通過策略規則對數據進行內容過濾。策略規則針對不同數據采取不同策略、管理員對數據的需求，依據數據屬性對數據過濾，不僅可以將不需要的數據進行過濾，保證數據的安全性，在對過濾的數據進行日志審計后，還可追究用戶責任。

用戶行為可信：在策略過濾的基礎上，通過檢查用戶行為的可信性，來保證允許的操作是可信行為。相比訪問控制來說，用戶行為可信的方式粒度更細，要求也更加嚴格，更能滿足網絡上保證數據安全性的需求。在行為不可信情況下，對用戶行為進行異常分析，預判用戶行為是否存在危險（用戶出現主動或被動攻擊行為）。在分析出用戶行為可能存在危險的情況下，隔離交換中心主動對用戶行為采用限制，從而起到主動防御作用。異常行為分析是為用戶行為可信的輔助。

3 結 語

當前，數據交換研究主要在統一數據交換格式方面，而對數據交換的安全不夠重視。在智能電網的電網業務與用電客戶間的交互越來越頻繁情況下，不同的異構系統之間的數據交換需求很明顯。用戶行為可信數據安全交換通過自定義安全交換協議增加數據在傳輸過程中的安全性，解決異構環境下的數據統一格式；通過將策略過濾、用戶行為可信分析等安全行為直接融入到數據交換，從數據本身的安全和用戶行為安全兩個方面來保護數據在交換過程中的安全，從而確保數據不被輕易竊取、篡改和用戶誤操作。

用戶行為可信數據安全交換通過安全交換協議，策略過濾，用戶行為可信檢查來保障數據的安全性，在智能電網環境下，如何將數據從高級別安全網絡（電力內部網絡）交換到低級別安全網絡（Internet）時，防止保密數據的泄密，是今后的擴展研究方向。

參考文獻

[1] 劉振亞.建設堅強智能電網支撐又好又快發展[J].電網與清潔能源，2009，25（9）：1?3.

[2] 盧強.數字電力系統（DPS）[J].電力系統自動化，2000，24（9）：1?4.

[3] 余貽鑫，欒文鵬.智能電網[J].電網與清潔能源，2009，25（1）：7?11.

[4] United States Department of Energy Office of Electric Transmission and Distribution. “GRID 2030” a national vision for electricity′s second 100 years [EB/OL]. [2009?05?09]. http：//www.climatevision.gov/sectors/electricpower/pdfs/electric_vision.pdf.

[5] European Smart Grids Technology Platform. Vision and strategy for Europe′s electricity network of the future [EB/OL]. [2009?03?15]. http：//www.smartgrids.eu/documents/vision.pdf.

[6] HAASE Paul. IntelliGrid： a smart network of power [J]. EPRI Journal， 2005： 17?25.

[7] 丁道齊.復雜大電網安全性分析[M].北京：中國電力出版社，2010.

[8] 梅生偉，王瑩瑩，陳來軍.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望[J].高電壓技術，2011，37（3）：672?679.

[9] 陳來軍，梅生偉，陳穎.智能電網信息安全及其對電力系統生成性的影響[J].控制理論與應用，2012，29（2）：240?244.

[10] BOYER W F， MCBRIDE S. Study of security attributes of smart grid systems–current cyber security issues [EB/OL]. [2009?04?29]. http：//www.inl.gov/scada/publications/d/securing_ the_smart_grid_current_issues.pdf .

[11] GRANT R L. Smart grid implementation： strategies for success [EB/OL]. [2010?05?13]. http：//www.lexingtoninstitute.org/library/resources/documents/Energy/Smart Grid Implementation.pdf.

[12] McAfee Found stone Professional Services and McAfee Labs. Global energy cyber attacks： “night dragon” [EB/OL]. [2011?02?10]. http：//www.mcafee.com/us/resources/white?papers/wp?global?energy?cyberattacks?night?dragon.pdf.

[13] MATROSOV A， RODIONOV E， HARLEY D. Stuxnet under the microscope [EB/OL]. [2010?03?12]. http：//www.esetnod32.ru/company/viruslab/analytics/doc/Stuxnet_Under_the_Microscope.pdf.

[14] 謝佳，王克峰.XML在數據交換中的應用[J].現代電子技術，2006，29（9）：108?109.

[15] 章明，許青松，沈錫臣.基于XML的數據交換共享平臺模型[J].清華大學學報：自然科學版，2003，43（1）：105?107.

[16] 趙鵬，王星華.基于XML的電力系統數據交換系統[J].現代電子技術，2004，27（20）：50?53.

[17] 肖富軍，陳文鏖，胡運發.基于XML技術的電子數據交換[J].計算機工程，2000，26（9）：129?131.

[18] 魏建香，羅軍舟.一個基于XML數據交換系統的研究與設計[J].計算機工程與應用，2004（36）：122?124.

[19] SCHNEIDER F B. Trust in cyberspace [EB/OL]. [1998?09?29]. http：//www.nap.edu/catalog/6161.html.

[20] 林闖，田立勤，王元桌.可信網絡中用戶行為可信的研究[J].計算機研究與發展，2008，45（12）：2033?2043.

[21] 田立勤，林闖.可信網絡中一種基于行為信任預測的博弈控制機制[J].計算機學報，2007，30（11）：1930?1938.