談電力系統信息網絡安全中PKI的應用

何雪嶶　劉曦

【摘要】隨著科學技術的飛速發展，信息網絡的發展使網絡成為人們不可或缺的工具，信息網絡的安全越來越為社會各界人士所日益關注，采用何種技術確保信息網絡的安全成為人們必須解決的難題，電力系統由于自動化控制技術的采用，也面臨信息網絡安全問題，PKI作為信息網絡提供安全保障的基礎設施，為電力系統信息網絡所采用，本文就針對電力系統信息網絡安全中PKI的應用進行了探討。

【關鍵詞】電力系統;信息網絡;安全;PKI;應用

1、電力系統信息網絡安全分析

電力系統的安全穩定、經濟優質運行離不開信息網絡安全系統的保障，對“數字電力系統”的建設和實現具有重要意義，所以當前網絡安全系統在整個電力活動中具有相當關鍵的地位。隨著計算機在系統中的廣泛應用，在生產、經營、管理方面都具有較大的作用，然而在計算機安全技術以及安全措施上的投入比較少，安全性得不到很好的保障。尤其是在計算機網絡化將傳統的局域網更改為聯成光宇網之后，存在著巨大的外部安全隱患和威脅，使網絡安全系統很有可能受到外來網絡攻擊。在電力系統中其實早期的計算機網絡采用的是內部局域網，其計算機安全大多是防止意外破壞或者是內部人員的控制，但在當前新的計算機網絡環境下，必須要能夠應對國際互聯網上的惡意攻擊。對電力系統的攻擊主要有兩種形式：一種是主動攻擊，即黑客利用多種計算機病毒進入到電力系統的信息網絡中進行竊取或者篡改數據;另一種是被動攻擊，就是通過網絡監聽等技術手段對電力系統網絡中的數據進行截取并分析和理解。這兩種攻擊方式都會對電力系統的網絡安全造成極大的威脅，一旦數據被竊取或者篡改將會嚴重影響到電力系統的正常運行，甚至是損害電力設備發生安全事故等。另外由于電力系統的網絡化管理和其他網絡管理存在一定的差異，比如電力網絡信息系統要對發電報價等電力市場信息進行加密和隔離處理等，具有特殊的安全性要求，也對電力企業的發展經營有一定的影響。

當前電力系統網絡管理人員對信息安全的防護要比對數據備份、網絡設備以及病毒防范還要重視，由于對應用層的保護意識還不夠，因此也就會產生網絡信息安全隱患。比如傳統的“用戶名+口令”的身份認證方式落后，安全等級比較弱，一旦用戶名和口令被竊取將造成嚴重的損失;電力系統網絡信息機密性和完整性較弱，在通過內、外網進行網絡數據傳輸時，個別敏感信息和數據很有可能被截取并惡意修改;網絡信息存在不可抵賴性，這是因為如果財務報表、采購清單和生產計劃等電子文件被一方否認，則另一方就沒有已簽名的記錄作為仲裁判斷的依據。所以在電力系統中設計一個以PKI為基礎的網絡信息安全系統平臺是十分必要的，能夠為電力人員提供保密性更強的身份認證方式和訪問控制，加強數據傳輸的安全性和機密性，確保電力系統能夠正常穩定的運行。

2、PKI結構框架分析

PKI一般是指計算機網絡信息安全中的公鑰基礎設施，是由硬件、軟件和人員、策略、規程集合來實現以公鑰密碼體制的密鑰和證書的產生、管理以及存儲和分發、撤銷等功能，在電力系統中的應用可以實現設備自動化服務，保障電力系統重要數據的安全。PKI只要是由四個主要部分組成，一是策略批準中心，簡稱PAA，二是策略證書中心，簡稱PCA，三是證書認證中心，簡稱CA以及注冊中心，簡稱ORA。PKI在網絡信息系統中主要的作用就是提供加密服務，以加密的應用程序接口（API）作為基礎提供用戶所需的加密服務和證書管理服務。一般的PKI包括密碼服務提供者、證書服務器、安全通道、認證碼、加密文件系統、密鑰管理服務器、PKI應用程序等。

3、電力系統安全平臺設計

3.1基本框架

為了實現加強電力系統網絡信息安全的目的，就要在信息共享機制的基礎上設計安全系統平臺。在該管理平臺中，第一步必須要先提交數字證書，才能夠通過身份認證，然后進入到系統中;第二步在進入系統之后，只有具有相關權限的人員才能夠對各個功能模塊進行具體的操作和管理。該系統是在使用MicrosoftActiveServerPages與MicrosoftSQLServer相結合的基礎上實現構筑標準化三層B/S結構應用系統的目的，從而利用數字證書系統作為網絡信息系統的身份認證方式和通道。因此安全系統平臺是以Microsoft提供的PKI結構框架部件進行設計的，在此同時可以使用通過數字證書加密和應用程序認證中的消息，系統在運行的過程中也能夠有效地保障身份認證等其他加密功能的實現。

3.2數字證書實現

在對安全系統進行設計時，要使用計算機提供的證書服務器，對證書頒發者進行設置，使其他用戶可以向已設置的證書頒發者申請證書。如果用戶登錄該系統要實施某項具體操作時，需要嚴格地加密身份認證，這一過程是用戶有意愿對重要服務器進行操作或者數據讀取時，安全系統首先要對用戶的身份進行認證，核查該用戶是否是通過證書頒發者簽發證書的用戶。然后用戶的相關操作請求會發送到服務器中，并向用戶發送消息請求用戶證書，通過私鑰對證書的簽名之后，服務器還要對簽名證書進行檢查，確認證書合法后取出證書中的公鑰，驗證用戶證書簽名，通過后即實現了對用戶的身份認證，即可登錄頁面進行相關操作。

3.3數字簽名及認證實現

在電力系統網絡安全系統平臺中要加強安全性就要在數字證書的用戶身份認證技術的基礎上對電子文件數據進行數字簽名，能夠在一定程度上保障信息的完整性和確認文檔數據真實性，避免出現抵賴行為和他人冒充合法用戶篡改數據。發送方首先用哈希函數從明文文件中生成一個數字摘要，然后再通過自己的私鑰對該數字摘要進行加密并形成發送方的數字簽名;如果需要選擇一個對稱密鑰對電子文件進行加密則要通過網絡傳輸的方式發送到接收方，之后通過網絡將數字簽名作為附件和報文密文一同傳輸給接受方;然后接收方再利用公鑰給對稱密鑰進行加密，直接通過網絡將加密過后的對稱密鑰傳輸到接收方。實際上對數據簽名進行驗證的過程就是對數據摘要的比較，這一過程中簽名的認證運用到了CAPICOM控件中的SignedData對象的SignedData.Verify方法。該方法可以對數據上的用戶簽名是否有效進行驗證，如果改簽名合法有效，則能夠從簽名者的整數中調出公鑰，進而驗證被Hash函數作用后的數據內容，如果內容出現匹配則該方法返回驗證成功值。因此合理的使用數字簽名和證書能夠獲得極大的安全性，在應用的過程中還要注重細節，嚴格按照操作規范就能夠最大限度地保障電力系統的網絡信息安全。

結語

總之，PKI在電力系統的應用不是光靠說說，更是需要我們提高認識，建立正確的系統安全防護的框架，來確保網絡信息安全，這不僅需要哪一個企業來做到，更是需要千千萬萬的企業來提高認識，防患于未然，切實做好信息網絡安全工作，只有這樣，才能提高電力企業的效率和效益，未來才會發展的更好。

參考文獻

[1]董偉明，劉俐，羅時俊，張瑛，謝華.電力系統集中式電話錄音系統研究與應用[J].電子世界.2013（17）

[2]胡福平.電力系統信息網絡安全防護及措施分析[J].通信電源技術，2018，035（010）：165-166.