談電力系統(tǒng)信息網(wǎng)絡(luò)安全中PKI的應(yīng)用

1、    談電力系統(tǒng)信息網(wǎng)絡(luò)安全中pki的應(yīng)用    何雪嶶劉曦【摘要】隨著科學(xué)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)的發(fā)展使網(wǎng)絡(luò)成為人們不可或缺的工具，信息網(wǎng)絡(luò)的安全越來越為社會各界人士所日益關(guān)注，采用何種技術(shù)確保信息網(wǎng)絡(luò)的安全成為人們必須解決的難題，電力系統(tǒng)由于自動化控制技術(shù)的采用，也面臨信息網(wǎng)絡(luò)安全問題，pki作為信息網(wǎng)絡(luò)提供安全保障的基礎(chǔ)設(shè)施，為電力系統(tǒng)信息網(wǎng)絡(luò)所采用，本文就針對電力系統(tǒng)信息網(wǎng)絡(luò)安全中pki的應(yīng)用進(jìn)行了探討?！娟P(guān)鍵詞】電力系統(tǒng);信息網(wǎng)絡(luò);安全;pki;應(yīng)用1、電力系統(tǒng)信息網(wǎng)絡(luò)安全分析電力系統(tǒng)的安全穩(wěn)定、經(jīng)濟(jì)優(yōu)質(zhì)運(yùn)行離不開信息網(wǎng)絡(luò)安全系統(tǒng)的保障，對

2、“數(shù)字電力系統(tǒng)”的建設(shè)和實(shí)現(xiàn)具有重要意義，所以當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)在整個(gè)電力活動中具有相當(dāng)關(guān)鍵的地位。隨著計(jì)算機(jī)在系統(tǒng)中的廣泛應(yīng)用，在生產(chǎn)、經(jīng)營、管理方面都具有較大的作用，然而在計(jì)算機(jī)安全技術(shù)以及安全措施上的投入比較少，安全性得不到很好的保障。尤其是在計(jì)算機(jī)網(wǎng)絡(luò)化將傳統(tǒng)的局域網(wǎng)更改為聯(lián)成光宇網(wǎng)之后，存在著巨大的外部安全隱患和威脅，使網(wǎng)絡(luò)安全系統(tǒng)很有可能受到外來網(wǎng)絡(luò)攻擊。在電力系統(tǒng)中其實(shí)早期的計(jì)算機(jī)網(wǎng)絡(luò)采用的是內(nèi)部局域網(wǎng)，其計(jì)算機(jī)安全大多是防止意外破壞或者是內(nèi)部人員的控制，但在當(dāng)前新的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下，必須要能夠應(yīng)對國際互聯(lián)網(wǎng)上的惡意攻擊。對電力系統(tǒng)的攻擊主要有兩種形式：一種是主動攻擊，即黑客利用多

3、種計(jì)算機(jī)病毒進(jìn)入到電力系統(tǒng)的信息網(wǎng)絡(luò)中進(jìn)行竊取或者篡改數(shù)據(jù);另一種是被動攻擊，就是通過網(wǎng)絡(luò)監(jiān)聽等技術(shù)手段對電力系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行截取并分析和理解。這兩種攻擊方式都會對電力系統(tǒng)的網(wǎng)絡(luò)安全造成極大的威脅，一旦數(shù)據(jù)被竊取或者篡改將會嚴(yán)重影響到電力系統(tǒng)的正常運(yùn)行，甚至是損害電力設(shè)備發(fā)生安全事故等。另外由于電力系統(tǒng)的網(wǎng)絡(luò)化管理和其他網(wǎng)絡(luò)管理存在一定的差異，比如電力網(wǎng)絡(luò)信息系統(tǒng)要對發(fā)電報(bào)價(jià)等電力市場信息進(jìn)行加密和隔離處理等，具有特殊的安全性要求，也對電力企業(yè)的發(fā)展經(jīng)營有一定的影響。當(dāng)前電力系統(tǒng)網(wǎng)絡(luò)管理人員對信息安全的防護(hù)要比對數(shù)據(jù)備份、網(wǎng)絡(luò)設(shè)備以及病毒防范還要重視，由于對應(yīng)用層的保護(hù)意識還不夠，因此也就

4、會產(chǎn)生網(wǎng)絡(luò)信息安全隱患。比如傳統(tǒng)的“用戶名+口令”的身份認(rèn)證方式落后，安全等級比較弱，一旦用戶名和口令被竊取將造成嚴(yán)重的損失;電力系統(tǒng)網(wǎng)絡(luò)信息機(jī)密性和完整性較弱，在通過內(nèi)、外網(wǎng)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸時(shí)，個(gè)別敏感信息和數(shù)據(jù)很有可能被截取并惡意修改;網(wǎng)絡(luò)信息存在不可抵賴性，這是因?yàn)槿绻?cái)務(wù)報(bào)表、采購清單和生產(chǎn)計(jì)劃等電子文件被一方否認(rèn)，則另一方就沒有已簽名的記錄作為仲裁判斷的依據(jù)。所以在電力系統(tǒng)中設(shè)計(jì)一個(gè)以pki為基礎(chǔ)的網(wǎng)絡(luò)信息安全系統(tǒng)平臺是十分必要的，能夠?yàn)殡娏θ藛T提供保密性更強(qiáng)的身份認(rèn)證方式和訪問控制，加強(qiáng)數(shù)據(jù)傳輸?shù)陌踩院蜋C(jī)密性，確保電力系統(tǒng)能夠正常穩(wěn)定的運(yùn)行。2、pki結(jié)構(gòu)框架分析pki一般是指計(jì)

5、算機(jī)網(wǎng)絡(luò)信息安全中的公鑰基礎(chǔ)設(shè)施，是由硬件、軟件和人員、策略、規(guī)程集合來實(shí)現(xiàn)以公鑰密碼體制的密鑰和證書的產(chǎn)生、管理以及存儲和分發(fā)、撤銷等功能，在電力系統(tǒng)中的應(yīng)用可以實(shí)現(xiàn)設(shè)備自動化服務(wù)，保障電力系統(tǒng)重要數(shù)據(jù)的安全。pki只要是由四個(gè)主要部分組成，一是策略批準(zhǔn)中心，簡稱paa，二是策略證書中心，簡稱pca，三是證書認(rèn)證中心，簡稱ca以及注冊中心，簡稱ora。pki在網(wǎng)絡(luò)信息系統(tǒng)中主要的作用就是提供加密服務(wù)，以加密的應(yīng)用程序接口（api）作為基礎(chǔ)提供用戶所需的加密服務(wù)和證書管理服務(wù)。一般的pki包括密碼服務(wù)提供者、證書服務(wù)器、安全通道、認(rèn)證碼、加密文件系統(tǒng)、密鑰管理服務(wù)器、pki應(yīng)用程序等。3、電力

6、系統(tǒng)安全平臺設(shè)計(jì)3.1基本框架為了實(shí)現(xiàn)加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)信息安全的目的，就要在信息共享機(jī)制的基礎(chǔ)上設(shè)計(jì)安全系統(tǒng)平臺。在該管理平臺中，第一步必須要先提交數(shù)字證書，才能夠通過身份認(rèn)證，然后進(jìn)入到系統(tǒng)中;第二步在進(jìn)入系統(tǒng)之后，只有具有相關(guān)權(quán)限的人員才能夠?qū)Ω鱾€(gè)功能模塊進(jìn)行具體的操作和管理。該系統(tǒng)是在使用microsoftactiveserverpages與microsoftsqlserver相結(jié)合的基礎(chǔ)上實(shí)現(xiàn)構(gòu)筑標(biāo)準(zhǔn)化三層b/s結(jié)構(gòu)應(yīng)用系統(tǒng)的目的，從而利用數(shù)字證書系統(tǒng)作為網(wǎng)絡(luò)信息系統(tǒng)的身份認(rèn)證方式和通道。因此安全系統(tǒng)平臺是以microsoft提供的pki結(jié)構(gòu)框架部件進(jìn)行設(shè)計(jì)的，在此同時(shí)可以使用通過數(shù)字

7、證書加密和應(yīng)用程序認(rèn)證中的消息，系統(tǒng)在運(yùn)行的過程中也能夠有效地保障身份認(rèn)證等其他加密功能的實(shí)現(xiàn)。3.2數(shù)字證書實(shí)現(xiàn)在對安全系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，要使用計(jì)算機(jī)提供的證書服務(wù)器，對證書頒發(fā)者進(jìn)行設(shè)置，使其他用戶可以向已設(shè)置的證書頒發(fā)者申請證書。如果用戶登錄該系統(tǒng)要實(shí)施某項(xiàng)具體操作時(shí)，需要嚴(yán)格地加密身份認(rèn)證，這一過程是用戶有意愿對重要服務(wù)器進(jìn)行操作或者數(shù)據(jù)讀取時(shí)，安全系統(tǒng)首先要對用戶的身份進(jìn)行認(rèn)證，核查該用戶是否是通過證書頒發(fā)者簽發(fā)證書的用戶。然后用戶的相關(guān)操作請求會發(fā)送到服務(wù)器中，并向用戶發(fā)送消息請求用戶證書，通過私鑰對證書的簽名之后，服務(wù)器還要對簽名證書進(jìn)行檢查，確認(rèn)證書合法后取出證書中的公鑰，驗(yàn)證用

8、戶證書簽名，通過后即實(shí)現(xiàn)了對用戶的身份認(rèn)證，即可登錄頁面進(jìn)行相關(guān)操作。3.3數(shù)字簽名及認(rèn)證實(shí)現(xiàn)在電力系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)平臺中要加強(qiáng)安全性就要在數(shù)字證書的用戶身份認(rèn)證技術(shù)的基礎(chǔ)上對電子文件數(shù)據(jù)進(jìn)行數(shù)字簽名，能夠在一定程度上保障信息的完整性和確認(rèn)文檔數(shù)據(jù)真實(shí)性，避免出現(xiàn)抵賴行為和他人冒充合法用戶篡改數(shù)據(jù)。發(fā)送方首先用哈希函數(shù)從明文文件中生成一個(gè)數(shù)字摘要，然后再通過自己的私鑰對該數(shù)字摘要進(jìn)行加密并形成發(fā)送方的數(shù)字簽名;如果需要選擇一個(gè)對稱密鑰對電子文件進(jìn)行加密則要通過網(wǎng)絡(luò)傳輸?shù)姆绞桨l(fā)送到接收方，之后通過網(wǎng)絡(luò)將數(shù)字簽名作為附件和報(bào)文密文一同傳輸給接受方;然后接收方再利用公鑰給對稱密鑰進(jìn)行加密，直接通過網(wǎng)

9、絡(luò)將加密過后的對稱密鑰傳輸?shù)浇邮辗?。?shí)際上對數(shù)據(jù)簽名進(jìn)行驗(yàn)證的過程就是對數(shù)據(jù)摘要的比較，這一過程中簽名的認(rèn)證運(yùn)用到了capicom控件中的signeddata對象的signeddata.verify方法。該方法可以對數(shù)據(jù)上的用戶簽名是否有效進(jìn)行驗(yàn)證，如果改簽名合法有效，則能夠從簽名者的整數(shù)中調(diào)出公鑰，進(jìn)而驗(yàn)證被hash函數(shù)作用后的數(shù)據(jù)內(nèi)容，如果內(nèi)容出現(xiàn)匹配則該方法返回驗(yàn)證成功值。因此合理的使用數(shù)字簽名和證書能夠獲得極大的安全性，在應(yīng)用的過程中還要注重細(xì)節(jié)，嚴(yán)格按照操作規(guī)范就能夠最大限度地保障電力系統(tǒng)的網(wǎng)絡(luò)信息安全。結(jié)語總之，pki在電力系統(tǒng)的應(yīng)用不是光靠說說，更是需要我們提高認(rèn)識，建立正確的系統(tǒng)安全防護(hù)的框架，來確保網(wǎng)絡(luò)信息安全，這不僅需要哪一個(gè)企業(yè)來做到，更是需要千千萬萬的企業(yè)來提高認(rèn)識，防患于未然，切實(shí)做好信息網(wǎng)絡(luò)安全工作，只有這樣，