2019年,国家电网公司在“两会”做出全面推进“三型两网”建设,加快打造具有全球竞争力的世界一流能源互联网企业的战略部署,进一步推动了国家能源物联网应用的发展。泛在电力物联网的提出,同时也为物联网安全防御提出了紧迫的要求。当下,电力终端存在数量巨大、功能结构差异大、资料传输频繁且实时性高、网络环境较差、功耗要求低等特点,如何安全地将这些海量异构终端接入电力物联网,进行有效的访问控制是保证电力生产安全的前提,也是泛在电力物联网应用发展的关键。
物联网技术的发展对老业务以及新业务都具有一定的挑战,尤其是物联网安全方面。目前,很多的终端都缺乏基础有效的安全保障措施,从物联网云端业务及通讯的安全防御方面大多是依赖通讯资讯的安全措施,而应用本身缺失安全防御,所以导致安全事件频发。随着国际电子、网络技术的对抗,安全防御越显重要,尤其对于国家能源物联网应用的安全,更是需要提起重视。
当越来越多的物联网终端装置中接入业务云端之后,其面临的安全形势将变得更加严峻,甚至会上升至国家安全。近年来,从乌克兰到委内瑞拉电网遭受的黑客攻击开始,以及近日黑客组织Xenotime瞄准美国电网的新闻不断,能源物联网安全防御已经变得迫在眉睫。
华北电力大学物联网安全团队凭借多年对电力行业的潜心研究,在华北电力大学物联网工程教研室主任魏振华博士的带领下,提出了具有自主知识产权的IPK标识公钥体系。IPK标识公钥体系是一种轻量级的自证体系,非常适合于完成泛在电力物联网终端安全认证,具有去中心化、对带宽要求低、低功耗、与国电PKI证书体系完全相容等优点。
基于IPK核心技术,该团队此次推出了满足泛在电力物联网云管端的一站式安全解决方案与服务平台。方案包含了电力物联网边缘安全接入、云端业务控制指令的安全执行、电力终端主动安全防御等服务,可为电力物联网提供可靠的安全保障。
方案特色:
(1) 提供SDK接入方式,简单、快速
云端:业务云平台通过云端SDK的方式实现快速接入。
终端:
n 针对智慧终端,可根据具体应用的情况,通过硬件安全芯片或软件安全盾的方式进行终端的快速接入。团队通过对安全芯片的内嵌式开发,将安全功能完全集成于安全芯片的操作系统中,终端无须对业务进行更改,直接加入芯片即可实现接入。
n 对于非智慧终端,一般是由于历史的原因,无法实现安全芯片或安全软件的接入,则可以通过安全资料终端,对资料实现安全接入。
n 完成业务与终端的接入::提供云端SDK标准界面和终端环境SE-SDK标准界面,全方案快速整合,快速实现产品的安全认证和安全联网通讯等功能。
(2) 提供金钥生产及生命周期管理
KMC部署于业务云端,实现安全金钥的生产与管理。支援产线金钥预置和远端金钥安全分发。
(3) 采用国密认证芯片,支援国密算法
安全应用全部支援国密算法(SM2SM3SM4),并符合国密标准界面协议。等各类攻击。
(4) 实现同一应用,标识与证书两种公钥认证体系的相容应用
方案实现了IPK标识与证书两种公钥体系的共用金钥对。针对电力已经实施的证书体系,边缘终端既可以实现与云端的证书认证,也可以实现与终端的标识认证。两种公钥技术体系项取长补短,相互配合,共同实现对泛在电力物联网应用的安全认证防御,更好地满足电力业务的建设与发展。
(5) 方案采用IPK标识安全技术,满足泛在电力物联网应用的实际要求
n 安全性高:IPK是以种子金钥为架构的多种算法的组合,与采用单一根金钥的PKI体制相比,能更有效地抵御云端计算和量子计算的攻击。
n 容灾抗毁性强:IPK认证过程不需要中心证书库的支援,IPK不仅有利于提高效率,减少资源消耗,而且不会因为中心系统的故障和意外灾害等导致系统的瘫痪,非常适合重要的物联网行业应用场景。
n 适应于边缘计算:IPK运算效率高、低功耗、可实现物与物之间点对点认证,适应于物联网应用中边缘计算场景应用。
华电物联网安全团队推出的一站式物联网安全解决方案及服务平台可快速实现应用的接入,同时大幅减少应用方的对接成本,缩短物联网安全的建设周期,保障业务应用的安全执行。本解决方案与服务平台还可以广泛应用于各类云管端业务应用中,并可对业务进行私人定制,更好地发挥安全服务的效能。
引石老王:从事资讯保安工作20年,国内首批商业密码从业人员,国家商业密码应用的参与者与见证者。专注物联网、人工智能应用的远端控制指令的加固授权,致力于系统的反劫持防御与资讯保安反黑。
