張艷肖,李守智,高立剛

1.西安交通大學(xué) 城市學(xué)院,陜西 西安710018

2.西安理工大學(xué) 自動(dòng)化學(xué)院,陜西 西安710048

3.西北勘測(cè)設(shè)計(jì)研究院,陜西 西安710065

近些年，智能電網(wǎng)的各個(gè)領(lǐng)域的研究均取得了巨大進(jìn)展[1]。控制系統(tǒng)、變電站、服務(wù)提供商、市場(chǎng)和客戶逐漸成為一個(gè)整體，促進(jìn)了信息交流，根據(jù)實(shí)際需求優(yōu)化電力生產(chǎn)。這些信息是通過能夠連接多個(gè)異構(gòu)系統(tǒng)的通信基礎(chǔ)設(shè)施而轉(zhuǎn)遞的[2]?？梢匀嬖L問控制對(duì)象（例如智能電表、傳感器、充電站、遠(yuǎn)程終端單元、網(wǎng)關(guān)等）的局部小型網(wǎng)絡(luò)或大型通信系統(tǒng)，通常安裝在較遠(yuǎn)位置，或靠近關(guān)鍵的基礎(chǔ)設(shè)施。但不同的電力生產(chǎn)方和供應(yīng)方所采用的技術(shù)可能包含不同類型的訪問和安全策略，因此，不同技術(shù)的連接會(huì)產(chǎn)生互操作性問題[3]。

為實(shí)現(xiàn)隸屬不同組織的系統(tǒng)之間通信的安全性和互操作性，可以采用中間策略動(dòng)態(tài)執(zhí)行系統(tǒng)（介于支持訪問策略和安全策略）。通過中間系統(tǒng)，可以阻止未知訪問并進(jìn)行操作過濾，從而使決策系統(tǒng)對(duì)不同環(huán)境類型的訪問具有自適應(yīng)性[4,5]。如文獻(xiàn)[6]提出了用于電子服務(wù)的環(huán)境感知?jiǎng)討B(tài)訪問控制架構(gòu)，其中系統(tǒng)能夠根據(jù)環(huán)境對(duì)訪問進(jìn)行認(rèn)證和授權(quán)。本文提出的方法同樣包含該特征，以及IEC-62351 標(biāo)準(zhǔn)制定的基于角色訪問控制（RBAC）的最小權(quán)限方案[7]。相關(guān)研究也表明[8]，RBAC是電力系統(tǒng)和分布式服務(wù)中廣泛使用的高效機(jī)制，只有授權(quán)用戶和自動(dòng)化agents 才能夠訪問受限制數(shù)據(jù)對(duì)象（例如IEC-61850 對(duì)象）。此外，通過RBAC，可以根據(jù)組織策略重新分配系統(tǒng)控制及其安全性，從而根據(jù)主體-角色-權(quán)利的類別進(jìn)行授權(quán)，也可增強(qiáng)電力系統(tǒng)管理中基于角色的訪問控制。如文獻(xiàn)[9]提出了基于責(zé)任區(qū)域的RBAC 訪問控制機(jī)制，將智能電網(wǎng)細(xì)分為不同區(qū)域。

為說明監(jiān)測(cè)場(chǎng)景，本文以圖論為基礎(chǔ)。網(wǎng)絡(luò)的部署取決于圖形-理論解釋，以結(jié)構(gòu)可控性理論[10]和電力控制集作為控制的基礎(chǔ)。為實(shí)現(xiàn)這些圖的互連，采用基于超節(jié)點(diǎn)概念的去中心化架構(gòu)，以識(shí)別控制結(jié)構(gòu)內(nèi)的策略決定點(diǎn)（PDP），對(duì)業(yè)務(wù)活動(dòng)進(jìn)行分配和過濾。仿真實(shí)驗(yàn)結(jié)果證明了所提方法的有效性，整體魯棒性較好。

1 異構(gòu)網(wǎng)絡(luò)的通用架構(gòu)

為了從概念角度對(duì)控制網(wǎng)絡(luò)建模，同時(shí)考慮到實(shí)際應(yīng)用，本文提出的網(wǎng)絡(luò)架構(gòu)以超節(jié)點(diǎn)概念為基礎(chǔ)[11]。

1.1 基本觀測(cè)規(guī)則

結(jié)構(gòu)可控性包含在圖形理論解釋中，為識(shí)別和選擇給定網(wǎng)絡(luò)內(nèi)驅(qū)動(dòng)節(jié)點(diǎn)的最小集合（ND，其中驅(qū)動(dòng)節(jié)點(diǎn)（將控制命令注入網(wǎng)絡(luò)的節(jié)點(diǎn)）ndi∈ND），本文采用電力控制集（PDS）[12]，對(duì)電網(wǎng)進(jìn)行高效“監(jiān)測(cè)”。PDS 以傳統(tǒng)的支配集（DS）為基礎(chǔ)，相關(guān)研究表明[13]，DS 是無線網(wǎng)絡(luò)和集群相關(guān)等多種場(chǎng)景下的有效工具。PDS 問題可以簡化為兩個(gè)基本的觀測(cè)規(guī)則（OR）：

OR1：ND中的一個(gè)頂點(diǎn)觀察其自身及其所有鄰居，該觀測(cè)規(guī)則與DS 問題直接相關(guān)。

OR2：若觀測(cè)到的頂點(diǎn)度d≥2 的頂點(diǎn)v與觀測(cè)到的d-1 個(gè)頂點(diǎn)相鄰，則剩余未觀察到的頂點(diǎn)也會(huì)成為已觀測(cè)頂點(diǎn)。當(dāng)OR1íOR2 時(shí)，則OR2 隱式包含了OR1，OR1 表示網(wǎng)絡(luò)內(nèi)的觀測(cè)程度，OR2表示電力控制。

以上兩個(gè)基本規(guī)則傾向于在圖（網(wǎng)絡(luò)）內(nèi)生成包含多個(gè)訪問點(diǎn)（即多個(gè)根）的分層網(wǎng)絡(luò)，這使得連接到唯一網(wǎng)關(guān)的超節(jié)點(diǎn)架構(gòu)的適配變得復(fù)雜。解決該問題的簡單方法是：1）迫使冪律分布保持對(duì)單個(gè)節(jié)點(diǎn)（網(wǎng)關(guān)）的相依性；2）從網(wǎng)關(guān)注入控制。然而，這兩個(gè)步驟意味著要進(jìn)一步滿足兩個(gè)基本條件：1）保持網(wǎng)絡(luò)的無環(huán)性，以及來自網(wǎng)關(guān)的控制方向；2）始終遵守控制條件OR1 和OR2。

算法1 描述了這兩個(gè)條件，其中需要生成作為輸入?yún)?shù)的網(wǎng)絡(luò)分布類型及其連接度α。為了表示與真實(shí)場(chǎng)景有著相似結(jié)構(gòu)的稀疏圖，α值必須較小。使用該分布G(V,E)，則“生成網(wǎng)絡(luò)”的程序必須定義V中的一個(gè)新節(jié)點(diǎn)（網(wǎng)關(guān)），新節(jié)點(diǎn)與G(V,E)中的節(jié)點(diǎn)直接連接且無父節(jié)點(diǎn)（即vi，(vi,v)∈E），因此得到的圖必須為有向連通圖。

算法1 中，DAG 表示有向無環(huán)圖，可通過深度優(yōu)先搜索算法來計(jì)算；DS 表示已觀測(cè)節(jié)點(diǎn)集合，即支配集或OR1。N 表示鄰近節(jié)點(diǎn)集合。OR2 與OR1 滿足關(guān)系OR1 包含于OR2，復(fù)雜度為O(n2)。

1.2 安全性措施

假定通信信道的安全性受IEC-62351 給出的安全性措施（如表1 所示）保護(hù)。其中包括傳輸層安全（TLS）/安全套接層（SSL）以及密鑰交換算法（例如DH 或RSA）；基于數(shù)字簽名標(biāo)準(zhǔn)（DSS）和RSA 的數(shù)字簽名；例如RCA-128、3DES（三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)）或高級(jí)加密標(biāo)準(zhǔn)（AES）的加密算法。舉例來說，IEC-62351-4 標(biāo)準(zhǔn)[14]推薦將密碼套件TLS_DH_DSS_WITH_AES_256_SHA 用于控制中心與變電站之間的通信；而IEC-62351-6 推薦將套件TLS_DH_RSA_WITH_AES_128_SHA 用于變電站內(nèi)部通信。但這些措施不足以保證信道安全。需要基于防火墻和入侵檢測(cè)系統(tǒng)等保護(hù)機(jī)制，使用額外的安全方法來配置節(jié)點(diǎn)之間的虛擬專用網(wǎng)絡(luò)（VPN）。

表1 IEC-62351 的安全策略列表Table 1 List of safe strategy for IEC-62351

2 結(jié)構(gòu)可控性保護(hù)的策略執(zhí)行

在上文提出的網(wǎng)絡(luò)架構(gòu)下，本節(jié)將分析控制對(duì)象的外部訪問保護(hù)手段?？刂茖?duì)象是監(jiān)督和數(shù)據(jù)采集的必要元件，其表示（例如網(wǎng)關(guān)、基站、服務(wù)器、RTU 等）或至少處于一個(gè)的觀測(cè)下，且∈ND的元件（例如傳感器、執(zhí)行器、智能電表等）。必須保護(hù)這些元件不受物理或邏輯實(shí)體（例如操作員、自動(dòng)化軟件或設(shè)備）的影響。

本文提出了策略執(zhí)行點(diǎn)及其分布式PDP，以確保兩個(gè)或更多同級(jí)實(shí)體之間的互操作性。該架構(gòu)基于RBAC 最小特權(quán)概念，以確保認(rèn)證、授權(quán)和互操作的安全性，并根據(jù)圖論來修正上下文觀測(cè)度。

2.1 認(rèn)證、授權(quán)和互操作

本節(jié)將討論集成在超節(jié)點(diǎn)系統(tǒng)內(nèi)的通用架構(gòu)，并介紹認(rèn)證、授權(quán)和互操作相關(guān)的構(gòu)造組件。圖2 給出了所提方法的三個(gè)主要執(zhí)行階段。

圖1 所提方法的主要執(zhí)行階段和組件Fig.1 The main execution phases and components of the proposed method

階段1-認(rèn)證：隸屬于某個(gè)實(shí)體的主體必須在所屬的身份服務(wù)器上完成認(rèn)證。主體認(rèn)證通過后，服務(wù)器向其提供認(rèn)證令牌，至少包含主體相關(guān)信息（例如向其分配的標(biāo)識(shí)和角色）以及目的節(jié)點(diǎn)相關(guān)信息。認(rèn)證令牌的簡單結(jié)構(gòu)如下：{objectID,subjectID,roleID primary,{roleID1,…,roleIDn}次級(jí)時(shí)間戳，令牌到期時(shí)間，主體在目標(biāo)區(qū)域的行動(dòng)/意圖等}。

階段2-授權(quán)：向受保護(hù)對(duì)象進(jìn)行授權(quán)和訪問的互連點(diǎn)，其中必須生成授權(quán)令牌。若要請(qǐng)求該程序，與基礎(chǔ)設(shè)施相關(guān)的PEP 服務(wù)必須通過最近的主PDP 連接到基礎(chǔ)設(shè)施，并向其提交認(rèn)證令牌和在目的節(jié)點(diǎn)上的操作類型（例如讀取或控制）。在主PDP 正在工作的情況下，PEP 必須透明連接到另一個(gè)分布式PDP（次級(jí)PDP），同時(shí)考慮使用委托方案。

階段3-互操作：是PEP 能夠透明地應(yīng)用授權(quán)令牌中包含的安全策略中執(zhí)行主體所需操作的狀態(tài)。

PDP 的兩個(gè)主要組件為：1）驗(yàn)證管理器；2）策略制定管理器（表示為PDM）。驗(yàn)證管理器與每個(gè)認(rèn)證令牌的驗(yàn)證核實(shí)（例如驗(yàn)證令牌格式的類型、大小和內(nèi)容），以及分配給請(qǐng)求者的角色和權(quán)限密切相關(guān)。而PDM 組件旨在對(duì)訪問進(jìn)行評(píng)價(jià)，考慮到輸入?yún)?shù)集合，僅在接收訪問的情況下才準(zhǔn)備授權(quán)令牌。根據(jù)IEC-62351-8，令牌可分為以下三類：1）ID 證書（TLS/SSL 環(huán)境的配置文件A）；2）屬性證書（TLS/SSL 環(huán)境的配置文件B）；3）簡單令牌（無任何額外安全性的配置文件C）。

每個(gè)控制基礎(chǔ)設(shè)施必須依賴于一個(gè)身份服務(wù)器，身份服務(wù)器負(fù)責(zé)主體認(rèn)證以及制備訪問令牌，IEC-62351-8 建議所有控制系統(tǒng)信任為用戶分配角色并管理訪問令牌的第三方實(shí)體（例如安全管理員）；應(yīng)用普通安全元組（用戶名、密碼以及X.509 證書）；并配置用于認(rèn)證信息比對(duì)和訪問令牌檢索的儲(chǔ)存庫。為此，提出的方法采用基于配置文件A 的最簡單令牌，支持SSL/TLS 的LDAP（輕量級(jí)目錄訪問協(xié)議）目錄，其中每個(gè)LDAP 對(duì)象應(yīng)RFC-4524 的約束，RFC-4524 根據(jù)唯一屬性（本文研究中為控制實(shí)體的ID）表示RBAC 關(guān)系。

2.2 動(dòng)態(tài)職責(zé)分離

PDM 中還集成了上下文管理器，負(fù)責(zé)檢查網(wǎng)絡(luò)的臨界程度和受保護(hù)對(duì)象的可訪問程度（見圖1）。為執(zhí)行該任務(wù)，管理器首先需要與最近的網(wǎng)關(guān)協(xié)作，從中接收違反OR1 的未觀測(cè)節(jié)點(diǎn)比率的相關(guān)信息。網(wǎng)關(guān)必須周期性執(zhí)行算法2，其中，U為未觀測(cè)到的節(jié)點(diǎn)集合；網(wǎng)關(guān)屬于驅(qū)動(dòng)器節(jié)點(diǎn)集的一部分。通過算法2 來驗(yàn)證圖中每個(gè)nd∈ND是否滿足第一條觀測(cè)規(guī)則?，F(xiàn)實(shí)應(yīng)用中，上下文狀態(tài)應(yīng)包含IEC-62351-7 標(biāo)準(zhǔn)中制定的網(wǎng)絡(luò)和系統(tǒng)管理（NSM）數(shù)據(jù)對(duì)象。NMS 對(duì)象負(fù)責(zé)對(duì)電力網(wǎng)咯和系統(tǒng)的健康（例如網(wǎng)絡(luò)配置、安全參數(shù)、服務(wù)質(zhì)量或冗余系統(tǒng)狀態(tài)）進(jìn)行動(dòng)態(tài)監(jiān)測(cè)。本文簡化了數(shù)據(jù)對(duì)象的應(yīng)用，從而在拓?fù)渥兓?、結(jié)構(gòu)可控性約束和可訪問程度方面進(jìn)行理論和實(shí)踐研究。

3 仿真與分析

3.1 基本設(shè)置

本文分別在Matlab 和Java 中實(shí)施了本文所提網(wǎng)絡(luò)架構(gòu)和提出的策略執(zhí)行方法。前者包含帶兩種冪律分布（PLOD，α=0.1,0.2；BA，α=3）的算法1，通過執(zhí)行OR1 和OR2 實(shí)現(xiàn)了電力控制。結(jié)果為子圖為G(V,E)，相對(duì)于其網(wǎng)關(guān)保持隱式分級(jí)結(jié)構(gòu)，以及每個(gè)子圖中的驅(qū)動(dòng)器節(jié)點(diǎn)集合ND。第二個(gè)部分則包含PDP 的組件，遵循IEC-62351-8。

配置LDAPv3 服務(wù)器以進(jìn)行訪問令牌管理，使用Java 中編碼。為簡便起見，將相同的存儲(chǔ)庫應(yīng)用于所有網(wǎng)絡(luò)和所有控制主體。在LDAP 中插入條目時(shí)，遵循RFC-2798，存儲(chǔ)編碼后的X.509 證書及角色和權(quán)利的相關(guān)信息。

仿真基于三個(gè)冪律網(wǎng)絡(luò)的互連，分別為100～500 個(gè)節(jié)點(diǎn)（小型網(wǎng)絡(luò)），500～1000 個(gè)節(jié)點(diǎn)（中型網(wǎng)絡(luò)）≥1000 個(gè)節(jié)點(diǎn)（大型網(wǎng)絡(luò)）?；谶@些分布，確定這三個(gè)網(wǎng)絡(luò)各自與三個(gè)獨(dú)立設(shè)施(infrID-netID)相關(guān)，即(infrID1-netD1)、(infrID2-netD2)和(infrID3-netD3)，對(duì)于每個(gè)網(wǎng)絡(luò)，可存在來自1 個(gè)以上基礎(chǔ)設(shè)施的訪問。

3.2 結(jié)果分析

為修改不同的控制對(duì)象，首先使用算法1 中定義的OR1 和OR2 得到控制器節(jié)點(diǎn)（或驅(qū)動(dòng)器節(jié)點(diǎn)ND）。從其他節(jié)點(diǎn)（已觀測(cè)節(jié)點(diǎn)）中隨機(jī)提取傳感器節(jié)點(diǎn)子集以及執(zhí)行器節(jié)點(diǎn)子集，這種節(jié)點(diǎn)分類是基于監(jiān)控變電站的真實(shí)結(jié)構(gòu)，即多個(gè)驅(qū)動(dòng)器節(jié)點(diǎn)（RTU）的互連。另外，對(duì)于授權(quán)要求，本文遵循文獻(xiàn)[15]技術(shù)規(guī)則。

表2 給出了6 個(gè)控制主體的可訪問度，考慮到完全訪問、接受率、拒絕訪問以及職責(zé)動(dòng)態(tài)分離的激活指標(biāo)（DSD）模式中的訪問百分比。該概要對(duì)應(yīng)于以Java 編寫的6 個(gè)軟件agents，其能夠動(dòng)態(tài)隨機(jī)生成不同網(wǎng)絡(luò)分布中的訪問請(qǐng)求。

表2 獲得的IEC-62351-8 角色和權(quán)利Table 2 Roles and rights of IEC-62351-8

仿真實(shí)驗(yàn)針對(duì)三個(gè)網(wǎng)絡(luò)（netD1、netD2和netD3）的互連運(yùn)行了20 min，表2 展示了實(shí)驗(yàn)結(jié)果。表2還包含了這些上下文內(nèi)agents 的訪問程度，可以看出，PLOD 分布抵御合并攻擊的魯棒性較高，而BA 分布則性能較差，控制和監(jiān)督的丟失率達(dá)到70%。

4 結(jié)論與展望

在智能電網(wǎng)系統(tǒng)中，本文提出了基于IEC-62351-8 和RBAC 的策略執(zhí)行系統(tǒng)，將圖論作為電力系統(tǒng)控制網(wǎng)絡(luò)的結(jié)構(gòu)可控性的核心理念，嵌入到電力控制中的元素遵循兩個(gè)基本觀測(cè)規(guī)則，一個(gè)規(guī)則描述了與應(yīng)用程序的控制水平的觀測(cè)度。本文還針對(duì)子圖（子網(wǎng)絡(luò)）的互連，提出了基于超節(jié)點(diǎn)的去中心化網(wǎng)絡(luò)架構(gòu)。該架構(gòu)改變了冪律分布和電力控制的結(jié)構(gòu)，從而在每個(gè)網(wǎng)絡(luò)中建立起對(duì)單個(gè)點(diǎn)的依賴關(guān)系。仿真結(jié)果表明，未知用戶不能連接到受控對(duì)象，授權(quán)實(shí)體處于最小特權(quán)條件下。

未來將對(duì)所提方法進(jìn)行擴(kuò)展，幫助RBAC 方案及其角色始終保持活動(dòng)。與早期檢測(cè)和自恢復(fù)相關(guān)的方法能夠防止控制系統(tǒng)發(fā)生意外故障。