任建偉，安春燕，劉昀，李堅(jiān)

（1.國網(wǎng)冀北電力有限公司信息通信分公司，北京 100053；2.全球能源互聯(lián)網(wǎng)研究院，北京 102209；3.國網(wǎng)冀北電力有限公司，北京 100053）

1 引言

能源互聯(lián)網(wǎng)是以新能源和信息技術(shù)深度結(jié)合為特征的能源體系[1]，并具有以下主要特征[1-3]：

·支持能量流和信息流耦合，支持能量和信息的雙向流動，其中能量流包括電能、天然氣、熱能、風(fēng)能、太陽能等多種能態(tài)的可再生新能源；

·支持即插即用方式的分布式能量源和負(fù)載接入；

·支持自愈，具有高可靠性。

學(xué)術(shù)界和工業(yè)界對能源互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)展開了積極的探討，認(rèn)為能源互聯(lián)網(wǎng)的構(gòu)建應(yīng)采用互聯(lián)網(wǎng)思維、基于智能電網(wǎng)實(shí)踐[3]，其骨干網(wǎng)以特高壓電網(wǎng)為基礎(chǔ)，而能源局域網(wǎng)則以微網(wǎng)和分布式能源等能量自治單元作為主要組成部分[4]，采用集中和分布相結(jié)合、層級結(jié)構(gòu)和對等 （peer topeer，P2P）結(jié)構(gòu)相結(jié)合的自組織網(wǎng)絡(luò)架構(gòu)[5]。

因此，對等、自組織的網(wǎng)絡(luò)將是能源互聯(lián)網(wǎng)整體架構(gòu)的重要組成部分。對等架構(gòu)在互聯(lián)網(wǎng)發(fā)展中具有重要的作用，對等網(wǎng)絡(luò)承載了內(nèi)容分發(fā)和共享、實(shí)時(shí)視、音頻通信等諸多業(yè)務(wù)，但目前對能源互聯(lián)網(wǎng)架構(gòu)的討論主要針對分層架構(gòu)和云計(jì)算、SDN等集中架構(gòu)，缺少對對等架構(gòu)的探討。

對等架構(gòu)支持分布式部署、即插即用、自愈能力強(qiáng)，這些都是能源互聯(lián)網(wǎng)必備的主要特征，但安全性是對等架構(gòu)面臨的主要挑戰(zhàn)。本文基于能源互聯(lián)網(wǎng)業(yè)務(wù)需求，對對等網(wǎng)絡(luò)架構(gòu)的功能和特征進(jìn)行了抽象，分析了與這些特征關(guān)聯(lián)的主要安全威脅，從而為對等網(wǎng)絡(luò)技術(shù)應(yīng)用于能源互聯(lián)網(wǎng)提出原則性的安全建議。

2 P2P技術(shù)及其在電網(wǎng)中的應(yīng)用

P2P技術(shù)指業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)中的節(jié)點(diǎn)從功能上是對等的。它首先作為一種Internet的計(jì)算模式被提出，與傳統(tǒng)互聯(lián)網(wǎng)業(yè)務(wù)的客戶機(jī)/服務(wù)器（C/S）模式不同，P2P模式強(qiáng)調(diào)節(jié)點(diǎn)既是資源的提供者也是資源的使用者。業(yè)務(wù)模式層面的對等技術(shù)在能源互聯(lián)網(wǎng)中已有探討[6]，能源互聯(lián)網(wǎng)應(yīng)在用戶之間、供應(yīng)商之間支持對等模式的能源交易[7]，用戶將具備能源消費(fèi)、能源生產(chǎn)雙重身份，通過智能電表連接的用戶終端設(shè)備可同時(shí)作為能源互聯(lián)網(wǎng)的終端和服務(wù)節(jié)點(diǎn)，如一個(gè)家庭在消耗電能的同時(shí)，其太陽能電池板可以作為微型發(fā)電機(jī)向電網(wǎng)輸送富余電能，家庭的電動汽車也可作為電網(wǎng)的儲能節(jié)點(diǎn)。

從網(wǎng)絡(luò)技術(shù)的角度理解，P2P泛指由對等節(jié)點(diǎn)構(gòu)成的各種網(wǎng)絡(luò)結(jié)構(gòu)。P2P作為重疊的邏輯網(wǎng)絡(luò)構(gòu)建在物理網(wǎng)絡(luò)上，如圖1所示，P2P重疊網(wǎng)與底層物理網(wǎng)具有獨(dú)立的地址和標(biāo)識空間、拓?fù)浣Y(jié)構(gòu)、路由協(xié)議、數(shù)據(jù)轉(zhuǎn)發(fā)和節(jié)點(diǎn)管理等機(jī)制，重疊網(wǎng)的對等節(jié)點(diǎn)通過虛擬鏈路連接，一條虛擬鏈路為物理網(wǎng)絡(luò)中一條經(jīng)過多跳轉(zhuǎn)發(fā)的通路。

圖1 P2P重疊網(wǎng)絡(luò)和底層物理網(wǎng)絡(luò)

P2P網(wǎng)絡(luò)具有分布式、自組織、自配置和自愈等特性，從而具有更好的可擴(kuò)展性、更強(qiáng)的頑健性和更低的構(gòu)建和管理成本，因此人們已嘗試將其思想應(yīng)用于智能電網(wǎng)中，如將分布式的量測數(shù)據(jù)管理系統(tǒng)（MDMS）節(jié)點(diǎn)部署于智能電表附近，構(gòu)成對等網(wǎng)絡(luò)[8]，從而減小數(shù)據(jù)收集和處理時(shí)延，提高電網(wǎng)的實(shí)時(shí)調(diào)控能力，減少通信帶寬；以智能電表構(gòu)成的多跳網(wǎng)狀網(wǎng)作為高級量測體系（advanced metering infrastructure，AMI）的局域網(wǎng)架構(gòu)，由智能電表完成計(jì)量數(shù)據(jù)的路由和轉(zhuǎn)發(fā)[9]，將P2P重疊網(wǎng)絡(luò)的自組織特性與底層的短距無線通信網(wǎng)絡(luò)很好地結(jié)合，無需部署額外的基礎(chǔ)設(shè)施就可由智能電表完成較大物理區(qū)域的數(shù)據(jù)路由和轉(zhuǎn)發(fā)。

3 安全威脅分析

對等網(wǎng)絡(luò)雖有上述諸多優(yōu)點(diǎn)，但帶來這些優(yōu)點(diǎn)的對等、自組織等技術(shù)本質(zhì)也使網(wǎng)絡(luò)不可避免地面臨新的安全威脅[9]。雖然，P2P網(wǎng)絡(luò)具有不同的拓?fù)浣Y(jié)構(gòu)、節(jié)點(diǎn)管理機(jī)制、尋址和路由機(jī)制[10]，而且能源互聯(lián)網(wǎng)中對等技術(shù)應(yīng)用的具體方式也未知，但仍可抽象出對等網(wǎng)絡(luò)的共性特征，基于這些特征來分析在能源互聯(lián)網(wǎng)中采用對等網(wǎng)絡(luò)技術(shù)可能面臨的安全威脅。

3.1 應(yīng)用層安全

P2P業(yè)務(wù)的核心應(yīng)用是內(nèi)容（或數(shù)據(jù)）共享，能量互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用則包括能量和信息流兩種形態(tài)，信息流應(yīng)用的業(yè)務(wù)本質(zhì)與互聯(lián)網(wǎng)中一致，因此這里重點(diǎn)討論能量流相關(guān)的應(yīng)用層。由表1可知，傳統(tǒng)互聯(lián)網(wǎng)和能源互聯(lián)網(wǎng)中的對等業(yè)務(wù)都可抽象為（資源ID，資源描述），因此能量互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)P2P業(yè)務(wù)具有相同的抽象模型，即用戶發(fā)布可共享的資源ID及相關(guān)資源描述，通過應(yīng)用層路由功能搜索存儲有特定資源ID的節(jié)點(diǎn)，其中，資源ID常為資源描述的散列值，它唯一標(biāo)識了符合特定資源描述的資源。

根據(jù)應(yīng)用層業(yè)務(wù)抽象描述和應(yīng)用層路由功能的一致性，基于傳統(tǒng)互聯(lián)網(wǎng)P2P業(yè)務(wù)的安全威脅研究成果，可以有效地分析能源互聯(lián)網(wǎng)對等業(yè)務(wù)可能面臨的安全威脅以及相應(yīng)的安全對策，見表2。

表1 傳統(tǒng)互聯(lián)網(wǎng)和能源互聯(lián)網(wǎng)對等業(yè)務(wù)對比

表2 對等業(yè)務(wù)安全威脅及對策

3.2 路由相關(guān)的安全威脅

對等網(wǎng)絡(luò)根據(jù)路由機(jī)制的不同分為無結(jié)構(gòu)和有結(jié)構(gòu)，前者采用洪泛的方式進(jìn)行路由，從安全性和可擴(kuò)展性角度考慮都不適合能源互聯(lián)網(wǎng)。結(jié)構(gòu)化的對等網(wǎng)絡(luò)則根據(jù)一定的標(biāo)識空間劃分提高了路由效率，分布式散列表（distributed hash table，DHT）[10]由于其優(yōu)越的可擴(kuò)展性成為結(jié)構(gòu)化對等網(wǎng)絡(luò)主要的路由技術(shù)。

DHT的基本功能是完成（key，value）對的搜索，key為要搜索的資源，如第3.1節(jié)中所述的能源ID，value則是存儲這個(gè)key相關(guān)信息的節(jié)點(diǎn)地址。根據(jù)網(wǎng)絡(luò)的不同性能要求設(shè)計(jì)了不同的DHT結(jié)構(gòu)，O(1)DHT和單跳DHT用更大的路由表換取了常數(shù)跳甚至單跳的數(shù)據(jù)搜索和路由性能，各種多跳DHT則對標(biāo)識空間進(jìn)行了結(jié)構(gòu)劃分，通過多跳完成路由，有較小的路由表，但其路由跳數(shù)通常為O(lgN)（N為網(wǎng)絡(luò)中的總節(jié)點(diǎn)數(shù)）。

對于能源互聯(lián)網(wǎng)，以下對等網(wǎng)絡(luò)中路由相關(guān)的攻擊是需要主要考慮的。

（1）Churn攻擊

和所有的路由機(jī)制一樣，當(dāng)對等網(wǎng)絡(luò)有拓?fù)涓聲r(shí)，需要通過與其他節(jié)點(diǎn)的交互來學(xué)習(xí)路由表、發(fā)布路由信息，使全網(wǎng)節(jié)點(diǎn)得以更新路由表。因此，惡意節(jié)點(diǎn)可以利用對等網(wǎng)絡(luò)的自組織特性頻繁地加入和退出網(wǎng)絡(luò)，激發(fā)大量的路由更新信息，使網(wǎng)絡(luò)處于不穩(wěn)定狀態(tài)，此即Churn攻擊。

能源互聯(lián)網(wǎng)中，節(jié)點(diǎn)具有即插即用特性，能源互聯(lián)網(wǎng)的遠(yuǎn)端節(jié)點(diǎn)相比傳統(tǒng)互聯(lián)網(wǎng)終端更易出現(xiàn)硬件連接的不穩(wěn)定，這些特性都將加劇Churn攻擊的影響。此外，在能源互聯(lián)網(wǎng)中，Churn攻擊的后果也將遠(yuǎn)大于傳統(tǒng)互聯(lián)網(wǎng)，以電網(wǎng)為例，部分負(fù)載和發(fā)電機(jī)組的不穩(wěn)定都將對電網(wǎng)調(diào)控帶來巨大壓力，最終可能導(dǎo)致整個(gè)電網(wǎng)發(fā)生故障。在構(gòu)建能源互聯(lián)網(wǎng)中的對等網(wǎng)絡(luò)時(shí)，以下對策可減少Churn攻擊的影響：

·采用分層結(jié)構(gòu)的對等網(wǎng)絡(luò)，或只在能源互聯(lián)網(wǎng)的邊緣構(gòu)建對等網(wǎng)絡(luò)，通過限定對等網(wǎng)絡(luò)路由擴(kuò)散區(qū)域，限定Churn攻擊影響范圍；

·將生命周期長的節(jié)點(diǎn)（如智能電表）加入對等網(wǎng)絡(luò)中，而動態(tài)性較強(qiáng)的節(jié)點(diǎn)（如用戶用電終端）則只通過長生命周期的節(jié)點(diǎn)加入，不參加對等網(wǎng)絡(luò)的路由；

·部署行為檢測功能，有效檢測Churn攻擊；

·實(shí)施更嚴(yán)格的節(jié)點(diǎn)接入控制。

（2）不正確的路由更新

在進(jìn)行路由更新時(shí)，惡意節(jié)點(diǎn)可以發(fā)送無效或惡意的路由更新信息，使正常節(jié)點(diǎn)的路由表中毒從而達(dá)到多種攻擊目的，如使路由表中惡意節(jié)點(diǎn)占更大的比例，從而控制網(wǎng)絡(luò)路由，擴(kuò)大竊聽等其他攻擊的成效；將路由指向不正確或不存在的節(jié)點(diǎn)，由于對等網(wǎng)絡(luò)路由的自愈能力，最終路由仍有很大的概率到達(dá)正確節(jié)點(diǎn)，但此攻擊增加了路由查找跳數(shù)，造成網(wǎng)絡(luò)性能下降甚至引起網(wǎng)絡(luò)擁塞；通過路由反射實(shí)施分布式拒絕服務(wù)DDoS攻擊，將路由指向特定的被攻擊對象；進(jìn)行路由劫持，劫持部分對等網(wǎng)絡(luò)，這種攻擊也被稱為eclipse攻擊，它使被攻擊節(jié)點(diǎn)或網(wǎng)絡(luò)的一部分只與選定的邏輯節(jié)點(diǎn)（通常是惡意節(jié)點(diǎn)）進(jìn)行連接，從而可進(jìn)行中間人攻擊或拒絕服務(wù)攻擊。

根據(jù)以上對等網(wǎng)絡(luò)路由攻擊的原理，能源互聯(lián)網(wǎng)中應(yīng)對對等網(wǎng)絡(luò)路由攻擊的對策如下：

·采用分層網(wǎng)絡(luò)結(jié)構(gòu)，只允許生命周期較長或信譽(yù)較高的節(jié)點(diǎn)（如歸屬于能源提供商的設(shè)備）參加對等網(wǎng)絡(luò)路由，相對穩(wěn)定的拓?fù)涫箰阂夤?jié)點(diǎn)通過不正確的路由更新信息進(jìn)行攻擊的難度增大；

·在節(jié)點(diǎn)上部署路由異常檢測，并對正確路由進(jìn)行確認(rèn)，通?？梢?guī)避絕大多數(shù)不正確的路由信息；

·要求路由信息發(fā)送者對路由更新信息進(jìn)行簽名。

（3）身份竊取攻擊

當(dāng)路由查找信息到達(dá)惡意節(jié)點(diǎn)時(shí)，惡意節(jié)點(diǎn)可以宣稱它就是負(fù)責(zé)這個(gè)key的目的節(jié)點(diǎn)，從而劫持路由和數(shù)據(jù)查找請求，更進(jìn)一步的，攻擊者可以偽造和破壞數(shù)據(jù)，如攻擊者可以宣稱它負(fù)責(zé)存儲特定用戶的智能電表計(jì)量數(shù)據(jù)，從而提供虛假的計(jì)量數(shù)值；或攻擊者可宣稱對某一能源ID負(fù)責(zé)，從而惡意提供與能源描述不符的能源。設(shè)計(jì)路由算法使其可檢測ID與拓?fù)涞囊恢滦?、要求?jié)點(diǎn)提供ID證明都有助于應(yīng)對身份竊取攻擊。

以上各種攻擊還可以組合成復(fù)雜的攻擊鏈，如Sybil→incorrect routing update→eclipse→identity theft/DoS/DDoS，通過Sybil攻擊使一個(gè)物理節(jié)點(diǎn)控制多個(gè)邏輯節(jié)點(diǎn)，放大后續(xù)路由攻擊的效果，然后通過不正確的路由更新實(shí)施eclipse攻擊，最終使惡意節(jié)點(diǎn)能夠完成身份竊取或?qū)嵤┚芙^服務(wù)攻擊。

值得指出的是，利用能源互聯(lián)網(wǎng)更強(qiáng)的可管控能力，有控制地利用以上路由攻擊手法也可以得到正面的效果。如利用少量的Churn可以復(fù)位全網(wǎng)的路由表，從而幫助破壞其他路由攻擊的效果；有意地加入少量的不正確路由可以使數(shù)據(jù)隨機(jī)地轉(zhuǎn)發(fā)到迂回路徑上，從而破壞竊聽、密碼分析等攻擊。此外，在企業(yè)或家庭用戶小區(qū)的能源局域網(wǎng)中，對無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行信號截獲是很難防御的攻擊，由于對等網(wǎng)絡(luò)路由的特性，攻擊者無法將從無線鏈路截獲的信息與特定的用戶對應(yīng)起來，從而可有效提供用戶隱私保護(hù)，加大密碼分析的難度，提高機(jī)密性和完整性。

3.3 標(biāo)識分配和管理相關(guān)的安全威脅

網(wǎng)絡(luò)標(biāo)識分配和管理是組網(wǎng)的關(guān)鍵，為了保證對等網(wǎng)絡(luò)去中心化、動態(tài)自組織等特性，P2P組網(wǎng)技術(shù)趨向于無中心的標(biāo)識分配，在節(jié)點(diǎn)加入網(wǎng)絡(luò)時(shí)由節(jié)點(diǎn)的底層物理網(wǎng)絡(luò)標(biāo)識（如IP地址）等參量計(jì)算其在對等網(wǎng)絡(luò)中的標(biāo)識。由于物理網(wǎng)絡(luò)存在地址欺騙等安全威脅，對等網(wǎng)絡(luò)中相應(yīng)地出現(xiàn)了新的標(biāo)識相關(guān)的安全威脅。表3總結(jié)了各種異構(gòu)的對等網(wǎng)格標(biāo)識管理的共性特征，分析了各種特征可能導(dǎo)致的安全威脅，并給出了相應(yīng)的建議。

標(biāo)識分配是節(jié)點(diǎn)加入對等網(wǎng)絡(luò)的第一步，標(biāo)識相關(guān)的攻擊經(jīng)常與其他攻擊手法結(jié)合，如攻擊者通過Sybil攻擊得到多個(gè)標(biāo)識從而偽造網(wǎng)絡(luò)中的多個(gè)邏輯節(jié)點(diǎn)，提高竊聽、路由破壞等攻擊的成功率。在能源互聯(lián)網(wǎng)中，攻擊最終體現(xiàn)為惡意節(jié)點(diǎn)有更大的概率被選為能源提供節(jié)點(diǎn)，從而增加獲利；更多的業(yè)務(wù)通過惡意節(jié)點(diǎn)進(jìn)行路由，攻擊者可通過信息收集得到能源互聯(lián)網(wǎng)用戶的隱私信息，并增加密碼分析的成功率。

4 結(jié)束語

對等網(wǎng)絡(luò)經(jīng)過十多年的發(fā)展，在互聯(lián)網(wǎng)中已占據(jù)了重要的地位，承載了大量互聯(lián)網(wǎng)業(yè)務(wù)。在能源互聯(lián)網(wǎng)中，對等能源交易將是能源互聯(lián)網(wǎng)的特色業(yè)務(wù)，采用對等技術(shù)的能源微網(wǎng)也將是能源互聯(lián)網(wǎng)的重要組成部分。本文從應(yīng)用層業(yè)務(wù)、標(biāo)識管理、路由機(jī)制3個(gè)方面對對等網(wǎng)絡(luò)的特征進(jìn)行了抽象，分析了能源互聯(lián)網(wǎng)中應(yīng)用對等架構(gòu)可能存在的安全威脅，并提出了相應(yīng)建議。

表3 ID分配和管理相關(guān)的主要安全威脅

[1]RIFKIN J.The third industrial revolution:how lateral power is transforming energy,the economy and the world[M].Berlin:Macmillan,2011:27-68．

[2]田世明,欒文鵬,張東霞,等.能源互聯(lián)網(wǎng)技術(shù)形態(tài)與關(guān)鍵技術(shù)[J].中國電機(jī)工程學(xué)報(bào),2015,35(14):3482-3494.TIAN S M,LUAN W P,ZHANG D X,et al.Technical forms and key technologies on energy internet[J].Proceedings of the CSEE,2015,35(14):3482-3494.

[3]劉振亞.全球能源互聯(lián)網(wǎng)[M].北京:中國電力出版社,2015.LIU Z Y.Global energy interconnection[M].Beijing:China Electric Power Press,2015.

[4]楊新法,蘇劍,呂志鵬,等.微電網(wǎng)技術(shù)綜述[J].中國電機(jī)工程學(xué)報(bào),2014,34(1):57-70．YANG X F,SU J,LV Z P,et al.Overview on micro-grid technology[J].Proceedings of the CSEE,2014,34(1):57-70．

[5]趙海，蔡巍，王進(jìn)法，等.能源互聯(lián)網(wǎng)架構(gòu)設(shè)計(jì)與拓?fù)淠Ｐ蚚J].電工技術(shù)學(xué)報(bào),2015,30(11).ZHAO H,CAI W,WANG J F,et al.An architecture design and topological model of inter grid[J].Transactions of China Electrotechnical Society,2015,30(11).

[6]ZHOU J,HU R Q,QIAN Y.Scalable distributed communication architectures to support advanced metering infrastructure in smart grid[J].IEEE Transactions on Parallel and Distributed Systems,2012,23(9):1632-1642.

[7]WANG A,ROGERS J.Peer to peer electricity:beyond the smart grid[M].[S.l.]:AXL Incorporated,2012.

[8]CAI F,FARANTATOS E,HUANG R,et al.Self-powered smart meter with synchronized data[C]//2012 IEEE Radio and Wireless Symposium(RWS),January 15-18,2012,Santa Clara,CA,USA.New Jersey:IEEE Press,2012:395-398.

[9]YUE X,QIU X,JI Y,et al.P2P attack taxonomy and relationship analysis[C]//The 11th International Conference on ICACT,February 15-18,2009,Phoenix Park,Korea.New Jersey:IEEE Press,2009:1207-1210.

[10]張春紅,裘曉峰,弭偉,等.P2P技術(shù)全面解析[M].北京:人民郵電出版社,2010.ZHANG C H,QIU X F,MI W,et al.Comprehensive analysis of P2P technology[M].Beijing:Posts and Telecom Press,2010.

[11]Khan:vulnerabilities of P2P systems and a critical look at their solutions[EB/OL]. [2006-11-01].http://medianet.kent.edu/techreports/TR2006-11-01-p2pvuln-EK.pdf.

[12]LIANG J,KUMAR R,XI Y,et al.Pollution in P2P file sharing systems[C]//24th Annual Joint Conference of the IEEE Computer and Communications Societies,March 13-17,2005,Miami,Florida,USA.New Jersey:IEEE Press,2005:1174-1185.

[13]DINGER J,HARTENSTEIN H.Defending the sybil attack in P2P networks:taxonomy,challenges,and a proposal for self-registration[C]//The 1st International Conference on Availability,Reliability and Security,April 20-22,2006,Vienna,Austria.New Jersey:IEEE Press,2006.

[14]CERRI D,GHIONO A,PARABOSCHI S,et al.ID mapping attacks in P2P networks[C]//IEEE Global Telecommunications Conference,November 28-December 2,2005,Saint Louis,USA.New Jersey:IEEE Press,2005.

[15]STUTZBACH D,REJAIE R.Understanding churn in peer-to-peer networks[C]//The 6th ACM SIGCOMM Conference on Internet Measurement,October 25-27,2006,Rio De Janeiro,Brazil.New York:ACM Press,2006:189-202.

[16]GANESH L,ZHAO B Y.Identity theft protection in structured overlays[C]//The 1st IEEE ICNP Workshop on Secure Network Protocols,November 6,2005,Boston,Massachusetts,USA.New Jersey:IEEE Press,2005:49-54.

[17]LI J,QIU X,JI Y,et al.Researches on secure proximity distance defending attack of finger table based on chord[C]//The 11th International Conference on Advanced Communication Technology,February 15-18,2009,Phoenix Park,Korea.New Jersey:IEEE Press,2009:1923-1927.

[18]PUTTASWAMY K,ZHENG H,ZHAO B.Securing structured overlays against identity attacks[J].IEEE Transactions on Parallel and Distributed Systems,2009,20(10):1487-1498.