張艷肖,李守智,高立剛

1.西安交通大學 城市學院,陜西 西安710018

2.西安理工大學 自動化學院,陜西 西安710048

3.西北勘測設計研究院,陜西 西安710065

近些年，智能電網的各個領域的研究均取得了巨大進展[1]?？刂葡到y(tǒng)、變電站、服務提供商、市場和客戶逐漸成為一個整體，促進了信息交流，根據(jù)實際需求優(yōu)化電力生產。這些信息是通過能夠連接多個異構系統(tǒng)的通信基礎設施而轉遞的[2]?？梢匀嬖L問控制對象（例如智能電表、傳感器、充電站、遠程終端單元、網關等）的局部小型網絡或大型通信系統(tǒng)，通常安裝在較遠位置，或靠近關鍵的基礎設施。但不同的電力生產方和供應方所采用的技術可能包含不同類型的訪問和安全策略，因此，不同技術的連接會產生互操作性問題[3]。

為實現(xiàn)隸屬不同組織的系統(tǒng)之間通信的安全性和互操作性，可以采用中間策略動態(tài)執(zhí)行系統(tǒng)（介于支持訪問策略和安全策略）。通過中間系統(tǒng)，可以阻止未知訪問并進行操作過濾，從而使決策系統(tǒng)對不同環(huán)境類型的訪問具有自適應性[4,5]。如文獻[6]提出了用于電子服務的環(huán)境感知動態(tài)訪問控制架構，其中系統(tǒng)能夠根據(jù)環(huán)境對訪問進行認證和授權。本文提出的方法同樣包含該特征，以及IEC-62351 標準制定的基于角色訪問控制（RBAC）的最小權限方案[7]。相關研究也表明[8]，RBAC是電力系統(tǒng)和分布式服務中廣泛使用的高效機制，只有授權用戶和自動化agents 才能夠訪問受限制數(shù)據(jù)對象（例如IEC-61850 對象）。此外，通過RBAC，可以根據(jù)組織策略重新分配系統(tǒng)控制及其安全性，從而根據(jù)主體-角色-權利的類別進行授權，也可增強電力系統(tǒng)管理中基于角色的訪問控制。如文獻[9]提出了基于責任區(qū)域的RBAC 訪問控制機制，將智能電網細分為不同區(qū)域。

為說明監(jiān)測場景，本文以圖論為基礎。網絡的部署取決于圖形-理論解釋，以結構可控性理論[10]和電力控制集作為控制的基礎。為實現(xiàn)這些圖的互連，采用基于超節(jié)點概念的去中心化架構，以識別控制結構內的策略決定點（PDP），對業(yè)務活動進行分配和過濾。仿真實驗結果證明了所提方法的有效性，整體魯棒性較好。

1 異構網絡的通用架構

為了從概念角度對控制網絡建模，同時考慮到實際應用，本文提出的網絡架構以超節(jié)點概念為基礎[11]。

1.1 基本觀測規(guī)則

結構可控性包含在圖形理論解釋中，為識別和選擇給定網絡內驅動節(jié)點的最小集合（ND，其中驅動節(jié)點（將控制命令注入網絡的節(jié)點）ndi∈ND），本文采用電力控制集（PDS）[12]，對電網進行高效“監(jiān)測”。PDS 以傳統(tǒng)的支配集（DS）為基礎，相關研究表明[13]，DS 是無線網絡和集群相關等多種場景下的有效工具。PDS 問題可以簡化為兩個基本的觀測規(guī)則（OR）：

OR1：ND中的一個頂點觀察其自身及其所有鄰居，該觀測規(guī)則與DS 問題直接相關。

OR2：若觀測到的頂點度d≥2 的頂點v與觀測到的d-1 個頂點相鄰，則剩余未觀察到的頂點也會成為已觀測頂點。當OR1íOR2 時，則OR2 隱式包含了OR1，OR1 表示網絡內的觀測程度，OR2表示電力控制。

以上兩個基本規(guī)則傾向于在圖（網絡）內生成包含多個訪問點（即多個根）的分層網絡，這使得連接到唯一網關的超節(jié)點架構的適配變得復雜。解決該問題的簡單方法是：1）迫使冪律分布保持對單個節(jié)點（網關）的相依性；2）從網關注入控制。然而，這兩個步驟意味著要進一步滿足兩個基本條件：1）保持網絡的無環(huán)性，以及來自網關的控制方向；2）始終遵守控制條件OR1 和OR2。

算法1 描述了這兩個條件，其中需要生成作為輸入?yún)?shù)的網絡分布類型及其連接度α。為了表示與真實場景有著相似結構的稀疏圖，α值必須較小。使用該分布G(V,E)，則“生成網絡”的程序必須定義V中的一個新節(jié)點（網關），新節(jié)點與G(V,E)中的節(jié)點直接連接且無父節(jié)點（即vi，(vi,v)∈E），因此得到的圖必須為有向連通圖。

算法1 中，DAG 表示有向無環(huán)圖，可通過深度優(yōu)先搜索算法來計算；DS 表示已觀測節(jié)點集合，即支配集或OR1。N 表示鄰近節(jié)點集合。OR2 與OR1 滿足關系OR1 包含于OR2，復雜度為O(n2)。

1.2 安全性措施

假定通信信道的安全性受IEC-62351 給出的安全性措施（如表1 所示）保護。其中包括傳輸層安全（TLS）/安全套接層（SSL）以及密鑰交換算法（例如DH 或RSA）；基于數(shù)字簽名標準（DSS）和RSA 的數(shù)字簽名；例如RCA-128、3DES（三重數(shù)據(jù)加密標準）或高級加密標準（AES）的加密算法。舉例來說，IEC-62351-4 標準[14]推薦將密碼套件TLS_DH_DSS_WITH_AES_256_SHA 用于控制中心與變電站之間的通信；而IEC-62351-6 推薦將套件TLS_DH_RSA_WITH_AES_128_SHA 用于變電站內部通信。但這些措施不足以保證信道安全。需要基于防火墻和入侵檢測系統(tǒng)等保護機制，使用額外的安全方法來配置節(jié)點之間的虛擬專用網絡（VPN）。

表1 IEC-62351 的安全策略列表Table 1 List of safe strategy for IEC-62351

2 結構可控性保護的策略執(zhí)行

在上文提出的網絡架構下，本節(jié)將分析控制對象的外部訪問保護手段?？刂茖ο笫潜O(jiān)督和數(shù)據(jù)采集的必要元件，其表示（例如網關、基站、服務器、RTU 等）或至少處于一個的觀測下，且∈ND的元件（例如傳感器、執(zhí)行器、智能電表等）。必須保護這些元件不受物理或邏輯實體（例如操作員、自動化軟件或設備）的影響。

本文提出了策略執(zhí)行點及其分布式PDP，以確保兩個或更多同級實體之間的互操作性。該架構基于RBAC 最小特權概念，以確保認證、授權和互操作的安全性，并根據(jù)圖論來修正上下文觀測度。

2.1 認證、授權和互操作

本節(jié)將討論集成在超節(jié)點系統(tǒng)內的通用架構，并介紹認證、授權和互操作相關的構造組件。圖2 給出了所提方法的三個主要執(zhí)行階段。

圖1 所提方法的主要執(zhí)行階段和組件Fig.1 The main execution phases and components of the proposed method

階段1-認證：隸屬于某個實體的主體必須在所屬的身份服務器上完成認證。主體認證通過后，服務器向其提供認證令牌，至少包含主體相關信息（例如向其分配的標識和角色）以及目的節(jié)點相關信息。認證令牌的簡單結構如下：{objectID,subjectID,roleID primary,{roleID1,…,roleIDn}次級時間戳，令牌到期時間，主體在目標區(qū)域的行動/意圖等}。

階段2-授權：向受保護對象進行授權和訪問的互連點，其中必須生成授權令牌。若要請求該程序，與基礎設施相關的PEP 服務必須通過最近的主PDP 連接到基礎設施，并向其提交認證令牌和在目的節(jié)點上的操作類型（例如讀取或控制）。在主PDP 正在工作的情況下，PEP 必須透明連接到另一個分布式PDP（次級PDP），同時考慮使用委托方案。

階段3-互操作：是PEP 能夠透明地應用授權令牌中包含的安全策略中執(zhí)行主體所需操作的狀態(tài)。

PDP 的兩個主要組件為：1）驗證管理器；2）策略制定管理器（表示為PDM）。驗證管理器與每個認證令牌的驗證核實（例如驗證令牌格式的類型、大小和內容），以及分配給請求者的角色和權限密切相關。而PDM 組件旨在對訪問進行評價，考慮到輸入?yún)?shù)集合，僅在接收訪問的情況下才準備授權令牌。根據(jù)IEC-62351-8，令牌可分為以下三類：1）ID 證書（TLS/SSL 環(huán)境的配置文件A）；2）屬性證書（TLS/SSL 環(huán)境的配置文件B）；3）簡單令牌（無任何額外安全性的配置文件C）。

每個控制基礎設施必須依賴于一個身份服務器，身份服務器負責主體認證以及制備訪問令牌，IEC-62351-8 建議所有控制系統(tǒng)信任為用戶分配角色并管理訪問令牌的第三方實體（例如安全管理員）；應用普通安全元組（用戶名、密碼以及X.509 證書）；并配置用于認證信息比對和訪問令牌檢索的儲存庫。為此，提出的方法采用基于配置文件A 的最簡單令牌，支持SSL/TLS 的LDAP（輕量級目錄訪問協(xié)議）目錄，其中每個LDAP 對象應RFC-4524 的約束，RFC-4524 根據(jù)唯一屬性（本文研究中為控制實體的ID）表示RBAC 關系。

2.2 動態(tài)職責分離

PDM 中還集成了上下文管理器，負責檢查網絡的臨界程度和受保護對象的可訪問程度（見圖1）。為執(zhí)行該任務，管理器首先需要與最近的網關協(xié)作，從中接收違反OR1 的未觀測節(jié)點比率的相關信息。網關必須周期性執(zhí)行算法2，其中，U為未觀測到的節(jié)點集合；網關屬于驅動器節(jié)點集的一部分。通過算法2 來驗證圖中每個nd∈ND是否滿足第一條觀測規(guī)則?，F(xiàn)實應用中，上下文狀態(tài)應包含IEC-62351-7 標準中制定的網絡和系統(tǒng)管理（NSM）數(shù)據(jù)對象。NMS 對象負責對電力網咯和系統(tǒng)的健康（例如網絡配置、安全參數(shù)、服務質量或冗余系統(tǒng)狀態(tài)）進行動態(tài)監(jiān)測。本文簡化了數(shù)據(jù)對象的應用，從而在拓撲變化、結構可控性約束和可訪問程度方面進行理論和實踐研究。

3 仿真與分析

3.1 基本設置

本文分別在Matlab 和Java 中實施了本文所提網絡架構和提出的策略執(zhí)行方法。前者包含帶兩種冪律分布（PLOD，α=0.1,0.2；BA，α=3）的算法1，通過執(zhí)行OR1 和OR2 實現(xiàn)了電力控制。結果為子圖為G(V,E)，相對于其網關保持隱式分級結構，以及每個子圖中的驅動器節(jié)點集合ND。第二個部分則包含PDP 的組件，遵循IEC-62351-8。

配置LDAPv3 服務器以進行訪問令牌管理，使用Java 中編碼。為簡便起見，將相同的存儲庫應用于所有網絡和所有控制主體。在LDAP 中插入條目時，遵循RFC-2798，存儲編碼后的X.509 證書及角色和權利的相關信息。

仿真基于三個冪律網絡的互連，分別為100～500 個節(jié)點（小型網絡），500～1000 個節(jié)點（中型網絡）≥1000 個節(jié)點（大型網絡）?；谶@些分布，確定這三個網絡各自與三個獨立設施(infrID-netID)相關，即(infrID1-netD1)、(infrID2-netD2)和(infrID3-netD3)，對于每個網絡，可存在來自1 個以上基礎設施的訪問。

3.2 結果分析

為修改不同的控制對象，首先使用算法1 中定義的OR1 和OR2 得到控制器節(jié)點（或驅動器節(jié)點ND）。從其他節(jié)點（已觀測節(jié)點）中隨機提取傳感器節(jié)點子集以及執(zhí)行器節(jié)點子集，這種節(jié)點分類是基于監(jiān)控變電站的真實結構，即多個驅動器節(jié)點（RTU）的互連。另外，對于授權要求，本文遵循文獻[15]技術規(guī)則。

表2 給出了6 個控制主體的可訪問度，考慮到完全訪問、接受率、拒絕訪問以及職責動態(tài)分離的激活指標（DSD）模式中的訪問百分比。該概要對應于以Java 編寫的6 個軟件agents，其能夠動態(tài)隨機生成不同網絡分布中的訪問請求。

表2 獲得的IEC-62351-8 角色和權利Table 2 Roles and rights of IEC-62351-8

仿真實驗針對三個網絡（netD1、netD2和netD3）的互連運行了20 min，表2 展示了實驗結果。表2還包含了這些上下文內agents 的訪問程度，可以看出，PLOD 分布抵御合并攻擊的魯棒性較高，而BA 分布則性能較差，控制和監(jiān)督的丟失率達到70%。

4 結論與展望

在智能電網系統(tǒng)中，本文提出了基于IEC-62351-8 和RBAC 的策略執(zhí)行系統(tǒng)，將圖論作為電力系統(tǒng)控制網絡的結構可控性的核心理念，嵌入到電力控制中的元素遵循兩個基本觀測規(guī)則，一個規(guī)則描述了與應用程序的控制水平的觀測度。本文還針對子圖（子網絡）的互連，提出了基于超節(jié)點的去中心化網絡架構。該架構改變了冪律分布和電力控制的結構，從而在每個網絡中建立起對單個點的依賴關系。仿真結果表明，未知用戶不能連接到受控對象，授權實體處于最小特權條件下。

未來將對所提方法進行擴展，幫助RBAC 方案及其角色始終保持活動。與早期檢測和自恢復相關的方法能夠防止控制系統(tǒng)發(fā)生意外故障。