身份认证

能源物联网需要支持海量异构终端、保证信息感知低延迟、设备与平台具备高安全性。针对能源物联网缺乏工业级安全终端、设备的类型与数量急剧增加、终端泛在接入以及感知信息规模剧增现有技术难以满足业务需要等问题，以及为了高效进行信息感知，实现能源高效利用、保证智能电网的安全稳定，开展能源物联网自主安全终端与海量接入平台研发及工程示范。 能源物联网安全终端与海量接入平台研发过程中，主要存在以下三类问题：一是突破输电、配电、变电业务需要的工业级能源物联网终端技术，并解决终端对信道与业务的感知与自适应问题；二是突破低延迟高吞吐量能源物联管控平台及边缘处理技术，解决终端、边缘、业务系统无统一管控平台的问题，支撑能源综合利用；三是突破自主安全芯片技术研制自主安全芯片，解决自主可信基础硬件平台和能源互联网身份认证、交易安全等问题，保障能源物联网安全性。 本项目通过对安全物联芯片、能源物联网终端及安全体系、系统平台等多领域协同攻关，突破安全芯片、物联终端及智能感知、边缘代理与安全防护技术，研制了能源物联网综合平台并开展工程示范。

构建了基于能源电力区块链的园区碳排放可信监测数字模型。首先，利用区块链防篡改技术保障监测数据的可信存证要求，相关接入实体指标全部由联盟链进行身份认证和权限控制，避免了数据遗失以及主体以外其他人恶意篡改的风险；其次，在具体的监测指标融合过程中，结合层次分析法，构建碳排放评价指标融合策略，对能源电力相关指标数据结合相似性聚类算法进行多源在线融合；最后，基于局部异常因子算法（local outlier factor，LOF）实现指标数据长周期异常离群检测，一定程度上解决数据畸变和错报自筛难题。

由于传统公开密码技术很难在资源受限的水电厂系统智能终端上部署，智能终端的安全数据传输成为水电厂信息系统亟需解决的问题。为此，文章提出一种基于网络水印的轻量级安全通信方法。首先，发送端通过水印嵌入算法将标识该终端的身份信息以水印的方式嵌入到网络包中，接收端通过水印提取算法提取出网络水印，这样不但可以认证发送端的合法性，还可以生成通信会话密码。其次，利用由网络水印生成的密钥，结合国产密码技术SM4，设计了基于双向身份认证的安全数据传输模型。实验结果表明，所提可信智能终端安全通信方法不但可以通过认证智能终端身份提高数据传输的安全性，也可以提高数据加密的效率。

在“互联网+”时代，企业的移动办公应用莲勃发展。随着国家《网络安全法》的颁布，以及南方电网公司、广州供电局精益化管理战骆的推行，解决移动应用的用户身份认证、数据防泄漏等网络安全问题迫在眉睫。 目前，在现有的移动应用接入的成熟方案中，采用的是使用数宇证书对用户进行接入认证。但是数宇证书是“看不见、摸不着”的软件载体，用户无法感受到其中的认证过程；同时数宇证书发放时需要网络传播，存在被窃取风险，认证仍然不安全；目前广州供电局的数宇证书并未在移动端进行接入认证。因此，亟需设计一款使用硬件保存数宇证书的APP，使之完成安全接入。 通过职工创新研究与实践，需要在充分研究现有技术路线和广州供电局现有网络安全架构的基础上，通过融合身份认证、访问控制、网络隔离、日志审计、病毒防范等网络安全技术，建立了全方位、多层次的安全服务体系，采用移动终端使用时硬件加密的强管控模式，实现移动终端的授权用户认证、信息加密防泄漏、抵御外来病毒或恶意程序攻击等功能，保障企业移动应用的安全高效，提升企业的网络安全能力。

电力智能传感器及传感网安全研究处于起步阶段，资源受限及应用现场缺乏低压供电导致对安全开销极其敏感，用户侧广泛部署更易遭受侧信道等物理攻击，利用感知机理或数据处理算法发起的新型攻击日渐增多。针对上述问题，结合现场特点、业务特征、设备能力及行业现状，分析电力智能传感器及传感网安全需求，构建安全技术体系，归纳总结电力智能传感器具备特殊需求的感知安全、存储安全、轻量级加密、身份认证、代码安全和固件安全等技术研究现状，提出发展建议，为构建安全、可靠的能源电力数据基座提供支撑。

电动汽车到电网(vehicle-to-grid，V2G)技术实现电动汽车和电网之间的双向能量流动，而成功实施的主要瓶颈之一在于电动汽车用户和服务运营商之间的安全通信。恶意攻击者会通过伪造合法电动汽车用户的信息来获取经济利益和破坏计费过程。因此，实现电动汽车用户与服务运营商之间的快速认证是十分必要的。但是不同的充电服务运营商之间存在显著的隔离，形成多个信任域。针对以上问题，文章提出一种V2G中基于联盟链和边缘计算的电动汽车跨域认证方案，以联盟链技术实现对不同运营商下信任域的链接，保证用户在不同运营商之间能实现快速身份认证。并在理论上证明该方案具有机密性、不可伪造性和用户的隐私性。

为推进电力体制改革和满足电力市场需求，多地电网公司大力推进电力市场交易系统建设工作，在交易采购从传统手工操作到网络电子化运作的转变后，交易系统的安全问题亟待解决，具体包括用户身份认证、数据安全传输、网上报价保密、网上合同签署法律有效性等问题。基于密码技术的电子认证技术是解决上述安全问题最成熟、最有效的解决方案。电子认证以PKI（公开密钥基础设施）技术为基础，通过第三方权威的电子认证服务机构(CA机构)为发电企业和用电用户等制作和发放数字证书(以USBKEY为介质载体)，用户凭数字证书作为身份标识，安全登录交易系统进行各项操作，通过数字证书对电力交易数据进行加密和解密，确保交易数据的保密性；通过数字证书对报价信息和电子合同进行电子签名，确保网上交易的真实性和有效性。《中华人民共和国电子签名法》《电子招标投标办法》等相关法律确保了数字证书应用于电力市场交易系统的法律效力。

山区电力设备监控往往存在信号盲区问题，电力监控主站无法与监控设备进行通信，导致设备的“在线率”低下，进而导致电力监控主站系统无法有效地实施自动化功能。因而，信号盲区必然导致“盲调”从而增加电网运行风险。 本产品采用LORA通信技术和国密SM密码算法，实现信号盲区内设备与信号良好区域之间的信号中继，解决设备在信号盲区中的设备“在线率”低下问题，同时使用基于椭圆曲线公钥算法和专用国密芯片提供身份认证和传输加密功能，全面解决信号盲区通信以及通信安全性问题。 经过在多个供电局进行实测，结果表明，本产品可以将信号盲区配电终端设备的在线率提高至在线率96%以上，获得客户的好评。

为深入贯彻国网公司“三集五大”体系建设对一体化信息平台提出的高效、融合、集约、柔性要求，增强信息系统安全防护能力，2011年国网公司完成统一数字证书系统建设，实现了系统、设备、用户的身份认证、安全可信接入、安全传输等功能。当前辽宁公司身份统一认证依然沿用传统的密码、口令、数字证书等方式，但由于这样的验证方式与被验证身份主体的分离，其防伪性相对较差，易造成泄露、伪造、盗用、破译等现象，存在着一定的安全隐患，已不能完全满足保证用户身份信息安全和建设智能电网企业的发展需要。正基于此，本项目提出了一种高精度人脸识别认证保密技术及人脸知识图谱档案检索技术，该技术可有效解决现有认证体系存在的安全隐患，有效提升现有系统的安全保密管控水平。

国家电网公司是全球规模最大、结构最复杂的电网，在移动互联网时代，移动业务已经深入到电网的各个业务域，移动业务的安全可靠运行将直接影响电网安全甚至国家安全。为实现电网的智能移动办公，必须依赖移动设备、传输通道、移动应用的安全可靠运行。随着国家电网公司移动应用范围逐年扩大、数量逐渐增多，移动应用建设向多元化方向发展，在终端层、网络层、应用层等方面逐渐暴露出安全管控等诸多问题。针对电力移动应用多终端、多业务融合发展趋势，国网公司提出要统一移动终端及安全管控的要求，更好的支撑各移动业务的建设。 项目针对电力移动应用多终端、多业务融合发展趋势，围绕终端层、网络层、应用层存在的安全管控技术难题，提出了电力移动业务多维安全防护框架，定制研发了电力内网专用移动安全操作系统、电力移动网络的安全传输控制软件、内网移动设备全过程管理系统和基于用户身份认证的移动应用商店，构建了面向电力行业的移动业务安全防控体系。 项目成果建成后，迅速推广到江苏电力、山西电力、湖南电力的营销、运检、日常办公等方面，支撑其数十个移动业务的运行，涉及终端数量 2 万余台，改变了一人多机的现状，实现了一机多用，极大提升了移动办公的效率，设备维护更加方便，移动设备管控和移动应用管理效率大幅提高，移动设备、移动应用及其数据的安全得到全面管控，全面提升了电网移动业务的防控能力。项目申请国家发明专利 13 项，其中 4 项已授权，申请软件著作权 4 项，发表论文 20 篇，其中 EI 检索期刊 4 篇。