本發(fā)明涉及一種智能電網(wǎng)中基于命名的安全通信機(jī)制。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，當(dāng)前基于TCP/IP協(xié)議的網(wǎng)絡(luò)已經(jīng)不能很好的適應(yīng)發(fā)展需求，可擴(kuò)展性、移動(dòng)性和安全性等問(wèn)題需要解決。不再基于TCP/IP協(xié)議的網(wǎng)絡(luò)架構(gòu)，例如信息中心網(wǎng)絡(luò)(ICN)，已經(jīng)成為下一代網(wǎng)絡(luò)的趨勢(shì)。智能電網(wǎng)作為一個(gè)未來(lái)電網(wǎng)基礎(chǔ)架構(gòu)中的理念，在自動(dòng)控制和無(wú)線網(wǎng)絡(luò)等的現(xiàn)代通信技術(shù)的支持下，它具有高效性、可靠性和安全性。IEC 61850標(biāo)準(zhǔn)被廣泛應(yīng)用于變電站通信網(wǎng)絡(luò)中。另外，取樣值(SV)、通用的面向?qū)ο蟮淖冸娬臼录?GOOSE)等在IEC 61850標(biāo)準(zhǔn)中的部分協(xié)議也不是基于TCP/IP架構(gòu)的。IEC 61850標(biāo)準(zhǔn)基于智能變電站，它使用無(wú)線網(wǎng)絡(luò)通信，極大地提升了變電站設(shè)備的互操作性和互連接性。然而，隨著智能電子設(shè)備(IED)節(jié)點(diǎn)的數(shù)量增多和開(kāi)放性發(fā)展，新的效率、可靠性和安全性挑戰(zhàn)隨之而生，特別是在無(wú)線網(wǎng)絡(luò)中。

IEC 61850在1995年由IEC提出，并在2004年由IEC TC57頒布。IEC 61850中定義了IED之間通信的層次、方法和協(xié)議。此外，變電站中也設(shè)計(jì)了數(shù)據(jù)對(duì)象、格式和配置語(yǔ)言。從饋電裝置和設(shè)備中獲得的信息的傳送基于SAV、GOOSE和MMS通信協(xié)議。通過(guò)特定通信服務(wù)映射(SCSM，Special Communication Service Mapping)，消息發(fā)送到消息隊(duì)列并被抽象通信服務(wù)接口(ACSI，Abstract Communication Service Interface)服務(wù)接收。ACSI不依賴(lài)于下面的系統(tǒng)。通信應(yīng)用基于ACSI服務(wù)完成。一些針對(duì)變電站無(wú)線網(wǎng)絡(luò)的研究工作已經(jīng)證明了它在IEC 61850第5部分中規(guī)定的時(shí)延需求的性能。無(wú)線網(wǎng)絡(luò)占用很低的安裝代價(jià)，并且能夠提供足夠的數(shù)據(jù)速率，在大規(guī)模內(nèi)容分布的智能電網(wǎng)中調(diào)度自如。

當(dāng)前的網(wǎng)絡(luò)架構(gòu)已經(jīng)被提出并且工作了數(shù)十年，目前在多種通信需求的發(fā)展還存在問(wèn)題。為了解決這些問(wèn)題，ICN的出現(xiàn)是未來(lái)網(wǎng)絡(luò)架構(gòu)的希望。ICN在網(wǎng)絡(luò)層對(duì)信息進(jìn)行命名，高效地及時(shí)地通過(guò)網(wǎng)絡(luò)內(nèi)的緩存和多路廣播機(jī)制向用戶(hù)傳遞信息。ICN采用基于信息命名的協(xié)議棧架構(gòu)代替?zhèn)鹘y(tǒng)的基于TCP/IP的架構(gòu)。IP地址僅在本地運(yùn)輸簽署的時(shí)候工作。用戶(hù)向網(wǎng)絡(luò)發(fā)送請(qǐng)求，并且很可能可以得到來(lái)自緩存的響應(yīng)。在基于IP的網(wǎng)絡(luò)中，信息安全與主機(jī)的安全密切相關(guān)。然而，ICN提供面向信息本身的安全保護(hù)并且能夠達(dá)到更高的細(xì)粒度安全。正如EU FP7的一個(gè)基金項(xiàng)目，發(fā)布-訂閱互聯(lián)網(wǎng)路由模式(PSIRP)是ICN中一個(gè)很熱門(mén)的方法。PSIRP項(xiàng)目針對(duì)發(fā)展實(shí)施和驗(yàn)證基于發(fā)布-訂閱模式的信息中心網(wǎng)絡(luò)架構(gòu)，這可能是解決當(dāng)前網(wǎng)絡(luò)中很多挑戰(zhàn)和問(wèn)題的最有前途的方法之一。這其中，最主要的概念就是指定數(shù)據(jù)對(duì)象(NDO)。

如表1所示，IEC 61850標(biāo)準(zhǔn)中的GOOSE和SV制定了發(fā)布/訂閱通信模型。PSIRP是在ICN中建立的一個(gè)發(fā)布/訂閱模式的方法，當(dāng)客戶(hù)端登記訂閱之后在資源可用的時(shí)候會(huì)得到通知。在通信中，這具有很高的可擴(kuò)展性。GOOSE和SV僅涉及到物理層和符合基于命名的ICN設(shè)計(jì)的數(shù)據(jù)鏈路層。ICN引入可能會(huì)增強(qiáng)智能電網(wǎng)中基于IEC 61850的通信的安全性能。

表1 IEC 61850和ICN的比較

IEC 61850標(biāo)準(zhǔn)是變電站自動(dòng)化和帶電操作系統(tǒng)的重要標(biāo)準(zhǔn)之一，它定義了設(shè)備和器件的語(yǔ)義實(shí)體。大量智能電子設(shè)備(IED)都具有變電站自動(dòng)化系統(tǒng)(SAS)來(lái)收集、監(jiān)控和處理電力數(shù)據(jù)。IEC 61850中對(duì)SAS進(jìn)行三級(jí)劃分，包括進(jìn)程層、中間層和變電站層。IEC 61850標(biāo)準(zhǔn)中的部分通信協(xié)議也不是基于TCP/IP協(xié)議的，比如進(jìn)程級(jí)網(wǎng)絡(luò)通信中的SV和GOOSE。對(duì)于SAS來(lái)說(shuō)，進(jìn)程層網(wǎng)絡(luò)的可靠性和安全性非常重要，因?yàn)樗沁B接進(jìn)程層和中間層的唯一網(wǎng)絡(luò)。通過(guò)標(biāo)準(zhǔn)模型，IEC 61850標(biāo)準(zhǔn)支持應(yīng)用的獨(dú)立性，并且實(shí)現(xiàn)了SAS中通信的高度發(fā)放性。

隨著網(wǎng)絡(luò)攻擊的不斷演變和發(fā)展，SAS遭受到互操作性、系統(tǒng)功能開(kāi)放性和無(wú)線網(wǎng)絡(luò)環(huán)境帶來(lái)的安全威脅。據(jù)報(bào)道，由于IEC 61850的安全問(wèn)題導(dǎo)致的事故已經(jīng)造成了巨大的損失?；贗EC 61850標(biāo)準(zhǔn)的變電站安全性依賴(lài)于一個(gè)特定的位置。電網(wǎng)用戶(hù)的私密信息有可能會(huì)泄漏。非法節(jié)點(diǎn)或者惡意節(jié)點(diǎn)可能會(huì)發(fā)布一些非法的、錯(cuò)誤的信息。另外，傳統(tǒng)的IEC 61850網(wǎng)絡(luò)在數(shù)據(jù)擴(kuò)張的時(shí)候效率很低。無(wú)線網(wǎng)絡(luò)的應(yīng)用和IED節(jié)點(diǎn)增長(zhǎng)使得IEC 61850智能電網(wǎng)可能遭受到Dos等多種攻擊。與此同時(shí)，實(shí)時(shí)通信中需要用到SV和GOOSE。嚴(yán)格的時(shí)間需求使得對(duì)抗網(wǎng)絡(luò)攻擊中重量級(jí)安全協(xié)議的使用受到限制。然而，IEC 61850標(biāo)準(zhǔn)中傳統(tǒng)的安全保護(hù)都是基于TCP/IP協(xié)議的，這已經(jīng)不能處理新的效率、可靠性和安全性問(wèn)題。當(dāng)前面向統(tǒng)一的SAS平臺(tái)的處理主要是基于網(wǎng)絡(luò)覆蓋提出的。TCP/IP協(xié)議固有的低效性在處理現(xiàn)有問(wèn)題特別是可擴(kuò)展性和安全性問(wèn)題時(shí)限制了系統(tǒng)的性能。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)現(xiàn)有技術(shù)中的缺陷，本發(fā)明的目的是提供一種智能電網(wǎng)中基于命名的安全通信機(jī)制，該機(jī)制應(yīng)用無(wú)線網(wǎng)絡(luò)并具有安全服務(wù)，可以適用于不是基于TCP/IP協(xié)議的SV和GOOSE通信。該機(jī)制增強(qiáng)了安全性能并提高了通信效率，適用于分散的大規(guī)模的智能電網(wǎng)中的數(shù)據(jù)共享。為在變電站的間隔層和進(jìn)程層之間創(chuàng)建具有更高安全性的無(wú)線網(wǎng)絡(luò)，基于命名的通信架構(gòu)，利用ICN的高安全性。

為達(dá)到上述目的，本發(fā)明所采用的技術(shù)方案如下：

一種智能電網(wǎng)中基于命名的安全通信機(jī)制，應(yīng)用無(wú)線網(wǎng)絡(luò)并具有安全服務(wù)，適用于非TCP/IP協(xié)議的通信，從數(shù)據(jù)鏈路層到表示層的數(shù)據(jù)傳輸通過(guò)ICN的命名、路由和緩存過(guò)程，具體包括：

步驟1：創(chuàng)建通信后，指定數(shù)據(jù)對(duì)象即NDO源向網(wǎng)絡(luò)中發(fā)布NDO；

步驟2：接收器根據(jù)NDO需求進(jìn)行訂閱；

步驟3：對(duì)接系統(tǒng)構(gòu)建匹配發(fā)布平臺(tái)；

步驟4：對(duì)接系統(tǒng)構(gòu)建匹配訂閱平臺(tái)；

步驟5：將用于命名NDO的范圍標(biāo)識(shí)符SI和會(huì)合標(biāo)識(shí)符RI生成一個(gè)轉(zhuǎn)發(fā)標(biāo)識(shí)符FI，該FI被發(fā)送給NS；

步驟6：根據(jù)FI，NDO通過(guò)PSIRP運(yùn)輸?shù)絅S。

所述ICN的命名具有三個(gè)方案，由層次、自我認(rèn)證和屬性值劃分。

所述自我認(rèn)證的命名方案中，一個(gè)是它的格式為P:L，另一個(gè)是元數(shù)據(jù)，P和L代表公鑰的密碼散列值和所有者各自的內(nèi)容標(biāo)簽，數(shù)字簽名由所有者簽署并且元數(shù)據(jù)中包含了完整的公鑰。

所述路由是在ICN的內(nèi)容傳送中，異步的發(fā)布和訂閱為網(wǎng)絡(luò)建立基礎(chǔ)，增加額外的開(kāi)銷(xiāo)以保證分布式數(shù)據(jù)狀態(tài)的一致性，內(nèi)容路由的完整性和正確性依賴(lài)于ICN的基礎(chǔ)設(shè)施。

所述緩存是將網(wǎng)絡(luò)中獲取到的內(nèi)容緩存在ICN中，所有的內(nèi)容提供商均能發(fā)布內(nèi)容，并且能被所有的網(wǎng)絡(luò)節(jié)點(diǎn)獲得。

期望的NDO由范圍標(biāo)識(shí)符SI和會(huì)合標(biāo)識(shí)符RI共同命名，該兩個(gè)標(biāo)識(shí)符由訂閱需求說(shuō)明，該兩個(gè)標(biāo)識(shí)符再被轉(zhuǎn)發(fā)到一個(gè)匹配的程序生成一個(gè)轉(zhuǎn)發(fā)標(biāo)識(shí)符FI。

所述安全服務(wù)包括基于發(fā)布/訂閱的訪問(wèn)控制算法，具體包括內(nèi)容如下：

角色，代表一組訪問(wèn)權(quán)限，與網(wǎng)絡(luò)節(jié)點(diǎn)的分配是一對(duì)多的關(guān)系，一個(gè)節(jié)點(diǎn)僅可被授予一種執(zhí)行角色，但一個(gè)角色可分配給多個(gè)節(jié)點(diǎn)；一個(gè)節(jié)點(diǎn)如果是一個(gè)發(fā)布者，那么將基于主題被授予執(zhí)行角色，如果它是訂閱者，將基于代理被授予執(zhí)行角色，不同主題的發(fā)布者將需要不同的權(quán)限來(lái)處理數(shù)據(jù)和資源；

操作，是對(duì)數(shù)據(jù)源執(zhí)行的不同指令；

權(quán)限，表示在一個(gè)受保護(hù)的系統(tǒng)和數(shù)據(jù)源中執(zhí)行上述操作的許可；

權(quán)限和執(zhí)行角色的分配關(guān)系是多對(duì)多的，系統(tǒng)可以為一個(gè)角色分配多個(gè)訪問(wèn)權(quán)限。發(fā)布者的角色被授予發(fā)布相關(guān)的權(quán)限，訂閱者被授予訂閱相關(guān)的權(quán)限。

所述非TCP/IP協(xié)議的通信包括SV和GOOSE通信。

與現(xiàn)有技術(shù)相比，本發(fā)明具有如下的有益效果：

附圖說(shuō)明

通過(guò)閱讀參照以下附圖對(duì)非限制性實(shí)施例所作的詳細(xì)描述，本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯：

圖1為本發(fā)明提出的基于命名的安全通信架構(gòu)；

圖2為SV/GOOSE提出的安全通信模型；

圖3為基于命名的通信架構(gòu)；

圖4為提出的基于發(fā)布/訂閱的訪問(wèn)控制；

圖5為時(shí)延和節(jié)點(diǎn)數(shù)量增加的關(guān)系；

圖6為時(shí)延和仿真時(shí)間的關(guān)系；

圖7為時(shí)延性能的比較；

圖8為安全性能的比較。

具體實(shí)施方式

下面結(jié)合具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。以下實(shí)施例將有助于本領(lǐng)域的技術(shù)人員進(jìn)一步理解本發(fā)明，但不以任何形式限制本發(fā)明。應(yīng)當(dāng)指出的是，對(duì)本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變化和改進(jìn)。這些都屬于本發(fā)明的保護(hù)范圍。

本發(fā)明提出的智能電網(wǎng)中基于命名的安全通信架構(gòu)，如圖1所示，智能變電站中IED之間具有互操作性和互連接性的通信模型基于IEC 61850協(xié)議，并使用無(wú)線網(wǎng)絡(luò)。變電站系統(tǒng)的傳感器設(shè)備測(cè)量和記錄電壓和電流的實(shí)時(shí)數(shù)據(jù)，并及時(shí)把數(shù)據(jù)傳輸?shù)絇MU。PMU是整合所有來(lái)自不同傳感器數(shù)據(jù)的單元。然后，PMU通過(guò)進(jìn)程層的網(wǎng)絡(luò)采用基于命名的通信技術(shù)發(fā)送壓縮數(shù)據(jù)到IED。IED接收到數(shù)據(jù)之后便開(kāi)始處理數(shù)據(jù)。通過(guò)處理結(jié)果，IED可以得到保護(hù)控制和測(cè)試整個(gè)變電站系統(tǒng)的函數(shù)。另外，IED也可以與遠(yuǎn)端設(shè)備進(jìn)行通信，比如遠(yuǎn)程控制中心、工程師站、人機(jī)接口等其他設(shè)備。

以下詳細(xì)描述本發(fā)明提出的基于命名的安全通信架構(gòu)：

在變電站中，傳感器在進(jìn)程層獲取數(shù)據(jù)，并在間隔層向IED傳輸傳感數(shù)據(jù)。此外，不同IED之間的通信也是采用基于名字的通信架構(gòu)。

本發(fā)明基于名字的通信架構(gòu)設(shè)計(jì)如圖4所示。物理層的格式符合標(biāo)準(zhǔn)設(shè)計(jì)。從數(shù)據(jù)鏈路層到表示層的數(shù)據(jù)傳輸通過(guò)命名、路由和緩存。當(dāng)通信創(chuàng)建之后，NDO源向網(wǎng)絡(luò)中發(fā)布NDO，如圖3中步驟1所示。在第2步中，接收器可以根據(jù)NDO需求進(jìn)行訂閱。在第3和第4步驟，對(duì)接系統(tǒng)構(gòu)建匹配發(fā)布和訂閱的平臺(tái)。期望的NDO由范圍標(biāo)識(shí)符(SI)和會(huì)合標(biāo)識(shí)符(RI)共同命名，這兩個(gè)標(biāo)識(shí)符由訂閱需求說(shuō)明。標(biāo)識(shí)符再被轉(zhuǎn)發(fā)到一個(gè)匹配的程序生成一個(gè)轉(zhuǎn)發(fā)標(biāo)識(shí)符(FI)。在第5步驟，F(xiàn)I被發(fā)送給NS。根據(jù)FI，NDO被通過(guò)PSIRP運(yùn)輸?shù)絅S。

圖3中的NS(NDOs source)是NDO數(shù)據(jù)源，是ICN網(wǎng)絡(luò)中的數(shù)據(jù)發(fā)布者；Scope是對(duì)接系統(tǒng)的匹配域；RN(Rendezvous Node)是匯聚節(jié)點(diǎn)；PR(PSIRP Router)是發(fā)布訂閱互聯(lián)網(wǎng)路由模式的路由器。

至于基于IP的網(wǎng)絡(luò)，信息安全與主機(jī)的安全密切相關(guān)。反而，ICN提供面向信息本身的安全保護(hù)并且獲取更高的細(xì)粒度安全?；诿值耐ㄐ偶軜?gòu)充分利用了ICN的高安全性。

命名。ICN的三個(gè)命名方案由層次、自我認(rèn)證和屬性值劃分。自我認(rèn)證的命名方案中，一是它的格式為P:L，另一個(gè)部分是元數(shù)據(jù)。P和L代表公鑰的密碼散列值和所有者各自的內(nèi)容標(biāo)簽。數(shù)字簽名由所有者簽署并且元數(shù)據(jù)中包含了完整的公鑰。設(shè)計(jì)唯一的自我身份認(rèn)證名字對(duì)高級(jí)安全非常有用，并且容易進(jìn)行完整性檢驗(yàn)。

緩存。網(wǎng)絡(luò)中獲取到的內(nèi)容緩存在ICN中。這適用于所有協(xié)議下的內(nèi)容傳送，所有的內(nèi)容提供商均可以發(fā)布內(nèi)容，并且可被所有的網(wǎng)絡(luò)節(jié)點(diǎn)獲得。

路由。在ICN的內(nèi)容傳送中，異步的發(fā)布和訂閱是為網(wǎng)絡(luò)建立基礎(chǔ)。增加額外的開(kāi)銷(xiāo)以保證分布式數(shù)據(jù)狀態(tài)的一致性。此外，內(nèi)容路由的完整性和正確性依賴(lài)于ICN的基礎(chǔ)設(shè)施。

圖2為SV/GOOSE提出的安全通信模型。

以下詳細(xì)描述本發(fā)明所提出的基于發(fā)布/訂閱的訪問(wèn)控制算法：

智能電網(wǎng)中，變電站中的IEDs控制和保護(hù)進(jìn)程層的主要設(shè)備。根據(jù)不同的功能，IEDs需要不同的相關(guān)數(shù)據(jù)。在基于名字的通信架構(gòu)中，存在多種分別能夠?qū)崿F(xiàn)不同功能的節(jié)點(diǎn)類(lèi)型。惡意節(jié)點(diǎn)可能會(huì)引起信息泄露或者網(wǎng)絡(luò)攻擊，比如DDoS攻擊。因此，訪問(wèn)控制對(duì)于基于名字的通信網(wǎng)絡(luò)架構(gòu)中的IEDs和節(jié)點(diǎn)都是非常必須的。RBAC作為一個(gè)安全的并且有效的訪問(wèn)控制機(jī)制，“角色”這個(gè)概念已經(jīng)被廣泛應(yīng)用，這使得分配和管理許可容易許多。本發(fā)明提出的訪問(wèn)控制算法是在基于名字的安全通信架構(gòu)中以RBAC為基礎(chǔ)設(shè)計(jì)的。

作為一個(gè)典型的案例，NS中基于訪問(wèn)控制的發(fā)布訂閱算法如圖4所示。角色代表一組訪問(wèn)權(quán)限。節(jié)點(diǎn)與角色的分配是多對(duì)一的關(guān)系。一個(gè)節(jié)點(diǎn)僅可以被授予一種執(zhí)行角色，然而一個(gè)角色可以分配給多個(gè)節(jié)點(diǎn)。一個(gè)節(jié)點(diǎn)如果是一個(gè)發(fā)布者，那么將基于主題被授予執(zhí)行角色，如果它是訂閱者將基于代理被授予執(zhí)行角色。不同主題的發(fā)布者將需要不同的權(quán)限來(lái)處理數(shù)據(jù)和資源。操作的意思是對(duì)數(shù)據(jù)源執(zhí)行的不同指令，比如讀取、寫(xiě)入、增加、刪除等等。權(quán)限表示在一個(gè)受保護(hù)的系統(tǒng)和數(shù)據(jù)源中執(zhí)行這些操作的許可，比如發(fā)布和訂閱。權(quán)限和執(zhí)行角色的分配關(guān)系是多對(duì)多的。因此，系統(tǒng)可以為一個(gè)角色分配多個(gè)訪問(wèn)權(quán)限。發(fā)布者的角色被授予發(fā)布相關(guān)的權(quán)限，訂閱者被授予訂閱相關(guān)的權(quán)限。

本發(fā)明為解決當(dāng)前基于TCP/IP協(xié)議已經(jīng)不能很好適應(yīng)發(fā)展需求和在無(wú)線網(wǎng)絡(luò)中對(duì)抗網(wǎng)絡(luò)攻擊中重量級(jí)安全協(xié)議的使用受到限制的問(wèn)題，針對(duì)SV和GOOSE這些非基于TCP/IP協(xié)議的通信，提出的一種基于命名的ICN安全機(jī)制，能夠滿足安全需求并且能夠進(jìn)行高效通信。本發(fā)明提出的安全機(jī)制可以滿足安全需求并具有良好的通信性能。

1.本發(fā)明提出的安全機(jī)制的設(shè)計(jì)可以滿足安全需求。

ICN滿足完整性、機(jī)密性和非否認(rèn)性。輕量級(jí)加密算法的使用使得RBAC能夠?qū)崿F(xiàn)高效訪問(wèn)控制的同時(shí)滿足認(rèn)證、完整新、機(jī)密性和授權(quán)這些安全需求。

在基于TCP/IP的網(wǎng)絡(luò)中，信息安全與主機(jī)密切相關(guān)。然而，ICN提供面向信息本身的安全保護(hù)，達(dá)到更高的細(xì)粒度安全?；诿耐ㄐ偶軜?gòu)的提出充分利用了ICN的高安全性。除了PSIRP中所設(shè)計(jì)的原有的安全措施，添加了RBAC和輕量級(jí)加密算法來(lái)保證基于命名的通信的安全。提出的安全機(jī)制中，安全方法是以服務(wù)的形式設(shè)計(jì)，另外，用安全總線和常規(guī)功能性服務(wù)對(duì)它進(jìn)行復(fù)合。

PSIRP中支持包級(jí)別身份驗(yàn)證(PLA)技術(shù)，這有助于加密和簽名個(gè)人數(shù)據(jù)包，保證了數(shù)據(jù)的完整性、機(jī)密性和惡意發(fā)布者的問(wèn)責(zé)。FN中和它們目的地址中的數(shù)據(jù)包都可以使用PLA進(jìn)行校驗(yàn)。對(duì)于不可變數(shù)據(jù)對(duì)象，自我認(rèn)證名可以使用對(duì)象的哈希值作為集合點(diǎn)在扁平命名中被允許。而且，動(dòng)態(tài)鏈接標(biāo)識(shí)符可以用于路徑編碼到布隆過(guò)濾器，這對(duì)抗攻擊者制作的布隆過(guò)濾器或登錄DDoS攻擊。除此之外，PSIRP中還有其他的安全設(shè)計(jì)，RBAC使得分配和管理訪問(wèn)控制的權(quán)限更方便。輕量級(jí)加密算法保證了數(shù)據(jù)交換過(guò)程的安全，同時(shí)它占用很低的通信代價(jià)，使得智能電網(wǎng)中的通信高效、安全。

2.本發(fā)明提出的安全機(jī)制具有良好的通信性能。

GOOSE和SV被用于實(shí)時(shí)通信，因此時(shí)延就是一個(gè)通信性能中的一個(gè)重要參數(shù)。為了評(píng)估提出的通信機(jī)制的性能，我們用NS2對(duì)輕量級(jí)加密算法進(jìn)行了仿真。在仿真實(shí)驗(yàn)中，兩個(gè)NS，一個(gè)是客戶(hù)端，一個(gè)是服務(wù)器。服務(wù)器每秒發(fā)送1000個(gè)經(jīng)過(guò)輕量級(jí)加密算法加密的數(shù)據(jù)包。用戶(hù)的ID包含在數(shù)據(jù)包中。當(dāng)客戶(hù)端接收到數(shù)據(jù)包的時(shí)候，它們用它的ID和密鑰來(lái)解密數(shù)據(jù)包。如果譯碼的ID與自己的ID想匹配，則接收這個(gè)數(shù)據(jù)包，否則丟棄這個(gè)數(shù)據(jù)包。沒(méi)有使用加密算法的仿真結(jié)果也在同樣的條件下進(jìn)行?？蛻?hù)端會(huì)無(wú)選擇的接收所有數(shù)據(jù)包。

如圖5所示，分別表示使用輕量級(jí)加密算法的平均時(shí)延隨著節(jié)點(diǎn)數(shù)量增多的變換曲線，以及沒(méi)有使用輕量級(jí)加密算法的平均時(shí)延變化曲線。圖5和圖6的結(jié)果表示，在節(jié)點(diǎn)數(shù)量和仿真時(shí)間的增加下，額外的時(shí)延降低，甚至到最后，額外的時(shí)延會(huì)變得非常低。隨著IEC 61850的發(fā)展，智能電網(wǎng)中IED的數(shù)量會(huì)增加，然而，在該通信機(jī)制下，并不會(huì)增加很多網(wǎng)絡(luò)延時(shí)。圖7表示的是延遲時(shí)間的波動(dòng)。加入輕量級(jí)加密算法只會(huì)增加微小的時(shí)延，平均值幾乎也都是一樣的。本發(fā)明所采用的安全加密機(jī)制對(duì)網(wǎng)絡(luò)延遲的影響不大。因此，提出的基于命名的安全通信機(jī)制能在網(wǎng)絡(luò)時(shí)延增加很少的代價(jià)下提升安全性能。圖8表示的是接收數(shù)據(jù)包的比較，結(jié)果顯示該算法在安全性方面有很明顯的效果。偽造的和無(wú)效的信息都會(huì)減少。

以上對(duì)本發(fā)明的具體實(shí)施例進(jìn)行了描述。需要理解的是，本發(fā)明并不局限于上述特定實(shí)施方式，本領(lǐng)域技術(shù)人員可以在權(quán)利要求的范圍內(nèi)做出各種變化或修改，這并不影響本發(fā)明的實(shí)質(zhì)內(nèi)容。在不沖突的情況下，本申請(qǐng)的實(shí)施例和實(shí)施例中的特征可以任意相互組合。