電力終端可信身份認(rèn)證技術(shù)研究與應(yīng)用

趙保華 王志皓 王樹才

摘 要：電力行業(yè)的網(wǎng)絡(luò)信息安全是國(guó)家網(wǎng)絡(luò)信息安全的重要組成部分，關(guān)系國(guó)家經(jīng)濟(jì)命脈安全和社會(huì)穩(wěn)定。為進(jìn)一步提升電力行業(yè)信息安全水平，保障電力信息系統(tǒng)安全、穩(wěn)定運(yùn)行，近些年電力行業(yè)開展了一系列針對(duì)身份認(rèn)證和用戶管理的平臺(tái)研究和部署工作。基于此，論文深入研究了可信身份認(rèn)證技術(shù)在電力終端的應(yīng)用，基于數(shù)字證書和可信計(jì)算技術(shù)開展研究，通過構(gòu)建可信通信協(xié)議，研發(fā)可信安全通信系統(tǒng)構(gòu)建可信通信環(huán)境。

關(guān)鍵詞：可信身份；電力；數(shù)字證書

中圖分類號(hào)：TN918； C931.6 文獻(xiàn)標(biāo)識(shí)碼：B

Abstract： The information security of the power industry is an important part of the national network information security， which is related to the national economic lifeline safety and social stability. In order to further improve the information security level of the power industry and ensure the safe and stable operation of the power information system， in recent years， the power industry has carried out a series of platform research and deployment work for identity authentication and user management. Based on it， this paper studies the application of trusted identity authentication technology in power terminals， researches based on digital certificates and trusted computing technologies， and builds a trusted communication system by constructing a trusted communication protocol to build a trusted communication environment.

Key words： trusted identity； electricity； digital certificate

1 引言

智能電網(wǎng)具有信息化、自動(dòng)化、互動(dòng)化特征，涵蓋了發(fā)電、輸電、變電、配電、用電、調(diào)度、信息、通信、跨環(huán)節(jié)以及綜合示范等工程領(lǐng)域，具有“網(wǎng)絡(luò)更廣、交互更多、技術(shù)更新、用戶更泛”等特點(diǎn)，在智能電網(wǎng)建設(shè)過程中，出現(xiàn)了數(shù)量龐大的智能化測(cè)控類終端設(shè)備，其數(shù)量多、分布廣、通信手段多樣的特點(diǎn)導(dǎo)致面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較傳統(tǒng)電網(wǎng)面臨的風(fēng)險(xiǎn)種類更多，范圍更大，層次更為深入，尤其對(duì)于終端身份及狀態(tài)可信鑒別和認(rèn)證的需求更為迫切，同時(shí)需要確保終端網(wǎng)絡(luò)通信過程中的數(shù)據(jù)機(jī)密性和完整性，防止由于終端身份被仿冒、完整性被破壞以及數(shù)據(jù)或指令被竊取或篡改所帶來的網(wǎng)絡(luò)安全事件和經(jīng)濟(jì)損失。

2 技術(shù)原理

電力終端可信身份證明技術(shù)是面向智能電網(wǎng)典型業(yè)務(wù)模型提出的網(wǎng)絡(luò)可信身份管理可應(yīng)用方案，并適用于類似架構(gòu)工業(yè)控制系統(tǒng)，在實(shí)現(xiàn)通信雙方身份認(rèn)證的同時(shí)實(shí)現(xiàn)對(duì)終端的可信計(jì)算環(huán)境狀態(tài)認(rèn)證。

本文介紹了基于數(shù)字證書和可信計(jì)算技術(shù)的身份認(rèn)證技術(shù)研究情況，通過構(gòu)建可信通信協(xié)議，研發(fā)可信安全通信系統(tǒng)構(gòu)建可信通信環(huán)境。在終端與主站系統(tǒng)建立連接時(shí)，實(shí)現(xiàn)主站系統(tǒng)與接入終端的雙向身份認(rèn)證、接入終端的可信狀態(tài)檢測(cè)，確保接入終端的身份可信和計(jì)算環(huán)境可信，同時(shí)協(xié)商通信密鑰，實(shí)現(xiàn)對(duì)通信數(shù)據(jù)的機(jī)密性和完整性保護(hù)。在通信時(shí)，主站系統(tǒng)與終端定期進(jìn)行身份認(rèn)證和狀態(tài)檢測(cè)，并對(duì)終端在線狀態(tài)進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)問題時(shí)可強(qiáng)制終端離線。

基于上述原理，設(shè)計(jì)了支撐終端身份認(rèn)證、可信狀態(tài)認(rèn)證、機(jī)密性保護(hù)和完整性保護(hù)的輕量級(jí)可信通信協(xié)議。

可信通信協(xié)議工作于TCP/IP協(xié)議的網(wǎng)絡(luò)層和應(yīng)用層，適用于使用以太網(wǎng)、以太無源光網(wǎng)絡(luò)、無線公網(wǎng)（GPRS、3G、TDCDMA等）進(jìn)行通信的系統(tǒng)，實(shí)現(xiàn)系統(tǒng)前置服務(wù)器和終端間端到端的安全，可在不改變系統(tǒng)網(wǎng)絡(luò)架構(gòu)并極少改變系統(tǒng)設(shè)置的情況下實(shí)現(xiàn)智能終端設(shè)備的安全接入。

可信通信協(xié)議主要包含記錄協(xié)議和握手協(xié)議兩層，其中記錄協(xié)議建立在其他可靠的傳輸協(xié)議如TCP/IP之上，用于封裝高層協(xié)議如握手協(xié)議，而握手協(xié)議使客戶和服務(wù)器之間相互進(jìn)行認(rèn)證，并協(xié)商加密

算法和密鑰。在可信通信協(xié)議中調(diào)用可信計(jì)算技術(shù)實(shí)現(xiàn)終端身份和狀態(tài)的證明，主要是通過改造擴(kuò)展握手協(xié)議，在建立握手的過程中完成對(duì)終端身份和狀態(tài)的認(rèn)證，包括獲取并驗(yàn)證終端身份證書，獲取并驗(yàn)證終端完整性值。完成終端身份和狀態(tài)的證明之后交換公鑰證書。在電力終端與系統(tǒng)主站首次協(xié)商即將建立通信會(huì)話之前，上述握手過程已經(jīng)完成。可信通信協(xié)議的握手交互流程如圖1所示。

其中，在握手階段，系統(tǒng)分為三種身份認(rèn)證模式。

一是基于數(shù)字證書技術(shù)的非對(duì)稱認(rèn)證：可信安全通信模塊與安全通信網(wǎng)關(guān)在初次交互時(shí)采用該種認(rèn)證方式，并協(xié)商雙方用于通訊的密鑰。

二是基于對(duì)稱算法的認(rèn)證：可信安全通信模塊與安全通信網(wǎng)關(guān)在證書認(rèn)證過后再次交互時(shí)采用該種認(rèn)證方式，加快認(rèn)證流程，降低認(rèn)證開銷。

三是工作密鑰過期重新認(rèn)證：當(dāng)基于非對(duì)稱認(rèn)證協(xié)商的密鑰使用一定周期后，可信安全通信模塊在基于對(duì)稱認(rèn)證與安全通信網(wǎng)關(guān)交互時(shí)，安全通信網(wǎng)關(guān)會(huì)要求可信安全通信模塊重新進(jìn)行基于證書體系的認(rèn)證，并協(xié)商新的工作密鑰。

可信安全通信模塊。可信安全通信模塊部署于業(yè)務(wù)終端側(cè)，內(nèi)置數(shù)字證書代表終端身份，用于業(yè)務(wù)終端和業(yè)務(wù)前置機(jī)的身份認(rèn)證和可信保護(hù)，實(shí)現(xiàn)業(yè)務(wù)前置機(jī)與業(yè)務(wù)終端間的可信身份認(rèn)證和可信通信。

可信安全通信模塊由MCU、可信芯片和網(wǎng)絡(luò)芯片組成。其中MCU進(jìn)行數(shù)據(jù)處理和協(xié)議實(shí)現(xiàn)，可信芯片提供終端狀態(tài)可信度量和算法支持，網(wǎng)絡(luò)芯片進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)收發(fā)并實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議棧。

3 主要功能

可信安全通信系統(tǒng)具有可信身份認(rèn)證、可信狀態(tài)認(rèn)證、訪問控制、安全數(shù)據(jù)交換、接入終端監(jiān)控等功能，實(shí)現(xiàn)了主站系統(tǒng)前置服務(wù)器和終端間端到端的安全通信協(xié)議，在不改變系統(tǒng)網(wǎng)絡(luò)架構(gòu)并極少改變系統(tǒng)設(shè)置的情況下實(shí)現(xiàn)電力終端設(shè)備與主站之間安全通信的可信身份認(rèn)證和數(shù)據(jù)機(jī)密性、完整性保護(hù)。

可信安全通信系統(tǒng)中的可信安全通信網(wǎng)關(guān)采用國(guó)家密碼管理局授權(quán)的專用商密算法確保終端可信接入和通信安全。

可信安全通信系統(tǒng)的部署方式示意圖如圖2所示。

可信安全通信網(wǎng)關(guān)部署在主站前置機(jī)前，通過網(wǎng)口連接主站前置機(jī)進(jìn)行主站數(shù)據(jù)通信，通過網(wǎng)口連接交換機(jī)等網(wǎng)絡(luò)設(shè)備與可信安全通信模塊交互確保終端安全接入。

可信安全通信模塊具有外置型和內(nèi)嵌型兩種形態(tài)。外置型可信安全通信模塊部署在終端和本地通信設(shè)備之間，通過網(wǎng)口或串口連接終端進(jìn)行終端業(yè)務(wù)數(shù)據(jù)通信，通過網(wǎng)口或串口和交換機(jī)、3G/GPRS通信模塊等本地通信設(shè)備連接與可信安全通信網(wǎng)關(guān)交互確保終端安全接入。內(nèi)嵌型可信安全通信模塊部署在終端內(nèi)部，通過內(nèi)部網(wǎng)口連接終端進(jìn)行終端業(yè)務(wù)數(shù)據(jù)通信，通過外部網(wǎng)口連接本地通信設(shè)備或通過終端數(shù)據(jù)轉(zhuǎn)發(fā)與可信安全通信網(wǎng)關(guān)交互確保終端安全接入。

4 結(jié)束語

電力行業(yè)的信息安全是電力信息系統(tǒng)安全、穩(wěn)定運(yùn)行的基礎(chǔ)。近年來，電力行業(yè)開展了一系列針對(duì)身份認(rèn)證和用戶管理的電力行業(yè)信息安全部署工作。立足于電力行業(yè)應(yīng)用實(shí)際需求，基于數(shù)字證書和可信計(jì)算技術(shù)，本文通過深入研究可信身份認(rèn)證技術(shù)，提出一種面向智能電網(wǎng)典型業(yè)務(wù)的網(wǎng)絡(luò)可信身份管理可應(yīng)用方案。該方案具有可信身份認(rèn)證、可信狀態(tài)認(rèn)證、訪問控制、安全數(shù)據(jù)交換、接入終端監(jiān)控等功能，實(shí)現(xiàn)了主站系統(tǒng)前置服務(wù)器和終端間端到端的安全通信協(xié)議，在不改變系統(tǒng)網(wǎng)絡(luò)架構(gòu)并極少改變系統(tǒng)設(shè)置的情況下實(shí)現(xiàn)電力終端設(shè)備與主站之間安全通信的可信身份認(rèn)證和數(shù)據(jù)機(jī)密性、完整性保護(hù)。

參考文獻(xiàn)

[1] 張露維，盧士達(dá)，陸穗穗.上海市電力公司身份管理與企業(yè)門戶研究實(shí)踐[J].供用電，2011，28（1）：76-80.

[2] 朱潔瓊，段斌，鄒吉昌，等.基于SPML的電力企業(yè)應(yīng)用系統(tǒng)集成身份管理[J].計(jì)算機(jī)技術(shù)與發(fā)展，2009，19（10）：238-241.

[3] 王靜.統(tǒng)一身份認(rèn)證和用戶管理平臺(tái)在集團(tuán)型電力企業(yè)的應(yīng)用[J].信息網(wǎng)絡(luò)安全，2016（12）：81-85.

[4] 湯億則，徐志強(qiáng)，黃紅兵，等.RSA雙因素身份認(rèn)證技術(shù)在電力信息管理安全中的應(yīng)用[J].電氣應(yīng)用，2015（10）：134-136.

[5] 張道榮，薛正垠，廖根宇，等.電力企業(yè)評(píng)標(biāo)基地專家身份鑒別系統(tǒng)設(shè)計(jì)與應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2017（8）：171-172.

[6] 魏曉菁，劉冬梅，溫超.國(guó)家電網(wǎng)公司目錄服務(wù)、身份旨理與認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電力信息與通信技術(shù)，2007，5（10）：43-46.

[7] 張春平，馬志程，張琦，等.一種電力企業(yè)分布式文件系統(tǒng)身份認(rèn)證解決方案[J].自動(dòng)化技術(shù)與應(yīng)用，2017，36（3）：23-26.

[8] 李建，何永忠，沈昌祥，等.可信移動(dòng)平臺(tái)身份管理框架[J].計(jì)算機(jī)應(yīng)用研究，2008，25（12）：3710-3712.

[9] 靳丹，張小東，劉少博.電力企業(yè)統(tǒng)一權(quán)限管理系統(tǒng)的研究與應(yīng)用[J].電力信息與通信技術(shù)，2013，11（10）：97-100.