SM2密碼體系下的電網(wǎng)信息安全平臺(tái)設(shè)計(jì)

田里

摘要

根據(jù)當(dāng)前電力二次系統(tǒng)安全防護(hù)體系的管理較為缺乏的情況，而現(xiàn)有的安全體系公鑰算法主要使用的是RSA算法，在這一情況下提出基于國(guó)產(chǎn)SM2密碼體系的安全支撐平臺(tái)相關(guān)設(shè)計(jì)方案以及具體的實(shí)施方案，對(duì)SM2算法存在的問(wèn)題有效分析，并且提出采用組件技術(shù)進(jìn)行自行研制的安全加密通道的方案構(gòu)建，使得安全支撐平臺(tái)得以有效實(shí)現(xiàn)，在這一過(guò)程中，也需要能夠?qū)烧虾蟮陌踩纹脚_(tái)功能有效檢測(cè)和具體分析處理。在相關(guān)研究的基礎(chǔ)上，能夠發(fā)現(xiàn)在，這一平臺(tái)能夠?qū)﹄娏Χ蜗到y(tǒng)應(yīng)用之間無(wú)縫整合，使得其相互之間可以形成有機(jī)整體，并且提供安全性較高的身份認(rèn)證和安全審計(jì)日志記錄等，對(duì)用戶(hù)信息和系統(tǒng)資源實(shí)施管理。

【關(guān)鍵詞】SM2密碼體系 電網(wǎng)信息 安全平臺(tái)設(shè)計(jì)

電力二次系統(tǒng)是指各個(gè)級(jí)別的電力監(jiān)控系統(tǒng)和電力數(shù)據(jù)通信網(wǎng)絡(luò)工程等所一起形成的更大的系統(tǒng)，其也不斷成為當(dāng)前電力異構(gòu)二元復(fù)合網(wǎng)絡(luò)中較為重要的內(nèi)容，其在電力信息網(wǎng)絡(luò)受到攻擊的時(shí)候，信息網(wǎng)的故障情也會(huì)早電力二次系統(tǒng)的基礎(chǔ)上，從而穿過(guò)信息網(wǎng)邊界，并且在這一過(guò)程中也會(huì)波及電力物理網(wǎng)，使得電力網(wǎng)絡(luò)在具體運(yùn)轉(zhuǎn)的時(shí)候，會(huì)出現(xiàn)相關(guān)的連鎖反應(yīng)情況，這些問(wèn)題交替?zhèn)鞑サ倪^(guò)程中，會(huì)對(duì)電網(wǎng)安全運(yùn)行方面也會(huì)造成嚴(yán)重影響，本文提出基于SM2算法密碼體系的安全支撐平臺(tái)設(shè)計(jì)的方案以及實(shí)現(xiàn)方案，為了使得用戶(hù)硬件投資金額得以降低，這一平臺(tái)就需要支持RSA和SM2算法的密碼體系能夠一起應(yīng)用，并且其也不會(huì)對(duì)當(dāng)前業(yè)務(wù)的發(fā)生和發(fā)展造成不利影響，對(duì)政策的相關(guān)要求加以滿(mǎn)足，同時(shí)對(duì)RSA算法的密碼體系淘汰，使得其和密碼管理規(guī)范的內(nèi)容相符合。

1 安全支撐平臺(tái)中SM2算法的應(yīng)用存在的問(wèn)題

在進(jìn)行安全支撐平臺(tái)構(gòu)建和應(yīng)用的時(shí)候，也需要獲取相關(guān)的SM2算法數(shù)字證書(shū)，在這一過(guò)程中對(duì)其中的內(nèi)容綜合考慮，使電力公司的公鑰基礎(chǔ)設(shè)施（PKI）系統(tǒng)能夠有效支撐SM2算法的數(shù)字證書(shū)發(fā)放的情況，并且電力二次應(yīng)用系統(tǒng)是否能夠?qū)M2算法的數(shù)字證書(shū)合法使用。對(duì)于能否對(duì)國(guó)家商用SM2算法的數(shù)字證書(shū)的發(fā)放而言，其本身需要和第三方CA中心的關(guān)系更加緊密，而對(duì)于能否進(jìn)行支持國(guó)家商用 SM2算法的數(shù)字證書(shū)應(yīng)用的時(shí)候，其也需要和數(shù)字證書(shū)及電力系統(tǒng)應(yīng)用的業(yè)務(wù)綜合在一起。

1.1 電力公司PKI系統(tǒng)是否可以發(fā)放支持SM2算法的數(shù)字證書(shū)

在社會(huì)不斷發(fā)展的過(guò)程中，電網(wǎng)運(yùn)行安全也成為需要重視的內(nèi)容，其在國(guó)家商用密碼的內(nèi)容支持SM2橢圓曲線(xiàn)算法的加密卡等標(biāo)準(zhǔn)內(nèi)容的基礎(chǔ)上進(jìn)行必要規(guī)則制定，使得其能夠?qū)M2橢圓曲線(xiàn)算法的數(shù)字證書(shū)的合理有效發(fā)放提供相對(duì)完善的條件作為支撐。

1.2 電力二次系統(tǒng)是否可以使用支持國(guó)家商用SM2算法的數(shù)字證書(shū)

當(dāng)前其所具備的RSA算法安全支撐平臺(tái)需要能夠和電力應(yīng)用系統(tǒng)等需要綜合在一起，其能夠進(jìn)行分為客戶(hù)端以及服務(wù)器處理，對(duì)客戶(hù)端而言，其在具體應(yīng)用的時(shí)候，應(yīng)用環(huán)境主要是在瀏覽器或者服務(wù)器等基礎(chǔ)上所實(shí)施的，這一過(guò)程中的用戶(hù)在IE瀏覽器的基礎(chǔ)上對(duì)系統(tǒng)資源進(jìn)行訪(fǎng)問(wèn)，并且對(duì)客戶(hù)端USBKey硬件加密設(shè)備有效應(yīng)用，促使客戶(hù)端加密和驗(yàn)證等方面有效實(shí)現(xiàn)，其次對(duì)于服務(wù)器端而言，其Web服務(wù)器需要能夠在在安全套接層協(xié)議和客戶(hù)端等內(nèi)容中促使信息加密和解密的方式得以實(shí)現(xiàn)，對(duì)這些內(nèi)容實(shí)施間接身份認(rèn)證處理，服務(wù)器通常情況下需要在應(yīng)用的時(shí)候，選擇較為標(biāo)準(zhǔn)的PKCS#11接口，在這一過(guò)程中促使硬件加密卡的訪(fǎng)問(wèn)成為現(xiàn)實(shí)，并且提供具體的加解密以及簽名等相關(guān)服務(wù)內(nèi)容。

2 安全支撐平臺(tái)的升級(jí)

使用SM2算法的安全支撐平臺(tái)實(shí)施單點(diǎn)登錄設(shè)計(jì)的過(guò)程中，需要在客戶(hù)端瀏覽器中對(duì)和iMidWare組件部署的相關(guān)內(nèi)容加以處理，促使其對(duì)平臺(tái)部署iServer組件提供支持，在電力二次應(yīng)用系統(tǒng)中進(jìn)行iAccouni組件部署和具體運(yùn)轉(zhuǎn)的時(shí)候，需要其能夠?qū)崿F(xiàn)自行設(shè)計(jì)安全傳輸通道對(duì)原有SSL協(xié)議加密通道進(jìn)行有效替換處理，使得平臺(tái)升級(jí)得以完善，支持SM2算法數(shù)字證書(shū)。

2.1 安全支撐平臺(tái)與客戶(hù)端的安全傳輸通道

客戶(hù)端在iMidWare組件和安全的支撐平臺(tái)iServer組件的基礎(chǔ)上，對(duì)這一過(guò)程中所應(yīng)用的SSL協(xié)議加密通道有效替換，并且這兩個(gè)方面在安全傳輸通道中能夠進(jìn)行雙重身份認(rèn)證處理，安全支撐平臺(tái)在具體應(yīng)用的時(shí)候，也需要能夠根據(jù)用戶(hù)的會(huì)話(huà)信息內(nèi)容和用戶(hù)基本信息等相關(guān)內(nèi)容形成相關(guān)的憑證票據(jù)，通過(guò)安全支撐平臺(tái)證書(shū)的認(rèn)證之后，將認(rèn)證證書(shū)傳遞給用戶(hù)端iMidWare安全組件。

2.2 安全支撐平臺(tái)與電力應(yīng)用系統(tǒng)的安全傳輸通道

為了能夠?qū)Π踩纹脚_(tái)進(jìn)行有效升級(jí)，也需要加強(qiáng)對(duì)SM2算法支撐，在支撐平臺(tái)和電力應(yīng)用系統(tǒng)等加以應(yīng)用的時(shí)候，對(duì)iServer組件和iAccount組件進(jìn)行有效建設(shè)和應(yīng)用，電力應(yīng)用系統(tǒng)在具體應(yīng)用的時(shí)候，其中用iAccount安全套件接口，對(duì)一次性憑證簽名和授權(quán)系統(tǒng)授權(quán)碼的合法性等方面進(jìn)行驗(yàn)證，在此之后，安全支撐平臺(tái)使得用戶(hù)屬性信息內(nèi)容和應(yīng)用的擴(kuò)展信息內(nèi)容等在簽字之后，進(jìn)行加密，隨后將其退回給電力二次應(yīng)用系統(tǒng)。在SM2算法的安全支撐平臺(tái)應(yīng)用的時(shí)候，其中的相關(guān)架構(gòu)和流程首先需要訪(fǎng)問(wèn)用戶(hù)在客戶(hù)端中實(shí)施SM2算法插入，最后USBKey，在HTTP協(xié)議及數(shù)字證書(shū)等方面也需要進(jìn)行電力二次系統(tǒng)登陸處理，促使電力二次系統(tǒng)訪(fǎng)問(wèn)得以實(shí)現(xiàn)。其次是電力二次系統(tǒng)服務(wù)器在進(jìn)行iAccount套件證書(shū)應(yīng)用的時(shí)候，在這一過(guò)程中，安全支撐平臺(tái)會(huì)根據(jù)已經(jīng)提交的SM2算法數(shù)字證書(shū)驗(yàn)證用戶(hù)。SM2算法數(shù)字證書(shū)在進(jìn)行有效認(rèn)證之后，安全支撐平臺(tái)也要根據(jù)用戶(hù)自身的會(huì)話(huà)內(nèi)容及隨機(jī)序列值等，在服務(wù)器證書(shū)簽字后形成相關(guān)的憑證，并且使得憑證能夠有效傳遞給客戶(hù)端，客戶(hù)端在iMidWare組件利用的基礎(chǔ)上進(jìn)行簽名憑證提交。iAccount套件證書(shū)認(rèn)證接口對(duì)一次性簽名憑證有效驗(yàn)證的時(shí)候，其需要能夠在驗(yàn)證通過(guò)之后，對(duì)用戶(hù)信息內(nèi)容解密處理。

3 結(jié)束語(yǔ)

在統(tǒng)一安全支撐平臺(tái)構(gòu)建的過(guò)程中，能夠促使當(dāng)前各個(gè)區(qū)域中的電力二次應(yīng)用系統(tǒng)整合，使用戶(hù)統(tǒng)一身份認(rèn)證和統(tǒng)一授權(quán)等得以實(shí)現(xiàn)，這不僅對(duì)電力二次應(yīng)用系統(tǒng)具有保護(hù)的作用，也能夠使得其訪(fǎng)問(wèn)控制以及權(quán)限管理系統(tǒng)等方面的開(kāi)發(fā)和維護(hù)等不斷得以簡(jiǎn)化處理，使其管理成本得以減少，并且不斷得以簡(jiǎn)化，對(duì)國(guó)家層面上的信息安全提供必要的保護(hù)。

參考文獻(xiàn)

[1]張躍，張騫，黃益彬，金倩倩.電網(wǎng)智能單元加密算法效率評(píng)估[J].計(jì)算機(jī)測(cè)量與控制，2017，25（05）：258-261+272.

[2]陳聞卿，朱巖.SM2數(shù)字簽名算法在電力分界開(kāi)關(guān)控制器中的研究與應(yīng)用[J].電力科學(xué)與技術(shù)學(xué)報(bào)，2015，30（03）：121-125.

[3]王志賀，駱釗，謝吉華，顧偉，陳海超，許超，周亮.基于SM2密碼體系的SD卡的電力移動(dòng)終端安全接入方案[J].中國(guó)電力，2015，48（05）：75-80.

[4]駱釗，謝吉華，顧偉，徐芳，金鈞華.基于SM2密碼體系的電網(wǎng)信息安全支撐平臺(tái)開(kāi)發(fā)[J].電力系統(tǒng)自動(dòng)化，2014，38（06）：68-74.