面向用電采集系統終端的可信度量方案

李紅嬌, 王曉飛

(上海電力學院 計算機科學與技術學院, 上海 200090)

隨著網絡的發展,各類用電采集終端在智能電網建設中得到了廣泛應用,但是由于采集終端本身結構簡單、用戶行為無安全管控行為、采集終端部署環境較為惡劣等問題,造成終端存在著大量的安全隱患,病毒、蠕蟲等惡意代碼通過采集終端漏洞攻擊信息網絡,使網絡處于不安全狀態。目前普遍采用的認證技術只以等待介入的終端是否擁有認證協議的口令或密鑰來判斷是否接入網絡,忽視了終端系統自身是否安全可信。用電采集終端屬于用電采集系統的底層設備,擁有龐大的數量,其安全性對整個系統來說顯得尤為重要。為保證終端可信,可在每個采集終端中加入可信度量模塊,從源頭上確保終端的安全,通過使用可信計算技術對采集終端可信狀態進行判斷,用以顯著提升采集終端的安全防護能力。

可信計算技術是從計算機的體系結構著手,從硬件安全方面出發,建立一種信任鏈傳遞體系以保證終端的可信,從源頭上解決人與程序代碼、人與機器以及人與人之間的信任問題。可信計算組織[1](Trusted Compouting Group,TCG)用實體行為的預期性來定義“可信”:如果一個實體的行為是以預期的方式符合預期的目標,則實體是可信的。

目前針對可信度量中的現有問題,學者們提出了很多種模型與方法。現階段主要有基于模糊集合理論,基于度量區域模型,基于決策樹理論等。雖然現有的模型方法已經很大程度上推動了可信計算的發展,但是在度量效率以及隱私易泄露等方面還有待進一步研究。通過使用可信計算來提升用電采集終端自身安全防護能力還存在以下不足:當前可信計算平臺的實用性和可擴展性未得到保障,還未有很好適用于用電采集終端的可信計算模型;現有的模型在建模過程中作出了各種主觀定義與假設,可信終端的普及性以及靈活性得不到滿足;針對目前層出不窮的網絡攻擊,現有模型缺乏有效自適應性和安全防護機制,模型的可信性較低。

本文針對上述問題提出了一種面向用電采集系統終端的可信度量方案。該方案以可信密碼模塊(Trusted Cryptography Module,TCM)為終端的可信芯片,并在可信度量環節中引入基于屬性的遠程證明方法[2]。通過理論與實驗分析可知,該方案可以有效改善二進制遠程證明效率較低、配置隱私易泄露等問題,提高了電力移動終端的信息安全主動防御能力。

1 用電采集系統終端結構

用電采集系統是建設智能電網的物理基礎,采用高級傳感、通信、自動控制等技術,及時采集、掌握用電信息,實現數據采集、數據管理、電能質量數據統計和線損統計分析,發現用電異常情況,對電力用戶的用電負荷進行監測和控制。用電信息采集系統由主站、通信信道、采集終端3部分組成,其組成結構如圖1所示。

圖1 用電信息采集系統組成結構

用電采集系統終端包括電能計量裝置及采集終端、集中器、采集器等。各種終端作為獲取用電數據的源頭,數據泄密和病毒感染以及惡意篡改等情況層出不窮。采用傳統的安全防護技術(如防火墻、入侵檢測和殺毒軟件)進行安全防護,使得整個信息系統安全保障變得更加復雜,系統維護和管理的復雜度與成本不斷提高,使用效率大大降低。因此,將可信計算技術引入終端的安全防護顯得十分必要。

2 面向用電采集終端的可信度量方案

2.1 相關概念

定義1可信度量是指以TCM為底層核心,通過適用于用電采集終端的可信度量策略對其進行可信認證的過程。

(1) 模型對“可信”的界定,是指對平臺部件進行完整性度量,所得到的度量值與預定義值一致,即可證明該部件可信。

(2) 模型對“預定義值”的界定,是指各平臺部件在創建之初或未被使用時得到的完整性度量序列[3-4]。其所有的度量序列集合構成了本模型所需的預定義基準值。

定義2可信根是模型信任的起點,是判定平臺是否可信的依據。

在概念化模型中,可信根是判定終端平臺可信狀態的源點,通過信任根執行平臺完整性度量功能,確保信任鏈傳遞過程是可信賴的。

2.2 可信采集終端架構

由于目前用電采集終端平臺體系結構相對簡單,而且軟件本身容易受到攻擊,因此利用操作系統或安全軟件無法有效解決計算平臺的可信賴問題。

終端可信平臺的主要設計思想是在信息終端的物理主板上設置一個安全芯片,作為安全底層模塊[5],配合系統軟件以保護主機的安全。其中,適用于用電采集系統的可信計算架構平臺如圖2所示。

圖2 用電采集系統可信采集終端架構

在可信計算平臺標準的實施規則中,可信終端應包括以下4個功能與屬性:一是確保用戶唯一身份、權限、工作空間的完整性/可用性;二是確保硬件環境配置、操作系統內核、服務及應用程序的完整性;三是確保密鑰操作和存儲的安全;四是確保系統具有免疫能力,從根本上阻止病毒和黑客等軟件的攻擊。

2.3 構建思路

可信計算的研究核心是可信度量問題,可信度量是判定對象是否可信的一種方法,是對終端安全性的一種量化分析。可信度量通俗來說就是根據預定義的規則和標準,采用適用的方法對終端的各組件對象的屬性進行測試、分析,并將所得度量值與預期度量值匹配,若符合預定義標準,則可證明該終端可信。其構建思路如下。

(1) 確定預期標準 確保終端平臺的狀態、功能、行為與結果時刻滿足用戶對用電采集終端的運行期望。預期標準可以通過多種形式描述,其度量標準選擇的好壞決定了判定終端可信的準確程度。本文以非易失性存儲器[6]中存儲的散列值為標準值,通過相應的度量策略對終端各組件進行認證匹配,若兩次得到的哈希值一致,則可以判定為可信。

(2) 確定度量策略 對影響終端的各種因素進行綜合分析,制定可行的可信度量策略對終端進行可信判定[7]。在實施階段需要提出一種度量策略與標準,將其應用到度量對象上,并得到一組度量值。

(3) 進行可信認證 根據各度量對象對可信需求程度的不同,采用合適的評判度量方案對各組件進行完整性度量。

可信度量認證體系如圖3所示。

圖3 可信度量認證體系

3 面向用電采集終端的可信度量實施方案

3.1 TCM安全芯片

TCM是我國自主研制的可信安全芯片。它提供了獨立的密碼算法支撐,是可信計算平臺[8]最重要的核心部件。在可信規范方面,TCM通過引入對稱算法(SMS4)保護用電采集終端的數據,還使用了公鑰和對稱密鑰混合的密鑰保護體系結構。用電采集終端作為獲取用電數據的源頭,數據泄密和病毒感染以及惡意篡改等情況層出不窮。為保障用電數據的真實性、完整性以及機密性,將TCM嵌入用電采集終端就顯得尤為重要。基于TCM平臺的密碼算法如圖4所示。

圖4 基于TCM平臺的密碼算法

TCM提供的密鑰類型[9]及功能如表1所示。與國外研制的芯片相比,TCM的主要特點是在存儲密鑰和綁定密鑰方面支持對稱加密算法,同時也增加了平臺密鑰類型,從而能更好地應用于用電采集終端。

表1 TCM密鑰類型及功能

3.2 基于TCM的可信度量過程

3.2.1 可信度量的運算和存儲過程

可信度量的運算過程本質上就是利用哈希函數進行運算。哈希算法可以將用電采集終端對象中任意長度的數據,通過哈希運算,變換成固定長度的散列值,而可信度量的存儲過程是將得到的哈希值保存到可信計算平臺狀態寄存器(Platform Configuration Register,PCR)中。此過程是用電采集終端完整性度量策略中數據在各個模塊間傳輸的核心方法。

若用公式的表示方法為:PCR新值=摘要(PCR舊值‖擴展的數據)[10],其含義就是將新度量得到的值連接到已經生成的PCR值上,并將合并后的新值進行哈希運算,最后用得到的新值替換舊的PCR值。整個過程是通過TCM中存儲的調用函數Tspi_TCM_PcrExtend來完成的。此函數具有對PCR值擴展的功能,通過可信密碼服務模塊調用TCS層的Tcsi_LogPcrEvent函數和Tcsi_Extend函數。其流程如圖5所示。

圖5 可信度量的運算和存儲流程

3.2.2 終端完整性證明策略

基于屬性的遠程證明[11]改善了二進制遠程證明效率較低、配置隱私易泄露等多種問題,是嵌入式終端可信度量領域最值得研究的方向。目前,用電采集終端完整性度量的研究已經漸漸向實用性、可擴展性方面發展,基于屬性的遠程證明作為目前最為實用高效的證明方法,將其引入用電采集終端,可有效保障用電數據采集與傳輸環節中數據的真實性及機密性。基于屬性的證明方法是通過度量用電采集終端的可信屬性,而不用度量其具體的配置。基于屬性的遠程證明方法模型是借助一個中間介質來區分屬性的可信級別,并以頒發屬性信任證書的形式實現區分。圖6為基于屬性的遠程證明方案。

圖6 基于屬性的遠程證明方案

圖6中,度量代理模塊(VP)相較于被度量終端(H)是二進制度量平臺的身份,對于可信度量平臺(V)來說是一個基于屬性的被度量平臺。

(1) 度量者向VP首先提出遠程證明的請求,請求內容包括隨機數n,被度量平臺屬性的AIK證書,以及可信度量策略TPv;

(2) VP收到請求后,可向H發送n和AIK;

(3) TCM提取對應的 PCR值給H;

(4) TCM通過AIK的私鑰通過上述運算函數對PCR值和n簽名后,發送給終端;

(5) H向VP提供通過AIK簽名的度量事件日志以及TCM的Q值;

(6) VP通過再次計算log,保證正確的Q值,并向PC申請屬性信任證書;

(7) PC通過V遞交的TPv核實真實性,并對H發布屬性信任證書。

4 實驗結果分析

由于可信度量方案對各個文件的度量方法是一致的,因此可選擇Sample文件作為實驗分析的輸入數據。將Sample文件作為輸入數據并計算其哈希值,然后將其存儲到非易失性存儲器中,最終將包含PCR值和事件的可信度量報告一起發送給驗證方。驗證方可以從簽名中提取PCR的哈希值與度量日志中計算得到的哈希值進行比較,兩者結果若一致,則可證明輸入數據的可信性。表2為完整性度量過程。

表2 完整性度量過程

5 結 語

本文將可信計算技術引入用電采集系統的建設中,在終端的可信度量環節引入基于TCM的遠程屬性證明方案,并在方案中加入度量代理模塊,即可通過發送平臺的安全屬性來證明平臺的可信度,而不必再直接發送平臺的具體配置給驗證者,這樣就可以保證被驗證平臺的隱私不暴露給驗證者。對于平臺的維護方面,無論是平臺硬件更新還是軟件升級,只要更新后的平臺仍能滿足驗證者安全屬性的要求即可,這樣驗證者只要驗證屬性安全級別而不必保存各種可信平臺的具體配置,由此解決了平臺的擴展性問題。經過理論及實驗分析表明,本方案的引入,保障了用電采集終端可信認證更高的效率以及可信性,對于后續研究具有一定的指導意義。