一種低壓臺區本地HPLC+RF雙模自組織通信網絡身份認證方法

薛激光,王珺,張笑怡,范宇辰,瞿俊吉

(1.國網遼寧省電力有限公司營銷服務中心(計量中心),沈陽 110168;2.國網遼寧省電力有限公司沈陽供電公司,沈陽 110052)

0 引 言

隨著新型電力系統建設推進,多樣化的新型電源、負荷無序性、隨機性接入低壓配用電網,導致低壓配用電網供需兩側波動性增強、新能源就地消納壓力大。借助數字化技術,傳統低壓配電網正向信息物理高度耦合的智慧配電網形態發展,催生了負荷高峰時段需求響應、光儲充一體化微電網柔性控制、車樁網能量互動等“源網荷儲”友好互動,電網異常與故障精準感知等新業務[1-2]。智慧配電網離不開一張靈活接入、高效安全的本地通信網絡,承載低壓配電網各類業務終端電量計量、運行控制、環境感知等異構數據交互[3]。

低壓配電網線路復雜、智能智能終端設備點多面廣、類型繁多,采用高速電力線載波技術(high speed power line communication, HPLC)隨低壓線路延伸至用戶負荷側,具有多元設備接入靈活、投資小、易于部署等優勢[4]。目前,高速電力線載波技術已采用統一數據鏈路層與無線射頻通信技術(radio frequency, RF)融合形成一張本地雙模自組織通信網絡[5-9]。采用雙模混合路由協議,能夠實現載波與無線兩種通信方式多層級中繼轉發。雙模通信設計了中央協調器(central coordinator, CCO)、代理協調器(proxy coordinator, PCO)和站點(station, STA)三種網絡節點角色,CCO具有唯一性,PCO具有多級級聯特性,STA可根據最末端接入需求向PCO角色轉換,從而實現多級自組織彈性網絡。本地雙模通信自組織網絡可覆蓋從配電變壓器、低壓線路直至擴展到用戶表計等整個臺區。

本地雙模自組織通信網絡可根據業務覆蓋需要靈活伸縮網路拓撲、覆蓋靈活,便于終端側網絡自動識別與即插即用,但其開放互聯、多級中繼的特點給網絡安全防護帶來諸多困難。一方面,本地自組織網絡對外開放,來自用戶側分布式光伏逆變器、充電樁、園區微電網能源控制網關等大量外部非可信資產接入,導致網絡易受到外部非法攻擊,如挾持終端設備進行網絡滲透,采取中間人方式嗅探獲取重要的電網與用戶隱私數據,或利用大量終端設備0day漏洞發起針對網絡或者平臺的DDOS攻擊。另一方面,低壓配電網本地雙模自組織網絡頻段資源、功耗受限,隨著本地自組織網絡級數增加,多次跨越本地通信、遠程通信的集中式安全交互機制將給網絡帶來難以承受的資源消耗負擔。

近年來,針對低壓配電網網絡安全防護技術吸引了大量學者開展相關研究,取得了諸多成果。文獻[10]針對用戶用能互動應用領域,從保密性、完整性和可用性等信息安全需求出發,提出了高級量測系統可用性評估、密鑰管理和異常行為檢測方法。文獻[11]提出一種適用于費控電能表停復電、遠程校時等敏感業務的集中式安全防護方案,該方案采用專用加密芯片實現了包含用電信息采集主站、采集終端、電能表三級身份認證及數據加密。文獻[12]提出了一種基于LU對稱矩陣的新型密鑰管理方案,該方案可應用于主站、集中器及電能表三者之間快速安全集中式認證。然而,上述研究主要針對現有低壓配電網集中式加密認證算法及其輕量化改善方法,未考慮本地自組織網絡多級拓撲下安全交互帶來的資源消耗問題。同時,現有研究一般針對集中器與末端設備的身份互信,未考慮本地自組織網絡最邊緣代理PCO與終端的雙向認證。

綜上,文中針對本地雙模通信動態可擴展網絡拓撲開展身份認證方法研究,在確保安全防護效力前提下,降低安全機制處理時延及對網絡通信資源的消耗。首先,文中介紹了低壓配電網HPLC+RF雙模自組織通信網絡組網架構,分析了現有網絡安全防護措施在應對低壓源網荷儲互動外部設備接入方面存在的不足。接著,提出了一種適應本地自組織通信網絡多級傳輸的高效身份認證方法。最后,通過對文中提出的身份認證方法進行安全防護性能分析及仿真計算后,得出全文結論。

1 現有低壓臺區本地設備接入身份認證問題分析

低壓臺區是指一臺變壓器的供電范圍或區域,包括從變壓器一直到用戶側,是直接面向電力客戶的一個環節。低壓臺區中包含了臺變部分,低壓分支線路部分以及用戶部分。臺區在每個分路配置智能斷路器/智能漏電保護器或者分路監測單元,在站房內和配變本體配置測溫等傳感器設備。在線路側,配置智能斷路器/故障監測單元。在用戶側,除常規動力、照明負荷,還包括分布式新能源和充電樁等設備(見圖1)。

圖1 低壓配用電網應用場景

低壓配用電網臺區采用HPLC+RF雙模通信自組織網絡,利用無線電磁波與電力線載波為傳輸媒介,融合HPLC和無線RF通信,為臺區邊端設備之間提供數據交互的通信網絡。該自組織網絡采用開放式體系架構,以中央協調器CCO為中心,通過無線電磁波與電力線載波連接所有代理協調器PCO和站點STA,形成多級、彈性可擴展的網絡拓撲(見圖2)。

現有用電信息采集系統已制訂了適用于電能表數據采集的身份認證系列規范。如圖3所示,文中稱第N級PCO為末級PCO、第N-1級PCO為前級PCO。圖中利用電力線載波通信的CCO與STA之間信息交互采用基于地址信息的白名單認證機制,實現了CCO對STA身份合法性的認證[13]。主站與終端之間信息交互則按照Q/GDW 10376.1—2019 《用電信息采集系統通信協議 第1部分：主站與采集終端》規定的非對稱密鑰算法和對稱密鑰算法的混合密碼系統[14];其中對稱密鑰算法主要用于通信數據的加密、解密,非對稱密鑰算法主要用于身份鑒別、密鑰協商、對稱密鑰的更新。而主站與STA之間關鍵業務信息交互時,采取基于安全加密卡的遠程驗簽方式實現STA對主站合法性的認證[15],如費控電能表停復電指令。

圖2 HPLC+RF雙模通信自組織網絡拓撲

圖3 低壓臺區本地設備接入現有安防措施示意圖

從以上主站、CCO、各級PCO和STA之間身份認證流程來看,現行標準規范已建立較完整的低壓臺區設備安全認證機制。但隨著源網荷儲互動業務的發展,低壓配用電網多元業務終端將大幅增加,跨域業務協調互動愈來愈緊密,“表前”、“表后”歸屬多投資主體設備接入對現行標準的安全防護體系帶來沖擊。

一方面,當接入外部資產時,僅采用基于白名單機制的本地身份認證安全防護強度不夠,過去電能表、采集器均為電網投資資產,在現場安裝應用之前已經經過嚴格的檢定;而針對用戶投資的外部設備接入,現有由電網主導的安全檢測管理要求難以覆蓋,可能存在多級PCO、STA被惡意挾持、多級PCO進行協議嗅探、中間人攻擊的風險。

另一方面,若對外部設備接入身份認證流程進行加強,目前可供參考的是文獻[14]主站與采集終端間身份認證流程,該流程屬于集中式認證方式,不適應本地外部設備接入。因為隨著位置分散多元終端接入,本地雙模通信自組織網絡拓撲級數加深,身份認證協議傳輸轉發次數增加,集中式認證方式將增加更多的回傳鏈路帶寬消耗,同時由于逐級傳輸的各級PCO均涉及處理時延,身份認證時間將逐級增長,影響安全交互流程整體執行效率。

2 適應動態拓撲調整的二階段身份鑒別方法設計

為了解決現行低壓臺區設備接入身份認證不能完全適應未來外部設備接入需求的難題,本節設計一種可滿足雙模通信自組織網絡拓撲動態調整的身份鑒別方法,該方法旨在利用盡可能少的本地通信傳輸資源,實現STA與雙模通信自組織網絡之間的身份互信。仍考慮終端通過N級PCO中繼到達CCO的典型接入場景。文中設計的分布式認證流程見圖4中虛線框出部分。文中提出的身份鑒別方法分為兩個階段。第一個階段為CCO至前級PCO信任傳遞授權,第二階段為前級PCO、末級PCO、STA對等身份認證(見圖4)。

圖4 基于信任傳遞的HPLC+RF雙模通信自組織網絡身份認證方法流程圖

2.1 第一階段信任傳遞授權流程設計

本階段流程描述如下：

1)網絡發現。STA上電后通過搜索載波及無線網絡,發現代理距離其較近、信號質量好的末級PCO代理信標,獲得入網參數并選擇載波或無線請求入網。

2)STA地址信息透傳。STA入網后將MAC地址信息通過雙模網絡傳遞至CCO。

3)STA白名單認證確認(透傳)。CCO通過查找白名單初步確認該STA為允許接入終端,若確認其為合法地址,則將白名單確認結果發送至末級PCO。

4)CCO信任授權末級PCO、STA證書傳遞。CCO從主站證書管理系統請求末級PCO及STA身份證書發送至前級PCO。至此,前級PCO將被CCO授權作為第三方認證,并與末級PCO、STA構成三級對等身份認證,完成末級PCO和STA之間的身份雙向互認定。末級PCO獲得STA地址確認結果后判定是否允許STA進入身份鑒別階段。

2.2 第二階段對等身份認證流程設計

1)前級PCO發送身份鑒別啟動指令。

前級PCO在獲得CCO發送過來的末級PCO及待認證STA身份證書后,正式獲得發起三方認證的授權,向末級PCO發送身份鑒別啟動指令,連同自己的身份證書發送至末級PCO。

P-PCO→F-PCO：CertP-PCO

(1)

其中,P-PCO表示前級PCO,F-PCO表示末級PCO,下同;CertP-PCO為末級PCO證書。

2)末級PCO發送身份鑒別啟動指令。

末級PCO在收到前級PCO的身份鑒別啟動指令后,向STA發送身份鑒別啟動指令,至此,前級PCO、末級PCO以及STA均做好了對等認證準備。在末級PCO發送身份鑒別啟動指令的同時,連同將自己的身份證書CertF-PCO發送至STA。

F-PCO→STA：CertF-PCO

(2)

3)STA身份鑒別請求。

STA在接收到來自末級PCO的身份鑒別啟動指令后;生成隨機數RNSTA,獲取身份鑒別啟動指令到達時間戳TSF-PCOSTA。本地雙模通信自組織網絡按照網絡協議規范[13,16-17],CCO、前級PCO、末級PCO以及STA均已通過物理層信號同步方式與網絡基準時間保持時間同步[18-19]。接著,STA將自身的證書CertSTA、隨機數RNSTA、時間戳TSF-PCO→STA,以及它們的簽名加密數據返回給末級PCO,STA采用的簽名算法已在末級PCO的證書CertF-PCO中申明,且加密密鑰為末級PCO的公鑰PubF-PCO。

STA→F-PCO：

(3)

4)末級PCO身份鑒別請求。

末級PCO在接收到STA發過來的身份鑒別請求消息后,采用事先存儲的私鑰PriF-PCO解密,并通過約定的簽名算法驗簽;在確認簽名合法后,生成隨機數RNF-PCO,獲取STA發送的身份鑒別請求消息到達的時間戳TSSTA→F-PCO。末級PCO對STA發送過來的數據首先驗證STA簽名是否合法,同時計算時間戳差值TSF-PCO→STA-TSSTA→F-PCO,若差值小于預設值,則判定驗簽通過,否則認定STA為非法接入節點。在確定STA為合法簽名方之后,末級PCO將身份證書CertF-PCO、STA身份證書CertSTA、隨機數RNF-PCO、RNSTA以及時間戳TSSTA→F-PCO等數據簽名后,利用前級PCO的公鑰PubP-PCO加密后發送至前級PCO。

F-PCO→P-PCO：

(4)

5)末級PCO身份鑒別響應。

前級PCO在接收到末級PCO身份鑒別請求后,獲取指令到達時間戳TSF-PCO→P-PCO,并采用簽名算法和私鑰對收到的請求報文信息進行驗簽和解密。前級PCO首先驗證簽名是否為末級PCO真實簽名,其次比對差值TSF-PCO→P-PCO-TSSTA→F-PCO,當簽名認證通過且時間差值小于預設值時,則判定末級PCO身份合法,否則中止當前身份認證流程并通知末級PCO、STA重新發起認證,若經過多次認證流程仍未通過,則拒絕STA后續入網認證請求。在確定驗簽通過且時間差值小于預設值后,前級PCO根據CCO信任授權機制,驗證末級PCO、STA證書合法性,將末級PCO、STA證書認證結果AuF-PCO,AuSTA、隨機數RNF-PCO、RNSTA以及它們的簽名加密后生成末級PCO身份鑒別響應消息發送至末級PCO,加密密鑰采用末級PCO公鑰PubF-PCO。

P-PCO→F-PCO：

(5)

6)STA身份鑒別響應。

末級PCO接收到末級PCO身份鑒別響應消息,利用自身私鑰解密后,驗證數字簽名是否為合法前級PCO,查看證書認證結果是否為通過,比對隨機數RNF-PCO與之前發送值是否一致,若存在任一不合格則判定身份鑒別異常,中止后續流程,并向前級PCO、STA發起重新鑒別流程,多次鑒別失敗后則禁止STA繼續身份認證請求。當數字簽名驗證通過、證書認證結果通過、隨機數比對一致時,末級PCO將末級PCO、STA證書認證結果AuF-PCO,AuSTA、隨機數RNSTA以及它們的簽名加密后生成STA身份鑒別響應消息發送至STA,加密密鑰采用STA公鑰PubSTA。

F-PCO→STA：

(6)

7)STA認證網絡身份。

STA接收STA身份鑒別響應消息,驗證末級PCO簽名、末級PCO證書鑒別結果、STA證書鑒別結果均合法后,比對隨機數RNSTA與之前發送值是否一致,當上述驗證均通過時,STA則認為網絡身份合法,否則拒絕通過末級PCO入網,重新發起身份認證流程,再多次失敗后終結入網,至此前級PCO、末級PCO、STA之間對等身份鑒別流程結束。

3 實驗結果與分析

文中提出的基于信任傳遞的自組織網絡身份認證方法,采取終端獨有身份信息生成證書,具有唯一性特點,可防止證書盜用、偽造等風險。自組織網絡的認證中心隨著網絡規模的任意增長,逐級下沉至靠近終端側的可信任代理節點,即前級PCO;并由終端STA、末級PCO、前級PCO構建認證鏈,可以有效降低非法終端頻繁向主站發起認證請求,降低了主站受DDoS攻擊風險。在身份認證交互流程中,對安全認證交互消息嵌入報文到達時間戳、隨機數等數據元,可有效降低抗重放攻擊風險;同時在逐級安全消息傳遞過程中,充分利用簽名、公私鑰確保消息源合法性、數據完整性,防止認證交互過程中可能出現的消息篡改、竊聽等攻擊。

考慮一個典型臺區內用戶表計、設備在線監測傳感器及分支開關等電力設備通過雙模通信自組織網絡開展數據傳輸的典型應用場景,仿真在不同終端規模、不同網絡層級條件下終端STA入網身份認證交互資源消耗情況,以及主站集中式認證方式與文中所提算法資源消耗的對比,從而驗證文中所提算法的高效性。文中資源消耗的度量值采用歸一化計算方式,令本地單級通信鏈路為1,遠程通信鏈路因采用無線公網,傳輸帶寬大,令其為0.5。

在本地自組織網絡3級、5級、7級中繼深度條件下,終端STA入網認證交互資源消耗對比仿真圖。如圖5所示,隨著網絡拓撲中繼深度增加,文中設計方法較集中認證方法的認證交互資源消耗量節約量不斷擴大,這是由于文中所提信任傳遞機制將大部分交互下沉至本地,減少了主站、CCO之間的遠程通信資源消耗,以及各級PCO轉發安全交互信息帶來的本地通信資源的消耗。下文詳細對比集中式與分布式認證交互流程對遠程及本地通信鏈路資源消耗的情況。

圖5 集中式認證方案

對比圖5中集中式認證方案以及文中提出的分布式認證方案(見圖4)可知：在開始正式認證交互之前,分布式認證方式較集中式認證方式多了一個額外的CCO獲取末級PCO、終端證書并發送至前級PCO過程,即額外消耗1次遠程通信鏈路資源和N-1次本地通信鏈路資源。終端完成身份認證需要3次安全交互,這就意味著,集中式認證方案需消耗3次遠程通信鏈路資源和3(N+1)次本地通信鏈路資源;而本地交互僅需使用6次本地通信鏈路資源。

由于分布式認證安全交互對本地通信鏈路資源消耗是固定的,而集中式認證安全交互會3倍于本地自組織網絡中繼級數,因此分布式認證較集中式認證大大減少了交互所需的通信鏈路資源消耗。假如忽略遠程交互鏈路消耗,那么可以得到當集中式認證資源消耗大于等于分布式交互時,有：N-1+6≤3(N+1),即當N≥1時;這就意味著只要終端(STA)不是直接通過CCO入網,而是通過中繼PCO入網,那么分布式認證較集中式認證交互資源消耗更低。

當終端規模分別為100臺、150臺、200臺時,通過蒙特卡洛仿真方法,隨機生成給定數量的臺區終端分布位置,導入典型臺區電力線載波傳信道模型及無線傳播模型[20-23],令所有終端按照組網協議自由構建多級中繼自組織本地通信網絡,仿真臺區下所有終端STA入網認證交互資源消耗平均值。圖6中的結果驗證了之前的分析結論。

圖6 不同中繼深度的終端入網認證交互資源消耗量仿真結果

如圖7所示,隨著接入終端規模的增加,雙模通信自組網拓撲平均中繼深度增加,導致單終端平均入網認證交互資源增加,文中所提方法較集中認證方法能夠有效降低資源的消耗量。

圖7 不同規模終端入網認證交互平均資源消耗量仿真結果

4 結束語

低壓臺區本地雙模通信自組織網絡隨著終端接入數量的增加,網絡規模逐漸增長,路由層級增多,終端與主站間交互鏈路加長,若采用主站集中式認證可能存在安全信息交互導致通信資源消耗過多的問題。文中提出的本地雙模通信自組織網絡身份認證方法,通過本地通信核心節點CCO信任傳遞機制逐級向下級可信任PCO委托授權,設計了由前級PCO、末級PCO、STA構成的對等身份認證框架及認證流程,能夠適應本地自組織網絡拓撲動態調整的特點。通過信任傳遞機制,可以降低主站集中遠程授權帶來的網絡通信資源消耗,在確保安全的前提下縮小安全機制處理時延,加速業務接入。

實驗結果表明改進后所得結果更能合理地反應區間內故障的信度分配,取得了更精確的分配結果,實現了基本信任分配的客觀化。