基于改進(jìn)AES 的配電智能終端數(shù)據(jù)混合加密研究

吳旦，郭志誠，何炬良，謝小瑜，尹湘源

（南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東廣州 510663）

電網(wǎng)智能化是配電網(wǎng)未來發(fā)展趨勢(shì)，智能配電站是電能能量轉(zhuǎn)換與管理的核心平臺(tái)，也是配電網(wǎng)運(yùn)營的重要節(jié)點(diǎn)，配電站的安全運(yùn)營關(guān)系到國家電能運(yùn)營安全性，直接影響國民經(jīng)濟(jì)與社會(huì)發(fā)展。近年來，配電網(wǎng)的安全事故頻現(xiàn)，供電設(shè)施受損，配電智能終端系統(tǒng)的信息安全需要受到更多關(guān)注，因此對(duì)配電智能終端的加密十分必要。

對(duì)于配電智能終端數(shù)據(jù)混合加密，一些學(xué)者進(jìn)行了研究。文獻(xiàn)[1]以改進(jìn)AES 和ECC 算法以及混合密碼理論對(duì)變電站數(shù)據(jù)進(jìn)行加密，通過AES 擴(kuò)展密鑰和構(gòu)造S 盒，以此增強(qiáng)計(jì)算的穩(wěn)定性，對(duì)列混淆計(jì)算也進(jìn)行優(yōu)化，提升計(jì)算的執(zhí)行效率，但該方法可靠性和實(shí)時(shí)性低，無法滿足配電智能終端數(shù)據(jù)安全的要求。文獻(xiàn)[2]設(shè)計(jì)了一種數(shù)據(jù)分析篡改攻擊下配電傳輸數(shù)據(jù)安全保密方法，對(duì)各種數(shù)據(jù)分析篡改攻擊的類型進(jìn)行研究，利用GEP 算法篩選城市配電網(wǎng)的各種數(shù)據(jù)，并在其中消除混入的攻擊者數(shù)據(jù)包，使用ECC-AES 結(jié)合計(jì)算各種明文的密碼，但數(shù)據(jù)安全性較差。為了解決傳統(tǒng)方法中存在的問題，該文基于改進(jìn)AES 提出了一種新的配電智能終端數(shù)據(jù)混合加密方法。

1 配電智能終端數(shù)據(jù)加密密鑰生成

生成配電智能終端數(shù)據(jù)加密密鑰，通過密鑰來對(duì)配電智能終端數(shù)據(jù)進(jìn)行加密[3-4]。對(duì)AES 算法進(jìn)行改進(jìn)，將明文分組，每組明文總長度為128 bit，將密鑰寬度分為三種，依次是128、192、328 bit，對(duì)應(yīng)的迭代輪數(shù)依次是10、12、14 AES，迭代流程如圖1 所示。

圖1 迭代流程

根據(jù)圖1 可知，首先進(jìn)行字節(jié)替換，使用S 盒進(jìn)行查表，把狀態(tài)矩陣中的字節(jié)轉(zhuǎn)換成另一種字節(jié)；然后通過左循環(huán)實(shí)現(xiàn)位移操作；最后進(jìn)行列混淆，通過算數(shù)列分析數(shù)據(jù)，判斷是否滿足生成密鑰要求，如果滿足則進(jìn)行輪密鑰，在當(dāng)前分組下按位進(jìn)行異或運(yùn)算，如果不滿足則重新返回到第一步字節(jié)替換[5-6]。

明文分組后，對(duì)初始密鑰進(jìn)行異或運(yùn)算，其過程逐漸與迭代過程相似，初始密鑰異或運(yùn)算后與迭代的唯一不同為不需要經(jīng)過列混淆來進(jìn)行判斷，其解密步驟為密鑰生成的逆運(yùn)算[7-8]。初始密鑰由32 個(gè)bit 組成，記作wi(i=1,2,…,32），通過擴(kuò)展異或運(yùn)算獲得所有密鑰。將所有密鑰排列后建立坐標(biāo)系，通過建立AES 橢圓曲線方程對(duì)所有密鑰進(jìn)行運(yùn)算，AES 橢圓曲線方程的域如式（1）所示：

其中，Y為橢圓曲線方程的域；?為域中的代表點(diǎn)；a表示橫向系數(shù)；b表示縱向系數(shù)。

a與b的關(guān)系滿足如下公式：

其中，C表示為橢圓曲線方程常量。經(jīng)過上述計(jì)算后，相鄰兩輪密鑰以及同一輪密鑰之間的關(guān)聯(lián)性都會(huì)減弱，通過確定系數(shù)之間的關(guān)系提高密鑰安全性，攻擊者即使得到某一輪密鑰，也無法得到全部的數(shù)據(jù)密鑰，有效保證加密效果[9-10]。

2 配電智能終端數(shù)據(jù)加密

對(duì)AES 算法改進(jìn)并得到加密密鑰之后，對(duì)配電智能終端數(shù)據(jù)進(jìn)行加密。該文引入加密粒度對(duì)配電智能終端數(shù)據(jù)加密，加密粒度代表數(shù)據(jù)加密的最小單位，加密粒度越小，加密強(qiáng)度越高，加密過程就越困難。加密粒度的計(jì)算通過三個(gè)步驟完成。

第一步：將配電智能終端數(shù)據(jù)文檔作為加密文件的最小單元，將加密密鑰和改進(jìn)后的AES 加密算法結(jié)合形成初始密文，確保加密資料的安全與完整。

第二步：通過查詢配電智能終端的數(shù)據(jù)記錄信息，尋找系統(tǒng)中存放的實(shí)體數(shù)據(jù)，由于第一步對(duì)數(shù)據(jù)文檔已經(jīng)生成了初始密文，在尋找到實(shí)體數(shù)據(jù)后，使用加密密鑰、AES 加密算法、初始密文對(duì)實(shí)體數(shù)據(jù)進(jìn)行處理，并儲(chǔ)存在配電智能終端數(shù)據(jù)文檔中[11-12]。

第三步：對(duì)實(shí)體數(shù)據(jù)完成處理后，對(duì)實(shí)體數(shù)據(jù)進(jìn)行分析，將實(shí)體數(shù)據(jù)拆解成字段形式，通過計(jì)算拆解后字段的數(shù)量完成對(duì)加密粒度的計(jì)算[13-14]。加密粒度計(jì)算如式（3）所示：

其中，E表示加密粒度；i代表實(shí)體數(shù)據(jù)數(shù)量；m表示拆解后的字段數(shù)量。

完成加密粒度的計(jì)算后，進(jìn)行配電智能終端數(shù)據(jù)加密，其主要通過三層加密完成，即系統(tǒng)加密、服務(wù)器加密和客戶端加密。三層加密過程如圖2 所示。

圖2 三層混合加密過程

第一層：操作系統(tǒng)加密。操作系統(tǒng)無法識(shí)別配電智能終端數(shù)據(jù)文檔中的數(shù)據(jù)關(guān)系，因此需要將操作系統(tǒng)的數(shù)據(jù)存入特定的儲(chǔ)存器中，儲(chǔ)存器通過加密密鑰設(shè)立密文，在儲(chǔ)存器中對(duì)操作系統(tǒng)的數(shù)據(jù)進(jìn)行加密，如式（4）所示：

其中，U(x)代表操作系統(tǒng)數(shù)據(jù)儲(chǔ)存器加密結(jié)果；x表示加密數(shù)據(jù)；u1表示操作系統(tǒng)數(shù)據(jù)儲(chǔ)存器加密單元容量；u2表示儲(chǔ)存單元容量；u3表示密鑰單元容量；u4表示密文單元容量。對(duì)操作系統(tǒng)數(shù)據(jù)加密后，儲(chǔ)存器系統(tǒng)將每個(gè)密文信息傳輸?shù)脚潆娭悄芙K端數(shù)據(jù)文檔中，需要解密時(shí)則從反方向進(jìn)行解碼[15-16]。

第二層：服務(wù)器加密。結(jié)合操作系統(tǒng)在服務(wù)器中對(duì)配電智能終端數(shù)據(jù)進(jìn)行加密，形成管理端的雙重加密，提升管理端的安全性。在服務(wù)器中加密需要運(yùn)行配電智能終端數(shù)據(jù)管理系統(tǒng)，在數(shù)據(jù)文檔物理儲(chǔ)存前完成數(shù)據(jù)加密，加密文檔在服務(wù)器端運(yùn)行時(shí)，服務(wù)器負(fù)載加重，加密文檔與配電智能終端數(shù)據(jù)管理系統(tǒng)耦合性下降。由于該文采用的加密算法為改進(jìn)AES 后的加密算法，在加密文檔與配電智能終端數(shù)據(jù)管理系統(tǒng)耦合性下降時(shí)可更好地加密文檔數(shù)據(jù)，并在加密后可以有效提升兩者的耦合性，使加密后的數(shù)據(jù)完全存放于配電智能終端數(shù)據(jù)管理系統(tǒng)服務(wù)器中。其加密原理由下列公式表示：

其中，a1表示操作系統(tǒng)橫向加密參數(shù)；b1表示操作系統(tǒng)縱向加密參數(shù)；a2表示服務(wù)器橫向加密參數(shù)；b2表示服務(wù)器縱向加密參數(shù)；a3表示加密文檔橫向加密參數(shù)；b3表示加密文檔縱向加密參數(shù)。

第三層：客戶端加密。對(duì)客戶端的加密是該文提出的基于改進(jìn)AES 的配電智能終端數(shù)據(jù)混合加密最后一層加密程序，前兩層加密是對(duì)操作系統(tǒng)與管理端進(jìn)行加密，防止攻擊者入侵，而對(duì)于客戶端的加密則是重點(diǎn)關(guān)注用戶的配電數(shù)據(jù)安全。在客戶端進(jìn)行加密不會(huì)增加配電智能終端數(shù)據(jù)服務(wù)器的負(fù)荷，客戶端作為配電智能終端的最外層操作系統(tǒng)，其運(yùn)行遵照數(shù)據(jù)安全的規(guī)則，因此對(duì)于客戶端的加密是通過客戶端自主運(yùn)行加密文件完成的。將加密密鑰與加密算法寫入加密文件中，當(dāng)客戶端運(yùn)行時(shí)，加密文件自動(dòng)打開，自行加密配電智能終端內(nèi)部數(shù)據(jù)，并可將客戶端的信息傳輸至管理端服務(wù)器中進(jìn)行二次加密，以此實(shí)現(xiàn)配電智能終端數(shù)據(jù)混合加密。

3 實(shí)驗(yàn)研究

為進(jìn)一步驗(yàn)證基于改進(jìn)AES 的配電智能終端數(shù)據(jù)混合加密方法的實(shí)際應(yīng)用效果，進(jìn)行了實(shí)驗(yàn)設(shè)計(jì)。選用的操作系統(tǒng)為Windows10，采用的編碼語言為C++語言，實(shí)驗(yàn)操作頻率為3.0 GHz，工作電壓為100 V，工作電流為200 A。同時(shí)采用基于RAS 算法數(shù)據(jù)混合加密方法和基于ECC 算法的數(shù)據(jù)加密方法進(jìn)行實(shí)驗(yàn)測(cè)試。在不同大小的數(shù)據(jù)包下，三種加密方法的密鑰生成時(shí)間實(shí)驗(yàn)結(jié)果如表1 所示。

表1 密鑰生成時(shí)間實(shí)驗(yàn)結(jié)果

根據(jù)表1 可知，只有該文提出的基于改進(jìn)AES 的配電智能終端數(shù)據(jù)混合加密方法密鑰生成時(shí)間沒有受到數(shù)據(jù)包大小的影響，傳統(tǒng)的RAS 算法和ECC 算法的密鑰生成時(shí)間都隨著數(shù)據(jù)包變大而逐漸增加。

對(duì)改進(jìn)后的AES 加密方法和未改進(jìn)前進(jìn)行對(duì)比，密鑰改良前后運(yùn)算次數(shù)對(duì)比如圖3 所示。

圖3 密鑰改進(jìn)前后運(yùn)算次數(shù)對(duì)比

根據(jù)圖3 可知，改進(jìn)前的密鑰擴(kuò)展算法使第一輪擴(kuò)充密鑰中需要窮舉攻擊的次數(shù)達(dá)到400 次，運(yùn)算次數(shù)和改進(jìn)后的算法相比明顯減少，以此說明改進(jìn)后的AES 算法具有較高的運(yùn)算效率。由此可知，改進(jìn)后的AES 算法具有較高的運(yùn)算速度，運(yùn)算過程中對(duì)客戶端不造成太大的運(yùn)算壓力。在用戶輸入數(shù)據(jù)時(shí)，改進(jìn)AES 的客戶端應(yīng)用程序直接對(duì)敏感數(shù)據(jù)進(jìn)行加密，將加密后的密文直接插入到配電智能終端數(shù)據(jù)中，所以具有較高的運(yùn)算效率。

同時(shí)采用木馬攻擊對(duì)三種方法的加密過程進(jìn)行入侵，分析三種不同方法的外來入侵信息阻擋率和阻擋耗時(shí)，得到的實(shí)驗(yàn)結(jié)果如表2、表3 所示。

表2 外來入侵信息阻擋率

表3 外來入侵信息阻擋耗時(shí)

觀察上表可知，隨著入侵時(shí)間的增加，傳統(tǒng)RAS算法和ECC 算法的加密能力都有所下降，對(duì)于外來信息的阻礙能力逐漸減弱，而該文提出的基于改進(jìn)AES 加密方法由于采用三層加密的方式，因此完全滿足配電智能終端對(duì)于數(shù)據(jù)安全的要求，極大地提升了用戶數(shù)據(jù)的安全，在短時(shí)間內(nèi)能夠成功阻隔99%以上的外來入侵信息。

4 結(jié)束語

目前，配電智能終端數(shù)據(jù)安全問題已成為當(dāng)前配電網(wǎng)領(lǐng)域的重要研究課題，改進(jìn)的AES 算法具備簡(jiǎn)單、快捷、穩(wěn)定性較高等特征，該文基于改進(jìn)AES算法進(jìn)行數(shù)據(jù)混合加密通過生成加密密鑰完成對(duì)配電智能終端數(shù)據(jù)的加密，采用三層加密提高數(shù)據(jù)的安全性。