謝大平 李 延 王于波 邵 瑾

（北京南瑞智芯微電子科技有限公司 北京100192）

0 引 言

當(dāng)前中國正在大力推進(jìn)城鎮(zhèn)化的建設(shè)，因此對城市照明提出了更高的要求.由于城市路燈的耗電量占城市公用事業(yè)耗電總量的比重很大，因而路燈的節(jié)能工作是城鎮(zhèn)管理發(fā)展的必然方向。2008年8月1日開始實(shí)施的《國務(wù)院辦公廳關(guān)于深入開展全民節(jié)能行動(dòng)的通知》［國辦發(fā)（2008）106號文件］第五條中指出：“控制路燈和景觀燈照明，在保證車輛，行人安全的前提下，合理的開啟和關(guān)閉路燈……”。傳統(tǒng)路燈控制系統(tǒng)存在著無法遠(yuǎn)程操控、不能自動(dòng)遠(yuǎn)程識別故障路燈、人工作業(yè)量大等缺點(diǎn)。而智能路燈控制系統(tǒng)能夠遠(yuǎn)程控制范圍內(nèi)的任意路燈，并且能遠(yuǎn)程識別故障路燈，這極大提高故障路燈維修反應(yīng)時(shí)間。此外，智能路燈控制系統(tǒng)還能根據(jù)照明系統(tǒng)的各種電參數(shù)與運(yùn)行情況，針對不同的照明需求提供靈活多樣的控制方案，從而使得城市路燈照明更加節(jié)能［1］。

信息化是一把雙刃劍，在推進(jìn)路燈智能控制的同時(shí)也給路燈帶來潛在的安全隱患。路燈安全屬于市政與工業(yè)控制安全的范疇，當(dāng)路燈控制系統(tǒng)受到攻擊時(shí)，造成的社會(huì)影響也是難以估量的［2］。同時(shí)，考慮到智能路燈也屬于用電領(lǐng)域的一個(gè)應(yīng)用，對路燈的智能建設(shè)是智能電網(wǎng)建設(shè)的延展，因此，本文將智能電網(wǎng)建設(shè)中的安全防護(hù)經(jīng)驗(yàn)應(yīng)用到智能路燈領(lǐng)域，為路燈的智能化建設(shè)保駕護(hù)航［3］。

1 智能路燈系統(tǒng)

1.1 系統(tǒng)簡介

1.1.1 系統(tǒng)拓?fù)鋱D

智能路燈系統(tǒng)可分為主站層、通信層與終端層［4－5］三部分，其構(gòu)成框架見圖1。

1.1.2 系統(tǒng)組成

智能路燈系統(tǒng)的主站層是由主站管理系統(tǒng)構(gòu)成，它包括主站服務(wù)器、地理信息系統(tǒng)與監(jiān)控中心。其中服務(wù)器是存儲(chǔ)和管理路燈的信息；監(jiān)控中心是通過服務(wù)器向集中控制器發(fā)送指令，實(shí)時(shí)的控制每一盞路燈，同時(shí)定期輪詢檢測每盞路燈是否正常工作；地理信息系統(tǒng)是嵌入城市地圖，在系統(tǒng)上對當(dāng)?shù)厮性O(shè)備的在線情況、亮燈情況、報(bào)警情況進(jìn)行直觀監(jiān)控與快速定位，它可以針對各種異常情況在第一時(shí)間做出準(zhǔn)確定位和快速處理［4－8］。

而通信層是使用電力線載波、Zigbee、GPRS、適機(jī)認(rèn)知無線網(wǎng)絡(luò)（opportunistic mesh，OPM）［5－6］等通信方式，構(gòu)建采集器與主站之間的通信信道。

終端層是按照市政規(guī)劃，集中采集路燈的所有控制信息，它與每個(gè)路燈控制子模塊之間的通信方式采用Zigbee或GPRS或OPM等方式。每個(gè)控制模塊負(fù)責(zé)采集路燈控制信息并發(fā)送給集中器。

1.1.2 系統(tǒng)功能

智能路燈系統(tǒng)的主要功能是為路燈提供針對路燈設(shè)備的“三遙”控制。所謂“三遙”，就是“遙控”、“遙信”和“遙測”。

圖1 智能路燈系統(tǒng)拓?fù)鋱DFig.1 Intelligent road lamp system topology diagram

“遙控”功能是指對路燈設(shè)備的遠(yuǎn)程控制，此功能分為兩大部分：自動(dòng)控制和手動(dòng)控制。

“遙測”功能是指集中器具有遠(yuǎn)程收集控制終端信息。

“遙信”功能是指設(shè)備（集中器和路燈節(jié)點(diǎn)控制器）將自身的在線狀態(tài)、本地路燈的亮滅情況定時(shí)地通過巡檢的方式自動(dòng)上報(bào)給監(jiān)控計(jì)算機(jī)。路燈管理人員可以通過監(jiān)控計(jì)算機(jī)，利用本系統(tǒng)自帶的電子地圖功能，直觀地監(jiān)視設(shè)備的當(dāng)前狀態(tài)，在地圖上對發(fā)生故障的設(shè)備進(jìn)行快速定位，在盡可能短的時(shí)間內(nèi)排查故障。

1.2 工作流程

主站與集中器之間的工作流程，通過GPRS、電力線載波等方式進(jìn)行傳輸。而且當(dāng)前所有報(bào)文的傳輸都是使用公網(wǎng)進(jìn)行明文傳輸。

考慮到路燈網(wǎng)絡(luò)的線性特性，為了減低成本，通常集中器與路燈控制模塊之間的工作流程通過無線通信方式，即Zigbee、OPM等傳輸方式，并且所有報(bào)文都是使用明文進(jìn)行傳輸。

2 安全風(fēng)險(xiǎn)

2.1 主站與集中器

集中器和主站系統(tǒng)之間使用公網(wǎng)進(jìn)行通信，在集中器與主站之間傳輸數(shù)據(jù)和控制報(bào)文的時(shí)候?qū)⒚媾R安全風(fēng)險(xiǎn)，傳輸?shù)臄?shù)據(jù)有被篡改和竊取的風(fēng)險(xiǎn)。

對于下行鏈路，當(dāng)主站下發(fā)控制報(bào)文給集中器，若是被人篡改，可能會(huì)造成整體一個(gè)片區(qū)瞬間和持續(xù)的出現(xiàn)異常照明。這給城市安全帶來極大的威脅，同時(shí)減低了居民對市政的滿意度，引起社會(huì)的恐慌。

對于上行鏈路，當(dāng)集中器需要把當(dāng)前路燈的信息上報(bào)給主站時(shí)，若是被人篡改，可能會(huì)造成后臺控制中心錯(cuò)誤的調(diào)度，造成政府資源的浪費(fèi)。

2.2 集中器與路燈控制模塊

集中器與路燈控制模塊之間安全類似于集中器與主站之間，除此之外還面臨更大的安全威脅。

Zigbee／OPM等無線通信方式的安全性正在面臨巨大的威脅，使得路燈控制模塊與集中器之間的通信信息更易被竊取和篡改。隨著智慧化城市的建設(shè)加速，視頻監(jiān)控為每個(gè)市民的安全提供了保障，同時(shí)也提高了公安機(jī)關(guān)的辦案效率，提供了更豐富的證據(jù)，普通視頻監(jiān)控的有效性是依賴于路燈照明的質(zhì)量。若犯罪分子在作案之前，先破壞預(yù)選作案現(xiàn)場的路燈，那么視頻監(jiān)控系統(tǒng)將會(huì)失效。

3 安全技術(shù)

3.1 加解密技術(shù)

加解密技術(shù)通常分為對稱加密算法和非對稱加密算法［9］。

對稱加密是單鑰密碼體制，其中加密密鑰等于解密密鑰，或可以相互推導(dǎo)；按照每次加密的長度分為：序列密碼（流密碼）、分組密碼。本方案使用的對稱加密算法是分組密碼算法。

非對稱密鑰加密系統(tǒng)采用的雙鑰密碼體制，使用公鑰進(jìn)行加密而使用私鑰進(jìn)行解密的一類密碼算法，已知公鑰求私鑰在計(jì)算上不可行。常用的RSA和ECC［10］兩種對稱加密算法。

ECC和RSA相比（見表1），有以下幾點(diǎn)絕對的優(yōu)勢：

1）抗攻擊性強(qiáng)。相同的密鑰長度，其抗攻擊性要強(qiáng)很多倍。

2）計(jì)算量小，處理速度快。

3）存儲(chǔ)空間占用小。

4）帶寬要求低。當(dāng)對長消息進(jìn)行加密解密時(shí)，以上2類密碼系統(tǒng)有相同的帶寬要求，但應(yīng)用于短消息時(shí)ECC帶寬要求卻低很多［11－12］。

表1 RSA和ECC安全模長比較Tab.1 Mode length comparison between RSA and ECC

163 bit的ECC算法和1 023 bit RSA算法有相同的安全性，使用國際公用的安全生成器Security Builder 1.2和BSAFE3.0進(jìn)行測試，見表2，ECC算法的性能都優(yōu)與RSA算法。

表2 RSA和ECC速度比較Tab.2 Speed comparison between RSA and ECC

163 bit的ZCC算法和1 023 bit RSA算法有相同的安全性，使用國際公用的安全生成器Security Builder 1.2和BSAFE3.0進(jìn)行測試。見表2，ECC算法的性能都優(yōu)與RSA算法。

因路燈終端之間使用無線的傳輸方式，本方案使用的傳的非對稱算法選擇SM2（是中國商用密碼局研發(fā)的類ECC算法）或ECC算法，對稱算法選用SM1（國家商用密碼算法）或AES算法［13］。

3.2 數(shù)字簽名技術(shù)

數(shù)字簽名（digital signature）是一種防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù)，按照ISO7498—2標(biāo)準(zhǔn)中定義為：“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明［9］。

數(shù)字簽名只能使用非對稱加密算法，本方案中使用ECDSA作為數(shù)字簽名機(jī)制。

3.3 哈希函數(shù)

雜湊函數(shù)H是一個(gè)公開函數(shù)，將任意長的消息映射為較短的、固定長度的一個(gè)值 H（M）。H（M）稱為雜湊值、消息摘要，是消息中所有bit的函數(shù)，提供了錯(cuò)誤檢測的能力［9］。

4 安全解決方案

4.1 安全方案

為了實(shí)現(xiàn)對路燈遠(yuǎn)程智能安全的控制，需要防止信息被篡改和竊聽。市政安全方面的考慮，需要工業(yè)級的安全標(biāo)準(zhǔn)，所以在使用安全算法的時(shí)候推進(jìn)使用國產(chǎn)的安全算法。使用SM1算法對數(shù)據(jù)進(jìn)行加密，使用SM2算法對數(shù)據(jù)進(jìn)行簽名。

對于終端控制模塊的安全防護(hù)方案有2種實(shí)現(xiàn)的方案：①軟件實(shí)現(xiàn)，即把相應(yīng)安全算法集成到MCU內(nèi)；②硬件實(shí)現(xiàn)，即使用安全芯片來實(shí)現(xiàn)加解密算法的功能。安全芯片內(nèi)高速的密碼算法引擎，能極大的提升效率，同時(shí)能保證密鑰不會(huì)明文出固件，這是硬件實(shí)現(xiàn)相對軟件實(shí)現(xiàn)的優(yōu)勢。使用安全芯片的解決方案，除了能提供安全性方面的因素外還有性能方面的，因?yàn)槁窡艨刂颇K考慮成本的因素，使用的主控MCU都是8位的低端MCU，若是再其上運(yùn)行安全算法，只有選擇更好的更貴的MCU，ESAM的價(jià)格較低，所以在性能和成本的基礎(chǔ)上，選擇ESAM作為協(xié)處理器的實(shí)現(xiàn)方式。本方案中我們采用硬件實(shí)現(xiàn)的方式來構(gòu)建整體的安全防護(hù)網(wǎng)絡(luò)。

圖2 智能路燈安全解決方案拓?fù)鋱DFig.2 Intelligent road lamp security solution topology diagram

4.2 安全架構(gòu)

如圖2所示，在主站層增加了密鑰管理系統(tǒng)和安全芯片發(fā)行系統(tǒng)。其中密鑰管理系統(tǒng)包括密碼機(jī)和密碼服務(wù)器，實(shí)現(xiàn)密鑰的生成及密鑰安全性檢測等功能；安全芯片發(fā)行系統(tǒng)灌裝安全芯片的初始密鑰等功能。主站側(cè)接收到的數(shù)據(jù)使用密鑰管理服務(wù)器進(jìn)行解密或驗(yàn)簽，對于向外發(fā)送的數(shù)據(jù)進(jìn)行加密或附帶簽名信息。

此外，還在主站層增加了密鑰管理系統(tǒng)和安全芯片發(fā)行系統(tǒng)。

密鑰管理系統(tǒng)包括密碼機(jī)和密碼服務(wù)器，實(shí)現(xiàn)密鑰的生成及密鑰安全性檢測等功能。在國家電網(wǎng)的密鑰管理系統(tǒng)中，采用三級密鑰的管理機(jī)制，即國家電網(wǎng)級、網(wǎng)省級、地市級，其中國家電網(wǎng)級和網(wǎng)省級都有生成根密鑰的權(quán)限，根據(jù)業(yè)務(wù)應(yīng)用的需要將相應(yīng)的部分密鑰分別下裝到操作員卡、密碼機(jī)內(nèi)，見圖3。

在智能路燈管理系統(tǒng)中，因?qū)嶋H應(yīng)用是以城市為單位或者以區(qū)為單位，采取一級密鑰管理機(jī)制，即只有一個(gè)根密鑰生成，來實(shí)現(xiàn)對密碼的生成和分發(fā)，見圖4。同時(shí)在根密碼的生成上采用Shamir門限的五分三合機(jī)制［9］。五分三合機(jī)制的實(shí)現(xiàn)方式是，隨機(jī)選擇1條二次曲線的參數(shù)作為根密鑰，在該曲線上選擇5個(gè)點(diǎn)，這5個(gè)點(diǎn)分別分配給5個(gè)管理者，當(dāng)5個(gè)管理者中的至少3個(gè)管理者同時(shí)提供自己管理的點(diǎn)時(shí)才能恢復(fù)曲線的參數(shù)，進(jìn)而獲得根密鑰。

圖3 三級密鑰管理系統(tǒng)Fig.3 3－level key management system

圖4 智能路燈密管系統(tǒng)Fig.4 Intelligent road lamp key management system

安全芯片發(fā)行系統(tǒng)灌裝安全芯片的初始密鑰等功能。主站層接收到的數(shù)據(jù)使用密鑰管理服務(wù)器進(jìn)行解密或驗(yàn)簽，對于向外發(fā)送的數(shù)據(jù)進(jìn)行加密或附帶簽名信息。

在終端層嵌入安全芯片到安全控制模塊之中，邏輯見圖5。計(jì)量芯片負(fù)責(zé)電流和電壓的計(jì)量；時(shí)鐘芯片RTC，負(fù)責(zé)時(shí)鐘同步；無線采集模塊，可以選擇Zigbee或OPM來實(shí)現(xiàn)對無線信息的傳輸；繼電器實(shí)現(xiàn)對路燈開關(guān)等控制；此外，結(jié)合實(shí)際的應(yīng)用，增加相應(yīng)的傳感器。安全芯片實(shí)現(xiàn)對數(shù)據(jù)安全防護(hù)，對接收的數(shù)據(jù)解密驗(yàn)證；對發(fā)送的數(shù)據(jù)加密和增加簽名信息。

4.3 工作流程

主站系統(tǒng)配備數(shù)據(jù)加密密碼機(jī)，在各集中器終端和控制節(jié)點(diǎn)內(nèi)嵌安全加密模塊，對通信的上行和下行鏈路分別提供安全防護(hù)。

對于上行鏈路，路燈控制節(jié)點(diǎn)對采集到的數(shù)據(jù)使用ESAM加密后，通過電力線或無線發(fā)送加密后的數(shù)據(jù)給集中器，通過公網(wǎng)傳輸?shù)街髡鞠到y(tǒng)中，主站系統(tǒng)需將數(shù)據(jù)傳輸?shù)綌?shù)據(jù)加密密碼機(jī)，進(jìn)行數(shù)據(jù)解密，解密后的數(shù)據(jù)才能夠進(jìn)行后續(xù)的數(shù)據(jù)處理。

圖5 安全芯片與路燈控制器的邏輯圖Fig.5 Security chip ＆road lamp controller logical diagram

對于下行鏈路，當(dāng)主站系統(tǒng)需要下發(fā)控制數(shù)據(jù)時(shí)，需先送入到數(shù)據(jù)加密密碼機(jī)進(jìn)行數(shù)據(jù)加密，數(shù)據(jù)傳輸?shù)郊衅鹘K端后，集中器終端再發(fā)送給控制器，控制器使用安全芯片解密后，數(shù)據(jù)才能進(jìn)入后續(xù)數(shù)據(jù)處理。

使用安全芯片數(shù)據(jù)的安全加密和簽名，確保了數(shù)據(jù)傳輸?shù)陌踩院屯暾浴?/p>

4.4 安全等級劃分

對于不同的應(yīng)用選擇不同的安全防護(hù)等級，提供不同的安全防護(hù)，見表3。

表3 安全等級的劃分Tab.3 Security level allocation

如管理中心下發(fā)的整體路燈控制信息，選擇高安全的加密方式；對于單燈控制、單燈主動(dòng)上報(bào)異常的信息，選擇中安全的級別。

4.5 安全性分析

在安全算法選擇方面，對稱算法選擇128位SM1算法，非對稱算法選擇256位SM2算法，哈希算法選擇SHA256，見表4。

表4 安全方案的防護(hù)等級［10］Tab.4 Security solution’s protection levels

基于表4的分析，該系統(tǒng)的安全等級為128 bit，達(dá)到金融、工業(yè)安全等級的標(biāo)準(zhǔn)。

通過在一個(gè)園區(qū)168盞路燈的試點(diǎn)，加入安全性后對整個(gè)系統(tǒng)性能沒有影響。該密鑰管理方案中，當(dāng)5個(gè)管理者中有3個(gè)丟失其管理的子密鑰時(shí)，無法恢復(fù)出根密鑰，進(jìn)而造成整個(gè)密鑰管理系統(tǒng)崩盤的風(fēng)險(xiǎn)。對于這種特殊的情況，解決方式是重新隨機(jī)選二次曲線，生成根密鑰，再通過超級管理員權(quán)限對每個(gè)控制模塊安全芯片的密鑰進(jìn)行遠(yuǎn)程更新，進(jìn)而解決該安全隱患。

4.6 性能分析

安全芯片與MCU之間的通信接口SPI，其通信速率平均能到4 Mb／s，甚至更高。通過實(shí)驗(yàn)仿真測試，128位的SM1算法的加密速度為53.56 kb／s，解密速度為55.65 kb／s；256位SM2算法簽名的速度為184.5 ms／次，驗(yàn)簽速度為376.062 ms／次；真隨機(jī)數(shù)生成速度20.078 kb／s。當(dāng)前對路燈所采集的信息還相對較少，考慮到未來的拓展性，安全芯片對原有路燈控制模塊的性能沒有影響。

5 結(jié)束語

綜上所述，基于安全芯片的智能路燈控制安全技術(shù)能夠解決當(dāng)前智能路燈控制系統(tǒng)所面臨的安全問題。在不影響現(xiàn)有系統(tǒng)的性能的條件下，通過提供128bit的安全級防護(hù)機(jī)制，為智能路燈控制的節(jié)能、環(huán)保等決策和管理的傳輸保駕護(hù)航。此外，安全路燈無線通信網(wǎng)絡(luò)能在諸如地震、火災(zāi)等特殊事件發(fā)生時(shí)，作為常用通信系統(tǒng)的補(bǔ)充，豐富通信的方式，提高通信質(zhì)量。

［1］ 國務(wù)院辦公廳關(guān)于深入開展全民節(jié)能行動(dòng)的通知，國辦發(fā)〔2008〕106號［EB／OL］.（2008－08－02）［2013－05－13］，http：／／www.gov.cn／zwgk／2008－08／02／content＿1062621.htm.

［2］ 李 寧.城市路燈遠(yuǎn)程監(jiān)控終端的設(shè)計(jì)與實(shí)現(xiàn)［D］.石家莊：華北電力學(xué)院，2008.

［3］ 劉振亞.智能電網(wǎng)技術(shù)［M］.北京：中國電力出版社，2010.

［4］ 王亞蘭.智能路燈節(jié)能控制器研究［D］.武漢：武漢理工大學(xué)，2008.

［5］ 陳亞平.基于GPRS技術(shù)的城市路燈監(jiān)控終端研制［D］.江蘇：江蘇大學(xué)，2010.

［6］ Liang Song Prototypes of Opportunistic Wireless Mesh Networks Supporting Real－Time Services［C］∥USA：Las Vegs Nevada Consumer Communications and Networking Conference，2008.USA：Las Vegs：CCNC 2008.01 IEEE.

［7］ 張達(dá)夫，張昕明.基于時(shí)空特性的GPS軌跡數(shù)據(jù)壓縮算法［J］.交通信息與安全，2013，31（3）：45－54.

［8］ 辛秀穎，馬壽峰，賈 寧.“闖黃燈”決策的影響因素分析：基于意向調(diào)查方法［J］.交通信息與安全，2013，31（3）：68－75.

［9］ 毛文波.現(xiàn)代密碼學(xué)理論與實(shí)踐［M］.英國，2003.

［10］ NIST.SP800－57＿Part＿rev3＿general.USA［EB／OL］.（2013－03－22）［2013－05－25］.http：／／www.nsa.gov／ia／programs／suiteb＿cryptography／.2013.

［11］ NIST.SP 800－131A，B，and C.USA［EB／OL］.（2011－01－24）［2012－05－18］http：／／csrc.nist.gov／publications／PubsSPs.html.2012.

［12］ NIST.Transitions：Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths（SP800－131A）.［EB／OL］.（2011－01－24）［2012－05－18］http：／／csrc.nist.gov／publications／nistpubs／800－131A／sp800－131A.pdf，2012.

［13］ 國家商用密碼管理局.SM2橢圓曲線公鑰密碼算法［S］.北京：國家商用密碼管理局，2010.