梁曉紅

(四川電力公司西昌電業(yè)局,四川 西昌 615000)

電力EPON通信網(wǎng)安全設(shè)計(jì)

梁曉紅

(四川電力公司西昌電業(yè)局,四川 西昌 615000)

分析電力EPON通信網(wǎng)存在的安全隱患的基礎(chǔ)上,對(duì)電力EPON通信網(wǎng)的安全機(jī)制進(jìn)行了設(shè)計(jì)。針對(duì)電力EPON通信網(wǎng)的安全隱患,從終端認(rèn)證、業(yè)務(wù)隔離、深度檢測(cè)與防御三個(gè)方面對(duì)電力EPON通信設(shè)備進(jìn)行安全防護(hù)部署。通過(guò)EPON通信數(shù)據(jù)的加密處理和密鑰管理,實(shí)現(xiàn)OLT與ONU的雙向身份認(rèn)證,確保了電力EPON通信數(shù)據(jù)的安全。測(cè)試結(jié)果表明,系統(tǒng)正常工作時(shí),數(shù)據(jù)傳輸?shù)纳闲醒訒r(shí)小于2 ms,下行延時(shí)不超過(guò)1 ms,完全滿足電力系統(tǒng)數(shù)據(jù)和信息傳輸?shù)囊蟆?/p>

EPON;電力通信;安全機(jī)制;通信加密;密鑰管理

1 前言

EPON (EthernetPassive OpticalNetwork, EPON)結(jié)合了以太網(wǎng)和無(wú)源光網(wǎng)絡(luò)技術(shù)的優(yōu)點(diǎn),被認(rèn)為是下一代寬帶接入網(wǎng)技術(shù)的首選[1]。電力EPON通信網(wǎng)傳輸?shù)挠脩魯?shù)據(jù)、配電網(wǎng)信息數(shù)據(jù)、電網(wǎng)結(jié)構(gòu)信息、地理圖形數(shù)據(jù)等基礎(chǔ)數(shù)據(jù)源是電力營(yíng)銷管理和業(yè)務(wù)處理系統(tǒng)的重要數(shù)據(jù)來(lái)源,一旦這些數(shù)據(jù)源在EPON通信網(wǎng)傳輸過(guò)程中被竊聽或篡改,將會(huì)給電力系統(tǒng)帶來(lái)巨大的經(jīng)濟(jì)損失。因此,本文在對(duì)電力EPON通信網(wǎng)的安全問(wèn)題分析的基礎(chǔ)上,對(duì)其安全機(jī)制進(jìn)行了設(shè)計(jì),確保各種電力數(shù)據(jù)、信息的可靠、安全傳輸。

2 存在的安全問(wèn)題

EPON技術(shù)的體系結(jié)構(gòu)和傳輸方式?jīng)Q定了電力EPON通信網(wǎng)存在以下安全問(wèn)題：

1)非法接入問(wèn)題。由于EPON系統(tǒng)具有自動(dòng)發(fā)現(xiàn)功能,新加入的ONU可以通過(guò)自動(dòng)注冊(cè)方式接入EPON系統(tǒng),這也給非法ONU提供了自由接入的機(jī)會(huì)。

2)竊聽問(wèn)題。在EPON系統(tǒng)中,下行數(shù)據(jù)傳輸采用廣播方式,如果在系統(tǒng)中接入一個(gè)帶光口的以太網(wǎng)包探測(cè)工具,那么系統(tǒng)的下行數(shù)據(jù)將會(huì)被全部接收。

3)拒絕服務(wù)問(wèn)題。在EPON系統(tǒng)的上行鏈路中,所有的 ONU都共享上行帶寬。如果惡意ONU不斷地向EPON上行鏈路發(fā)送大量的無(wú)效數(shù)據(jù),將會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)堵塞,使得網(wǎng)絡(luò)資源和OAM信息不可用。

4)假冒問(wèn)題。在EPON系統(tǒng)注冊(cè)的過(guò)程中,攻擊者可以竊取ONU的MAC地址和OLT給ONU分配的邏輯鏈路標(biāo)識(shí)LLID,從而偽裝成其它的ONU,同時(shí),OLT的網(wǎng)橋功能使得ONU可以偽裝成OLT。

通過(guò)上面的分析,為了確保電力EPON通信網(wǎng)能夠正確、可靠地傳輸各種電力應(yīng)用數(shù)據(jù)和信息,對(duì)電力EPON通信網(wǎng)的安全機(jī)制進(jìn)行研究就顯得非常必要。

3 安全機(jī)制設(shè)計(jì)

3.1 設(shè)備的防護(hù)部署

針對(duì)電力EPON通信網(wǎng)的安全隱患,從終端認(rèn)證、業(yè)務(wù)隔離、深度檢測(cè)與防御三個(gè)方面對(duì)電力EPON通信設(shè)備進(jìn)行安全防護(hù)部署,如圖1所示。

圖1 電力EPON通信設(shè)備安全防護(hù)部署

1)終端認(rèn)證。主要是對(duì)電力二次設(shè)備進(jìn)行MAC認(rèn)證和IP+MAC綁定,以實(shí)現(xiàn)對(duì)終端的安全識(shí)別,并對(duì)接入流量限速,避免業(yè)務(wù)系統(tǒng)受到流量攻擊。同時(shí),系統(tǒng)也對(duì)遠(yuǎn)端的接入設(shè)備進(jìn)行安全認(rèn)證,防止非法網(wǎng)絡(luò)設(shè)備接入EPON通信網(wǎng)。

2)業(yè)務(wù)隔離。通過(guò)網(wǎng)絡(luò)設(shè)備隔離實(shí)現(xiàn)業(yè)務(wù)和用戶的隔離,避免了業(yè)務(wù)間的攻擊和控制。同時(shí),各個(gè)網(wǎng)絡(luò)設(shè)備間通信可采用加密方式,確保數(shù)據(jù)和信息傳輸?shù)陌踩浴?/p>

3)深度檢測(cè)與防御。在電力EPON通信網(wǎng)上部署電力行業(yè)定制的深度業(yè)務(wù)識(shí)別系統(tǒng),實(shí)時(shí)對(duì)終端業(yè)務(wù)的合法性進(jìn)行檢查,一旦發(fā)現(xiàn)有非法操作便立即報(bào)警,甚至切斷該業(yè)務(wù)。同時(shí),通過(guò)及時(shí)更新數(shù)據(jù)庫(kù)中的信息,采用SNMPv3、SSHv1/2等安全協(xié)議[2],對(duì)管理者進(jìn)行認(rèn)證,以確保網(wǎng)絡(luò)設(shè)備的安全。

3.2 數(shù)據(jù)幀格式設(shè)計(jì)

為了實(shí)現(xiàn)對(duì)EPON的上下行通信數(shù)據(jù)的加密處理,利用以太網(wǎng)幀結(jié)構(gòu)中前導(dǎo)碼中保留的第4字節(jié)的前兩個(gè)比特位來(lái)傳遞加密的相關(guān)信息,分別定義為加密指示比特ENC_INT和序號(hào)指示比特SN_INT,如圖2所示。

圖2 電力EPON通信數(shù)據(jù)幀格式

其中,加密指示比特和序號(hào)指示比特的含義如表1所示。

表1 加密和序號(hào)指示比特的含義

3.3 通信加密流程

電力EPON通信數(shù)據(jù)的加密流程如圖3所示。

圖3 電力EPON通信加密流程

整個(gè)加密過(guò)程分為五步：

第一步：密鑰分配。密鑰管理服務(wù)器KMS為配電子站的OLT和配電終端的ONU分別生成密鑰并進(jìn)行分配,這個(gè)過(guò)程是離線進(jìn)行的,避免了KMS在線參與的安全威脅。

第二步：ONU注冊(cè)。配電終端的ONU向配電子站的OLT發(fā)送申請(qǐng)加入EPON通信網(wǎng)的注冊(cè)請(qǐng)求,OLT根據(jù)ONU的身份信息決定是否同意該ONU接入通信系統(tǒng),并進(jìn)行相應(yīng)的處理。

第三步：KMS驗(yàn)證ONU信息。配電子站的OLT收到ONU的注冊(cè)身份消息后,向KMS發(fā)送該注冊(cè)消息,由KMS存儲(chǔ)的信息決定是否同意ONU接入通信系統(tǒng),并發(fā)送相應(yīng)的處理信息給OLT。

第四步：OLT和ONU實(shí)現(xiàn)雙向身份認(rèn)證。該流程在驗(yàn)證ONU身份是否合法的同時(shí),也驗(yàn)證了OLT身份的合法性,完成了雙向身份驗(yàn)證,既防止了非法ONU接入系統(tǒng),也防止了非法的OLT冒充合法的OLT做出控制決策。

第五步：通信數(shù)據(jù)加密。在ONU、OLT身份認(rèn)證完成后,OLT和ONU均擁有彼此的主密鑰,然后利用Hash函數(shù)對(duì)主密鑰進(jìn)行處理,生成新的會(huì)話密鑰。當(dāng)一方要發(fā)送數(shù)據(jù)時(shí),利用新生成的會(huì)話密鑰進(jìn)行數(shù)據(jù)加密,即可完成加密通信。其對(duì)稱加密算法可根據(jù)實(shí)際情況進(jìn)行選擇,例如選擇分組密碼、流密碼等[3],這樣就實(shí)現(xiàn)了OLT和ONU之間的安全通信。

3.4 密鑰管理方案設(shè)計(jì)

在上面的通信加密流程中,第一至第四步是一個(gè)完整的密鑰產(chǎn)生和協(xié)商的過(guò)程。整個(gè)密鑰管理過(guò)程大致分為密鑰產(chǎn)生、密鑰分配、密鑰協(xié)商和密鑰更新四個(gè)部分。為了便于表述,這里僅以一個(gè)OLT和一個(gè)ONU的密鑰管理為例進(jìn)行介紹,多個(gè)ONU的密鑰管理原理是一樣的。

1)密鑰產(chǎn)生：KMS采用橢圓曲線密碼體制ECC[4]為配電子站的OLT和配電終端的ONU生成身份認(rèn)證時(shí)所需的公私密鑰對(duì),分別為 (QOLT, dOLT)、(QONU,dONU)。

2)密鑰分配：KMS利用ONU的公鑰QONU和OLT的私鑰dOLT計(jì)算出密鑰k,然后把密鑰k分配給ONU設(shè)備,并將密鑰k與合法ONU的身份ID或MAC地址綁定后存儲(chǔ)在KMS中,最后把公私密鑰對(duì) (QOLT,dOLT)分配給OLT。密鑰k的計(jì)算方法如下：

k=QONU*dOLT(1)

3)密鑰協(xié)商：密鑰協(xié)商以IEEE802.3ah標(biāo)準(zhǔn)協(xié)議為基礎(chǔ),實(shí)現(xiàn)ONU設(shè)備的注冊(cè)、OLT和ONU的雙向身份驗(yàn)證,具體流程如圖4所示。

用Ek(·)表示加密操作,Dk(·)表示解密操作,設(shè)存在一個(gè)供加解密使用的Hash函數(shù),則圖4的密鑰協(xié)商過(guò)程如下：

*OLT發(fā)送GATE發(fā)現(xiàn)幀,檢測(cè)是否有ONU設(shè)備請(qǐng)求接入網(wǎng)絡(luò)。

*ONU向OLT發(fā)送注冊(cè)請(qǐng)求幀Register_ REQ,其內(nèi)容包括ONU本身的ID或MAC地址。

圖4 密鑰協(xié)商流程

*OLT向新發(fā)現(xiàn)的ONU發(fā)送注冊(cè)幀Register。

*OLT向ONU發(fā)送GATE認(rèn)證幀。

*OLT向密鑰管理服務(wù)器KMS發(fā)送請(qǐng)求注冊(cè)的ONU的ID或MAC地址,進(jìn)行合法驗(yàn)證。KMS接收到該ONU的ID或MAC地址后,在其存儲(chǔ)信息中查詢?cè)揙NU的身份信息是否合法。若驗(yàn)證為非法ONU,則不允許該ONU注冊(cè);若驗(yàn)證為合法,則用OLT的公鑰QOLT加密該ONU的私鑰dONU,發(fā)送EQOLT(dONU)給OLT。

*OLT利用自己的私鑰dOLT解密出ONU的私鑰dONU,然后生成協(xié)商密鑰k,并產(chǎn)生一個(gè)隨機(jī)數(shù)ni,用密鑰k加密后將密文Ek(ni)發(fā)送給ONU。協(xié)商密鑰k的計(jì)算方法為：

k=dONU*QOLT(2)

*ONU首先解密Ek(ni)得到ni,并生成一個(gè)隨機(jī)數(shù)nj,然后用密鑰k加密nj,并將密文Ek(nj)和ni發(fā)送給OLT。

*OLT比較收到的ni與自己生成的隨機(jī)數(shù)是否相同。若不同,則ONU為非法;若相同,則ONU為合法,OLT向ONU發(fā)送標(biāo)準(zhǔn)的GATE授權(quán)幀,允許ONU發(fā)送消息,并向ONU發(fā)送Register_ACK。

*OLT解密Ek(nj),并將nj發(fā)送給ONU。

*ONU收到GATE授權(quán)幀和nj后,比較nj與自己產(chǎn)生的隨機(jī)數(shù)是否相同。若不同,則OLT為非法;若相同,則OLT為合法,并計(jì)算與OLT的會(huì)話密鑰ks,利用ks將Register_ACK加密后發(fā)送給OLT。會(huì)話密鑰ks的計(jì)算方法為：

ks=Hash(k,nj)(3)

4)密鑰更新：為了進(jìn)一步提高整個(gè)EPON通信網(wǎng)的安全性,需要對(duì)會(huì)話密鑰進(jìn)行周期性地更新。本文的密鑰更新采用詢問(wèn)響應(yīng)的更新方式,整個(gè)密鑰的更新流程如下：

*OLT向ONU發(fā)出新密鑰請(qǐng)求幀;

*ONU收到新密鑰請(qǐng)求幀后利用Hash函數(shù)對(duì)主密鑰進(jìn)行計(jì)算,得出新的密鑰,然后向OLT發(fā)送一個(gè)新密鑰通知幀,新密鑰通知幀中包含新的密鑰;

*OLT收到新密鑰通知幀后,就可以使用新密鑰對(duì)隨后的數(shù)據(jù)幀進(jìn)行加密。如果密鑰更新失敗,則OLT會(huì)向ONU發(fā)送密鑰更新失敗通知,并進(jìn)行下一輪密鑰更新。

4 結(jié)束語(yǔ)

由于電力EPON通信網(wǎng)能夠提供千兆級(jí)帶寬,系統(tǒng)正常工作時(shí),不存在帶寬瓶頸問(wèn)題。但是,在EPON系統(tǒng)開始運(yùn)行或故障恢復(fù)時(shí),會(huì)出現(xiàn)OLT下掛的所有ONU都等待注冊(cè)加入的極端情況,這時(shí)會(huì)產(chǎn)生注冊(cè)沖突。為避免這種極端情況的發(fā)生,采用隨機(jī)跳窗方式[5]和發(fā)現(xiàn)窗口內(nèi)隨機(jī)延時(shí)[6]兩種方法解決注冊(cè)沖突問(wèn)題。通過(guò)系統(tǒng)運(yùn)行測(cè)試,結(jié)果表明：在極端情況下,所有ONU注冊(cè)成功的時(shí)間為18 s;在正常工作時(shí),數(shù)據(jù)傳輸?shù)纳闲袝r(shí)延小于2 ms,下行時(shí)延不超過(guò)1 ms。因此,整個(gè)電力EPON通信網(wǎng)完全滿足電力系統(tǒng)的數(shù)據(jù)和信息傳輸要求。

[1] MUKAI Hiroaki,TANO Fumihiko,TANKA Masaki,et.al. ONU Power Saving Scheme for EPON System[J].IEICE Communications,2012,95(5)：1625-1632.

[2] 厲穎,韓殿國(guó).網(wǎng)絡(luò)安全管理技術(shù)研究 [J].軟件導(dǎo)刊, 2013,12(2)：20-23.

[3] 李雨峰.混沌密碼學(xué)技術(shù)及其應(yīng)用 [J].信息與電腦(理論版),2013(2)：148-149.

[4] 李浪,楊柳,李肯立,等.一種橢圓曲線密碼算法ECC旁路攻擊方法研究 [J].計(jì)算機(jī)應(yīng)用研究,2013,30(3)：15-17.

[5] 殷愛菡,朱明,展愛云,等.基于NTRU的EPON認(rèn)證方案研究 [J].光通信技術(shù),2013,37(3)：24-26.

[6] 殷愛菡,劉方仁.以太無(wú)源光網(wǎng)絡(luò)中光網(wǎng)絡(luò)單元注冊(cè)的FPGA實(shí)現(xiàn) [J].華東交通大學(xué)學(xué)報(bào),2011,28(2)：19-23.

12月19日,國(guó)家電網(wǎng)公司召開哈密南-鄭州±800千伏特高壓直流輸電工程雙極高端系統(tǒng)調(diào)試啟動(dòng)會(huì)。按照預(yù)定計(jì)劃,整個(gè)工程將于2014年1月15日左右完成調(diào)試工作并投入試運(yùn)行。

哈密南-鄭州±800千伏特高壓直流輸電工程是新疆首個(gè)特高壓"疆電外送"工程,工程輸電線路途經(jīng)新疆、甘肅、寧夏、陜西、山西、河南6省 (區(qū)),全長(zhǎng)2 210千米,總投資233.9億元,建成后輸電能力可達(dá)800萬(wàn)千瓦。在公司統(tǒng)一部署和各參建單位的共同努力下,經(jīng)過(guò)一年多的建設(shè),目前,工程各項(xiàng)施工任務(wù)優(yōu)質(zhì)高效地向前推進(jìn),鄭州換流站極Ⅰ高端已經(jīng)充電成功并完成全部站系統(tǒng)調(diào)試項(xiàng)目,哈密南換流站極Ⅰ高端竣工驗(yàn)收工作全面完成,影響帶電的缺陷已經(jīng)處理完畢,具備開始站系統(tǒng)調(diào)試的條件。待哈密南換流站極Ⅰ高端站系統(tǒng)調(diào)試結(jié)束后,隨即啟動(dòng)極Ⅰ高端系統(tǒng)調(diào)試工作。線路沿途各省(區(qū))電網(wǎng)運(yùn)行安全穩(wěn)定,線路不存在缺陷,運(yùn)行維護(hù)和搶修保障人員全部就位,線路完全具備帶電調(diào)試條件。

據(jù)了解,自2012年5月13日舉行開工儀式以來(lái),哈鄭特高壓直流輸電工程僅歷時(shí)一年多時(shí)間,就先后實(shí)現(xiàn)了送端750千伏交流系統(tǒng)、兩端500千伏交流系統(tǒng)和雙極低端直流系統(tǒng)投產(chǎn)目標(biāo)。按照公司確定的建設(shè)目標(biāo),工程將于2014年春節(jié)前整體投運(yùn)。(信息來(lái)源：中國(guó)電力網(wǎng))

Design of Security Mechanism for Electric Power EPON Communication Network

LIANG Xiaohong
(Xichang Electric Power Bureau of Sichuan Electric Power Company,Xichang,Sichuan 615000)

In order to ensure the reliable and secure transmission of electric power data and information,on the basis of analyzing the potential safety hazard in electric power EPON communication network,the security mechanism of electric power EPON communication network is designed.According to the potential safety hazard in electric power EPON communication network,the electric power EPON communication devices is deployed with secure defense from three aspects：terminal authentication,business isolation, deep detection and defense.The bidirectional identity authentication between OLT and ONU is realized by encryption processing and key management of EPON communication data,which ensures the security of electric power EPON communication data.The results of testing demonstrate that when the communication system works normally,the up-delay of data transmission is less than 2 microsecond,and the down-delay is not beyond 1 microsecond,which entirely meets the demands of data and information transmission in electric power system.

Ethernet Passive Optical Network(EPON);electric power communication;security mechanism;communication encryption;key management.

TN919

B

1006-7345(2014)01-0091-04

2013-09-15

梁曉紅 (1968),男,學(xué)士,工程師,主要從電力通信網(wǎng)和電力營(yíng)銷等方面的研究 (e-mail)tougaoxcu@126.com。