【摘要】隨著電力行業(yè)信息化化程度越來越高，作為基礎(chǔ)數(shù)據(jù)采集能量管理信息系統(tǒng)扮演著越來重要的角色，是電力系統(tǒng)自動化及數(shù)據(jù)分析的重要保證。同時，能量管理信息系統(tǒng)的安全性不僅關(guān)系到企業(yè)和人們的經(jīng)濟(jì)利益和基本生活，還與國家的安全息息相關(guān)，因此，需要通過相關(guān)的技術(shù)來保證其安全性。本文就能量管理信息系統(tǒng)概述作為切入點，簡要闡述以SM2為基礎(chǔ)的加密技術(shù)的身份認(rèn)證最后分析以SM2為基礎(chǔ)的加密技術(shù)在能量管理信息系統(tǒng)中身份認(rèn)證的實現(xiàn)。

【關(guān)鍵詞】能量管理信息系統(tǒng);數(shù)據(jù)加密;身份認(rèn)證

引言

進(jìn)入21世紀(jì)之后，信息技術(shù)取得飛躍的發(fā)展，許多領(lǐng)域也因其在發(fā)展空間上有了顯著的提高。但是，網(wǎng)絡(luò)安全問題也隨之增加，黑客入侵和網(wǎng)絡(luò)攻擊頻繁滋生，同時，計算機(jī)網(wǎng)絡(luò)技術(shù)的普及，導(dǎo)致計算機(jī)成為了公眾工作和生活中不可缺少的必需品，尤其在公用信息基礎(chǔ)設(shè)置上，無論是企業(yè)還是政府需要用到信息系統(tǒng)，致使一些關(guān)系到國家發(fā)展的業(yè)務(wù)和系統(tǒng)面臨著巨大地挑戰(zhàn)。電力行業(yè)作為我國重要的能量生產(chǎn)行業(yè)，其信息系統(tǒng)的安全性更是需要企業(yè)甚至政府的重視。

一、能量管理信息系統(tǒng)安全保護(hù)的概述

目前，信息系統(tǒng)和不同類型自動化控制的設(shè)備廣泛應(yīng)用在電力的各項環(huán)節(jié)上，例如輸電、變電、用電等環(huán)節(jié)。電力生產(chǎn)在我國經(jīng)濟(jì)的發(fā)展中占據(jù)重要的地位，其系統(tǒng)的安全性也與國家安全相互聯(lián)系。如果電力系統(tǒng)癱瘓，除了會造成不可預(yù)計的經(jīng)濟(jì)損失之外，還會對國家的安全和社會的穩(wěn)定造成嚴(yán)重的影響。能量管理信息系統(tǒng)需要通過公網(wǎng)采集電能量數(shù)據(jù)，這樣就給數(shù)據(jù)安全帶來了極大的隱患，因此必須采取先進(jìn)的措施對其進(jìn)行保護(hù)。針對這種情況，國家電力的相關(guān)部門專門制定了《電力二次系統(tǒng)安全防護(hù)規(guī)定》，其作用是對能量管理信息系統(tǒng)在安全保護(hù)工作上進(jìn)行指導(dǎo);同時，電力系統(tǒng)的領(lǐng)導(dǎo)企業(yè)也針對性地制定具體方案，比如南方電網(wǎng)公司制定的《中國南方電網(wǎng)電力二次系統(tǒng)安全防護(hù)技術(shù)規(guī)范》。在等級保護(hù)的許多技術(shù)中，身份鑒別技術(shù)屬于非常重要的內(nèi)容，其中口令技術(shù)廣泛用于電力行業(yè)的信息系統(tǒng)中，其作用是驗證用戶的身份。但是，密碼口令在安全強度上卻比較弱，破解率很高，尤其是一些供電局在對系統(tǒng)維護(hù)上，為了方便省事，把主機(jī)、數(shù)據(jù)庫等重要信息存儲器的管理密碼告知廠家的維護(hù)人員，這樣很容易導(dǎo)致密碼泄露，使電力系統(tǒng)重要信息被竊取。

二、以SM2算法為基礎(chǔ)的身份認(rèn)證原理

（一）SM2算法的加解密過程

SM2算法實質(zhì)上就是橢圓曲線的公鑰密碼算法，來源于國家密碼管理局。為了適合電力認(rèn)證服務(wù)以及類似系統(tǒng)的應(yīng)用需求，國家密碼管理局針對SM2算法提供參考曲線參數(shù)。公鑰秘法算法也可以稱作非對稱密碼算法，主要應(yīng)用在身份認(rèn)證以及會話密鑰協(xié)商，這種算法是有一對密鑰組成，即公鑰和私鑰，加密過程如圖1所示。

圖1顯示的加密過程是用戶A將數(shù)據(jù)發(fā)送給用戶B。其中密鑰K1和K2分別用于數(shù)據(jù)的加密和解密，為了保證明文P的正確性，必須使K1和K2在使用的過程中相互配合，Ek1（P）是一種加密運算，運算對象是密鑰K1，被運算對象是數(shù)據(jù)P。密鑰K1和K2分公鑰和私鑰，私鑰歸用戶，由其自己保存，不公開，不傳輸，公鑰屬于公開密鑰，其認(rèn)證和發(fā)布要通過發(fā)布機(jī)構(gòu)的審核。公鑰與密鑰之間在數(shù)值上是不等的，并且K1無法直接退出K2，反之亦然。在非對稱密碼算法中，K1和K2屬于兩個參數(shù)，通常在通信實體中生成。

圖1 公鑰密碼算法加密過程

（二）SM2算法的應(yīng)用形式

加密技術(shù)在能量管理信息系統(tǒng)數(shù)據(jù)的傳輸上被得到廣泛運用，比如各級調(diào)度機(jī)構(gòu)間數(shù)據(jù)傳輸、主站與分站間等。在傳統(tǒng)的生產(chǎn)業(yè)務(wù)系統(tǒng)中，其數(shù)字證書系統(tǒng)主要使用的是RSA密碼算法，但是與SM2算法相比，RSA算法的運算速度、加密強度等都比較弱。所以，RSA算法逐漸淡出能量管理信息系統(tǒng)的安全保護(hù)中，而SM2算法成為能量管理信息系統(tǒng)中主要的加密技術(shù)。根據(jù)實際應(yīng)用來看，SM2算法主要有三種應(yīng)用形式。如圖2所示。

圖2 SM2算法的應(yīng)用形式

圖中顯示的加密過程是用戶A將數(shù)據(jù)發(fā)送給用戶B，用戶A的公私鑰對應(yīng)的是（CertA，SkeyA），用戶B的公私鑰對應(yīng)的是（CertB，SkeyB）。

通過CertB對數(shù)據(jù)進(jìn)行加密，就算密文數(shù)據(jù)包ECertB被竊取，也不能對其進(jìn)行破解，因為私鑰SkeyB是由用戶B保存，這樣就可以保證數(shù)據(jù)傳輸?shù)陌踩院蜋C(jī)密性。

通過SkeyA對數(shù)據(jù)進(jìn)行加密，B收到信息之后，利用A的公鑰CertA解密。如果數(shù)據(jù)經(jīng)驗證之后確認(rèn)無誤（不是第三冒充），這樣就可以確定數(shù)據(jù)絕對是通過A發(fā)出，得出A不可抵賴的論證，從而保證數(shù)據(jù)傳輸?shù)牟豢傻仲囆浴?/p>

通過公鑰CertB和私鑰SkeyA對數(shù)據(jù)進(jìn)行雙重加密，就能保證數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性和機(jī)密性。

（三）數(shù)字簽名算法

SM2應(yīng)用的第二種形式保證了數(shù)據(jù)傳輸具有不可抵賴性。但是在能量管理信息系統(tǒng)中，基本上不使用私鑰中的不可抵賴運算將整個數(shù)據(jù)加密，而是先將數(shù)據(jù)經(jīng)過hash運算，然后通過私鑰加密，最后把加密結(jié)果加入到源數(shù)據(jù)中，這個過程就被稱作數(shù)字簽名算法，其具體過程如圖3所示。

圖3 數(shù)字簽名算法過程示意圖

（四）SM2算法的數(shù)字證書系統(tǒng)

SM2算法雖然把數(shù)據(jù)傳輸?shù)臋C(jī)密性和不可抵賴性問題解決了，但是關(guān)于通信實體自身身份的合法性還沒有解決。以SM2算法為基礎(chǔ)的身份認(rèn)證系統(tǒng)，其身份的合法性應(yīng)得到證書機(jī)構(gòu)CA以及注冊機(jī)構(gòu)RA的確認(rèn)。針對這個系統(tǒng)，證書標(biāo)準(zhǔn)是X.509，證書的格式如圖4所示。

圖4 X.509數(shù)字證書標(biāo)準(zhǔn)

三、以SM2算法為基礎(chǔ)的身份證的實現(xiàn)

在供電局生產(chǎn)業(yè)務(wù)系統(tǒng)的標(biāo)準(zhǔn)配置中，裝備了EMS能量管理系統(tǒng)服務(wù)器、SCADA服務(wù)器和歷史數(shù)據(jù)服務(wù)器等，利用管理終端工作站，調(diào)度員管理和監(jiān)控電力生產(chǎn)系統(tǒng)。

以SM2算法為基礎(chǔ)的身份認(rèn)證系統(tǒng)的登錄方式是USB-KEY。USB-KEY中不僅包括了用戶的信息，還包括了私鑰的信息，只有獲得了認(rèn)證中心的認(rèn)證，才能對系統(tǒng)進(jìn)行訪問，其認(rèn)證體系主要以PKI為基礎(chǔ)。

（一）USB-KEY的證書簽發(fā)

USB-KEY數(shù)字證書系統(tǒng)證書的制作過程：（如圖5所示）。

圖5 USB-KEY的數(shù)字證書制作過程

第一步，USB-KEY與數(shù)字證書系統(tǒng)連接，數(shù)字證書系統(tǒng)將其進(jìn)行初始化的處理，USB-KEY內(nèi)部電路生成公私密鑰對;第二步，USB-KEY提出證書請求，然后將其文件P#10發(fā)送到數(shù)字證書系統(tǒng);第三步，數(shù)字證書系統(tǒng)按照9#10文件，根據(jù)X.509的格式制作USB-KEY的數(shù)字證書，該證書就包括了數(shù)字簽名。

（二）管理終端的證書簽發(fā)

管理終端工作站的數(shù)字證書還是需要數(shù)字證書系統(tǒng)簽發(fā)，實際上就是將根數(shù)字證書安裝到管理終端工作站中，這種數(shù)字證書也擁有證書系統(tǒng)的公鑰。其格式和USB-KEY證書簽發(fā)的過程相似，且其登錄方式也變成USB-KEY的登錄方式。

四、結(jié)語

身份鑒別技術(shù)是數(shù)據(jù)庫安全中非常重要的加密技術(shù)，根據(jù)能量管理信息系統(tǒng)應(yīng)用身份鑒別技術(shù)的現(xiàn)狀來看，能量管理信息系統(tǒng)中主要采用口令方式的身份鑒別，這種方式在安全強度上較弱。而以SM2算法為基礎(chǔ)身份鑒別技術(shù)在非對稱密碼算法中在加密速度和加密高強度上都要優(yōu)于RSA密碼算法。通過USB-KEY方式作為身份鑒別系統(tǒng)，又讓這種算法的又具有一定可操作性。因此，在能量管理信息系統(tǒng)的等級保護(hù)中采用這種身份鑒別技術(shù)對系統(tǒng)的身份鑒別強度較高。

參考文獻(xiàn)

[1]朱世順.信息安全等級保護(hù)在能電力信息系統(tǒng)中的應(yīng)用[J].電力信息化，2010，（04）.

[2]張海彬.黑龍江省能量電力信息系統(tǒng)等級保護(hù)技術(shù)安全設(shè)計[J].電力信息化，2010，（07）.

[3]易振宇.電力信息系統(tǒng)等級保護(hù)實施淺談[J].信息安全與通信保密，2011，（12）.