鄧偉+聞楷+張浩+張鹍

引言

配電網(wǎng)是智能電網(wǎng)整體架構(gòu)中最關(guān)鍵的組成部分，是連接配電主站和配電終端并實(shí)現(xiàn)配電自動(dòng)化業(yè)務(wù)的重要橋梁。隨著信息化與工業(yè)化的融合，配電網(wǎng)建設(shè)和運(yùn)行管理自動(dòng)化水平大幅度提升，無(wú)線通信等新技術(shù)迅猛發(fā)展，也給配電自動(dòng)化系統(tǒng)引入更多安全漏洞，加之攻擊手段不斷升級(jí)，配電網(wǎng)面臨的安全風(fēng)險(xiǎn)也在不斷增加，信息安全形勢(shì)日益嚴(yán)峻。而配電數(shù)據(jù)作為配電網(wǎng)的基礎(chǔ)，需要有效的安全防護(hù)措施來(lái)保障配電自動(dòng)化業(yè)務(wù)正常運(yùn)行。

1配電網(wǎng)數(shù)據(jù)安全防護(hù)現(xiàn)狀

為了滿足電力行業(yè)關(guān)于配電網(wǎng)信息安全防護(hù)的要求，在數(shù)據(jù)的安全防護(hù)方面，目前采取的主要措施是通過(guò)對(duì)稱密碼算法實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的加密、以及使用非對(duì)稱密碼算法實(shí)現(xiàn)數(shù)據(jù)加密密鑰的協(xié)商、數(shù)字簽名認(rèn)證，以增強(qiáng)對(duì)數(shù)據(jù)的機(jī)密性、認(rèn)證性的安全防護(hù)；在網(wǎng)絡(luò)安全協(xié)議的方面，文獻(xiàn)分別提出了使用安全套接字（SSL）協(xié)議，IPSec協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全封裝與傳輸。上述的安全方案和協(xié)議，無(wú)論是非對(duì)稱加密算法還是數(shù)字簽名技術(shù)，均屬于傳統(tǒng)的公鑰密碼體制（Public-Key Cryptog.raphy，PKC），在實(shí)際的應(yīng)用中，都需要解決公鑰的管理問(wèn)題。目前，針對(duì)PKC密碼體制的通常做法是通過(guò)建立一個(gè)公鑰基礎(chǔ)設(shè)施（Public Key Infra.structure，PKI）來(lái)為合法的網(wǎng)絡(luò)節(jié)點(diǎn)頒發(fā)數(shù)字證書(shū)，以實(shí)現(xiàn)節(jié)點(diǎn)身份與其公鑰的綁定。但是PKI本身是一個(gè)十分龐大而復(fù)雜的系統(tǒng)，特別是當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)目急劇增長(zhǎng)時(shí)，就會(huì)給PKI證書(shū)的存儲(chǔ)和管理帶來(lái)極大的負(fù)擔(dān)。在配電網(wǎng)中，當(dāng)主站和終端的通信距離較遠(yuǎn)時(shí)，證書(shū)的上傳下載、驗(yàn)證等過(guò)程就會(huì)造成較大的通信開(kāi)銷，從而影響配電業(yè)務(wù)的實(shí)時(shí)性。

基于身份的密碼體制（Identity-Based Cryptog.raphy，IBC）的出現(xiàn)，解決了PKC密碼體制的公鑰管理問(wèn)題，原因在于IBC密碼體制保證了節(jié)點(diǎn)身份與其公鑰的自然一致性。但在IBC密碼體制中，存在密鑰托管和密鑰分發(fā)的問(wèn)題，這在一定程度上限制了IBC密碼體制的大規(guī)模使用。但對(duì)于小型的配電區(qū)域，如子站和終端的通信網(wǎng)絡(luò)，目前已經(jīng)提出了基于IBC密碼體制的配電終端設(shè)備認(rèn)證方案。目前，國(guó)家密碼管理局于2016年正式發(fā)布了基于IBC體制的SM9密碼算法標(biāo)準(zhǔn)，這意味著使用IBC密碼體制設(shè)計(jì)配電網(wǎng)安全通信方案滿足了電力行業(yè)推薦使用國(guó)密算法的需求。

本文擬根據(jù)配電網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和通信方式的特征，并結(jié)合PKC體制較為成熟的優(yōu)點(diǎn)和IBC體制公鑰管理方便的優(yōu)點(diǎn)，設(shè)計(jì)一個(gè)基于PKC和IBC體制的數(shù)據(jù)加密認(rèn)證方案，預(yù)期應(yīng)滿足節(jié)點(diǎn)身份的認(rèn)證性、數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性的安全性目標(biāo)。

2配電網(wǎng)數(shù)據(jù)加密認(rèn)證方案的設(shè)計(jì)

2.1配電網(wǎng)加密認(rèn)證方案的總體設(shè)計(jì)

目前，配電自動(dòng)化網(wǎng)絡(luò)采用了三層的網(wǎng)絡(luò)結(jié)構(gòu)，即配電主站、配電子站、配電終端3個(gè)層次。其中，配電子站屬于可選項(xiàng)，位于配電網(wǎng)的中間層，在配電網(wǎng)中起著承上接下作用。在由配電主站直接管控的區(qū)域（下稱“主站所轄區(qū)域”），直接采用“主站.終端”的通信方式，對(duì)于非主站直接管控的區(qū)域（下稱“子站所轄區(qū)域”），采用了“主站-子站-終端”的通信方式。

根據(jù)配電網(wǎng)結(jié)構(gòu)以及通信方式的特點(diǎn)，本文提出了基于“PKC+IBC”的數(shù)據(jù)加密認(rèn)證方案來(lái)實(shí)現(xiàn)配電業(yè)務(wù)數(shù)據(jù)的安全防護(hù)。該方案的特點(diǎn)是：在主站與其所轄區(qū)域內(nèi)的終端以及所有的子站采用了PKC密碼體制來(lái)實(shí)現(xiàn)節(jié)點(diǎn)間的數(shù)據(jù)加密認(rèn)證；對(duì)于設(shè)置有配電子站的區(qū)域，采用了IBC密碼體制來(lái)實(shí)現(xiàn)該區(qū)域子站和終端的數(shù)據(jù)加密認(rèn)證。則基于“PKC+IBC”的數(shù)據(jù)加密認(rèn)證方案的總體架構(gòu)如圖1所示：

圖1實(shí)際上給出了兩種終端配電的情形，對(duì)于主站所轄區(qū)域內(nèi)的終端，直接采用基于PKC的數(shù)據(jù)加密認(rèn)證方式；對(duì)于子站所轄區(qū)域內(nèi)的終端，采用了如圖1所示的基于PKI+IBC的兩層加密認(rèn)證結(jié)構(gòu)：第一層是主站和子站（或主站所轄終端）的加密認(rèn)證，采用的是基于PKC的加密認(rèn)證技術(shù)；第二層是子站和終端的加密認(rèn)證，采用的是基于IBC的加密認(rèn)證技術(shù)?？梢灶A(yù)見(jiàn)，由于第二層加密認(rèn)證方式采用了基于IBC的密碼體制，不需要使用數(shù)字證書(shū)來(lái)保證終端身份和公鑰的一致性，將顯著減輕PKI系統(tǒng)的數(shù)字證書(shū)的管理負(fù)擔(dān)。

因此，對(duì)于主站所轄區(qū)域內(nèi)的終端配電業(yè)務(wù)，應(yīng)采用基于PKC的加密認(rèn)證方式；對(duì)于子站所轄區(qū)域的終端配電業(yè)務(wù)，采用了PKC+IBC的加密認(rèn)證方式，相應(yīng)地，子站應(yīng)同時(shí)配置基于PKC的安全模塊和基于IBC的安全模塊。下面將對(duì)這兩種通信方式分別設(shè)計(jì)相應(yīng)的加密認(rèn)證方案。

2.2基于PKC的加密認(rèn)證方案的設(shè)計(jì)

該方案適用于使用PKC密碼體制和PKI數(shù)字證書(shū)的主站與其所轄區(qū)域內(nèi)終端以及子站之間的安全通信場(chǎng)景中。所涉及的密碼算法有：對(duì)稱密碼算法，包括加密算法E1與相應(yīng)的解密算法D1；非對(duì)稱密碼算法，包括加密算法E2與相應(yīng)的解密算法D2；數(shù)字簽名算法，包括簽名算法S與相應(yīng)的驗(yàn)證算法V，相應(yīng)地，對(duì)于節(jié)點(diǎn)U，其加密證書(shū)和簽名證書(shū)分別為Certtn，Certm，加密公私鑰對(duì)和簽名公私鑰{QUl，Su1}和{QU2，Su2）。設(shè)該方案通信過(guò)程的發(fā)送方（通常指主站）和接收方（通常指子站或終端）分別記作A和B，則其加密認(rèn)證過(guò)程如下：

（1）A向B發(fā)送配電控制請(qǐng)求信息M，請(qǐng)求內(nèi)容包括B的加密證書(shū)和簽名證書(shū)；

（2）B向A發(fā)送回應(yīng)消息，其中，是B簽名的時(shí)間戳，是B的簽名；

（3）A先驗(yàn)證的有效性，然后驗(yàn)證的有效性；驗(yàn)證通過(guò)后，使用隨機(jī)產(chǎn)生的密鑰K加密配電指令M得到Cl=E1（K，M），并使用B的公鑰Q1加密K得到C2=E2（Q2，K）；最后，使用A的私鑰S2對(duì)密文C=（C2，C2）以及A證書(shū)CertA2、時(shí)間戳T進(jìn)行簽名得到并將數(shù)據(jù)發(fā)送給B；

（4）B驗(yàn)證C和T的有效性，然后判斷tagA的有效性；驗(yàn)證通過(guò)后，則使用私鑰S1解密C2，得到K=D2（S1，C2），最后，使用K解密C，得到M=D2（K，CI），通信結(jié)束。endprint

對(duì)該方案的補(bǔ)充說(shuō)明如下：

i.以上過(guò)程涉及到數(shù)字證書(shū)的驗(yàn)證，應(yīng)包括離線的證書(shū)信息的正確性檢查和在線的證書(shū)狀態(tài)的有效性檢查；

ii.在對(duì)稱加密算法的選擇上，宜采用國(guó)密算法，如SMl，SM4以及祖沖之算法（ZUC），其中，SMl和SM4屬于分組密碼算法，ZUC屬于序列密碼算法[1引。在加密模式的選擇上，宜采用計(jì)數(shù)器模式（CTR），以提高加解密效率并增強(qiáng)語(yǔ)義安全性；

iii.非對(duì)稱加密算法和數(shù)字簽名算法宜采用基于ECC機(jī)制的密碼算法，如SM2加密算法和SM2簽名算法。采用ECC機(jī)制的密碼算法時(shí)，目前推薦的安全的密鑰長(zhǎng)度至少為160比特；

iv.對(duì)于上述步驟（3，4），可以加入一個(gè)整數(shù)Ⅳ作為該通信過(guò)程的警戒閾值，若驗(yàn)證失敗的次數(shù)達(dá)到了Ⅳ，則認(rèn)為存在DoS攻擊，此時(shí)應(yīng)終止本次通信，并發(fā)出告警信息。

2.3基于IBC的加密認(rèn)證子方案的設(shè)計(jì)

該方案僅適用于采用IBC密碼體制的子站與其所轄區(qū)域內(nèi)終端的安全通信場(chǎng)景中，由于配電業(yè)務(wù)需要主站參與，因此本方案需要結(jié)合2.2基于PKC的加密認(rèn)證方案一起使用，因此這里設(shè)計(jì)的僅僅是2.4基于PKC+IBC加密認(rèn)證方案的子方案。

本方案涉及的密碼算法有：對(duì)稱密碼算法，包括加密算法且與相應(yīng)的解密算法D1；基于身份的加密算法（以下簡(jiǎn)稱IBE），包括加密算法E2與相應(yīng)的解密算法D；基于身份的簽名算法（以下簡(jiǎn)稱IBS），包括簽名算法S與相應(yīng)的驗(yàn)證算法V。此外，本方案還涉及一個(gè)可信的PKG（Private Key Gen.erator），并配備有嚴(yán)格的安全防護(hù)措施，為便于設(shè)備管理，可將PKG置于子站側(cè)，并設(shè)置物理隔離，防止子站獲取PKG的非法權(quán)限。則PKG的初始化和節(jié)點(diǎn)密鑰的生成過(guò)程如下：

（1）系統(tǒng)參數(shù)的生成。以安全的參數(shù)作為輸入，生成系統(tǒng)主密鑰MSK和系統(tǒng)公鑰PK，該過(guò)程由PKG完成，對(duì)外公開(kāi)系統(tǒng)公鑰PK，并秘密地保存系統(tǒng)主密鑰MSK；

（2）節(jié)點(diǎn)公私鑰的生成。節(jié)點(diǎn)公鑰由節(jié)點(diǎn)ID和公開(kāi)的公鑰計(jì)算函數(shù)計(jì)算得到，設(shè)IBE公鑰計(jì)算函數(shù)為H，IBS公鑰計(jì)算函數(shù)為H2。則節(jié)點(diǎn)U的IBE公鑰為Qul=H（ID），IBS公鑰為Qu2=H2（IDU）。而節(jié)點(diǎn)U的IBE私鑰S1和IBS私鑰S2由PKG秘密生成，并通過(guò)安全的方式返回給對(duì)應(yīng)的節(jié)點(diǎn)。則節(jié)點(diǎn)U擁有兩個(gè)公私鑰對(duì)，即。

設(shè)配電通信的發(fā)送方（通常指子站）記為A，接收方（通常指終端）記為B，則通信過(guò)程如下：

（1）A先產(chǎn)生一個(gè)隨機(jī)的密鑰K，對(duì)配電指令M加密得到；然后計(jì)算B的公鑰Q并加密K得到C2=，最后，使用A的私鑰S2對(duì)密文C=（C1，C2）以及A的簽名時(shí)間戳T進(jìn)行簽名得到tagA=s，并將數(shù)據(jù)發(fā)送給B；

（2）B先驗(yàn)證時(shí)間戳T的有效性，然后驗(yàn)證tagA的有效性，驗(yàn)證通過(guò)后，則使用B的私鑰S解密C2得到K=D2，并使用K解密Cl，得到M=D，通信結(jié)束。

對(duì)該方案的補(bǔ)充說(shuō)明如下：

i.終端節(jié)點(diǎn)身份的注冊(cè)問(wèn)題。當(dāng)終端節(jié)點(diǎn)部署到子站所轄區(qū)域時(shí)，應(yīng)向子站提出注冊(cè)申請(qǐng)，再由子站代理向主站提出終端注冊(cè)申請(qǐng)。該過(guò)程由專職的運(yùn)維人員離線完成。

ii.PKG系統(tǒng)參數(shù)的生成和節(jié)點(diǎn)私鑰的分發(fā)過(guò)程由專職的運(yùn)維人員離線完成。而公鑰不需要在在線傳送，節(jié)點(diǎn)可以根據(jù)身份ID自行計(jì)算；

iii-在IBE、IBS的選擇上，宜采用國(guó)密標(biāo)準(zhǔn)SM9加密算法和SM9簽名算法；

iv.在對(duì)稱加密算法的選擇上，宜采用國(guó)密算法，如SM1，SM4以及祖沖之算法（ZUC），其中，SMl和SM4屬于分組密碼算法，ZUC屬于序列密碼算法。在加密模式的選擇上，宜采用計(jì)數(shù)器模式（CTR），以提高加解密效率并增強(qiáng)語(yǔ)義安全性；

V.對(duì)于上述步驟（2），可以加入一個(gè)整數(shù)Ⅳ作為該通信過(guò)程的警戒閾值，若驗(yàn)證失敗的次數(shù)達(dá)到了Ⅳ，則認(rèn)為存在DoS攻擊，此時(shí)應(yīng)終止本次通信，并發(fā)出告警信息。

2.4基于PKC+IBC的加密認(rèn)證方案的設(shè)計(jì)

此方案適用于配置有子站作為中間節(jié)點(diǎn)的主站與終端的通信過(guò)程。該方案是對(duì)2.2和2.3的結(jié)合。設(shè)主站、子站、終端分別為A、B、c；則主站到終端的配電通信過(guò)程如下：

（1）A向B發(fā)送配電請(qǐng)求消息；

（2）B向A發(fā)送回應(yīng)消息，該消息包括B的公鑰證書(shū)及B的簽名值；

（3）A使用基于PKC的加密認(rèn)證方案封裝配電控制命令，并發(fā)送給B；

（4）B對(duì)A發(fā)來(lái)的數(shù)據(jù)進(jìn)行驗(yàn)證.解密，得到配電控制命令，然后使用基于IBC的加密認(rèn)證方案封裝該配電控制命令，并發(fā)送給c；

（5）c采用基于IBC的加密認(rèn)證方案對(duì)子站發(fā)來(lái)的報(bào)文進(jìn)行驗(yàn)證一解密等過(guò)程，得到來(lái)自主站的配電控制命令，通信結(jié)束。

上述步驟是對(duì)方案2.2和2.3的結(jié)合，為避免重復(fù)做了簡(jiǎn)化敘述，步驟（1，2，3）和（4，5）應(yīng)分別按照方案2.2和2.3嚴(yán)格執(zhí)行。

3配電網(wǎng)數(shù)據(jù)加密認(rèn)證方案的分析

本部分將結(jié)合配電網(wǎng)的具體應(yīng)用環(huán)境對(duì)第2部分提出的加密認(rèn)證方案進(jìn)行安全性與通信效率分析。

3.1安全性分析

這里從節(jié)點(diǎn)身份的認(rèn)證性，數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性等角度來(lái)討論本方案的安全性。

3.1.1節(jié)點(diǎn)身份的認(rèn)證性

對(duì)于節(jié)點(diǎn)身份的認(rèn)證，本文采用了簽名認(rèn)證的方式。方案2.2和2.4采用的公鑰密碼體制不同，其簽名認(rèn)證的過(guò)程也有區(qū)別。

首先，分析方案2.2基于PKC的加密認(rèn)證式。該方案有兩次簽名認(rèn)證的過(guò)程：①B簽名A認(rèn)證的過(guò)程（方案2.2的第二、三步）；②A簽名B認(rèn)證的過(guò)程（方案2.2的第三、四步）。下面以簽名認(rèn)證過(guò)程為例，說(shuō)明節(jié)點(diǎn)身份認(rèn)證的安全性。

對(duì)簽名認(rèn)證過(guò)程而言，攻擊者E的目標(biāo)是冒充B的身份和A取得后續(xù)的通信，E可以通過(guò)截獲篡改的方式來(lái)達(dá)到該目的。endprint

該過(guò)程B發(fā)給A的數(shù)據(jù)為A在接收到該數(shù)據(jù)后，會(huì)檢查B的證書(shū)有效性，包括證書(shū)持有者身份的檢查，CA簽名值的驗(yàn)證等過(guò)程。故攻擊者E為了冒充B的身份，只能提供B的合法證書(shū)，否則就會(huì)在證書(shū)檢查階段被A發(fā)現(xiàn)。接著A驗(yàn)證B的簽名值有效性，由于E沒(méi)有B的私鑰，故不能偽造B的合法簽名。因此，該簽名認(rèn)證過(guò)程是安全的，A能確信數(shù)據(jù)（CertRl llCertB2 II%lltagB）確實(shí)來(lái)自B，故該過(guò)程實(shí)現(xiàn)了A對(duì)B的單向認(rèn)證。

同理，簽名認(rèn)證過(guò)程②實(shí)現(xiàn)了B對(duì)A的單向認(rèn)證，因此，該方案提供了節(jié)點(diǎn)A和B身份的雙向認(rèn)證。

然后分析基于PKC+IBC的加密認(rèn)證方案?；赑KC+IBC的加密認(rèn)證方案以方案2.2為子方案，因此下面重點(diǎn)討論2.3基于IBC的加密認(rèn)證子方案的身份認(rèn)證性。

在基于IBC的加密認(rèn)證方案中，簽名認(rèn)證的過(guò)程只有一個(gè)，即A簽名B認(rèn)證的過(guò)程。該過(guò)程A發(fā)給B的數(shù)據(jù)為（C1 Il C2 llIDAll玖lltagA），B接收到數(shù)據(jù)會(huì)檢驗(yàn)ID字段是否是A的IDA，然后計(jì)算A的IBS公鑰乏lA2，然后驗(yàn)證簽名值tagA的正確性。同樣，在此過(guò)程中，攻擊者Eve的目標(biāo)是冒充A的身份，因此，攻擊者E只能發(fā)送A的身份IDA，但由于E沒(méi)有A的IBS私鑰甌：，故無(wú)法偽造A的合法簽名。因此，B能確信數(shù)據(jù)（q ll C2 llIDAll曩lltagA）確實(shí)來(lái)自A，故該過(guò)程實(shí)現(xiàn)了B對(duì)A的單向認(rèn)證。3.1.2數(shù)據(jù)的不可否認(rèn)性和完整性

本方案采用了數(shù)字簽名技術(shù)來(lái)保證數(shù)據(jù)的不可否認(rèn)性和完整性。其中方案2.2有兩次基于PKC的簽名操作，方案2.3有一次基于IBC的簽名操作。盡管兩者使用的密碼體制不同，但其本質(zhì)都是一致的，都屬于非對(duì)稱密碼體制，只有使用簽名者獨(dú)有的私鑰對(duì)才能對(duì)消息產(chǎn)生合法的簽名，并且只有使用簽名者的公鑰才能驗(yàn)證該簽名的正確性。因此，下面僅以方案2.2中節(jié)點(diǎn)A簽名B驗(yàn)證的過(guò)程來(lái)說(shuō)明數(shù)據(jù)的不可否認(rèn)性和完整性。

所謂的不可否認(rèn)性，是指節(jié)點(diǎn)在事后不能否認(rèn)其數(shù)據(jù)的生成、簽發(fā)、接收等行為。在A簽名B驗(yàn)證的過(guò)程中，是由A在時(shí)間內(nèi)生成的用自己特有的私鑰對(duì)消息的數(shù)字簽名，由于該私鑰只有A知道，因此其他人不能生成該簽名，當(dāng)B接收到該數(shù)據(jù)時(shí)，就可以使用A的公鑰驗(yàn)證該簽名值的正確性，驗(yàn)證通過(guò)后，B就能確定該消息是A在T時(shí)間內(nèi)生成并簽發(fā)的數(shù)據(jù)，因此A不能在事后否定自己發(fā)送過(guò)該消息。關(guān)于節(jié)點(diǎn)B接收的不可否認(rèn)性，則需要結(jié)合其他非密碼學(xué)的手段來(lái)保證，如日志審計(jì)系統(tǒng)等。

對(duì)于完整性，攻擊者E可以對(duì)數(shù)據(jù)中的任意字段甚至任一比特進(jìn)行刪除、替換或重排序等非法的操作。假設(shè)攻擊者在不知道簽名者A私鑰S的情況下，對(duì)上述數(shù)據(jù)進(jìn)行了篡改，那么B在執(zhí)行簽名驗(yàn)證算法V時(shí)，必然會(huì)得出FALSE的結(jié)果，從而得知當(dāng)前的數(shù)據(jù)完整性遭到破壞。反之，若簽名驗(yàn)證通過(guò)，則B就能確信該數(shù)據(jù)是完整性的。

3.1.3數(shù)據(jù)的機(jī)密性

本文的方案2.2和2.3均采用了數(shù)字信封技術(shù)來(lái)保證配電控制命令M和對(duì)稱密鑰K的機(jī)密性。對(duì)消息M采用對(duì)稱加密算法E1和密鑰K加密得到C1，并采用非對(duì)稱加密算法E2和接收方公鑰對(duì)K加密得到C2，則數(shù)據(jù)就構(gòu)成了一個(gè)數(shù)字信封。當(dāng)然，數(shù)據(jù)的機(jī)密性取決于加密算法E1和E2的安全性。對(duì)于E1的選擇，本方案推薦使用國(guó)密標(biāo)準(zhǔn)算法SM1、SM4或ZUC算法，并使用CTR模式以增強(qiáng)明文的語(yǔ)義安全性；對(duì)于E2的選擇，推薦使用基于ECC的國(guó)密標(biāo)準(zhǔn)算法SM2或SM9。

攻擊者E的主要目標(biāo)是獲取M的相關(guān)信息或者解密C1得到M。

對(duì)于獲取M的相關(guān)信息。由于每次加密使用的密鑰K不同，所以M會(huì)被加密成不同的密文。且本方案提出CTR模式，使得M的不同明文分組會(huì)被加密成不同的密文分組，從而屏蔽了M的結(jié)構(gòu)信息。因此，攻擊者E通過(guò)若干次通信過(guò)程截獲的密文C1不能確定M的有效信息。

對(duì)于解密C1得到M。此時(shí)攻擊者E需要獲取相應(yīng)的解密密鑰K，E可以通過(guò)解密來(lái)C獲取密鑰K，又或者使用窮舉密鑰攻擊來(lái)獲取K。顯然，E沒(méi)有接收方的私鑰S故不能解密G獲取密鑰K。而當(dāng)E使用窮舉密鑰攻擊時(shí)，當(dāng)解密結(jié)果的語(yǔ)義正確時(shí)，才認(rèn)為攻擊成功。然而本方案所推薦的國(guó)密算法，SM1、SM4以及ZUC算法，其密鑰長(zhǎng)度都達(dá)到了128位，滿足了目前抵抗窮舉密鑰攻擊的安全需求。因此，綜上所述，本方案保證了數(shù)據(jù)的機(jī)密性。

事實(shí)上，目前數(shù)字信封技術(shù)已經(jīng)在安全電子交易協(xié)議（Secure Electronic Transaction，SET）中得到應(yīng)用，并歷經(jīng)了實(shí)際應(yīng)用環(huán)境的安全性檢驗(yàn)。

3.1.4抗重放攻擊和DoS攻擊的安全性

關(guān)于重放攻擊。攻擊者E攻擊方法是截獲發(fā)送方A的一段有效的消息，在一段時(shí)間后，在向接收方B重新發(fā)送此消息，該消息就能通過(guò)B的簽名驗(yàn)證。在本方案中，通過(guò)在被簽的消息中加入時(shí)間戳T，再進(jìn)行數(shù)字簽名，則接收方B在接收到消息之后首先驗(yàn)證T的有效性，才進(jìn)行后續(xù)的驗(yàn)簽一解密過(guò)程，從而避免重放攻擊。

關(guān)于拒絕服務(wù)攻擊（DoS）。攻擊者E在消息的傳輸過(guò)程中對(duì)其進(jìn)行篡改或偽造行為都會(huì)導(dǎo)致接收方B無(wú)法驗(yàn)證簽名的正確性。如果攻擊者E惡意破壞數(shù)據(jù)，或向B發(fā)送大量無(wú)效的數(shù)據(jù)，就會(huì)導(dǎo)致B耗費(fèi)大量的計(jì)算資源，從而達(dá)到拒絕服務(wù)的目的。在本方案中，通過(guò)適當(dāng)?shù)匾胍粋€(gè)警戒閾值N，要求在一定時(shí)間內(nèi)，若簽名驗(yàn)證失敗的次數(shù)超過(guò)N，就認(rèn)為有攻擊者在實(shí)施DoS攻擊，此時(shí)就應(yīng)該放棄本次通信，從而降低DoS的危害。

3.2通信效率分析

由3.1的安全性分析可知，本方案實(shí)現(xiàn)了配電網(wǎng)節(jié)點(diǎn)身份的認(rèn)證性，數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性的安全性目標(biāo)。且由于本方案對(duì)配置有子站區(qū)域的終端配電通信過(guò)程采用了PKC和IBC結(jié)合的加密認(rèn)證方式，由于不需要維護(hù)該類終端的數(shù)字證書(shū)，將有效降低PKI的證書(shū)管理負(fù)擔(dān)。因此，下面在討論可用性時(shí)，重點(diǎn)考慮本方案通信效率。endprint

分兩種情況來(lái)討論本方案的通信效率問(wèn)題，即：（1）對(duì)于主站所轄區(qū)域內(nèi)的終端所采用的基于PKC的加密認(rèn)證方式；（2）對(duì)于配置有子站的終端節(jié)點(diǎn)所采用的基于PKC+IBC的加密認(rèn)證方式。

分析第（1）種方式。首先，在通信的輪數(shù)上，方案2.2需要3次數(shù)據(jù)的傳送過(guò)程，即：A向B發(fā)送配電控制請(qǐng)求消息；B向A發(fā)送B的數(shù)字證書(shū)；③A向B發(fā)送配電控制命令，接收方通過(guò)“驗(yàn)簽.解密”的過(guò)程來(lái)獲得相應(yīng)數(shù)據(jù)，并將反饋信息簽名之后發(fā)送給發(fā)送方的過(guò)程。該通信過(guò)程如圖2所示：

其次，考慮通信帶寬問(wèn)題。主要分析消息和的數(shù)據(jù)長(zhǎng)度，消息的內(nèi)容為包含兩個(gè)證書(shū)，一個(gè)時(shí)間戳和簽名值。消息的內(nèi)容為，包含了一個(gè)數(shù)字信封、證書(shū)、時(shí)間戳和簽名值。IETF RFC 2459指出DSA證書(shū)和RSA證書(shū)的大小均不超過(guò)700字節(jié)。假設(shè)上面的數(shù)據(jù)均采用160比特（模數(shù)）的SM2簽名算法，則簽名值的長(zhǎng)度約為320比特（合40字節(jié)），假設(shè)配電控制命令M的長(zhǎng)度為128比特（16字節(jié)），時(shí)間戳的長(zhǎng)度為8字節(jié)，并使用160比特（模數(shù)）的SM2加密算法，則數(shù)字信封的長(zhǎng)度約為128+160+256+128=669比特（合84字節(jié)）。因此，消息的長(zhǎng)度約為1448字節(jié)，消息的長(zhǎng)度約為832字節(jié)。由于消息中的C，是為了給A提供SM2加密密鑰，因此可以考慮使用B的公鑰Q（約160比特）代替加密證書(shū)C的傳輸，改進(jìn)后的消息的長(zhǎng)度約為768字節(jié)。因此，綜上所述，本方案的單次通信的數(shù)據(jù)量不超過(guò)1000字節(jié)，可以滿足通信帶寬的要求。

分析第（2）種方式。首先，在通信的輪數(shù)上，方案2.4需要4次數(shù)據(jù)的傳送過(guò)程，前三次消息的傳送和第（1）種方式完全形同，只是接收方B由終端變成了子站，消息則是子站B向終端c發(fā)送配電控制命令的過(guò)程。該通信過(guò)程如圖3所示。

顯然，相對(duì)于第（1）種通信方式，方案2.4的通信的次數(shù)并沒(méi)有明顯的增加。

其次，考慮通信帶寬問(wèn)題。前三次通信的過(guò)程數(shù)據(jù)長(zhǎng)度和第一種方式的分析完全相同，這里只討論消息的數(shù)據(jù)長(zhǎng)度。仍假設(shè)配電控制命令的長(zhǎng)度為128比特（合16字節(jié)），且消息的生成使用了160比特（模數(shù)）的SM9加密算法和簽名算法，并假設(shè)D和T都是8個(gè)字節(jié)，由SM9加密和簽名輸出長(zhǎng)度可知，長(zhǎng)度約為576比特（合72字節(jié)），數(shù)字信封的長(zhǎng)度約為128+160+128+256=672比特（合84字節(jié)）。因此，消息的長(zhǎng)度約為172字節(jié)，遠(yuǎn)遠(yuǎn)小于基于PKC加密認(rèn)證方式的通信數(shù)據(jù)量。

再次，考慮節(jié)點(diǎn)數(shù)據(jù)處理問(wèn)題。在方案2.2和2.4中，數(shù)字信封的生成過(guò)程都與時(shí)間戳無(wú)關(guān)，完全可以使用預(yù)計(jì)算的方式，特別是子站采用的SM9加密算法大量的計(jì)算都與被加密的消息無(wú)關(guān)，因此，通過(guò)預(yù)計(jì)算的方式可以顯著降低在線運(yùn)算量。對(duì)于消息M的加密推薦使用CTR模式，該模式的預(yù)計(jì)算和并行處理特性也能加快數(shù)據(jù)加解密速度。

事實(shí)上，方案2.4也加強(qiáng)了子站的認(rèn)證功能，在信號(hào)容易受到干擾的通信環(huán)境中使用方案2.4，子站就可以對(duì)主站發(fā)來(lái)的報(bào)文進(jìn)行完整性檢驗(yàn)，若驗(yàn)證失敗，就不再將數(shù)據(jù)轉(zhuǎn)發(fā)給終端。因此，子站起到了數(shù)據(jù)過(guò)濾的作用，通過(guò)這種方式，性能受限的終端也可以避免接收過(guò)多的無(wú)效數(shù)據(jù)，從而提高了網(wǎng)絡(luò)的穩(wěn)定性。

4結(jié)束語(yǔ)

本文提出了一個(gè)基于PKC和IBC的配電數(shù)據(jù)的加密認(rèn)證方案，該方案結(jié)合了PKC體制成熟和IBC體制公鑰管理方便的特性，能有效緩解現(xiàn)有PKI公鑰證書(shū)的存儲(chǔ)、管理負(fù)擔(dān)。本文針對(duì)兩種通信場(chǎng)景分別設(shè)計(jì)了配電網(wǎng)數(shù)據(jù)加密認(rèn)證方案，加強(qiáng)了子站和終端的數(shù)據(jù)認(rèn)證功能，實(shí)現(xiàn)了節(jié)點(diǎn)的身份認(rèn)證性，數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性等安全目標(biāo)。本文所提出來(lái)的方案，只需要3或4次的數(shù)據(jù)傳送即可安全地將配電數(shù)據(jù)傳送到配電終端，且每次發(fā)送的數(shù)據(jù)均不超過(guò)1000字節(jié)，滿足通信帶寬的要求，通過(guò)預(yù)計(jì)算的數(shù)據(jù)處理方式可以進(jìn)一步提高配電數(shù)據(jù)的通信效率。endprint