楊新歡，丁志遠(yuǎn)，陳忠賢

（貴州大學(xué)，貴州 貴陽(yáng) 550025）

0 引 言

隨著經(jīng)濟(jì)的發(fā)展，電網(wǎng)建設(shè)不斷加速，變電站規(guī)模擴(kuò)大和變電設(shè)備質(zhì)量提高，其檢修周期也相應(yīng)拓寬，運(yùn)維人員去特定變電站的機(jī)會(huì)逐漸減少。同時(shí)，城鄉(xiāng)建設(shè)道路的發(fā)展，建筑街景等參考地貌逐年改變，使得變電站周邊參考地貌改變，造成工作人員對(duì)變電站地址和行駛路徑不熟悉，影響達(dá)到現(xiàn)場(chǎng)的時(shí)間。商用定位導(dǎo)航設(shè)備已非常成熟，但因變電站關(guān)系國(guó)計(jì)民生，其地址屬?lài)?guó)家保密數(shù)據(jù)，商用定位導(dǎo)航設(shè)備并未存儲(chǔ)變電站信息，無(wú)法直接對(duì)變電站實(shí)現(xiàn)定位導(dǎo)航。此外，高電壓等級(jí)變電站多坐落于荒郊野外，周?chē)狈Ρ匾獏⒖嘉锟捎糜谏虡I(yè)定位導(dǎo)航設(shè)備中的輔助定位。所以，如何在地址保密下實(shí)現(xiàn)變電站定位導(dǎo)航是關(guān)鍵性問(wèn)題[1-3]。

針對(duì)以上問(wèn)題，南網(wǎng)公司以往采用了一些導(dǎo)航技術(shù)來(lái)解決此問(wèn)題[4-5]。采用配網(wǎng)地理信息GIS系統(tǒng)，通過(guò)單位現(xiàn)有的配網(wǎng)地理信息系統(tǒng)尋找目標(biāo)，研讀衛(wèi)星地圖，并按衛(wèi)星地圖提供的影像到達(dá)現(xiàn)場(chǎng)。優(yōu)點(diǎn)是部分發(fā)達(dá)地區(qū)的供電局已經(jīng)建立了配網(wǎng)GIS系統(tǒng)，可給尋址提供參考。存在的不足是衛(wèi)星地圖陳舊、偏差大，不能定位自身位置，不具備自動(dòng)導(dǎo)航功能。它并非針對(duì)配網(wǎng)用電客戶(hù)現(xiàn)場(chǎng)開(kāi)發(fā)，未明確標(biāo)示出變電站的位置，使用時(shí)僅能起到參考作用，耗時(shí)耗力。

建立專(zhuān)用變電站電子地圖系統(tǒng)，研制專(zhuān)門(mén)針對(duì)用電客戶(hù)現(xiàn)場(chǎng)位置的電子地圖，建立數(shù)據(jù)庫(kù)，收集變電站地理坐標(biāo)并拍攝用戶(hù)街景照片，使客戶(hù)尋址的過(guò)程在有電子地圖系統(tǒng)輔助的情況下完成。優(yōu)點(diǎn)是可實(shí)時(shí)更新，具備定位、導(dǎo)航功能。存在的不足是需要編寫(xiě)程序，建立地理坐標(biāo)數(shù)據(jù)庫(kù)，架設(shè)專(zhuān)門(mén)的服務(wù)器，需要的人力、財(cái)力較多。這需要營(yíng)銷(xiāo)系統(tǒng)提供專(zhuān)業(yè)的數(shù)據(jù)接口，而在南網(wǎng)公司統(tǒng)一的新?tīng)I(yíng)銷(xiāo)系統(tǒng)模式下，申請(qǐng)專(zhuān)用數(shù)據(jù)接口非常難，短期內(nèi)不具有實(shí)際意義。

伴隨著電網(wǎng)公司輸電設(shè)備的逐步智能化和電網(wǎng)建設(shè)的不斷加速，電網(wǎng)數(shù)據(jù)的通信安全性成為研究熱點(diǎn)和需求點(diǎn)。但是，由于電網(wǎng)數(shù)據(jù)的敏感保密性，大部分已有的計(jì)算機(jī)網(wǎng)絡(luò)的安全體系并不能完全應(yīng)用于解決電網(wǎng)數(shù)據(jù)通信的安全問(wèn)題中。目前，在電網(wǎng)系統(tǒng)實(shí)時(shí)數(shù)據(jù)通信過(guò)程中，通常采用網(wǎng)絡(luò)物理隔離或者虛擬專(zhuān)用網(wǎng)（VPN）的方式。文獻(xiàn)[1]中提出了對(duì)電力變電站實(shí)時(shí)數(shù)據(jù)進(jìn)行加密的構(gòu)想，但并未做出具體研究方案。

鑒于電網(wǎng)數(shù)據(jù)的通信安全問(wèn)題，首先通過(guò)分析電網(wǎng)數(shù)據(jù)通信的體系結(jié)構(gòu)和數(shù)據(jù)特征，確定影響數(shù)據(jù)通信安全的兩大關(guān)鍵問(wèn)題，即數(shù)據(jù)訪問(wèn)者身份認(rèn)證問(wèn)題和敏感數(shù)據(jù)的傳輸問(wèn)題；其次，結(jié)合HMAC身份認(rèn)證技術(shù)、KDC密鑰管理、SM2橢圓曲線公鑰加密、AES數(shù)據(jù)加密等技術(shù)，提出了一種適用于電網(wǎng)數(shù)據(jù)通信的安全服務(wù)方案；再次，分析該方案的有效性和安全性；最后，給出了該方案在電網(wǎng)變電站位置導(dǎo)航中的實(shí)際應(yīng)用，完成變電站的安全導(dǎo)航，實(shí)現(xiàn)電網(wǎng)設(shè)備的精益化運(yùn)維。

1 電網(wǎng)數(shù)據(jù)通信安全體系結(jié)構(gòu)

1.1 電網(wǎng)數(shù)據(jù)通信安全架構(gòu)

根據(jù)電網(wǎng)整體結(jié)構(gòu)體系，結(jié)合電網(wǎng)數(shù)據(jù)通信過(guò)程的安全需求，可以將數(shù)據(jù)通信安全架構(gòu)分為3大塊[6]，如圖1所示。

圖1 數(shù)據(jù)通信安全架構(gòu)

其中，I區(qū)為外部網(wǎng)絡(luò)，客戶(hù)端通過(guò)外部網(wǎng)絡(luò)對(duì)電網(wǎng)局域網(wǎng)內(nèi)部系統(tǒng)進(jìn)行訪問(wèn)與數(shù)據(jù)操作。第一道防火墻，實(shí)現(xiàn)對(duì)電網(wǎng)中心局域網(wǎng)的安全保護(hù)。利用防火墻的過(guò)濾功能，實(shí)現(xiàn)它與電力上級(jí)網(wǎng)、Internet之間的相互訪問(wèn)控制。

II區(qū)中，速通防火墻的入侵檢測(cè)模塊，實(shí)現(xiàn)對(duì)調(diào)度中心局域網(wǎng)的安全保護(hù)。利用速通防火墻可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，與防火墻模塊聯(lián)動(dòng)，自動(dòng)調(diào)整控制規(guī)則，為整個(gè)局域網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。

III區(qū)為電網(wǎng)內(nèi)部網(wǎng)，包含電網(wǎng)應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器以及KDC密鑰管理中心。三者構(gòu)成了電網(wǎng)內(nèi)部私有云，存儲(chǔ)了電網(wǎng)系統(tǒng)中的敏感數(shù)據(jù)和其他設(shè)備的信息。它的內(nèi)網(wǎng)邊界的第二道防火墻自帶的認(rèn)證功能，可以實(shí)現(xiàn)內(nèi)部用戶(hù)認(rèn)證，同時(shí)可以結(jié)合用戶(hù)原有的域用戶(hù)認(rèn)證或者radius認(rèn)證，實(shí)現(xiàn)用戶(hù)級(jí)的訪問(wèn)控制。

1.2 電網(wǎng)數(shù)據(jù)通信安全分析

一般的數(shù)據(jù)通信過(guò)程中涉及兩個(gè)重要的問(wèn)題[7]：①認(rèn)證（鑒別）問(wèn)題，確保通信雙方的合法性和數(shù)據(jù)的真實(shí)性，防止篡改、冒充等主動(dòng)攻擊；②保密性問(wèn)題，防止攻擊者破譯系統(tǒng)服務(wù)器中的機(jī)密信息。

通過(guò)電網(wǎng)數(shù)據(jù)通信安全架構(gòu)分析可以看到，針對(duì)數(shù)據(jù)通信安全威脅主要包括以下3個(gè)。

1.2.1 身份認(rèn)證和非授權(quán)訪問(wèn)

在電網(wǎng)系統(tǒng)的一般安全防范中，僅依靠用戶(hù)ID和口令的認(rèn)證很不安全，容易被猜測(cè)或盜取，帶來(lái)大的安全風(fēng)險(xiǎn)。非授權(quán)的用戶(hù)通過(guò)假冒、身份攻擊等違反安全策略的操作，避開(kāi)系統(tǒng)的安全機(jī)制或利用安全系統(tǒng)中的缺陷，對(duì)電網(wǎng)內(nèi)部服務(wù)器資源進(jìn)行非正常使用。因此，需要基于應(yīng)用服務(wù)和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶(hù)身份認(rèn)證與授權(quán)控制機(jī)制，以區(qū)別不同的用戶(hù)和信息訪問(wèn)者，并授予他們不同的信息訪問(wèn)和事務(wù)處理權(quán)限。

1.2.2 數(shù)據(jù)的監(jiān)聽(tīng)和竊取

監(jiān)聽(tīng)是指攻擊者借助于技術(shù)設(shè)備、技術(shù)手段等獲取傳輸信息?？蛻?hù)端和服務(wù)器端經(jīng)過(guò)網(wǎng)絡(luò)信道傳輸數(shù)據(jù)的過(guò)程中可能存在信息被監(jiān)聽(tīng)、數(shù)據(jù)被竊取等情況，所以在整個(gè)網(wǎng)絡(luò)信道中傳輸?shù)臄?shù)據(jù)必須是經(jīng)過(guò)嚴(yán)格處理的密文，防止發(fā)生數(shù)據(jù)丟失等情況。

1.2.3 未授權(quán)的信息破壞和篡改

攻擊者可能在網(wǎng)絡(luò)傳輸信道中途截獲數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行破壞或篡改。通信雙方可以通過(guò)對(duì)數(shù)據(jù)進(jìn)行完整性校驗(yàn)來(lái)檢測(cè)完整性。然而，依然存在一個(gè)威脅，即如果攻擊者對(duì)數(shù)據(jù)完整性校驗(yàn)碼本身進(jìn)行修改，接收用戶(hù)依然會(huì)認(rèn)為數(shù)據(jù)完整性被破壞而丟棄數(shù)據(jù)。所以，在通信雙方進(jìn)行數(shù)據(jù)傳輸?shù)倪^(guò)程中，在數(shù)據(jù)包中引入身份鑒別機(jī)制和時(shí)間戳來(lái)防止信息破壞和篡改。

針對(duì)上述的安全分析，結(jié)合電網(wǎng)系統(tǒng)中客戶(hù)端與服務(wù)器端的通信機(jī)制，提出了HMAC身份認(rèn)證技術(shù)。利用具有唯一性的手機(jī)mac值與服務(wù)器端產(chǎn)生的臨時(shí)會(huì)話隨機(jī)值進(jìn)行哈希運(yùn)算，實(shí)現(xiàn)身份認(rèn)證機(jī)制。具體地，通過(guò)KDC密鑰管理中心生成具有時(shí)效性的會(huì)話密鑰；利用SM2橢圓曲線公鑰加密和數(shù)字簽名，實(shí)現(xiàn)會(huì)話密鑰的共享和通信雙方的有效認(rèn)證；采用AES數(shù)據(jù)加密構(gòu)建混合加密體制，完成敏感數(shù)據(jù)的安全傳輸，使得攻擊者（沒(méi)有通過(guò)安全系統(tǒng)認(rèn)證的用戶(hù)）即使截獲數(shù)據(jù)，也將由于無(wú)法解密而失效。

2 電網(wǎng)數(shù) 據(jù)通信系統(tǒng)中的身份認(rèn)證

2.1 身份認(rèn)證的選擇

在電網(wǎng)數(shù)據(jù)通信過(guò)程中采用“調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶(hù)證明身份，也需要這些服務(wù)器向用戶(hù)證明它們自己身份”的策略來(lái)保護(hù)位于服務(wù)器的用戶(hù)信息和數(shù)據(jù)資源。電網(wǎng)系統(tǒng)中，數(shù)據(jù)的通信服務(wù)主要是客戶(hù)端和內(nèi)部服務(wù)器端，用戶(hù)可以有選擇性地查找和接收數(shù)據(jù)?；陔娋W(wǎng)數(shù)據(jù)通信的特點(diǎn)，系統(tǒng)采用基于密碼的身份驗(yàn)證技術(shù)作為進(jìn)入系統(tǒng)的第一道關(guān)卡，既可以節(jié)約成本，又可以簡(jiǎn)單、有效地保障系統(tǒng)安全。

電網(wǎng)安全通信系統(tǒng)中，客戶(hù)端要訪問(wèn)私有服務(wù)器時(shí)，首先要進(jìn)行服務(wù)器對(duì)客戶(hù)端的身份認(rèn)證，來(lái)驗(yàn)證客戶(hù)端用戶(hù)身份的合法性。該系統(tǒng)中采用HMAC身份認(rèn)證技術(shù)，整個(gè)認(rèn)證模型由認(rèn)證編碼器、密鑰源和認(rèn)證譯碼器三部分組成。認(rèn)證編碼器對(duì)發(fā)送的消息產(chǎn)生認(rèn)證碼，密鑰源產(chǎn)生時(shí)效性隨機(jī)密鑰K，認(rèn)證譯碼器對(duì)接收到的消息進(jìn)行驗(yàn)證。

消息認(rèn)證過(guò)程如下：

（1）客戶(hù)端向服務(wù)器端發(fā)出登錄請(qǐng)求；

（2）由服務(wù)器端的密鑰源產(chǎn)生具有時(shí)效性的隨機(jī)密鑰K返回給客戶(hù)端；

（3）客戶(hù)端的認(rèn)證編碼器用隨機(jī)密鑰K對(duì)發(fā)出的消息生成認(rèn)證消息，并發(fā)送給服務(wù)器端；

（4）服務(wù)器端接收到認(rèn)證消息后，由認(rèn)證譯碼器驗(yàn)證消息的合法性，若合法則接受，否則丟棄。

2.2 身份認(rèn)證的過(guò)程

根據(jù)電網(wǎng)數(shù)據(jù)用戶(hù)的特點(diǎn)，數(shù)據(jù)通信系統(tǒng)將分配給用戶(hù)無(wú)重復(fù)的工號(hào)。用戶(hù)在客戶(hù)端處通過(guò)用戶(hù)名和登錄密碼進(jìn)行登錄請(qǐng)求Q。服務(wù)器端接收到登錄請(qǐng)求Q后，返回一個(gè)具有時(shí)效性的隨機(jī)數(shù)K給客戶(hù)端作為響應(yīng)，并在會(huì)話中記錄K。然后，客戶(hù)端將自動(dòng)獲取其設(shè)備唯一標(biāo)識(shí)符mac值，并將此mac值與K做HMAC運(yùn)算，得到信息摘要HMAC(K,mac)，隨后將此信息摘要發(fā)送到服務(wù)器端。

同時(shí)，服務(wù)器端使用該隨機(jī)數(shù)K與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中該用戶(hù)的mac地址進(jìn)行HMAC運(yùn)算。然后，將服務(wù)器的運(yùn)算結(jié)果與客戶(hù)端的運(yùn)算結(jié)果做比較。若結(jié)果一致，則通過(guò)認(rèn)證，用戶(hù)獲取到訪問(wèn)電網(wǎng)數(shù)據(jù)的服務(wù)權(quán)限；若結(jié)果不一致，則駁回申請(qǐng)，登錄失敗。具體身份認(rèn)證過(guò)程如圖2所示。

圖2 身份認(rèn)證過(guò)程

其中，HMAC算法表示為：

HMAC消息認(rèn)證技術(shù)可以驗(yàn)證通信雙方接受的授權(quán)數(shù)據(jù)和認(rèn)證數(shù)據(jù)，同時(shí)可以確認(rèn)服務(wù)器端接受到的命令請(qǐng)求是已授權(quán)的請(qǐng)求，且可以保證命令在傳送過(guò)程中沒(méi)有被改動(dòng)過(guò)。此外，會(huì)話過(guò)程中的隨機(jī)值K具有時(shí)效性，可以降低密鑰泄露帶來(lái)的危害。

3 電網(wǎng)數(shù)據(jù)安全傳輸

在電網(wǎng)數(shù)據(jù)通信系統(tǒng)中，安全的用戶(hù)身份認(rèn)證體制保證了系統(tǒng)的訪問(wèn)安全，而系統(tǒng)中的數(shù)據(jù)傳輸安全也是重要的研究?jī)?nèi)容。用戶(hù)訪問(wèn)系統(tǒng)內(nèi)網(wǎng)時(shí)，客戶(hù)端與服務(wù)器端的數(shù)據(jù)傳輸應(yīng)該采用端對(duì)端的加密方式。數(shù)據(jù)在信道和交換節(jié)點(diǎn)上均以密文的形式存在。

此外，進(jìn)行實(shí)時(shí)數(shù)據(jù)傳輸。在建立安全信道后，通信雙方用共享的會(huì)話密鑰KS對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行AES對(duì)稱(chēng)加密傳輸，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全傳輸。在一次會(huì)話結(jié)束后，KDC會(huì)撤銷(xiāo)當(dāng)次的會(huì)話密鑰，實(shí)現(xiàn)“一次一密”的加密方式，從而保證數(shù)據(jù)傳輸過(guò)程的安全。

3.1 安全信道的建立

首先建立安全信道。在電網(wǎng)系統(tǒng)實(shí)時(shí)數(shù)據(jù)通信過(guò)程中，通過(guò)可信第三方KDC密鑰分配中心產(chǎn)生會(huì)話密鑰KS，利用SM2橢圓曲線公鑰加密和數(shù)字簽名實(shí)現(xiàn)客戶(hù)端和服務(wù)器端之間會(huì)話密鑰KS的共享，從而建立安全信道。

3.1.1 基于KDC的一次一密體制設(shè)計(jì)

KDC（Key Distribution Center） 是 Kerberos協(xié)議的重要組成部分，用來(lái)管理和分配公開(kāi)密鑰。由于公認(rèn)的安全性、可信性，它是目前密鑰分配最有效的方法[8]。

對(duì)于一個(gè)KDC密鑰中心來(lái)說(shuō)，至少應(yīng)具備以下主要功能[9]：

（1）能夠分配并存儲(chǔ)與之相連的各終端用戶(hù)的公鑰，并保證產(chǎn)生的公鑰經(jīng)過(guò)嚴(yán)格的隨機(jī)性檢驗(yàn)。

（2）能夠使用隨機(jī)數(shù)或偽隨機(jī)發(fā)生器產(chǎn)生會(huì)話密鑰。

（3）能夠向確立保密連接的兩個(gè)用戶(hù)發(fā)送隨機(jī)會(huì)話密鑰，并保證會(huì)話密鑰是加密的。

（4）能夠識(shí)別需要建立用戶(hù)的身份標(biāo)識(shí)符。

（5）能夠有較完善的自我檢驗(yàn)功能。

（6）能夠在不影響網(wǎng)絡(luò)通信效率的前提下，為兩個(gè)用戶(hù)建立保密連接。

在電網(wǎng)數(shù)據(jù)通信的過(guò)程中，為了保證消息的機(jī)密性要求，通信雙方在會(huì)話密鑰共享過(guò)程中同時(shí)通過(guò)簽名進(jìn)行身份確認(rèn)，完成通信雙方握手過(guò)程建立安全信道，保證會(huì)話的安全性。

假設(shè)A希望與B進(jìn)行通信，需要在本地產(chǎn)生各自的公鑰對(duì)，將公鑰PKA和PKB存入KDC的公鑰列表，A和B則各自擁有私鑰SKA和SKB?；贙DC的密鑰分發(fā)和認(rèn)證過(guò)程如圖3所示。

圖3 基于KDC的會(huì)話密鑰共享過(guò)程

（1）KDC接收到A發(fā)出的會(huì)話密鑰請(qǐng)求。密鑰請(qǐng)求消息包含A和B的身份標(biāo)識(shí)符，表示A希望獲取與B進(jìn)行通信的會(huì)話密鑰。

A收到KDC回復(fù)的密鑰請(qǐng)求應(yīng)答消息，即：

密鑰應(yīng)答消息包含4項(xiàng)內(nèi)容，且用A的公鑰加密保證該消息只有A才能解密。第一項(xiàng)內(nèi)容是一次性會(huì)話密鑰KS；第二項(xiàng)內(nèi)容是B的公鑰PKB；第三項(xiàng)內(nèi)容是用B的公鑰進(jìn)行加密的一次性會(huì)話密鑰KS和A的公鑰，這項(xiàng)內(nèi)容A收到后直接向B轉(zhuǎn)發(fā)，用于證明自己的身份；第四項(xiàng)內(nèi)容是當(dāng)前時(shí)間節(jié)點(diǎn)T1，以確定應(yīng)答消息沒(méi)有受到重放攻擊。

（3）A進(jìn)行相應(yīng)的解密操作，即：

由此獲得會(huì)話密鑰KS、時(shí)間節(jié)點(diǎn)T1以及由KDC發(fā)送給B的數(shù)據(jù)包。

（4）A向B發(fā)送數(shù)據(jù)包：

發(fā)送的內(nèi)容包含2項(xiàng)內(nèi)容。第一項(xiàng)是KDC密鑰中心生成的給B的數(shù)據(jù)包，由A代發(fā)給B；第二項(xiàng)是A用自己的私鑰簽名的會(huì)話密鑰和兩個(gè)時(shí)間節(jié)點(diǎn)T1、T2，用于和B進(jìn)行身份認(rèn)證，以確定數(shù)據(jù)在傳輸過(guò)程中沒(méi)有受到竊漏與篡改。

（5）B進(jìn)行解密數(shù)據(jù)包：

獲得會(huì)話密鑰KS，并對(duì)比由KDC發(fā)送的KS與客戶(hù)端A發(fā)送的KS是否一致，同時(shí)比較兩次時(shí)間節(jié)點(diǎn)的間隔，確保會(huì)話的可靠性。

（6）B向A發(fā)送數(shù)據(jù)包作為對(duì)A的應(yīng)答：

應(yīng)答消息是由A的公鑰加密后再用B的私鑰簽名的會(huì)話密鑰KS，以及三個(gè)時(shí)間加點(diǎn)T1、T2、T3，用來(lái)作為對(duì)A的消息應(yīng)答。

（7）A對(duì)B發(fā)來(lái)的消息進(jìn)行認(rèn)證：

A和B在密鑰傳輸過(guò)程又一次進(jìn)行身份認(rèn)證，保證通信雙方的真實(shí)性；對(duì)T1、T2和T3時(shí)間戳的檢驗(yàn)，更加確保密鑰傳輸過(guò)程中沒(méi)有被截取或者篡改。

通過(guò)以上步驟，會(huì)話密鑰KS被安全地分配給了A和B。

3.1.2 密鑰的產(chǎn)生

對(duì)于KDC密鑰中心，會(huì)話密鑰的產(chǎn)生是一個(gè)關(guān)鍵問(wèn)題，應(yīng)保證產(chǎn)生的會(huì)話密鑰是隨機(jī)或偽隨機(jī)的。為了滿(mǎn)足這個(gè)需求，這里采用如下算法來(lái)產(chǎn)生一次性會(huì)話密鑰[10]：

其中，TD為日期/時(shí)間值，K為密鑰，H的初始值為HMAC(K,mac)，即為通信雙方在身份認(rèn)證階段所作的哈希值，看作保密的種子值，每用一次其值都會(huì)進(jìn)行更換，加密操作采用AES加密。將R的值作為新產(chǎn)生的密鑰值，由于日期/時(shí)間值具有不可重復(fù)性和AES算法的良好特性，產(chǎn)生的密鑰具有很強(qiáng)的不可預(yù)測(cè)性，滿(mǎn)足了對(duì)密鑰的隨機(jī)性要求。

3.1.3 密鑰的分配、存儲(chǔ)和撤銷(xiāo)

用戶(hù)進(jìn)行保密通信前，需要通過(guò)密鑰分配中心產(chǎn)生會(huì)話密鑰并分配給用戶(hù)雙方。該會(huì)話密鑰需要通過(guò)加密密鑰進(jìn)行保護(hù)，而加密密鑰一般生存期較長(zhǎng)，可以通過(guò)手動(dòng)方式在KDC和用戶(hù)之間分配。

所有的密鑰產(chǎn)生后，會(huì)以密文形式存入密鑰表。密鑰表中每一項(xiàng)的主要內(nèi)容有標(biāo)志、密鑰名、本方身份、他方身份和密文等。由標(biāo)志域指出該密鑰是否可用。

當(dāng)需要撤銷(xiāo)用戶(hù)雙方共享的某一密鑰時(shí)，在密鑰表中根據(jù)密鑰名查找到該密鑰，置該項(xiàng)的標(biāo)志域?yàn)椤安豢捎谩奔纯伞Ｒ话銇?lái)說(shuō)，數(shù)據(jù)密鑰生存期很短，一旦雙方通信完畢，就將所用的數(shù)據(jù)密鑰予以撤銷(xiāo)，所以在一定程度上實(shí)現(xiàn)了“一次一密”的加密方式。

3.2 基于“一次一密”的數(shù)據(jù)加密傳輸過(guò)程

在通信雙方A和B建立安全信道后，進(jìn)行實(shí)時(shí)的數(shù)據(jù)傳輸，傳輸過(guò)程如圖4所示。

圖4 數(shù)據(jù)加密傳輸過(guò)程

（1）A首先用會(huì)話密鑰KS對(duì)要傳輸?shù)拿魑氖褂肁ES算法進(jìn)行加密得到密文。這里充分利用了AES算法加密速度快的優(yōu)勢(shì)。

（2）密文經(jīng)過(guò)網(wǎng)絡(luò)傳輸?shù)紹端，B使用會(huì)話密鑰KS對(duì)收到的內(nèi)容使用AES進(jìn)行解密，快速得到明文。B向A發(fā)送信息的過(guò)程使用同樣的步驟。

（3）當(dāng)前會(huì)話一旦結(jié)束，會(huì)話密鑰即被丟棄，下次會(huì)話需要重新生成新的會(huì)話密鑰。

4 安全分析

4.1 身份認(rèn)證過(guò)程的安全性分析

身份認(rèn)證模型如圖5所示。整個(gè)認(rèn)證過(guò)程中可能遭到安全攻擊的是密鑰源產(chǎn)生的隨機(jī)密鑰K和發(fā)送方HMAC消息認(rèn)證碼。根據(jù)這兩個(gè)值無(wú)法推算出用戶(hù)信息。密鑰源產(chǎn)生的隨機(jī)密鑰K只在當(dāng)前會(huì)話中有效，大大增強(qiáng)了安全性和實(shí)用性[11]。

圖5 身份認(rèn)證模型

在電網(wǎng)數(shù)據(jù)通信系統(tǒng)中應(yīng)用HMAC身份認(rèn)證技術(shù)，可以驗(yàn)證消息的信源和信宿，可以更加確保對(duì)消息來(lái)源的認(rèn)證。其次，可以驗(yàn)證消息在傳送過(guò)程中未被偽造和篡改，即對(duì)消息內(nèi)容的認(rèn)證；最后，可以驗(yàn)證消息在傳送過(guò)程中未被重傳或延遲等，即認(rèn)證消息的時(shí)效性。

4.2 該“一次一密”體制的安全性分析

（1）會(huì)話雙方身份的驗(yàn)證。傳統(tǒng)的一次一密體制中缺少對(duì)會(huì)話雙方身份的有效認(rèn)證，使得信息交換過(guò)程存在安全隱患。該“一次一密”方案在會(huì)話中實(shí)現(xiàn)了通信雙方的又一次身份驗(yàn)證，保證了會(huì)話雙方的身份真實(shí)性和可信賴(lài)性，防止網(wǎng)絡(luò)欺騙的攻擊。

（2）每次發(fā)起的會(huì)話在信息傳輸過(guò)程中都加入了當(dāng)前的時(shí)間節(jié)點(diǎn)，用于標(biāo)識(shí)本次會(huì)話的時(shí)間狀態(tài)，在產(chǎn)生會(huì)話密鑰的過(guò)程中驗(yàn)證時(shí)間節(jié)點(diǎn)的有效性，且每次會(huì)話發(fā)起的時(shí)間均不相同，防止了重放攻擊。

（3）由于會(huì)話的每個(gè)時(shí)刻的狀態(tài)不同，通信雙方過(guò)程中的隨機(jī)種子值也不一樣，保證了每次臨時(shí)會(huì)話密鑰都是不一樣的，真正實(shí)現(xiàn)了“一次一密”，大大簡(jiǎn)化了密鑰分配和管理，使得用戶(hù)可以方便、透明地使用本加密體制而不必關(guān)心具體的細(xì)節(jié)性問(wèn)題。

（4）充分利用AES和SM2橢圓曲線加密算法的優(yōu)點(diǎn)，利用SM2的安全性高的特點(diǎn)來(lái)加密機(jī)密性較高、數(shù)據(jù)量小的會(huì)話密鑰，利用AES加密速度快的優(yōu)勢(shì)加密會(huì)話期間的大量實(shí)時(shí)數(shù)據(jù)，滿(mǎn)足了在臨時(shí)會(huì)話期間的數(shù)據(jù)傳輸速度要求。

5 實(shí)際應(yīng)用

在實(shí)際的變電站路徑規(guī)劃和導(dǎo)航平臺(tái)的應(yīng)用中，巡檢人員通過(guò)工號(hào)id與手機(jī)唯一mac值進(jìn)行身份認(rèn)證，獲取到訪問(wèn)電網(wǎng)私有服務(wù)器權(quán)限。其次，在手機(jī)端建立與電網(wǎng)服務(wù)器端的安全信道，獲取實(shí)時(shí)的位置數(shù)據(jù)。最后，基于完善的地圖服務(wù)進(jìn)行二次開(kāi)發(fā)，配置離線地圖，實(shí)現(xiàn)與公網(wǎng)的隔離，并且在開(kāi)啟GPS、北斗導(dǎo)航等的前提下，在地圖上顯示變電站位置，規(guī)劃巡檢人員的巡檢路線，完成變電站安全導(dǎo)航，實(shí)現(xiàn)電網(wǎng)設(shè)備的精益化運(yùn)維。總體技術(shù)路線圖如圖6所示。

圖6 變電站導(dǎo)航總體技術(shù)路線

此研究成果用于防止電網(wǎng)涉密數(shù)據(jù)的泄露，應(yīng)用于巡檢人員的手機(jī)端與電網(wǎng)內(nèi)部服務(wù)器之間的數(shù)據(jù)通信。結(jié)合導(dǎo)航定位技術(shù)，增加了數(shù)據(jù)通信加密功能。通信過(guò)程中，采取多層保護(hù)手段保護(hù)數(shù)據(jù)安全，并將數(shù)據(jù)服務(wù)器架設(shè)在內(nèi)網(wǎng)中，不與外網(wǎng)連接，數(shù)據(jù)的接收與發(fā)送借助于VPN代理服務(wù)來(lái)完成，最大程度地保護(hù)數(shù)據(jù)安全。

6 結(jié) 語(yǔ)

分析電網(wǎng)數(shù)據(jù)通信系統(tǒng)的安全架構(gòu)，提出了一種適用于該層次架構(gòu)的安全方案，利用HMAC哈希認(rèn)證算法，實(shí)現(xiàn)了電網(wǎng)系統(tǒng)中用戶(hù)身份認(rèn)證與權(quán)限獲取，保證了電網(wǎng)私有服務(wù)器訪問(wèn)者的可靠性，解決了整個(gè)通信系統(tǒng)安全的第一道安全防護(hù)。此外，建立了一個(gè)安全可靠的通信信道，實(shí)現(xiàn)了電網(wǎng)敏感數(shù)據(jù)在網(wǎng)絡(luò)傳輸信道上的安全性，保證了數(shù)據(jù)的完整性和不可被篡改性。最后，解決了數(shù)據(jù)傳輸過(guò)程中的第二道安全防護(hù)，通過(guò)身份認(rèn)證和混合加密體制，實(shí)現(xiàn)了變電站位置的安全傳輸，解決了電網(wǎng)敏感數(shù)據(jù)安全防護(hù)問(wèn)題和電網(wǎng)運(yùn)維管理過(guò)程中變電站的位置導(dǎo)航問(wèn)題。