李紅嬌, 王曉飛

(上海電力學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090)

隨著網(wǎng)絡(luò)的發(fā)展,各類用電采集終端在智能電網(wǎng)建設(shè)中得到了廣泛應(yīng)用,但是由于采集終端本身結(jié)構(gòu)簡(jiǎn)單、用戶行為無安全管控行為、采集終端部署環(huán)境較為惡劣等問題,造成終端存在著大量的安全隱患,病毒、蠕蟲等惡意代碼通過采集終端漏洞攻擊信息網(wǎng)絡(luò),使網(wǎng)絡(luò)處于不安全狀態(tài)。目前普遍采用的認(rèn)證技術(shù)只以等待介入的終端是否擁有認(rèn)證協(xié)議的口令或密鑰來判斷是否接入網(wǎng)絡(luò),忽視了終端系統(tǒng)自身是否安全可信。用電采集終端屬于用電采集系統(tǒng)的底層設(shè)備,擁有龐大的數(shù)量,其安全性對(duì)整個(gè)系統(tǒng)來說顯得尤為重要。為保證終端可信,可在每個(gè)采集終端中加入可信度量模塊,從源頭上確保終端的安全,通過使用可信計(jì)算技術(shù)對(duì)采集終端可信狀態(tài)進(jìn)行判斷,用以顯著提升采集終端的安全防護(hù)能力。

可信計(jì)算技術(shù)是從計(jì)算機(jī)的體系結(jié)構(gòu)著手,從硬件安全方面出發(fā),建立一種信任鏈傳遞體系以保證終端的可信,從源頭上解決人與程序代碼、人與機(jī)器以及人與人之間的信任問題?？尚庞?jì)算組織[1](Trusted Compouting Group,TCG)用實(shí)體行為的預(yù)期性來定義“可信”:如果一個(gè)實(shí)體的行為是以預(yù)期的方式符合預(yù)期的目標(biāo),則實(shí)體是可信的。

目前針對(duì)可信度量中的現(xiàn)有問題,學(xué)者們提出了很多種模型與方法。現(xiàn)階段主要有基于模糊集合理論,基于度量區(qū)域模型,基于決策樹理論等。雖然現(xiàn)有的模型方法已經(jīng)很大程度上推動(dòng)了可信計(jì)算的發(fā)展,但是在度量效率以及隱私易泄露等方面還有待進(jìn)一步研究。通過使用可信計(jì)算來提升用電采集終端自身安全防護(hù)能力還存在以下不足:當(dāng)前可信計(jì)算平臺(tái)的實(shí)用性和可擴(kuò)展性未得到保障,還未有很好適用于用電采集終端的可信計(jì)算模型;現(xiàn)有的模型在建模過程中作出了各種主觀定義與假設(shè),可信終端的普及性以及靈活性得不到滿足;針對(duì)目前層出不窮的網(wǎng)絡(luò)攻擊,現(xiàn)有模型缺乏有效自適應(yīng)性和安全防護(hù)機(jī)制,模型的可信性較低。

本文針對(duì)上述問題提出了一種面向用電采集系統(tǒng)終端的可信度量方案。該方案以可信密碼模塊(Trusted Cryptography Module,TCM)為終端的可信芯片,并在可信度量環(huán)節(jié)中引入基于屬性的遠(yuǎn)程證明方法[2]。通過理論與實(shí)驗(yàn)分析可知,該方案可以有效改善二進(jìn)制遠(yuǎn)程證明效率較低、配置隱私易泄露等問題,提高了電力移動(dòng)終端的信息安全主動(dòng)防御能力。

1 用電采集系統(tǒng)終端結(jié)構(gòu)

用電采集系統(tǒng)是建設(shè)智能電網(wǎng)的物理基礎(chǔ),采用高級(jí)傳感、通信、自動(dòng)控制等技術(shù),及時(shí)采集、掌握用電信息,實(shí)現(xiàn)數(shù)據(jù)采集、數(shù)據(jù)管理、電能質(zhì)量數(shù)據(jù)統(tǒng)計(jì)和線損統(tǒng)計(jì)分析,發(fā)現(xiàn)用電異常情況,對(duì)電力用戶的用電負(fù)荷進(jìn)行監(jiān)測(cè)和控制。用電信息采集系統(tǒng)由主站、通信信道、采集終端3部分組成,其組成結(jié)構(gòu)如圖1所示。

圖1 用電信息采集系統(tǒng)組成結(jié)構(gòu)

用電采集系統(tǒng)終端包括電能計(jì)量裝置及采集終端、集中器、采集器等。各種終端作為獲取用電數(shù)據(jù)的源頭,數(shù)據(jù)泄密和病毒感染以及惡意篡改等情況層出不窮。采用傳統(tǒng)的安全防護(hù)技術(shù)(如防火墻、入侵檢測(cè)和殺毒軟件)進(jìn)行安全防護(hù),使得整個(gè)信息系統(tǒng)安全保障變得更加復(fù)雜,系統(tǒng)維護(hù)和管理的復(fù)雜度與成本不斷提高,使用效率大大降低。因此,將可信計(jì)算技術(shù)引入終端的安全防護(hù)顯得十分必要。

2 面向用電采集終端的可信度量方案

2.1 相關(guān)概念

定義1可信度量是指以TCM為底層核心,通過適用于用電采集終端的可信度量策略對(duì)其進(jìn)行可信認(rèn)證的過程。

(1) 模型對(duì)“可信”的界定,是指對(duì)平臺(tái)部件進(jìn)行完整性度量,所得到的度量值與預(yù)定義值一致,即可證明該部件可信。

(2) 模型對(duì)“預(yù)定義值”的界定,是指各平臺(tái)部件在創(chuàng)建之初或未被使用時(shí)得到的完整性度量序列[3-4]。其所有的度量序列集合構(gòu)成了本模型所需的預(yù)定義基準(zhǔn)值。

定義2可信根是模型信任的起點(diǎn),是判定平臺(tái)是否可信的依據(jù)。

在概念化模型中,可信根是判定終端平臺(tái)可信狀態(tài)的源點(diǎn),通過信任根執(zhí)行平臺(tái)完整性度量功能,確保信任鏈傳遞過程是可信賴的。

2.2 可信采集終端架構(gòu)

由于目前用電采集終端平臺(tái)體系結(jié)構(gòu)相對(duì)簡(jiǎn)單,而且軟件本身容易受到攻擊,因此利用操作系統(tǒng)或安全軟件無法有效解決計(jì)算平臺(tái)的可信賴問題。

終端可信平臺(tái)的主要設(shè)計(jì)思想是在信息終端的物理主板上設(shè)置一個(gè)安全芯片,作為安全底層模塊[5],配合系統(tǒng)軟件以保護(hù)主機(jī)的安全。其中,適用于用電采集系統(tǒng)的可信計(jì)算架構(gòu)平臺(tái)如圖2所示。

圖2 用電采集系統(tǒng)可信采集終端架構(gòu)

在可信計(jì)算平臺(tái)標(biāo)準(zhǔn)的實(shí)施規(guī)則中,可信終端應(yīng)包括以下4個(gè)功能與屬性:一是確保用戶唯一身份、權(quán)限、工作空間的完整性/可用性;二是確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用程序的完整性;三是確保密鑰操作和存儲(chǔ)的安全;四是確保系統(tǒng)具有免疫能力,從根本上阻止病毒和黑客等軟件的攻擊。

2.3 構(gòu)建思路

可信計(jì)算的研究核心是可信度量問題,可信度量是判定對(duì)象是否可信的一種方法,是對(duì)終端安全性的一種量化分析?？尚哦攘客ㄋ讈碚f就是根據(jù)預(yù)定義的規(guī)則和標(biāo)準(zhǔn),采用適用的方法對(duì)終端的各組件對(duì)象的屬性進(jìn)行測(cè)試、分析,并將所得度量值與預(yù)期度量值匹配,若符合預(yù)定義標(biāo)準(zhǔn),則可證明該終端可信。其構(gòu)建思路如下。

(1) 確定預(yù)期標(biāo)準(zhǔn) 確保終端平臺(tái)的狀態(tài)、功能、行為與結(jié)果時(shí)刻滿足用戶對(duì)用電采集終端的運(yùn)行期望。預(yù)期標(biāo)準(zhǔn)可以通過多種形式描述,其度量標(biāo)準(zhǔn)選擇的好壞決定了判定終端可信的準(zhǔn)確程度。本文以非易失性存儲(chǔ)器[6]中存儲(chǔ)的散列值為標(biāo)準(zhǔn)值,通過相應(yīng)的度量策略對(duì)終端各組件進(jìn)行認(rèn)證匹配,若兩次得到的哈希值一致,則可以判定為可信。

(2) 確定度量策略 對(duì)影響終端的各種因素進(jìn)行綜合分析,制定可行的可信度量策略對(duì)終端進(jìn)行可信判定[7]。在實(shí)施階段需要提出一種度量策略與標(biāo)準(zhǔn),將其應(yīng)用到度量對(duì)象上,并得到一組度量值。

(3) 進(jìn)行可信認(rèn)證 根據(jù)各度量對(duì)象對(duì)可信需求程度的不同,采用合適的評(píng)判度量方案對(duì)各組件進(jìn)行完整性度量。

可信度量認(rèn)證體系如圖3所示。

圖3 可信度量認(rèn)證體系

3 面向用電采集終端的可信度量實(shí)施方案

3.1 TCM安全芯片

TCM是我國自主研制的可信安全芯片。它提供了獨(dú)立的密碼算法支撐,是可信計(jì)算平臺(tái)[8]最重要的核心部件。在可信規(guī)范方面,TCM通過引入對(duì)稱算法(SMS4)保護(hù)用電采集終端的數(shù)據(jù),還使用了公鑰和對(duì)稱密鑰混合的密鑰保護(hù)體系結(jié)構(gòu)。用電采集終端作為獲取用電數(shù)據(jù)的源頭,數(shù)據(jù)泄密和病毒感染以及惡意篡改等情況層出不窮。為保障用電數(shù)據(jù)的真實(shí)性、完整性以及機(jī)密性,將TCM嵌入用電采集終端就顯得尤為重要。基于TCM平臺(tái)的密碼算法如圖4所示。

圖4 基于TCM平臺(tái)的密碼算法

TCM提供的密鑰類型[9]及功能如表1所示。與國外研制的芯片相比,TCM的主要特點(diǎn)是在存儲(chǔ)密鑰和綁定密鑰方面支持對(duì)稱加密算法,同時(shí)也增加了平臺(tái)密鑰類型,從而能更好地應(yīng)用于用電采集終端。

表1 TCM密鑰類型及功能

3.2 基于TCM的可信度量過程

3.2.1 可信度量的運(yùn)算和存儲(chǔ)過程

可信度量的運(yùn)算過程本質(zhì)上就是利用哈希函數(shù)進(jìn)行運(yùn)算。哈希算法可以將用電采集終端對(duì)象中任意長(zhǎng)度的數(shù)據(jù),通過哈希運(yùn)算,變換成固定長(zhǎng)度的散列值,而可信度量的存儲(chǔ)過程是將得到的哈希值保存到可信計(jì)算平臺(tái)狀態(tài)寄存器(Platform Configuration Register,PCR)中。此過程是用電采集終端完整性度量策略中數(shù)據(jù)在各個(gè)模塊間傳輸?shù)暮诵姆椒ā?/p>

若用公式的表示方法為:PCR新值=摘要(PCR舊值‖擴(kuò)展的數(shù)據(jù))[10],其含義就是將新度量得到的值連接到已經(jīng)生成的PCR值上,并將合并后的新值進(jìn)行哈希運(yùn)算,最后用得到的新值替換舊的PCR值。整個(gè)過程是通過TCM中存儲(chǔ)的調(diào)用函數(shù)Tspi_TCM_PcrExtend來完成的。此函數(shù)具有對(duì)PCR值擴(kuò)展的功能,通過可信密碼服務(wù)模塊調(diào)用TCS層的Tcsi_LogPcrEvent函數(shù)和Tcsi_Extend函數(shù)。其流程如圖5所示。

圖5 可信度量的運(yùn)算和存儲(chǔ)流程

3.2.2 終端完整性證明策略

基于屬性的遠(yuǎn)程證明[11]改善了二進(jìn)制遠(yuǎn)程證明效率較低、配置隱私易泄露等多種問題,是嵌入式終端可信度量領(lǐng)域最值得研究的方向。目前,用電采集終端完整性度量的研究已經(jīng)漸漸向?qū)嵱眯?、可擴(kuò)展性方面發(fā)展,基于屬性的遠(yuǎn)程證明作為目前最為實(shí)用高效的證明方法,將其引入用電采集終端,可有效保障用電數(shù)據(jù)采集與傳輸環(huán)節(jié)中數(shù)據(jù)的真實(shí)性及機(jī)密性。基于屬性的證明方法是通過度量用電采集終端的可信屬性,而不用度量其具體的配置?；趯傩缘倪h(yuǎn)程證明方法模型是借助一個(gè)中間介質(zhì)來區(qū)分屬性的可信級(jí)別,并以頒發(fā)屬性信任證書的形式實(shí)現(xiàn)區(qū)分。圖6為基于屬性的遠(yuǎn)程證明方案。

圖6 基于屬性的遠(yuǎn)程證明方案

圖6中,度量代理模塊(VP)相較于被度量終端(H)是二進(jìn)制度量平臺(tái)的身份,對(duì)于可信度量平臺(tái)(V)來說是一個(gè)基于屬性的被度量平臺(tái)。

(1) 度量者向VP首先提出遠(yuǎn)程證明的請(qǐng)求,請(qǐng)求內(nèi)容包括隨機(jī)數(shù)n,被度量平臺(tái)屬性的AIK證書,以及可信度量策略TPv;

(2) VP收到請(qǐng)求后,可向H發(fā)送n和AIK;

(3) TCM提取對(duì)應(yīng)的 PCR值給H;

(4) TCM通過AIK的私鑰通過上述運(yùn)算函數(shù)對(duì)PCR值和n簽名后,發(fā)送給終端;

(5) H向VP提供通過AIK簽名的度量事件日志以及TCM的Q值;

(6) VP通過再次計(jì)算log,保證正確的Q值,并向PC申請(qǐng)屬性信任證書;

(7) PC通過V遞交的TPv核實(shí)真實(shí)性,并對(duì)H發(fā)布屬性信任證書。

4 實(shí)驗(yàn)結(jié)果分析

由于可信度量方案對(duì)各個(gè)文件的度量方法是一致的,因此可選擇Sample文件作為實(shí)驗(yàn)分析的輸入數(shù)據(jù)。將Sample文件作為輸入數(shù)據(jù)并計(jì)算其哈希值,然后將其存儲(chǔ)到非易失性存儲(chǔ)器中,最終將包含PCR值和事件的可信度量報(bào)告一起發(fā)送給驗(yàn)證方。驗(yàn)證方可以從簽名中提取PCR的哈希值與度量日志中計(jì)算得到的哈希值進(jìn)行比較,兩者結(jié)果若一致,則可證明輸入數(shù)據(jù)的可信性。表2為完整性度量過程。

表2 完整性度量過程

5 結(jié) 語

本文將可信計(jì)算技術(shù)引入用電采集系統(tǒng)的建設(shè)中,在終端的可信度量環(huán)節(jié)引入基于TCM的遠(yuǎn)程屬性證明方案,并在方案中加入度量代理模塊,即可通過發(fā)送平臺(tái)的安全屬性來證明平臺(tái)的可信度,而不必再直接發(fā)送平臺(tái)的具體配置給驗(yàn)證者,這樣就可以保證被驗(yàn)證平臺(tái)的隱私不暴露給驗(yàn)證者。對(duì)于平臺(tái)的維護(hù)方面,無論是平臺(tái)硬件更新還是軟件升級(jí),只要更新后的平臺(tái)仍能滿足驗(yàn)證者安全屬性的要求即可,這樣驗(yàn)證者只要驗(yàn)證屬性安全級(jí)別而不必保存各種可信平臺(tái)的具體配置,由此解決了平臺(tái)的擴(kuò)展性問題。經(jīng)過理論及實(shí)驗(yàn)分析表明,本方案的引入,保障了用電采集終端可信認(rèn)證更高的效率以及可信性,對(duì)于后續(xù)研究具有一定的指導(dǎo)意義。