吳金宇，陳海倩，張麗娟，賴(lài)宇陽(yáng)

(1.中國(guó)南方電網(wǎng)有限責(zé)任公司，廣東 廣州 510623；2.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510623)

分布式能源和可控負(fù)荷等電網(wǎng)新元素動(dòng)態(tài)接入和大規(guī)模分布的特點(diǎn)對(duì)配電網(wǎng)提出了更高的要求。相較于傳統(tǒng)配電網(wǎng)，主動(dòng)配電網(wǎng)接入環(huán)境復(fù)雜，接入方式多樣，接入數(shù)量龐大，網(wǎng)絡(luò)結(jié)構(gòu)更為復(fù)雜，設(shè)備之間的信息交互更加頻繁、依賴(lài)性更強(qiáng)，導(dǎo)致信息安全威脅增大。為了防止信息傳輸泄露、篡改和損壞，本文針對(duì)主動(dòng)配電網(wǎng)的信息安全防護(hù)進(jìn)行研究[1-3]。

目前，國(guó)外針對(duì)主動(dòng)配電網(wǎng)進(jìn)行了諸多研究，并在西班牙、英國(guó)等國(guó)家進(jìn)行示范。其中，ADINE(active distribution network)示范工程最為突出，在不同場(chǎng)景中對(duì)大量接入的分布式發(fā)電進(jìn)行管理和實(shí)時(shí)模擬，解決了主動(dòng)配電網(wǎng)電能質(zhì)量及孤島運(yùn)行等問(wèn)題。國(guó)內(nèi)也開(kāi)展了豐富的主動(dòng)配電網(wǎng)研究，主要集中在協(xié)調(diào)控制、負(fù)荷預(yù)測(cè)和實(shí)時(shí)監(jiān)測(cè)等方面。文獻(xiàn)[4]基于負(fù)荷變化，通過(guò)建立數(shù)學(xué)模型實(shí)現(xiàn)動(dòng)態(tài)電壓協(xié)調(diào)控制，降低了網(wǎng)絡(luò)損耗。文獻(xiàn)[5]提出基于響應(yīng)度評(píng)估的響應(yīng)負(fù)荷預(yù)測(cè)模型，模擬負(fù)荷數(shù)據(jù)并進(jìn)行仿真，驗(yàn)證了負(fù)荷預(yù)測(cè)方法的有效性。文獻(xiàn)[6]提出一種基于多值復(fù)合的故障檢測(cè)方法，確保監(jiān)測(cè)終端數(shù)據(jù)的準(zhǔn)確性和可靠性，為故障分析提供了判別依據(jù)。

對(duì)于主動(dòng)配電網(wǎng)的安全防護(hù)不僅需要對(duì)設(shè)備進(jìn)行安全防護(hù)，更需要對(duì)設(shè)備之間傳輸?shù)男畔⑻峁┌踩雷o(hù)，確保信息不被盜用、篡改和破壞，保障主動(dòng)配電網(wǎng)的信息安全[7]。為此，本文對(duì)主動(dòng)配電網(wǎng)的信息安全防護(hù)進(jìn)行研究，針對(duì)主動(dòng)配電網(wǎng)的特征及所存在的信息安全問(wèn)題，利用可信計(jì)算技術(shù)提出區(qū)域能源互聯(lián)網(wǎng)信息安全防護(hù)方案，最后依據(jù)方案進(jìn)行示例驗(yàn)證。

1 主動(dòng)配電網(wǎng)安全防護(hù)

1.1 主動(dòng)配電網(wǎng)特征

傳統(tǒng)配電網(wǎng)的用電活動(dòng)較為被動(dòng)，分布式電能采用就地消納的方式。與傳統(tǒng)配電網(wǎng)相比，主動(dòng)配電網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)較為靈活，對(duì)于區(qū)域內(nèi)的能源供需可進(jìn)行調(diào)配，具有較高的可觀、可控水平[8-11]。傳統(tǒng)配電網(wǎng)缺乏對(duì)安全威脅的預(yù)測(cè)，而且不涉及全局優(yōu)化；而主動(dòng)配電網(wǎng)能夠采取預(yù)先感知、系統(tǒng)控制等手段來(lái)實(shí)現(xiàn)統(tǒng)籌優(yōu)化，確保目標(biāo)安全。兩者的具體差異見(jiàn)表1。

表1 主動(dòng)配電網(wǎng)與傳統(tǒng)配電網(wǎng)的差異Tab.1 Differences between active distribution network and traditional distribution network

1.2 主動(dòng)配電網(wǎng)信息安全

基于主動(dòng)配電網(wǎng)的智能電網(wǎng)架構(gòu)如圖1所示。

除了傳統(tǒng)發(fā)電外，可再生能源發(fā)電也成為用戶(hù)用電的重要供應(yīng)源，包括光伏發(fā)電、風(fēng)力發(fā)電、生物質(zhì)能發(fā)電等。主動(dòng)配電網(wǎng)在配電和用電的環(huán)節(jié)間還增加了雙向互動(dòng)智能電表等多種業(yè)務(wù)，電網(wǎng)信息網(wǎng)絡(luò)已延伸至用戶(hù)側(cè)[12-13]。

基于主動(dòng)配電網(wǎng)的智能電網(wǎng)潛在的安全威脅不容忽視，分析表明主要存在于以下位置。

a)分布式能源側(cè)(圖1中位置1)。分布式發(fā)電大規(guī)模并網(wǎng)使得主動(dòng)配電網(wǎng)電源接入結(jié)構(gòu)發(fā)生了變化(由單點(diǎn)多端型結(jié)構(gòu)轉(zhuǎn)變?yōu)槎帱c(diǎn)多端型結(jié)構(gòu)[14])，結(jié)構(gòu)改變可能會(huì)出現(xiàn)孤島運(yùn)行狀態(tài)，極易引發(fā)觸電事故造成人員傷亡[15]。

b)配電自動(dòng)化系統(tǒng)(圖1中位置2)。配電自動(dòng)化系統(tǒng)結(jié)構(gòu)的設(shè)計(jì)基于分層、分布式以及集中控制的思想[16]，共分為3層，分別為主站層、配電網(wǎng)通信層和終端設(shè)備層。各層次所面臨的信息安全問(wèn)題包括：①主站層——雖然通過(guò)前置機(jī)、防火墻等與配電子站實(shí)施物理隔離，但其本身可能存在安全隱患，容易被非法入侵，造成數(shù)據(jù)信息泄露；②通信層——電網(wǎng)信息傳輸所使用的光纖專(zhuān)用網(wǎng)絡(luò)和無(wú)線公網(wǎng)均存在著安全威脅的接入點(diǎn)，易被攻擊者利用造成破壞；③設(shè)備層——配電終端易被攻擊者竊取偽造，從而造成私密信息被復(fù)制、損壞[17-18]。

c)用電側(cè)(圖1中位置3)。智能表計(jì)具有較強(qiáng)的網(wǎng)絡(luò)功能，和用戶(hù)進(jìn)行信息交互的時(shí)候可能存在安全漏洞，易被攻擊者利用，從而對(duì)電網(wǎng)造成安全威脅。

2 安全可信防護(hù)方案

針對(duì)以上問(wèn)題，本文以區(qū)域能源互聯(lián)網(wǎng)為研究對(duì)象，以配電自動(dòng)化系統(tǒng)設(shè)計(jì)為參考依據(jù)，提出可信任鏈，其主要分為3層，分別為應(yīng)用可信層、網(wǎng)絡(luò)連接可信層以及節(jié)點(diǎn)可信層，結(jié)構(gòu)如圖2所示。

圖1 基于主動(dòng)配電網(wǎng)的智能電網(wǎng)Fig.1 Smart grid based on active distribution network

圖2 可信任鏈條示意圖Fig.2 Trusted chain diagram

底層能源節(jié)點(diǎn)均有身份標(biāo)識(shí)信息和狀態(tài)變量，通過(guò)光纖專(zhuān)網(wǎng)、GPRS無(wú)線公網(wǎng)以及TD-LTE無(wú)線專(zhuān)網(wǎng)等匯聚到交換機(jī)；然后各級(jí)交換機(jī)再匯聚到總路由器，在接入配電主站前需經(jīng)過(guò)配電專(zhuān)用安全接入網(wǎng)關(guān)，配電專(zhuān)用安全接入網(wǎng)關(guān)具有身份認(rèn)證、狀態(tài)監(jiān)測(cè)等功能，能夠?qū)δ茉垂?jié)點(diǎn)進(jìn)行身份識(shí)別，確保其是否處于安全可信狀態(tài)。配電業(yè)務(wù)采集器主要負(fù)責(zé)為主站采集各種業(yè)務(wù)數(shù)據(jù)，與配電業(yè)務(wù)前置機(jī)采用正反向隔離連接，最終將采集來(lái)的數(shù)據(jù)傳送至配電主站，供配電主站具體應(yīng)用服務(wù)進(jìn)行調(diào)用[19-20]。

要想達(dá)到整體主動(dòng)配電網(wǎng)系統(tǒng)安全可控，不受外界侵害，從源端建立可信機(jī)制尤為重要；因此節(jié)點(diǎn)可信成為整個(gè)系統(tǒng)提供信任的起點(diǎn)，網(wǎng)絡(luò)連接可信保證了各級(jí)節(jié)點(diǎn)間通信的安全，應(yīng)用可信為各節(jié)點(diǎn)和網(wǎng)絡(luò)提供服務(wù)支持，從而保障主動(dòng)配電網(wǎng)可信[21-23]。

2.1 可信配電終端硬件設(shè)計(jì)

為了對(duì)主動(dòng)配電網(wǎng)進(jìn)行安全防護(hù)，綜合運(yùn)用可信計(jì)算技術(shù)，設(shè)計(jì)以可信計(jì)算為基礎(chǔ)、以訪問(wèn)控制為核心、以安全管理為支撐的可信配電終端。

a)終端安全芯片。采用鼎信密碼芯片，含有計(jì)算機(jī)引擎CPU、易失和非易失存儲(chǔ)模塊以及國(guó)產(chǎn)密碼算法(SM1、SM2、SM3、SM4)引擎模塊，具備基本片上操作系統(tǒng)(chip operating system，COS)功能體系和密碼操作功能體系。

b)邏輯架構(gòu)?？尚排潆娊K端以硬件層的可信平臺(tái)為基礎(chǔ)，作為可信根[24]，其中為可信計(jì)算平臺(tái)提供密碼運(yùn)算服務(wù)的是可信密碼模塊(trusted cryptography module，TCM)。為了充分發(fā)揮TCM的計(jì)算功能，還需要在操作系統(tǒng)層實(shí)現(xiàn)基于安全協(xié)議的可信服務(wù)管理平臺(tái)(trusted service management，TSM)模塊?？尚排潆娊K端邏輯架構(gòu)如圖3所示[25-26]。

圖3 可信配電終端邏輯架構(gòu)Fig.3 Trusted distribution terminal logic architecture

c)硬件架構(gòu)?？尚排潆娊K端總體硬件結(jié)構(gòu)如圖4所示，主要包括微處理機(jī)、人機(jī)交互以及通信接口等。微處理機(jī)由看門(mén)狗、存儲(chǔ)器、定時(shí)器以及可信芯片構(gòu)成：可信芯片是實(shí)現(xiàn)可信的核心，為信任鏈提供信任根；存儲(chǔ)器主要負(fù)責(zé)存儲(chǔ)和記憶功能；定時(shí)器實(shí)現(xiàn)定時(shí)和計(jì)算功能；看門(mén)狗提供系統(tǒng)產(chǎn)生暫時(shí)性故障的恢復(fù)能力。

圖4 可信配電終端硬件架構(gòu)Fig.4 Trusted distribution terminal hardware architecture

圖5 能源節(jié)點(diǎn)示意圖Fig.5 Schematic diagram of energy node

2.2 可信配電終端軟件設(shè)計(jì)

2.2.1 節(jié)點(diǎn)可信

能源節(jié)點(diǎn)是能源互聯(lián)網(wǎng)中可獨(dú)立運(yùn)行與管控的裝置，是構(gòu)建區(qū)域能源互聯(lián)網(wǎng)的基本對(duì)象，主要由軟硬件系統(tǒng)2部分組成，結(jié)構(gòu)如圖7所示。其中，可信控制模塊是可信計(jì)算的核心部件，通過(guò)內(nèi)部植入可信根，實(shí)現(xiàn)信任根控制功能，從而將密碼與控制相結(jié)合，實(shí)現(xiàn)對(duì)整個(gè)能源節(jié)點(diǎn)的主動(dòng)控制、主動(dòng)防御，并在對(duì)主板控件度量的同時(shí)，為軟件系統(tǒng)的度量機(jī)制提供安全運(yùn)算能力支撐。

能源控制功能應(yīng)用接口是連接軟件系統(tǒng)和硬件平臺(tái)的橋梁，當(dāng)硬件層上電后，可信控制模塊會(huì)對(duì)主板控件進(jìn)行度量，經(jīng)過(guò)安全引導(dǎo)完成硬件環(huán)境及配置的設(shè)定，從而建立可信鏈條，為軟件層提供支持和服務(wù)。能源節(jié)點(diǎn)在處理信息流和能量流的同時(shí)，其對(duì)信息的處理能力和對(duì)能源的控制能力有所不同，所以具體實(shí)施的時(shí)候會(huì)根據(jù)能源節(jié)點(diǎn)的功能需求來(lái)進(jìn)行設(shè)定。

2.2.2 網(wǎng)絡(luò)連接可信

為了保障網(wǎng)絡(luò)連接可信，每當(dāng)新能源節(jié)點(diǎn)需要接入?yún)^(qū)域能源互聯(lián)網(wǎng)時(shí)，都必須以可信方式接入，接入時(shí)會(huì)對(duì)其身份、可信性以及接入狀態(tài)等進(jìn)行全面檢查。本文中各能源節(jié)點(diǎn)的連接主要采用可信網(wǎng)絡(luò)連接(trusted network connect，TNC)技術(shù)連接方式[27]。

2.2.3 應(yīng)用可信

區(qū)域能源互聯(lián)網(wǎng)是一個(gè)復(fù)雜的基礎(chǔ)設(shè)施系統(tǒng)，為了保證可信鏈的完整還需保障應(yīng)用可信具備以下功能。

a)資產(chǎn)管理：對(duì)系統(tǒng)資產(chǎn)進(jìn)行管理，提供管理規(guī)范，評(píng)估資產(chǎn)信息。

b)報(bào)表管理：支持報(bào)表生成導(dǎo)出，支持html、Word、PDF報(bào)表生成導(dǎo)出；同時(shí)用戶(hù)可定制報(bào)表結(jié)構(gòu)，報(bào)表文件集成了掃描設(shè)備序列號(hào)、報(bào)表ID，從而保證報(bào)表的唯一性。

c)日志告警：可以對(duì)日志信息進(jìn)行查詢(xún)和統(tǒng)計(jì)分析，并自動(dòng)生成安全審計(jì)報(bào)告，幫助網(wǎng)絡(luò)管理員全面掌握網(wǎng)絡(luò)和工控設(shè)備安全狀況。

d)漏洞掃描：對(duì)操作系統(tǒng)漏洞、常見(jiàn)軟件和服務(wù)漏洞(如Web服務(wù)、HTTP服務(wù)、FTP服務(wù)、郵件服務(wù)等)進(jìn)行掃描，同時(shí)對(duì)掃描結(jié)果進(jìn)行報(bào)告匯總，并提出解決方案。

e)協(xié)議安全策略分析：具有網(wǎng)絡(luò)檢測(cè)及告警功能，同時(shí)對(duì)配電自動(dòng)化101及104協(xié)議具有加密、認(rèn)證及驗(yàn)證等策略分析功能。

f)設(shè)備脆弱性檢測(cè)：具備弱口令/空口令、危險(xiǎn)端口服務(wù)、配置漏洞等系統(tǒng)脆弱性檢測(cè)及交換機(jī)端口配置檢查功能。

g)策略配置：能夠在不同應(yīng)用環(huán)境下選擇不同的安全策略，保證現(xiàn)場(chǎng)設(shè)備的安全與穩(wěn)定，提高系統(tǒng)的運(yùn)行效率。

3 安全可信防護(hù)示例

區(qū)域能源互聯(lián)網(wǎng)安全可信防護(hù)方案如圖6所示。數(shù)據(jù)的發(fā)送節(jié)點(diǎn)具有可信模塊TMSN，數(shù)據(jù)的接收節(jié)點(diǎn)具有可信模塊TMRN[28]。為保證數(shù)據(jù)的機(jī)密性和完整性，每個(gè)可信模塊生成2對(duì)平臺(tái)密鑰：平臺(tái)身份密鑰PIK和平臺(tái)加密密鑰PEK。

圖6 基于可信模塊的安全防護(hù)方案Fig.6 Security protection scheme based on trusted module

密鑰的私鑰(以Pri開(kāi)頭)存儲(chǔ)在可信模塊內(nèi)部，只能通過(guò)可信模塊內(nèi)部進(jìn)行密碼運(yùn)算，而其他各節(jié)點(diǎn)和參與方都將獲取對(duì)應(yīng)的公鑰(以Pub開(kāi)頭)。本文以能源節(jié)點(diǎn)與控制中心間的數(shù)據(jù)傳輸為示例進(jìn)行說(shuō)明，具體可信安全防護(hù)示例如圖7所示，圖中①—⑨表示上行鏈路。

3.1 安全引導(dǎo)流程

一個(gè)典型的可信引導(dǎo)過(guò)程如圖8所示。當(dāng)節(jié)點(diǎn)通電后，首先會(huì)執(zhí)行嵌入式處理器的代碼片段(即ROM Code)，執(zhí)行基本的硬件配置后進(jìn)行度量并驗(yàn)證是否通過(guò)，如果通過(guò)，代碼片段會(huì)加載Bootloader的代碼；加載完畢后也會(huì)進(jìn)行度量并驗(yàn)證是否通過(guò)，如果通過(guò)，則Bootloader會(huì)加載嵌入式操作系統(tǒng)代碼，加載完畢后依舊進(jìn)行度量并驗(yàn)證是否通過(guò)。以上3次度量驗(yàn)證均必須通過(guò)才可以運(yùn)行給定的能源節(jié)點(diǎn)應(yīng)用代碼，只要某一次不通過(guò)(即不可信)，則終止程序結(jié)束引導(dǎo)，期間每一次度量驗(yàn)證通過(guò)都會(huì)對(duì)可信模塊中的寄存器PCR進(jìn)行1次擴(kuò)展，從而在能源節(jié)點(diǎn)上建立起1個(gè)完整的度量信任鏈。

3.2 數(shù)據(jù)安全存儲(chǔ)

能源節(jié)點(diǎn)通常會(huì)對(duì)數(shù)據(jù)進(jìn)行去噪聲、壓縮等處理操作，而這些操作會(huì)被記錄到PCR中進(jìn)行度量保護(hù)。能源節(jié)點(diǎn)通常將采集到的數(shù)據(jù)存儲(chǔ)在本地一段時(shí)間，然后提交上級(jí)節(jié)點(diǎn)單位，或及時(shí)提交給上級(jí)節(jié)點(diǎn)單位；因此，數(shù)據(jù)信息存儲(chǔ)非常重要。對(duì)于少量所采集到的數(shù)據(jù)D，本文采用國(guó)產(chǎn)SM2非對(duì)稱(chēng)加密算法，加密方式表示為

Djm=fTCM(D，EPCR,exp，KPubPEKSN) .

(1)

式中：Djm為數(shù)據(jù)加密；fTCM為T(mén)CM算法；EPCR,exp為PCR的期望值，只有當(dāng)達(dá)到期望值后才可進(jìn)行解密操作；KPubPEKSN為能源節(jié)點(diǎn)平臺(tái)加密公鑰。當(dāng)數(shù)據(jù)量較大時(shí)，采用效率更高的對(duì)稱(chēng)加密算法SM4，即

圖7 安全可信防護(hù)示例Fig.7 Examples of security trusted protection

Djm=fSM4(D，EPCR,exp，KSM4Key) .

(2)

式中：fSM4為SM4加密算法；KSM4Key為對(duì)稱(chēng)秘鑰。

當(dāng)系統(tǒng)需要使用數(shù)據(jù)時(shí)，會(huì)先獲取系統(tǒng)當(dāng)前PCR值(EPCR)并與EPCR,exp進(jìn)行比對(duì)，只有當(dāng)對(duì)比結(jié)果一致時(shí)，才會(huì)使用自身所存儲(chǔ)的密鑰(KPubPEKSN或KSM4Key)進(jìn)行解密獲取數(shù)據(jù)，保障數(shù)據(jù)信息的完整性和機(jī)密性。

圖8 安全引導(dǎo)流程Fig.8 Security boot flow chart

3.3 上行數(shù)據(jù)傳輸

在數(shù)據(jù)采集過(guò)程中，底層能源節(jié)點(diǎn)會(huì)經(jīng)過(guò)路由器、交換機(jī)等逐級(jí)上傳，最終至控制中心。傳輸過(guò)程中數(shù)據(jù)的交互僅在2個(gè)能源節(jié)點(diǎn)之間進(jìn)行；所以，不僅需要考慮節(jié)點(diǎn)的可信性，還需要保證節(jié)點(diǎn)間所傳輸數(shù)據(jù)的機(jī)密性和完整性。為此，本文采用完整性報(bào)告方法和數(shù)據(jù)加密方法。

信息發(fā)送節(jié)點(diǎn)自身所攜帶的身份密鑰對(duì)EPCR進(jìn)行簽名后傳輸至信息接收節(jié)點(diǎn)，由信息接收節(jié)點(diǎn)來(lái)驗(yàn)證身份密鑰PIK和本地EPCR，如果驗(yàn)證通過(guò)則可以確認(rèn)該消息來(lái)自于1個(gè)可信的信息發(fā)送節(jié)點(diǎn)，保證了傳輸節(jié)點(diǎn)可信。信息發(fā)送節(jié)點(diǎn)使用信息接收節(jié)點(diǎn)的公鑰，對(duì)將要傳輸?shù)臄?shù)據(jù)進(jìn)行加密后發(fā)送至接收節(jié)點(diǎn)，而接收節(jié)點(diǎn)只有通過(guò)內(nèi)置的可信模塊才能對(duì)收到的加密信息進(jìn)行解密，獲取數(shù)據(jù)信息；由此確保了傳輸數(shù)據(jù)的機(jī)密性和完整性。

以圖7中“①分布式風(fēng)電—⑥控制中心”上行鏈路為例進(jìn)行分析。在①分布式風(fēng)電(能源節(jié)點(diǎn))—②交換機(jī)兩節(jié)點(diǎn)間數(shù)據(jù)傳輸過(guò)程中，能源節(jié)點(diǎn)作為發(fā)送節(jié)點(diǎn)，交換機(jī)作為接收節(jié)點(diǎn)。

a)能源節(jié)點(diǎn)可信模塊產(chǎn)生1個(gè)對(duì)稱(chēng)秘鑰KSM4Key，使用該密鑰算法fSM4Key對(duì)數(shù)據(jù)進(jìn)行加密，設(shè)加密后的數(shù)據(jù)為DEData，則

DEData=fSM4Key(D) .

(3)

b)用交換機(jī)的公鑰算法fPubPEKRN來(lái)對(duì)KSM4Key進(jìn)行加密保護(hù)，加密后的能源節(jié)點(diǎn)對(duì)稱(chēng)秘鑰

Δ=fPubPEKRN(KSM4Key) .

(4)

c)利用能源節(jié)點(diǎn)的私鑰算法fPriPIKSN對(duì)加密數(shù)據(jù)DEData和EPCR產(chǎn)生簽名值：

SEData=fPriPIKSN(DEData) .

(5)

SPCR=fPriPIKSN(EPCR) .

(6)

當(dāng)DEData和簽名值傳送至交換機(jī)后，首先使用能源節(jié)點(diǎn)公鑰PubPIKSN及其算法fPubPIKSN驗(yàn)證簽名值：

EPCR,ver=fPubPIKSN(SPCR)=fPubPIKSN(fPriPIKSN(EPCR)).

(7)

DEData,ver=fPubPIKSN(SEData)=fPubPIKSN(fPriPIKSN(DEData)).

(8)

通過(guò)認(rèn)證后再繼續(xù)驗(yàn)證EPCR，即

EPCR=EPCR,exp.

(9)

如果以上結(jié)果都相同，則可以認(rèn)為數(shù)據(jù)來(lái)自于1個(gè)可信的發(fā)送節(jié)點(diǎn)，執(zhí)行下一步。

使用交換機(jī)的私鑰PriPEKRN及其算法fPriPEKRN解密獲取解密后的KSM4Key對(duì)稱(chēng)秘鑰

ΔKey=fPriPEKRN(Δ)=fPriPEKRN(fPubPEKRN(KSM4Key)).

(10)

式中ΔKey為未解密之前的密鑰。

利用KSM4Key解密獲取數(shù)據(jù)D，即

D=fSM4Key(DEData)=fSM4Key(fSM4Key(D)) .

(11)

當(dāng)解密成功后會(huì)向能源節(jié)點(diǎn)返回一個(gè)OK信息，若其中任一驗(yàn)證沒(méi)有通過(guò)，交換機(jī)就會(huì)丟棄該數(shù)據(jù)并向能源節(jié)點(diǎn)返回一個(gè)Fail消息。同樣，后面信息逐級(jí)傳遞都會(huì)經(jīng)歷身份認(rèn)證，數(shù)據(jù)加解密的步驟，最終上傳至控制中心供其他服務(wù)程序處理和應(yīng)用。

3.4 下行數(shù)據(jù)傳輸

在區(qū)域能源互聯(lián)網(wǎng)中，每個(gè)能源節(jié)點(diǎn)可能會(huì)向周?chē)鄠€(gè)節(jié)點(diǎn)進(jìn)行信息傳輸，如果每次數(shù)據(jù)信息交互都采用點(diǎn)對(duì)點(diǎn)的單點(diǎn)傳輸，勢(shì)必造成大量復(fù)雜的加解密運(yùn)算。如果每次傳輸都進(jìn)行密碼運(yùn)算，當(dāng)節(jié)點(diǎn)數(shù)劇增，系統(tǒng)對(duì)信息要求實(shí)時(shí)性很高時(shí)，TCM性能會(huì)明顯下降，從而影響到能源節(jié)點(diǎn)信息的處理效率。

如圖7安全可信防護(hù)示例中，交換機(jī)⑦同時(shí)向⑧家庭能源節(jié)點(diǎn)和⑨電動(dòng)汽車(chē)進(jìn)行信息傳輸，即向2個(gè)能源節(jié)點(diǎn)傳輸數(shù)據(jù)時(shí)，會(huì)進(jìn)行2次SM2非對(duì)稱(chēng)加密運(yùn)算、2次SM4對(duì)稱(chēng)加密運(yùn)算和2次簽名操作。對(duì)于給定的交換機(jī)，會(huì)有1次SM4加密操作和1次簽名操作是重復(fù)執(zhí)行的。因此，為了提高能源節(jié)點(diǎn)間信息傳輸?shù)男剩苊獯罅糠爆嵉募咏饷苓\(yùn)算，本文采用批量認(rèn)證的方法來(lái)解決信息傳輸效率問(wèn)題。利用Merkle哈希樹(shù)，將多個(gè)認(rèn)證請(qǐng)求整合到1個(gè)獨(dú)立的簽名操作中，避免復(fù)雜的運(yùn)算。

圖9給出了交換機(jī)S0向4個(gè)能源節(jié)點(diǎn)(二進(jìn)制表示為00、01、10和11)傳輸數(shù)據(jù)的示例，其中n為能源節(jié)點(diǎn)，S為交換機(jī)，R為路由器，s(n)為簽名值。而在實(shí)際應(yīng)用中可以擴(kuò)展到多個(gè)能源節(jié)點(diǎn)。在Merkle哈希樹(shù)中，節(jié)點(diǎn)上存儲(chǔ)的是該節(jié)點(diǎn)數(shù)據(jù)塊的哈希值，在進(jìn)行完整性驗(yàn)證過(guò)程中，為了確保一個(gè)數(shù)據(jù)塊是Merkle哈希樹(shù)中的成員，只需要該數(shù)據(jù)塊及通向樹(shù)根沿途的哈希值，而忽略樹(shù)的其他組成部分。S0向n00、n01、n10及n11傳輸數(shù)據(jù)時(shí)，只需對(duì)n00進(jìn)行簽名驗(yàn)證，通過(guò)Merkle哈希樹(shù)中的哈希值可以得到s(n00)=(Tag=00,n00,S0)，而無(wú)需依次對(duì)n01、n10及n11進(jìn)行簽名驗(yàn)證。

圖9 多節(jié)點(diǎn)傳輸示意圖Fig.9 Schematic diagram of multi-node transmission

多節(jié)點(diǎn)傳輸流程如圖10所示，只有當(dāng)所有的驗(yàn)證都通過(guò)后，各能源節(jié)點(diǎn)才能獲取交換機(jī)的對(duì)稱(chēng)密鑰進(jìn)行解密，獲取相應(yīng)的指令進(jìn)行下一步具體操作。運(yùn)用批量認(rèn)證方法后，對(duì)于多個(gè)能源節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳輸工作，給定的節(jié)點(diǎn)只需要進(jìn)行1次SM4加密操作和1次簽名認(rèn)證操作，避免了大量的冗余計(jì)算，提高了能源節(jié)點(diǎn)信息傳輸?shù)男省?/p>

圖10 多節(jié)點(diǎn)傳輸流程Fig.10 Flow chart of multi-node transmission

4 結(jié)束語(yǔ)

本文首先基于主動(dòng)配電網(wǎng)的網(wǎng)絡(luò)架構(gòu)，分析了其中存在的信息安全問(wèn)題，并針對(duì)這些問(wèn)題提出安全可信防護(hù)方案，利用可信計(jì)算技術(shù)對(duì)配電終端進(jìn)行設(shè)計(jì)；針對(duì)區(qū)域能源互聯(lián)網(wǎng)進(jìn)行示例驗(yàn)證，闡述數(shù)據(jù)存儲(chǔ)、傳輸過(guò)程，形成了一套防護(hù)體系，對(duì)于主動(dòng)配電網(wǎng)信息安全防護(hù)研究具有一定的參考價(jià)值。

由于主動(dòng)配電網(wǎng)目前還處于試點(diǎn)驗(yàn)證階段，仍需開(kāi)展大量研究、實(shí)踐工作；再加上可信計(jì)算對(duì)于系統(tǒng)兼容性要求過(guò)高，在今后的工作中應(yīng)不斷改進(jìn)，完善可信計(jì)算與電力行業(yè)的融合，以適應(yīng)新時(shí)代的發(fā)展與需求，為主動(dòng)配電網(wǎng)信息安全建設(shè)提供保障。