張滿宏

摘 要： 在10kV及以下電壓等級的中低壓配電網(wǎng)中，對于未配備光纖專網(wǎng)通信的部分饋線、配變以及各類小容量分布式電源與儲能系統(tǒng)等，由于其對應(yīng)的遠(yuǎn)程終端設(shè)備采用公共無線網(wǎng)絡(luò)通信方式而面臨非法竊聽、惡意篡改和重放攻擊、身份欺騙等方面的安全風(fēng)險。為確保數(shù)量眾多的底層配電終端設(shè)備乃至配電自動化系統(tǒng)的整體安全，需要在數(shù)據(jù)保密性和身份認(rèn)證等安全技術(shù)以及硬件設(shè)備的安全防護等方面進(jìn)行更為深入的研究。

關(guān)鍵詞： 配電終端;可信計算;三級認(rèn)證;橢圓曲線

【中圖分類號】TM734 ? ? 【文獻(xiàn)標(biāo)識碼】A ? ? 【文章編號】1674-3733（2020）21-0171-01

引言：配電自動化的終端包括饋線終端、站所終端和配變終端，該終端對配電網(wǎng)的故障定位、隔離、恢復(fù)供電起著舉足輕重的作用。由于現(xiàn)場運行環(huán)境復(fù)雜，使配電終端與主站通信中斷。當(dāng)配電終端與主站通信中斷時，主站對“死機”的終端就失去了必要的數(shù)據(jù)監(jiān)視，不能及時掌握現(xiàn)場運行情況;配電自動化運行評價會因終端長時間不在線而扣分。

1 配電自動化終端重啟系統(tǒng)構(gòu)成

1.1 各模塊的功能

第一發(fā)送命令模塊，在第二配電終端正常時，每1h發(fā)送一次自檢命令，在第二配電終端死機時，每10min發(fā)送4次“自檢命令”;第一發(fā)送命令模塊，用于向所述第二接收命令模塊發(fā)送自檢命令;第二接收命令模塊，用于接收所述自檢命令，并將所述自檢命令發(fā)送至第二自查模塊，用于接收第一反饋模塊發(fā)送的重啟命令并重啟第二配電終端;第二自查模塊，用于對第二配電終端當(dāng)前的運行數(shù)據(jù)進(jìn)行自查，以及生成結(jié)束信號發(fā)送給第一應(yīng)答模塊，生成死機信號發(fā)送給第一反饋模塊;第一反饋模塊，用于接收第二自查模塊發(fā)送的死機信號，并記錄接收到的死機信號次數(shù)，以及生成重啟命令并發(fā)送給第二接收命令模塊，生成反饋信號并發(fā)送至第一應(yīng)答模塊;第一應(yīng)答模塊，用于接收第二自查模塊發(fā)送的結(jié)束信號并結(jié)束自檢，用于接收第一反饋模塊發(fā)送的反饋信號，并生成信號“1”發(fā)送至系統(tǒng)主站的分析模塊;分析模塊，用于接收第一應(yīng)答模塊發(fā)送的信號“1”，并統(tǒng)計信號“1”的個數(shù)，以及生成結(jié)束信號并發(fā)送給第二接收命令模塊，生成報警指令并發(fā)送至輸出模塊;輸出模塊，用于接收所述報警指令，并啟動聲音警報，同時提示死機終端編號。

1.2 各模塊的連接方式

第一發(fā)送命令模塊與第二接收命令模塊通信連接，第二接收命令模塊和第二自查模塊通過硬接線連接，第二自查模塊與第一反饋模塊以及第一應(yīng)答模塊通信連接，第一反饋模塊和第一應(yīng)答模塊通過硬接線連接;第二發(fā)送命令模塊與第一接收命令模塊通信連接，第一接收命令模塊和第一自查模塊通過硬接線連接，第一自查模塊與第二反饋模塊以及第二應(yīng)答模塊通信連接，第二反饋模塊和第二應(yīng)答模塊通過硬接線連接;第一應(yīng)答模塊與所述分析模塊通信連接，所述第二應(yīng)答模塊與所述分析模塊通信連接;第三配電終端與第一配電終端一致，所有通信連接方式包括無線網(wǎng)絡(luò)或5G無線網(wǎng)絡(luò)。

2 分層的三級可信認(rèn)證機制

2.1 可信認(rèn)證機制

根據(jù)可信計算理論，首先為配電網(wǎng)底層遠(yuǎn)程終端設(shè)備配置可信根TPM構(gòu)建可信終端。因此需要封裝入專門為終端設(shè)備開發(fā)設(shè)計的安全芯片以承擔(dān)平臺完整性度量、密鑰及關(guān)鍵信息的安全存儲、數(shù)據(jù)加密簽名和惡意代碼檢測等任務(wù)。以FTU為例，專用可信根須能夠度量遙測、遙信量采集部分、遙控模塊和網(wǎng)絡(luò)通信模塊的狀態(tài)完整性，并將度量值存儲于其內(nèi)部寄存器中，對上傳的遙測遙信數(shù)據(jù)進(jìn)行加密和數(shù)字簽名，解密分析接收到的下行遙控信息。

根據(jù)國家管理條例與相關(guān)國際標(biāo)準(zhǔn)，縱向認(rèn)證需要采用基于非對稱密鑰的單向認(rèn)證加密技術(shù)，專用可信根使用一定密鑰長度的橢圓曲線用于加密能獲得足夠強度的保密性。

其次，為確保遙測、遙信數(shù)據(jù)的安全，除終端設(shè)備可信性自認(rèn)證外，還需進(jìn)一步通過檢測代理和主站服務(wù)器的可信認(rèn)證，根據(jù)可信計算理論中可信網(wǎng)絡(luò)連接的相關(guān)規(guī)范，在終端設(shè)備所處的不同網(wǎng)段網(wǎng)關(guān)處設(shè)置多個可信檢測代理，控制終端設(shè)備與通信網(wǎng)絡(luò)的連接，報告檢測到的不可信訪問與惡意行為。終端可信模塊將存儲于寄存器中的關(guān)于自身完整性的度量值通過簽名的方式發(fā)送給可信檢測代理，由后者驗證和評估以判定終端設(shè)備是否安全可信。

2.2 配電網(wǎng)二次系統(tǒng)的邏輯邊界

在中低壓配電網(wǎng)中，部分饋線分段開關(guān)處安裝的饋線終端裝置（feederterminalunit，F(xiàn)TU），部分桿上和箱式配電變壓器處安裝的配電變壓器檢測終端，不具備光纖通信條件的小容量分布式發(fā)電（distributedgeneration，DG）和儲能裝置處安裝的遠(yuǎn)程終端裝置（remoteterminalunit，RTU）以及用戶電表處的數(shù)據(jù)傳輸單元等遠(yuǎn)程終端設(shè)備，通過公共無線通信網(wǎng)絡(luò)（包括GPRS、TD-SCDMA等方式）與配電主站相應(yīng)安全區(qū)或配電子站進(jìn)行數(shù)據(jù)信息通信。

3 基于可信計算的配電終端自身安全防護方法

3.1 終端上電順序

終端加電的第一時刻啟動安全芯片，安全芯片讀取引導(dǎo)程序（U-Boot）并進(jìn)行驗證;同時安全芯片控制CPU的電源模塊，確保在可信度量期間CPU不會啟動。當(dāng)安全芯片對引導(dǎo)程序的驗證通過后，終端CPU啟動，從SPIFlash中加載U-Boot。

3.2 終端靜態(tài)可信度量與驗證

終端的靜態(tài)可信度量與驗證主要包含引導(dǎo)程序以及操作系統(tǒng)2部分，這2部分不會頻繁改變。配電終端引導(dǎo)程序方面，安全芯片完成U-Boot度量后，U-Boot運行，從原有的Flash上讀取嵌入式Linux系統(tǒng)內(nèi)核并進(jìn)行可信度量，可信度量通過后允許嵌入式Linux系統(tǒng)內(nèi)核加載和運行。

3.3 終端的動態(tài)可信度量與驗證

配電終端動態(tài)可信度量方面，進(jìn)行終端動態(tài)度量時，定期調(diào)用安全芯片，對終端業(yè)務(wù)應(yīng)用和關(guān)鍵配置數(shù)據(jù)進(jìn)行可信度量，調(diào)用流程與嵌入式Linux內(nèi)核調(diào)用安全芯片相同。動態(tài)度量與驗證主要包含重要應(yīng)用程序的升級以及應(yīng)用與參數(shù)的更新2方面?？尚哦攘繎?yīng)用按照預(yù)設(shè)的頻率對業(yè)務(wù)應(yīng)用和關(guān)鍵配置參數(shù)進(jìn)行可信度量，但沒有必要對嵌入式Linux內(nèi)核和U-Boot進(jìn)行度量，度量失敗時發(fā)出告警或?qū)⒔K端強制下線?？尚哦攘康念l率可以定時或不定時（如每進(jìn)行100次與主站交互、每處理10M字節(jié)數(shù)據(jù)等）。

結(jié)語：1）本文提出的基于可信計算與可信安全芯片的可信認(rèn)證機制及考慮設(shè)備狀態(tài)完整性和真實性可信度的計算模型能夠量化評估公共通信網(wǎng)絡(luò)中配電終端的安全水平，為實時、動態(tài)調(diào)整并提高配電終端的安全性提供了完備的依據(jù)。2）應(yīng)根據(jù)實際運行的安全需求和終端設(shè)備安全芯片的計算處理能力，選取適當(dāng)破譯強度的橢圓曲線以及適用于密碼快速運算的優(yōu)化算法，以期在減少時間開銷、獲得最佳運算性能的同時提供充足的安全保障。

參考文獻(xiàn)

[1] 劉威鵬，胡俊，方艷湘，等.基于可信計算的終端安全體系結(jié)構(gòu)研究與進(jìn)展[J].計算機科學(xué)，2007，34（10）：257-263.

[2] 林功平.配電自動化終端技術(shù)分析[J].電力系統(tǒng)自動化，2003（12）：59.