廖會(huì)敏，俞 果，班國(guó)民，李長(zhǎng)青，陳紹真

（1.國(guó)網(wǎng)電子商務(wù)有限公司，北京 100053；2.國(guó)家電網(wǎng)有限公司電力金融與電子商務(wù)實(shí)驗(yàn)室，北京 100053；3.國(guó)網(wǎng)山東省電力公司，山東 濟(jì)南 250001）

0 引言

依托“大云物移智”等新技術(shù)的發(fā)展，電力行業(yè)逐步將能源流和信息流進(jìn)行深度融合，實(shí)現(xiàn)電力系統(tǒng)各環(huán)節(jié)的互聯(lián)互通，形成物物相通、人機(jī)智聯(lián)的電力物聯(lián)網(wǎng)［1-4］，為能源互聯(lián)網(wǎng)的發(fā)展打造新的業(yè)務(wù)生態(tài)。伴隨電力物聯(lián)網(wǎng)建設(shè)的高速推進(jìn)，在“發(fā)—輸—變—配—用”等環(huán)節(jié)部署了大量具有狀態(tài)感知、數(shù)據(jù)處理及控制管理等功能的終端，將時(shí)間、地點(diǎn)、人、物等元素連接在一起，實(shí)現(xiàn)信息的高效共享和快速交互。面對(duì)電力物聯(lián)網(wǎng)中大量移動(dòng)終端的接入，各類電力運(yùn)營(yíng)數(shù)據(jù)被采集分析，大量碎片化的數(shù)據(jù)通過(guò)不同的裝置采集提供給數(shù)據(jù)中心進(jìn)行管理［5］。隨著電力系統(tǒng)間信息交互日益頻繁，接入主體的安全性影響著數(shù)據(jù)及指令的可靠性，設(shè)備的身份認(rèn)證技術(shù)也將在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用?？紤]到傳統(tǒng)基于公鑰基礎(chǔ)設(shè)施 （Public Key Infrastructure，PKI）的身份認(rèn)證依賴于第三方認(rèn)證機(jī)構(gòu)（Certificate Authority，CA）［6-7］，且需要為每一臺(tái)終端創(chuàng)建一個(gè)證書，海量終端身份認(rèn)證過(guò)程存在大量的證書交換過(guò)程，管理體系十分復(fù)雜，不利于證書的管理和安全應(yīng)用的部署，因此，輕量便捷化的身份認(rèn)證機(jī)制成為重要的研究方向之一。

分析電力業(yè)務(wù)信息安全的現(xiàn)狀，描述現(xiàn)有的身份認(rèn)證架構(gòu)存在的不足，結(jié)合實(shí)際的電力業(yè)務(wù)場(chǎng)景提出基于國(guó)密SM9 算法［8］的信息安全防護(hù)架構(gòu)，降低電力物聯(lián)網(wǎng)大規(guī)模終端安全接入管控的復(fù)雜性，提升各電力系統(tǒng)間信息交互的高效性和安全性。

1 電力物聯(lián)網(wǎng)安全威脅

伴隨移動(dòng)應(yīng)用和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，在移動(dòng)、泛在、混合、廣域互聯(lián)環(huán)境下，電力物聯(lián)網(wǎng)中部署了傳感裝置、移動(dòng)終端、視頻監(jiān)控、智能電表、充電樁、辦公計(jì)算機(jī)等大量的內(nèi)外網(wǎng)數(shù)據(jù)采集、控制及管理設(shè)備，網(wǎng)絡(luò)界限的模糊使得安全威脅與風(fēng)險(xiǎn)超越了固有邊界，業(yè)務(wù)端在可信操作、身份合法性等方面存在一定的安全風(fēng)險(xiǎn)。同時(shí)電力企業(yè)云的建設(shè)，使得電力系統(tǒng)面臨數(shù)據(jù)規(guī)模大、業(yè)務(wù)類型多、信息交互復(fù)雜等問(wèn)題，導(dǎo)致非法訪問(wèn)、數(shù)據(jù)泄露等風(fēng)險(xiǎn)急劇增加。面對(duì)云環(huán)境下海量終端安全接入的需求，將基于PKI 機(jī)制的身份認(rèn)證機(jī)制與云計(jì)算相結(jié)合，利用云服務(wù)的便捷性和開(kāi)放性形成以身份認(rèn)證、統(tǒng)一用戶管理及數(shù)字簽名等應(yīng)用為核心的安全體系，實(shí)現(xiàn)終端接入的合法性驗(yàn)證，解決云環(huán)境下終端身份認(rèn)證、數(shù)據(jù)安全傳輸及訪問(wèn)控制管理面臨的安全問(wèn)題。PKI 機(jī)制綜合使用了數(shù)字摘要技術(shù)、數(shù)字簽名等多項(xiàng)密碼技術(shù)以及一套完整的證書管理機(jī)制來(lái)提供安全服務(wù)。

隨著國(guó)產(chǎn)密碼算法的大力推廣，為降低海量終端環(huán)境下身份認(rèn)證的復(fù)雜性［9］，基于物理邊界構(gòu)筑安全基礎(chǔ)設(shè)施、依靠網(wǎng)絡(luò)位置建立安全信任的傳統(tǒng)防御架構(gòu)被徹底打破，基于身份的認(rèn)證和授權(quán)成為新的安全防御機(jī)制。基于身份標(biāo)識(shí)的密碼技術(shù)不必申請(qǐng)和交換證書，可有效降低公鑰系統(tǒng)中密鑰管理和使用的復(fù)雜性，相較于傳統(tǒng)PKI 具有靈活、易擴(kuò)展、簡(jiǎn)潔的優(yōu)點(diǎn)。

2 面向海量終端的國(guó)密SM9 應(yīng)用研究

2.1 基于國(guó)密SM9 的身份認(rèn)證

國(guó)密SM9 作為身份標(biāo)識(shí)密碼的一種，其公私鑰由密鑰生成中心（Key Generation Center，KGC）利用設(shè)備身份標(biāo)識(shí)、主公鑰、主私鑰和公共算法參數(shù)計(jì)算得出。國(guó)密SM9 使用具有唯一性的各類標(biāo)識(shí)作為公鑰進(jìn)行數(shù)據(jù)加密和身份認(rèn)證，非常適合電子郵件保護(hù)、公文安全流轉(zhuǎn)、多媒體融合安全通信、身份認(rèn)證、物聯(lián)網(wǎng)安全通信、云數(shù)據(jù)保護(hù)等應(yīng)用。國(guó)密SM9 算法采用橢圓曲線上的雙線性對(duì)作為基礎(chǔ)數(shù)學(xué)工具，基于相關(guān)的計(jì)算復(fù)雜性假設(shè)構(gòu)建安全性證明，極大提高我國(guó)信息安全的防護(hù)水平。這樣的系統(tǒng)具有天然的密碼委托功能，非常適合于有監(jiān)管的應(yīng)用環(huán)境，對(duì)海量互聯(lián)設(shè)備的管控具有相當(dāng)大的優(yōu)勢(shì)?；跇?biāo)識(shí)的密碼系統(tǒng) （Identity Based Cryptography，IBC）［10］與PKI 的詳細(xì)對(duì)比如表1 所示。

表1 IBC 與PKI 體系比較

目前電力部分業(yè)務(wù)數(shù)據(jù)的通信協(xié)議未應(yīng)用安全認(rèn)證技術(shù)，存在被第三方偽造或竊取協(xié)議數(shù)據(jù)包、篡改協(xié)議控制類數(shù)據(jù)等風(fēng)險(xiǎn)。同時(shí)，為構(gòu)建面向大規(guī)模業(yè)務(wù)場(chǎng)景的統(tǒng)一密碼服務(wù)，開(kāi)展國(guó)密SM9 算法和云技術(shù)相融合的虛擬化應(yīng)用研究，可提升安全認(rèn)證的效率。

2.2 云環(huán)境下國(guó)密SM9 應(yīng)用架構(gòu)

隨著電力物聯(lián)網(wǎng)的大力推進(jìn)，業(yè)務(wù)終端及應(yīng)用系統(tǒng)急劇增加，在業(yè)務(wù)交互時(shí)鑒別設(shè)備終端身份、保護(hù)隱私信息、維護(hù)系統(tǒng)安全、數(shù)據(jù)精準(zhǔn)保護(hù)等問(wèn)題尤為重要，且由傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型、海量、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。傳統(tǒng)基于PKI 機(jī)制的安全認(rèn)證面對(duì)復(fù)雜的證書交換場(chǎng)景，將產(chǎn)生巨大的管理開(kāi)銷和運(yùn)維成本。

為提升海量終端安全認(rèn)證的效率，提出基于國(guó)密SM9 算法的云安全接入方法，實(shí)現(xiàn)大規(guī)模終端安全接入、強(qiáng)身份認(rèn)證、通道加密等功能，防止因系統(tǒng)漏洞、弱口令、數(shù)據(jù)中間劫持等造成應(yīng)用系統(tǒng)冒名越權(quán)訪問(wèn)、數(shù)據(jù)篡改和數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。同時(shí)，本方案可為業(yè)務(wù)交互提供安全接入和通道加密服務(wù)，形成訪問(wèn)過(guò)程的審計(jì)管理。通過(guò)融合云技術(shù)和國(guó)密SM9 算法，安全防護(hù)方案無(wú)須改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，具有部署簡(jiǎn)單、使用成本低、密鑰管理簡(jiǎn)便等特點(diǎn)，實(shí)際應(yīng)用中，海量終端通過(guò)身份標(biāo)識(shí)即可實(shí)現(xiàn)雙向強(qiáng)身份認(rèn)證，圖1 為基于國(guó)密SM9 算法的海量電力終端云安全接入架構(gòu)。

圖1 基于國(guó)密SM9 的海量電力終端云安全接入架構(gòu)

利用國(guó)密SM9 無(wú)數(shù)字證書的密鑰管理優(yōu)勢(shì)，為用戶終端、標(biāo)識(shí)設(shè)備與解析服務(wù)節(jié)點(diǎn)之間的安全認(rèn)證和通道加密提供服務(wù)，極大簡(jiǎn)化了密鑰的管理，有效降低了網(wǎng)絡(luò)資源的消耗。同時(shí)，大量的業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在云上，大量的終端接入對(duì)如何保障數(shù)據(jù)的安全提出了挑戰(zhàn)?；趪?guó)密SM9 的身份認(rèn)證機(jī)制可以有效解決數(shù)據(jù)訪問(wèn)權(quán)限的問(wèn)題，可以根據(jù)身份標(biāo)識(shí)分配不同數(shù)據(jù)的操作權(quán)限，實(shí)現(xiàn)基于身份標(biāo)識(shí)的數(shù)據(jù)訪問(wèn)安全可控。

2.3 基于CHAP 機(jī)制的增強(qiáng)身份認(rèn)證

由于傳統(tǒng)基于用戶名／口令的認(rèn)證方式存在被竊聽(tīng)或攔截的風(fēng)險(xiǎn)，且極易受到木馬、口令字典等攻擊。為提升身份認(rèn)證的安全性，基于國(guó)密SM9 的身份認(rèn)證被廣泛研究應(yīng)用，可有效規(guī)避以上風(fēng)險(xiǎn)。與PKI 體系的身份認(rèn)證機(jī)制一樣，基于國(guó)密SM9 的身份認(rèn)證仍然面臨重放攻擊的威脅。為提升身份認(rèn)證的穩(wěn)定性和安全性，提出了結(jié)合挑戰(zhàn)握手認(rèn)證協(xié)議（Challenge-Handshake Authentication Protocol，CHAP）機(jī)制防止重放攻擊的影響，實(shí)現(xiàn)國(guó)密SM9 的增強(qiáng)身份認(rèn)證，提升電力物聯(lián)網(wǎng)環(huán)境下身份認(rèn)證方式的安全性和穩(wěn)定性。基于CHAP 機(jī)制的身份認(rèn)證過(guò)程如圖2 所示，通過(guò)3 次交互過(guò)程來(lái)校驗(yàn)對(duì)端的身份：1）當(dāng)接入者需要向認(rèn)證者表明身份時(shí)，認(rèn)證者向接入者發(fā)送隨機(jī)“挑戰(zhàn)”消息；2）來(lái)訪者收到挑戰(zhàn)消息后，使用自己私鑰的簽名挑戰(zhàn)值生成“響應(yīng)”值；3）認(rèn)證者根據(jù)響應(yīng)值中接入者對(duì)挑戰(zhàn)值的簽名信息來(lái)驗(yàn)證接入者的身份，如果簽名驗(yàn)證正確，身份得到確認(rèn)。否則，來(lái)訪請(qǐng)求應(yīng)該被終止。

圖2 基于CHAP 機(jī)制的增強(qiáng)身份認(rèn)證

利用國(guó)密SM9 算法將傳統(tǒng)基于PKI 數(shù)字證書的認(rèn)證方式升級(jí)為基于身份標(biāo)識(shí)的驗(yàn)證方式，基于CHAP 機(jī)制，電力物聯(lián)網(wǎng)服務(wù)端通過(guò)修改可變的挑戰(zhàn)值阻止第三方的重放攻擊行為，能夠安全驗(yàn)證電力終端或應(yīng)用系統(tǒng)的身份標(biāo)識(shí)，從而確認(rèn)接入電力物聯(lián)網(wǎng)“人機(jī)物”的身份真實(shí)性及合法性。

3 聯(lián)合生物識(shí)別的國(guó)密SM9 密鑰增強(qiáng)系統(tǒng)

在電力物聯(lián)網(wǎng)背景下，國(guó)密SM9 算法能夠非常簡(jiǎn)單地實(shí)現(xiàn)電力用戶的身份認(rèn)證。但是由于私鑰在用戶側(cè)管理，存在較大的被竊取隱患，萬(wàn)一私鑰泄露，將對(duì)電力設(shè)備的接入驗(yàn)證帶來(lái)很大的威脅。為了防止密鑰被竊取帶來(lái)的危險(xiǎn)終端接入，利用生物識(shí)別技術(shù)保障私鑰存儲(chǔ)安全的方案被提出，目的是實(shí)現(xiàn)用戶“無(wú)口令”的強(qiáng)身份認(rèn)證，在設(shè)備中通過(guò)生物特征識(shí)別即可完成認(rèn)證實(shí)現(xiàn)用戶登錄，支持指紋、語(yǔ)音、瞳孔、人臉等生物特征識(shí)別方式。因此，利用生物識(shí)別技術(shù)提升身份認(rèn)證私鑰的安全性，實(shí)現(xiàn)對(duì)終端使用者嚴(yán)格管控，確保終端操作的合理合規(guī)?；谏镒R(shí)別的安全性認(rèn)證主要步驟為：

1）為了提升身份認(rèn)證私鑰的安全性，私鑰的存儲(chǔ)模塊以硬件的形式嵌入電力終端；

2）在電力終端上采集合法操作人員的生物信息，如指紋、人臉、聲紋等；

3）操作人員進(jìn)行操作時(shí)首先進(jìn)行生物識(shí)別，如識(shí)別通過(guò)則獲取私鑰的使用權(quán)限，若不通過(guò)，則拒絕。

圖3 展示了聯(lián)合生物識(shí)別技術(shù)和國(guó)密SM9 的強(qiáng)身份認(rèn)證技術(shù)，本方案對(duì)終端和操作人員都進(jìn)行了有效的監(jiān)管，對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境具有更好的適應(yīng)性，其主要流程為：

1）利用電力終端的身份標(biāo)識(shí)信息向KGC 申請(qǐng)注冊(cè)；

2）KGC 生成終端對(duì)應(yīng)的公私鑰，并將私鑰存儲(chǔ)在電力終端的私鑰存儲(chǔ)模塊中，同時(shí)，明確各終端的操作人員范圍，并錄入相關(guān)的生物信息；

3）當(dāng)操作人員訪問(wèn)應(yīng)用服務(wù)器資源時(shí)，利用電力終端向資源服務(wù)器發(fā)送訪問(wèn)請(qǐng)求；

4）資源服務(wù)器收到請(qǐng)求后，向電力終端發(fā)送身份認(rèn)證請(qǐng)求和隨機(jī)挑戰(zhàn)值；

5）電力終端識(shí)別操作人員的生物信息，如果識(shí)別通過(guò)則用私鑰對(duì)挑戰(zhàn)值簽名發(fā)送給安全認(rèn)證中心；

6）安全認(rèn)證中心接收到簽名信息，對(duì)報(bào)文進(jìn)行解析，并比對(duì)隨機(jī)挑戰(zhàn)值是否一致；

7）若隨機(jī)挑戰(zhàn)值一致，則身份認(rèn)證通過(guò)；若不一致，則返回錯(cuò)誤信息。

圖3 聯(lián)合生物識(shí)別與國(guó)密SM9 的電力終端強(qiáng)身份認(rèn)證技術(shù)

利用生物識(shí)別技術(shù)實(shí)現(xiàn)基于國(guó)密SM9 “無(wú)口令”的身份認(rèn)證，與電力業(yè)務(wù)上云有很好的契合性，有效解決了傳統(tǒng)身份認(rèn)證機(jī)制面臨的證書管理低效的問(wèn)題，提升電力物聯(lián)網(wǎng)環(huán)境下身份認(rèn)證的安全和效率。

4 結(jié)語(yǔ)

分析電力物聯(lián)網(wǎng)中存在的信息安全風(fēng)險(xiǎn)，重點(diǎn)分析了系統(tǒng)安全防護(hù)和數(shù)據(jù)安全管理的應(yīng)用。針對(duì)大規(guī)模接入點(diǎn)存在的安全問(wèn)題，提出利用國(guó)密SM9強(qiáng)化對(duì)終端身份認(rèn)證的支撐能力，融合國(guó)密SM9 算法、CHAP 協(xié)議、生物識(shí)別等技術(shù)，構(gòu)建了面向海量終端的身份認(rèn)證架構(gòu)，保障了業(yè)務(wù)終端到云服務(wù)端的接入認(rèn)證、業(yè)務(wù)全鏈條數(shù)據(jù)傳輸和信任的安全性，提升電力物聯(lián)網(wǎng)身份認(rèn)證的效率。