李廣華，王自成，顧 浩，陶士全

（南京南瑞繼保電氣有限公司，江蘇 南京211102）

0 引言

目前智能變電站廣泛采用了標(biāo)準(zhǔn)化、開(kāi)放式的通信協(xié)議，如IEC 61850 通信協(xié)議。通信協(xié)議標(biāo)準(zhǔn)化提高了系統(tǒng)互操作性，但也帶來(lái)了安全風(fēng)險(xiǎn)。在安全領(lǐng)域，通?；诠_(kāi)密鑰體系，采用端對(duì)端身份驗(yàn)證與加密的方法來(lái)應(yīng)對(duì)日益突出的安全風(fēng)險(xiǎn)［1-3］，如IEC 62351、IEC 62443 標(biāo)準(zhǔn)體系［4-10］。密鑰管理是公開(kāi)密鑰體系的基礎(chǔ)［8］，它不僅影響系統(tǒng)的安全性，還涉及系統(tǒng)的可靠性、有效性和經(jīng)濟(jì)性［11-13］。雖然目前智能變電站進(jìn)行了一些基于密碼學(xué)通信技術(shù)的應(yīng)用探索［14-18］，但針對(duì)變電站的密鑰管理還缺乏全面、系統(tǒng)性的研究與探索。

1 密鑰管理

公鑰密碼學(xué)最大作用是數(shù)字簽名，提供端對(duì)端的身份鑒別［11］。在公開(kāi)密鑰體系中，密鑰由公鑰和私鑰組成；私鑰主要用作數(shù)字簽名，提供不可否認(rèn)性；公鑰用來(lái)解密，驗(yàn)證用戶身份。在該系統(tǒng)中，公鑰的真實(shí)性與完整性，私鑰的機(jī)密性是該體系的最大挑戰(zhàn)。因此，在變電站網(wǎng)絡(luò)安全系統(tǒng)中，安全可靠的密鑰管理是必要的前提條件。

密鑰管理涉及密鑰從產(chǎn)生到銷毀的全過(guò)程，其中密鑰的分發(fā)與存儲(chǔ)是最大的難題［11］。在公開(kāi)密鑰體系中，實(shí)體需保證私鑰的私密性，而公鑰通過(guò)數(shù)字證書(shū)的方式進(jìn)行公開(kāi)發(fā)放。數(shù)字證書(shū)包含了實(shí)體的身份標(biāo)識(shí)、公鑰、有效期等信息；可信機(jī)構(gòu)負(fù)責(zé)對(duì)實(shí)體身份等信息的真實(shí)性、完整性審核，經(jīng)數(shù)字簽名后進(jìn)行證書(shū)頒發(fā)［19-21］。數(shù)字證書(shū)實(shí)現(xiàn)了實(shí)體與公鑰的綁定，在它們之間建立了一種信任與驗(yàn)證機(jī)制。在公開(kāi)密鑰體系中，密鑰生成的可靠性，私鑰的私密性，實(shí)體身份可信驗(yàn)證以及對(duì)失效證書(shū)的處理是密鑰管理的關(guān)鍵環(huán)節(jié)。

公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI， Public Key Infrastructure）是一個(gè)用來(lái)管理和控制證書(shū)的安全系統(tǒng)［19-22］。在PKI 中包含幾個(gè)重要的組成部分：認(rèn)證中心（CA，Certificate Authority），審核注冊(cè)中心（RA，Registration Authority），密 鑰 管 理 中 心（KM，Key Management）。其中，CA負(fù)責(zé)數(shù)字證書(shū)、證書(shū)撤銷列表（CRL，certificate Revocation List）的簽發(fā)管理；RA負(fù)責(zé)對(duì)證書(shū)申請(qǐng)的審查，并決定是否發(fā)放證書(shū)；KM負(fù)責(zé)密鑰生成，存儲(chǔ)備份等功能。

在變電站的密鑰管理中借鑒了PKI 機(jī)制，但由于PKI 機(jī)制的復(fù)雜性，通常進(jìn)行了簡(jiǎn)化［23］。比較常見(jiàn)的是通過(guò)直接可信的方式簡(jiǎn)化了RA 審核機(jī)制。另外，也有對(duì)在線的密鑰管理機(jī)制展開(kāi)了一些研究探討工作［24-26］。

2 數(shù)字證書(shū)的頒布與分發(fā)

2.1 CA數(shù)字證書(shū)頒發(fā)機(jī)制

在小型系統(tǒng)中，常見(jiàn)的密鑰管理方案是CA數(shù)字證書(shū)頒發(fā)機(jī)制。在該機(jī)制中，CA 服務(wù)器與實(shí)體（IED）采用”面對(duì)面”的方式直接進(jìn)行網(wǎng)絡(luò)通信；CA服務(wù)器負(fù)責(zé)生成密鑰對(duì)，生成IED的數(shù)字證書(shū)并進(jìn)行簽名；通過(guò)安全通信的方式，如加密通信，將私鑰和包含公鑰的數(shù)字證書(shū)一起下載到IED。

在該機(jī)制中，CA 服務(wù)器直接頒發(fā)數(shù)字證書(shū)，默認(rèn)了實(shí)體身份合法，省略了審核過(guò)程。CA數(shù)字證書(shū)頒發(fā)的流程如圖1所示。

在CA 數(shù)字證書(shū)頒發(fā)機(jī)制中，CA 服務(wù)器事先擁有了自己的簽名密鑰對(duì)，IED也獲得了CA的公鑰數(shù)字證書(shū)。CA 服務(wù)器為IED 頒發(fā)數(shù)字證書(shū)的具體流程，如下：

1）CA服務(wù)器隨機(jī)產(chǎn)生密鑰對(duì)；

2）CA 服務(wù)器以密鑰對(duì)的公鑰為基礎(chǔ)產(chǎn)生IED 的數(shù)字證書(shū)，并進(jìn)行數(shù)字簽名（CA 服務(wù)器密鑰對(duì)的私鑰）；

3）通過(guò)安全傳輸通道，CA 服務(wù)器將私鑰與包含公鑰的已簽名數(shù)字證書(shū)傳輸給IED；

圖1 CA數(shù)字證書(shū)頒發(fā)流程示意圖Fig.1 CA digital certificate issuance process

4）IED接收到私鑰與數(shù)字證書(shū)后，使用CA服務(wù)器的公鑰對(duì)數(shù)字證書(shū)進(jìn)行可信性、完整性驗(yàn)證；

5）驗(yàn)證通過(guò)后，IED妥善存儲(chǔ)私鑰，密鑰對(duì)與數(shù)字證書(shū)正式生效。

在CA 數(shù)字證書(shū)頒發(fā)機(jī)制中，密鑰對(duì)由CA 服務(wù)器產(chǎn)生。IED 公鑰信息經(jīng)由CA 數(shù)字簽名后傳輸給IED，簽名機(jī)制保證了IED公鑰的有效性與可靠性。

在該方案中，強(qiáng)調(diào)私密性的私鑰不僅存儲(chǔ)在了IED設(shè)備中，還出現(xiàn)在CA服務(wù)器、網(wǎng)絡(luò)傳輸環(huán)節(jié)中，存在安全風(fēng)險(xiǎn)。CA服務(wù)器需防止密鑰對(duì)不被竊取，妥善保存或及時(shí)徹底銷毀。網(wǎng)絡(luò)傳輸環(huán)節(jié)須保證傳輸?shù)乃矫苄裕乐姑荑€信息的被竊聽(tīng)。

2.2 CA數(shù)字證書(shū)認(rèn)證機(jī)制

CA 數(shù)字證書(shū)認(rèn)證機(jī)制同樣基于直接網(wǎng)絡(luò)通信方式，省略了身份審核過(guò)程。但該機(jī)制改進(jìn)了密鑰對(duì)的生成與傳輸環(huán)節(jié)，弱化了對(duì)通信安全的依賴，消除了私鑰被竊取、竊聽(tīng)的風(fēng)險(xiǎn)。

CA數(shù)字證書(shū)認(rèn)證機(jī)制：IED負(fù)責(zé)生成密鑰對(duì)；IED將公鑰信息上傳給CA 服務(wù)器；CA 服務(wù)器以公鑰為基礎(chǔ)生成數(shù)字證書(shū)，并數(shù)字簽名；CA 服務(wù)器將已簽名公鑰數(shù)字證書(shū)下載到IED。該方案不再依賴私密性通信方式，工作流程如圖2所示。

在CA 數(shù)字證書(shū)認(rèn)證機(jī)制中，CA 服務(wù)器事先擁有了自己的簽名密鑰對(duì)，IED也獲得了CA的公鑰數(shù)字證書(shū)。其工作流程如下：

1）IED隨機(jī)產(chǎn)生密鑰對(duì)；

2）IED將公鑰通過(guò)網(wǎng)絡(luò)傳輸給CA服務(wù)器；

3）CA 服務(wù)器以公鑰為基礎(chǔ)生成數(shù)字證書(shū)，并數(shù)字簽名；

圖2 CA數(shù)字證書(shū)認(rèn)證流程示意圖Fig.2 CA digital certificate authentication process

4）CA服務(wù)器將已簽名數(shù)字證書(shū)通過(guò)網(wǎng)絡(luò)傳輸給IED；

5）IED收到數(shù)字證書(shū)后，用CA服務(wù)器的公鑰驗(yàn)證數(shù)字證書(shū)的可信性；并比對(duì)證書(shū)中公鑰信息的完整性；

6）驗(yàn)證通過(guò)后，密鑰對(duì)與數(shù)字證書(shū)正式生效。

在CA 數(shù)字證書(shū)認(rèn)證機(jī)制中，IED 內(nèi)部生成密鑰對(duì)，避免了私鑰的所有中間環(huán)節(jié)，降低了私鑰泄漏的風(fēng)險(xiǎn)，最大程度保證了私鑰的私密性。

在該方案中，IED可通過(guò)CA公鑰驗(yàn)證數(shù)字證書(shū)的頒發(fā)者身份，并結(jié)合對(duì)數(shù)字證書(shū)中公鑰信息的完整性驗(yàn)證，保證了數(shù)字證書(shū)可信性與正確性。雖然，IED的公鑰信息經(jīng)歷了從IED 到CA 服務(wù)器，從CA 服務(wù)器再到IED 的兩個(gè)非安全加密的通信環(huán)節(jié)，仍然能夠保證信息的完整性與可靠性。非安全傳輸通道的適用，提高了該方案的經(jīng)濟(jì)性與實(shí)施效率。

2.3 在線證書(shū)頒發(fā)/認(rèn)證機(jī)制

在線證書(shū)頒發(fā)/認(rèn)證機(jī)制是一種依賴網(wǎng)絡(luò)通信的自動(dòng)化遠(yuǎn)程數(shù)字證書(shū)管理機(jī)制，通過(guò)特定通信協(xié)議進(jìn)行信息交互。由于采用了遠(yuǎn)程通信方式，服務(wù)器無(wú)法直接對(duì)證書(shū)請(qǐng)求的實(shí)體（IED）進(jìn)行身份審核，需在服務(wù)器側(cè)增加IED 身份的審核機(jī)制，因此稱該服務(wù)器也稱為RA/CA服務(wù)器。在該機(jī)制中，密鑰對(duì)可根據(jù)需要由服務(wù)器或IED生成。

常見(jiàn)用于在線證書(shū)頒發(fā)/認(rèn)證的標(biāo)準(zhǔn)通信協(xié)議包括SCEP（Simple Certificate Enrolment Protocol）、EST（Enrolment Over Secure Transport）。其中，SECP 支持RSA數(shù)字證書(shū)，采用非加密方式通信；EST支持RSA或ECC 的數(shù)字證書(shū)，采用加密通信方式［8］。在線證書(shū)頒發(fā)/認(rèn)證機(jī)制的流程如圖3所示。

圖3 在線證書(shū)頒發(fā)/認(rèn)證流程示意圖Fig.3 Online certificate issuance/certification process

在線證書(shū)管理機(jī)制提高了系統(tǒng)自動(dòng)化程度，但也對(duì)技術(shù)提出了更高要求。一方面要求RA/CA 服務(wù)器必須經(jīng)常在線，還需具備并發(fā)請(qǐng)求處理的能力，這顯然增加了它的負(fù)擔(dān)；另一方面IED 設(shè)備增加了與外網(wǎng)的通信通道，該通道也會(huì)成為變電站網(wǎng)絡(luò)完全體系中新的風(fēng)險(xiǎn)點(diǎn)。通常，該通信通道需要采用網(wǎng)絡(luò)安全設(shè)備進(jìn)行防護(hù)，如防火墻，降低了系統(tǒng)的經(jīng)濟(jì)性。

2.4 數(shù)字證書(shū)機(jī)制對(duì)比

本文從數(shù)字證書(shū)的注冊(cè)審核、私鑰安全性（私密性），以及相應(yīng)的通信要求，必要的完全防護(hù)措施等多方面對(duì)這幾種密鑰管理機(jī)制做了對(duì)比分析，并結(jié)合了不同機(jī)制在工程使用中的技術(shù)要求，給出了應(yīng)用可靠性的評(píng)估結(jié)果，其對(duì)比分析結(jié)果如表1所示。

表1 不同數(shù)字證書(shū)機(jī)制對(duì)比Table 1 Comparison of different digital certificate mechanisms

對(duì)比密鑰對(duì)的生成來(lái)源，由IED 生成密鑰對(duì)避免了私鑰的轉(zhuǎn)移環(huán)節(jié)，具有更好的安全私密性；但分散式的密鑰生成算法存在不同實(shí)現(xiàn)的可靠性問(wèn)題，可控性相對(duì)較低。就地式的數(shù)字證書(shū)頒發(fā)/認(rèn)證機(jī)制基于對(duì)IED的直接操作進(jìn)行身份審核，其認(rèn)證過(guò)程簡(jiǎn)單可靠；而在線證書(shū)機(jī)制需借助RA 進(jìn)行身份認(rèn)證，實(shí)現(xiàn)流程復(fù)雜，技術(shù)難度高，存在被技術(shù)攻擊的風(fēng)險(xiǎn)。

在通信的需求上，在線證書(shū)機(jī)制屬于集中式管理，會(huì)對(duì)IED 提出出站通信需求，需增加必要的安全防護(hù)措施來(lái)保證通信的安全性與可靠性，如防火墻，甚至需要認(rèn)證加密的專用信道來(lái)保證通信的安全性。另外，相對(duì)CA 證書(shū)認(rèn)證機(jī)制，CA 證書(shū)頒發(fā)機(jī)制需采用加密通信來(lái)保障私鑰的安全性。安全認(rèn)證與加密的通信方式，以及相應(yīng)的安全防護(hù)措施，都會(huì)增加系統(tǒng)的復(fù)雜度。

3 數(shù)字證書(shū)的撤銷

數(shù)字證書(shū)都有一個(gè)有效期，通常新的證書(shū)會(huì)在舊的證書(shū)失效前進(jìn)行發(fā)放。但是在一些情況下證書(shū)可能在它的有效期之前就變得無(wú)效，如私鑰泄漏、CA 證書(shū)被認(rèn)為不安全等，在這種情況下繼續(xù)使用該證書(shū)會(huì)帶來(lái)安全風(fēng)險(xiǎn)［19-21］。因此，在密鑰管理中，證書(shū)撤銷也是重要的組成部分。

3.1 CRL的證書(shū)撤銷機(jī)制

證書(shū)撤銷列表（CRL）是最常用的證書(shū)撤銷方式［27］。CRL 是一種帶有時(shí)間信息，由已被CA 撤銷但還未到期的證書(shū)信息組成的列表，以證書(shū)的序列號(hào)來(lái)標(biāo)識(shí)被撤銷的證書(shū)。CRL 列表由CA 維護(hù)，經(jīng)由CA 進(jìn)行數(shù)字簽名并定期簽發(fā)。CRL具有也不依賴安全加密通信，實(shí)現(xiàn)簡(jiǎn)單等優(yōu)點(diǎn)，因此被IEC 62351列為必須支持證書(shū)撤銷管理方式［8］。

但是CRL 機(jī)制也存在明顯不足。一方面，CRL 是周期性發(fā)布的，從證書(shū)被撤銷到實(shí)體獲得撤銷信息間有一定的延遲［28］。CRL 的周期發(fā)布過(guò)程可能給不法分子帶來(lái)可乘之機(jī)，存在安全風(fēng)險(xiǎn)；若通過(guò)加強(qiáng)CRL的發(fā)布頻率來(lái)削弱該風(fēng)險(xiǎn)，又會(huì)帶來(lái)CRL大面積發(fā)布帶來(lái)的運(yùn)維管理問(wèn)題。另一方面，隨著系統(tǒng)的擴(kuò)大，CRL 可能會(huì)越來(lái)越大，嵌入式設(shè)備的存儲(chǔ)空間可能無(wú)法保存過(guò)大的CRL，會(huì)帶來(lái)運(yùn)行使用的問(wèn)題。

3.2 OCSP證書(shū)查詢機(jī)制

通過(guò)標(biāo)準(zhǔn)通信協(xié)議，實(shí)時(shí)向CA在線查詢獲取證書(shū)狀態(tài)是另外一種比較常見(jiàn)的證書(shū)撤銷方式。在線證書(shū)狀態(tài)協(xié)議OCSP（Online Certificate Status Protocol）是在RFC 6960 中提出的用于檢查當(dāng)前證書(shū)是否有效的標(biāo)準(zhǔn)協(xié)議［29］。它基于客戶端/服務(wù)器模型，OCSP 客戶端（IED）發(fā)起一個(gè)狀態(tài)查詢請(qǐng)求給OCSP 服務(wù)器（CA 服務(wù)器），OCSP服務(wù)器會(huì)給出當(dāng)前證書(shū)的所處狀態(tài)，如正常、撤銷、未知等。

相對(duì)CRL，OCSP 只需維護(hù)CA 服務(wù)器的證書(shū)狀態(tài)信息，并支持實(shí)時(shí)狀態(tài)查詢，這在信息維護(hù)與系統(tǒng)實(shí)時(shí)性上有著巨大的便利性。但OCSP 獲取證書(shū)狀態(tài)的實(shí)時(shí)性并不是絕對(duì)意義上的，這依賴于CA服務(wù)器對(duì)證書(shū)狀態(tài)信息更新的實(shí)時(shí)性。

OCSP 同樣存在一些不足。首先，OCSP 服務(wù)器容易受到Dos攻擊；而攻擊者也可能會(huì)利用OCSP對(duì)出錯(cuò)響應(yīng)不簽名的特性，通過(guò)偽造返回出錯(cuò)信息來(lái)攻擊客戶端。其次，OCSP 通信需要對(duì)進(jìn)行簽名計(jì)算，會(huì)占用大量CPU資源；服務(wù)器還需應(yīng)對(duì)隨機(jī)產(chǎn)生的并發(fā)客戶端請(qǐng)求；隨著證書(shū)規(guī)模的不斷增大，證書(shū)狀態(tài)檢索也會(huì)產(chǎn)生比較大的開(kāi)銷；這些都非常考驗(yàn)OCSP 系統(tǒng)的實(shí)時(shí)響應(yīng)能力［30-31］。因此，OCSP系統(tǒng)在運(yùn)行中也會(huì)存在可靠性與實(shí)時(shí)性的風(fēng)險(xiǎn)。

4 結(jié)論與建議

隨著嵌入式技術(shù)的發(fā)展，目前大量嵌入式設(shè)備已具有生成秘鑰對(duì)與證書(shū)請(qǐng)求文件的能力；但同時(shí)也有一些設(shè)備存在資源受限的問(wèn)題，包括大量存量的變電站設(shè)備，不具備生成密鑰對(duì)的能力。鑒于這種情況將在變電站中長(zhǎng)期存在，并結(jié)合用戶對(duì)統(tǒng)一管控變電站密鑰的切實(shí)需求，本文設(shè)計(jì)并實(shí)施了一種就地式PKI證書(shū)系統(tǒng)，同時(shí)支持證書(shū)頒發(fā)與認(rèn)證兩種機(jī)制，并提供了密鑰集中管控的解決方案。

就地式PKI 證書(shū)系統(tǒng)以軟件形式存在，即可固定部署在變電站內(nèi)，也可部署在用戶的特定便攜式設(shè)備上。該系統(tǒng)采用離線方式與證書(shū)管理中心進(jìn)行信息交互，如電子郵件（Email）或USB 設(shè)備，接受證書(shū)認(rèn)證中心的統(tǒng)一管理；在站內(nèi)，采用SFTP 協(xié)議實(shí)現(xiàn)與變電站內(nèi)設(shè)備的信息交互，就地式PKI 證書(shū)系統(tǒng)的操作流程如圖4所示。

圖4 就地式PKI系統(tǒng)操作流程Fig.4 Operation process of on-site PKI system

就地式PKI 證書(shū)系統(tǒng)的操作流程分為兩部分：首先申請(qǐng)成為證書(shū)管理中心的次級(jí)可信系統(tǒng)；然后在變電站執(zhí)行證書(shū)管理過(guò)程。其中，申請(qǐng)成為次級(jí)可信系統(tǒng)的具體操作流程為：

1）首先，生成自身密鑰對(duì)與證書(shū)請(qǐng)求文件，然后離線遞交證書(shū)請(qǐng)求文件請(qǐng)求證書(shū)管理中心審核；

2）證書(shū)管理中心通過(guò)審核后，離線對(duì)就地式PKI系統(tǒng)頒發(fā)次級(jí)根證書(shū)，使其成為證書(shū)管理中心的次級(jí)可信系統(tǒng)。

在對(duì)變電站設(shè)備進(jìn)行證書(shū)管理時(shí)，先由工作人員確認(rèn)待管理設(shè)備的身份可信后，將就地式PKI 證書(shū)系統(tǒng)臨時(shí)接入站控層網(wǎng)絡(luò)執(zhí)行證書(shū)管理流程。

變電站證書(shū)管的具體理操作流程為：

首先，站內(nèi)設(shè)備生成自身密鑰對(duì)與證書(shū)請(qǐng)求文件；然后，就地式PKI證書(shū)系統(tǒng)應(yīng)用SFTP協(xié)議上招設(shè)備的證書(shū)請(qǐng)求文件；就地式PKI 證書(shū)系統(tǒng)完成證書(shū)請(qǐng)求文件的正確性驗(yàn)證后，簽署數(shù)字證書(shū)并通過(guò)SFTP協(xié)議完成下裝。

就地式PKI 證書(shū)系統(tǒng)支持簽署自簽名根證書(shū)模式，該模式可使系統(tǒng)作為可信根節(jié)點(diǎn)來(lái)滿足小型系統(tǒng)的應(yīng)用需求。就地式PKI證書(shū)系統(tǒng)也可代為生成密鑰對(duì)并簽署證書(shū)，證書(shū)與私鑰同時(shí)下裝到變電站設(shè)備；為保障私鑰的私密性，密鑰對(duì)應(yīng)用完成后會(huì)被立即銷毀。在變電站的運(yùn)行維護(hù)中，該系統(tǒng)也支持應(yīng)用SFTP協(xié)議實(shí)現(xiàn)CRL文件的簽署與下裝。就地式PKI證書(shū)系統(tǒng)完成變電站設(shè)備的證書(shū)管理操作后，立即斷開(kāi)網(wǎng)絡(luò)連接并退出運(yùn)行。

本文結(jié)合就地式PKI 證書(shū)系統(tǒng)的設(shè)計(jì)與應(yīng)用，從工程應(yīng)用的實(shí)際出發(fā)，對(duì)3 種數(shù)字證書(shū)管理機(jī)制在系統(tǒng)部署、可維護(hù)性、網(wǎng)絡(luò)安全等多個(gè)維度做了評(píng)估對(duì)比，對(duì)比分析結(jié)果如表2所示。

2 不同數(shù)字證書(shū)機(jī)制的工程應(yīng)用對(duì)比Table 2 Practical application comparison of different digital certificate mechanisms

在系統(tǒng)部署的初期，CA 數(shù)字證書(shū)頒發(fā)/認(rèn)證機(jī)制因采用臨時(shí)性、就地式的通信方式，可簡(jiǎn)化部分流程，部署簡(jiǎn)單可靠；而在線證書(shū)管理機(jī)制因采用實(shí)時(shí)通信技術(shù)，會(huì)對(duì)網(wǎng)絡(luò)與通信的可靠性、設(shè)備身份審核方面有更高的技術(shù)要求，部署難度更高。對(duì)通信有私密性要求的證書(shū)頒發(fā)機(jī)制，會(huì)對(duì)系統(tǒng)部署與故障分析能力上具有更高的要求。

隨著系統(tǒng)規(guī)模的不斷增加，加密通信技術(shù)的不斷成熟，在線系統(tǒng)可對(duì)增/存量設(shè)備進(jìn)行遠(yuǎn)端維護(hù)，平均的維護(hù)工作量會(huì)逐漸降低。而就地式系統(tǒng)因仍需對(duì)變電站進(jìn)行現(xiàn)場(chǎng)維護(hù)，其工作量將逐漸增加并難以承受。在工程實(shí)施中，就地式系統(tǒng)可應(yīng)用更先進(jìn)的密碼學(xué)算法、更長(zhǎng)的密鑰長(zhǎng)度，提升證書(shū)的有效期來(lái)降低變電站設(shè)備的維護(hù)頻率，增強(qiáng)其可維護(hù)性。

雖然在線系統(tǒng)在大規(guī)模系統(tǒng)中具有應(yīng)運(yùn)維管理的優(yōu)勢(shì)，但因支持實(shí)時(shí)的證書(shū)注冊(cè)與查詢請(qǐng)求，也更容易受到網(wǎng)絡(luò)的安全攻擊，對(duì)通信系統(tǒng)的安全防護(hù)將提出更高的要求。因安全防護(hù)具有相對(duì)性，隨著時(shí)間的推移原有的安全方法有可能變得不再安全，可靠性也隨之降低；在線系統(tǒng)也會(huì)面臨因安全問(wèn)題而迭代升級(jí)的問(wèn)題，這將比分散式管理的就地式系統(tǒng)升級(jí)要復(fù)雜的多。

5 結(jié)語(yǔ)

本文結(jié)合網(wǎng)絡(luò)安全通信標(biāo)準(zhǔn)的通信要求，總結(jié)了目前幾種比較常見(jiàn)密鑰管理方式，并設(shè)計(jì)實(shí)施了一種就地式PKI 證書(shū)管理系統(tǒng)。通過(guò)從密鑰生成，私鑰私密性、實(shí)體身份審核驗(yàn)證，通信安全需求，出站安全防護(hù)等角度進(jìn)行了對(duì)比，并結(jié)合工程實(shí)施的復(fù)雜度、運(yùn)維管理、經(jīng)濟(jì)性等因素進(jìn)行了綜合的分析。

通過(guò)綜合比較，CA 方式僅認(rèn)證數(shù)字證書(shū)，無(wú)私鑰轉(zhuǎn)移環(huán)節(jié)，可最大程度提高私鑰的私密性；直接就地操作，可省略IED的身份審核過(guò)程，并具有更高的認(rèn)證可靠性；減少對(duì)通信安全的依賴，縮減安全防護(hù)措施，可有效降低系統(tǒng)復(fù)雜度。在變電站數(shù)字證書(shū)應(yīng)用的初期，建議采用CA數(shù)字證書(shū)認(rèn)證與CRL結(jié)合的方式，利用其在密鑰安全性與應(yīng)用可靠性上的優(yōu)勢(shì)，通過(guò)簡(jiǎn)化環(huán)節(jié)、降低復(fù)雜度來(lái)提高系統(tǒng)可靠性。同時(shí)，可通過(guò)增強(qiáng)密鑰強(qiáng)度，降低證書(shū)更新頻率的方式，來(lái)減少運(yùn)行維護(hù)管理的工作量。

隨著系統(tǒng)規(guī)模不斷擴(kuò)大，運(yùn)維管理的難度將會(huì)逐漸顯現(xiàn)，在線證書(shū)管理機(jī)制將體現(xiàn)出更大的優(yōu)勢(shì)。在加強(qiáng)對(duì)出站通信防護(hù)、在線身份審核、在線數(shù)字證書(shū)簽發(fā)的研究基礎(chǔ)上，變電站數(shù)字證書(shū)應(yīng)用可逐漸過(guò)渡到以KPI機(jī)制為基礎(chǔ)、以在線密鑰管理與OCSP相結(jié)合的方式上來(lái)，有效解決運(yùn)維管理的問(wèn)題。

本文的應(yīng)用實(shí)施與對(duì)比分析，可為后續(xù)變電站密鑰管理的具體實(shí)施提供借鑒。