周 林, 王 勇

(上海電力大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090)

2019年3月,國家電網(wǎng)提出了建設(shè)世界一流能源互聯(lián)網(wǎng)、全面推進(jìn)泛在電力物聯(lián)網(wǎng)建設(shè)、打造“三型兩網(wǎng)” 的戰(zhàn)略目標(biāo),使基于泛在電力物聯(lián)網(wǎng)的智能電網(wǎng)建設(shè)成為近期討論的熱點(diǎn)。

根據(jù)國家電網(wǎng)公司發(fā)布的《泛在電力物聯(lián)網(wǎng)建設(shè)大綱》,“泛在物聯(lián)”是指任何時(shí)間、任何地點(diǎn)、任何人、任何物之間的信息連接和交互[1],泛在電力物聯(lián)網(wǎng)則是泛在物聯(lián)在電力行業(yè)的具體表現(xiàn)形式和應(yīng)用。但當(dāng)前的物聯(lián)網(wǎng)末端設(shè)備普遍存在著一些安全隱患,比如暴露于開放式環(huán)境、缺乏必要的安全措施、設(shè)施自身算力差、通信中采用明文傳輸?shù)?。這些問題在萬物互聯(lián)的大環(huán)境下必然會(huì)給整個(gè)系統(tǒng)帶來難以避免的災(zāi)難。

1 相關(guān)研究

物聯(lián)網(wǎng)環(huán)境容易遭受的典型攻擊可以歸納為5個(gè)方面:直接的物理攻擊或感染病毒;通信數(shù)據(jù)被監(jiān)聽;假數(shù)據(jù)注入攻擊;針對(duì)物聯(lián)網(wǎng)通信協(xié)議的各類攻擊(如女巫攻擊、回放攻擊、中間人攻擊、蟲洞攻擊等);拒絕服務(wù)(Denial of Service,DoS)攻擊[2]。2016年10月22日,美國發(fā)生了一起利用物聯(lián)網(wǎng)設(shè)備發(fā)起分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊的嚴(yán)重事件,提供核心網(wǎng)絡(luò)服務(wù)的Dyn公司的域名系統(tǒng)基礎(chǔ)設(shè)施遭受了來自全球范圍的DDoS攻擊,攻擊持續(xù)近7個(gè)小時(shí),致使大半個(gè)美國的互聯(lián)網(wǎng)癱瘓[3]。

為解決這類安全問題,文獻(xiàn)[4]從生物免疫學(xué)視角探討了泛在電力物聯(lián)網(wǎng)各個(gè)層次全方位智能聯(lián)動(dòng)建立安全免疫體系的構(gòu)想,但未能給出實(shí)質(zhì)性的可行方案。文獻(xiàn)[5]提出構(gòu)建基于邊緣計(jì)算的泛在電力物聯(lián)網(wǎng)數(shù)據(jù)處理架構(gòu),加強(qiáng)邊緣節(jié)點(diǎn)自適應(yīng)處理數(shù)據(jù)的能力,采用就地管理與集群管理相結(jié)合的方法,有效降低了數(shù)據(jù)處理的平均時(shí)間,但未對(duì)數(shù)據(jù)安全傳輸以及節(jié)點(diǎn)可信度等問題展開討論。文獻(xiàn)[6]給出了基于區(qū)塊鏈的電力設(shè)備泛在物聯(lián)網(wǎng)系統(tǒng)架構(gòu),試圖解決數(shù)據(jù)安全、隱私保護(hù)等問題;提出了部分中心化的分區(qū)聯(lián)盟鏈方案,嘗試以感知層的匯聚節(jié)點(diǎn)或網(wǎng)絡(luò)層的接入網(wǎng)關(guān)作為區(qū)塊鏈網(wǎng)關(guān),完成區(qū)塊鏈中的計(jì)算任務(wù)。這種方案客觀上要求區(qū)塊鏈網(wǎng)關(guān)具備相當(dāng)?shù)挠?jì)算能力和較大的存儲(chǔ)空間,對(duì)擁有龐大節(jié)點(diǎn)數(shù)量的電力物聯(lián)網(wǎng)來說未必可行。文獻(xiàn)[7]從傳感節(jié)點(diǎn)自身處理能力的角度出發(fā),分析了不同加密方法在應(yīng)用中可能產(chǎn)生的問題,指出了在提升傳感節(jié)點(diǎn)安全性與降低節(jié)點(diǎn)運(yùn)算能力要求方面當(dāng)前并沒有更好的策略。

2 感知層連接方案

從技術(shù)架構(gòu)的角度看,泛在電力物聯(lián)網(wǎng)從下至上包括感知層、網(wǎng)絡(luò)層、平臺(tái)層和應(yīng)用層。該架構(gòu)如圖1所示。

圖1 泛在電力物聯(lián)網(wǎng)技術(shù)架構(gòu)

感知層采集底層物理信息,通過包含基礎(chǔ)通信網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)絡(luò)層傳輸所收集的信息,在平臺(tái)層實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一建模、統(tǒng)一應(yīng)用程序接口,由應(yīng)用層承載對(duì)內(nèi)、對(duì)外的各種業(yè)務(wù)。

感知層集中了各類傳感器、數(shù)據(jù)采集終端等物聯(lián)網(wǎng)末端設(shè)備,采集完的數(shù)據(jù)借助網(wǎng)絡(luò)層的各種通信網(wǎng)絡(luò)傳輸進(jìn)入平臺(tái)層。這是將物理世界的信息變成虛擬空間的數(shù)據(jù)信息的關(guān)鍵環(huán)節(jié)?？紤]感知層和網(wǎng)絡(luò)層是泛在電力物聯(lián)網(wǎng)的數(shù)據(jù)源頭,是入侵威脅進(jìn)入的關(guān)口。本文所討論的方案主要針對(duì)這兩個(gè)層面進(jìn)行設(shè)計(jì)。所提出的方案將主要解決兩個(gè)問題:一是避免物聯(lián)網(wǎng)節(jié)點(diǎn)被利用,成為攻擊其他節(jié)點(diǎn)的幫兇;二是提高感知層各個(gè)節(jié)點(diǎn)的可信度。

為解決上述問題,考慮在感知層采用樹形結(jié)構(gòu)連接各個(gè)末端節(jié)點(diǎn)(如傳感節(jié)點(diǎn)、數(shù)據(jù)采集節(jié)點(diǎn)等),即所有節(jié)點(diǎn)構(gòu)成一棵樹?？紤]到不同節(jié)點(diǎn)存在算力差異,以及控制樹的規(guī)模,在本文中要求設(shè)立不同規(guī)模的子樹(不一定是二叉樹),每棵子樹形成一個(gè)邏輯區(qū)域。子樹的根由一個(gè)算力較強(qiáng)的超級(jí)節(jié)點(diǎn)負(fù)責(zé)(類似于邊緣計(jì)算的節(jié)點(diǎn)),屬于該區(qū)域的所有末端節(jié)點(diǎn)都直接連接到區(qū)域超級(jí)節(jié)點(diǎn)(基于有線或無線連接),末端節(jié)點(diǎn)之間沒有直接的相互連接。

同時(shí),考慮節(jié)點(diǎn)數(shù)量和子樹的深度等因素,大多數(shù)以超級(jí)節(jié)點(diǎn)為根的子樹結(jié)構(gòu)只有一層;如果存在能力較弱、距離過遠(yuǎn)的末端節(jié)點(diǎn)及子樹區(qū)域,則通過增加匯聚層節(jié)點(diǎn)的方式進(jìn)行連接。

感知層節(jié)點(diǎn)連接的拓?fù)涫疽鈭D如圖2所示。

圖2 感知層節(jié)點(diǎn)連接拓?fù)涫疽?/p>

基于以上拓?fù)浣Y(jié)構(gòu),平臺(tái)層以下的電力物聯(lián)網(wǎng)結(jié)構(gòu)是一棵由不同規(guī)模的單層或兩層子樹構(gòu)成的樹,末端節(jié)點(diǎn)必須依靠超級(jí)節(jié)點(diǎn)連接到網(wǎng)絡(luò)層,所有末端節(jié)點(diǎn)并不直接與平臺(tái)層或核心系統(tǒng)進(jìn)行通信,只是將數(shù)據(jù)提供給超級(jí)節(jié)點(diǎn),超級(jí)節(jié)點(diǎn)再負(fù)責(zé)將收集到的數(shù)據(jù)經(jīng)網(wǎng)絡(luò)層遞交給平臺(tái)層,形成一種依次遞進(jìn)的數(shù)據(jù)傳遞模式,如圖3所示。

圖3 感知層節(jié)點(diǎn)的遞進(jìn)式數(shù)據(jù)傳遞模式

3 安全機(jī)制設(shè)置

在數(shù)據(jù)采集時(shí),會(huì)同時(shí)從多個(gè)末端節(jié)點(diǎn)收集數(shù)據(jù),而且由于很多節(jié)點(diǎn)暴露在外部風(fēng)險(xiǎn)環(huán)境中,需要運(yùn)用技術(shù)手段驗(yàn)證其可信度。為了校驗(yàn)整個(gè)樹形結(jié)構(gòu)中各個(gè)節(jié)點(diǎn)的身份是否可靠,本文采用Merkle樹的驗(yàn)證機(jī)制[8-9]。每個(gè)子節(jié)點(diǎn)向其父節(jié)點(diǎn)提供自己的哈希值,通過哈希運(yùn)算證明其真實(shí)性。驗(yàn)證機(jī)制的具體步驟如下:

(1) 每個(gè)末端節(jié)點(diǎn)在部署前(出廠前)都預(yù)置有唯一的編號(hào)、識(shí)別碼,并內(nèi)置對(duì)稱加密密鑰(硬件加密);

(2) 在每個(gè)末端節(jié)點(diǎn)部署前(出廠前),會(huì)依據(jù)自己的編號(hào)、識(shí)別碼、密鑰這一串信息計(jì)算出代表自己身份的哈希值,并提供給超級(jí)節(jié)點(diǎn),以此形成子樹的根哈希值;

(3) 超級(jí)節(jié)點(diǎn)預(yù)存本管轄區(qū)域的子樹的根哈希值;

(4) 每個(gè)超級(jí)節(jié)點(diǎn)在部署前(出廠前)也都預(yù)置了唯一的編號(hào)、識(shí)別碼以及基于硬件加密的對(duì)稱加密密鑰,還內(nèi)置了所管轄末端節(jié)點(diǎn)的解密密鑰(即雙方通信過程中不需要傳遞密鑰);

(5) 每個(gè)超級(jí)節(jié)點(diǎn)部署前(出廠前),會(huì)向平臺(tái)層提供基于自己的編號(hào)、識(shí)別碼以及密鑰計(jì)算出的標(biāo)識(shí)自己身份的哈希值;

(6) 平臺(tái)層預(yù)存由一組超級(jí)節(jié)點(diǎn)構(gòu)成的子樹的根哈希值(稱為頂層根哈希值)。

上述過程是基于以下因素:電力物聯(lián)網(wǎng)屬于專用網(wǎng)絡(luò),所有節(jié)點(diǎn)的部署都屬于預(yù)先規(guī)劃再實(shí)施,不存在有末端節(jié)點(diǎn)臨時(shí)加入或未知節(jié)點(diǎn)請(qǐng)求加入的可能;預(yù)先規(guī)劃的節(jié)點(diǎn)其軟硬件資源屬于可控資源,能夠按照安全規(guī)范和安全策略達(dá)到以上要求。

Merkle樹的驗(yàn)證目標(biāo)是,屬于一棵子樹的每個(gè)末端節(jié)點(diǎn)會(huì)計(jì)算自己身份信息的哈希值,再將這些哈希值拼接到一起作一次哈希運(yùn)算,從而得到該子樹的根哈希值,具體如圖4所示。子樹根哈希值在部署前是預(yù)存于超級(jí)節(jié)點(diǎn)中(或預(yù)留在平臺(tái)層),在后續(xù)數(shù)據(jù)通信過程中用哈希值驗(yàn)證一棵子樹中通信節(jié)點(diǎn)的可信度。在整個(gè)驗(yàn)證的過程中,每個(gè)節(jié)點(diǎn)只需向其父節(jié)點(diǎn)證明即可,即:感知層的末端節(jié)點(diǎn)向超級(jí)節(jié)點(diǎn)證明自己的真實(shí)性,超級(jí)節(jié)點(diǎn)則向平臺(tái)層證明自己的真實(shí)性。

圖4 子節(jié)點(diǎn)向父節(jié)點(diǎn)提供自己的哈希值

由于平臺(tái)層需要面對(duì)所有的超級(jí)節(jié)點(diǎn),為避免節(jié)點(diǎn)太多造成信息量過大,因此在平臺(tái)層也采取了構(gòu)建子樹的方法,將一定范圍內(nèi)的超級(jí)節(jié)點(diǎn)構(gòu)成邏輯區(qū)域,比如具有相似的功能、完成任務(wù)相似等。這使得邏輯區(qū)域內(nèi)超級(jí)節(jié)點(diǎn)的數(shù)量有限,減小了平臺(tái)層處理所有超級(jí)節(jié)點(diǎn)的信息時(shí)可能產(chǎn)生的通信和計(jì)算壓力;而且這種邏輯區(qū)塊分割,使超級(jí)節(jié)點(diǎn)在物理上和邏輯上都沒有直接關(guān)聯(lián),進(jìn)一步避免了相互干擾的可能,也能夠降低平臺(tái)層的算力成本和存儲(chǔ)壓力。區(qū)塊分割示意如圖5所示。

圖5 超級(jí)節(jié)點(diǎn)之間的區(qū)塊分割示意

圖5中,在邏輯區(qū)域中的超級(jí)節(jié)點(diǎn)之間,并不需要采用區(qū)塊鏈的方式相互證明身份,每個(gè)超級(jí)節(jié)點(diǎn)只與其父節(jié)點(diǎn)有通信往來,也只需向父節(jié)點(diǎn)證明自己。這樣就避免了在超級(jí)節(jié)點(diǎn)上投入太多資源用于計(jì)算和存儲(chǔ),也避免了超級(jí)節(jié)點(diǎn)之間相互聯(lián)系給網(wǎng)絡(luò)層帶來的通信壓力及傳播惡意代碼的可能。

實(shí)際上,按照前文中給出的樹形結(jié)構(gòu),已經(jīng)在最大程度上減少了末端節(jié)點(diǎn)之間、超級(jí)節(jié)點(diǎn)之間的相互通信。一顆子樹中的所有葉節(jié)點(diǎn)(即末端節(jié)點(diǎn))只能與根節(jié)點(diǎn)通信,葉節(jié)點(diǎn)之間無法直接聯(lián)系。如果出現(xiàn)個(gè)別葉節(jié)點(diǎn)被利用,企圖感染其他葉節(jié)點(diǎn),則需要通過所在子樹的根節(jié)點(diǎn)進(jìn)行通信路由;而子樹的根節(jié)點(diǎn)除了匯總數(shù)據(jù)之外,還具有路由過濾功能,會(huì)攔截一切目的地是非根節(jié)點(diǎn)的通信請(qǐng)求,從而遏止了無關(guān)流量和DoS攻擊的風(fēng)險(xiǎn)。

4 節(jié)點(diǎn)驗(yàn)證流程

在部署超級(jí)節(jié)點(diǎn)和末端節(jié)點(diǎn)之前,這些節(jié)點(diǎn)的可信信息已經(jīng)備案,且已形成身份信息的可信鏈,但部署完成后,相互通信的節(jié)點(diǎn)雙方互不可見,因此需要提供自己的身份驗(yàn)證信息來確保發(fā)送數(shù)據(jù)的一方就是它聲稱的那個(gè)節(jié)點(diǎn),以避免出現(xiàn)冒名頂替的情況。

數(shù)據(jù)傳遞的過程如圖6所示。無論是由最末端的傳感節(jié)點(diǎn)向超級(jí)節(jié)點(diǎn)傳輸數(shù)據(jù),還是超級(jí)節(jié)點(diǎn)向平臺(tái)層匯總數(shù)據(jù),該過程的步驟都是相同的。

圖6 子節(jié)點(diǎn)與根節(jié)點(diǎn)之間的數(shù)據(jù)傳輸流程

(1) 每個(gè)子節(jié)點(diǎn)將要傳輸?shù)臄?shù)據(jù)與自己的設(shè)備編號(hào)、識(shí)別碼、時(shí)間戳一并形成數(shù)據(jù)串,然后對(duì)該串信息分別進(jìn)行哈希運(yùn)算和加密。

(2) 子節(jié)點(diǎn)將由哈希值和密文構(gòu)成的報(bào)文發(fā)送給接收方(父節(jié)點(diǎn))。

(3) 接收方自報(bào)文中取出密文進(jìn)行解密,再對(duì)明文進(jìn)行哈希運(yùn)算,與收到的哈希值進(jìn)行比對(duì),以防止報(bào)文被篡改。如果比對(duì)失敗,則結(jié)束接收過程,向發(fā)送方反饋錯(cuò)誤碼。如果報(bào)文正確,則將收到的發(fā)送方識(shí)別碼、自己的解密密鑰等,與預(yù)存的子樹根哈希值進(jìn)行驗(yàn)證,以完成發(fā)送方身份的驗(yàn)證。

(4) 前述驗(yàn)證通過后,對(duì)收到數(shù)據(jù)的時(shí)間戳進(jìn)行驗(yàn)證,以確保不會(huì)收到重復(fù)的、失效的數(shù)據(jù)。

(5) 如果接收方是超級(jí)節(jié)點(diǎn),那么收集的數(shù)據(jù)會(huì)暫存,并定期發(fā)送給平臺(tái)層;如果接收方是平臺(tái)層,那么收到的數(shù)據(jù)均來自超級(jí)節(jié)點(diǎn),匯總到數(shù)據(jù)庫后就可以進(jìn)行后續(xù)的數(shù)據(jù)可靠性驗(yàn)證,從而及時(shí)發(fā)現(xiàn)假數(shù)據(jù)注入等風(fēng)險(xiǎn)。

5 安全分析

(1) 節(jié)點(diǎn)身份驗(yàn)證。方案中各節(jié)點(diǎn)采用的是預(yù)置密鑰信息,因此不存在密鑰傳遞過程中信息泄露的問題,也不必?fù)?dān)心使用非對(duì)稱等加密手段對(duì)節(jié)點(diǎn)運(yùn)算能力的要求。一個(gè)節(jié)點(diǎn)只要能夠正確地與根節(jié)點(diǎn)傳遞加密信息,就認(rèn)為該節(jié)點(diǎn)是可信的;如果有節(jié)點(diǎn)頻繁出現(xiàn)密文交互差錯(cuò),則根節(jié)點(diǎn)會(huì)將其列入不可信風(fēng)險(xiǎn)名單,以便于后續(xù)處理。當(dāng)某個(gè)區(qū)域、某種類型的節(jié)點(diǎn)被入侵或被暴力破解時(shí),確實(shí)有可能會(huì)出現(xiàn)假冒合法節(jié)點(diǎn)身份、提供虛假數(shù)據(jù)的情況,但這類攻擊可以在平臺(tái)層收集數(shù)據(jù)后采用人工智能、傳統(tǒng)測(cè)量統(tǒng)計(jì)等多種方法進(jìn)行檢測(cè)(后臺(tái)數(shù)據(jù)本來也需要這樣處理),不屬于本文討論的范疇。

(2) 防止DoS攻擊。文中提到的域名系統(tǒng)基礎(chǔ)設(shè)施遭DDoS攻擊的案例,是由于該案例中的物聯(lián)網(wǎng)設(shè)施具有因特網(wǎng)訪問能力。本文中涉及的末端節(jié)點(diǎn)首先都不具備因特網(wǎng)連接,它們只與根節(jié)點(diǎn)通信,也就不存在通過因特網(wǎng)被敵方控制的可能;其次,如果有個(gè)別節(jié)點(diǎn)存在漏洞被攻擊者利用,由于方案設(shè)計(jì)中末端節(jié)點(diǎn)之間沒有直接的相互通信鏈路,也就不可能出現(xiàn)同類型節(jié)點(diǎn)被惡意代碼快速傳染的問題。由于根節(jié)點(diǎn)有更強(qiáng)的防范能力和運(yùn)算能力、防火墻機(jī)制、更嚴(yán)格的數(shù)據(jù)訪問控制策略,不會(huì)允許未經(jīng)授權(quán)訪問其他節(jié)點(diǎn),因此,借助根節(jié)點(diǎn)再去感染其他末端節(jié)點(diǎn)這種假設(shè)成立的可能性也微乎其微。

另外,DoS攻擊想要達(dá)到效果,必須有足夠大的通信流量。在本方案的樹形拓?fù)浣Y(jié)構(gòu)中,每個(gè)區(qū)域中的感知層節(jié)點(diǎn)所能產(chǎn)生的流量、節(jié)點(diǎn)數(shù)量都非常有限。同時(shí),因感知層節(jié)點(diǎn)暴露在開放環(huán)境中,靠物理破壞去控制數(shù)量龐大的末端節(jié)點(diǎn)所需的代價(jià)也非常高昂。即便是有一定數(shù)量的末端節(jié)點(diǎn)被利用來進(jìn)行DoS攻擊,由于根節(jié)點(diǎn)或超級(jí)節(jié)點(diǎn)的路由限制安全策略的存在,攻擊節(jié)點(diǎn)唯一可能攻擊的目標(biāo)就是末端節(jié)點(diǎn)所連接的超級(jí)節(jié)點(diǎn),這種DoS攻擊對(duì)全網(wǎng)的影響非常小,并且能夠在發(fā)現(xiàn)后被及時(shí)遏制。

6 結(jié) 語

本文提出了一種基于樹形拓?fù)鋵?duì)感知層節(jié)點(diǎn)進(jìn)行通信布局的方案。該方案能夠最大限度地避免末端采集節(jié)點(diǎn)之間的直接通信,避免出現(xiàn)大量惡意物聯(lián)網(wǎng)節(jié)點(diǎn)參與的DoS攻擊。通過建立末端節(jié)點(diǎn)的身份鏈信息,實(shí)現(xiàn)了對(duì)節(jié)點(diǎn)身份的驗(yàn)證,構(gòu)建了可信的通信環(huán)境,有效地抑制了仿冒身份、中間人攻擊等惡意攻擊行為。后續(xù)研究中將著重探討節(jié)點(diǎn)身份鏈的數(shù)據(jù)構(gòu)成和節(jié)點(diǎn)數(shù)量對(duì)魯棒性、驗(yàn)證效率、存儲(chǔ)代價(jià)等方面的影響。