陳波， 鄧清唐

（南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司， 廣東 廣州 510663）

0 引言

在電網(wǎng)數(shù)字化轉(zhuǎn)型的行業(yè)大背景下， 泛在電力物聯(lián)網(wǎng)應運而生。 泛在電力物聯(lián)網(wǎng)圍繞電力系統(tǒng)的各個環(huán)節(jié)， 充分地應用移動互聯(lián)、 人工智能等現(xiàn)代信息通信技術， 實現(xiàn)電力系統(tǒng)各個環(huán)節(jié)的萬物互聯(lián)、人機交互， 具有狀態(tài)全面感知、 信息高效處理和應用便捷靈活等特征。 隨著電力物聯(lián)網(wǎng)的不斷發(fā)展，出現(xiàn)了各種各樣的電力物聯(lián)網(wǎng)終端， 結合先進的通信技術， 拓展電力系統(tǒng)的采集范圍， 增加采集要素， 產(chǎn)生共享數(shù)據(jù)， 為用戶、 電力部門和社會服務，為全行業(yè)和更多市場主體發(fā)展創(chuàng)造更大的機遇[1]。

在電力物聯(lián)網(wǎng)為用戶、 電力部門和社會提供極大便利的同時， 日趨增長的電力終端設備也給智能電網(wǎng)的安全帶來了極大的隱患[2-5]。 在電力物聯(lián)網(wǎng)的建設過程中， 大量物聯(lián)網(wǎng)終端接入物聯(lián)網(wǎng)， 面對龐大的物聯(lián)網(wǎng)感知終端， 用戶信息和與應用交互的數(shù)據(jù)泄露問題引起了人們的關注， 如何識別并允許合規(guī)的終端接入、 排除非法終端等是建設電力物聯(lián)網(wǎng)的核心步驟。 此外， 在電力物聯(lián)網(wǎng)中， 每個電力終端設備都配置一個IP 地址， 在進行業(yè)務通信與數(shù)據(jù)交換時將面臨多種安全威脅， 例如： 病毒入侵、 機密信息的泄露、 代碼的非法篡改和關鍵器件的惡意替換等。 攻擊者還可能在獲取電力終端信息后進一步地通過網(wǎng)絡發(fā)送命令， 進而獲取電力云的信息， 從而對整個電網(wǎng)的安全造成威脅， 因此電力物聯(lián)網(wǎng)需要具有強大的網(wǎng)絡安全功能， 以確保智能電網(wǎng)保持安全的工作狀態(tài)[6-8]。 同態(tài)加密允許服務器在不知道原始明文的情況下做加密數(shù)據(jù)的操作， 允許對加密后的數(shù)據(jù)執(zhí)行特定的數(shù)學運算并且解密結果和對應明文進行運算后的結果是一致的， 從而保護了數(shù)據(jù)[9]。

為了克服電力終端存在的種種安全漏洞， 將安全威脅降低到最小， 本文從終端軟硬件設計、 終端接入控制策略與云端的安全保護等方面入手， 設計了終端安全芯片的構成， 以及終端和云端間的可信工作流程， 從而保證了整個網(wǎng)絡的安全性。 電力終端采用安全芯片來保證電力終端的關鍵器件、 操作系統(tǒng)和應用軟件的安全， 以保證電力終端安全可信的工作環(huán)境。 為了進一步地保證智能電網(wǎng)的安全，還設計了終端的安全接入控制策略， 以實現(xiàn)用戶的身份認證， 保證通信的安全可靠， 避免空間數(shù)據(jù)受到非法的攻擊。 在云端對數(shù)據(jù)進行分類存儲， 并對不同級別的數(shù)據(jù)采取不同的安全措施， 幫助發(fā)現(xiàn)已發(fā)生的安全事件和潛在的安全風險。 分析表明所提的方案能夠有效地解決電力物聯(lián)網(wǎng)的安全問題。

1 電力物聯(lián)網(wǎng)體系架構及安全分析

1.1 電力物聯(lián)網(wǎng)體系架構

泛在電力物聯(lián)網(wǎng)的架構包括感知層、 網(wǎng)絡層、平臺層和應用層4 層結構， 如圖1 所示。 其中， 感知層主要是通過各類終端來實現(xiàn)數(shù)據(jù)的采集； 網(wǎng)絡層通過廣覆蓋、 大連接、 低時延和高可靠的信息通信網(wǎng)絡來解決數(shù)據(jù)的傳輸問題； 平臺層通過云計算和邊緣計算協(xié)同來解決數(shù)據(jù)的管理問題； 應用層支撐各類應用， 解決數(shù)據(jù)的價值創(chuàng)造問題。

圖1 電力物聯(lián)網(wǎng)的數(shù)字化架構

感知層涉及大量的傳感設備， 如智能電表、 手持電力監(jiān)測設備和電動汽車充電樁等， 這些電力終端設備可以用于用戶數(shù)據(jù)采集、 線路數(shù)據(jù)采集、 變電站數(shù)據(jù)采集和末端電力服務等， 在電力物聯(lián)網(wǎng)中起著關鍵的作用。 目前， 電力終端設備對安全的考慮還不夠充分， 通信數(shù)據(jù)和鏈路導致用戶隱私數(shù)據(jù)和關鍵信息極易被非授權方截取和破譯， 因此需要從物理安全、 網(wǎng)絡安全、 系統(tǒng)安全和應用安全等角度進行電力終端安全防護體系的設計。

1.2 電力物聯(lián)網(wǎng)安全分析

隨著物聯(lián)網(wǎng)和人工智能技術的不斷發(fā)展， 傳統(tǒng)的配電網(wǎng)設計理念和技術已經(jīng)難以適應配電網(wǎng)高速發(fā)展的要求， 對各種新理念和新技術的需求也更加迫切， 因此出現(xiàn)了具有廣泛互聯(lián)、 用戶靈活參與、多能系統(tǒng)運行、 支持清潔能源大規(guī)模開發(fā)利用特征的智能電力物聯(lián)網(wǎng)。 然而， 電力終端數(shù)量的增長導致安全漏洞的增加， 安全威脅的影響是電力物聯(lián)網(wǎng)實施中的一個主要問題。

在電力物聯(lián)網(wǎng)環(huán)境下， 網(wǎng)絡攻擊可以從電力終端、 接入網(wǎng)絡和云安全幾個層面進行任意攻擊， 每一個層面都有其特有的功能與作用， 所以必須要通過多個層面來保護電力架構的安全性以保證整個電力物聯(lián)網(wǎng)的安全。 攻擊者可以利用電力終端的安全漏洞來竊取或者篡改電力終端的信息， 此外還會利用電力終端的信息來執(zhí)行復雜的網(wǎng)絡攻擊， 從而威脅整個電網(wǎng)的安全。 常見的電力物聯(lián)網(wǎng)安全包括拒絕服務攻擊和中間人攻擊等。

拒絕服務攻擊通過發(fā)送多個請求故意試圖在電力物聯(lián)網(wǎng)中造成容量過載， 使得智能電網(wǎng)無法正常地為用戶提供服務。

在中間人攻擊中， 入侵者破壞了用戶與電力部門之間的通信通道， 并試圖攔截其中的信息。 利用中間人攻擊， 入侵者可以攔截電力物聯(lián)網(wǎng)設備之間的通信， 并導致嚴重故障， 帶來災難性后果。 電力物聯(lián)網(wǎng)攻擊示例如圖2 所示。

圖2 中間人攻擊示例

數(shù)據(jù)的安全傳輸已經(jīng)成為亟待解決的重要問題， 因此本文提出了基于安全芯片的電力物聯(lián)網(wǎng)體系架構， 利用電力終端設備中的識別（ID） 號和證書密鑰等安全存儲和認證方式， 提出結合云端的安全認證機制， 形成一套完整的電力物聯(lián)網(wǎng)安全解決方案， 從而實現(xiàn)可信的身份認證、 可靠的通訊加密、 數(shù)據(jù)防篡改和防抵賴， 有效地保證用戶和電力系統(tǒng)的安全。

2 電力物聯(lián)網(wǎng)終端安全芯片

2.1 電力終端的基本組成

電力終端包括智能表計、 新一代配電終端、 友好互動終端和電動汽車充電樁等， 這些終端的基本組成如圖3 所示。

圖3 電力終端的基本組成

智能終端在微控制單元（MCU） 的控制下，通過各種接口上的傳感器獲得電網(wǎng)運行的各個實時參數(shù)， 并依據(jù)電力部門的要求對數(shù)據(jù)進行處理， 其結果保存在存儲器（memory） 中， 并隨時通過通信模塊進行數(shù)據(jù)交換。 存儲模塊用來存儲電力終端采集的各項參數(shù)， 包括用戶數(shù)據(jù)、 線路數(shù)據(jù)、 變電站數(shù)據(jù)和末端服務數(shù)據(jù)等。 通信模塊用來與遠程的管理系統(tǒng)進行通信， 提供數(shù)據(jù)傳輸?shù)耐ǖ馈?此外，其他接口還包括電源接口和顯示模塊， 用來為電力終端供電， 并且顯示智能電網(wǎng)的相關數(shù)據(jù)。

安全芯片的功能包括安全存儲和加密算法兩個方面。 安全存儲方面包括唯一的設備識別（ID）號、 安全密鑰存儲， 加密算法支持SM2、 SM2、SM3、 SM4、 SM9 等國密算法[3]， 從而實現(xiàn)可信的身份認證、 可靠的通信加密和防篡改防抵賴等功能， 保證不同電力終端設備多樣化功能的安全， 并能夠通過遠程安全的方式來實現(xiàn)檢索數(shù)據(jù)、 安全連接、 強用戶認證和設備整合等方面的功能。

2.2 電力終端的安全

電力終端自身的安全是保證電力物聯(lián)網(wǎng)安全的基礎， 電力終端設備需要進行軟硬件的安全設計。認證和加密是保障電網(wǎng)信息網(wǎng)絡安全的重要技術，移動終端的網(wǎng)絡安全設計主要包括身份認證、 通信加密和接入控制幾個方面的內(nèi)容。 在圖3 的電力終端基本組成中， 安全芯片提供的安全認證和加密的基本功能， 實現(xiàn)了從開機認證、 軟件系統(tǒng)的一致性校驗、 接口監(jiān)控、 關鍵器件和模塊的安全保護， 確保電力終端不易被入侵者攻破。

首先， 電力終端在開機時需要引入身份認證，可以通過指紋、 人臉識別、 USB Key、 CF 卡或口令等方式實現(xiàn)開機認證， 只有合法的用戶才能開機， 從而為電力終端在智能電網(wǎng)的應用中進一步地提供電子簽名、 權限管理等諸多的安全功能。

在系統(tǒng)啟動后， 電力終端對操作系統(tǒng)裝載器、OS 內(nèi)核和硬件配置等進行驗證， 確保引導過程中各個部件的完整性、 一致性， 使電力終端按照經(jīng)過嚴格驗證的方式工作。

電力終端包括USB 口、 網(wǎng)口和SPI 接口等多種接口， 為了防止入侵者通過這些接口竊取電力終端上的數(shù)據(jù)， 電力終端支持基于硬件或軟件加解密的接口， 實現(xiàn)對通信過程中應用數(shù)據(jù)的機密性和完整性保護。

最后， 為了防止攻擊者通過對部分模塊非法控制導致電力終端進入非正常工作狀態(tài)， 還采用了對CPU 指令、 存儲器和通信模塊內(nèi)核等系統(tǒng)資源進行實時保護和監(jiān)控的機制， 安全攻擊者很難從電力終端的關鍵模塊和器件中獲得有效的信息。

3 電力物聯(lián)網(wǎng)安全解決方案

3.1 安全接入方案

在用戶開啟電力終端后， 電力終端需要安全接入無線網(wǎng)絡， 在通過移動通信網(wǎng)絡的安全認證后才能連接到電力云服務器。 電力移動終端首先建立無線接入通道， 再通過此通道與云服務器連接。 連接通道建成后， 電力終端與電力云服務器相互進行身份認證， 通過證書的認證， 確認雙方都是可信任的。 雙方利用密鑰協(xié)商機制， 采用國家密碼管理局批準的專用加密算法， 建立安全的數(shù)據(jù)加密傳輸通道。 利用雙方的身份認證， 確保電力終端安全可靠地接入無線通信網(wǎng)絡， 通過加密傳輸實現(xiàn)業(yè)務數(shù)據(jù)的同步更新， 確保業(yè)務數(shù)據(jù)無法被攻擊者破獲。

移動終端在線接入安全方案如圖4 所示。

圖4 電力物聯(lián)網(wǎng)安全接入方案

3.2 基于云平臺的電力物聯(lián)網(wǎng)安全

3.2.1 基于SM2 的同態(tài)加密算法

隨著密碼技術和計算機技術的發(fā)展， 目前常用的1 024 位RSA 算法面臨嚴重的安全威脅， 因此我國密碼管理部門經(jīng)過研究， 決定采用SM2 橢圓曲線算法代替RSA 算法。 SM2 算法和RSA 算法都是公鑰密碼算法， 基于ECC 橢圓曲線算法來實現(xiàn)的。

隨著物聯(lián)網(wǎng)和云計算的廣泛應用， 用戶機密信息和隱私數(shù)據(jù)越來越多。 在電力物理網(wǎng)中， 電力終端會把用戶信息和數(shù)據(jù)加密后上傳并存儲到電力云服務器上。 在保證這些信息和數(shù)據(jù)的安全的同時，管理部門能夠?qū)@些數(shù)據(jù)進行準確有效的處理并從中提取有價值的信息也是電力物聯(lián)網(wǎng)需要解決的問題， 這些問題都是傳統(tǒng)加密方案難以實現(xiàn)的， 因此需要采用同態(tài)加密算法來解決數(shù)據(jù)處理與隱私保護。 同態(tài)加密算法不需要解密就能對已加密的數(shù)據(jù)進行處理， 實現(xiàn)與對原始數(shù)據(jù)直接進行處理的相同效果。 利用同態(tài)加密技術， 電力終端可以將需要處理的用戶數(shù)據(jù)以密文的形式交給電力云服務器， 電力云服務器可以直接對密文數(shù)據(jù)進行處理而不需要用戶來解密數(shù)據(jù)， 處理后服務器以密文的形式將處理結果返回給用戶或者管理部門， 用戶或管理部門收到處理結果后對其進行同態(tài)解密， 得到已經(jīng)處理好的明文數(shù)據(jù)。

本文提出了一種SM2 同態(tài)加密算法， 兼顧了ECC 的低運算復雜度、 高安全性與同態(tài)加密的密文可操作性， 給出電力物聯(lián)網(wǎng)的數(shù)據(jù)安全解決方案， 如圖5 所示。

圖5 基于同態(tài)加解密的電力物聯(lián)網(wǎng)的安全解決方案

3.2.2 基于云平臺的數(shù)據(jù)加密及傳輸過程

在基于同態(tài)加解密的電力物聯(lián)網(wǎng)的安全解決方案中， 我們首先考慮電力終端將原始數(shù)據(jù)進行同態(tài)加密后上傳并存儲到電力云服務器的過程。 這里采用基于SM2 的同態(tài)加密， 電力終端將明文（M1，M2， …， Mn） 上傳并存儲到電力云服務器的過程如下所述。

a） 電力終端在本地生成橢圓曲線E， 并在曲線上選擇隨機基點G； 同時選擇私鑰（k1， k2， …，kn）， 并把私鑰（k1， k2， …， kn） 保存到本地。

b） 電力終端將基點G 與私鑰（k1， k2， …，kn） 進行乘運算生成公鑰（Q1， Q2， …， Qn）， 其中Qi=G·ki。

c） 電力終端生成隨機整數(shù)（r1， r2， …， rn），其中r＜n， n 為基點G 的階數(shù)， 并利用公鑰（Q1，Q2， …， Qn）、 隨機數(shù)（r1， r2， …， rn） 與基點G對明文（M1， M2， …， Mn） 進行加密操作后將密文發(fā)送給電力云服務器。

d） 電力終端向電力云服務器提交數(shù)據(jù)的處理方法， 這里用函數(shù)f 來表示。

e） 電力云服務器在函數(shù)f 下對數(shù)據(jù)進行處理，并將處理后的結果發(fā)送給電力終端； 電力終端對數(shù)據(jù)進行解密， 得到結果。

f） 對于允許電力管理系統(tǒng)讀取的原始數(shù)據(jù)，電力終端可以通過將與管理系統(tǒng)間的對稱密鑰對私鑰（k1， k2， …， kn）、 隨機數(shù)（r1， r2， …， rn） 與基點G 加密后發(fā)送給電力管理系統(tǒng)， 從而使得電力管理系統(tǒng)具有提取原始數(shù)據(jù)的能力； 對稱加密算法采用SM4 算法。

3.2.3 基于SM2 的同態(tài)算法的安全性分析

SM2 算法中， 假定K=k·G， 其中K， G 為一條橢圓曲線Ep （a， b） 上的點， k 為小于n 的整數(shù)，n 是點G 的階。 如果給定k 和G， 則可以很容易地計算K； 但給定K 和G， 求k 就相對困難了， 而且p 越大越困難， 但p 越大計算速度也會變慢， 這種現(xiàn)象被稱為橢圓曲線上離散對數(shù)難題。

電力云服務器接收了加密后的密文， 由于采用了同態(tài)加密， 因此能夠防止私密消息在電力云服務器上的泄露； 同時， 由于使用不同的私鑰k 對明文加密， 進一步地加強了安全強度， 因此， 所提算法具有橢圓曲線加密技術算法的高計算效率和高安全強度。

4 結束語

隨著信息化建設的深入開展， 將會有更多的業(yè)務需要使用移動通信技術， 同時， 各個業(yè)務對移動通信的數(shù)據(jù)量和實時性要求也將越來越高。 在此，提出了移動終端安全防護框架并設計了移動終端在線安全接入的流程。 方案充分地吸收了國家等級保護的最新技術和理念， 相關的密碼算法和產(chǎn)品選用遵循國家密碼管理局的商用密碼管理條例， 同時在系統(tǒng)設計方面充分地考慮了國家電網(wǎng)公司移動信息化業(yè)務數(shù)據(jù)安全防護和通信的需求， 具有重要的現(xiàn)實意義。