基于数字签名的智能配电网通信安全方法
摘 要
针对当前智能配电网报文信息交换存在的安全问题,本文提出一种基于数字签名的安全算法。提出采用公钥机制的智能配电网安全算法,探讨适用于智能配电网网络报文的统一格式,研究基于数字签名的智能配电网报文安全具体实现方法,并在当前智能配电网平台上实测和分析算法性能特点。验证结果证明该算法满足智能配电网通信安全的要求,具有极高的实用价值。
【关键词】配电网通信 安全 数字签名 椭圆曲线数字签名算法
1 引言
通信系统是智能配电网运行、维护、控制以及管理的核心,各种配电网智能电子设备通过网络互联实现信息共享以实现系统的安全稳定运行。但随着配电网通信系统的不断发展,通信系统存在的安全隐患和威胁对配电网运行的不良影响也引起了业界的关注。任何威胁性数据一旦入侵电力通信网络,进行数据截获、篡改、伪造,将会造成开关误动、拒动,上传数据紊乱和整定参数错误等,将严重威胁电力系统的安全稳定运行,甚至引发灾难性事故。并且由于配电网分布广泛,信息交换范围边界很大,导致采用物理隔离等传统信息安全防卫方案难以实现,同时配电网通信方式多样化,外界恶意入侵的可能性很大,所面临的信息风险也更加大。
基于智能配电网的安全需求,当前业界已陆续开展配电网报文安全领域的研究,文献[3]和文献[4]研究在消息中增加哈希认证码以实现配电自动化通信中数据来源的真实性和数据完整性。文献[5]提出一种多通道安全认证组播方法。但上述文献只侧重于配电网报文的完整性研究,缺少信息内容的安全性考虑。文献[6]介绍了配电网终端对主站进行身份验证和对遥控命令进行完整性检查的过程,但文中缺乏具体介绍报文安全性的实现以及性能评价等更微观的角度分析配电网的安全性解决方案。文献[7]研究不同设备、不同协议间的数据转发机制,但该文只介绍了构思和初步方案,还没深入到配电网安全报文的具体实现方法。
2 数字签名
数字签名,又称公钥数字签名,是一种使用了公钥加密以及数字摘要技术以实现数字信息鉴别方法,类似于手写签名用于证明纸质文件的真实性和有效性。数字签名可确定消息的确是由发送方签名并发出,因为第三方在不得知发送方私钥情况下无法假冒发送方签名。另一方面数字签名可确定消息的完整性。因为数字签名加密算法输入为待签名消息的HASH值,当消息受到篡改后HASH值也将发生变化,将无法通过最终的签名验证。基于数字签名的智能配电网报文,同时满足信息的完整性、有效性和不可抵赖性要求。
当前使用最广泛的是基于公钥密码体制的数字签名,包括RSA、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。其中椭圆曲线数字签名算法ECC具有同等安全性下所用密钥较短、基于椭圆曲线离散对数不存在亚指数攻击以及椭圆曲线构造简单等特点,被广泛认为是在给定密钥长度的情况下,最强大的非对称算法,十分适合对安全算法耗时要求苛刻的智能配电网通信环境。
数字签名采用公钥机制,很好解决配电网各种不同型号不同厂家的智能电子设备的密钥管理问题,为智能配电网通信网络的报文安全提供了基础。当前配电网的通信报文没有统一格式,各种自定义的报文形式难以实现信息有效交换。首先研究适用于智能配电网的报文格式,智能配电网报文要兼顾通用性和高效性,使得报文能灵活适应配电网各种复杂情况下具有较高效率。报文由报文接收方地址、发送方地址、报文类型和长度、报文具体内容APDU、时间和安全认证码等组成,如图1所示。其中,时间和安全认证码作为可选项,放置报文最后位置,在不具备时间记录或安全算法的配电网报文中,可以忽略这两个选项而不影响整个报文结构。
数字签名的公钥机制,简化了密钥的分配方法,只需在现有的配电网系统中,增加一个公钥管理功能。配电网的各个智能电子设备在配电网密钥管理系统中登记自身的公钥,保存好自己的私钥不对外泄露,同时,在在配电网密钥管理系统中获取需要通信的智能电子设备的公钥。
3 算法描述
智能配电网内所有通信参与者,确定好所需的密码和同一椭圆曲线参数后,每次只需提取组织好的报文中的具体内容,并对所提取的信息进行椭圆曲线数字签名算法ECDSA(Elliptic Curve Digital Signature Algorithm)。
对于报文发送方:首先提取配电网通信报文APDU段中的具体内容m,采用事先约定的HASH算法,如SHA1等,对m进行HASH运算得到HASH值h,随后利用发送方的私钥对h采用ECC算法进行加密得发送方数字签名s。s填充于配电网通信报文的帧校验域后,发送方数字签名流程完成,报文可发向接收方。如图2。
对于报文接收方:在接收到含有数字签名s的通信报文后,首先提取通信报文的APDU域中的内容m’,并基于事先约定的HASH算法,对其运算得到HASH值h’;随后提取通信报文帧校验域内容s’,基于公钥对其进行ECC解密得h’’,若h’与h’’一致,数字签名验证通过。如图3。
4 算例报文及耗时
为验证ECDSA算法在配电网通信中的实际性能,本文在不同性能的智能电子设备平台下对ECDSA算法进行测试,测试报文选用典型归一化遥测报文,长度为87Byte,在对其进行Hash运算后进行椭圆曲线数字签名算法,具体耗时如表1。
由上图所示的实测延时可知,同一平台运行ECDSA算法的加密耗时和解密耗时比较接近,有助于均衡发送和接收两端智能电子设备的负荷。智能电子设备所采用的控制器的芯片架构和运行频率对算法耗时有很大影响。而本文所实验的C6000系列DSP平台,该算法的总耗时约为116ms,能满足智能配电网一般信息交换的实时性要求。
5 结论
针对当前智能配电网报文信息交换存在的安全问题,本文提出一种基于数字签名的安全算法。该算法基于哈希函数以及目前密钥长度一定条件下安全性能最强大的非对称加密算法,椭圆曲线数字签名算法,可有效保障配电网通信安全所要求的完整性、有效性以及不可抵赖性。在论证该算法的安全性和有效性性后,于嵌入式平台上对提出的安全算法进行了验证,验证结果证明该算法满足配电网通信安全的要求,对保障日趋严峻的配电网通信安全具有极高的实用价值。
参考文献
[1] 余贻鑫.智能电网的技术组成和实现顺序[J].南方电网技术,2009,02:1-5.
[2] Lim I H, Hong S,Lee S J,et al.Security Protocols Against Cyber Attacks in the Distribution Automation System[J].IEEE Transactions on Power Delivery, 2010,25(1):448-454.
[3] Yishuang Geng,Kaveh Pahlavan, On the Accuracy of RF and Image Processing Based Hybrid Localization for Wireless Capsule Endoscopy, IEEE Wireless Communications and Networking Conference (WCNC),Mar. 2015.
[4] Jie He,Yishuang Geng and Kaveh Pahlavan, Toward Accurate Human Tracking: Modelling Time-of-Arrival for Wireless Wearable Sensors in Multipath Environment, IEEE Sensor Journal,14(11),3996-4006,Nov.2014.
作者简介
姚强(1969-),男,学士学位。现为江苏省武进中等专业学校信息工程部高级工程师、注册电气工程师。主要研究领域为电力通信,云计算,网络资源调度
作者单位
江苏省武进中等专业学校信息工程部 江苏省常州市 213164
