吳金宇, 朱文, 陶文偉, 蘇揚, 張富川, 仇偉杰
(中國南方電網有限責任公司, 廣東, 廣州 510530)
隨著智能電網新技術高速發展,電力監控系統已延伸至公網,但防火墻與縱向加密裝置缺乏身份認證控制,安全強度不足。為防御網絡安全威脅和操作安全風險,解決電力監控系統因數字變革帶來的安全問題[1-6],有較多學者對身份認證方法進行研究。張之森等[5]研究基于HMAC和TEA算法的CAN總線身份認證方法,該方法的身份信息在加密后抗攻擊能力不高;杜心雨等[6]研究LTE-A網絡中基于動態組的有效的身份認證方法,但該方法在身份認證時容易接受錯誤信息。
為了提高加密后明文的抗攻擊能力,降低錯誤認證信息的接收率,本文研究基于PKI數字證書技術的電力監控系統控制指令身份認證方法。設計電力監控系統核心功能;采用RSA算法實現非對稱密碼體制的加密解密,生成公私和鑰對;設計數字證書操作周期;利用PKI數字證書技術驗證實體身份信息和公私鑰匹配程度,構建可檢索的實體數字證書,實現電力監控系統的安全防護和管理。實驗結果證明本文方法加密后明文的抗攻擊能力較強,事務響應速率較快,錯誤拒絕率較高。
(1) 對網絡傳輸的報文進行實時解析和過濾,支持識別電力系統常見的工控協議,包括IEC61850、IEC60870-101/102/104/103、tase2、dl476、MODBUS、OPC等工控協議的解析和過濾。
(2) 支持識別常用的TCP/IP協議,包括HTTP、SFTP、SMTP、FTP、RPC等協議;通過匹配規則對控制報文進行識別,并且根據預設的策略進行響應,如阻斷異??刂茍笪腫7-8]。
(3) 可定制開發針對特定協議的安全檢測,實現如黑白名單控制、關鍵字過濾等。
數據擺渡包括文件交換、數據庫同步、FTP訪問、數據庫訪問、郵件傳輸等功能。
基于MAC、IP、傳輸協議、端口以及操作方式的綜合報文過濾與訪問控制。
系統支持接收安全控制中心發送的策略,并支持與現有的態勢感知系統聯動,包括接收策略、同步告警日志等。
設備與設備之間支持雙向身份認證,可以實現主機的安全接入。裝置內部,調用加密芯片的加密接口,滿足需要的加解密計算過程。
網絡模式支持無IP地址透明工作方式,支持網絡地址轉換,對外屏蔽內網信息,保證標準應用的透明接入。
通過PKI數字證書技術,實現系統控制指令的身份認證。
按照國際通用安全標準進行電力監控系統的控制指令身份認證,嚴格遵守ITU-TX.509標準,并通過保密性較強的RSA算法實現公鑰/私鑰的加密管理。具體系統的PKI數字證書認證功能[9-10]如圖1所示。
圖1 PKI數字證書認證功能
采用三因子RSA算法生成公私鑰對,同時向加密設備或硬盤中保存私鑰,同時具有私鑰與公鑰是否匹配的驗證功能。利用數字證書管理為身份認證提供幫助,并通過身份認證驗證數字證書的合法性,實現電力監控系統控制指令。
由于密碼體制中具有對稱與非對稱兩種形式,因此本文對兩種密碼體制進行分析,其中對稱密碼為私有鑰加密,非對稱密碼為公有密鑰加密。通過研究得知非對稱密碼體制的安全性更高,同時可以降低密鑰管理的難度。因此通過三因子RSA算法實現非對稱密碼體制的密鑰加密解密,生成公私鑰對。
2.2.1 對稱密碼體制
對稱密碼體制的基本特性是加密與解密的密鑰一致,通過如下方式生成對稱加密密鑰。
(1) 設加密密鑰為k,明文消息為m,加密算法為E,當明文消息m被算法E與密鑰k加密后,產生的密文由式(1)表示:
c=Ek(m)
(1)
由于加解密鑰一致,雙方在進行通信時必須將兩者的共同密鑰進行保存,當用戶群體多大時,密鑰的分配與保存容易發生問題。
2.2.2 非對稱密碼體制
非對稱密碼體制能夠有效改進對稱密碼體制中的缺陷。在非對稱密碼體制中,加密與解密過程相互獨立,會同時生成兩把不同密鑰,其能夠使雙方在不安全的信道中實現安全通信。
通過式(2)、式(3)表示非對稱密碼體制的加密與解密過程:
c=EPKB[m]
(2)
m=DSKB[c]
(3)
非對稱密碼體制在進行加密解密時需要符合以下條件:
(1) 發送者A利用B的公鑰加密信息m,生成密文c,即c=Epkb[m]在計算時相對簡便;
(2) 竊聽者無法利用B的公開鑰PKB獲取私鑰SKB;
(3) 可更改加密解密順序,即(m)EPKB[DSKB(m)]=DSKB[EPKB(m)]。
從安全角度可以看出,非對稱密碼體制的安全性明顯更高,同時可以降低密鑰管理的難度。通過三因子RSA算法實現非對稱密碼體制的密鑰加密解密。
2.2.3 基于三因子RSA算法的加密解密
三因子RSA算法具體通過如下過程實現該算法:
(1) 挑選3個保密大素數a1、a2、a3;
(2) 計算乘積模數n=a1×a2×a3,且φ(n)=(a1-1)×(a2-1)×(a3-1),其中φ(n)表示n的歐拉函數值;
(3) 選取一個整數e,使該整數滿足1 (4) 設e在模φ(n)下的模逆元素為d,對d進行計算,使d滿足d×e=1 modφ(n); (5) 將{e,n}作為公開鑰,{a1,a2,a3,d,n}作為秘密鑰,并對a1、a2、a3與d進行保密; (6) 在進行加密時,將待加密的明文劃分為多個組,并將分組m進行加密:c=memodn; (7) 通過式(4)對密文c進行解密: m=cdmodn (4) 通過上述步驟完成非對稱公鑰和密鑰的生成,實現密文的加密與解密。在后續身份認證過程中還需要利用PKI數字證書技術驗證私鑰與公鑰是否匹配。 通過3個階段設計數字證書的生命周期,分別為證書申請、證書使用以及證書注銷。通過數字證書的研究,可以有效驗證非對稱密鑰的主人,為電力監控系統控制指令身份認證提供有力依據。 2.3.1 證書申請階段 當電力監控系統提供控制中心認證服務之前,需要先進入認證中心進行數字證書申請,可通過不同方式完成證書注冊,例如全部處理都通過CA與實體之間流動,將RA視為不存在。當實體身份信息完成驗證后,通過管理員確認實體,并對權限進行合理分配,通過這些身份信息構建實體的數字證書。 2.3.2 證書使用階段 若已完成私鑰、公鑰證書的發放,則必須開始進行證書的使用,具體使用過程如下。 (1) 證書檢索。在為接收者加密數據時,必須要對每個接收者的加密證書進行檢索。 (2) 證書驗證。通過證書驗證可以評價某個證書是否合法,這一驗證操作在證書準許加密之前完成,主要根據以下方面驗證證書:① 完整性;② 是否由可靠CA發布;③ 是否在有效期內;④ 是否被撤銷。 2.3.3 證書注銷階段 通過證書注銷階段完成數字證書的生命周期,該階段具體包含以下內容。 (1) 停止活動:擁有該證書的終端無法使用CA中心提供的服務。 (2) 證書復原:向具備新有效期的證書賦予同一公鑰。 (3) 證書更新:制造一個新的密鑰,并頒發一個新的證書。 實現電力監控系統控制指令身份認證包括身份認證和權限認證。具體認證步驟如圖2所示。 圖2 認證流程圖 如圖2所示,電力監控系統控制指令身份認證過程主要是驗證證書的身份和權限是否有效,并驗證私鑰是否匹配,以實現身份認證。 在數據加密前,要利用PKI數字證書技術根據ITU-TX.509標準驗證實體身份信息合法性、完整性、CA發布人信任度、有效期。當實體身份信息完成驗證后,通過管理員確認實體,并對權限進行合理分配,通過這些身份信息構建實體的數字證書。 數字證書驗證通過后,采用三因子RSA算法生成公私鑰對,同時向加密設備或硬盤中保存私鑰;驗證私鑰與公鑰是否匹配;在加密數據時,必須要對每個接收者的加密證書進行檢索,通過這種方式可保護發送方的數據,同時還能夠對接收方進行密鑰管理。 完成上述步驟后輸入私鑰密碼、私鑰文件名、證書文件名以及隨機字符串,通過數字認證加密,輸出認證結果。 將本文方法應用至南方電網數字電網研究院有限公司電力監控系統中,電力監控系統中的操作具有一定權限,需要進行身份認證。在測試環境由內置密碼模塊的IPC服務器向 SIP 服務器發送注冊請求,在測試中使用4臺IPC 向 SIP服務器連續發送包括60 000個用戶待認證身份請求,驗證本文方法對該系統用戶的身份認證能力。選取文獻[7]方法、文獻[8]方法作為比較方法。分析不同方法對不同大小明文處理后的密鑰長度,結果如圖3所示。 圖3 不同方法加密后密鑰長度分析 根據圖3可知,本文方法的密鑰長度最高僅為256 bit,與其他方法相比,本文方法生成密鑰較小,可以降低密鑰管理的難度,為系統運行減少負擔。 分析不同方法對不同大小明文的公私鑰對匹配時效,測試結果如圖4所示。 圖4 公私鑰對匹配時效 由圖4可知,本文方法的公私鑰對匹配時效性較高,匹配時間低于25 ms。 分析應用本文方法前后對攻擊的抵抗能力,分析結果如表1所示。 表1 抗攻擊性能分析 根據表1可知,應用本文方法能夠明顯改善抗攻擊性能,由此說明本文方法中的加密性能較強。 分析應用本文方法在不同身份認證數量下,用戶與系統在處理證書獲取事務時的響應速率,分析結果如圖5所示。 圖5 證書獲取速率分析 根據圖5可知,采用本文方法認證身份,用戶與系統對證書獲取速率均保持在50 s以下,響應速度較高。 在認證系統中, IPC 需要先向 CA 申領證書, 再向安管平臺上的 SIP 服務器發送注冊請求,認證 IPC 證書是否可信,如果證書不可信仍通過認證即為認證錯誤。認證的錯誤拒絕率越高,說明認證效果越好。比較不同方法身份認證時的錯誤拒絕、接收率變化情況,如圖6所示。 (a) 錯誤拒絕率分析 根據圖6(a)可知,本文方法的錯誤拒絕率始終保持在85%以上,具有較高的身份認證錯誤拒絕能力。由圖6(b)可知,本文方法的錯誤接收率始終維持在0.5以下,說明本文方法能夠合理控制身份認證的錯誤信息。 本文研究基于PKI數字證書技術的電力監控系統控制指令身份認證方法。通過PKI數字證書技術進行控制指令身份認證,并詳細闡述了完整的身份認證過程。實驗驗證了本文方法的合理性,獲取方法應用后的效果。在未來研究階段,可借助當前研究成果,繼續設計更完美的身份認證方式。2.3 PKI數字證書操作階段
2.4 實現電力監控系統控制指令身份認證
3 實驗分析
4 總結