能量管理信息系統數據加密及身份認證技術淺析

【摘要】隨著電力行業信息化化程度越來越高，作為基礎數據采集能量管理信息系統扮演著越來重要的角色，是電力系統自動化及數據分析的重要保證。同時，能量管理信息系統的安全性不僅關系到企業和人們的經濟利益和基本生活，還與國家的安全息息相關，因此，需要通過相關的技術來保證其安全性。本文就能量管理信息系統概述作為切入點，簡要闡述以SM2為基礎的加密技術的身份認證最后分析以SM2為基礎的加密技術在能量管理信息系統中身份認證的實現。

【關鍵詞】能量管理信息系統;數據加密;身份認證

引言

進入21世紀之后，信息技術取得飛躍的發展，許多領域也因其在發展空間上有了顯著的提高。但是，網絡安全問題也隨之增加，黑客入侵和網絡攻擊頻繁滋生，同時，計算機網絡技術的普及，導致計算機成為了公眾工作和生活中不可缺少的必需品，尤其在公用信息基礎設置上，無論是企業還是政府需要用到信息系統，致使一些關系到國家發展的業務和系統面臨著巨大地挑戰。電力行業作為我國重要的能量生產行業，其信息系統的安全性更是需要企業甚至政府的重視。

一、能量管理信息系統安全保護的概述

目前，信息系統和不同類型自動化控制的設備廣泛應用在電力的各項環節上，例如輸電、變電、用電等環節。電力生產在我國經濟的發展中占據重要的地位，其系統的安全性也與國家安全相互聯系。如果電力系統癱瘓，除了會造成不可預計的經濟損失之外，還會對國家的安全和社會的穩定造成嚴重的影響。能量管理信息系統需要通過公網采集電能量數據，這樣就給數據安全帶來了極大的隱患，因此必須采取先進的措施對其進行保護。針對這種情況，國家電力的相關部門專門制定了《電力二次系統安全防護規定》，其作用是對能量管理信息系統在安全保護工作上進行指導;同時，電力系統的領導企業也針對性地制定具體方案，比如南方電網公司制定的《中國南方電網電力二次系統安全防護技術規范》。在等級保護的許多技術中，身份鑒別技術屬于非常重要的內容，其中口令技術廣泛用于電力行業的信息系統中，其作用是驗證用戶的身份。但是，密碼口令在安全強度上卻比較弱，破解率很高，尤其是一些供電局在對系統維護上，為了方便省事，把主機、數據庫等重要信息存儲器的管理密碼告知廠家的維護人員，這樣很容易導致密碼泄露，使電力系統重要信息被竊取。

二、以SM2算法為基礎的身份認證原理

（一）SM2算法的加解密過程

SM2算法實質上就是橢圓曲線的公鑰密碼算法，來源于國家密碼管理局。為了適合電力認證服務以及類似系統的應用需求，國家密碼管理局針對SM2算法提供參考曲線參數。公鑰秘法算法也可以稱作非對稱密碼算法，主要應用在身份認證以及會話密鑰協商，這種算法是有一對密鑰組成，即公鑰和私鑰，加密過程如圖1所示。

圖1顯示的加密過程是用戶A將數據發送給用戶B。其中密鑰K1和K2分別用于數據的加密和解密，為了保證明文P的正確性，必須使K1和K2在使用的過程中相互配合，Ek1（P）是一種加密運算，運算對象是密鑰K1，被運算對象是數據P。密鑰K1和K2分公鑰和私鑰，私鑰歸用戶，由其自己保存，不公開，不傳輸，公鑰屬于公開密鑰，其認證和發布要通過發布機構的審核。公鑰與密鑰之間在數值上是不等的，并且K1無法直接退出K2，反之亦然。在非對稱密碼算法中，K1和K2屬于兩個參數，通常在通信實體中生成。

圖1 公鑰密碼算法加密過程

（二）SM2算法的應用形式

加密技術在能量管理信息系統數據的傳輸上被得到廣泛運用，比如各級調度機構間數據傳輸、主站與分站間等。在傳統的生產業務系統中，其數字證書系統主要使用的是RSA密碼算法，但是與SM2算法相比，RSA算法的運算速度、加密強度等都比較弱。所以，RSA算法逐漸淡出能量管理信息系統的安全保護中，而SM2算法成為能量管理信息系統中主要的加密技術。根據實際應用來看，SM2算法主要有三種應用形式。如圖2所示。

圖2 SM2算法的應用形式

圖中顯示的加密過程是用戶A將數據發送給用戶B，用戶A的公私鑰對應的是（CertA，SkeyA），用戶B的公私鑰對應的是（CertB，SkeyB）。

通過CertB對數據進行加密，就算密文數據包ECertB被竊取，也不能對其進行破解，因為私鑰SkeyB是由用戶B保存，這樣就可以保證數據傳輸的安全性和機密性。

通過SkeyA對數據進行加密，B收到信息之后，利用A的公鑰CertA解密。如果數據經驗證之后確認無誤（不是第三冒充），這樣就可以確定數據絕對是通過A發出，得出A不可抵賴的論證，從而保證數據傳輸的不可抵賴性。

通過公鑰CertB和私鑰SkeyA對數據進行雙重加密，就能保證數據傳輸的不可否認性和機密性。

（三）數字簽名算法

SM2應用的第二種形式保證了數據傳輸具有不可抵賴性。但是在能量管理信息系統中，基本上不使用私鑰中的不可抵賴運算將整個數據加密，而是先將數據經過hash運算，然后通過私鑰加密，最后把加密結果加入到源數據中，這個過程就被稱作數字簽名算法，其具體過程如圖3所示。

圖3 數字簽名算法過程示意圖

（四）SM2算法的數字證書系統

SM2算法雖然把數據傳輸的機密性和不可抵賴性問題解決了，但是關于通信實體自身身份的合法性還沒有解決。以SM2算法為基礎的身份認證系統，其身份的合法性應得到證書機構CA以及注冊機構RA的確認。針對這個系統，證書標準是X.509，證書的格式如圖4所示。

圖4 X.509數字證書標準

三、以SM2算法為基礎的身份證的實現

在供電局生產業務系統的標準配置中，裝備了EMS能量管理系統服務器、SCADA服務器和歷史數據服務器等，利用管理終端工作站，調度員管理和監控電力生產系統。

以SM2算法為基礎的身份認證系統的登錄方式是USB-KEY。USB-KEY中不僅包括了用戶的信息，還包括了私鑰的信息，只有獲得了認證中心的認證，才能對系統進行訪問，其認證體系主要以PKI為基礎。

（一）USB-KEY的證書簽發

USB-KEY數字證書系統證書的制作過程：（如圖5所示）。

圖5 USB-KEY的數字證書制作過程

第一步，USB-KEY與數字證書系統連接，數字證書系統將其進行初始化的處理，USB-KEY內部電路生成公私密鑰對;第二步，USB-KEY提出證書請求，然后將其文件P#10發送到數字證書系統;第三步，數字證書系統按照9#10文件，根據X.509的格式制作USB-KEY的數字證書，該證書就包括了數字簽名。

（二）管理終端的證書簽發

管理終端工作站的數字證書還是需要數字證書系統簽發，實際上就是將根數字證書安裝到管理終端工作站中，這種數字證書也擁有證書系統的公鑰。其格式和USB-KEY證書簽發的過程相似，且其登錄方式也變成USB-KEY的登錄方式。

四、結語

身份鑒別技術是數據庫安全中非常重要的加密技術，根據能量管理信息系統應用身份鑒別技術的現狀來看，能量管理信息系統中主要采用口令方式的身份鑒別，這種方式在安全強度上較弱。而以SM2算法為基礎身份鑒別技術在非對稱密碼算法中在加密速度和加密高強度上都要優于RSA密碼算法。通過USB-KEY方式作為身份鑒別系統，又讓這種算法的又具有一定可操作性。因此，在能量管理信息系統的等級保護中采用這種身份鑒別技術對系統的身份鑒別強度較高。

參考文獻

[1]朱世順.信息安全等級保護在能電力信息系統中的應用[J].電力信息化，2010，（04）.

[2]張海彬.黑龍江省能量電力信息系統等級保護技術安全設計[J].電力信息化，2010，（07）.

[3]易振宇.電力信息系統等級保護實施淺談[J].信息安全與通信保密，2011，（12）.