基于數字簽名的電力系統物聯網通信安全基本設計

劉 欣

（南方電網數字電網研究院有限公司，廣東 廣州 511458）

1 概 要

隨著物聯網技術在全球范圍內迅速發展，物聯網成為新一輪科技革命與產業變革的核心驅動力，南方電網電力系統的建設中也廣泛應用了物聯網技術，逐漸成為南方電網構建數字電網的重要基礎。根據物聯網層模型，電力系統物聯網主要由“云”“網”“端”三部分組成，即感知層、通信層、應用層。其中，通信層是電力系統物聯網運行體系中非常重要的組成部分，通常由完備的通信系統支撐，用于傳遞電力系統的運行數據、管理數據、維護數據等，從而實現對復雜電網的調控、管理與規劃，同時智能配電網中大量的智能設備之間也需要通過通信系統實現信息的交互。穩定的通信系統能夠提升智能配電網絡的運行效率。現階段，隨著南方電網數字化轉型的不斷深入以及智能化設備的廣泛應用，電力系統物聯網通信越來越呈現出復雜化的趨勢，如WiFi、5G等新技術的應用，多樣化的通信系統使得電力系統物聯網的安全防護十分困難，不法分子通過通信技術漏洞來對電網進行攻擊的安全風險大幅上升。

如果在電網運行過程中出現入侵的情況沒有及時發現和防御，很有可能導致災難性事故的發生。此外，關鍵運行數據也會遭到惡意篡改，數據恢復工作非常困難且成本高昂。針對這種情況，社會各界正在積極地對物聯網通信安全領域展開研究，以滿足物聯網的安全需要。現階段，電力系統應用中使用較多的技術為哈希認證碼技術。雖然這種技術能夠在一定程度上保證電力系統物聯網運行的安全，但是在實際應用過程中往往側重于電網數據的完整性保障，而缺少對電網數據安全性提升的支撐。電力系統物聯網都會對主站以及終端進行身份驗證和對各項操作進行完整性驗證，但是在實際的操作中缺乏對微觀安全問題的研究[1]。本文將根據這些情況進行針對性的分析與研究。

2 數字簽字技術的基本理論

數字簽字是一種應用較為廣泛的信息認證系統，其又可以稱之為公鑰數字簽字，這項技術可以使用公鑰加密以及數字摘要技術來實現對電網運行中數據的檢測與鑒別，能夠進一步保證電網內數據的真實性與有效性，其在應用的過程中類似于手寫簽名的紙質證明文件。數字簽名技術可以確定數據的發出方為簽名方發出，第三方用戶以及不法分子因為不能夠得知數據發送的密鑰情況，而不可能實現數據的偽造與發送，冒名進行數據的發送很容易就會被甄別出來。在數字簽名技術實際應用的過程中簽名加密算法輸入待簽名消息的HASH值，當該條信息遭受到修改以及篡改之后HASA的數值也會隨之發生改變，如果沒有正確的HASA數值那么該條信息最終就無法完成簽名認證，而被視為垃圾數據以及危險數據。在電力系統物聯網的運行過程中，數字簽字技術得到了大規模的推廣與應用。數字簽字技術的應用在很大程度上能夠保證數據的完整性和有效性，并且實現對危險信息與垃圾信息的過濾與處理。

目前，使用最廣泛的公鑰密碼數字簽名算法包括RSA、DES/DSA以及橢圓曲線等。這些算法安全性較高，適用性強。筆者以這些數字簽名算法為基礎，探討數字簽字技術在電力系統物聯網的應用和設計[2]。

3 數字簽字技術在電力系統物聯網的運行過程中推廣與應用

3.1 電力系統物聯網下的數據算法與格式

數字簽名在實際的應用過程中所采用的是公鑰機制。因為電力系統物聯網絡在進行構建時有著設備多樣化的特點，并且不同的用戶在進行信息傳遞時所使用的方法不同，所以公鑰機制的使用能夠在很大程度上解決該問題。密鑰安全、科學的管理為電力系統物聯網的安全運行提供了良好的基礎。但是，現階段，我國的電力系統物聯網中報文并沒有實現統一格式，各種各樣形式的報文在電力系統物聯網的信息系統中難以形成有效的信息交互與傳遞。這就要求相關部門需要對電力系統物聯網的報文格式進行強制性規范。首先，電力系統物聯網的報文需要滿足通用性以及高效性的要求，能夠方便各個終端進行信息的交流與傳遞，并且能夠適應智能電網的復雜多變的信息交互環境，從而提升信息交互的質量與效率。其次，報文的規范格式應當由報文的接收地址、報文的發送方、報文的類型與長度、報文的具體內容、發送時間以及安全認證碼等項目組成。具體的格式如圖1所示。

圖1 數據簽名格式

在所有的項目中不重要的部分是可以進行選擇填寫，如時間以及安全認證碼，不重要的信息可以放置在選項的最后位置。

數字簽名技術使用公鑰機制能夠在最大程度上簡化密鑰的分配方法，在實際應用的過程中只需要在現有的電力系統物聯網中增加一個公鑰管理功能即可。電力系統物聯網的各個終端以及用戶都可以實現在系統中完成公鑰的備案與使用，用戶以及設備的密鑰需要進行統一的管理，從而避免密鑰的泄露而出現的數據竊取問題。

3.2 電力系統物聯網中報文發送和接收

電力系統物聯網內有著龐雜的信息以及數據的交互，首先需要提倡所有的電網使用用戶使用統一的公用密鑰，并且確定好用戶所使用的密碼能夠和統一橢圓曲線的參數相統一。在進行數據檢測時，只需要提取組織好的報文中的具體內容即可，并且對已經提取的內容進行橢圓曲線數字簽名算法的推演，從而判斷該信息是否具有有效性，并且實現危險數據的隔離處理。

在實際的檢測過程中，對于報文發送方的檢測，首先需要提取電力系統物聯網中通信報文APDU選項中的具體內容，這部分的內容被稱之為M。系統會使用算法對M進行HASH的運算，從而得到該則報文中具體的HASH的H數值。下一個步驟是使用發送方的密鑰對H所采用的ECC算法進行加密，從而得到發送方的數字簽名S。S將會在報文發送的過程中進行填充，從而報送系統來驗證該則消息的真實性與有效性，當系統檢測完成之后確認該則報文的安全性，即可通過信息系統傳送給接收方。

此外，系統還需要對報文的接收方進行檢測。當接收方接收到含有發送方數字簽名S的報文后，系統會提取報文中APDU部分的內容，這部分的內容被稱之為M1，并且根據系統中的HASH算法來對該則報文中的H值進行計算，將發送方的H值與接收方的H值進行比較一致才能夠解除報文的限制。隨后會提取出報文中的校驗域部分的內容，這部分的內容被稱之為S1，如果各項數值與發送方的一致，那么數字簽名認證即可算作通過[3-4]。

4 結 論

本文針對現階段電力系統物聯網信息系統中存在的安全問題進行分析與研究，并且提出構建以數字簽名技術為基礎的安全算法，希望能夠以此提升電力系統物聯網信息交互過程中的安全性與有效性。該項算法是以哈希函數以及相關密鑰加密技術作為開發的前提，能夠通過密鑰長度的隨機性變化實現對文件與數據的加密處理，并且在這個過程中還應用到了橢圓曲線數字簽名算法，能夠進一步保障配電網絡通信的完整性與安全性，抵御外來的入侵與攻擊。