調度與變電站通信安全防護技術

劉剛，許艾，徐延明，李維

(1.北京四方繼保自動化股份有限公司，北京100085；2. 北京四方繼保工程技術有限公司，北京100085)

0 引言

近兩年，隨著國家對電力關鍵基礎設施安全重視程度越來越高，電網公司相繼提出了自主可控新一代變電站二次系統安全防護措拖，確保變電站二次系統在原有安全防護基礎上進一步安全加固與優化。現有或在建的智能變電站絕大多數基于IEC 61850標準建設，由于變電站內智能設備的廣泛應用以及變電站內的信息大都通過TCP/IP協議進行網絡傳輸，因此變站內通信系統將面臨著極大的安全風險與隱患[1 - 3]。

國際電工委員會第57技術委員會制定了IEC 62351標準。IEC 62351標準是目前國內外變電站安全防護的重要參考標準，國內眾多學者基于IEC 62351標準提出的安全機制進行了多種嘗試并取得了較好的實踐成果[4 - 7]。

現階段我國的一些重要行業中的信息系統使用的密碼體系大部分依賴國外，這給行業應用系統帶來了極大的風險[8 - 11]。因此，大力推進國產密碼算法在各行各業的應用，實現國產密碼算法逐步取代國際算法已成為業界的重要共識。基于IEC 62351標準對變電站安全防護的文獻不少，文獻[12]提出基于公鑰加密算法RSA的數字簽名與認證方案；文獻[13]提出了基于IEC 62351安全機制解決變電站內安全通信問題；文獻[14]基于IEC 62351標準實現了變電站內站控層安全通信領域的互操作驗證等。但上述文獻主要研究基于公匙基礎設施(public key infrastructure，PKI)安全體系內的國際算法與數字證書在變電站內的安全應用。

本文引入基于SM9[15]標識密碼身份認證機制并結合標識密碼體系，研究基于標識身份的數字簽名技術在智能變電站的應用，以調度到變電站通信協議的身份認證及加密機制為基礎，實現標識密碼算法體系在變電站通信中的應用。

1 智能變電站網絡安全現狀

國內電力二次系統的安全防護主要依據發改委14號令與國家能源局36號文有關規定[16 - 17]實施，而電力監控系統安全防護的安全策略是“安全分區、網絡專用、橫向隔離、縱向認證”，側重點是邊界安全防護，通過加強邊界防護來抵御病毒、黑客等發起的惡意破壞和攻擊。由于前期重點考慮了邊界防護并沒有過多考慮通信系統的協議安全，而近年來隨著信息技術的發展，針對通信協議的攻擊也不斷增加，因此本文提出的基于SM9標識密碼算法是實現調度到變電站及變電站內通信協議安全防護的重要參考方案。

1.1 調度到變電站通信現狀

目前，調度主站與變電站遠動機通信數據是通過調度與變電站兩側的縱向加密認證裝置來保護，調度與變電站遠動機通信協議大多采用IEC 104協議，其實從嚴格意義上講IEC 104不是一種安全的通信協議，容易被偽造、篡改及重放攻擊。調度到變電站架構如圖1所示。

圖1 調度到變電站架構圖Fig.1 Architecture diagram from dispatching to substation

由圖1可知，在調度主站側的縱向加密認證裝置前接入非法設備就可以偽造、篡改協議報文，而調度與變電站兩端的縱向加密認證裝置并不能識別協議的真偽，因此容易造成變電站事故；在變電站端的縱向加密認證裝置后接入非法設備也存在同樣的安全隱患；這就可能導致變電站系統由于不能鑒別發送方的身份從而發生惡劣的電網安全事故。

1.2 調度到變電站安全解決方案

近年來，在調度到變電站安全通信方面有不少的研究，文獻[18]研究了基于SM2密碼體系的傳輸層安全性協議(transport layer security，TLS)在智能變電站遠動通信中“長連接”與“短連接”相互配合的安全策略機制。采用TLS協議在傳輸層對數據進行了機密性保護，TLS協議本身比較復雜，維護也比較麻煩，且TLS協議大多都是基于OpenSSL開源庫實現，而近幾年OpenSSL庫多次爆出漏洞，如2014年震驚世界的“心臟出血漏洞”就是OpenSSL的漏洞[19]，提供底層安全的算法庫出現安全漏洞，那么它支撐的安全防護系統的安全性也受到極大的安全威脅。

本文基于協議的安全防護策略采用安全協議的方式進行數據傳輸，使協議具備身份認證與報文傳輸的機密性。通過改造IEC 104協議的結構，擴展安全域，增加身份認證及數字信封功能，對協議本身做較小改動；因此，相較于TLS協議防護屬于輕量級的安全防護，協議的第一階段連接握手也沒有TLS的復雜、耗時，體現了協議的便捷、輕量及安全性。

2 標識密碼體系

基于標識密碼體系(identity-based cryptograph，IBC)是在傳統的公鑰基礎設施(public key infrastructure，PKI)基礎上發展而來，除了保有PKI的技術優點外，主要解決了具體安全應用中PKI需要大量交換數字證書的問題。IBC密碼技術使用的是非對稱密碼體系，加密與解密、簽名與驗證使用2套不同的密鑰，公鑰就是身份標識，比如手機號、e-mail地址，使用比較方便[20 - 21]。

我國研發的SM9標識密碼算法在2016年4月公開發布。SM9標識密碼算法是基于橢圓曲線離散對數的問題，同時增加了對橢圓曲線對雙線性的應用，其使用的雙線性對需要滿足雙線性、非退化性、可計算性。SM9算法由數字簽名算法、公鑰加密算法、密鑰交換協議和密鑰封裝4個算法組成。本文應用場景只用到了前2個算法，下面將介紹加解密與簽名驗證算法原理。

2.1 SM9算法加密與解密機制

SM9加解密算法主要由4個算法組成，即生成系統參數算法GenPara；生成密鑰算法GenKey；加密算法Crypt和解密算法Uncrypt組成。算法具體說明如下。

1)GenPara：通過安全參數sk生成系統參數sysParas和主密鑰mKey。公用參數為sysParas，密鑰生成中心KGC保存主密鑰mKey。

2)GenKey：通過sysParas、mKey和ID∈{0,1}產生私鑰priKeyID，ID作為公鑰，priKeyID為私鑰。

3)Crypt：通過sysParas和公鑰ID對明文Plain進行運算，計算出密文Cipher即Cipher = Crypt(sysParas, Plain,ID)。

4)Uncrypt：通過sysParas和私鑰priKeyID對密文Cipher進行解密，計算出明文Plain，即Plain=Decrypt(sysParas, Cipher, priKeyID)。

2.2 SM9算法簽名與驗證機制

為了更好地描述SM9簽名算法與驗證算法，表1列出了算法涉及到的符號及含義。

表1 算法符號表Tab.1 Algorithm symbol table

SM9簽名算法實現步驟如圖2所示，用戶A通過系統參數、簽名公鑰、明文消息和簽名密鑰進行7個步驟的運算，最終計算得到簽名值。

圖2 SM9 簽名過程Fig.2 SM9 signing process

SM9簽名驗證算法步驟如圖3所示，用戶B通過系統參數、簽名公鑰、識別符hid、標識IDA、明文消息及簽名值進行9個步驟的運算，并最終驗證簽名值的正確性。

圖3 SM9 驗證過程Fig.3 SM9 verification process

3 調度到變電站通信安全防護

調度需建立密鑰中心，密鑰中心為調度主站與變電站分發身份私鑰，公鑰則可通過公共系統參數與身份ID計算出來，調度密鑰中心如圖4所示。

圖4 調度密鑰中心Fig.4 Dispatching key center

基于SM9標識密碼的密鑰中心根據調度主站與變電站遠動機的身份標識ID為其生成各自的私鑰并分發，調度與變電站遠動機又可通過各自身份ID與公共參數計算出各自公鑰，因此只要知道對方的身份ID就可以計算出對方的公鑰，省去了數字證書管理與通信中身份證書的交換過程。

3.1 調度到變電站通信安全機制設計

調度主站與變電站遠動機通信前要進行TCP連接，通常需進行3次TCP握手后完成連接。TCP的3次握手并沒有對通信雙方的身份進行嚴格的鑒別，而基于IEC 104協議的主子站通信也沒有身份認證機制，所以本文在調度與變電站遠動機業務數據傳輸前增加安全認證及密鑰協商安全流程，為后續的業務數據傳輸提供機密性、不可抵賴性保護。

調度到變電站遠動機間的雙向身份認證協議格式設計如下。

1)認證請求報文

調度與遠動機建立TCP連接后，調度向遠動機發起認證請求報文，請求報文格式如表2所示。

表2 請求報文格式Tab.2 Request message format

2)認證應答報文

遠動機收到調度的認證請求報文后，驗證通過則向調度發送應答報文，否則斷開連接，認證應答報文格式如表3所示。

表3 認證應答報文格式Tab.3 Authentication response message format

3)認證確認報文

調度收到遠動機的認證應答報文后，驗證通過，則向遠動機發送確認報文；否則斷開連接，重新建立TCP連接并開始認證過程，認證確認報文格式如表4所示。

表4 認證確認報文格式Tab.4 Format of authentication confirmation message

4)密鑰協商請求報文

調度與遠動機完成雙向身份認證后，調度生成隨機數利用遠動機公鑰ID加密、調度私鑰簽名后發送給遠動機，密鑰協商請求報文如表5所示。

表5 密鑰協商請求報文Tab.5 Key agreement request message

5)密鑰協商應答報文

遠動機收到密鑰協商請求報文后，對隨機數密文驗證、解密通過后，將隨機數作為雙方的會話密鑰，密鑰協商應答報文格式，密鑰協商應答報文如表6所示。

表6 密鑰協商應答報文Tab.6 Key agreement response message

圖5為調度與遠動機雙向身份認證與密鑰協商流程設計。

圖5 調度-遠動機雙向認證與密鑰協商流程設計Fig.5 Process design of dispatching-remote machine mutual authentication and key agreement

通過對調度與變電站遠動機安全流程設計，實現了調度到變電站雙向身份認證、會話密鑰協商的2個關鍵流程，正是這2個安全過程保證了后續協議報文傳輸的機密性和不可抵賴性。

3.2 調度到變電站通信報文安全設計

3.1節完成了調度與變電站遠動機之間的雙向身份認證、會話密鑰協商流程，這只是在前期保證了業務數據傳輸前的身份鑒別，而后續基于IEC 104協議傳輸業務數據的機密性、防重放及防篡改還沒有安全技術保護，因此，本文在IEC 104協議的基礎上增加安全域來保障協議報文的機密性與不可抵賴性，同時采用3.1節中產生的會話密鑰來保護協議報文的機密性。表7為協議增加安全域的報文結構。

表7 IEC 104協議安全報文Tab.7 IEC 104 protocol Security message

通過表7安全報文格式可以看出，采用SM4算法對原IEC 104協議的控制域和ASDU域進行加密保護，并在協議的末尾擴展了安全域，擴展安全域采用SM9算法來保證協議報文的完整性、抗抵賴性及防篡改與重放，這樣可以實現從調度到變電站的端到端安全認證。圖6以控制報文為例的安全報文交互流程。

圖6 調度-遠動機安全報文傳輸過程Fig.6 Dispatching-remote motor security message transmission process

3.3 基于標識密碼解決的問題

3.1節和3.2節設計并論述了調度主站到變電站遠動機的雙向身份認證、密鑰協商及安全報文傳輸流程。具體來講可以解決以下幾方面的問題。

1)調度到變電站協議報文加密的必要性

目前，調度到變電站的通信數據都經過縱向加密認證裝置來保護，縱向加密認證裝置是電力調度專用安全設備，在網絡層對數據進行加密保護，實現調度到變電站間傳輸鏈路的安全防護。這里有一個問題，調度端縱向加密認證裝置前的數據報文沒有保護，也就是說沒有從協議源頭解決報文的機密性。本文在協議源頭杜絕了協議的不安全性，對調度到變電站協議報文加密防護，杜絕協議報文傳輸過程中任何一個環節被竊取的可能性。

2)基于標識密碼認證與基于數字證書安全認證比較

基于SM9標識密碼體系實現通信雙方身份認證及安全加密比基于證書實現起來簡單、方便。采用數字證書的身份認證機制是基于PKI體系中CA機構簽發證書，涉及數字證書申請、簽發、使用、吊銷、管理等多個環節，工程應用比較復雜、繁瑣，不利于大規模推廣應用；而標識密碼比較簡便，只需要自身擁有一個標識身份的ID號，并保管好自己的私鑰就可以與對方進行安全通信，也容易實現工程規模化。

3)與其他研究的比較

文獻[12]提出了基于國際公鑰加密算法RSA的數字簽名與認證方案；文獻[20]提出了基于IEC 62351安全機制國密算法身份認證與加密方案。前者大量采用國際算法與現階段國家大力推廣國產密碼算法現狀相悖；后者則采用了開源OpenSSL安全組件的TLS協議，而OpenSSL本身開源，且不時地報出安全隱患，再加上頻繁升級，工程維護工作量的增加使得依賴該組件的系統升級變得越來越頻繁。

本文基于SM9算法實現輕量級協議安全防護，通過改造IEC 104協議的結構，對協議本身做較少地改動，實現協議安全所需的功能，相較于TLS協議防護屬于輕量級的安全防護，且協議的握手協商也沒有TLS的復雜、耗時，體現了協議的便捷、輕量及安全性。

4 性能與安全性分析

4.1 身份認證與密鑰協商時效性分析

調度主站與遠動機是基于TCP協議建立連接，TCP 3次握手建立連接后，需要進行雙向身份認證與密鑰協商，根據測試目的，搭建測環境，其主要軟硬件資源的配置信息如表8所示。

表8 設備配置信息Tab.8 Device configuration information

基于上表軟硬件配置的測試環境，驗證協議的雙向安全認證與密鑰協商機制，通過建立5次連接進行雙向安全認證與密鑰協商并記錄相關測試數據，測試結果如表9所示。

表9 安全認證密鑰協商時效性Tab.9 Timeliness of security authentication key agreement

通過表9的實驗結果可以看出，在原有IEC 104協議通信前增加雙身份認證與密鑰協商機制，實現通信雙方端到端安全認證，由于認證過程主要是SM9簽名、驗證操作，所增加的時間是毫秒級，平均總耗時約在600 ms左右。文獻[22]指出基于國密SM2算法與調度證書建立TLS協議需增加的時間范圍在2～4 s，TLS協議流程復雜且需進行多次證書交換與密鑰協商，而本文基于SM9算法進行協議層輕量級安全防護，在安全認證和密鑰協商方面具有一定的時效性優勢，再加上調度與遠動機的連接操作并不頻繁，因此，從實際業務角度考慮連接所增加的耗時是可以接受的。

4.2 算法時效性分析

本文基于CPU主頻2.6 GHz、內存8 GB、操作系統CentOS7.1作為SM9算法的測試環境，對算法進行120多次簽名驗證，并參考相關文獻[23]和文獻[24]，得出驗證結果如表10所示。

表10 SM9算法性能驗證Tab.10 SM9 algorithm performance verification

通過表10的實驗結果可以看出，SM9算法的簽名與驗證操作總耗時約在62 ms左右，在實時性要求不是很高的業務環境下，基本可以忽略不計。

4.3 協議安全認證與報文安全性分析

協議的安全認證與密鑰協商是用來保護后續協議報文的機密性、完整性及不可抵賴性。通過3.1節中的圖5可以看出，調度主站與遠動機的雙向身份認證流程是基于隨機數的安全簽名機制實現，雙方各自用自己的私鑰對隨機數進行簽名，并各自用對方的ID及算法驗證，這樣由于攻擊者沒有通信雙方的私鑰而不能篡改、偽造認證協議報文，因此身份認證過程是安全的。密鑰協商過程是由調度生成16 Byte隨機數并通過遠動機的ID與SM9算法加密，再利用調度私鑰對密文簽名并一起發送遠動機，遠動機利用調度ID及算法驗證密文的安全性，包括是否被篡改、偽造等情形，并利用遠動的私鑰對隨機數密文解密生成16 Byte隨機數明文，此16 Byte隨機數可作為后續報文加密密鑰。密鑰協商過程運用了SM9的公鑰加密算法來保護16 Byte密鑰的安全傳輸，由于對方只能用自己的私鑰解密，因此這一過程也是安全的。

協議報文的安全是由加密密鑰的安全來保證，由于調度與遠動機每進行一次連接都將生成一個新的隨機動態密鑰，因此利用SM4算法基于動態隨機密鑰對報文加密，其安全性也是可以保證的。

5 結語

本文基于SM9標識密碼算法實現了調度到變電站的安全通信，是一種基于新的密碼體系的嘗試。在調度到變電站通信前增加身份認證、密鑰協商安全流程，實現了通信雙方的身份鑒別并產生加密密鑰；在調度與變電站協議報文傳輸前可利用加密密鑰對協議報文加密并簽名，實現了調度到變電站通信的端到端安全認證；同時也杜絕了協議報文在傳輸過程被竊取、偽造、篡改及重放的可行性。

基于國密SM9標識密碼算法建立調度級的密鑰中心，為調度主站與變電站簽發身份密鑰，為調度與變電站的安全通信奠定了基礎安全平臺。采用標識密碼體系與基于PKI體系的CA數字證書有本質的區別，首先，通信雙方不需要管理復雜的數字證書，只需要擁有對方身份ID即可完成對方的身份的鑒別；其次，基于標識密碼算法的密鑰協商也不是基于數字證書實現，省去了證書的傳遞和驗證，提高協商效率；最后，基于標識密碼算法也是對現有調度到變電站通信基于縱向加密認證裝置的一個安全補充。