基于改進AES 的配電智能終端數據混合加密研究

吳旦，郭志誠，何炬良，謝小瑜，尹湘源

（南方電網數字電網研究院有限公司，廣東廣州 510663）

電網智能化是配電網未來發展趨勢，智能配電站是電能能量轉換與管理的核心平臺，也是配電網運營的重要節點，配電站的安全運營關系到國家電能運營安全性，直接影響國民經濟與社會發展。近年來，配電網的安全事故頻現，供電設施受損，配電智能終端系統的信息安全需要受到更多關注，因此對配電智能終端的加密十分必要。

對于配電智能終端數據混合加密，一些學者進行了研究。文獻[1]以改進AES 和ECC 算法以及混合密碼理論對變電站數據進行加密，通過AES 擴展密鑰和構造S 盒，以此增強計算的穩定性，對列混淆計算也進行優化，提升計算的執行效率，但該方法可靠性和實時性低，無法滿足配電智能終端數據安全的要求。文獻[2]設計了一種數據分析篡改攻擊下配電傳輸數據安全保密方法，對各種數據分析篡改攻擊的類型進行研究，利用GEP 算法篩選城市配電網的各種數據，并在其中消除混入的攻擊者數據包，使用ECC-AES 結合計算各種明文的密碼，但數據安全性較差。為了解決傳統方法中存在的問題，該文基于改進AES 提出了一種新的配電智能終端數據混合加密方法。

1 配電智能終端數據加密密鑰生成

生成配電智能終端數據加密密鑰，通過密鑰來對配電智能終端數據進行加密[3-4]。對AES 算法進行改進，將明文分組，每組明文總長度為128 bit，將密鑰寬度分為三種，依次是128、192、328 bit，對應的迭代輪數依次是10、12、14 AES，迭代流程如圖1 所示。

圖1 迭代流程

根據圖1 可知，首先進行字節替換，使用S 盒進行查表，把狀態矩陣中的字節轉換成另一種字節；然后通過左循環實現位移操作；最后進行列混淆，通過算數列分析數據，判斷是否滿足生成密鑰要求，如果滿足則進行輪密鑰，在當前分組下按位進行異或運算，如果不滿足則重新返回到第一步字節替換[5-6]。

明文分組后，對初始密鑰進行異或運算，其過程逐漸與迭代過程相似，初始密鑰異或運算后與迭代的唯一不同為不需要經過列混淆來進行判斷，其解密步驟為密鑰生成的逆運算[7-8]。初始密鑰由32 個bit 組成，記作wi(i=1,2,…,32），通過擴展異或運算獲得所有密鑰。將所有密鑰排列后建立坐標系，通過建立AES 橢圓曲線方程對所有密鑰進行運算，AES 橢圓曲線方程的域如式（1）所示：

其中，Y為橢圓曲線方程的域；?為域中的代表點；a表示橫向系數；b表示縱向系數。

a與b的關系滿足如下公式：

其中，C表示為橢圓曲線方程常量。經過上述計算后，相鄰兩輪密鑰以及同一輪密鑰之間的關聯性都會減弱，通過確定系數之間的關系提高密鑰安全性，攻擊者即使得到某一輪密鑰，也無法得到全部的數據密鑰，有效保證加密效果[9-10]。

2 配電智能終端數據加密

對AES 算法改進并得到加密密鑰之后，對配電智能終端數據進行加密。該文引入加密粒度對配電智能終端數據加密，加密粒度代表數據加密的最小單位，加密粒度越小，加密強度越高，加密過程就越困難。加密粒度的計算通過三個步驟完成。

第一步：將配電智能終端數據文檔作為加密文件的最小單元，將加密密鑰和改進后的AES 加密算法結合形成初始密文，確保加密資料的安全與完整。

第二步：通過查詢配電智能終端的數據記錄信息，尋找系統中存放的實體數據，由于第一步對數據文檔已經生成了初始密文，在尋找到實體數據后，使用加密密鑰、AES 加密算法、初始密文對實體數據進行處理，并儲存在配電智能終端數據文檔中[11-12]。

第三步：對實體數據完成處理后，對實體數據進行分析，將實體數據拆解成字段形式，通過計算拆解后字段的數量完成對加密粒度的計算[13-14]。加密粒度計算如式（3）所示：

其中，E表示加密粒度；i代表實體數據數量；m表示拆解后的字段數量。

完成加密粒度的計算后，進行配電智能終端數據加密，其主要通過三層加密完成，即系統加密、服務器加密和客戶端加密。三層加密過程如圖2 所示。

圖2 三層混合加密過程

第一層：操作系統加密。操作系統無法識別配電智能終端數據文檔中的數據關系，因此需要將操作系統的數據存入特定的儲存器中，儲存器通過加密密鑰設立密文，在儲存器中對操作系統的數據進行加密，如式（4）所示：

其中，U(x)代表操作系統數據儲存器加密結果；x表示加密數據；u1表示操作系統數據儲存器加密單元容量；u2表示儲存單元容量；u3表示密鑰單元容量；u4表示密文單元容量。對操作系統數據加密后，儲存器系統將每個密文信息傳輸到配電智能終端數據文檔中，需要解密時則從反方向進行解碼[15-16]。

第二層：服務器加密。結合操作系統在服務器中對配電智能終端數據進行加密，形成管理端的雙重加密，提升管理端的安全性。在服務器中加密需要運行配電智能終端數據管理系統，在數據文檔物理儲存前完成數據加密，加密文檔在服務器端運行時，服務器負載加重，加密文檔與配電智能終端數據管理系統耦合性下降。由于該文采用的加密算法為改進AES 后的加密算法，在加密文檔與配電智能終端數據管理系統耦合性下降時可更好地加密文檔數據，并在加密后可以有效提升兩者的耦合性，使加密后的數據完全存放于配電智能終端數據管理系統服務器中。其加密原理由下列公式表示：

其中，a1表示操作系統橫向加密參數；b1表示操作系統縱向加密參數；a2表示服務器橫向加密參數；b2表示服務器縱向加密參數；a3表示加密文檔橫向加密參數；b3表示加密文檔縱向加密參數。

第三層：客戶端加密。對客戶端的加密是該文提出的基于改進AES 的配電智能終端數據混合加密最后一層加密程序，前兩層加密是對操作系統與管理端進行加密，防止攻擊者入侵，而對于客戶端的加密則是重點關注用戶的配電數據安全。在客戶端進行加密不會增加配電智能終端數據服務器的負荷，客戶端作為配電智能終端的最外層操作系統，其運行遵照數據安全的規則，因此對于客戶端的加密是通過客戶端自主運行加密文件完成的。將加密密鑰與加密算法寫入加密文件中，當客戶端運行時，加密文件自動打開，自行加密配電智能終端內部數據，并可將客戶端的信息傳輸至管理端服務器中進行二次加密，以此實現配電智能終端數據混合加密。

3 實驗研究

為進一步驗證基于改進AES 的配電智能終端數據混合加密方法的實際應用效果，進行了實驗設計。選用的操作系統為Windows10，采用的編碼語言為C++語言，實驗操作頻率為3.0 GHz，工作電壓為100 V，工作電流為200 A。同時采用基于RAS 算法數據混合加密方法和基于ECC 算法的數據加密方法進行實驗測試。在不同大小的數據包下，三種加密方法的密鑰生成時間實驗結果如表1 所示。

表1 密鑰生成時間實驗結果

根據表1 可知，只有該文提出的基于改進AES 的配電智能終端數據混合加密方法密鑰生成時間沒有受到數據包大小的影響，傳統的RAS 算法和ECC 算法的密鑰生成時間都隨著數據包變大而逐漸增加。

對改進后的AES 加密方法和未改進前進行對比，密鑰改良前后運算次數對比如圖3 所示。

圖3 密鑰改進前后運算次數對比

根據圖3 可知，改進前的密鑰擴展算法使第一輪擴充密鑰中需要窮舉攻擊的次數達到400 次，運算次數和改進后的算法相比明顯減少，以此說明改進后的AES 算法具有較高的運算效率。由此可知，改進后的AES 算法具有較高的運算速度，運算過程中對客戶端不造成太大的運算壓力。在用戶輸入數據時，改進AES 的客戶端應用程序直接對敏感數據進行加密，將加密后的密文直接插入到配電智能終端數據中，所以具有較高的運算效率。

同時采用木馬攻擊對三種方法的加密過程進行入侵，分析三種不同方法的外來入侵信息阻擋率和阻擋耗時，得到的實驗結果如表2、表3 所示。

表2 外來入侵信息阻擋率

表3 外來入侵信息阻擋耗時

觀察上表可知，隨著入侵時間的增加，傳統RAS算法和ECC 算法的加密能力都有所下降，對于外來信息的阻礙能力逐漸減弱，而該文提出的基于改進AES 加密方法由于采用三層加密的方式，因此完全滿足配電智能終端對于數據安全的要求，極大地提升了用戶數據的安全，在短時間內能夠成功阻隔99%以上的外來入侵信息。

4 結束語

目前，配電智能終端數據安全問題已成為當前配電網領域的重要研究課題，改進的AES 算法具備簡單、快捷、穩定性較高等特征，該文基于改進AES算法進行數據混合加密通過生成加密密鑰完成對配電智能終端數據的加密，采用三層加密提高數據的安全性。