基于改進CPK的電力終端任務接入安全認證方法

張海濤 烏大鵬 項 貞

（國網聊城供電公司，山東 聊城 252000）

電力終端作為電力系統中的重要組成部分，它們負責將電力供應到最終用戶[1-2]。在電力終端任務接入階段進行安全認證，可以防止未經授權的用戶或設備接入電力系統[3]。如果電力終端需要頻繁地排查故障和維修，或者存在通信延遲和數據丟失等問題，可能會對整個電力系統的正常運行造成不利影響。而通過安全認證可以保證電力終端的質量和性能符合標準，減少故障和問題發生，提高電力系統的可靠性和效率。在實際應用階段，對電力終端任務接入安全認證提出的要求如下：首先，要嚴格控制接入權限，只有經過授權的用戶或設備才應該被允許接入電力系統。因此，安全認證應該能夠識別和驗證用戶或設備的身份，并確保其具有正確的權限。其次，電力終端與電力系統之間的通信應該使用加密技術來保障數據安全，以防止未經授權的用戶截獲和利用敏感信息[8]。在此基礎上，本文提出基于改進CPK的電力終端任務接入安全認證方法研究，并設置對比測試環境，對設計認證方法的性能進行分析。

1 電力終端任務接入安全認證方法設計

1.1 基于電力終端任務接入情景的CPK改進

本文以電力終端任務接入情景為導向，對CPK算法進行適應性改進[4-5]。具體包括3個步驟，分別為密鑰矩陣的構建、抗線性共謀攻擊分析和標識密鑰的生成[6-7]。

密鑰矩陣構建階段，在改進的CPK算法中，本文首先構建1個密鑰矩陣。這個矩陣是1個n×n的矩陣，其中，n是1個大素數。密鑰矩陣在加密過程中起重要的作用，負責對數據進行加密和解密操作。為了保障安全，本文使用雙線性映射方法來構建密鑰矩陣[8-9]。雙線性映射是一種特殊的映射方式，可以將2個元素映射到一個合法的結果。這種方法可以保證矩陣中的任意2個元素經過線性變換后，仍然能得到一個新的合法元素。這種雙線性映射方法在密鑰矩陣構建中起到關鍵作用。通過這種方法構建的密鑰矩陣具有良好的安全性和可靠性。在加密和解密過程中，矩陣中的每個元素中都有重要的信息。通過線性變換，每個元素的位置和數值都發生了改變，使破解者難以獲得有效信息。同時，為了提高算法的安全性，使用大素數作為矩陣的維度。大素數具有較高的隨機性和不可分解性，能夠有效地增加算法的強度，減少被攻擊的可能性。

本文構建密鑰矩陣的過程分為以下幾個步驟。

選擇n個大素數p1，p2，…，pn，并計算它們的乘積，如公式（1）所示。

式中：P為選擇n個大素數的乘積。

選擇1個模數q，使q與P互質，如公式（2）所示。

選擇1個整數e，使1＜e＜（q-1），且e與（q-1）互質。

計算e關于模數q的乘法逆元d，具體計算過程如公式（3）所示。

式中：d（e）為e關于模數q的乘法逆元參數。按照這樣的方式，將乘法逆元參數作為密鑰矩陣A的元素構成，得到n×n的密鑰矩陣。

由于電力終端任務接入情景具有多維性以及并行性，因此本文采用抗線性共謀攻擊分析的方式對傳統的CPK算法進行改進。在電力終端任務接入過程中，不同終端可能涉及多個維度的任務，例如供電和監測等。同時，這些終端間的任務可以并列執行，以提高效率和響應速度。首先，在改進過程中，本文分析了電力終端任務接入情景的特征和不同終端間的相關性。其次，通過引入抗線性共謀攻擊分析的技術，重新設計了密鑰生成和分配的過程。新的算法通過混淆與擾動關鍵參數之間的線性關系，使攻擊者不能準確還原原始密鑰。這種改進的CPK算法保留了傳統算法的優勢，例如高效性和可擴展性，同時增強了算法的安全性。在多維度任務接入情景下，算法能夠防止共謀攻擊者通過線性關系獲取關鍵信息，保證傳輸和存儲的數據的機密性和完整性。然而，這個假設在電力終端任務接入情景中成立的可能性極低，因此當直接利用傳統的CPK算法進行安全認證時，存在較大的安全風險。

為了解決這個問題，本文引入一個新的安全假設：任何2個代理密鑰之間的線性組合是隨機的。為了實現這個安全假設，本文需要在生成代理密鑰時使用拉格朗日插值方法。這種方法可以保證任意2個代理密鑰之間的線性組合都是隨機的。該方法基于多項式插值技術，可以通過已知的數據點來計算一個多項式函數。該函數將滿足給定數據點，并且其他點的值可以根據這個多項式函數進行估計?？梢允褂靡韵虏襟E來生成代理密鑰。在生成代理密鑰的過程中，本文使用拉格朗日插值方法來計算滿足安全假設的系數矩陣。利用已知的數據點和相應的多項式函數，可以得到使任意2個代理密鑰之間的線性組合都是隨機的系數矩陣。

選取密鑰矩陣中同一個數所對應的系數，并對系數矩陣進行相應的線性變換處理，具體的計算方法如公式（4）所示。

式中：ASK為系數矩陣進行相應的線性變換處理結果。受密鑰矩陣A的元素構成方式影響，ASK中的元素之間也是毫無規律的狀態，均為隨機數。使ASK中的元素不能相互抵消，最大限度地減少電力終端任務接入安全認證階段的誤認證問題。

在標識密鑰的生成階段，本文選取密鑰矩陣中私鑰因子以及ASK的系數序列作為標識密鑰的系數值，將私鑰因子和系數序列進行乘積處理。對上述參數進行乘積處理后，采用模加運算的方式得到最終的標識私鑰，在模加運算中，使用模運算和加法運算。模運算是將乘積結果對一個特定的數進行取模操作，保證結果落在一定范圍內。加法運算是將模運算后的乘積結果與其他相關參數進行相加，得到最終的標識私鑰。計算過程如公式（5）所示。

式中：sk為最終的標識私鑰。

通過上述系數值的乘積處理和模加運算，本文能夠生成一個符合要求的標識私鑰。這個標識私鑰用于身份驗證和加密解密過程中的關鍵操作。由于標識密鑰的系數值是基于密鑰矩陣中的私鑰因子和系數序列計算得到的，因此保證了標識私鑰的隨機性。

1.2 電力終端任務接入認證

結合改進后的CPK算法，當進行電力終端任務接入認證時，設計電力系統可信節點與電力終端設備之間是雙向認證機制。首先，對電力終端設備來說，采用改進的CPK算法生成一個標識私鑰。該標識私鑰是由密鑰矩陣中的私鑰因子和系數序列經過乘積處理和模加運算得到的。該設計保證了標識私鑰的隨機性，保障其安全。電力終端設備利用標識私鑰完成身份驗證過程，并向電力系統可信節點提供其身份證明。其次，電力系統可信節點利用自身的私鑰和電力終端設備發送過來的標識私鑰，通過改進的CPK算法進行認證。通過生成共享秘密和確認標識私鑰的有效性，可信節點確認電力終端設備的合法性和信任度。這樣的雙向認證機制確保了電力終端設備和電力系統可信節點之間的相互認證，提高系統的安全性和防護能力。通過引入雙向認證機制，本文實現了電力終端任務接入的認證過程。具體的認證方式如公式（6）所示。

式中：f（t）為在時間戳為t時刻的電力終端任務接入認證函數；μ為電力終端設備唯一身份標識字符串信息；δ（t）為電力終端任務接入認證階段，電力系統可信節點的乘法循環群；α（t）為電力終端任務接入認證階段，電力系統可信節點的加法循環群；λ為隨機數；sk（t）為在時間戳為t時刻電力終端設備攜帶的標識私鑰。

從式（6）可以看出，電力終端設備攜帶的標識私鑰與電力終端設備唯一身份標識字符串信息之間均為具有唯一性質的參數，通過這樣的雙向認證方式，確保電力系統對發送身份認證信息的不會受到任務情景的影響，最大限度地保障其安全。

2 應用測試

2.1 測試環境

在具體的測試過程中，本文以某實際的電力終端任務接入情景為基礎進行設計認證方法的性能分析。其中，測試情境中的基礎電力系統環境信息參數和終端配置信息參數見表1。

表1 測試環境基礎概況

其中，具體的電力終端任務信息中，任務類型為實時電力監測與調度，對應的數據采集頻率為1次/min，數據傳輸頻率為10min一次，數據存儲頻率為1次/d。電力終端任務接入的是鄉村地區的輸電網絡，使用的終端設備是智能變壓器，安裝位置是在變電站內。通信協議使用的是MQTT，數據存儲在本地服務器。電力終端任務是進行實時電力監測與調度，數據采集、傳輸和存儲的頻率也相應較低。同時，在進行電力終端任務接入階段，存在的風險主要包括2個方面：首先，數據安全風險，即本地服務器數據泄露、MQTT通信被干擾或攔截；其次，電力安全風險，即智能變壓器發生故障、電力輸送中斷或異常波動、變電站安全問題。

在進行測試的過程中，本文設置了不同的認證方法作為測試的對照組，更直觀地對設計認證方法的性能進行客觀評價。其中，參與測試的對照組分別為文獻[8]提出的以抗窮舉攻擊改進為基礎的安全認證方法以及文獻[9]提出的以區塊鏈技術為基礎的安全認證方法。

2.2 測試結果與分析

在對本文設計認證方法的性能進行分析的過程中，本文將不同認證節點配置下，被攻擊成功的概率作為評價指標。其中，設置的攻擊控制認證節點數量分別為5個、10個、15個、20個、25個以及30個，對應的測試結果如圖1所示。

圖1 不同認證方法測試結果對比圖

結合圖1的信息，對3種不同安全安全認證方法的測試結果進行分析。其中，在以抗窮舉攻擊改進為基礎的安全認證方法下，當攻擊控制認證節點數量達到5個時，開始存在被攻擊成功的可能，對應的概率為0.04%，隨著攻擊控制認證節點數量增加，被攻擊成功的概率呈現穩定上升的發展趨勢。當攻擊控制認證節點數量達到30個時，被攻擊成功的概率達到0.119%，表明該認證方法下對于大范圍攻擊的防御能力存在進一步優化的空間。采用以區塊鏈技術為基礎的安全認證方法，當攻擊控制認證節點數量達到10個時，存在被攻擊成功的可能，但對應的概率已經處于較高水平，達到了0.045%，當攻擊控制認證節點數量達到30個時，被攻擊成功的概率達到了0.124%，表示當攻擊范圍達到一定規模時，該方法在安全方面的性能會出現較為明顯的下降。相比下，在本文設計安全認證方法的測試結果中，同樣在攻擊控制認證節點數量達到10個時開始存在被攻擊成功的可能，但是對應的概率僅為0.003%，明顯低于以區塊鏈技術為基礎的安全認證方法，不僅如此，當攻擊控制認證節點數量達到30個時，被攻擊成功的概率也僅為0.056%，分別低于以抗窮舉攻擊改進為基礎的安全認證方法0.053%，低于以區塊鏈技術為基礎的安全認證方法0.058%。

3 結語

在電力終端任務接入階段，安全認證的主要目標是保證只有授權的用戶或設備可以接入系統，同時防止未經授權的訪問和潛在的安全威脅。本文提出基于改進CPK的電力終端任務接入安全認證方法，可以有效防止惡意用戶或惡意軟件對電力系統的攻擊，在保證電力系統的穩定性和電力供應的安全性方面具有良好的實際應用價值。通過對電力終端任務接入安全認證的研究，為保障電力系統的安全性和穩定性提供參考。