張滿宏

摘 要： 在10kV及以下電壓等級(jí)的中低壓配電網(wǎng)中，對(duì)于未配備光纖專(zhuān)網(wǎng)通信的部分饋線、配變以及各類(lèi)小容量分布式電源與儲(chǔ)能系統(tǒng)等，由于其對(duì)應(yīng)的遠(yuǎn)程終端設(shè)備采用公共無(wú)線網(wǎng)絡(luò)通信方式而面臨非法竊聽(tīng)、惡意篡改和重放攻擊、身份欺騙等方面的安全風(fēng)險(xiǎn)。為確保數(shù)量眾多的底層配電終端設(shè)備乃至配電自動(dòng)化系統(tǒng)的整體安全，需要在數(shù)據(jù)保密性和身份認(rèn)證等安全技術(shù)以及硬件設(shè)備的安全防護(hù)等方面進(jìn)行更為深入的研究。

關(guān)鍵詞： 配電終端;可信計(jì)算;三級(jí)認(rèn)證;橢圓曲線

【中圖分類(lèi)號(hào)】TM734 ? ? 【文獻(xiàn)標(biāo)識(shí)碼】A ? ? 【文章編號(hào)】1674-3733（2020）21-0171-01

引言：配電自動(dòng)化的終端包括饋線終端、站所終端和配變終端，該終端對(duì)配電網(wǎng)的故障定位、隔離、恢復(fù)供電起著舉足輕重的作用。由于現(xiàn)場(chǎng)運(yùn)行環(huán)境復(fù)雜，使配電終端與主站通信中斷。當(dāng)配電終端與主站通信中斷時(shí)，主站對(duì)“死機(jī)”的終端就失去了必要的數(shù)據(jù)監(jiān)視，不能及時(shí)掌握現(xiàn)場(chǎng)運(yùn)行情況;配電自動(dòng)化運(yùn)行評(píng)價(jià)會(huì)因終端長(zhǎng)時(shí)間不在線而扣分。

1 配電自動(dòng)化終端重啟系統(tǒng)構(gòu)成

1.1 各模塊的功能

第一發(fā)送命令模塊，在第二配電終端正常時(shí)，每1h發(fā)送一次自檢命令，在第二配電終端死機(jī)時(shí)，每10min發(fā)送4次“自檢命令”;第一發(fā)送命令模塊，用于向所述第二接收命令模塊發(fā)送自檢命令;第二接收命令模塊，用于接收所述自檢命令，并將所述自檢命令發(fā)送至第二自查模塊，用于接收第一反饋模塊發(fā)送的重啟命令并重啟第二配電終端;第二自查模塊，用于對(duì)第二配電終端當(dāng)前的運(yùn)行數(shù)據(jù)進(jìn)行自查，以及生成結(jié)束信號(hào)發(fā)送給第一應(yīng)答模塊，生成死機(jī)信號(hào)發(fā)送給第一反饋模塊;第一反饋模塊，用于接收第二自查模塊發(fā)送的死機(jī)信號(hào)，并記錄接收到的死機(jī)信號(hào)次數(shù)，以及生成重啟命令并發(fā)送給第二接收命令模塊，生成反饋信號(hào)并發(fā)送至第一應(yīng)答模塊;第一應(yīng)答模塊，用于接收第二自查模塊發(fā)送的結(jié)束信號(hào)并結(jié)束自檢，用于接收第一反饋模塊發(fā)送的反饋信號(hào)，并生成信號(hào)“1”發(fā)送至系統(tǒng)主站的分析模塊;分析模塊，用于接收第一應(yīng)答模塊發(fā)送的信號(hào)“1”，并統(tǒng)計(jì)信號(hào)“1”的個(gè)數(shù)，以及生成結(jié)束信號(hào)并發(fā)送給第二接收命令模塊，生成報(bào)警指令并發(fā)送至輸出模塊;輸出模塊，用于接收所述報(bào)警指令，并啟動(dòng)聲音警報(bào)，同時(shí)提示死機(jī)終端編號(hào)。

1.2 各模塊的連接方式

第一發(fā)送命令模塊與第二接收命令模塊通信連接，第二接收命令模塊和第二自查模塊通過(guò)硬接線連接，第二自查模塊與第一反饋模塊以及第一應(yīng)答模塊通信連接，第一反饋模塊和第一應(yīng)答模塊通過(guò)硬接線連接;第二發(fā)送命令模塊與第一接收命令模塊通信連接，第一接收命令模塊和第一自查模塊通過(guò)硬接線連接，第一自查模塊與第二反饋模塊以及第二應(yīng)答模塊通信連接，第二反饋模塊和第二應(yīng)答模塊通過(guò)硬接線連接;第一應(yīng)答模塊與所述分析模塊通信連接，所述第二應(yīng)答模塊與所述分析模塊通信連接;第三配電終端與第一配電終端一致，所有通信連接方式包括無(wú)線網(wǎng)絡(luò)或5G無(wú)線網(wǎng)絡(luò)。

2 分層的三級(jí)可信認(rèn)證機(jī)制

2.1 可信認(rèn)證機(jī)制

根據(jù)可信計(jì)算理論，首先為配電網(wǎng)底層遠(yuǎn)程終端設(shè)備配置可信根TPM構(gòu)建可信終端。因此需要封裝入專(zhuān)門(mén)為終端設(shè)備開(kāi)發(fā)設(shè)計(jì)的安全芯片以承擔(dān)平臺(tái)完整性度量、密鑰及關(guān)鍵信息的安全存儲(chǔ)、數(shù)據(jù)加密簽名和惡意代碼檢測(cè)等任務(wù)。以FTU為例，專(zhuān)用可信根須能夠度量遙測(cè)、遙信量采集部分、遙控模塊和網(wǎng)絡(luò)通信模塊的狀態(tài)完整性，并將度量值存儲(chǔ)于其內(nèi)部寄存器中，對(duì)上傳的遙測(cè)遙信數(shù)據(jù)進(jìn)行加密和數(shù)字簽名，解密分析接收到的下行遙控信息。

根據(jù)國(guó)家管理?xiàng)l例與相關(guān)國(guó)際標(biāo)準(zhǔn)，縱向認(rèn)證需要采用基于非對(duì)稱密鑰的單向認(rèn)證加密技術(shù)，專(zhuān)用可信根使用一定密鑰長(zhǎng)度的橢圓曲線用于加密能獲得足夠強(qiáng)度的保密性。

其次，為確保遙測(cè)、遙信數(shù)據(jù)的安全，除終端設(shè)備可信性自認(rèn)證外，還需進(jìn)一步通過(guò)檢測(cè)代理和主站服務(wù)器的可信認(rèn)證，根據(jù)可信計(jì)算理論中可信網(wǎng)絡(luò)連接的相關(guān)規(guī)范，在終端設(shè)備所處的不同網(wǎng)段網(wǎng)關(guān)處設(shè)置多個(gè)可信檢測(cè)代理，控制終端設(shè)備與通信網(wǎng)絡(luò)的連接，報(bào)告檢測(cè)到的不可信訪問(wèn)與惡意行為。終端可信模塊將存儲(chǔ)于寄存器中的關(guān)于自身完整性的度量值通過(guò)簽名的方式發(fā)送給可信檢測(cè)代理，由后者驗(yàn)證和評(píng)估以判定終端設(shè)備是否安全可信。

2.2 配電網(wǎng)二次系統(tǒng)的邏輯邊界

在中低壓配電網(wǎng)中，部分饋線分段開(kāi)關(guān)處安裝的饋線終端裝置（feederterminalunit，F(xiàn)TU），部分桿上和箱式配電變壓器處安裝的配電變壓器檢測(cè)終端，不具備光纖通信條件的小容量分布式發(fā)電（distributedgeneration，DG）和儲(chǔ)能裝置處安裝的遠(yuǎn)程終端裝置（remoteterminalunit，RTU）以及用戶電表處的數(shù)據(jù)傳輸單元等遠(yuǎn)程終端設(shè)備，通過(guò)公共無(wú)線通信網(wǎng)絡(luò)（包括GPRS、TD-SCDMA等方式）與配電主站相應(yīng)安全區(qū)或配電子站進(jìn)行數(shù)據(jù)信息通信。

3 基于可信計(jì)算的配電終端自身安全防護(hù)方法

3.1 終端上電順序

終端加電的第一時(shí)刻啟動(dòng)安全芯片，安全芯片讀取引導(dǎo)程序（U-Boot）并進(jìn)行驗(yàn)證;同時(shí)安全芯片控制CPU的電源模塊，確保在可信度量期間CPU不會(huì)啟動(dòng)。當(dāng)安全芯片對(duì)引導(dǎo)程序的驗(yàn)證通過(guò)后，終端CPU啟動(dòng)，從SPIFlash中加載U-Boot。

3.2 終端靜態(tài)可信度量與驗(yàn)證

終端的靜態(tài)可信度量與驗(yàn)證主要包含引導(dǎo)程序以及操作系統(tǒng)2部分，這2部分不會(huì)頻繁改變。配電終端引導(dǎo)程序方面，安全芯片完成U-Boot度量后，U-Boot運(yùn)行，從原有的Flash上讀取嵌入式Linux系統(tǒng)內(nèi)核并進(jìn)行可信度量，可信度量通過(guò)后允許嵌入式Linux系統(tǒng)內(nèi)核加載和運(yùn)行。

3.3 終端的動(dòng)態(tài)可信度量與驗(yàn)證

配電終端動(dòng)態(tài)可信度量方面，進(jìn)行終端動(dòng)態(tài)度量時(shí)，定期調(diào)用安全芯片，對(duì)終端業(yè)務(wù)應(yīng)用和關(guān)鍵配置數(shù)據(jù)進(jìn)行可信度量，調(diào)用流程與嵌入式Linux內(nèi)核調(diào)用安全芯片相同。動(dòng)態(tài)度量與驗(yàn)證主要包含重要應(yīng)用程序的升級(jí)以及應(yīng)用與參數(shù)的更新2方面?？尚哦攘繎?yīng)用按照預(yù)設(shè)的頻率對(duì)業(yè)務(wù)應(yīng)用和關(guān)鍵配置參數(shù)進(jìn)行可信度量，但沒(méi)有必要對(duì)嵌入式Linux內(nèi)核和U-Boot進(jìn)行度量，度量失敗時(shí)發(fā)出告警或?qū)⒔K端強(qiáng)制下線?？尚哦攘康念l率可以定時(shí)或不定時(shí)（如每進(jìn)行100次與主站交互、每處理10M字節(jié)數(shù)據(jù)等）。

結(jié)語(yǔ)：1）本文提出的基于可信計(jì)算與可信安全芯片的可信認(rèn)證機(jī)制及考慮設(shè)備狀態(tài)完整性和真實(shí)性可信度的計(jì)算模型能夠量化評(píng)估公共通信網(wǎng)絡(luò)中配電終端的安全水平，為實(shí)時(shí)、動(dòng)態(tài)調(diào)整并提高配電終端的安全性提供了完備的依據(jù)。2）應(yīng)根據(jù)實(shí)際運(yùn)行的安全需求和終端設(shè)備安全芯片的計(jì)算處理能力，選取適當(dāng)破譯強(qiáng)度的橢圓曲線以及適用于密碼快速運(yùn)算的優(yōu)化算法，以期在減少時(shí)間開(kāi)銷(xiāo)、獲得最佳運(yùn)算性能的同時(shí)提供充足的安全保障。

參考文獻(xiàn)

[1] 劉威鵬，胡俊，方艷湘，等.基于可信計(jì)算的終端安全體系結(jié)構(gòu)研究與進(jìn)展[J].計(jì)算機(jī)科學(xué)，2007，34（10）：257-263.

[2] 林功平.配電自動(dòng)化終端技術(shù)分析[J].電力系統(tǒng)自動(dòng)化，2003（12）：59.