基于可信计算的主动配电网信息安全防护研究

吴金宇，陈海倩，张丽娟，赖宇阳

(1.中国南方电网有限责任公司，广东 广州 510623；2.南方电网数字电网研究院有限公司，广东 广州 510623)

分布式能源和可控负荷等电网新元素动态接入和大规模分布的特点对配电网提出了更高的要求。相较于传统配电网，主动配电网接入环境复杂，接入方式多样，接入数量庞大，网络结构更为复杂，设备之间的信息交互更加频繁、依赖性更强，导致信息安全威胁增大。为了防止信息传输泄露、篡改和损坏，本文针对主动配电网的信息安全防护进行研究[1-3]。

目前，国外针对主动配电网进行了诸多研究，并在西班牙、英国等国家进行示范。其中，ADINE(active distribution network)示范工程最为突出，在不同场景中对大量接入的分布式发电进行管理和实时模拟，解决了主动配电网电能质量及孤岛运行等问题。国内也开展了丰富的主动配电网研究，主要集中在协调控制、负荷预测和实时监测等方面。文献[4]基于负荷变化，通过建立数学模型实现动态电压协调控制，降低了网络损耗。文献[5]提出基于响应度评估的响应负荷预测模型，模拟负荷数据并进行仿真，验证了负荷预测方法的有效性。文献[6]提出一种基于多值复合的故障检测方法，确保监测终端数据的准确性和可靠性，为故障分析提供了判别依据。

对于主动配电网的安全防护不仅需要对设备进行安全防护，更需要对设备之间传输的信息提供安全防护，确保信息不被盗用、篡改和破坏，保障主动配电网的信息安全[7]。为此，本文对主动配电网的信息安全防护进行研究，针对主动配电网的特征及所存在的信息安全问题，利用可信计算技术提出区域能源互联网信息安全防护方案，最后依据方案进行示例验证。

1 主动配电网安全防护

1.1 主动配电网特征

传统配电网的用电活动较为被动，分布式电能采用就地消纳的方式。与传统配电网相比，主动配电网的网络拓扑结构较为灵活，对于区域内的能源供需可进行调配，具有较高的可观、可控水平[8-11]。传统配电网缺乏对安全威胁的预测，而且不涉及全局优化；而主动配电网能够采取预先感知、系统控制等手段来实现统筹优化，确保目标安全。两者的具体差异见表1。

表1 主动配电网与传统配电网的差异Tab.1 Differences between active distribution network and traditional distribution network

1.2 主动配电网信息安全

基于主动配电网的智能电网架构如图1所示。

除了传统发电外，可再生能源发电也成为用户用电的重要供应源，包括光伏发电、风力发电、生物质能发电等。主动配电网在配电和用电的环节间还增加了双向互动智能电表等多种业务，电网信息网络已延伸至用户侧[12-13]。

基于主动配电网的智能电网潜在的安全威胁不容忽视，分析表明主要存在于以下位置。

a)分布式能源侧(图1中位置1)。分布式发电大规模并网使得主动配电网电源接入结构发生了变化(由单点多端型结构转变为多点多端型结构[14])，结构改变可能会出现孤岛运行状态，极易引发触电事故造成人员伤亡[15]。

b)配电自动化系统(图1中位置2)。配电自动化系统结构的设计基于分层、分布式以及集中控制的思想[16]，共分为3层，分别为主站层、配电网通信层和终端设备层。各层次所面临的信息安全问题包括：①主站层——虽然通过前置机、防火墙等与配电子站实施物理隔离，但其本身可能存在安全隐患，容易被非法入侵，造成数据信息泄露；②通信层——电网信息传输所使用的光纤专用网络和无线公网均存在着安全威胁的接入点，易被攻击者利用造成破坏；③设备层——配电终端易被攻击者窃取伪造，从而造成私密信息被复制、损坏[17-18]。

c)用电侧(图1中位置3)。智能表计具有较强的网络功能，和用户进行信息交互的时候可能存在安全漏洞，易被攻击者利用，从而对电网造成安全威胁。

2 安全可信防护方案

针对以上问题，本文以区域能源互联网为研究对象，以配电自动化系统设计为参考依据，提出可信任链，其主要分为3层，分别为应用可信层、网络连接可信层以及节点可信层，结构如图2所示。

图1 基于主动配电网的智能电网Fig.1 Smart grid based on active distribution network

图2 可信任链条示意图Fig.2 Trusted chain diagram

底层能源节点均有身份标识信息和状态变量，通过光纤专网、GPRS无线公网以及TD-LTE无线专网等汇聚到交换机；然后各级交换机再汇聚到总路由器，在接入配电主站前需经过配电专用安全接入网关，配电专用安全接入网关具有身份认证、状态监测等功能，能够对能源节点进行身份识别，确保其是否处于安全可信状态。配电业务采集器主要负责为主站采集各种业务数据，与配电业务前置机采用正反向隔离连接，最终将采集来的数据传送至配电主站，供配电主站具体应用服务进行调用[19-20]。

要想达到整体主动配电网系统安全可控，不受外界侵害，从源端建立可信机制尤为重要；因此节点可信成为整个系统提供信任的起点，网络连接可信保证了各级节点间通信的安全，应用可信为各节点和网络提供服务支持，从而保障主动配电网可信[21-23]。

2.1 可信配电终端硬件设计

为了对主动配电网进行安全防护，综合运用可信计算技术，设计以可信计算为基础、以访问控制为核心、以安全管理为支撑的可信配电终端。

a)终端安全芯片。采用鼎信密码芯片，含有计算机引擎CPU、易失和非易失存储模块以及国产密码算法(SM1、SM2、SM3、SM4)引擎模块，具备基本片上操作系统(chip operating system，COS)功能体系和密码操作功能体系。

b)逻辑架构。可信配电终端以硬件层的可信平台为基础，作为可信根[24]，其中为可信计算平台提供密码运算服务的是可信密码模块(trusted cryptography module，TCM)。为了充分发挥TCM的计算功能，还需要在操作系统层实现基于安全协议的可信服务管理平台(trusted service management，TSM)模块。可信配电终端逻辑架构如图3所示[25-26]。

图3 可信配电终端逻辑架构Fig.3 Trusted distribution terminal logic architecture

c)硬件架构。可信配电终端总体硬件结构如图4所示，主要包括微处理机、人机交互以及通信接口等。微处理机由看门狗、存储器、定时器以及可信芯片构成：可信芯片是实现可信的核心，为信任链提供信任根；存储器主要负责存储和记忆功能；定时器实现定时和计算功能；看门狗提供系统产生暂时性故障的恢复能力。

图4 可信配电终端硬件架构Fig.4 Trusted distribution terminal hardware architecture

图5 能源节点示意图Fig.5 Schematic diagram of energy node

2.2 可信配电终端软件设计

2.2.1 节点可信

能源节点是能源互联网中可独立运行与管控的装置，是构建区域能源互联网的基本对象，主要由软硬件系统2部分组成，结构如图7所示。其中，可信控制模块是可信计算的核心部件，通过内部植入可信根，实现信任根控制功能，从而将密码与控制相结合，实现对整个能源节点的主动控制、主动防御，并在对主板控件度量的同时，为软件系统的度量机制提供安全运算能力支撑。

能源控制功能应用接口是连接软件系统和硬件平台的桥梁，当硬件层上电后，可信控制模块会对主板控件进行度量，经过安全引导完成硬件环境及配置的设定，从而建立可信链条，为软件层提供支持和服务。能源节点在处理信息流和能量流的同时，其对信息的处理能力和对能源的控制能力有所不同，所以具体实施的时候会根据能源节点的功能需求来进行设定。

2.2.2 网络连接可信

为了保障网络连接可信，每当新能源节点需要接入区域能源互联网时，都必须以可信方式接入，接入时会对其身份、可信性以及接入状态等进行全面检查。本文中各能源节点的连接主要采用可信网络连接(trusted network connect，TNC)技术连接方式[27]。

2.2.3 应用可信

区域能源互联网是一个复杂的基础设施系统，为了保证可信链的完整还需保障应用可信具备以下功能。

a)资产管理：对系统资产进行管理，提供管理规范，评估资产信息。

b)报表管理：支持报表生成导出，支持html、Word、PDF报表生成导出；同时用户可定制报表结构，报表文件集成了扫描设备序列号、报表ID，从而保证报表的唯一性。

c)日志告警：可以对日志信息进行查询和统计分析，并自动生成安全审计报告，帮助网络管理员全面掌握网络和工控设备安全状况。

d)漏洞扫描：对操作系统漏洞、常见软件和服务漏洞(如Web服务、HTTP服务、FTP服务、邮件服务等)进行扫描，同时对扫描结果进行报告汇总，并提出解决方案。

e)协议安全策略分析：具有网络检测及告警功能，同时对配电自动化101及104协议具有加密、认证及验证等策略分析功能。

f)设备脆弱性检测：具备弱口令/空口令、危险端口服务、配置漏洞等系统脆弱性检测及交换机端口配置检查功能。

g)策略配置：能够在不同应用环境下选择不同的安全策略，保证现场设备的安全与稳定，提高系统的运行效率。

3 安全可信防护示例

区域能源互联网安全可信防护方案如图6所示。数据的发送节点具有可信模块TMSN，数据的接收节点具有可信模块TMRN[28]。为保证数据的机密性和完整性，每个可信模块生成2对平台密钥：平台身份密钥PIK和平台加密密钥PEK。

图6 基于可信模块的安全防护方案Fig.6 Security protection scheme based on trusted module

密钥的私钥(以Pri开头)存储在可信模块内部，只能通过可信模块内部进行密码运算，而其他各节点和参与方都将获取对应的公钥(以Pub开头)。本文以能源节点与控制中心间的数据传输为示例进行说明，具体可信安全防护示例如图7所示，图中①—⑨表示上行链路。

3.1 安全引导流程

一个典型的可信引导过程如图8所示。当节点通电后，首先会执行嵌入式处理器的代码片段(即ROM Code)，执行基本的硬件配置后进行度量并验证是否通过，如果通过，代码片段会加载Bootloader的代码；加载完毕后也会进行度量并验证是否通过，如果通过，则Bootloader会加载嵌入式操作系统代码，加载完毕后依旧进行度量并验证是否通过。以上3次度量验证均必须通过才可以运行给定的能源节点应用代码，只要某一次不通过(即不可信)，则终止程序结束引导，期间每一次度量验证通过都会对可信模块中的寄存器PCR进行1次扩展，从而在能源节点上建立起1个完整的度量信任链。

3.2 数据安全存储

能源节点通常会对数据进行去噪声、压缩等处理操作，而这些操作会被记录到PCR中进行度量保护。能源节点通常将采集到的数据存储在本地一段时间，然后提交上级节点单位，或及时提交给上级节点单位；因此，数据信息存储非常重要。对于少量所采集到的数据D，本文采用国产SM2非对称加密算法，加密方式表示为

Djm=fTCM(D，EPCR,exp，KPubPEKSN) .

(1)

式中：Djm为数据加密；fTCM为TCM算法；EPCR,exp为PCR的期望值，只有当达到期望值后才可进行解密操作；KPubPEKSN为能源节点平台加密公钥。当数据量较大时，采用效率更高的对称加密算法SM4，即

图7 安全可信防护示例Fig.7 Examples of security trusted protection

Djm=fSM4(D，EPCR,exp，KSM4Key) .

(2)

式中：fSM4为SM4加密算法；KSM4Key为对称秘钥。

当系统需要使用数据时，会先获取系统当前PCR值(EPCR)并与EPCR,exp进行比对，只有当对比结果一致时，才会使用自身所存储的密钥(KPubPEKSN或KSM4Key)进行解密获取数据，保障数据信息的完整性和机密性。

图8 安全引导流程Fig.8 Security boot flow chart

3.3 上行数据传输

在数据采集过程中，底层能源节点会经过路由器、交换机等逐级上传，最终至控制中心。传输过程中数据的交互仅在2个能源节点之间进行；所以，不仅需要考虑节点的可信性，还需要保证节点间所传输数据的机密性和完整性。为此，本文采用完整性报告方法和数据加密方法。

信息发送节点自身所携带的身份密钥对EPCR进行签名后传输至信息接收节点，由信息接收节点来验证身份密钥PIK和本地EPCR，如果验证通过则可以确认该消息来自于1个可信的信息发送节点，保证了传输节点可信。信息发送节点使用信息接收节点的公钥，对将要传输的数据进行加密后发送至接收节点，而接收节点只有通过内置的可信模块才能对收到的加密信息进行解密，获取数据信息；由此确保了传输数据的机密性和完整性。

以图7中“①分布式风电—⑥控制中心”上行链路为例进行分析。在①分布式风电(能源节点)—②交换机两节点间数据传输过程中，能源节点作为发送节点，交换机作为接收节点。

a)能源节点可信模块产生1个对称秘钥KSM4Key，使用该密钥算法fSM4Key对数据进行加密，设加密后的数据为DEData，则

DEData=fSM4Key(D) .

(3)

b)用交换机的公钥算法fPubPEKRN来对KSM4Key进行加密保护，加密后的能源节点对称秘钥

Δ=fPubPEKRN(KSM4Key) .

(4)

c)利用能源节点的私钥算法fPriPIKSN对加密数据DEData和EPCR产生签名值：

SEData=fPriPIKSN(DEData) .

(5)

SPCR=fPriPIKSN(EPCR) .

(6)

当DEData和签名值传送至交换机后，首先使用能源节点公钥PubPIKSN及其算法fPubPIKSN验证签名值：

EPCR,ver=fPubPIKSN(SPCR)=fPubPIKSN(fPriPIKSN(EPCR)).

(7)

DEData,ver=fPubPIKSN(SEData)=fPubPIKSN(fPriPIKSN(DEData)).

(8)

通过认证后再继续验证EPCR，即

EPCR=EPCR,exp.

(9)

如果以上结果都相同，则可以认为数据来自于1个可信的发送节点，执行下一步。

使用交换机的私钥PriPEKRN及其算法fPriPEKRN解密获取解密后的KSM4Key对称秘钥

ΔKey=fPriPEKRN(Δ)=fPriPEKRN(fPubPEKRN(KSM4Key)).

(10)

式中ΔKey为未解密之前的密钥。

利用KSM4Key解密获取数据D，即

D=fSM4Key(DEData)=fSM4Key(fSM4Key(D)) .

(11)

当解密成功后会向能源节点返回一个OK信息，若其中任一验证没有通过，交换机就会丢弃该数据并向能源节点返回一个Fail消息。同样，后面信息逐级传递都会经历身份认证，数据加解密的步骤，最终上传至控制中心供其他服务程序处理和应用。

3.4 下行数据传输

在区域能源互联网中，每个能源节点可能会向周围多个节点进行信息传输，如果每次数据信息交互都采用点对点的单点传输，势必造成大量复杂的加解密运算。如果每次传输都进行密码运算，当节点数剧增，系统对信息要求实时性很高时，TCM性能会明显下降，从而影响到能源节点信息的处理效率。

如图7安全可信防护示例中，交换机⑦同时向⑧家庭能源节点和⑨电动汽车进行信息传输，即向2个能源节点传输数据时，会进行2次SM2非对称加密运算、2次SM4对称加密运算和2次签名操作。对于给定的交换机，会有1次SM4加密操作和1次签名操作是重复执行的。因此，为了提高能源节点间信息传输的效率，避免大量繁琐的加解密运算，本文采用批量认证的方法来解决信息传输效率问题。利用Merkle哈希树，将多个认证请求整合到1个独立的签名操作中，避免复杂的运算。

图9给出了交换机S0向4个能源节点(二进制表示为00、01、10和11)传输数据的示例，其中n为能源节点，S为交换机，R为路由器，s(n)为签名值。而在实际应用中可以扩展到多个能源节点。在Merkle哈希树中，节点上存储的是该节点数据块的哈希值，在进行完整性验证过程中，为了确保一个数据块是Merkle哈希树中的成员，只需要该数据块及通向树根沿途的哈希值，而忽略树的其他组成部分。S0向n00、n01、n10及n11传输数据时，只需对n00进行签名验证，通过Merkle哈希树中的哈希值可以得到s(n00)=(Tag=00,n00,S0)，而无需依次对n01、n10及n11进行签名验证。

图9 多节点传输示意图Fig.9 Schematic diagram of multi-node transmission

多节点传输流程如图10所示，只有当所有的验证都通过后，各能源节点才能获取交换机的对称密钥进行解密，获取相应的指令进行下一步具体操作。运用批量认证方法后，对于多个能源节点进行数据传输工作，给定的节点只需要进行1次SM4加密操作和1次签名认证操作，避免了大量的冗余计算，提高了能源节点信息传输的效率。

图10 多节点传输流程Fig.10 Flow chart of multi-node transmission

4 结束语

本文首先基于主动配电网的网络架构，分析了其中存在的信息安全问题，并针对这些问题提出安全可信防护方案，利用可信计算技术对配电终端进行设计；针对区域能源互联网进行示例验证，阐述数据存储、传输过程，形成了一套防护体系，对于主动配电网信息安全防护研究具有一定的参考价值。

由于主动配电网目前还处于试点验证阶段，仍需开展大量研究、实践工作；再加上可信计算对于系统兼容性要求过高，在今后的工作中应不断改进，完善可信计算与电力行业的融合，以适应新时代的发展与需求，为主动配电网信息安全建设提供保障。