钟朝晖
(大唐佛山热电有限责任公司,广东 佛山 528500)
计算机应用技术的发展给传统的电厂管理带来了巨大的影响和改变,越来越多先进的信息管理技术应用于电厂管理,打破了传统的封闭系统,提高了电厂管理的质量和水平,降低了成本。电厂管理水平直接影响电厂运行效率,在体制内的管理系统中,电厂始终保持与时俱进的先进管理理念,在计算机技术取得突破之后,我国电厂积极将最新的计算机应用技术与传统发电技术进行有机结合,推动了电厂的数字化、智能化及网络化转变,智慧电厂的管理系统由此诞生。智慧电厂的控制系统是计算机技术应用的核心部分,完全改变了传统电厂的管理控制模式,通过平台化指令输出和配套设备进行远程传输到指定端口,同时也负责将指定端口采集到的信息反馈给总控平台。智慧电厂的管理控制更为智能化与系统化,增强了总控平台对终端平台管控的垂直性,在提高信息反馈效率的同时也提高了电厂整体的运转效率。在这个过程中,保证信息能够准确进行双向传递以确保指令能够正确执行尤为重要。这不仅是为了保证智慧系统的正常运行,更是为了保证电厂的生产过程与结果是按照既定的目标进行,确保生产过程与结果的可控性。目前,受到成本和技术等因素的限制,智慧电厂的传输路径并未采取切实到位的安全保障措施,同时对信息的审核机制也并不完善,总控平台对反馈信息的可靠性和终端对指令的执行效果无法得到第一时间确认,也无法排除指令被篡改、错误信息反馈等安全风险。鉴于以上安全威胁,借助数字签名技术可实现数据传输过程中身份真实性、数据完整性、系统可用性、不可否认性、可审查性等防护目标,保证数据传输的安全可靠,确保智慧电厂的安全稳定运行。
在控制指令和反馈信息传递过程中,智慧电厂一般没有采取措施保障数据的安全性和可靠性,因此在此过程中会面临伪造和被篡改等风险。基于上述的问题,智慧电厂在信息传递过程中考虑其安全性就显得尤为重要。文章在前人研究的基础上,考虑了数字签名保证信息传递过程中的安全性。
数字签名技术是当前计算机与信息应用技术时代背景下的产物,是在公钥密码学的基础上结合计算机技术,加上硬件设备辅助下深度研发出的安全认证方式,其主要原理是通过设备认证的方式确保指令输入的正确性,以电子签名作为存档和认证,让签名认证摆脱了纸质媒介的束缚,丰富了办公方式,使办公更加高效与便捷。数字签名技术在支付终端、网络安全认证端口、各大电子商务平台及工业网络方面有着较为频繁的应用频率。总的来说,数字签名技术是一种变相的密码操作手段。目前,主流实现技术有基于公开密钥的技术、基于ElGamal 的技术、基于椭圆曲线加密算法的技术等。RSA 公钥加密算法可以同时用于信息加密、解密及签名,且有很好的安全性,是目前应用最广的签名技术,详细过程如图1 所示。
图1 数字签名技术流程
在目前数字签名的各种技术中,通过检验Hash值的一致性能够很好地验证数据的一致性。Hash 值是一种通过输入确定的数据长度值,经过Hash 计算后得到唯一确定结果的一种技术。在输入数据的过程中,即使输入数据有微小的变化,也会产生不同的输出结果,因此可通过该方法检验数据的一致性。在Hash的各种变化中,最常使用的算法是MD5,这是一种广泛使用的密码散列函数,是以512 位分组来处理输入信息,同时每一个分组又被划分为16 个32 位的子分组,在经过一系列仿真计算处理后,该算法会输出4 个由32 位组成的小组,接着将这4 个32 位分组连接成一个128 位的散列值,这种将获得的信息逐级分解的方法,经过多次循环后,判断获得的最终结果,如果该结果与预期的一致,或在允许的范围之内,则该结果将会以最终确切的Hash 值输出,作为最后的结果;如果该结果不在所允许范围之内,则会将其直接丢弃,进入下一个循环,具体算法过程如图2 所示。
图2 MD5 算法流程
文章研究的是数字签名技术智慧电厂数据安全传输系统,该系统主要包括具备签名功能的控制台、具有验收功能的控制器等。与传统的控制系统有所不同,智慧电厂数据安全传输系统中加入了数字签名技术,主要用于保证数据的传输安全,主要的流程如下所述。
首先,在智慧电厂数据传输系统的控制台中,有数字签名的模块设置。由于控制台序列号、公钥及私钥的一致性,其在处理的过程中都有与之唯一对应的结果。此外,控制台的序列号是公开的,但是私钥是保密的。其次,系统接收了控制台所发出的命令控制信息,同时对所接收到的信息进行验证。如果信息通过验证,就可以进入服务器,同时对其进行存储;如果不能通过验证,则将所接受到的所有数据直接丢弃。这种直接丢弃的方式不仅节省了系统的存储空间,同时在数据查询过程中,大大减少了不必要数据的干扰,提高数据查询的准确性。最后,由于控制指令中包含的控制信息中含有控制器唯一的序列号,在信息传送的过程中,系统会将唯一的序列号信息传送至对应的控制器,随后在与之对应控制器的再次核对下,会判断所传输的信息是否为原有指令。如果未通过,即可判定为新指令信息,将其直接丢弃;若通过核对,则认为是原有指令,将继续执行,完成后面的步骤。
上述3 个步骤即为数字签名技术在智慧电厂数据传输过程中的重要环节,每个环节看似独立,实则相互关联、相互影响,只有保证每个步骤完成与之对应的任务,才能确保整个系统顺利运行。此外,在前期组装数据传输系统时,就需要从整体架构出发,考虑各组成部分之间的关系。以上即为智慧电厂控制系统数据安全传输的工作过程。
数字技术的实际传输过程是发送者将获得的私钥与相关信息以在线的方式将其发送至接收者,同时接收者利用发送者所附带的基本信息将对应的文件打开,接着利用Hash 函数对接受到的信息进行核对,同时与解密的摘要内容相对比。如果二者校准的结果一致,没有新信号产生,则认为信号一致,收到的信息是准确且完整的;若不一致,则可判定为信息进行了修改,因此数字签名就能够很准确验证数据的完整性。
数字签名子系统主要是用来保障控制信息的安全发出,其工作流程如下所述。首先,控制指令在经过控制器的过程中,会利用控制台所提供的私钥将其加密成为密文,同时利用算法得到摘要。其次,控制台将所接收到的密文、公钥和摘要3 个信息一起发送给与之相对应的控制器和服务器。在使用控制信息前要对其进行核验,如果通过核验,才会进入下一步处理,若不能通过核验,则信息将会被丢弃。最后,服务器和控制器对所接收到的信息进行验签,二者的验签过程基本一样。控制指令先用公钥进行解密,然后利用Hash算法得到新的摘要信息,将所得到的新摘要信息与控制台发出的摘要信息进行对比,若相同则通过,否则被拒绝,同时丢掉控制指令。
控制信息的数据结构包括控制指令明文、控制台公钥、控制指令摘要、控制指令密文等数据,也可以根据具体需要加入其他信息。控制信息中直接包含的控制指令明文,主要是为了方便以后查询检索数据。
在数据传输系统中,主要会用到控制台、控制器及服务器系统等。控制台通常用C++编程语言设计,这种设计不仅能实现系统最基层的软硬件设备需求,还可以有效提高传输效率;控制器通常采用一台性能配置较高的物理主机,这样的设备不仅能够实现不同设备之间的信息传递,同时为其他设备提供高性能的物理硬件需求,在功能实现方面通常采用C++程序设计语言,实现控制指令的验签,并对发出的命令模拟执行;服务器系统也采用一台物理服务器,通过虚拟机开启若干虚拟主机,该部分功能通常采用Java 编程语言实现。通过上述3 个部件就可以完成数据传输系统设计的物理部件需求。
在进行数字签名子系统验证的设计中,共选取了控制台身份标识号(Identity Document,ID)、控制器ID、控制命令和控制参数4 项指标。控制指令明文经过控制台的私钥加密后就能够得到控制指令密码,该过程主要是将指令明文转变为指令密文,同时控制指令的明文经过Hash 算法就能得到与之对应的指令摘要,将得到的指令密文、控制台公钥及控制指令的摘要3 个信息发送给接收者。
模拟控制指令传输过程中如果被篡改,将选取不同的指标对其进行一一核验,通常选取控制台ID、被篡改控制器ID、被篡改控制明文的控制参数、被篡改的控制指令、控制台密文被篡改、控制台公钥被篡改等6 种情况进行测试,通过上述的测试就能判断出属于哪一种信息改变。
数字签名子系统试验验证了本系统在控制台、控制器及服务器之间数据传输的安全能力。从结果可以看出,数字签名技术的应用消除了智慧电厂信息传递过程中存在的安全隐患,极大地提高了数据的安全性,确保指令能够正确执行,也提高了智慧电厂网络的数据传输能力。
数字签名子系统在确保数据传输的过程中,不仅可以判断传输过程信息的准确性,还能够提高信息传递的高效性,因此数据传输验证子系统能够满足智慧电厂数据安全传输的基本要求。
智慧电厂的设计基础来源于近些年蓬勃发展的互联网计算机技术,以及云计算、人工智能、物联网等新一代信息技术,它们是智慧电厂的基础保障。文章在结合前人研究成果的基础上,结合实际需求,设计了基于数字签名技术的智慧电厂数据安全传输系统结构。
文章以系统设计和验证为主要研究内容,展示了数字签名技术在智慧电厂数据传输过程中强大的应用能力和广泛的应用范围,特别是以MD5 等为核心算法的新型技术,具备了数据安全传输的功能,基本上能够满足信息传输的安全保证。此外,随着该技术的发展,防篡改、防抵赖等功能都已实现,对发生异常的数据进行溯源追寻。
控制系统是智慧电厂数据传输的关键。基于数字签名技术的数据传输系统重点考虑了控制系统的应用,即在数据传输过程中可能存在的风险和解决的措施。数据传输系统不仅适用于控制系统,还可以应用到智慧电厂涉及数据传输的其他所有环节,具有很强的普遍性。