基于PKI数字证书技术的电力监控系统控制指令身份认证方法

2024-01-12 04:39吴金宇朱文陶文伟苏扬张富川仇伟杰

微型电脑应用 2023年12期

吴金宇, 朱文, 陶文伟, 苏扬, 张富川, 仇伟杰

(中国南方电网有限责任公司, 广东, 广州 510530)

0 引言

随着智能电网新技术高速发展,电力监控系统已延伸至公网,但防火墙与纵向加密装置缺乏身份认证控制,安全强度不足。为防御网络安全威胁和操作安全风险,解决电力监控系统因数字变革带来的安全问题[1-6],有较多学者对身份认证方法进行研究。张之森等[5]研究基于HMAC和TEA算法的CAN总线身份认证方法,该方法的身份信息在加密后抗攻击能力不高;杜心雨等[6]研究LTE-A网络中基于动态组的有效的身份认证方法,但该方法在身份认证时容易接受错误信息。

为了提高加密后明文的抗攻击能力,降低错误认证信息的接收率,本文研究基于PKI数字证书技术的电力监控系统控制指令身份认证方法。设计电力监控系统核心功能;采用RSA算法实现非对称密码体制的加密解密,生成公私和钥对;设计数字证书操作周期;利用PKI数字证书技术验证实体身份信息和公私钥匹配程度,构建可检索的实体数字证书,实现电力监控系统的安全防护和管理。实验结果证明本文方法加密后明文的抗攻击能力较强,事务响应速率较快,错误拒绝率较高。

1 电力监控系统核心功能设计

1.1 协议解析与过滤

(1) 对网络传输的报文进行实时解析和过滤,支持识别电力系统常见的工控协议,包括IEC61850、IEC60870-101/102/104/103、tase2、dl476、MODBUS、OPC等工控协议的解析和过滤。

(2) 支持识别常用的TCP/IP协议,包括HTTP、SFTP、SMTP、FTP、RPC等协议;通过匹配规则对控制报文进行识别,并且根据预设的策略进行响应,如阻断异常控制报文[7-8]。

(3) 可定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等。

1.2 数据摆渡功能

数据摆渡包括文件交换、数据库同步、FTP访问、数据库访问、邮件传输等功能。

1.3 访问控制功能

基于MAC、IP、传输协议、端口以及操作方式的综合报文过滤与访问控制。

1.4 与内网管控设备联动功能

系统支持接收安全控制中心发送的策略,并支持与现有的态势感知系统联动,包括接收策略、同步告警日志等。

1.5 设备认证功能

设备与设备之间支持双向身份认证,可以实现主机的安全接入。装置内部,调用加密芯片的加密接口,满足需要的加解密计算过程。

1.6 网络模式支持

网络模式支持无IP地址透明工作方式,支持网络地址转换,对外屏蔽内网信息,保证标准应用的透明接入。

1.7 身份认证功能

通过PKI数字证书技术,实现系统控制指令的身份认证。

2 基于PKI数字证书技术的电力监控系统控制指令身份认证

2.1 PKI数字证书认证功能

按照国际通用安全标准进行电力监控系统的控制指令身份认证,严格遵守ITU-TX.509标准,并通过保密性较强的RSA算法实现公钥/私钥的加密管理。具体系统的PKI数字证书认证功能[9-10]如图1所示。

图1 PKI数字证书认证功能

采用三因子RSA算法生成公私钥对,同时向加密设备或硬盘中保存私钥,同时具有私钥与公钥是否匹配的验证功能。利用数字证书管理为身份认证提供帮助,并通过身份认证验证数字证书的合法性,实现电力监控系统控制指令。

2.2 基于三因子RSA加密算法的公私钥对生成

由于密码体制中具有对称与非对称两种形式,因此本文对两种密码体制进行分析,其中对称密码为私有钥加密,非对称密码为公有密钥加密。通过研究得知非对称密码体制的安全性更高,同时可以降低密钥管理的难度。因此通过三因子RSA算法实现非对称密码体制的密钥加密解密,生成公私钥对。

2.2.1 对称密码体制

对称密码体制的基本特性是加密与解密的密钥一致,通过如下方式生成对称加密密钥。

(1) 设加密密钥为k,明文消息为m,加密算法为E,当明文消息m被算法E与密钥k加密后,产生的密文由式(1)表示:

c=Ek(m)

(1)

由于加解密钥一致,双方在进行通信时必须将两者的共同密钥进行保存,当用户群体多大时,密钥的分配与保存容易发生问题。

2.2.2 非对称密码体制

非对称密码体制能够有效改进对称密码体制中的缺陷。在非对称密码体制中,加密与解密过程相互独立,会同时生成两把不同密钥,其能够使双方在不安全的信道中实现安全通信。

通过式(2)、式(3)表示非对称密码体制的加密与解密过程:

c=EPKB[m]

(2)

m=DSKB[c]

(3)

非对称密码体制在进行加密解密时需要符合以下条件:

(1) 发送者A利用B的公钥加密信息m,生成密文c,即c=Epkb[m]在计算时相对简便;

(2) 窃听者无法利用B的公开钥PKB获取私钥SKB;

(3) 可更改加密解密顺序,即(m)EPKB[DSKB(m)]=DSKB[EPKB(m)]。

从安全角度可以看出,非对称密码体制的安全性明显更高,同时可以降低密钥管理的难度。通过三因子RSA算法实现非对称密码体制的密钥加密解密。

2.2.3 基于三因子RSA算法的加密解密

三因子RSA算法具体通过如下过程实现该算法:

(1) 挑选3个保密大素数a1、a2、a3;

(2) 计算乘积模数n=a1×a2×a3,且φ(n)=(a1-1)×(a2-1)×(a3-1),其中φ(n)表示n的欧拉函数值;

(3) 选取一个整数e,使该整数满足1

(4) 设e在模φ(n)下的模逆元素为d,对d进行计算,使d满足d×e=1 modφ(n);

(5) 将{e,n}作为公开钥,{a1,a2,a3,d,n}作为秘密钥,并对a1、a2、a3与d进行保密;

(6) 在进行加密时,将待加密的明文划分为多个组,并将分组m进行加密:c=memodn;

(7) 通过式(4)对密文c进行解密:

m=cdmodn

(4)

通过上述步骤完成非对称公钥和密钥的生成,实现密文的加密与解密。在后续身份认证过程中还需要利用PKI数字证书技术验证私钥与公钥是否匹配。

2.3 PKI数字证书操作阶段

通过3个阶段设计数字证书的生命周期,分别为证书申请、证书使用以及证书注销。通过数字证书的研究,可以有效验证非对称密钥的主人,为电力监控系统控制指令身份认证提供有力依据。

2.3.1 证书申请阶段

当电力监控系统提供控制中心认证服务之前,需要先进入认证中心进行数字证书申请,可通过不同方式完成证书注册,例如全部处理都通过CA与实体之间流动,将RA视为不存在。当实体身份信息完成验证后,通过管理员确认实体,并对权限进行合理分配,通过这些身份信息构建实体的数字证书。

2.3.2 证书使用阶段

若已完成私钥、公钥证书的发放,则必须开始进行证书的使用,具体使用过程如下。

(1) 证书检索。在为接收者加密数据时,必须要对每个接收者的加密证书进行检索。

(2) 证书验证。通过证书验证可以评价某个证书是否合法,这一验证操作在证书准许加密之前完成,主要根据以下方面验证证书:① 完整性;② 是否由可靠CA发布;③ 是否在有效期内;④ 是否被撤销。

2.3.3 证书注销阶段

通过证书注销阶段完成数字证书的生命周期,该阶段具体包含以下内容。

(1) 停止活动:拥有该证书的终端无法使用CA中心提供的服务。

(2) 证书复原:向具备新有效期的证书赋予同一公钥。

(3) 证书更新:制造一个新的密钥,并颁发一个新的证书。

2.4 实现电力监控系统控制指令身份认证

实现电力监控系统控制指令身份认证包括身份认证和权限认证。具体认证步骤如图2所示。

图2 认证流程图

如图2所示,电力监控系统控制指令身份认证过程主要是验证证书的身份和权限是否有效,并验证私钥是否匹配,以实现身份认证。

在数据加密前,要利用PKI数字证书技术根据ITU-TX.509标准验证实体身份信息合法性、完整性、CA发布人信任度、有效期。当实体身份信息完成验证后,通过管理员确认实体,并对权限进行合理分配,通过这些身份信息构建实体的数字证书。

数字证书验证通过后,采用三因子RSA算法生成公私钥对,同时向加密设备或硬盘中保存私钥;验证私钥与公钥是否匹配;在加密数据时,必须要对每个接收者的加密证书进行检索,通过这种方式可保护发送方的数据,同时还能够对接收方进行密钥管理。

完成上述步骤后输入私钥密码、私钥文件名、证书文件名以及随机字符串,通过数字认证加密,输出认证结果。

3 实验分析

将本文方法应用至南方电网数字电网研究院有限公司电力监控系统中,电力监控系统中的操作具有一定权限,需要进行身份认证。在测试环境由内置密码模块的IPC服务器向 SIP 服务器发送注册请求,在测试中使用4台IPC 向 SIP服务器连续发送包括60 000个用户待认证身份请求,验证本文方法对该系统用户的身份认证能力。选取文献[7]方法、文献[8]方法作为比较方法。分析不同方法对不同大小明文处理后的密钥长度,结果如图3所示。