基于国密算法的配电网终端通信安全架构研究.docx

    基于国密算法的配电网终端通信安全架构研究    李 露，谢映宏，李蔚凡，丁 凯，李 峰（1.长园深瑞继保自动化有限公司，广东 深圳 518057；2.深圳市峰泳科技有限公司，广东 深圳 518115）0 引言随着信息安全技术的快速发展和《能源生产和消费革命战略2016—2030》的逐步推进，配电网终端的接入形式呈现多元化发展，开放互动网络环境已形成，配电网终端的通信安全面临着前所未有的挑战目前，电力系统通信协议主要有IEC 870-5-101（以下简称“101”）、IEC 870-5-104（以下简称“104”）、IEC 61850、DNP3（分布式网络协议）这些协议在设计之初均为封闭隔离，没有采用加密认证等安全手段，使得网络攻击者很容易对数据进行监听、篡改、拒绝服务攻击［1］近年来已有很多学者对协议本身的安全功能进行改进研究，但有一定的局限性，没有从系统层面进行方案的剖析、比较和测试验证2010 年“震网”事件发布后，各方将协议安全提到首要日程中，并对协议内部的安全性进行广泛研究［2-11］文献［12-13］分别提出DNP Sec 和DNP SAv5A 安全防护，前者重点修改数据链路层，后者重点加固应用层，但仍存在数据的窃听攻击。

文献［14］使用SCAPY测试了大量的分组数据，证实存在重放、欺骗、窃听攻击文献［15］通过发送大量测试数据，导致DNP应用层数据接收缓冲区溢出，产生拒绝服务攻击文献［16］研究了配电终端软硬件的可信安全防护方案，基于BIOS（基本输入输出系统）、引导、操作系统内核、驱动程序、应用程序等，构成一个可信的、安全的ESAM（嵌入式安全控制模块）芯片；该机制很大程度上依赖于强大的平台，小型的配电网终端很难发挥其可信安全系统防护方案文献［17］介绍了传统的配电网终端接入在安全防护和海量终端接入认证方面存在的不足，提出一种基于标识密码公钥体制的安全通信协议；该协议在安全性方面有所改善，但没有通过专业的安全测试进行漏洞挖掘分析针对以上研究存在的问题，本文针对配电网终端的协议安全问题展开研究，设计一种基于国密算法的应用层规约改进和网络层加密、认证双重安全架构，有效解决配电网终端开放互联安全威胁问题通过应用层精简的协议安全改进、比较和验证，提高安全架构的效率和安全性1 算法分析与研究网络层和应用层的身份认证和密钥协商，都需要用到对称加密、非对称加密、哈希计算对称加密对通信报文的数据进行加密，非对称加密用于双向认证的签名及数字证书的签名，哈希计算主要用于数据完整性计算。

为适应中国国情发展，满足国家信息安全客观要求，对国外相关的经典密码算法进行比较和分析，总结了RFC（请求注解）标准的加密算法未来可能带来的威胁和风险国密标准与RFC 标准相关的典型算法见表1表1 典型算法1.1 非对称加密1.1.1 SM2与RSA算法介绍SM2 算法是国密标准中的非对称算法，其技术基础为ECC（椭圆曲线算法），数学基础为椭圆曲线离散对数以下对SM2 的加密解密流程进行说明设G为椭圆曲线的一个基点，（x，y）为椭圆曲线的坐标点，C、C1、C2、C3、t为计算变量，KDF为密钥派生函数，Hash为哈希函数，PB为用户B的公钥，S为比特串，［k］P表示椭圆曲线上点P的k倍点，⊕为异或操作，||为比特串的拼接操作，M为要发送的消息比特串，klen为M的比特串长度对M进行加密需执行如下步骤［18］：步骤1，用随机数发生器产生随机数k∈［1，n－1］步骤2，计算椭圆曲线点C1=［k］G=（x1，y1），将C1的数据类型转换为比特串步骤3，计算椭圆曲线点S=［h］PB，若S是无穷远点，则报错并退出步骤4，计算椭圆曲线点［k］PB=（x2，y2），将计算后的坐标点数据类型转换为比特串。

步骤5，计算t=KDF（x2‖y2，klen），若t为全0比特串，则返回步骤1步骤6，计算C2=M⊕t步骤7，计算C3=Hash（x2‖M‖y2）步骤8，输出密文C=C1‖C3‖C2解密过程为上述操作的逆过程，通过私钥解密后，再对原始的数据进行完整性检测与SM2算法相比较，RSA算法的技术基础为世界难题大树分解，描述为：对于较大的素数p和q，n=pq具有如下数学性质：若已知p和q，计算n非常容易；若已知n，求解p和q非常困难1.1.2 SM2与RSA算法比较SM2与RSA算法的主要区别有以下两个方面：1）采用的算法原理不同，椭圆曲线算法能以较小的密钥和较少的数据传输，效率较高2）安全性方面，椭圆曲线的数学理论非常复杂，难以工程实现近几年随着量子计算的快速发展，RSA算法的暴力破解方法已经产生1.2 对称加密1.2.1 SM1、SM4、AES算法介绍SM1 和SM4 算法为国密标准的分组密码算法，明文和密钥长度均为128位，加密和解密的密钥相同SM1 算法因源码非公开，算法以知识产权授权的形式存在于硬核中，释放了内存资源，安全性和快速性比AES（高级加密标准）都略高一筹SM4算法加密和密钥流程如图1所示。

由图1可知，加密和解密都需要通过32 轮非线性迭代实现，而解密的轮密钥为加密所用的轮密钥逆序相比于AES，SM4 采用的分组长度也是128 位，但轮迭代次数和操作有差异每一轮的操作包括行移位、列混淆、密钥轮加图1 SM4算法流程1.2.2 SM4与AES算法分析SM4算法与AES算法的主要区别如下：1）算法结构算法结构如表2所示，包括两种算法的密钥长度、分组长度、迭代次数表2 算法结构2）轮操作SM4轮操作包括将32位明文与轮密钥异或、基于S 盒的字节到字节代替、基于移位的线性变化AES 轮操作包括使用S 盒完成分组的字节到字节代替、行移位、列混淆、密钥轮加综上所述，两种算法的安全性均基于S 盒的非线性及线性变化提供的扩散作用，密钥的使用方式都是将密钥与明文或加密结果异或区别在于，SM4 在每轮的开始使用密钥，AES 在每轮的最后使用密钥3）密钥管理算法SM4 的密钥管理算法和加密算法基本相同，同样将密钥分为32 位的4 组，通过S 盒代替、线性变化来产生各轮密钥AES算法的密钥产生较为繁琐，代码实现较为复杂，对嵌入式平台内存资源要求较高1.3 SM3与SHA算法通信数据的完整性通过哈希计算实现，计算后的哈希值用于判断原始数据是否被恶意篡改。

哈希算法在国密标准中为SM3算法，RFC标准中为SHA（安全散列算法）系列哈希值被广泛应用在数字签名、消息认证、数据完整性检测等领域SM3算法是在SHA-256基础上的一种改进算法，采用Merkle-Damgard 结构，消息分组为512位，Summary值长度为256位SM3算法流程如图2所示，需要进行多次填充和迭代压缩图2 SM3算法流程SM3算法的压缩处理与SHA-256相似，但压缩函数的每一轮使用2个消息字Summary生成过程均包括填充和迭代压缩过程2005 年我国密码学家王小云［19-20］等人给出了SHA-1的碰撞算法，SHA-1的安全性已经存在漏洞相比于SHA-1算法，SM3的安全性较高SM3 算法同样可以通过国家密码局授权的形式固化于硬件中进行加密解密运算，在计算效率和安全性方面都有很大提升1.4 国密IPSec工作模式国密算法的IPSec（互联网安全协议）设计基于原始RFC传输架构，将不太安全的RFC标准的加密、签名、哈希算法替换成自主可控的SM1、SM2、SM3、SM4 算法，符合国家对重要电力基础设施的高安全标准依据IPSec VPN技术规范，在配电网终端实现国密IPSec两种工作模式。

1.4.1 隧道模式隧道模式保护所有IP（因特网协议）数据并封装新的IP 头部，原始的IP 头部不再进行IP 路由隧道模式能够为IP 层数据提供完整的数据保护，包括IP头部和IP数据载荷，一般使用在网关或终端中隧道模式AH（认证头）和ESP（安全数据载荷）协议如图3、图4所示由图3可知，原始的IP地址是远端的源地址和目的地址，新的IP 头部包含IPSec 本端和对端地址在隧道模式下，AH协议保护原始的IP 头和IP 数据载荷由图4 可知，隧道模式下，ESP 协议同样保护原始的IP头和IP数据载荷图3 隧道模式AH协议图4 隧道模式ESP协议1.4.2 传输模式传输模式保护原始IP 头部后面的数据，在原始的IP 头和payload 间插入IPSec 头部，可提供端到端的加密会话传输模式AH 协议和ESP 协议如图5、图6 所示由图5 可知，在国密IPSec 传输模式下，AH 协议插入到TCP 之前由图6 可知，隧道模式下ESP协议插入到TCP和Data的前后，并保护原始的IP数据载荷和数据完整性图5 传输模式AH协议图6 传输模式ESP协议综上可知，国密IPSec 传输模式下，通过AH头或ESP头对IP层数据载荷进行保护，原始IP头保持不变；国密IPSec 隧道模式下，通过新的IPSec 头进行数据路由，而原先的IP 头和数据被保护起来，内部的路由信息也被保护起来。

2 安全架构设计安全架构采用轮训和突发两种通信模式，主站可请求子站，子站响应；子站也可突发上送数据给主站，主站响应通信方式采用网口，安全架构在应用层和网络层进行加密和认证，同时具备双重加密认证属性，保证了数据传输的机密性、完整性和身份的合法性安全架构如图7 所示，应用层主要完成加密、认证、业务建立，网络层完成密钥协商和加密隧道建立安全架构设计重点解决消息欺骗、消息篡改、窃听攻击、重放攻击、中间人攻击等问题网络层和安全层的脆弱性解决策略如表3所示，主要从欺骗、重放、篡改、窃听等维度进行分析和设计图7 安全架构表3 脆弱性解决策略2.1 应用层加密认证对101 和104 协议进行安全性改造，并在配电终端PRS-3351保护测控装置上应用在原101和104报文的基础上，增加安全层协议报文安全层协议报文格式如表4所示，信息安全扩展区包含时间戳、随机数、签名，最终哈希计算生成MAC（消息认证码）表4 安全层协议报文格式考虑到协议的安全改进会影响通信效率，在心跳帧和初始化链路帧中不采用加密方式，其他进行加密处理安全扩展区定义如表5所示由表5 可知，密文区的信息安全扩展区也作了精简设计，针对不同的101和104应用业务类型，添加了时间戳、随机数和签名，数据字节总长度仅为79字节。

表5 安全扩展区定义定义时间戳可确保通信报文的时效性随机数可提供数据的不可预测性，此种机制能够保存报文的新鲜度，防止重放攻击签名信息是对信息的完整性和不可抵赖性作保证，为主站和终端的双向认证提供技术支撑2.1.1 传统认证终端的接入需要接受主站认证，同时终端也对主站进行认证，安全认证流程如图8所示图8 安全认证流程2.1.2 认证改进相比于传统接入认证管理，加密网关负责配电网终端的认证和接入管理，通过证书中心为每个终端签名证书，因此加密网关需要负责大量的用户证书信息由于未能考虑到证书吊销或注销等不及时性问题，身份认证存在一定的管理缺陷为了避免多次人工进行证书签发，安全架构集成证书状态接口，防止相关敏感数据泄露和通信负荷增加动态认证流程如图9所示，终端接口查询并缓存签名信息，有效解决人工维护的不安全性问题图9 动态认证流程2.1.3 数据加密流程采用国密算法对数据进行加密，能够保证数据的机密性由表4 可知，信息安全扩展区的MAC可保证数据的完整性，加密后的密文数据能够保证数据的机密性，防止窃听2.2 网络层加密认证应用层对标。