泛在电力物联网可信安全接入方案

2020-04-23吴金宇张丽娟孙宏棣赖宇阳

计算机与现代化 2020年4期

吴金宇,张丽娟,孙宏棣,赖宇阳

(1.中国南方电网有限责任公司电力调度控制中心,广东广州510000; 2.鼎信信息科技有限责任公司创新孵化事业部,广东广州 510623)

0 引言

能源和电力需求增长的推动，使得世界电网从传统电网逐步演变到现代电网，从孤立城市电网跨越式发展到跨区、跨国的大型互联网，也进入了以坚强智能电网为标志的新阶段[1]。通过先进传感器、智能设备、多样性网络构建的电力物联网，在电力的发输变配用各环节，对电网、用户、配电线路、智能变电站、发电厂乃至相关能源对象进行实时监测，实现能源互联网层面上全景全息感知、信息互联互通及智能控制，对能源互联网的建设和运行起到重要的驱动作用，能源互联网与电力物联网密不可分，电力物联网的网络和信息安全直接涉及能源互联网的生产运行安全，是国家电网公司网络与信息安全需要考虑的一个重要内容[2-4]。

传统电力物联网已经发展多年，但是电力物联网尤其是现场物联终端层面的安全研究仍处于起步阶段，国内外网络安全的形势近年来日益严峻，乌克兰电网因黑客攻击而导致大面积停电，震网病毒等针对工业物联网的恶意软件的出现，愈加映衬出现有防护能力的缺失[5-6]。“推动全业务泛在电力物联网建设，扩大电力无线专网试点及业务应用”的工作要求，使得传统电力物联网向“全数据统一管理、全业务云上运行、全环节物物互联、全时空通信覆盖、全过程可信互动、全方位数据应用”的全业务泛在电力物联网新形态演进，国家电网公司原有的安全防护体系如何应对物联网新形态下的新风险，成为亟待解答的重要问题[7-8]。

全业务的泛在电力物联网与电网融合发展，综合应用“大云物移智”等信息通信新技术，与新一代的电力系统相互渗透并深度融合，实时在线连接能源电力生产与消费各环节中的人、机、物，是全面承载并贯通电网生产运行、企业经营管理和对外客户服务等业务的新一代信息通信系统，是支撑我国能源互联网高效、经济、安全运行的基础设施[9-11]。泛在电力物联网的体系结构如图1所示，包含感知层、网络层、平台层和应用层共4层。

图1 泛在电力物联网组成结构

1 安全接入总体方案设计

全业务泛在电力物联网发展及安全形势的变化，对网络安全尤其是物联终端层安全提出新的需求。在防护体系上，互联互动的物联业务需求和隔离阻断的安全体系之间，存在如何兼容适应的问题[12]。在技术要求上，国家现有信息系统等级保护和相关安全防护要求可普遍适用于应用、平台、网络层，但在终端层防护要求仍不明确。主要的安全需求体现在需要建立适应物联网终端层的安全认证机制[13-15]。

国家电网公司管理信息系统已建立起较为完备的统一权限管理系统，用户认证的方式主要是基于用户名/口令或PKI数字证书。然而现有的身份认证和权限管理设施无法满足物联网终端大量设备对于安全性和实用性的需求，主要体现在：1)统一权限管理仅面向“人”，未覆盖到“物”[16-18];2)现有基于PKI数字证书的安全认证机制，在现场海量异构、多级级联的物联设备中应用难度大，密钥分发和管理成本高。因此，需要建立适用于全业务泛在电力物联网终端设备的安全认证机制，解决海量物联网终端和上级物联代理、物联平台交互时的“我是谁”的问题，防止非法终端接入，以及相关网络安全事件可进行追溯[19-20]。

本文主要研究全业务泛在电力物联网终端层设备的接入认证技术，研究主要包括以下3个部分：1)面向电力物联网异构终端的设备发现和识别技术；2)物联网平台、边缘物联代理及多层级联终端间的身份信息安全传递机制；3)全业务泛在电力物联网终端层设备的接入认证和密钥管理技术。可信安全接入方案实施路线如图2所示。

图2 可信安全接入方案实施路线

2 终端设备发现和识别技术

电力物联网环境中存在大量合法及非法的异构终端，对网络的频谱资源及安全通信带来了压力和考验。一方面如何感知占用有效频段的信号是否是合法信号，并有效识别其身份标识，另一方面如何侦察非法的通信信号以及识别仿冒设备的身份标识，是电力物联网安全通信过程中亟需解决的首要问题[21-22]。本文首先对现场无线网络设备的感知发现技术进行研究，再结合大流量场景下的入网节点快速同步匹配技术研究无线网络设备不可仿冒的指纹生成技术，实施路线如图3所示。

图3 设备发现和识别技术实施路线

2.1 现场无线网络设备的感知发现

无线环境的开放性造成了合法及非法终端共存于同一场景下，一方面，其他设备占用合法设备的工作频段，影响正常设备的工作,另一方面，非法设备对合法设备进行欺骗、篡改、重放及拒绝服务等主动攻击破坏网络的正常功能[23-24]。

针对上述风险，本文以频谱感知技术为基础，先对设备的感知发现方法进行理论研究，通过比较分析信道化结构、压缩感知技术、BigBand结构在泛在电力网络中对终端设备发现的有效性、技术的复杂度等，设计实现最优的发现技术方法，完成对无线网络设备高效准确的发现以及其他设备对工作频段的占用情况。为此，本文提出一种监督式的能量检测设备感知发现方法，具体流程如下：

步骤1建立结合时域和频域的信号能量检测方法。时域能量检测在时域对信号进行能量积累，频域能量检测则将信号利用FFT运算先转换到频域再进行能量积累。综合2种检测可知该方法计算量小、实现简单，并且能有效控制噪声对检测门限的影响。

步骤2建立结合信道化结构和BigBand结构的频谱感知结构。信道化结构将频段分为多个子带以实现对较宽的频段进行频谱感知。BigBand结构属于稀疏FFT算法，利用延时来恢复宽带频谱。考虑到通信信号在频域分布不均匀，混合结构中在频谱信号较密集的部分采用信道化结构，而在频谱信号稀疏的部分采用BigBand结构。

步骤3建立已知终端设备的感知监督机制。在通信中完成信号检测后，对信号的调制方式进行识别，对合法的通信信号进行解调提取信息，对未知的信号则进行调制类型以及常用频段准确的判定。合法的设备信号可以根据已有设备获得感知结果，形成监督式的感知机制。

2.2 无线网络设备不可仿冒的指纹生成

物联网如果接入未经认证的终端会形成巨大的安全隐患，现有的无论是基于轻量级公钥算法还是预共享密钥认证技术的物联网身份认证方案，都是基于存在密钥泄漏、身份仿冒、终端捕获等安全威胁的传统密码体制。需要找到一种不可仿冒的身份标识，与设备进行严格的绑定[25-27]。

针对上述问题，本文以设备指纹作为其身份标识，设备指纹由一组无线目标的特征组成。通过无线目标特征提取，可以得到用于识别无线目标的不同特征点，从而为后面的无线目标识别分类算法提供基础。无线目标特征提取方法如图4所示，具体流程如下：

图4 无线目标特征提取方法

步骤1空中无线信号采集。来自空中接口的无线信号首先由接收机变频至基带的I/Q这2路信号，并送入处理系统。

步骤2基带信号频偏同步。经过基带预处理后的信号，通过频偏估计粗同步模块进行处理，根据接收信号的粗略频偏进行频偏粗校正，然后通过频偏估计细同步模块进行频偏细同步，最后通过采样率偏差估计模块进行采样率补偿。

步骤3基带信号载波相位同步。信号经过频偏同步和采样率同步后进入载波相位同步模块，进行相位估计以实现相位偏差补偿。

步骤4特征提取形成指纹。将处理好的基带信号绘制成星座轨迹图、时域波形图和频域图，得到星座轨迹特征、时域特征和频域特征，在多个维度、多个时间分辨率上进行无线目标的识别。

基于星座轨迹图的特征提取方法是接收端在得到和发射端同频同相的接收信号后，将信号绘制在星座轨迹图中，将载波相位误差补偿后的信号I/Q这2路分别在星座图上逐点画出。接收端的采样率大于信号的调制速率，使得星座图上每个信号符号将绘有若干个过采样点，最终得到接收信号的过采样星座轨迹图。

时域特征的提取主要针对星座轨迹图和时域波形图，提取可以进行无线目标识别的特征。可以提取的特征如下：

1)I/Q偏移量提取。由于发射端的差异导致发射信号I/Q这2路有不一样的偏移。描绘无线设备的一个较为稳定的特征量是I/Q的偏移量。

2)形态特征提取。通过星座轨迹图的形态及分布，得到设备特征综合作用后在星座图上的统计结果。

3)时域波形图形态特征提取。设备的非线性和器件响应等影响因素会造成信号时域波形的变化和失真。针对时域波形图的形态特征提取可以很好地得到发射端的指纹特征。

频域特征的提取则主要是针对频谱分析后的结果，基于频谱上不同频点的特征点，得到频域特征。其中可以提取的特征主要如下：

1)信号的频谱特征。由于接收机接收的采样率大于信号的调制速率，可以得到信号带宽内的频谱特征，并反映出发射机滤波器的频谱特征。另外还可以得到信号带宽外的频谱特征，可以反映发射机的非线性程度。

2)载波频偏。前述方法可以估计出发射机和接收机之间的载波频偏。该频偏是发射机的重要参数之一，虽然它会受到多普勒频移的影响，但这种影响相对来说很小。

综上所述，上述特征共同构成了发射机的设备指纹。这是一个多维的参数，特别是星座轨迹图、时域特征和频域特征都需要用多个参数进行刻画。这些参数共同组成终端的指纹特征，形成设备不可仿冒和克隆的唯一身份标识。

2.3 大流量场景下的入网节点快速同步匹配

网络技术的快速发展使网络结构越来越复杂，在泛在电力网络的应用背景下，网络系统的正常运行因网络用户数量及应用范围的不断增大而产生一系列的问题，其中最突出的是终端识别效率问题，因网络流量过大导致网络性能降低[28-29]。

针对上述问题，本文提出对网络中大流量数据进行实时识别以及实现入网节点快速同步匹配的方法。根据不同入网设备支持的标准规范选择对应的分析方法，通过粗搜索及精确同步搜索的协同工作，实现与标准信号的精确匹配，寻找最佳同步点，达到入网节点的快速同步匹配，具体步骤如下：

步骤1快速遍历时间粗搜索。本文拟以快速傅里叶变换算法为基础，按照固定的变换搜索长度，对存储得到的数据文件进行一次快速遍历，获得对无线信号帧的时间粗同步。根据各无线通信协议标准，所有设备的无线信号均被封装在特定的物理层结构中，该帧结构的帧头是完全固定的，并且具有明显的频谱特征，能够被频域分析法(快速傅里叶变换算法)高效的粗同步。

步骤2无线信号帧精确同步。使用一组后端计算机本地生成的标准物理层帧头信号，基于复信号的共轭相关性方法，在粗同步的结果范围内，进行一次精确同步搜索，根据输入信号的短时功率求得在该搜索位置使用的相关性阈值。当且仅当共轭相关系数大于该阈值时，认为捕获到了一个无线信号帧。使用相关系数的幅度值的尖峰点位置作为精确同步的同步点结果。

3 身份信息安全传递机制

通过一定的接入认证措施可以阻断非法终端进入电力物联网，但是电力物联网终端层众多的信息交互节点给攻击者提供了大规模的攻击面，合法终端完全有可能被攻击者利用，在合法终端上进行端口扫描，发起网络攻击，将对电力物联网主站安全造成严重威胁[30-33]。如何对这些攻击进行审计和溯源，这是电力物联网安全防护中亟需解决的一个问题，本文先对适用于电力物联网海量终端的签名技术进行研究，再设计物联网平台、边缘物联代理及多层级联终端间的身份信息安全传递的方案，实施路线如图5所示。

图5 多层级联终端身份信息安全传递机制

3.1 适用于电力物联网海量终端的签名技术

泛在电力物联网终端设备数量庞大，信息交互节点众多，如何对大规模的终端身份信息进行安全传递，需要按以下几个步骤开展:

步骤1身份识别以及身份信息完整性校验。签名技术可实现终端的身份识别以及身份信息完整性校验。对终端的签名进行验证可以实现对终端的身份识别，只有拿到相应终端的公钥才能完成对签名的验证，这实现了对终端身份信息的完整性确认。

步骤2海量终端身份信息安全传递。可传递签名的目标是解决某些实际应用中签名的效率和安全问题。如图6所示，签名者对一个传递(图中的实线部分)进行签名，任何人只要得到签名者如V1顶点两边的签名，就可计算出2个与V1相邻顶点构成的边(图中的虚线部分)的签名，而无需知道签名者的私钥，这样极大地降低了签名量。由此可见，可传递签名的主要优点有：1)使所需签名量达到最小；2)隐藏关系链的中间细节；3)传递性特别适合对动态增长的关系图进行签名。这3个优点提高了签名和验证的效率，也提高了安全性以及保密性。

图6 可传递签名示意图

3.2 物联网平台、边缘物联代理及多层级联终端间的身份信息安全传递方案

图7 设备间安全身份信息传递示意图

指纹信息是电力物联网终端的唯一标识，可作为其身份的标识信息，通过指纹信息可以对电力物联网海量终端进行定位和溯源，这对于具有大规模终端的电力物联网业务来说至关重要[34-35]。本文通过研究终端指纹信息传递，来解决泛在电力物联网海量终端接入的轻量级认证问题，防止非法终端接入，在此基础上，对于合法终端上的非法行为进行审计，通过终端指纹信息对产生非法行为的合法终端进行定位和溯源。设备间安全身份信息传递示意图如图7所示，具体步骤如下：

步骤1多层级联终端指纹信息生成。指纹信息在级联终端之间上传，在传递过程中为确保指纹信息的安全性，结合指纹信息产生传递签名需要的公私钥对，采用上述传递签名，在传递指纹信息时加上签名，并在消息的传递路径上形成签名的传递关系。

步骤2多层级终端与边缘物联代理之间的身份信息传递。终端将指纹信息上传至边缘物联代理，边缘物联代理对终端上传的指纹信息进行记录，并与其业务信息进行绑定，方便后续的定位与溯源。

步骤3边缘物联代理与平台之间的身份信息传递。边缘物联代理将终端指纹信息上传至物联网平台，物联网平台将终端指纹信息及相关业务信息存入数据库。攻击者利用合法终端进行非法活动，物联网平台审计到这些行为后，借助大数据分析技术，利用事先存入的终端指纹信息，可对该终端进行定位与溯源。

4 接入认证和密钥管理技术

电力物联网业务依然会面临传统电力业务信息网络被攻击的风险，攻击者可通过仿冒合法作业终端，违规接入网络，从而获取相关业务及数据的访问权限，进而攻击主站业务，非法获取敏感数据，所以亟需采用一定的防护措施，有效阻断非法终端的进入[36-38]。与传统电力业务不同，电力物联网中存在着大量的低功耗、低计算能力的终端设备，现有的基于数字证书的计算成本较高的认证方式明显不适用于电力物联网，而且海量终端的数字证书管理相当繁琐[39-40]。

本文首先基于终端设备指纹识别过程产生的指纹数据建立的设备物理层特征数据库，在设备指纹到达认证系统后，与设备指纹数据库数据比对进入基于标识密码算法的接入认证流程；然后通过接入认证流程对非法终端设备进行阻断，对合法终端设备放行；最后针对标识密码算法应用过程中存在的密钥管理问题开展研究，实施路线如图8所示。

图8 终端层设备的接入认证和密钥管理技术

4.1 基于标识密码算法的接入认证

基于终端设备指纹识别过程产生的数据建立的设备物理层特征数据库，在设备指纹到达认证系统后(即设备发起通信连接)，上级设备将该设备指纹与设备指纹数据库数据比对，若数据库已有该指纹，则直接对该终端放行，如果查询不到该设备指纹，则进入基于标识密码算法的接入认证流程[41-43]。

本文采用标识密码算法SM9，并结合电力物联网终端层设备指纹完成设备的接入认证。与传统公钥密码一样，标识密码系统中每个终端有相关联的一对公钥和私钥。公钥为终端硬件指纹，与之对应的终端私钥通过数学方式生成。

以电力物联网终端层设备指纹等唯一标识作为公钥，无需数字证书，专属私钥安全分发。结合SM9标识密码算法和SM3摘要密码算法，可进行数据完整性验证，具有抗抵赖性。该技术真正以密码技术为核心，从根本上解决了泛在电力物联网的安全问题。基于标识密码技术的实施方案具有多重安全防护功能，身份认证具体步骤如下：

步骤1利用指纹产生SM9密码标识。标识密码系统以姓名、IP地址、电子邮箱地址、手机号码等用户的身份标识作为公钥，与之对应的用户私钥以数学方式生成。本文将电力物联网终端层设备指纹作为该设备的SM9算法公钥，公钥即为该终端的SM9密码标识。

步骤2利用公私密钥对实现身份认证。密钥生成中心(Key Generation Center, KGC)根据主密钥和用户标识计算出电力物联网终端层设备的SM9算法私钥。身份认证流程如图9所示。上级终端收到下级终端的签名及公钥后，通过公钥验证该签名，如果验证一致则代表对下级终端的身份认证通过，反之如果验证不一致，则代表对下级终端的身份认证不通过。

没有人会否认，支撑一座城市持续向前发展的动力是人才，而人才的培养要依靠教育。广州之所以有如此强劲的发展动力和发展态势，就在于高品质、有活力的教育为城市发展提供了一批又一批高素质的人才。

步骤3SM9密码标识更改，重新产生。下级终端的SM9密码标识更改，表示下级终端的公钥发生变化，即设备指纹发生变化，该终端需要重新认证，否则就会引入非法终端接入的风险，身份认证过程见步骤2。

图9 身份认证流程

总之，强身份认证通过以下方式得以实现，以泛在电力物联网终端层设备的指纹数据作为标识公钥，并分发专属私钥，省去了证书认证等繁琐的过程，使用私钥签名和公钥验签的方式，再结合挑战应答的机制。此外，认证过程无用户名密码传递，杜绝了弱口令、暴力破解和撞库攻击等安全问题，并且由于标识即是公钥，无需证书交换认证过程，在安全的前提下还兼顾了易用性。

4.2 结合信道特性的对称密钥生成和协商

无线信道由于其开放性容易遭受窃听、仿冒和篡改等攻击。在当前的无线通信系统中，传统的安全机制得到了普遍使用，但是他们面临着密钥分发困难、对于资源受限的大规模网络不适用等问题，难以满足未来无线通信对安全的需求。

针对上述威胁，本文研究信道密钥生成方法，系统模型如图10所示。该模型类似于传统加密方法的模型，只是密钥获取的方法不同。Alice与Bob不再通过密钥分发来获得加解密的密钥，而是从无线信道中分别提取信道特征，并在公共信道上进行少量协商而最终获得一致的对称密钥。

图10 信道密钥生成方法的系统模型

图11 无线信道密钥生成流程图

步骤1获得信道特征测量值。Alice和Bob对无线信道分别探测获得信道特征测量值XA与XB。针对信道特征测量值的非互易性以及冗余性等问题，Alice和Bob通过预处理算法f(·)对XA与XB处理分别得到信号YA与YB。

步骤2信道特征量化。YA与YB被转化为0、1的二进制比特流QA与QB。定义QA与QB为初始密钥，并纠正或去除初始密钥中不一致的比特。

步骤3信息调和。Alice和Bob在公共信道上进行密钥协商，得到协商后的密钥IA与IB。信息调和中的公共信道密钥协商泄漏了部分密钥信息。此外，初始密钥中可能存在冗余信息。

步骤4隐私放大。根据对初始密钥熵估计的结果以及信息调和步骤中密钥协商的信息，对IA与IB进行置换混淆并随机抽取出一组128 bit或256 bit的候选密钥KA与KB。而窃听者无法获取关于KA与KB的任何消息。

步骤5密钥验证。Alice和Bob进行是否生成了完全一致的对称密钥的确认。如果验证成功，则KA与KB成为最终的安全密钥;否则，Alice和Bob需要重新开始密钥的生成过程。

5 性能分析

本文提出了一种基于设备通信模块的物理指纹特征的终端安全认证方法，采用接收信号基带I/Q星座轨迹图作为识别设备身份的依据，提升了应用稳定性和可行性，并具备良好的抗噪容错性能。通过在调制域上信号解调，并提取设备指纹，能大幅度抑制噪声的影响，使结果更加稳定可靠；在具体应用时，无需彻底重新设计接收机，本文方案实现时只需在原接收机的基础上进行一定的改进，利用原接收机的基带信号进行处理即可。与现有技术相比，可在有效保障指纹特征唯一性的基础上，使提取的指纹特征结果更加稳定可靠，易于工程化应用。

针对海量的计算、存储、运行空间等资源受限的全业务泛在电力物联网终端面临被恶意攻击的风险，本文提出了基于轻量级密码算法的终端隐私保护技术和组件完整性保护技术，一方面保证终端身份标识等隐私信息的安全，另一方面保证终端运行环境的可信。通过上述技术的研究，解决了在更低的资源及更低的能耗要求下，全业务泛在电力物联网终端的自身安全防护问题。