水电厂智能终端网联安全方案设计与实现
2022-11-15曾凡斐宋春地江大维安佳行
曾凡斐,宋春地,江大维,安佳行
[1.国能智深控制技术有限公司(北京市电站自动化工程技术研究中心),北京市 102211;2.北科信控科技有限公司,北京市 100081;3.北京科技大学,北京市 100083]
0 引言
在信息化时代,各种智能终端的应用成为多数产业进步与发展的关键基石。随着水电厂智能改革的深化,智能终端设备的需求呈上升的趋势。随着当前世界形势的不断复杂变化,对电力供应的安全可靠性的要求提高,电力安全作为工业的主导地位比以往任何一个时候都更加重要。这些安全问题都依赖于基于公钥密码体制的电子认证技术的创新和突破来解决,满足水电厂智能终端联网应用需求的电子认证技术、产品和服务,是保障水电厂自动化业务安全保障工作有序开展的重要内容。
1 相关工作
为了研究和发展水电厂的建设,QIAO等人在2012年构建了包含智能水电厂的框架和层次结构的智能数据信息统一平台,统一设备间通信接口和协议,完善并优化了工厂信息传输和共享,增强系统的实时性和可配置性[1]。ZHAI等人为了保障智能终端的数据安全,提出基于SIM1数据加密技术、PKI数字认证技术和SSL通信技术的智能终端与主站系统之间数据安全保护模式的实现技术[2]。LIU等人基于智能终端携带的敏感信息容易成为攻击者的焦点,提出了一种新的透明认证和加密措施来保护智能终端上数据的机密性和完整性[3]。2014年,在电力二次系统规定中,我国水电厂的5G网络系统为防止攻击者截获或欺骗无线信号,需要满足相关安全防护要求[4]。为了支持和发展全球能源互联网战略[5],保护水电协同发电的通信安全,全球能源互联网研究院的Ma等人搭建了ICPN(CHWG-Information and Communication Protection Network)的整体功能架构,建立了的特定CHWG-ICPN系统,此系统基于水电和风电协同调度系统,解决了CHWG的信息孤岛问题、海量信息控制和预处理问题、信息滞后问题、主动安全防御等问题。2018年,Gao等人为解决数据通信集中到认证中心的访问认证增加的计算和通信成本,提出了一种去中心化分布式能源互联网认证方案,引入区块链思想,再经过请求认证和确认认证完成终端节点的智能合约接入[6]。
由于越来越多的智能终端接入智能控制中心,缺乏固有且有效的安全机制,控制中心和智能终端之间的通信容易受到网络攻击,Su等人提出基于相互认证以及改进的基于SM2的密钥协商方案,使用最小的计算量解决网络攻击[7]。鉴于水电厂系统的数字化让电力电子转换器成为物联网潜力,但随之而来的网络安全风险,Thanga Raj Chelliah等人设计了一个并行控制框架,增强系统的动态性能,且一旦受到网络攻击,模型预测控制器与速度控制回路物理隔离,同时比例积分控制器保持转换器运行的连续性[8]。同样针对许多较小的能源生产厂商尤其是水电厂生产中遇到的网络安全问题,来自SPEAR联盟的Panagiotis Sarigiannidis等人调查并开发了一种先进的安全平台产品,用于检测信号、取证调查并预防可能的网络攻击,及时将检测到的异常和差异发送给安全操作员,降低可能的风险和损害[9]。Rui等人提出一种轻量级的SM7认证密钥管理方案,以新的双层网格部署模式极大地提高了信息的网络连通性和抗捕获性能[10]。Zou等人在2021年结合电力物联网的架构,总结了智能终端的内涵和基本特征,并根据工厂等智能终端将面临的安全风险,总结出风险特征,提出终端加密认证、终端数据隐私保护、非法无线通信链路检测和终端漏洞检测等安全防护对策[11]。Pang等针对工业智能终端产生的海量数据,提出了一种通过利用边缘网络物理层信息来提高访问分类准确性的解决方案[12]。采用加权投票方案进行基于信道状态信息的身份验证,证实了在不增加单个设备的样本量和计算复杂度实现了系统的快速和低复杂度的安全访问要求。
2 设计方案
水电站智能终端设备通信技术路线基于签名验签服务器、密码机、安全认证网关等基于密码的基础设施构建X.509安全认证体系见图1,为水电厂智能终端和水电厂自动化业务平台系统提供密钥生成、证书申请、签名验签、加密解密等密码服务,为业务系统远程升级、传感器终端信息上传等端云交互场景提供机密性、完整性和可靠性保护。
图1 技术架构Figure 1 Technology Architecture
2.1 设计依据标准
《证书认证系统检测规范》(GM/T 0037—2014);
《证书认证密钥管理系统监测规范》(GM/T 0038—2014);
《SM2 椭圆曲线公钥密码算法》(GM/T 0003—2012);
《SM2 密码算法使用规范》(GM/T 0009—2012);
《数字证书认证系统密码协议规范》(GM/T 0014—2012);
《基于 SM2 密码算法的数字证书格式规范》(GM/T 0015—2012);
《基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范》(GM/T 0034—2014);
《信息安全技术 SM4分组密码算法》(GB/T 32907);
《信息安全技术证书认证系统密码及其相关安全技术规范》(GB/T 25056—2010)。
2.2 X.509 PKI体系
X.509是由核心层、管理层和服务层构成的数字证书认证体系。
核心层:部署离线根证书签发应用管理系统、证书签发应用管理系统和主KM密钥管理系统。其中,KMC根密钥证书签发与管理应用服务系统架构中主要包括主KM数据库服务器集群和根密钥证书签发应用管理应用服务系统。证书密钥签发和服务密钥管理数据库服务应用系统中是由证书密钥签发数据库服务应用系统、证书密钥签发管理数据库服务应用系统、CA数据库服务子系统和主LDAP目录数据库服务管理应用系统等多个单元组成的系统部分共同构成。
管理层:由部署的证书注册和管理应用数据库系统和证书注册及管理应用系统数据库等共同部分组成。证书用户注册业务系统RA除了一定要时刻保证能与其他CA认证身份管理认证服务系统之间进行有效的安全业务数据交换通信、进行各种有效证书业务数据的实时交互及验证操作外,还可按实际需要保证与本系统和其他系统各认证业务系统间可进行安全有效的业务信息数据交互,实现身份认证管理认证业务系统与系统其他证书业务系统进行有效快速的信息安全业务对接,使认证业务系统管理者人员和其他证书用户均可使用更加方便安全多方面、快捷有效的同时可获取、使用数字证书。
服务管理层:部署证书注册服务系统RA的证书受理服务点LRA、用户证书服务子系统和用户证书状态自动查询服务系统。证书服务受理服务点的证书管理员操作的用户证书查询服务系统形成证书受理服务点服务系统;内网部署用户自助服务的系统,自助查询服务的系统一般由发电厂面向所有内部业务人员用户提供。从内部LDAP目录管理服务的系统和内部OCSP管理服务的系统一起组成证书状态的查询系统。
X.509数字证书认证体系构架设计如图2所示。
图2 X.509数字证书认证体系架构Figure 2 X.509 digital certificate authentication system architecture
2.2.1 根证书签发管理系统
根证书签发管理系统是整个CA认证体系的信任源,其安全性要求最高,需要离线部署,不得与任何其他子系统有任何网络连接。
根证书签发管理系统由根CA加密机和根CA管理系统组成,系统架构图如图3所示:
图3 根证书签发管理系统架构Figure 3 Root certificate issuance management system architecture
根证书签发管理系统的主要功能包括:
(1)根CA证书的生成。
首先根CA证书信息由根CA管理员输入,然后使用根CA加密机中指定的密钥对,最后签发根CA自签名证书。
(2)根CA证书的密钥。
根CA系统支持2048位RSA的密钥、256位SM2的密钥、256位ECDSA和256位ED25519。
(3)根CA证书的导出。
根CA管理员可以在线查询并自动导出用户指定的根CA自签名证书。
(4)根CA证书的更新。
根CA管理员在重新注册生成的根CA密钥校验对后,可以立即使用根CA证书管理系统自动更新指定密钥的根CA自签名证书。
(5)二级CA证书的签发和撤销。
轮作休耕对小麦和油菜水分利用效率和产量的影响……………… 王建国,路战远,程玉臣,张德健,张向前,武海明,赵丽丽(29)
根CA管理员系统通过使用根CA证书签发管理系统,导入签发文件或通过直接输入导出二级CA证书。
(6)交叉证书的申请。
向任何其他的根CA系统申请交叉证书时,证书上的请求文件也将可视为完全是由根CA系统的管理系统中产生。证书的请求文件在自动产生成功证书后,需要系统将产生此成功证书的证书请求文件自动的提交给所有的需要进行证书相互的交叉的认证的系统的根CA系统,并将自动的签发成功该证书。
(7)交叉证书的签发和撤销。
根据来自与其他的根CA验证管理应用系统之间产生出来的交叉证书的证书签发请求文件,根CA认证管理的应用系统本身也同时可以实现自动调用到其他的根CA加密机,签发导入证书和签发导出证书的交叉证书,实现了与在其他证书系统和信任的证书体系过程中实现的证书的交叉认证。
(8)ARL的签发。
如客户需申请撤销指定的二级CA证书或交叉证书,可选择使用根CA证书管理系统自动签发证书并自动导出至ARL。
(9)审计。
(10)根CA加密机。
根CA加密机能提供的一些主要加密功能主要应用还主要包括:管理员卡的自动初始化、操作员卡的自动创建、密钥密钥对号码的自动生成、密钥对自动的备份以及加密机的自动配置及管理等。
根CA系统加密机角色划分如图4所示。
图4 根CA系统加密机角色划分Figure 4 The role of the encryption machine in the root CA system
根密钥秘密共享者:主要工作的主要作用之一是负责为用户妥善保管根CA密钥的备份,由根密钥管理员和其他相关部门的管理者成员们共同组成。根CA加密机预产生根CA密钥,采用的加密方式一般是按5门/3门限的方案来分割备份密钥,其中私钥是用加密机主密钥(MK)进行保护。分割后获得的部分密钥会使用管理员提供的口令进行加密或保护,并且被存放在一个IC卡系统中,分发给了各个管理员。5个密钥管理员可以分别申请持有5/3门限分割后剩余的部分密钥。
根密钥管理员:初始化加密机、生成加密机密钥卡内包含的根密钥、备份加密机密钥。恢复单根CA加密的数据时,满足恢复密钥条件要求的前五个密钥管理员数量应当最少控制为每人少于三人。五个密钥管理员人数必须至少与至少有其中一个指定密钥的三人一起开启了密钥设备,从加密机中恢复根CA加密;当密钥到了最后的使用年限后,就需更新原密钥对并废除原密钥。
根密钥操作员:启动加密机服务。
根证书系统管理员:主要工作业务功能主要业务包括根CA证书系统环境文件的自动初始化、根CA系统证书系统申请证书的自动审核并签发、交叉根CA证书系统申请证书文件的自动审核生成、交叉根CA系统证书、运营根CA系统证书、ARL、配置与查看加密本上位机参数证书文件的自动审核及签发、根证书系统日志内容文件的管理。
不限数量的根CA证书一级证书和二级根CA证书均是直接由根CA系统签发,即可以为×××签发内部信任域的证书链和外部信任域的证书链。
为进一步实现高效安全准确的密钥数据管理,CA系统用户在系统初始化与建设任务完成无误后,应按规定及时开启备份和加密机,密钥分管者需分别各自保管好备份密钥卡中和备份机地上所有的密钥数据,并相应制定相关密钥数据安全管理工作制度安排和策略。
2.2.2 证书签发管理系统
CA证书管理系统、CA签发服务系统、CA证书数据库、CA证书加密机库以及主LDAP证书目录管理服务等系统模块组成的证书签发生命周期管理系统,实现了证书生命周期统一管理,包括证书初签发、证书的重审签发、更新、撤销、冻结、解冻、密钥自动恢复等。
证书签发管理系统架构如图5所示。
图5 证书签发管理系统架构Figure 5 Certificate issuance management system architecture
证书签发管理系统的主要功能包括:
(1)CA管理系统。
1)接受并处理来自RA注册系统的业务请求;
2)系统在处理RA的转发请求成功后,CA签发系统处理有关证书/CRL的签发、密钥恢复等交易中的转发请求。
(2)CA签发系统。
1)支持不同终端类型的X.509单证书、双证书(加密证书和签名证书)的签发,支持国密SM2、RSA算法,并存入CA数据库;
2)签发CRL并存入CA数据库;支持批量申请、批量签发、批量制作数字证书;更新到期证书;证书的存储介质支持:UsbKey、IC卡、移动硬盘等;
3)技术标准支持:PKCS#11、CSP等。
(3)CA数据库。
1)至少满足100万内部用户的需求的数据存储量;
2)用于用户信息、用户证书信息、CRL信息的存储;
3)用于各类管理员身份信息、管理员权限信息、业务策略信息等数据的存储;
4)定期归档和自定义归档证书;
5)备份与恢复数据库;
6)其他辅助功能。
(4)CA加密机。
1)生产的密钥是包括安全通信用密钥对等和签发证书用的密钥对等组成的多种非对称关系的密钥对;
2)用于CA管理系统与RA、KMC的安全通信的服务;
3)定期归档和自定义归档证书;
4)备份与恢复数据库;
5)其他辅助功能。
(5)证书模板管理。
1)增加证书类型;配置新的签发的证书类型项下的所有的证书主题项和所有证书主题扩展项等功能;在配置CA所新的签发的证书类型下的有效期、证书主题、证书类型、密钥长度等方面,支持自定义证书模板;
2)证书模板类型中的主题项和扩展项的修改;证书模板的删除。设置签名证书或加密证书,或设置双证书。
(6)权限管理。
1)管理员角色包括:超级注册管理员、审计认证管理员、业务管理员等,需要同时有更多的人参与共同参与证书的注册、申请、审核、签发等一系列关键操作;
2)只有具有审计的角色管理员后才能开始进行审计的操作,审计的管理员可在审计系统的初始化操作时自行生成,不受局限于审计其他角色管理员,可随时对审计其他的审计员角色进行管理;
3)管理员的角色、权限可以随时进行调整。
(7)审计管理。
1)日志记录系统的下列各项工作内容具体工作应主要包括:系统的运行过程日志、账户的管理过程日志、证书的申请、撤销列表和日志、证书发放量、事件来源人及事件产生者列表;
2)审计日志支持的多种查询方式,包括多条件查询和复合查询;
3)审计结果支持报表的展现方式,支持按照时间、操作员等多种排序方式;
4)提供可以进行自动跟踪、统计记录和自动分析等涉及计算机信息系统操作安全管理的行为、人员、时间序列等信息记录分析的事件级的信息系统操作及安全风险审计分析功能;
5)不同角色权限下的审计管理员只负责执行与其他角色功能权限进行权限分离设置后产生的审计功能;
6)日志信息支持手动备份和自动备份两种归档方式。
2.2.3 证书注册管理系统
证书注册管理系统由注册管理系统、RA数据库、RA加密机组成,系统架构如图6所示。
图6 证书注册管理系统架构Figure 6 Certificate registration management system architecture
证书注册管理系统的主要功能包括:
(1)注册管理系统。
1)RA系统的操作、管理界面为B/S模式,支持IE9以上浏览器、火狐浏览器和谷歌浏览器;
2)接受来自用户服务系统和受理点(管理域)服务系统的申请数据;
3)存储用户证书信息注册信息;
4)将各类用户注册信息转发到CA管理系统。
(2)RA加密机。
1)生产用于安全通信的非对称密钥对;
2)提供用于RA注册系统与运行CA系统、其他安全通信服务;
3)提供用于数字签名和加密、解密的服务;
4)其他辅助功能。
(3)权限管理。
1)RA系统中的审计管理员角色主要是包括:超级管理员、审计管理员、业务管理员等;
2)RA系统支持多管理员的分层、多级管理。
(4)审计管理。
1)日志中的日志记录内容具体详细的记录包括:系统运行日志、账户列表日志、证书列表日志、事件来源人列表和事件产生者。
2)提供一个对所有涉及计算机信息系统操作安全方面的所有行为、人员、时间等信息记录信息进行动态跟踪、统计整理和综合分析处理的事件级的计算机信息操作系统安全审计的功能;
3)系统进程中重要操作及事件会被统一地保存在日志数据库中,并由服务系统自动记录保存并维护;
4)系统的操作人员和管理员每一步关键操作都要按照上述格式形成一条操作日志;
5)系统的初始化工作过程中产生一个审计管理员,不能直接操作系统其他业务管理及业务,其工作权限应独立存放于系统其他各业务及管理部门人员和相关业务系统操作人员。
2.2.4 目录服务系统
LDAP目录查询服务设备系统是PKI系统应用中使用的一个目录查询服务系统设备,为企业用户系统提供证书查询、CRL目录查询、CRL存储、证书下载、CRL下载等服务功能,支持LDAP V2、V3标准。
LDAP目录服务系统包括:主目录服务系统、从目录服务系统和CA签发系统等组成。
LDAP目录服务系统架构图如图7所示。
图7 目录服务系统架构Figure 7 Directory service system architecture
(1)主要功能。
LDAP目录服务系统的功能主要包括:
1)证书发布;
2)CRL发布;
3)证书及CRL的主从复制,可支持单服务器复制、一主一从复制、一主多从复制、多主多从复制、级连复制等模式;
4)证书查询;
5)CRL查询;
6)CRL存储;
7)以及相关的权限管理、审计功能、配置功能等。
(2)目录树设计。
目录树的结构应有严格的要求,以方便数据的拆分和向下复制分发,便于各地应用系统的使用。目录树的结构,完全取决于实际的分布方式,以及应用系统的使用方式,但一般应遵循以下划分原则:
1)目录树的设计,要以应用为依据,一般从各地的从目录应该具有哪些数据来考虑,如果各地域的数据互不干扰,本地的应用系统一般都使用本地的数据,那按地域划分将是一个较好的选择;
2)目录树的设计,要考虑划分的方便,当多个地域的从目录需要有数据重复时,要把这些重复的数据划分成子树,以方便复制配置;
3)目录树的设计,要尽量平均每个树下的条目,尽量避免一个子树下有很大的条目数,这样将无法进行划分;
4)目录树的设计要有意义,不要按无意义的维度来划分;
5)目录树的设计要考虑到应用系统实现的难易程度。
(3)安全性设计。
X509 PKI体系建设时,以下安全目标是目录服务器的首要需求:
1)防止数据被外部黑客篡改、删除。
2)防止数据被内部未授权人员篡改、删除。
3)可以及时、有效地恢复数据被侵害目录服务器的所有数据。
因此,总的说来目录服务器的安全性设计目标就是保证发布使用的服务器和只被外部访问的服务器的完整性、可用性等安全问题。
针对以上要求,数字认证提出了安全性的解决方案:
1)防止黑客入侵方案:从物理上采用一系列防火墙等手段来限制和防止外部对主目录服务器主机的访问,只接受固定端口的固定应用程序对该主机的上传、修改、更新证书及CRL等操作;对LDAP的部分操作权限由数据库的访问权限来担负,从而很好地防止了黑客入侵的问题。
2)可以及时、有效地恢复数据被侵害目录服务器的所有数据方案: LDAP服务器自带的复制功能来实现在其他机器上实时备份的功能,即使用主从目录服务模式。一旦主服务器崩溃,则由从机复制到主机上来。另外从机是只读服务器,可以防止外界对其进行恶意的修改、删除等。
主目录服务器是位于安全区,其安全性是有保障的。从目录服务器位于DMZ区,供公众查询和下载服务,但公众无法对其更新和删除等涉及安全性的操作。一旦从目录服务器遭到破坏,主目录服务器又可以随时把数据同步到从目录服务器。
2.3 终端联网安全信任中心
终端联网安全信任中心是智能网联业务和PKI系统连接的桥梁,支持面向终端网联业务平台提供在线证书的申请、更新、注销等请求转发功能,具备二次开发能力,支持基于业务场景的二次开发能力。
终端联网安全信任中心有两种实现方式,第一种为设备终端直接向信任中心发送证书申请请求,信任中心再向业务平台通过token鉴权该设备是否有申请证书的权限。第二种为设备终端直接向云控平台发送证书申请请求,云控平台鉴权后将该请求转发至终端联网安全信任中心,信任中心组装证书申请请求,向PKI系统申请证书,架构如图8所示。
图8 终端联网安全信任中心架构Figure 8 Terminal networking security trust center architecture
终端联网安全信任中心支持与X509 PKI体系和业务平台安全连接,保证传输数据的安全性,为各个设备终端提供证书申请、签发、更新、注销等服务。
该系统是B/S架构,可以提供证书管理服务后台管理,提供对用户或管理员身份的身份核验、权限控制、用户管理等功能。
终端设备通信证书系统框架如图9所示。
图9 终端设备通信证书系统框架Figure 9 Framework of terminal equipment communication certificate system
数字证书CA身份认证平台为水电站智能终端设备提供X.509证书服务,通过平台端部署X.509 PKI体系、对称密钥管理系统以及密码机,为智能终端提供证书服务和密码服务,该平台的建设解决了终端联网场景下的端-云交互的身份认证难题,同时实现了数据完整性保护、数据私密性保护、用户隐私性保护等安全需求。
终端设备联网安全信任中心接入X.509 PKI体系,经过CA证书的生成、密钥、导出、更新和二级证书的签发与撤销,以及ARL的签发、审计、CA加密机通过证书注册管理系统为终端提供X.509证书服务。终端设备通过访问水调云控平台申请证书,由云控平台完成对终端设备的鉴权,鉴权通过后将转发终端设备联网安全信任中心,信任中心组装证书申请请求,X.509 PKI系统完成证书的签发。或者通过从设备终端直接向信任中心发送证书申请请求,信任中心再向业务平台通过token鉴权该设备是否具有申请证书的权限,完成证书申请。
终端安全中间件如根证书签发管理系统、证书注册管理系统、目录服务系统等实现水电厂智能终端的证书应用及密码服务应用集成等相关服务。
3 技术难点
3.1 针对终端收发消息的延时
水电厂终端设备使用数字证书对路侧消息进行数字签名再广播,需要把数字签名与传输新增时延控制在极小的范围内,保证签名数据传输的实时性。使用轻量级数字证书,相对于传统X.509证书,水电厂智能终端使用的轻量级应用证书可以进行快速数据签名验签,将数据安全处理新增时间控制在极小的范围内。
3.2 针对云控平台身份的证明
能够控制水电厂智能终端设备的状态,例如一次调控频率频。云控中心需要先证明自己的可信身份,之后才能对水电厂终端进行指令控制。应用证书机构向云控平台签发身份证书,该身份证书中描述了授权云控平台拥有的控制终端的权限。云控平台利用其身份证书对该控制指令进行数字签名,最后将签名消息广播出去。终端接收到签名消息,首先验证来源的公钥证书,进而验证消息签名,最终获得控制指令,并执行该控制指令。
4 结语
随着新一代信息技术的不断发展进步和水电应用改革的深化,对未来系统的功能和性能将会提出更高的要求。各类终端设备使用数字证书对其他设备或平台的消息进行数字签名再广播,需要把数字签名与传输新增时延控制在极小的范围内,保证签名数据传输的实时性。本系统使用轻量级数字证书的应用突破了该技术难题,同时具有良好的可扩展性,采取统一设计、分布建设的原则,所有软件系统除了要满足当前阶段水电站智能终端数字证书系统的建设要求外,还应考虑今后系统规模扩展的需求。在后端的云计算通信和证书系统模块设计布局上尽量采用有层次性、模块化布局的模块结构,能够用户根据各种业务需求而进行的灵活组合配置,同时这也会使云终端设备数字证书管理应用平台系统及证书电子数据签名验证系统等具有最大可伸缩扩展能力,能够满足将来的业务诉求。因此基于水电厂智能终端物联网设备的身份信息认证管理系统和安全信任认证系统,无疑将有助于为推进智慧水电信息保障安全领域的信息技术研究、发展推广和实际应用工作提供一种具有独特创新理念的信息技术实现系统思路模型与一套更全面、可靠易用的应用技术解决方案。
