薛激光,王珺,张笑怡,范宇辰,瞿俊吉

(1.国网辽宁省电力有限公司营销服务中心(计量中心),沈阳 110168;2.国网辽宁省电力有限公司沈阳供电公司,沈阳 110052)

0 引 言

随着新型电力系统建设推进,多样化的新型电源、负荷无序性、随机性接入低压配用电网,导致低压配用电网供需两侧波动性增强、新能源就地消纳压力大。借助数字化技术,传统低压配电网正向信息物理高度耦合的智慧配电网形态发展,催生了负荷高峰时段需求响应、光储充一体化微电网柔性控制、车桩网能量互动等“源网荷储”友好互动,电网异常与故障精准感知等新业务[1-2]。智慧配电网离不开一张灵活接入、高效安全的本地通信网络,承载低压配电网各类业务终端电量计量、运行控制、环境感知等异构数据交互[3]。

低压配电网线路复杂、智能智能终端设备点多面广、类型繁多,采用高速电力线载波技术(high speed power line communication, HPLC)随低压线路延伸至用户负荷侧,具有多元设备接入灵活、投资小、易于部署等优势[4]。目前,高速电力线载波技术已采用统一数据链路层与无线射频通信技术(radio frequency, RF)融合形成一张本地双模自组织通信网络[5-9]。采用双模混合路由协议,能够实现载波与无线两种通信方式多层级中继转发。双模通信设计了中央协调器(central coordinator, CCO)、代理协调器(proxy coordinator, PCO)和站点(station, STA)三种网络节点角色,CCO具有唯一性,PCO具有多级级联特性,STA可根据最末端接入需求向PCO角色转换,从而实现多级自组织弹性网络。本地双模通信自组织网络可覆盖从配电变压器、低压线路直至扩展到用户表计等整个台区。

本地双模自组织通信网络可根据业务覆盖需要灵活伸缩网路拓扑、覆盖灵活,便于终端侧网络自动识别与即插即用,但其开放互联、多级中继的特点给网络安全防护带来诸多困难。一方面,本地自组织网络对外开放,来自用户侧分布式光伏逆变器、充电桩、园区微电网能源控制网关等大量外部非可信资产接入,导致网络易受到外部非法攻击,如挟持终端设备进行网络渗透,采取中间人方式嗅探获取重要的电网与用户隐私数据,或利用大量终端设备0day漏洞发起针对网络或者平台的DDOS攻击。另一方面,低压配电网本地双模自组织网络频段资源、功耗受限,随着本地自组织网络级数增加,多次跨越本地通信、远程通信的集中式安全交互机制将给网络带来难以承受的资源消耗负担。

近年来,针对低压配电网网络安全防护技术吸引了大量学者开展相关研究,取得了诸多成果。文献[10]针对用户用能互动应用领域,从保密性、完整性和可用性等信息安全需求出发,提出了高级量测系统可用性评估、密钥管理和异常行为检测方法。文献[11]提出一种适用于费控电能表停复电、远程校时等敏感业务的集中式安全防护方案,该方案采用专用加密芯片实现了包含用电信息采集主站、采集终端、电能表三级身份认证及数据加密。文献[12]提出了一种基于LU对称矩阵的新型密钥管理方案,该方案可应用于主站、集中器及电能表三者之间快速安全集中式认证。然而,上述研究主要针对现有低压配电网集中式加密认证算法及其轻量化改善方法,未考虑本地自组织网络多级拓扑下安全交互带来的资源消耗问题。同时,现有研究一般针对集中器与末端设备的身份互信,未考虑本地自组织网络最边缘代理PCO与终端的双向认证。

综上,文中针对本地双模通信动态可扩展网络拓扑开展身份认证方法研究,在确保安全防护效力前提下,降低安全机制处理时延及对网络通信资源的消耗。首先,文中介绍了低压配电网HPLC+RF双模自组织通信网络组网架构,分析了现有网络安全防护措施在应对低压源网荷储互动外部设备接入方面存在的不足。接着,提出了一种适应本地自组织通信网络多级传输的高效身份认证方法。最后,通过对文中提出的身份认证方法进行安全防护性能分析及仿真计算后,得出全文结论。

1 现有低压台区本地设备接入身份认证问题分析

低压台区是指一台变压器的供电范围或区域,包括从变压器一直到用户侧,是直接面向电力客户的一个环节。低压台区中包含了台变部分,低压分支线路部分以及用户部分。台区在每个分路配置智能断路器/智能漏电保护器或者分路监测单元,在站房内和配变本体配置测温等传感器设备。在线路侧,配置智能断路器/故障监测单元。在用户侧,除常规动力、照明负荷,还包括分布式新能源和充电桩等设备(见图1)。

图1 低压配用电网应用场景

低压配用电网台区采用HPLC+RF双模通信自组织网络,利用无线电磁波与电力线载波为传输媒介,融合HPLC和无线RF通信,为台区边端设备之间提供数据交互的通信网络。该自组织网络采用开放式体系架构,以中央协调器CCO为中心,通过无线电磁波与电力线载波连接所有代理协调器PCO和站点STA,形成多级、弹性可扩展的网络拓扑(见图2)。

现有用电信息采集系统已制订了适用于电能表数据采集的身份认证系列规范。如图3所示,文中称第N级PCO为末级PCO、第N-1级PCO为前级PCO。图中利用电力线载波通信的CCO与STA之间信息交互采用基于地址信息的白名单认证机制,实现了CCO对STA身份合法性的认证[13]。主站与终端之间信息交互则按照Q/GDW 10376.1—2019 《用电信息采集系统通信协议 第1部分：主站与采集终端》规定的非对称密钥算法和对称密钥算法的混合密码系统[14];其中对称密钥算法主要用于通信数据的加密、解密,非对称密钥算法主要用于身份鉴别、密钥协商、对称密钥的更新。而主站与STA之间关键业务信息交互时,采取基于安全加密卡的远程验签方式实现STA对主站合法性的认证[15],如费控电能表停复电指令。

图2 HPLC+RF双模通信自组织网络拓扑

图3 低压台区本地设备接入现有安防措施示意图

从以上主站、CCO、各级PCO和STA之间身份认证流程来看,现行标准规范已建立较完整的低压台区设备安全认证机制。但随着源网荷储互动业务的发展,低压配用电网多元业务终端将大幅增加,跨域业务协调互动愈来愈紧密,“表前”、“表后”归属多投资主体设备接入对现行标准的安全防护体系带来冲击。

一方面,当接入外部资产时,仅采用基于白名单机制的本地身份认证安全防护强度不够,过去电能表、采集器均为电网投资资产,在现场安装应用之前已经经过严格的检定;而针对用户投资的外部设备接入,现有由电网主导的安全检测管理要求难以覆盖,可能存在多级PCO、STA被恶意挟持、多级PCO进行协议嗅探、中间人攻击的风险。

另一方面,若对外部设备接入身份认证流程进行加强,目前可供参考的是文献[14]主站与采集终端间身份认证流程,该流程属于集中式认证方式,不适应本地外部设备接入。因为随着位置分散多元终端接入,本地双模通信自组织网络拓扑级数加深,身份认证协议传输转发次数增加,集中式认证方式将增加更多的回传链路带宽消耗,同时由于逐级传输的各级PCO均涉及处理时延,身份认证时间将逐级增长,影响安全交互流程整体执行效率。

2 适应动态拓扑调整的二阶段身份鉴别方法设计

为了解决现行低压台区设备接入身份认证不能完全适应未来外部设备接入需求的难题,本节设计一种可满足双模通信自组织网络拓扑动态调整的身份鉴别方法,该方法旨在利用尽可能少的本地通信传输资源,实现STA与双模通信自组织网络之间的身份互信。仍考虑终端通过N级PCO中继到达CCO的典型接入场景。文中设计的分布式认证流程见图4中虚线框出部分。文中提出的身份鉴别方法分为两个阶段。第一个阶段为CCO至前级PCO信任传递授权,第二阶段为前级PCO、末级PCO、STA对等身份认证(见图4)。

图4 基于信任传递的HPLC+RF双模通信自组织网络身份认证方法流程图

2.1 第一阶段信任传递授权流程设计

本阶段流程描述如下：

1)网络发现。STA上电后通过搜索载波及无线网络,发现代理距离其较近、信号质量好的末级PCO代理信标,获得入网参数并选择载波或无线请求入网。

2)STA地址信息透传。STA入网后将MAC地址信息通过双模网络传递至CCO。

3)STA白名单认证确认(透传)。CCO通过查找白名单初步确认该STA为允许接入终端,若确认其为合法地址,则将白名单确认结果发送至末级PCO。

4)CCO信任授权末级PCO、STA证书传递。CCO从主站证书管理系统请求末级PCO及STA身份证书发送至前级PCO。至此,前级PCO将被CCO授权作为第三方认证,并与末级PCO、STA构成三级对等身份认证,完成末级PCO和STA之间的身份双向互认定。末级PCO获得STA地址确认结果后判定是否允许STA进入身份鉴别阶段。

2.2 第二阶段对等身份认证流程设计

1)前级PCO发送身份鉴别启动指令。

前级PCO在获得CCO发送过来的末级PCO及待认证STA身份证书后,正式获得发起三方认证的授权,向末级PCO发送身份鉴别启动指令,连同自己的身份证书发送至末级PCO。

P-PCO→F-PCO：CertP-PCO

(1)

其中,P-PCO表示前级PCO,F-PCO表示末级PCO,下同;CertP-PCO为末级PCO证书。

2)末级PCO发送身份鉴别启动指令。

末级PCO在收到前级PCO的身份鉴别启动指令后,向STA发送身份鉴别启动指令,至此,前级PCO、末级PCO以及STA均做好了对等认证准备。在末级PCO发送身份鉴别启动指令的同时,连同将自己的身份证书CertF-PCO发送至STA。

F-PCO→STA：CertF-PCO

(2)

3)STA身份鉴别请求。

STA在接收到来自末级PCO的身份鉴别启动指令后;生成随机数RNSTA,获取身份鉴别启动指令到达时间戳TSF-PCOSTA。本地双模通信自组织网络按照网络协议规范[13,16-17],CCO、前级PCO、末级PCO以及STA均已通过物理层信号同步方式与网络基准时间保持时间同步[18-19]。接着,STA将自身的证书CertSTA、随机数RNSTA、时间戳TSF-PCO→STA,以及它们的签名加密数据返回给末级PCO,STA采用的签名算法已在末级PCO的证书CertF-PCO中申明,且加密密钥为末级PCO的公钥PubF-PCO。

STA→F-PCO：

(3)

4)末级PCO身份鉴别请求。

末级PCO在接收到STA发过来的身份鉴别请求消息后,采用事先存储的私钥PriF-PCO解密,并通过约定的签名算法验签;在确认签名合法后,生成随机数RNF-PCO,获取STA发送的身份鉴别请求消息到达的时间戳TSSTA→F-PCO。末级PCO对STA发送过来的数据首先验证STA签名是否合法,同时计算时间戳差值TSF-PCO→STA-TSSTA→F-PCO,若差值小于预设值,则判定验签通过,否则认定STA为非法接入节点。在确定STA为合法签名方之后,末级PCO将身份证书CertF-PCO、STA身份证书CertSTA、随机数RNF-PCO、RNSTA以及时间戳TSSTA→F-PCO等数据签名后,利用前级PCO的公钥PubP-PCO加密后发送至前级PCO。

F-PCO→P-PCO：

(4)

5)末级PCO身份鉴别响应。

前级PCO在接收到末级PCO身份鉴别请求后,获取指令到达时间戳TSF-PCO→P-PCO,并采用签名算法和私钥对收到的请求报文信息进行验签和解密。前级PCO首先验证签名是否为末级PCO真实签名,其次比对差值TSF-PCO→P-PCO-TSSTA→F-PCO,当签名认证通过且时间差值小于预设值时,则判定末级PCO身份合法,否则中止当前身份认证流程并通知末级PCO、STA重新发起认证,若经过多次认证流程仍未通过,则拒绝STA后续入网认证请求。在确定验签通过且时间差值小于预设值后,前级PCO根据CCO信任授权机制,验证末级PCO、STA证书合法性,将末级PCO、STA证书认证结果AuF-PCO,AuSTA、随机数RNF-PCO、RNSTA以及它们的签名加密后生成末级PCO身份鉴别响应消息发送至末级PCO,加密密钥采用末级PCO公钥PubF-PCO。

P-PCO→F-PCO：

(5)

6)STA身份鉴别响应。

末级PCO接收到末级PCO身份鉴别响应消息,利用自身私钥解密后,验证数字签名是否为合法前级PCO,查看证书认证结果是否为通过,比对随机数RNF-PCO与之前发送值是否一致,若存在任一不合格则判定身份鉴别异常,中止后续流程,并向前级PCO、STA发起重新鉴别流程,多次鉴别失败后则禁止STA继续身份认证请求。当数字签名验证通过、证书认证结果通过、随机数比对一致时,末级PCO将末级PCO、STA证书认证结果AuF-PCO,AuSTA、随机数RNSTA以及它们的签名加密后生成STA身份鉴别响应消息发送至STA,加密密钥采用STA公钥PubSTA。

F-PCO→STA：

(6)

7)STA认证网络身份。

STA接收STA身份鉴别响应消息,验证末级PCO签名、末级PCO证书鉴别结果、STA证书鉴别结果均合法后,比对随机数RNSTA与之前发送值是否一致,当上述验证均通过时,STA则认为网络身份合法,否则拒绝通过末级PCO入网,重新发起身份认证流程,再多次失败后终结入网,至此前级PCO、末级PCO、STA之间对等身份鉴别流程结束。

3 实验结果与分析

文中提出的基于信任传递的自组织网络身份认证方法,采取终端独有身份信息生成证书,具有唯一性特点,可防止证书盗用、伪造等风险。自组织网络的认证中心随着网络规模的任意增长,逐级下沉至靠近终端侧的可信任代理节点,即前级PCO;并由终端STA、末级PCO、前级PCO构建认证链,可以有效降低非法终端频繁向主站发起认证请求,降低了主站受DDoS攻击风险。在身份认证交互流程中,对安全认证交互消息嵌入报文到达时间戳、随机数等数据元,可有效降低抗重放攻击风险;同时在逐级安全消息传递过程中,充分利用签名、公私钥确保消息源合法性、数据完整性,防止认证交互过程中可能出现的消息篡改、窃听等攻击。

考虑一个典型台区内用户表计、设备在线监测传感器及分支开关等电力设备通过双模通信自组织网络开展数据传输的典型应用场景,仿真在不同终端规模、不同网络层级条件下终端STA入网身份认证交互资源消耗情况,以及主站集中式认证方式与文中所提算法资源消耗的对比,从而验证文中所提算法的高效性。文中资源消耗的度量值采用归一化计算方式,令本地单级通信链路为1,远程通信链路因采用无线公网,传输带宽大,令其为0.5。

在本地自组织网络3级、5级、7级中继深度条件下,终端STA入网认证交互资源消耗对比仿真图。如图5所示,随着网络拓扑中继深度增加,文中设计方法较集中认证方法的认证交互资源消耗量节约量不断扩大,这是由于文中所提信任传递机制将大部分交互下沉至本地,减少了主站、CCO之间的远程通信资源消耗,以及各级PCO转发安全交互信息带来的本地通信资源的消耗。下文详细对比集中式与分布式认证交互流程对远程及本地通信链路资源消耗的情况。

图5 集中式认证方案

对比图5中集中式认证方案以及文中提出的分布式认证方案(见图4)可知：在开始正式认证交互之前,分布式认证方式较集中式认证方式多了一个额外的CCO获取末级PCO、终端证书并发送至前级PCO过程,即额外消耗1次远程通信链路资源和N-1次本地通信链路资源。终端完成身份认证需要3次安全交互,这就意味着,集中式认证方案需消耗3次远程通信链路资源和3(N+1)次本地通信链路资源;而本地交互仅需使用6次本地通信链路资源。

由于分布式认证安全交互对本地通信链路资源消耗是固定的,而集中式认证安全交互会3倍于本地自组织网络中继级数,因此分布式认证较集中式认证大大减少了交互所需的通信链路资源消耗。假如忽略远程交互链路消耗,那么可以得到当集中式认证资源消耗大于等于分布式交互时,有：N-1+6≤3(N+1),即当N≥1时;这就意味着只要终端(STA)不是直接通过CCO入网,而是通过中继PCO入网,那么分布式认证较集中式认证交互资源消耗更低。

当终端规模分别为100台、150台、200台时,通过蒙特卡洛仿真方法,随机生成给定数量的台区终端分布位置,导入典型台区电力线载波传信道模型及无线传播模型[20-23],令所有终端按照组网协议自由构建多级中继自组织本地通信网络,仿真台区下所有终端STA入网认证交互资源消耗平均值。图6中的结果验证了之前的分析结论。

图6 不同中继深度的终端入网认证交互资源消耗量仿真结果

如图7所示,随着接入终端规模的增加,双模通信自组网拓扑平均中继深度增加,导致单终端平均入网认证交互资源增加,文中所提方法较集中认证方法能够有效降低资源的消耗量。

图7 不同规模终端入网认证交互平均资源消耗量仿真结果

4 结束语

低压台区本地双模通信自组织网络随着终端接入数量的增加,网络规模逐渐增长,路由层级增多,终端与主站间交互链路加长,若采用主站集中式认证可能存在安全信息交互导致通信资源消耗过多的问题。文中提出的本地双模通信自组织网络身份认证方法,通过本地通信核心节点CCO信任传递机制逐级向下级可信任PCO委托授权,设计了由前级PCO、末级PCO、STA构成的对等身份认证框架及认证流程,能够适应本地自组织网络拓扑动态调整的特点。通过信任传递机制,可以降低主站集中远程授权带来的网络通信资源消耗,在确保安全的前提下缩小安全机制处理时延,加速业务接入。

实验结果表明改进后所得结果更能合理地反应区间内故障的信度分配,取得了更精确的分配结果,实现了基本信任分配的客观化。