電力EPON通信網(wǎng)安全設(shè)計

梁曉紅

(四川電力公司西昌電業(yè)局,四川 西昌 615000)

電力EPON通信網(wǎng)安全設(shè)計

梁曉紅

(四川電力公司西昌電業(yè)局,四川 西昌 615000)

分析電力EPON通信網(wǎng)存在的安全隱患的基礎(chǔ)上,對電力EPON通信網(wǎng)的安全機制進行了設(shè)計。針對電力EPON通信網(wǎng)的安全隱患,從終端認證、業(yè)務(wù)隔離、深度檢測與防御三個方面對電力EPON通信設(shè)備進行安全防護部署。通過EPON通信數(shù)據(jù)的加密處理和密鑰管理,實現(xiàn)OLT與ONU的雙向身份認證,確保了電力EPON通信數(shù)據(jù)的安全。測試結(jié)果表明,系統(tǒng)正常工作時,數(shù)據(jù)傳輸?shù)纳闲醒訒r小于2 ms,下行延時不超過1 ms,完全滿足電力系統(tǒng)數(shù)據(jù)和信息傳輸?shù)囊蟆?/p>

EPON;電力通信;安全機制;通信加密;密鑰管理

1 前言

EPON (EthernetPassive OpticalNetwork, EPON)結(jié)合了以太網(wǎng)和無源光網(wǎng)絡(luò)技術(shù)的優(yōu)點,被認為是下一代寬帶接入網(wǎng)技術(shù)的首選[1]。電力EPON通信網(wǎng)傳輸?shù)挠脩魯?shù)據(jù)、配電網(wǎng)信息數(shù)據(jù)、電網(wǎng)結(jié)構(gòu)信息、地理圖形數(shù)據(jù)等基礎(chǔ)數(shù)據(jù)源是電力營銷管理和業(yè)務(wù)處理系統(tǒng)的重要數(shù)據(jù)來源,一旦這些數(shù)據(jù)源在EPON通信網(wǎng)傳輸過程中被竊聽或篡改,將會給電力系統(tǒng)帶來巨大的經(jīng)濟損失。因此,本文在對電力EPON通信網(wǎng)的安全問題分析的基礎(chǔ)上,對其安全機制進行了設(shè)計,確保各種電力數(shù)據(jù)、信息的可靠、安全傳輸。

2 存在的安全問題

EPON技術(shù)的體系結(jié)構(gòu)和傳輸方式?jīng)Q定了電力EPON通信網(wǎng)存在以下安全問題：

1)非法接入問題。由于EPON系統(tǒng)具有自動發(fā)現(xiàn)功能,新加入的ONU可以通過自動注冊方式接入EPON系統(tǒng),這也給非法ONU提供了自由接入的機會。

2)竊聽問題。在EPON系統(tǒng)中,下行數(shù)據(jù)傳輸采用廣播方式,如果在系統(tǒng)中接入一個帶光口的以太網(wǎng)包探測工具,那么系統(tǒng)的下行數(shù)據(jù)將會被全部接收。

3)拒絕服務(wù)問題。在EPON系統(tǒng)的上行鏈路中,所有的 ONU都共享上行帶寬。如果惡意ONU不斷地向EPON上行鏈路發(fā)送大量的無效數(shù)據(jù),將會導(dǎo)致整個網(wǎng)絡(luò)堵塞,使得網(wǎng)絡(luò)資源和OAM信息不可用。

4)假冒問題。在EPON系統(tǒng)注冊的過程中,攻擊者可以竊取ONU的MAC地址和OLT給ONU分配的邏輯鏈路標(biāo)識LLID,從而偽裝成其它的ONU,同時,OLT的網(wǎng)橋功能使得ONU可以偽裝成OLT。

通過上面的分析,為了確保電力EPON通信網(wǎng)能夠正確、可靠地傳輸各種電力應(yīng)用數(shù)據(jù)和信息,對電力EPON通信網(wǎng)的安全機制進行研究就顯得非常必要。

3 安全機制設(shè)計

3.1 設(shè)備的防護部署

針對電力EPON通信網(wǎng)的安全隱患,從終端認證、業(yè)務(wù)隔離、深度檢測與防御三個方面對電力EPON通信設(shè)備進行安全防護部署,如圖1所示。

圖1 電力EPON通信設(shè)備安全防護部署

1)終端認證。主要是對電力二次設(shè)備進行MAC認證和IP+MAC綁定,以實現(xiàn)對終端的安全識別,并對接入流量限速,避免業(yè)務(wù)系統(tǒng)受到流量攻擊。同時,系統(tǒng)也對遠端的接入設(shè)備進行安全認證,防止非法網(wǎng)絡(luò)設(shè)備接入EPON通信網(wǎng)。

2)業(yè)務(wù)隔離。通過網(wǎng)絡(luò)設(shè)備隔離實現(xiàn)業(yè)務(wù)和用戶的隔離,避免了業(yè)務(wù)間的攻擊和控制。同時,各個網(wǎng)絡(luò)設(shè)備間通信可采用加密方式,確保數(shù)據(jù)和信息傳輸?shù)陌踩浴?/p>

3)深度檢測與防御。在電力EPON通信網(wǎng)上部署電力行業(yè)定制的深度業(yè)務(wù)識別系統(tǒng),實時對終端業(yè)務(wù)的合法性進行檢查,一旦發(fā)現(xiàn)有非法操作便立即報警,甚至切斷該業(yè)務(wù)。同時,通過及時更新數(shù)據(jù)庫中的信息,采用SNMPv3、SSHv1/2等安全協(xié)議[2],對管理者進行認證,以確保網(wǎng)絡(luò)設(shè)備的安全。

3.2 數(shù)據(jù)幀格式設(shè)計

為了實現(xiàn)對EPON的上下行通信數(shù)據(jù)的加密處理,利用以太網(wǎng)幀結(jié)構(gòu)中前導(dǎo)碼中保留的第4字節(jié)的前兩個比特位來傳遞加密的相關(guān)信息,分別定義為加密指示比特ENC_INT和序號指示比特SN_INT,如圖2所示。

圖2 電力EPON通信數(shù)據(jù)幀格式

其中,加密指示比特和序號指示比特的含義如表1所示。

表1 加密和序號指示比特的含義

3.3 通信加密流程

電力EPON通信數(shù)據(jù)的加密流程如圖3所示。

圖3 電力EPON通信加密流程

整個加密過程分為五步：

第一步：密鑰分配。密鑰管理服務(wù)器KMS為配電子站的OLT和配電終端的ONU分別生成密鑰并進行分配,這個過程是離線進行的,避免了KMS在線參與的安全威脅。

第二步：ONU注冊。配電終端的ONU向配電子站的OLT發(fā)送申請加入EPON通信網(wǎng)的注冊請求,OLT根據(jù)ONU的身份信息決定是否同意該ONU接入通信系統(tǒng),并進行相應(yīng)的處理。

第三步：KMS驗證ONU信息。配電子站的OLT收到ONU的注冊身份消息后,向KMS發(fā)送該注冊消息,由KMS存儲的信息決定是否同意ONU接入通信系統(tǒng),并發(fā)送相應(yīng)的處理信息給OLT。

第四步：OLT和ONU實現(xiàn)雙向身份認證。該流程在驗證ONU身份是否合法的同時,也驗證了OLT身份的合法性,完成了雙向身份驗證,既防止了非法ONU接入系統(tǒng),也防止了非法的OLT冒充合法的OLT做出控制決策。

第五步：通信數(shù)據(jù)加密。在ONU、OLT身份認證完成后,OLT和ONU均擁有彼此的主密鑰,然后利用Hash函數(shù)對主密鑰進行處理,生成新的會話密鑰。當(dāng)一方要發(fā)送數(shù)據(jù)時,利用新生成的會話密鑰進行數(shù)據(jù)加密,即可完成加密通信。其對稱加密算法可根據(jù)實際情況進行選擇,例如選擇分組密碼、流密碼等[3],這樣就實現(xiàn)了OLT和ONU之間的安全通信。

3.4 密鑰管理方案設(shè)計

在上面的通信加密流程中,第一至第四步是一個完整的密鑰產(chǎn)生和協(xié)商的過程。整個密鑰管理過程大致分為密鑰產(chǎn)生、密鑰分配、密鑰協(xié)商和密鑰更新四個部分。為了便于表述,這里僅以一個OLT和一個ONU的密鑰管理為例進行介紹,多個ONU的密鑰管理原理是一樣的。

1)密鑰產(chǎn)生：KMS采用橢圓曲線密碼體制ECC[4]為配電子站的OLT和配電終端的ONU生成身份認證時所需的公私密鑰對,分別為 (QOLT, dOLT)、(QONU,dONU)。

2)密鑰分配：KMS利用ONU的公鑰QONU和OLT的私鑰dOLT計算出密鑰k,然后把密鑰k分配給ONU設(shè)備,并將密鑰k與合法ONU的身份ID或MAC地址綁定后存儲在KMS中,最后把公私密鑰對 (QOLT,dOLT)分配給OLT。密鑰k的計算方法如下：

k=QONU*dOLT(1)

3)密鑰協(xié)商：密鑰協(xié)商以IEEE802.3ah標(biāo)準協(xié)議為基礎(chǔ),實現(xiàn)ONU設(shè)備的注冊、OLT和ONU的雙向身份驗證,具體流程如圖4所示。

用Ek(·)表示加密操作,Dk(·)表示解密操作,設(shè)存在一個供加解密使用的Hash函數(shù),則圖4的密鑰協(xié)商過程如下：

*OLT發(fā)送GATE發(fā)現(xiàn)幀,檢測是否有ONU設(shè)備請求接入網(wǎng)絡(luò)。

*ONU向OLT發(fā)送注冊請求幀Register_ REQ,其內(nèi)容包括ONU本身的ID或MAC地址。

圖4 密鑰協(xié)商流程

*OLT向新發(fā)現(xiàn)的ONU發(fā)送注冊幀Register。

*OLT向ONU發(fā)送GATE認證幀。

*OLT向密鑰管理服務(wù)器KMS發(fā)送請求注冊的ONU的ID或MAC地址,進行合法驗證。KMS接收到該ONU的ID或MAC地址后,在其存儲信息中查詢該ONU的身份信息是否合法。若驗證為非法ONU,則不允許該ONU注冊;若驗證為合法,則用OLT的公鑰QOLT加密該ONU的私鑰dONU,發(fā)送EQOLT(dONU)給OLT。

*OLT利用自己的私鑰dOLT解密出ONU的私鑰dONU,然后生成協(xié)商密鑰k,并產(chǎn)生一個隨機數(shù)ni,用密鑰k加密后將密文Ek(ni)發(fā)送給ONU。協(xié)商密鑰k的計算方法為：

k=dONU*QOLT(2)

*ONU首先解密Ek(ni)得到ni,并生成一個隨機數(shù)nj,然后用密鑰k加密nj,并將密文Ek(nj)和ni發(fā)送給OLT。

*OLT比較收到的ni與自己生成的隨機數(shù)是否相同。若不同,則ONU為非法;若相同,則ONU為合法,OLT向ONU發(fā)送標(biāo)準的GATE授權(quán)幀,允許ONU發(fā)送消息,并向ONU發(fā)送Register_ACK。

*OLT解密Ek(nj),并將nj發(fā)送給ONU。

*ONU收到GATE授權(quán)幀和nj后,比較nj與自己產(chǎn)生的隨機數(shù)是否相同。若不同,則OLT為非法;若相同,則OLT為合法,并計算與OLT的會話密鑰ks,利用ks將Register_ACK加密后發(fā)送給OLT。會話密鑰ks的計算方法為：

ks=Hash(k,nj)(3)

4)密鑰更新：為了進一步提高整個EPON通信網(wǎng)的安全性,需要對會話密鑰進行周期性地更新。本文的密鑰更新采用詢問響應(yīng)的更新方式,整個密鑰的更新流程如下：

*OLT向ONU發(fā)出新密鑰請求幀;

*ONU收到新密鑰請求幀后利用Hash函數(shù)對主密鑰進行計算,得出新的密鑰,然后向OLT發(fā)送一個新密鑰通知幀,新密鑰通知幀中包含新的密鑰;

*OLT收到新密鑰通知幀后,就可以使用新密鑰對隨后的數(shù)據(jù)幀進行加密。如果密鑰更新失敗,則OLT會向ONU發(fā)送密鑰更新失敗通知,并進行下一輪密鑰更新。

4 結(jié)束語

由于電力EPON通信網(wǎng)能夠提供千兆級帶寬,系統(tǒng)正常工作時,不存在帶寬瓶頸問題。但是,在EPON系統(tǒng)開始運行或故障恢復(fù)時,會出現(xiàn)OLT下掛的所有ONU都等待注冊加入的極端情況,這時會產(chǎn)生注冊沖突。為避免這種極端情況的發(fā)生,采用隨機跳窗方式[5]和發(fā)現(xiàn)窗口內(nèi)隨機延時[6]兩種方法解決注冊沖突問題。通過系統(tǒng)運行測試,結(jié)果表明：在極端情況下,所有ONU注冊成功的時間為18 s;在正常工作時,數(shù)據(jù)傳輸?shù)纳闲袝r延小于2 ms,下行時延不超過1 ms。因此,整個電力EPON通信網(wǎng)完全滿足電力系統(tǒng)的數(shù)據(jù)和信息傳輸要求。

[1] MUKAI Hiroaki,TANO Fumihiko,TANKA Masaki,et.al. ONU Power Saving Scheme for EPON System[J].IEICE Communications,2012,95(5)：1625-1632.

[2] 厲穎,韓殿國.網(wǎng)絡(luò)安全管理技術(shù)研究 [J].軟件導(dǎo)刊, 2013,12(2)：20-23.

[3] 李雨峰.混沌密碼學(xué)技術(shù)及其應(yīng)用 [J].信息與電腦(理論版),2013(2)：148-149.

[4] 李浪,楊柳,李肯立,等.一種橢圓曲線密碼算法ECC旁路攻擊方法研究 [J].計算機應(yīng)用研究,2013,30(3)：15-17.

[5] 殷愛菡,朱明,展愛云,等.基于NTRU的EPON認證方案研究 [J].光通信技術(shù),2013,37(3)：24-26.

[6] 殷愛菡,劉方仁.以太無源光網(wǎng)絡(luò)中光網(wǎng)絡(luò)單元注冊的FPGA實現(xiàn) [J].華東交通大學(xué)學(xué)報,2011,28(2)：19-23.

12月19日,國家電網(wǎng)公司召開哈密南-鄭州±800千伏特高壓直流輸電工程雙極高端系統(tǒng)調(diào)試啟動會。按照預(yù)定計劃,整個工程將于2014年1月15日左右完成調(diào)試工作并投入試運行。

哈密南-鄭州±800千伏特高壓直流輸電工程是新疆首個特高壓"疆電外送"工程,工程輸電線路途經(jīng)新疆、甘肅、寧夏、陜西、山西、河南6省 (區(qū)),全長2 210千米,總投資233.9億元,建成后輸電能力可達800萬千瓦。在公司統(tǒng)一部署和各參建單位的共同努力下,經(jīng)過一年多的建設(shè),目前,工程各項施工任務(wù)優(yōu)質(zhì)高效地向前推進,鄭州換流站極Ⅰ高端已經(jīng)充電成功并完成全部站系統(tǒng)調(diào)試項目,哈密南換流站極Ⅰ高端竣工驗收工作全面完成,影響帶電的缺陷已經(jīng)處理完畢,具備開始站系統(tǒng)調(diào)試的條件。待哈密南換流站極Ⅰ高端站系統(tǒng)調(diào)試結(jié)束后,隨即啟動極Ⅰ高端系統(tǒng)調(diào)試工作。線路沿途各省(區(qū))電網(wǎng)運行安全穩(wěn)定,線路不存在缺陷,運行維護和搶修保障人員全部就位,線路完全具備帶電調(diào)試條件。

據(jù)了解,自2012年5月13日舉行開工儀式以來,哈鄭特高壓直流輸電工程僅歷時一年多時間,就先后實現(xiàn)了送端750千伏交流系統(tǒng)、兩端500千伏交流系統(tǒng)和雙極低端直流系統(tǒng)投產(chǎn)目標(biāo)。按照公司確定的建設(shè)目標(biāo),工程將于2014年春節(jié)前整體投運。(信息來源：中國電力網(wǎng))

Design of Security Mechanism for Electric Power EPON Communication Network

LIANG Xiaohong
(Xichang Electric Power Bureau of Sichuan Electric Power Company,Xichang,Sichuan 615000)

In order to ensure the reliable and secure transmission of electric power data and information,on the basis of analyzing the potential safety hazard in electric power EPON communication network,the security mechanism of electric power EPON communication network is designed.According to the potential safety hazard in electric power EPON communication network,the electric power EPON communication devices is deployed with secure defense from three aspects：terminal authentication,business isolation, deep detection and defense.The bidirectional identity authentication between OLT and ONU is realized by encryption processing and key management of EPON communication data,which ensures the security of electric power EPON communication data.The results of testing demonstrate that when the communication system works normally,the up-delay of data transmission is less than 2 microsecond,and the down-delay is not beyond 1 microsecond,which entirely meets the demands of data and information transmission in electric power system.

Ethernet Passive Optical Network(EPON);electric power communication;security mechanism;communication encryption;key management.

TN919

B

1006-7345(2014)01-0091-04

2013-09-15

梁曉紅 (1968),男,學(xué)士,工程師,主要從電力通信網(wǎng)和電力營銷等方面的研究 (e-mail)tougaoxcu@126.com。