基于可信計算的主動配電網(wǎng)信息安全防護(hù)研究

吳金宇，陳海倩，張麗娟，賴宇陽

(1.中國南方電網(wǎng)有限責(zé)任公司，廣東 廣州 510623；2.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510623)

分布式能源和可控負(fù)荷等電網(wǎng)新元素動態(tài)接入和大規(guī)模分布的特點(diǎn)對配電網(wǎng)提出了更高的要求。相較于傳統(tǒng)配電網(wǎng)，主動配電網(wǎng)接入環(huán)境復(fù)雜，接入方式多樣，接入數(shù)量龐大，網(wǎng)絡(luò)結(jié)構(gòu)更為復(fù)雜，設(shè)備之間的信息交互更加頻繁、依賴性更強(qiáng)，導(dǎo)致信息安全威脅增大。為了防止信息傳輸泄露、篡改和損壞，本文針對主動配電網(wǎng)的信息安全防護(hù)進(jìn)行研究[1-3]。

目前，國外針對主動配電網(wǎng)進(jìn)行了諸多研究，并在西班牙、英國等國家進(jìn)行示范。其中，ADINE(active distribution network)示范工程最為突出，在不同場景中對大量接入的分布式發(fā)電進(jìn)行管理和實時模擬，解決了主動配電網(wǎng)電能質(zhì)量及孤島運(yùn)行等問題。國內(nèi)也開展了豐富的主動配電網(wǎng)研究，主要集中在協(xié)調(diào)控制、負(fù)荷預(yù)測和實時監(jiān)測等方面。文獻(xiàn)[4]基于負(fù)荷變化，通過建立數(shù)學(xué)模型實現(xiàn)動態(tài)電壓協(xié)調(diào)控制，降低了網(wǎng)絡(luò)損耗。文獻(xiàn)[5]提出基于響應(yīng)度評估的響應(yīng)負(fù)荷預(yù)測模型，模擬負(fù)荷數(shù)據(jù)并進(jìn)行仿真，驗證了負(fù)荷預(yù)測方法的有效性。文獻(xiàn)[6]提出一種基于多值復(fù)合的故障檢測方法，確保監(jiān)測終端數(shù)據(jù)的準(zhǔn)確性和可靠性，為故障分析提供了判別依據(jù)。

對于主動配電網(wǎng)的安全防護(hù)不僅需要對設(shè)備進(jìn)行安全防護(hù)，更需要對設(shè)備之間傳輸?shù)男畔⑻峁┌踩雷o(hù)，確保信息不被盜用、篡改和破壞，保障主動配電網(wǎng)的信息安全[7]。為此，本文對主動配電網(wǎng)的信息安全防護(hù)進(jìn)行研究，針對主動配電網(wǎng)的特征及所存在的信息安全問題，利用可信計算技術(shù)提出區(qū)域能源互聯(lián)網(wǎng)信息安全防護(hù)方案，最后依據(jù)方案進(jìn)行示例驗證。

1 主動配電網(wǎng)安全防護(hù)

1.1 主動配電網(wǎng)特征

傳統(tǒng)配電網(wǎng)的用電活動較為被動，分布式電能采用就地消納的方式。與傳統(tǒng)配電網(wǎng)相比，主動配電網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)較為靈活，對于區(qū)域內(nèi)的能源供需可進(jìn)行調(diào)配，具有較高的可觀、可控水平[8-11]。傳統(tǒng)配電網(wǎng)缺乏對安全威脅的預(yù)測，而且不涉及全局優(yōu)化；而主動配電網(wǎng)能夠采取預(yù)先感知、系統(tǒng)控制等手段來實現(xiàn)統(tǒng)籌優(yōu)化，確保目標(biāo)安全。兩者的具體差異見表1。

表1 主動配電網(wǎng)與傳統(tǒng)配電網(wǎng)的差異Tab.1 Differences between active distribution network and traditional distribution network

1.2 主動配電網(wǎng)信息安全

基于主動配電網(wǎng)的智能電網(wǎng)架構(gòu)如圖1所示。

除了傳統(tǒng)發(fā)電外，可再生能源發(fā)電也成為用戶用電的重要供應(yīng)源，包括光伏發(fā)電、風(fēng)力發(fā)電、生物質(zhì)能發(fā)電等。主動配電網(wǎng)在配電和用電的環(huán)節(jié)間還增加了雙向互動智能電表等多種業(yè)務(wù)，電網(wǎng)信息網(wǎng)絡(luò)已延伸至用戶側(cè)[12-13]。

基于主動配電網(wǎng)的智能電網(wǎng)潛在的安全威脅不容忽視，分析表明主要存在于以下位置。

a)分布式能源側(cè)(圖1中位置1)。分布式發(fā)電大規(guī)模并網(wǎng)使得主動配電網(wǎng)電源接入結(jié)構(gòu)發(fā)生了變化(由單點(diǎn)多端型結(jié)構(gòu)轉(zhuǎn)變?yōu)槎帱c(diǎn)多端型結(jié)構(gòu)[14])，結(jié)構(gòu)改變可能會出現(xiàn)孤島運(yùn)行狀態(tài)，極易引發(fā)觸電事故造成人員傷亡[15]。

b)配電自動化系統(tǒng)(圖1中位置2)。配電自動化系統(tǒng)結(jié)構(gòu)的設(shè)計基于分層、分布式以及集中控制的思想[16]，共分為3層，分別為主站層、配電網(wǎng)通信層和終端設(shè)備層。各層次所面臨的信息安全問題包括：①主站層——雖然通過前置機(jī)、防火墻等與配電子站實施物理隔離，但其本身可能存在安全隱患，容易被非法入侵，造成數(shù)據(jù)信息泄露；②通信層——電網(wǎng)信息傳輸所使用的光纖專用網(wǎng)絡(luò)和無線公網(wǎng)均存在著安全威脅的接入點(diǎn)，易被攻擊者利用造成破壞；③設(shè)備層——配電終端易被攻擊者竊取偽造，從而造成私密信息被復(fù)制、損壞[17-18]。

c)用電側(cè)(圖1中位置3)。智能表計具有較強(qiáng)的網(wǎng)絡(luò)功能，和用戶進(jìn)行信息交互的時候可能存在安全漏洞，易被攻擊者利用，從而對電網(wǎng)造成安全威脅。

2 安全可信防護(hù)方案

針對以上問題，本文以區(qū)域能源互聯(lián)網(wǎng)為研究對象，以配電自動化系統(tǒng)設(shè)計為參考依據(jù)，提出可信任鏈，其主要分為3層，分別為應(yīng)用可信層、網(wǎng)絡(luò)連接可信層以及節(jié)點(diǎn)可信層，結(jié)構(gòu)如圖2所示。

圖1 基于主動配電網(wǎng)的智能電網(wǎng)Fig.1 Smart grid based on active distribution network

圖2 可信任鏈條示意圖Fig.2 Trusted chain diagram

底層能源節(jié)點(diǎn)均有身份標(biāo)識信息和狀態(tài)變量，通過光纖專網(wǎng)、GPRS無線公網(wǎng)以及TD-LTE無線專網(wǎng)等匯聚到交換機(jī)；然后各級交換機(jī)再匯聚到總路由器，在接入配電主站前需經(jīng)過配電專用安全接入網(wǎng)關(guān)，配電專用安全接入網(wǎng)關(guān)具有身份認(rèn)證、狀態(tài)監(jiān)測等功能，能夠?qū)δ茉垂?jié)點(diǎn)進(jìn)行身份識別，確保其是否處于安全可信狀態(tài)。配電業(yè)務(wù)采集器主要負(fù)責(zé)為主站采集各種業(yè)務(wù)數(shù)據(jù)，與配電業(yè)務(wù)前置機(jī)采用正反向隔離連接，最終將采集來的數(shù)據(jù)傳送至配電主站，供配電主站具體應(yīng)用服務(wù)進(jìn)行調(diào)用[19-20]。

要想達(dá)到整體主動配電網(wǎng)系統(tǒng)安全可控，不受外界侵害，從源端建立可信機(jī)制尤為重要；因此節(jié)點(diǎn)可信成為整個系統(tǒng)提供信任的起點(diǎn)，網(wǎng)絡(luò)連接可信保證了各級節(jié)點(diǎn)間通信的安全，應(yīng)用可信為各節(jié)點(diǎn)和網(wǎng)絡(luò)提供服務(wù)支持，從而保障主動配電網(wǎng)可信[21-23]。

2.1 可信配電終端硬件設(shè)計

為了對主動配電網(wǎng)進(jìn)行安全防護(hù)，綜合運(yùn)用可信計算技術(shù)，設(shè)計以可信計算為基礎(chǔ)、以訪問控制為核心、以安全管理為支撐的可信配電終端。

a)終端安全芯片。采用鼎信密碼芯片，含有計算機(jī)引擎CPU、易失和非易失存儲模塊以及國產(chǎn)密碼算法(SM1、SM2、SM3、SM4)引擎模塊，具備基本片上操作系統(tǒng)(chip operating system，COS)功能體系和密碼操作功能體系。

b)邏輯架構(gòu)?？尚排潆娊K端以硬件層的可信平臺為基礎(chǔ)，作為可信根[24]，其中為可信計算平臺提供密碼運(yùn)算服務(wù)的是可信密碼模塊(trusted cryptography module，TCM)。為了充分發(fā)揮TCM的計算功能，還需要在操作系統(tǒng)層實現(xiàn)基于安全協(xié)議的可信服務(wù)管理平臺(trusted service management，TSM)模塊。可信配電終端邏輯架構(gòu)如圖3所示[25-26]。

圖3 可信配電終端邏輯架構(gòu)Fig.3 Trusted distribution terminal logic architecture

c)硬件架構(gòu)。可信配電終端總體硬件結(jié)構(gòu)如圖4所示，主要包括微處理機(jī)、人機(jī)交互以及通信接口等。微處理機(jī)由看門狗、存儲器、定時器以及可信芯片構(gòu)成：可信芯片是實現(xiàn)可信的核心，為信任鏈提供信任根；存儲器主要負(fù)責(zé)存儲和記憶功能；定時器實現(xiàn)定時和計算功能；看門狗提供系統(tǒng)產(chǎn)生暫時性故障的恢復(fù)能力。

圖4 可信配電終端硬件架構(gòu)Fig.4 Trusted distribution terminal hardware architecture

圖5 能源節(jié)點(diǎn)示意圖Fig.5 Schematic diagram of energy node

2.2 可信配電終端軟件設(shè)計

2.2.1 節(jié)點(diǎn)可信

能源節(jié)點(diǎn)是能源互聯(lián)網(wǎng)中可獨(dú)立運(yùn)行與管控的裝置，是構(gòu)建區(qū)域能源互聯(lián)網(wǎng)的基本對象，主要由軟硬件系統(tǒng)2部分組成，結(jié)構(gòu)如圖7所示。其中，可信控制模塊是可信計算的核心部件，通過內(nèi)部植入可信根，實現(xiàn)信任根控制功能，從而將密碼與控制相結(jié)合，實現(xiàn)對整個能源節(jié)點(diǎn)的主動控制、主動防御，并在對主板控件度量的同時，為軟件系統(tǒng)的度量機(jī)制提供安全運(yùn)算能力支撐。

能源控制功能應(yīng)用接口是連接軟件系統(tǒng)和硬件平臺的橋梁，當(dāng)硬件層上電后，可信控制模塊會對主板控件進(jìn)行度量，經(jīng)過安全引導(dǎo)完成硬件環(huán)境及配置的設(shè)定，從而建立可信鏈條，為軟件層提供支持和服務(wù)。能源節(jié)點(diǎn)在處理信息流和能量流的同時，其對信息的處理能力和對能源的控制能力有所不同，所以具體實施的時候會根據(jù)能源節(jié)點(diǎn)的功能需求來進(jìn)行設(shè)定。

2.2.2 網(wǎng)絡(luò)連接可信

為了保障網(wǎng)絡(luò)連接可信，每當(dāng)新能源節(jié)點(diǎn)需要接入?yún)^(qū)域能源互聯(lián)網(wǎng)時，都必須以可信方式接入，接入時會對其身份、可信性以及接入狀態(tài)等進(jìn)行全面檢查。本文中各能源節(jié)點(diǎn)的連接主要采用可信網(wǎng)絡(luò)連接(trusted network connect，TNC)技術(shù)連接方式[27]。

2.2.3 應(yīng)用可信

區(qū)域能源互聯(lián)網(wǎng)是一個復(fù)雜的基礎(chǔ)設(shè)施系統(tǒng)，為了保證可信鏈的完整還需保障應(yīng)用可信具備以下功能。

a)資產(chǎn)管理：對系統(tǒng)資產(chǎn)進(jìn)行管理，提供管理規(guī)范，評估資產(chǎn)信息。

b)報表管理：支持報表生成導(dǎo)出，支持html、Word、PDF報表生成導(dǎo)出；同時用戶可定制報表結(jié)構(gòu)，報表文件集成了掃描設(shè)備序列號、報表ID，從而保證報表的唯一性。

c)日志告警：可以對日志信息進(jìn)行查詢和統(tǒng)計分析，并自動生成安全審計報告，幫助網(wǎng)絡(luò)管理員全面掌握網(wǎng)絡(luò)和工控設(shè)備安全狀況。

d)漏洞掃描：對操作系統(tǒng)漏洞、常見軟件和服務(wù)漏洞(如Web服務(wù)、HTTP服務(wù)、FTP服務(wù)、郵件服務(wù)等)進(jìn)行掃描，同時對掃描結(jié)果進(jìn)行報告匯總，并提出解決方案。

e)協(xié)議安全策略分析：具有網(wǎng)絡(luò)檢測及告警功能，同時對配電自動化101及104協(xié)議具有加密、認(rèn)證及驗證等策略分析功能。

f)設(shè)備脆弱性檢測：具備弱口令/空口令、危險端口服務(wù)、配置漏洞等系統(tǒng)脆弱性檢測及交換機(jī)端口配置檢查功能。

g)策略配置：能夠在不同應(yīng)用環(huán)境下選擇不同的安全策略，保證現(xiàn)場設(shè)備的安全與穩(wěn)定，提高系統(tǒng)的運(yùn)行效率。

3 安全可信防護(hù)示例

區(qū)域能源互聯(lián)網(wǎng)安全可信防護(hù)方案如圖6所示。數(shù)據(jù)的發(fā)送節(jié)點(diǎn)具有可信模塊TMSN，數(shù)據(jù)的接收節(jié)點(diǎn)具有可信模塊TMRN[28]。為保證數(shù)據(jù)的機(jī)密性和完整性，每個可信模塊生成2對平臺密鑰：平臺身份密鑰PIK和平臺加密密鑰PEK。

圖6 基于可信模塊的安全防護(hù)方案Fig.6 Security protection scheme based on trusted module

密鑰的私鑰(以Pri開頭)存儲在可信模塊內(nèi)部，只能通過可信模塊內(nèi)部進(jìn)行密碼運(yùn)算，而其他各節(jié)點(diǎn)和參與方都將獲取對應(yīng)的公鑰(以Pub開頭)。本文以能源節(jié)點(diǎn)與控制中心間的數(shù)據(jù)傳輸為示例進(jìn)行說明，具體可信安全防護(hù)示例如圖7所示，圖中①—⑨表示上行鏈路。

3.1 安全引導(dǎo)流程

一個典型的可信引導(dǎo)過程如圖8所示。當(dāng)節(jié)點(diǎn)通電后，首先會執(zhí)行嵌入式處理器的代碼片段(即ROM Code)，執(zhí)行基本的硬件配置后進(jìn)行度量并驗證是否通過，如果通過，代碼片段會加載Bootloader的代碼；加載完畢后也會進(jìn)行度量并驗證是否通過，如果通過，則Bootloader會加載嵌入式操作系統(tǒng)代碼，加載完畢后依舊進(jìn)行度量并驗證是否通過。以上3次度量驗證均必須通過才可以運(yùn)行給定的能源節(jié)點(diǎn)應(yīng)用代碼，只要某一次不通過(即不可信)，則終止程序結(jié)束引導(dǎo)，期間每一次度量驗證通過都會對可信模塊中的寄存器PCR進(jìn)行1次擴(kuò)展，從而在能源節(jié)點(diǎn)上建立起1個完整的度量信任鏈。

3.2 數(shù)據(jù)安全存儲

能源節(jié)點(diǎn)通常會對數(shù)據(jù)進(jìn)行去噪聲、壓縮等處理操作，而這些操作會被記錄到PCR中進(jìn)行度量保護(hù)。能源節(jié)點(diǎn)通常將采集到的數(shù)據(jù)存儲在本地一段時間，然后提交上級節(jié)點(diǎn)單位，或及時提交給上級節(jié)點(diǎn)單位；因此，數(shù)據(jù)信息存儲非常重要。對于少量所采集到的數(shù)據(jù)D，本文采用國產(chǎn)SM2非對稱加密算法，加密方式表示為

Djm=fTCM(D，EPCR,exp，KPubPEKSN) .

(1)

式中：Djm為數(shù)據(jù)加密；fTCM為TCM算法；EPCR,exp為PCR的期望值，只有當(dāng)達(dá)到期望值后才可進(jìn)行解密操作；KPubPEKSN為能源節(jié)點(diǎn)平臺加密公鑰。當(dāng)數(shù)據(jù)量較大時，采用效率更高的對稱加密算法SM4，即

圖7 安全可信防護(hù)示例Fig.7 Examples of security trusted protection

Djm=fSM4(D，EPCR,exp，KSM4Key) .

(2)

式中：fSM4為SM4加密算法；KSM4Key為對稱秘鑰。

當(dāng)系統(tǒng)需要使用數(shù)據(jù)時，會先獲取系統(tǒng)當(dāng)前PCR值(EPCR)并與EPCR,exp進(jìn)行比對，只有當(dāng)對比結(jié)果一致時，才會使用自身所存儲的密鑰(KPubPEKSN或KSM4Key)進(jìn)行解密獲取數(shù)據(jù)，保障數(shù)據(jù)信息的完整性和機(jī)密性。

圖8 安全引導(dǎo)流程Fig.8 Security boot flow chart

3.3 上行數(shù)據(jù)傳輸

在數(shù)據(jù)采集過程中，底層能源節(jié)點(diǎn)會經(jīng)過路由器、交換機(jī)等逐級上傳，最終至控制中心。傳輸過程中數(shù)據(jù)的交互僅在2個能源節(jié)點(diǎn)之間進(jìn)行；所以，不僅需要考慮節(jié)點(diǎn)的可信性，還需要保證節(jié)點(diǎn)間所傳輸數(shù)據(jù)的機(jī)密性和完整性。為此，本文采用完整性報告方法和數(shù)據(jù)加密方法。

信息發(fā)送節(jié)點(diǎn)自身所攜帶的身份密鑰對EPCR進(jìn)行簽名后傳輸至信息接收節(jié)點(diǎn)，由信息接收節(jié)點(diǎn)來驗證身份密鑰PIK和本地EPCR，如果驗證通過則可以確認(rèn)該消息來自于1個可信的信息發(fā)送節(jié)點(diǎn)，保證了傳輸節(jié)點(diǎn)可信。信息發(fā)送節(jié)點(diǎn)使用信息接收節(jié)點(diǎn)的公鑰，對將要傳輸?shù)臄?shù)據(jù)進(jìn)行加密后發(fā)送至接收節(jié)點(diǎn)，而接收節(jié)點(diǎn)只有通過內(nèi)置的可信模塊才能對收到的加密信息進(jìn)行解密，獲取數(shù)據(jù)信息；由此確保了傳輸數(shù)據(jù)的機(jī)密性和完整性。

以圖7中“①分布式風(fēng)電—⑥控制中心”上行鏈路為例進(jìn)行分析。在①分布式風(fēng)電(能源節(jié)點(diǎn))—②交換機(jī)兩節(jié)點(diǎn)間數(shù)據(jù)傳輸過程中，能源節(jié)點(diǎn)作為發(fā)送節(jié)點(diǎn)，交換機(jī)作為接收節(jié)點(diǎn)。

a)能源節(jié)點(diǎn)可信模塊產(chǎn)生1個對稱秘鑰KSM4Key，使用該密鑰算法fSM4Key對數(shù)據(jù)進(jìn)行加密，設(shè)加密后的數(shù)據(jù)為DEData，則

DEData=fSM4Key(D) .

(3)

b)用交換機(jī)的公鑰算法fPubPEKRN來對KSM4Key進(jìn)行加密保護(hù)，加密后的能源節(jié)點(diǎn)對稱秘鑰

Δ=fPubPEKRN(KSM4Key) .

(4)

c)利用能源節(jié)點(diǎn)的私鑰算法fPriPIKSN對加密數(shù)據(jù)DEData和EPCR產(chǎn)生簽名值：

SEData=fPriPIKSN(DEData) .

(5)

SPCR=fPriPIKSN(EPCR) .

(6)

當(dāng)DEData和簽名值傳送至交換機(jī)后，首先使用能源節(jié)點(diǎn)公鑰PubPIKSN及其算法fPubPIKSN驗證簽名值：

EPCR,ver=fPubPIKSN(SPCR)=fPubPIKSN(fPriPIKSN(EPCR)).

(7)

DEData,ver=fPubPIKSN(SEData)=fPubPIKSN(fPriPIKSN(DEData)).

(8)

通過認(rèn)證后再繼續(xù)驗證EPCR，即

EPCR=EPCR,exp.

(9)

如果以上結(jié)果都相同，則可以認(rèn)為數(shù)據(jù)來自于1個可信的發(fā)送節(jié)點(diǎn)，執(zhí)行下一步。

使用交換機(jī)的私鑰PriPEKRN及其算法fPriPEKRN解密獲取解密后的KSM4Key對稱秘鑰

ΔKey=fPriPEKRN(Δ)=fPriPEKRN(fPubPEKRN(KSM4Key)).

(10)

式中ΔKey為未解密之前的密鑰。

利用KSM4Key解密獲取數(shù)據(jù)D，即

D=fSM4Key(DEData)=fSM4Key(fSM4Key(D)) .

(11)

當(dāng)解密成功后會向能源節(jié)點(diǎn)返回一個OK信息，若其中任一驗證沒有通過，交換機(jī)就會丟棄該數(shù)據(jù)并向能源節(jié)點(diǎn)返回一個Fail消息。同樣，后面信息逐級傳遞都會經(jīng)歷身份認(rèn)證，數(shù)據(jù)加解密的步驟，最終上傳至控制中心供其他服務(wù)程序處理和應(yīng)用。

3.4 下行數(shù)據(jù)傳輸

在區(qū)域能源互聯(lián)網(wǎng)中，每個能源節(jié)點(diǎn)可能會向周圍多個節(jié)點(diǎn)進(jìn)行信息傳輸，如果每次數(shù)據(jù)信息交互都采用點(diǎn)對點(diǎn)的單點(diǎn)傳輸，勢必造成大量復(fù)雜的加解密運(yùn)算。如果每次傳輸都進(jìn)行密碼運(yùn)算，當(dāng)節(jié)點(diǎn)數(shù)劇增，系統(tǒng)對信息要求實時性很高時，TCM性能會明顯下降，從而影響到能源節(jié)點(diǎn)信息的處理效率。

如圖7安全可信防護(hù)示例中，交換機(jī)⑦同時向⑧家庭能源節(jié)點(diǎn)和⑨電動汽車進(jìn)行信息傳輸，即向2個能源節(jié)點(diǎn)傳輸數(shù)據(jù)時，會進(jìn)行2次SM2非對稱加密運(yùn)算、2次SM4對稱加密運(yùn)算和2次簽名操作。對于給定的交換機(jī)，會有1次SM4加密操作和1次簽名操作是重復(fù)執(zhí)行的。因此，為了提高能源節(jié)點(diǎn)間信息傳輸?shù)男?，避免大量繁瑣的加解密運(yùn)算，本文采用批量認(rèn)證的方法來解決信息傳輸效率問題。利用Merkle哈希樹，將多個認(rèn)證請求整合到1個獨(dú)立的簽名操作中，避免復(fù)雜的運(yùn)算。

圖9給出了交換機(jī)S0向4個能源節(jié)點(diǎn)(二進(jìn)制表示為00、01、10和11)傳輸數(shù)據(jù)的示例，其中n為能源節(jié)點(diǎn)，S為交換機(jī)，R為路由器，s(n)為簽名值。而在實際應(yīng)用中可以擴(kuò)展到多個能源節(jié)點(diǎn)。在Merkle哈希樹中，節(jié)點(diǎn)上存儲的是該節(jié)點(diǎn)數(shù)據(jù)塊的哈希值，在進(jìn)行完整性驗證過程中，為了確保一個數(shù)據(jù)塊是Merkle哈希樹中的成員，只需要該數(shù)據(jù)塊及通向樹根沿途的哈希值，而忽略樹的其他組成部分。S0向n00、n01、n10及n11傳輸數(shù)據(jù)時，只需對n00進(jìn)行簽名驗證，通過Merkle哈希樹中的哈希值可以得到s(n00)=(Tag=00,n00,S0)，而無需依次對n01、n10及n11進(jìn)行簽名驗證。

圖9 多節(jié)點(diǎn)傳輸示意圖Fig.9 Schematic diagram of multi-node transmission

多節(jié)點(diǎn)傳輸流程如圖10所示，只有當(dāng)所有的驗證都通過后，各能源節(jié)點(diǎn)才能獲取交換機(jī)的對稱密鑰進(jìn)行解密，獲取相應(yīng)的指令進(jìn)行下一步具體操作。運(yùn)用批量認(rèn)證方法后，對于多個能源節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳輸工作，給定的節(jié)點(diǎn)只需要進(jìn)行1次SM4加密操作和1次簽名認(rèn)證操作，避免了大量的冗余計算，提高了能源節(jié)點(diǎn)信息傳輸?shù)男省?/p>

圖10 多節(jié)點(diǎn)傳輸流程Fig.10 Flow chart of multi-node transmission

4 結(jié)束語

本文首先基于主動配電網(wǎng)的網(wǎng)絡(luò)架構(gòu)，分析了其中存在的信息安全問題，并針對這些問題提出安全可信防護(hù)方案，利用可信計算技術(shù)對配電終端進(jìn)行設(shè)計；針對區(qū)域能源互聯(lián)網(wǎng)進(jìn)行示例驗證，闡述數(shù)據(jù)存儲、傳輸過程，形成了一套防護(hù)體系，對于主動配電網(wǎng)信息安全防護(hù)研究具有一定的參考價值。

由于主動配電網(wǎng)目前還處于試點(diǎn)驗證階段，仍需開展大量研究、實踐工作；再加上可信計算對于系統(tǒng)兼容性要求過高，在今后的工作中應(yīng)不斷改進(jìn)，完善可信計算與電力行業(yè)的融合，以適應(yīng)新時代的發(fā)展與需求，為主動配電網(wǎng)信息安全建設(shè)提供保障。