一種標(biāo)識(shí)互信認(rèn)證的設(shè)備終端安全接入新方法

摘 要：為解決電力監(jiān)控調(diào)度網(wǎng)絡(luò)中存在的安全接入認(rèn)證控制、交互難的問題，提出了一種基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入新方法。對(duì)電力監(jiān)控與調(diào)度終端進(jìn)行安全初始化，配置安全接入IP地址，并將帶有自身硬件序列號(hào)信息的加密數(shù)據(jù)上傳至局端設(shè)備；局端設(shè)備對(duì)接收到的電力監(jiān)控與調(diào)度終端的硬件序列號(hào)進(jìn)行解密，在增加路由信息后將數(shù)據(jù)傳輸至安全接入平臺(tái)。安全接入平臺(tái)采用標(biāo)識(shí)互信認(rèn)證技術(shù)，對(duì)電力監(jiān)控與調(diào)度終端的硬件序列號(hào)進(jìn)行識(shí)別，驗(yàn)證電力監(jiān)控與調(diào)度終端的合法性。在某省電力監(jiān)控與調(diào)度系統(tǒng)中進(jìn)行實(shí)例運(yùn)行，其結(jié)果驗(yàn)證了所提方法的有效性。

關(guān)鍵詞：標(biāo)識(shí)互信認(rèn)證；網(wǎng)絡(luò)設(shè)備終端；安全接入；路由信息；電力監(jiān)控與調(diào)度系統(tǒng)

中圖分類號(hào)：TP311；TM73""""""""""""""""""""""" 文獻(xiàn)標(biāo)識(shí)碼：A"""""""""""""""""""""" 文章編號(hào)：1001-5922（2024）07-0144-03

A new method for secure access of equipment terminals

with mutual trust authentication

LUO He，CHEN Hongxiang，WU Meiqi

（China Yangtze Power Co.，Ltd.，Wuhan 430014，China）

Abstract： In order to solve the problems of secure access， authentication， control and interaction in power monitoring and dispatching network， a new method of secure access to network equipment terminals based on identity mutual trust authentication was proposed. Security initialization on the power dispatch terminal was performed， a secure access IP address was configured， and encrypted data with its own hardware serial number information was uploaded to the office equipment. The office equipment decrypted the hardware serial number of the received power dispatch terminal and transmits the data to the secure access platform after adding routing information. The secure access platform used identification and mutual trust authentication technology to identify the hardware serial number of the power dispatch terminal and verify its legitimacy. An example was carried out in a provincial power dispatch system， and the results verified the effectiveness of the proposed method.

Key words： identification and mutual trust authentication；network equipment terminal；secure access；routing in?"""""""""" formation；power monitoring and dispatching system

隨著信息技術(shù)和網(wǎng)絡(luò)通信技術(shù)在電力工業(yè)網(wǎng)絡(luò)中的廣泛應(yīng)用，在給通信帶來了便捷的同時(shí)，也給網(wǎng)絡(luò)安全帶來了隱患。電話作為調(diào)度指揮命令下達(dá)的直接手段，要求在惡劣的氣候條件和電力系統(tǒng)發(fā)生故障時(shí)，保障電話通暢［1］。但目前電力調(diào)度管理的大量無人值守場(chǎng)站中，電話話機(jī)終端狀態(tài)缺乏檢測(cè)，出現(xiàn)故障后不能及時(shí)發(fā)現(xiàn)［2］，同時(shí)，場(chǎng)站內(nèi)的話機(jī)缺少安全認(rèn)證機(jī)制，存在安全接入隱患［3?4］。

國(guó)內(nèi)外許多學(xué)者對(duì)網(wǎng)絡(luò)設(shè)備終端安全接入進(jìn)行了研究。如通過在場(chǎng)站加裝電力加密裝置，實(shí)現(xiàn)兩端數(shù)據(jù)的安全接入［5］。提出了一種網(wǎng)絡(luò)安全通信方法，保障網(wǎng)絡(luò)設(shè)備終端安全接入［6］。基于運(yùn)行態(tài)勢(shì)監(jiān)測(cè)的通信方法，通過對(duì)通信數(shù)據(jù)在狀態(tài)監(jiān)測(cè)與態(tài)勢(shì)分析，實(shí)現(xiàn)數(shù)據(jù)安全接入［7］。應(yīng)用基于量子保密通信的通信方法，通過量子密鑰授權(quán)，提高網(wǎng)絡(luò)設(shè)備終端通信安全接入能力［8］。基于5G通信網(wǎng)絡(luò)切片的網(wǎng)絡(luò)設(shè)備終端安全接入方法，通過在5G信道中劃分網(wǎng)絡(luò)設(shè)備終端安全可信的網(wǎng)絡(luò)切片，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備終端安全接入［9］。由此可見，網(wǎng)絡(luò)設(shè)備終端安全接入方法多樣，且取得了一定的成績(jī)。

針對(duì)通信網(wǎng)絡(luò)中存在的安全接入認(rèn)證控制、交互難的問題，提出了一種基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法。該方法充分考慮了網(wǎng)絡(luò)設(shè)備終端自身的身份特征和路由信息，通過安全接入平臺(tái)采用標(biāo)識(shí)互信認(rèn)證技術(shù)，對(duì)網(wǎng)絡(luò)設(shè)備終端的硬件序列號(hào)進(jìn)行識(shí)別，驗(yàn)證網(wǎng)絡(luò)設(shè)備終端的合法性。

1"" 網(wǎng)絡(luò)設(shè)備終端安全接入框架

基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法主要包括網(wǎng)絡(luò)設(shè)備終端安全初始化、局端設(shè)備路由、標(biāo)識(shí)互信認(rèn)證識(shí)別驗(yàn)證3部分模塊，網(wǎng)絡(luò)設(shè)備終端安全接入框架如圖1所示。

在網(wǎng)絡(luò)設(shè)備終端安全初始化環(huán)節(jié)，首先對(duì)網(wǎng)絡(luò)設(shè)備終端安全進(jìn)行自檢，判斷終端自身的工作狀態(tài)及是否存在安全風(fēng)險(xiǎn)，然后在網(wǎng)絡(luò)設(shè)備終端上配置局端設(shè)備的安全接入IP地址，以便網(wǎng)絡(luò)設(shè)備終端與局端設(shè)備建立鏈接。其次，對(duì)網(wǎng)絡(luò)設(shè)備終端的唯一硬件序列號(hào)進(jìn)行加密，并將加密后的硬件序列號(hào)傳輸?shù)骄侄嗽O(shè)備。在局端設(shè)備路由環(huán)節(jié)，首先局端設(shè)備對(duì)接收到的網(wǎng)絡(luò)設(shè)備終端硬件序列號(hào)進(jìn)行解密，并在該硬件序列號(hào)上增加局端設(shè)備的路由信息［10］，并傳輸?shù)綌?shù)據(jù)安全接入平臺(tái)。在標(biāo)識(shí)互信認(rèn)證識(shí)別驗(yàn)證環(huán)節(jié)，安全接入平臺(tái)通過對(duì)網(wǎng)絡(luò)設(shè)備終端硬件序列號(hào)進(jìn)行驗(yàn)證，判斷是否是管轄范圍內(nèi)的終端。

2"" 網(wǎng)絡(luò)設(shè)備終端安全接入模型

2.1"" 網(wǎng)絡(luò)設(shè)備終端安全初始化

網(wǎng)絡(luò)設(shè)備終端安全初始化是網(wǎng)絡(luò)設(shè)備終端安全接入的關(guān)鍵環(huán)節(jié)，通過對(duì)網(wǎng)絡(luò)設(shè)備終端的上電自檢，配置接入IP地址等功能，實(shí)現(xiàn)特征信息的上傳。

首先在電力場(chǎng)站插入待驗(yàn)證的網(wǎng)絡(luò)設(shè)備終端設(shè)備，完成設(shè)備上電自檢，判斷終端自身的工作狀態(tài)及是否存在安全風(fēng)險(xiǎn)；同時(shí)與局端的主站終端建立E1通道，并完成通訊信號(hào)的同步。然后接入的網(wǎng)絡(luò)設(shè)備終端向局端主站設(shè)備請(qǐng)求IP地址，在獲得局端主站設(shè)備主站的IP地址后，進(jìn)行安全接入IP配置。并建立TCP 連接和心跳包響應(yīng)。最后，網(wǎng)絡(luò)設(shè)備終端對(duì)設(shè)備類型和唯一硬件序列號(hào)進(jìn)行加密，并將加密后的信息上報(bào)到局方主站終端，以用于網(wǎng)絡(luò)設(shè)備終端鑒權(quán)。

2.2"" 局端設(shè)備路由

局端主站設(shè)備在接收網(wǎng)絡(luò)設(shè)備終端設(shè)備類型和硬件序列號(hào)進(jìn)行解密，獲得網(wǎng)絡(luò)設(shè)備終端的設(shè)備唯一硬件序列號(hào)，并封裝網(wǎng)絡(luò)設(shè)備終端硬件序列號(hào)的消息發(fā)送到鏈路層。其次，局端主站設(shè)備將鏈路層的網(wǎng)絡(luò)設(shè)備終端硬件序列號(hào)增加路由數(shù)據(jù)后進(jìn)行封裝。最后，局端主站設(shè)備通過物理層向安全接入平臺(tái)傳輸帶路由信息的網(wǎng)絡(luò)設(shè)備終端設(shè)備硬件序列號(hào)。

設(shè)網(wǎng)絡(luò)設(shè)備終端硬件的個(gè)數(shù)為n，序列號(hào)為[Cid]，路由信息為[Re]，封裝后的信息[Eid]為：

[Eid=i=1nCidi×Rei]"""""""""""""""""""""""""" （1）

設(shè)傳輸?shù)母蓴_信息為[?f]，傳遞到安全平臺(tái)的信息[Ec]為：

[Ec=Eid+?f]"""""""""""""""""""""nbsp;"""""" （2）

設(shè)安全接入平臺(tái)的校驗(yàn)信息為[ω]，校驗(yàn)后的網(wǎng)絡(luò)設(shè)備終端序列號(hào)信息[Ed]為：

[Ed=Ecω]""""""""""""""""""""""""""""" （3）

2.3"" 標(biāo)識(shí)互信認(rèn)證識(shí)別驗(yàn)證

安全接入平臺(tái)在接收到網(wǎng)絡(luò)設(shè)備終端序列號(hào)后，通過標(biāo)識(shí)互信認(rèn)證對(duì)其硬件序列號(hào)的合法性進(jìn)行檢測(cè)。首先安全接入系統(tǒng)通過接口查詢供電企業(yè)物資系統(tǒng)的收貨記錄，判斷網(wǎng)絡(luò)設(shè)備終端的序列號(hào)是否在購買的批次內(nèi)，如果在購買的批次內(nèi)，則認(rèn)證通過；如果不在物資系統(tǒng)的批次內(nèi)，則安全接入平臺(tái)通過接口查詢供電企業(yè)的生產(chǎn)系統(tǒng)，查詢未報(bào)廢的網(wǎng)絡(luò)設(shè)備終端序列號(hào)，如果查詢到該終端，則認(rèn)證通過，將認(rèn)證通過信息發(fā)送到網(wǎng)絡(luò)設(shè)備終端。若未發(fā)現(xiàn)此設(shè)備的序列號(hào)，則認(rèn)證不通過，并發(fā)送信息提醒管理人員有未知的設(shè)備進(jìn)行接入嘗試，并拒絕該網(wǎng)絡(luò)設(shè)備終端的接入。

標(biāo)識(shí)互信認(rèn)證協(xié)議是一種狀態(tài)附表拷貝的算法［11?12］，通過服務(wù)為標(biāo)識(shí)狀態(tài)建模，通過標(biāo)識(shí)狀態(tài)在分布式網(wǎng)絡(luò)設(shè)備終端的不同節(jié)點(diǎn)進(jìn)行副本復(fù)制，實(shí)現(xiàn)了服務(wù)的共識(shí)認(rèn)證，基于標(biāo)識(shí)互信認(rèn)證網(wǎng)絡(luò)設(shè)備終端安全接入算法：

輸入：終端數(shù)量m，終端序列號(hào)j，路由信息k，檔案信息q

輸出：終端認(rèn)證是否通過os

function BINSEG（j，k）

if m=0" then

STOP

else

[ji=qi]"" add os" to the set""" BINSEG（）

else"" STOP

end if

end function

3"" 網(wǎng)絡(luò)設(shè)備終端安全仿真流程

通過局端主站統(tǒng)一認(rèn)證方式及特殊協(xié)議字段控制方式實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)設(shè)備終端接入識(shí)別、鑒權(quán)和控制，流程如圖2所示。

4"" 算例分析

為驗(yàn)證文中所提基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法有效性，在某電站電力監(jiān)控與調(diào)度中心進(jìn)行了實(shí)例驗(yàn)證。驗(yàn)證信息環(huán)境選用了winServer，中央處理器為至強(qiáng)16核3.2 G，內(nèi)存32 GB。

4.1"" 網(wǎng)絡(luò)設(shè)備終端安全認(rèn)證接入時(shí)長(zhǎng)

網(wǎng)絡(luò)設(shè)備終端安全認(rèn)證模型的接入時(shí)長(zhǎng)是反映網(wǎng)絡(luò)設(shè)備終端安全認(rèn)證模型處理性能的核心指標(biāo)。網(wǎng)絡(luò)設(shè)備終端安全認(rèn)證接入時(shí)長(zhǎng)越短，則說明該模型安全接入認(rèn)證的速度越快。

選擇新接入的網(wǎng)絡(luò)設(shè)備終端個(gè)數(shù)分別為5、10、20、30、40、50、60、70、80、100條，采用文中所提的基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法與文獻(xiàn)5中的安全加密通信方法對(duì)比安全接入運(yùn)行時(shí)間長(zhǎng)度，對(duì)比的結(jié)果如表1所示。

由表1可見，文中所提基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法在安全接入時(shí)長(zhǎng)方面短于安全加密通信方法。

4.2"" 網(wǎng)絡(luò)設(shè)備終端安全認(rèn)證接入準(zhǔn)確率分析

網(wǎng)絡(luò)設(shè)備終端安全認(rèn)證接入準(zhǔn)確率是識(shí)別網(wǎng)絡(luò)設(shè)備終端的核心指標(biāo)，其計(jì)算方式是接入正確的設(shè)備數(shù)量與總體接入數(shù)量的比值，該準(zhǔn)確率越高，說明接入效果更好。

選擇安全接入的網(wǎng)絡(luò)設(shè)備終端數(shù)量為2 000、3 000、4 000、5 000、6 000、7 000、8 000、10 000條，采用文中所提基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法與安全加密通信方法比較安全接入準(zhǔn)確率，對(duì)比結(jié)果如圖3所示。

由圖3可見，文中所提基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法在接入準(zhǔn)確率方面優(yōu)于安全加密通信方法。

4.3"" 網(wǎng)絡(luò)設(shè)備終端安全認(rèn)證接入準(zhǔn)確率結(jié)果

采用文中所提的基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法進(jìn)行準(zhǔn)確率分析，選擇網(wǎng)絡(luò)設(shè)備終端數(shù)量為10 000、20 000個(gè)，結(jié)果如表2所示。

5"" 結(jié)語

為解決電力監(jiān)控與調(diào)度網(wǎng)絡(luò)中存在的安全接入認(rèn)證控制、交互難的問題，文中提出了一種基于標(biāo)識(shí)互信認(rèn)證的網(wǎng)絡(luò)設(shè)備終端安全接入方法。該方法將網(wǎng)絡(luò)設(shè)備終端硬件序列號(hào)上傳至局端設(shè)備，并在安全接入平臺(tái)采用標(biāo)識(shí)互信認(rèn)證技術(shù)，對(duì)網(wǎng)絡(luò)設(shè)備終端的硬件序列號(hào)進(jìn)行識(shí)別，驗(yàn)證網(wǎng)絡(luò)設(shè)備終端的合法性。其實(shí)例運(yùn)行結(jié)果驗(yàn)證了文中所提方法的有效性。

【參考文獻(xiàn)】

［1］""" 高宏，張俊嶺，宋曉東，等. 基于人工智能算法模型的化工電力安全監(jiān)控技術(shù)［J］. 粘接，2022，49（3）：186?191.

［2］""" 金寶霞，劉曉航，劉朋. 電力系統(tǒng)調(diào)度臺(tái)和監(jiān)控臺(tái)的改進(jìn)［J］. 科技風(fēng)，2018（24）：196.

［3］nbsp;"" 茍吉偉，田啟東，竇壯，等. 基于安全解析校核的調(diào)度電子化下令支撐系統(tǒng)設(shè)計(jì)［J］. 自動(dòng)化技術(shù)與應(yīng)用，2021，40（3）：74?77.

［4］""" 侯俊峰. 電力調(diào)度工作中線路安全操作分析［J］. 建筑工程技術(shù)與設(shè)計(jì)，2018（23）：2295.

［5］""" 劉剛，許艾，徐延明，等. 調(diào)度與變電站通信安全防護(hù)技術(shù)［J］. 南方電網(wǎng)技術(shù)，2021，15（5）：64?71.

［6］""" 馬寧. 基于電力通信網(wǎng)的電力調(diào)度數(shù)據(jù)網(wǎng)安全傳輸［J］. 魅力中國(guó)，2020（29）：344?345.

［7］""" 鄧勝忠. 海上風(fēng)電智慧安全調(diào)度平臺(tái)的建構(gòu)與分析［J］. 中國(guó)新技術(shù)新產(chǎn)品，2021（9）：15?17.

［8］""" 王儷宏，孫強(qiáng). 量子保密通信在鐵路調(diào)度通信中的應(yīng)用［J］. 鐵路通信信號(hào)工程技術(shù)，2021，18（6）：38?42.

［9］""" 陳云杰，游偉. 5G移動(dòng)通信中基于安全信任的網(wǎng)絡(luò)切片部署策略研究［J］. 通信技術(shù)，2020，53（9）：2206?2209.

［10］""" 唐冬來，李強(qiáng)，陳永東，等.基于電壓時(shí)空聚合曲線的" 鄉(xiāng)鎮(zhèn)配電臺(tái)區(qū)戶變關(guān)系識(shí)別方法［J］.電力系統(tǒng)自動(dòng)化，" 2023，47（19）：86?96.

［11］""" 鄭忠斌，劉皓若，王霞. 工業(yè)制品追溯中的標(biāo)識(shí)異構(gòu)" 問題研究［J］. 粘接，2022，49（1）：145?149.

［12］""" 孫知信，張?chǎng)危喾?，? 區(qū)塊鏈存儲(chǔ)可擴(kuò)展性研究進(jìn)" 展［J］. 軟件學(xué)報(bào)，2021，32（1）：1?20.