一种基于可信计算增强配电网络通信安全的方法
【专利摘要】本发明涉及一种基于可信计算增强配电网络通信安全的方法,所述方法包括(1)建立基于可信计算安全增强的通信协议模型;(2)设置模型中电力可信计算芯片ETM;(3)构建基于可信计算安全增强的配电网络通信协议。本发明不需要芯片属主管理功能,复杂的授权协议等管理得以简化,更着重实用性。同时,其密钥的公钥操作、完整性验证等操作都是在ETM内部完成;不仅能保证通信数据传输的安全,还能在通信前对终端身份和状态进行认证,有效避免恶意终端获取通信数据。
【专利说明】一种基于可信计算增强配电网络通信安全的方法【技术领域】
[0001]本发明属于电力系统安全领域,具体讲涉及一种基于可信计算增强配电网络通信安全的方法。
【背景技术】
[0002]智能电网是当前全球电力工业关注的热点,引领了电网的未来发展方向。基于公网的智能电网系统包含系统主站、通信网络和终端三层。使用公共网络传输包括电力二次系统在内的智能电网业务数据时,主要面临两个方面的风险:一是系统主站边界遭到来自公网的信息安全攻击,二是数据在公网中传输时受到攻击。同时,智能电网业务系统中存在大量基于单片机或嵌入式操作系统的设备,支持网络接入和访问,部分系统的终端设备放置在开放环境中,缺少有效的物理访问控制。以上这些特点都导致基于公网的智能电网系统容易遭受攻击。
[0003]在智能电网中,信息传输主要有两种方式:无线网络传输和有线网络传输。无线网络的传输安全性主要依靠802.11保护接入协议(WPA)。有线网络在传输信息时面临的威胁比较多样性,常见攻击手段有口令猜测、身份假冒、报文重放、报文篡改、特洛伊木马、中间人攻击等,安全性主要依靠防火墙技术、虚拟专用网(VPN)技术、安全套接层(SSL)技术和公钥基础设施(PKI)获得。其中安全套接层(SSL)技术提供的安全机制可以保证应用层数据在智能电网传输中不被窃听、伪造和窜改。基于SSL协议,国内外存在多种不同的解决方案来确保数据传输的安全性。SSLVPN是目前业界一种解决远程用户访问公司数据最简单、最安全的解决 技术,它基本上不受接入位置的限制,能遍历所NAT设备、基于代理的防火墙和状态检测防火墙。另外还可以采用软件配置、代理机制或SSL开发包等方案实现用SSL协议加强电力系统网络应用的安全性。
[0004]可信计算技术提供基于硬件的终端安全保护,对于智能电网配电网络而言,可以有效保证配电终端以及系统主站在通信时的身份与状态认证,进一步保证通信数据不会传递给恶意终端,保障数据安全,是一种很好的增强网络通信安全的解决方案。可信计算技术是在国际可信计算组织TCG (Trusted Computing Group)的推动下发展起来的。TCG推出了一系列可信计算规范,通过这些规范定义了可信计算及其功能。TCG提出的可信计算思想是在终端嵌入硬件芯片可信平台模块TPM (Trusted Platform Module)来保护终端安全,将TPM视为终端信任根为终端提供安全功能支持。随后,我国也推出了我国自主安全芯片TCM (Trusted Cryptography Module), TCM完全米用我国自主研发的密码算法,并且国家密码管理局于2007年发布了针对TCM的相关可信计算规范。
[0005]基于可信计算芯片TPM/TCM可以硬件唯一标识终端平台身份,用于在终端进行网络通信时进行身份认证,以确保交互终端的正确性。同时,基于TPM/TCM芯片的完整性度量能力及安全存储能力,可以实时记录终端完整性状态,一方面可以用于保证终端自身启动运行的安全性,另一方面可以在网络通信时向对方证明自身的运行状态,以确保交互终端状态的正确性。
【发明内容】
[0006]针对现有技术的不足,本发明提供一种基于可信计算增强配电网络通信安全的方法,提出了适合公网的智能电网系统的安全增强的通信协议,一种基于可信计算技术与SSL/TLS协议的配电网络通信安全增强方案,该方法以IEC60870 - 5 - 104电力通信协议为例,基于可信计算技术与SSL/TLS协议对该通信协议进行了安全扩展,给出了配电网络通信安全增强方案,为配电网络通信提供特别的保护。
[0007]本发明的目的是采用下述技术方案实现的:
[0008]一种基于可信计算增强配电网络通信安全的方法,其改进之处在于,所述方法包括
[0009]( I)建立基于可信计算安全增强的通信协议模型;
[0010](2)设置模型中电力可信计算芯片ETM;
[0011](3)构建基于可信计算安全增强的配电网络通信协议。
[0012]优选的,所述步骤(I)包括在IEC60870-5-104规约中引入SSL/TLS协议和可信计算芯片ETM,兼容现有电力通信协议构建基于可信计算安全增强的通信协议模型。
[0013]优选的,所述步骤(2)包括设置电力通信协议安全增强的电力可信计算芯片ETM,用于支持通信协议中对终端身份和状态的认证。
[0014]优选的,所述步骤(3)包括通过扩展握手协议在SSL/TLS协议中调用ETM芯片,在兼容SSL/TLS协议的基础上实现对终端身份和状态的认证。
[0015]进一步地,所述握手协议包括身份证书链消息、完整性验证消息和交换密钥消息。
[0016]进一步地,所述身份证书链消息包括电力系统CA系统颁发的证书链;
[0017]所述配电终端部署为网省单位,证书链的第一个证书为基于ETM的终端身份证书,第二个为电力系统2级CA证书,第三个为电力系统根CA证书;通过所述电力系统根CA证书验证2级CA证书,通过2级CA证书验证终端身份证书;
[0018]所述配电终端部署为地市级单位,证书链的第一个证书为终端身份证书,第二个为电力系统3级CA证书,第三个为2级CA证书,第四个为电力系统根CA证书;通过所述电力系统根CA证书验证2级CA证书,通过2级CA证书验证3级CA证书,通过3级CA证书验证终端身份证书。
[0019]进一步地,所述完整性验证消息包括配电终端ETM中的PCR的值以及基于ETM终端身份密钥的私钥对该PCR的签名。
[0020]进一步地,所述配电终端将其ETM中PCR做hash运算,通过ETM的身份密钥私钥对该运算结果进行签名一并发至电力系统主站。
[0021]进一步地,所述交换密钥消息采用SSL/TLS协议的交换密钥消息模式。
[0022]与现有技术比,本发明的有益效果为:
[0023]1、在IEC60870-5-104的网络参考模型中引入了可信计算增强的SSL/TLS协议,与高层应用协议和底层网络协议无关,无需对其数据结构、内容进行改动,可以方便地集成到智能电网配电网络中;
[0024]2、ETM具有精简的命令集,没有用户的概念,不需要芯片属主管理功能,复杂的授权协议等管理得以简化,更着重实用性。同时,其密钥的公钥操作、完整性验证等操作都是在ETM内部完成;
[0025]3、在SSL/TLS协议中调用ETM扩展原有协议,不仅能保证通信数据传输的安全,还能在通信前对终端身份和状态进行认证,有效避免恶意终端获取通信数据。
【专利附图】
【附图说明】
[0026]图1为本发明提供的一种基于可信计算增强配电网络通信安全示意图。
[0027]图2为本发明提供的基于ETM扩展的握手协议消息流示意图。
【具体实施方式】
[0028]下面结合附图对本发明的【具体实施方式】作进一步的详细说明。
[0029]本发明一种基于可信计算增强配电网络通信安全的方法,具体如下:
[0030]( I)建立基于可信计算安全增强的通信协议模型
[0031]在智能电网电力通信规约中,IEC60870-5-104是采用TCP/IP协议实现的网络访问。基于可信计算技术,结合现有网络通信协议SSL/TLS的优势对IEC60870-5-104协议进行改进,能有效增强现有电力通信网络安全。
[0032]改进后的IEC60870-5-104网络参考模型如附图1所示。SSL/TLS协议本就是架构在TCP/IP协议与应用层之间的,在IEC60870-5-104的网络参考模型中引入SSL/TLS协议,同时在SSL/TLS协议增加对可信计算远程证明功能的调用,即可实现对IEC60870-5-104协议的安全性增强,不仅增强了网络传输数据的安全,同时还实现了对电力系统中系统主站对终端的身份认证和状态认证,进一步保证电力数据的安全。
[0033](2)设置电力可信计算芯片ETM功能
[0034]在SSL/TLS协议中调用可信计算身份认证、状态认证功能,则首先必须在电力系统配电终端嵌入可信计算安全芯片。当前的现有可信计算安全芯片主要是面向PC终端的,有国际可信计算组织TCG定义的可信平台模块TPM以及我国自主定义生产的可信密码模块TCM。由于电力行业设备与传统的PC和服务器的特点并不相同,所以TPM、TCM安全芯片并不能直接引入至电力配电终端。
[0035]电力可信计算安全芯片为电力可信模块ETM,采用的密码算法与国产安全芯片TCM相同。ETM与TCM不同的是,一方面在于命令集的精简,表现在ETM没有用户的概念,即不需要芯片属主管理功能;密钥个数及功能使用有限,无需繁琐的密钥管理等功能;复杂的授权协议等管理得以简化,更着重实用性。另一方面考虑到ETM的特殊使用场景,与TCM不同,密钥的公钥操作、完整性验证等操作都是在ETM内部完成。
[0036]与PC终端运行环境不同,电力配电终端环境比较单一,只有少量应用程序,在配电终端置入安全芯片ETM,在终端启动时ETM中的PCR将实时记录启动代码、操作系统(若该配电终端配有操作系统)及相应应用程序的完整性值。同时,利用电力系统的现有CA系统,基于配电终端ETM的身份密钥为终端颁发身份证书。架构在IEC60870-5-104协议中的SSL/TLS协议,通过调用ETM的身份密钥对PCR记录的终端完整性值签名,并将该签名随同身份证书一并发送给通信方,以此证明终端身份、状态。而通信方通过对其身份证书、PCR完整性值的验证来完成身份和状态认证,其中对PCR完整性值的验证主要依赖于电力系统CA系统为PCR完整性参考值颁发的证书。[0037](3)构建基于可信计算安全增强的配电网络通信协议
[0038]在配电网络通信协议IEC60870-5-104中融合SSL/TLS协议及可信计算技术,可以有效增强其安全性。在IEC60870-5-104的TCP/TP协议层之上增加SSL/TLS协议层,无需对其数据结构、内容进行改动,关键还在于在SSL/TLS层对电力安全芯片ETM的调用。
[0039]ETM在SSL/TLS层的调用与在SSL/TLS层调用安全芯片TPM/TCM类似,实际也是扩展其原有的握手协议,使其支持终端身份及状态认证。对于完整的扩展握手过程而言,首先是身份验证,接着是完整性值验证,最后交换共享密钥。在电力配电终端与系统主站首次协商即将建立通信会话之前,上述握手过程已经完成。
[0040]握手协议消息流参见附图2。在开始握手过程之前,配电终端已经配置有电力安全芯片ETM,同时电力系统CA系统已为其颁发了终端身份证书,并存储于ETM芯片内部。如果该终端身份证书是由电力系统CA系统的2级CA即省调CA颁发的,则电力系统根CA证书及2级CA证书也将随同身份证书一并存于ETM芯片内部;如果该终端身份证书是由电力系统CA系统的3级CA及地市CA颁发,则除了电力系统根CA证书、2级CA证书,3级CA证书也要随身份证书一并存入ETM芯片内部。
[0041]握手协议中,主要涉及三类消息流:
[0042]I)身份证书链消息
[0043]该消息中包含一个依托电力系统CA系统颁发的证书链。若该配电终端部署在网省单位,则该证书链的第一个证书是基于ETM的终端身份证书,第二个是电力系统2级CA证书,第三个是电力系统根CA证书,由于系统主站信任电力系统根CA,所以通过根CA证书验证2级CA证书,再通过2级CA证书验证终端身份证书,即可确认该配电终端的身份证书是可信的。若该配电终端部署在地市级单位,则相比前者其证书链要多一级,即第一个证书是终端身份证书,第二个是电力系统3级CA证书,第二个是2级CA证书,第四个是电力系统根CA证书,同样的,系统主站通过根CA证书验证2级CA证书,再通过2级CA证书验证3级CA证书,最后通过3级CA证书验证终端身份证书,从而确认配电终端身份证书的可信性。基于该终端身份证书,系统主站可以确定欲与其通信的配电终端是基于安全芯片ETM的,并且能知道其ETM以及终端平台的概要信息。
[0044]依赖于身份证书链对配电终端身份的验证,从而确定接下来的消息结构决定是否继续对终端完整性进行验证。
[0045]2)完整性验证消息
[0046]该消息描述了配电终端的终端详细信息,主要包括配电终端ETM中的PCR的值以及基于ETM终端身份密钥的私钥对该PCR的签名。
[0047]配电终端将其ETM中PCR记录的所有完整性值发送给系统主站,主要包括:
[0048]PCR [0] =hash (关键寄存器);
[0049]PCR[l]=hash(位于固定地址的运行空间代码);
[0050]PCR[2]=hash(Bootloader);
[0051]PCR[3]=hash (OS Kernel);
[0052]PCR [4] =hash (应用程序)。
[0053]将PCR的值连接重新做hash运算,然后用ETM的身份密钥私钥对该运算结果进行签名一并发给系统主站。该计算过程直接调用ETM命令ETM_Quote即可完成。[0054]PCR值及签名结果传递到系统主站,该PCR值即反映了配电终端从启动代码到应用程序的全面状态。基于系统主站之前验证的终端身份证书,即可对终端发过来的签名进行验证,一旦验证成功则系统主站就可以信任配电终端发送的描述其完整性状态的PCR值是真实的,从而可以用来判定终端状态是否可信。
[0055]PCR完整性参考值被用于判定配电终端状态是否可信,将接收到PCR值与参考值进行比较,如果相同则认为终端状态可信。为此,在建立握手协议之前,系统主站需要存储这些完整性参考值。PCR完整性参考值是以证书的形式由电力系统CA系统发布,跟终端身份证书一样,根据系统主站的部署位置不同,可获取由2级CA或者3级CA发布的完整性参考值证书。系统主站在获取完整性参考值证书之后,也需要通过电力系统根CA证书、2级CA证书、3级证书,上级证书验证下级的方式,验证完整性参考值证书的可信性。一旦验证通过,即可比照该参考值对配电终端的PCR值进行可信判定。
[0056]3)交换密钥消息
[0057]握手协议中仍然采取原有的SSL/TLS协议的交换密钥消息模式。这是由于虽然在配电终端配置了 ETM芯片,但是ETM芯片不影响SSL/TLS协议产生交换密钥。
[0058]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述方法包括 (1)建立基于可信计算安全增强的通信协议模型; (2)设置模型中电力可信计算芯片ETM; (3)构建基于可信计算安全增强的配电网络通信协议。
2.如权利要求1所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述步骤(I)包括在IEC60870-5-104规约中引入SSL/TLS协议和可信计算芯片ETM,兼容现有电力通信协议构建基于可信计算安全增强的通信协议模型。
3.如权利要求1所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述步骤(2)包括设置电力通信协议安全增强的电力可信计算芯片ETM,用于支持通信协议中对终端身份和状态的认证。
4.如权利要求1所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述步骤(3)包括通过扩展握手协议在SSL/TLS协议中调用ETM芯片,在兼容SSL/TLS协议的基础上实现对终端身份和状态的认证。
5.如权利要求4所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述握手协议包括身份证书链消息、完整性验证消息和交换密钥消息。
6.如权利要求5所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述身份证书链消息包括电力系统CA系统颁发的证书链; 所述配电终端部署为网省单位,证书链的第一个证书为基于ETM的终端身份证书,第二个为电力系统2级CA证书,第三个为电力系统根CA证书;通过所述电力系统根CA证书验证2级CA证书,通过2级CA证书验证终端身份证书; 所述配电终端部署为地市级单位,证书链的第一个证书为终端身份证书,第二个为电力系统3级CA证书,第三个为2级CA证书,第四个为电力系统根CA证书;通过所述电力系统根CA证书验证2级CA证书,通过2级CA证书验证3级CA证书,通过3级CA证书验证终端身份证书。
7.如权利要求5所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述完整性验证消息包括配电终端ETM中的PCR的值以及基于ETM终端身份密钥的私钥对该PCR的签名。
8.如权利要求7所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述配电终端将其ETM中PCR做hash运算,通过ETM的身份密钥私钥对该运算结果进行签名一并发至电力系统主站。
9.如权利要求5所述的一种基于可信计算增强配电网络通信安全的方法,其特征在于,所述交换密钥消息采用SSL/TLS协议的交换密钥消息模式。
【文档编号】H04L29/06GK103684793SQ201310728106
【公开日】2014年3月26日 申请日期:2013年12月25日 优先权日:2013年12月25日
【发明者】徐震, 于爱民, 汪丹, 杨溢学, 王志皓, 赵保华 申请人:国家电网公司, 中国电力科学研究院, 中国科学院信息工程研究所, 国网辽宁省电力有限公司