能量管理信息系统数据加密及身份认证技术浅析

【摘要】随着电力行业信息化化程度越来越高，作为基础数据采集能量管理信息系统扮演着越来重要的角色，是电力系统自动化及数据分析的重要保证。同时，能量管理信息系统的安全性不仅关系到企业和人们的经济利益和基本生活，还与国家的安全息息相关，因此，需要通过相关的技术来保证其安全性。本文就能量管理信息系统概述作为切入点，简要阐述以SM2为基础的加密技术的身份认证最后分析以SM2为基础的加密技术在能量管理信息系统中身份认证的实现。

【关键词】能量管理信息系统;数据加密;身份认证

引言

进入21世纪之后，信息技术取得飞跃的发展，许多领域也因其在发展空间上有了显著的提高。但是，网络安全问题也随之增加，黑客入侵和网络攻击频繁滋生，同时，计算机网络技术的普及，导致计算机成为了公众工作和生活中不可缺少的必需品，尤其在公用信息基础设置上，无论是企业还是政府需要用到信息系统，致使一些关系到国家发展的业务和系统面临着巨大地挑战。电力行业作为我国重要的能量生产行业，其信息系统的安全性更是需要企业甚至政府的重视。

一、能量管理信息系统安全保护的概述

目前，信息系统和不同类型自动化控制的设备广泛应用在电力的各项环节上，例如输电、变电、用电等环节。电力生产在我国经济的发展中占据重要的地位，其系统的安全性也与国家安全相互联系。如果电力系统瘫痪，除了会造成不可预计的经济损失之外，还会对国家的安全和社会的稳定造成严重的影响。能量管理信息系统需要通过公网采集电能量数据，这样就给数据安全带来了极大的隐患，因此必须采取先进的措施对其进行保护。针对这种情况，国家电力的相关部门专门制定了《电力二次系统安全防护规定》，其作用是对能量管理信息系统在安全保护工作上进行指导;同时，电力系统的领导企业也针对性地制定具体方案，比如南方电网公司制定的《中国南方电网电力二次系统安全防护技术规范》。在等级保护的许多技术中，身份鉴别技术属于非常重要的内容，其中口令技术广泛用于电力行业的信息系统中，其作用是验证用户的身份。但是，密码口令在安全强度上却比较弱，破解率很高，尤其是一些供电局在对系统维护上，为了方便省事，把主机、数据库等重要信息存储器的管理密码告知厂家的维护人员，这样很容易导致密码泄露，使电力系统重要信息被窃取。

二、以SM2算法为基础的身份认证原理

（一）SM2算法的加解密过程

SM2算法实质上就是椭圆曲线的公钥密码算法，来源于国家密码管理局。为了适合电力认证服务以及类似系统的应用需求，国家密码管理局针对SM2算法提供参考曲线参数。公钥秘法算法也可以称作非对称密码算法，主要应用在身份认证以及会话密钥协商，这种算法是有一对密钥组成，即公钥和私钥，加密过程如图1所示。

图1显示的加密过程是用户A将数据发送给用户B。其中密钥K1和K2分别用于数据的加密和解密，为了保证明文P的正确性，必须使K1和K2在使用的过程中相互配合，Ek1（P）是一种加密运算，运算对象是密钥K1，被运算对象是数据P。密钥K1和K2分公钥和私钥，私钥归用户，由其自己保存，不公开，不传输，公钥属于公开密钥，其认证和要通过机构的审核。公钥与密钥之间在数值上是不等的，并且K1无法直接退出K2，反之亦然。在非对称密码算法中，K1和K2属于两个参数，通常在通信实体中生成。

图1 公钥密码算法加密过程

（二）SM2算法的应用形式

加密技术在能量管理信息系统数据的传输上被得到广泛运用，比如各级调度机构间数据传输、主站与分站间等。在传统的生产业务系统中，其数字证书系统主要使用的是RSA密码算法，但是与SM2算法相比，RSA算法的运算速度、加密强度等都比较弱。所以，RSA算法逐渐淡出能量管理信息系统的安全保护中，而SM2算法成为能量管理信息系统中主要的加密技术。根据实际应用来看，SM2算法主要有三种应用形式。如图2所示。

图2 SM2算法的应用形式

图中显示的加密过程是用户A将数据发送给用户B，用户A的公私钥对应的是（CertA，SkeyA），用户B的公私钥对应的是（CertB，SkeyB）。

通过CertB对数据进行加密，就算密文数据包ECertB被窃取，也不能对其进行破解，因为私钥SkeyB是由用户B保存，这样就可以保证数据传输的安全性和机密性。

通过SkeyA对数据进行加密，B收到信息之后，利用A的公钥CertA解密。如果数据经验证之后确认无误（不是第三冒充），这样就可以确定数据绝对是通过A发出，得出A不可抵赖的论证，从而保证数据传输的不可抵赖性。

通过公钥CertB和私钥SkeyA对数据进行双重加密，就能保证数据传输的不可否认性和机密性。

（三）数字签名算法

SM2应用的第二种形式保证了数据传输具有不可抵赖性。但是在能量管理信息系统中，基本上不使用私钥中的不可抵赖运算将整个数据加密，而是先将数据经过hash运算，然后通过私钥加密，最后把加密结果加入到源数据中，这个过程就被称作数字签名算法，其具体过程如图3所示。

图3 数字签名算法过程示意图

（四）SM2算法的数字证书系统

SM2算法虽然把数据传输的机密性和不可抵赖性问题解决了，但是关于通信实体自身身份的合法性还没有解决。以SM2算法为基础的身份认证系统，其身份的合法性应得到证书机构CA以及注册机构RA的确认。针对这个系统，证书标准是X.509，证书的格式如图4所示。

图4 X.509数字证书标准

三、以SM2算法为基础的身份证的实现

在供电局生产业务系统的标准配置中，装备了EMS能量管理系统服务器、SCADA服务器和历史数据服务器等，利用管理终端工作站，调度员管理和监控电力生产系统。

以SM2算法为基础的身份认证系统的登录方式是USB-KEY。USB-KEY中不仅包括了用户的信息，还包括了私钥的信息，只有获得了认证中心的认证，才能对系统进行访问，其认证体系主要以PKI为基础。

（一）USB-KEY的证书签发

USB-KEY数字证书系统证书的制作过程：（如图5所示）。

图5 USB-KEY的数字证书制作过程

第一步，USB-KEY与数字证书系统连接，数字证书系统将其进行初始化的处理，USB-KEY内部电路生成公私密钥对;第二步，USB-KEY提出证书请求，然后将其文件P#10发送到数字证书系统;第三步，数字证书系统按照9#10文件，根据X.509的格式制作USB-KEY的数字证书，该证书就包括了数字签名。

（二）管理终端的证书签发

管理终端工作站的数字证书还是需要数字证书系统签发，实际上就是将根数字证书安装到管理终端工作站中，这种数字证书也拥有证书系统的公钥。其格式和USB-KEY证书签发的过程相似，且其登录方式也变成USB-KEY的登录方式。

四、结语

身份鉴别技术是数据库安全中非常重要的加密技术，根据能量管理信息系统应用身份鉴别技术的现状来看，能量管理信息系统中主要采用口令方式的身份鉴别，这种方式在安全强度上较弱。而以SM2算法为基础身份鉴别技术在非对称密码算法中在加密速度和加密高强度上都要优于RSA密码算法。通过USB-KEY方式作为身份鉴别系统，又让这种算法的又具有一定可操作性。因此，在能量管理信息系统的等级保护中采用这种身份鉴别技术对系统的身份鉴别强度较高。

参考文献

[1]朱世顺.信息安全等级保护在能电力信息系统中的应用[J].电力信息化，2010，（04）.

[2]张海彬.黑龙江省能量电力信息系统等级保护技术安全设计[J].电力信息化，2010，（07）.

[3]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密，2011，（12）.