cription-url="https://mmbiz.qpic.cn/mmbiz_png/TPQsMW6ic4LEBy2FcPofR16ZzeDalNDg81sxxRY3pmJ5JdVyWYvgbZUCESoQicJJwI0rvGy5EaZgKIxhBuu7kImg/640?wx_fmt=png" data-backw="543" data-ratio="0.2531041069723018" data-cropselx2="615" data-cropsely1="0" data-cropsely2="135">

針對(duì)新能源集控系統(tǒng)面臨的安全威脅，研究擬態(tài)防御理論以及新能源集控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)結(jié)構(gòu)、應(yīng)用結(jié)構(gòu)與關(guān)鍵數(shù)據(jù)，構(gòu)建一個(gè)使用商用密碼技術(shù)對(duì)新能源集控系統(tǒng)的關(guān)鍵數(shù)據(jù)進(jìn)行保護(hù)的商用密碼擬態(tài)防御異構(gòu)冗余架構(gòu)，以提升新能源集控系統(tǒng)的內(nèi)生安全防護(hù)能力。通過介紹擬態(tài)防御異構(gòu)冗余架構(gòu)與商用密碼技術(shù)融合的新能源工程應(yīng)用案例，展示了商用密碼技術(shù)對(duì)新能源集控系統(tǒng)關(guān)鍵數(shù)據(jù)的機(jī)密性及完整性保護(hù)效果，驗(yàn)證了擬態(tài)防御理論的有效性和優(yōu)越性。

近年來，為盡快實(shí)現(xiàn)“碳達(dá)峰、碳中和”的目標(biāo)，減少二氧化碳排放增加給全球氣候帶來的影響，全國(guó)新能源企業(yè)加快了以風(fēng)力發(fā)電、光伏發(fā)電為代表的新能源場(chǎng)站的建設(shè)速度。由于新能源場(chǎng)站的建設(shè)地址較為偏僻，場(chǎng)站分布不集中，且場(chǎng)站數(shù)量呈增多趨勢(shì)，造成新能源企業(yè)對(duì)每個(gè)場(chǎng)站進(jìn)行單獨(dú)管理的成本高、效率低 。越來越多的能源企業(yè)正在規(guī)劃滿足未來建設(shè)和發(fā)展需要的新能源集控系統(tǒng)，實(shí)現(xiàn)場(chǎng)站“無人值守、少人值班”的運(yùn)行方式，通過集控系統(tǒng)遠(yuǎn)程對(duì)場(chǎng)站進(jìn)行指令控制和遠(yuǎn)程監(jiān)視。

但新能源集控系統(tǒng)中的一些常見的工控協(xié)議，在設(shè)計(jì)之初并沒有考慮到對(duì)規(guī)約數(shù)據(jù)實(shí)施加密性、完整性等方面的安全防護(hù)措施。明文的控制指令和遠(yuǎn)程監(jiān)視規(guī)約數(shù)據(jù)在集控系統(tǒng)網(wǎng)絡(luò)中傳輸時(shí)容易被非法竊聽和篡改。通常在新能源集控系統(tǒng)中部署服務(wù)器密碼機(jī)為業(yè)務(wù)系統(tǒng)提供密碼運(yùn)算服務(wù)，業(yè)務(wù)系統(tǒng)調(diào)用密碼運(yùn)算服務(wù)實(shí)現(xiàn)對(duì)控制指令和監(jiān)視數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性保護(hù)。當(dāng)服務(wù)器密碼機(jī)被攻擊后，業(yè)務(wù)系統(tǒng)或者因無法調(diào)用密碼運(yùn)算服務(wù)而導(dǎo)致傳輸控制指令和監(jiān)視數(shù)據(jù)明文傳輸，或者因使用錯(cuò)誤的密鑰保護(hù)控制指令和監(jiān)視數(shù)據(jù)而導(dǎo)致業(yè)務(wù)不通。

本文通過研究新能源集控系統(tǒng)的網(wǎng)絡(luò)、業(yè)務(wù)及應(yīng)用的特征，基于擬態(tài)防御理論，構(gòu)建一個(gè)商用密碼技術(shù)應(yīng)用的內(nèi)生安全防護(hù)架構(gòu)，以提升新能源集控系統(tǒng)的主動(dòng)防御能力。

1

新能源集控系統(tǒng)

新能源集控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)安全采用“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的基本安全防護(hù)策略。集控中心至場(chǎng)站的網(wǎng)絡(luò)一般租用運(yùn)營(yíng)商專線建設(shè)，集控系統(tǒng)的網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)與管理信息大區(qū)，二者之間部署正向網(wǎng)絡(luò)安全隔離裝置，只允許生產(chǎn)控制大區(qū)的數(shù)據(jù)單向轉(zhuǎn)發(fā)至管理信息大區(qū)。

新能源集控系統(tǒng)的業(yè)務(wù)數(shù)據(jù)分為下行控制指令及上行監(jiān)控?cái)?shù)據(jù)，主要基于 IEC-60870-5-104（以下簡(jiǎn)稱“IEC 104”）、Modbus-TCP（以下簡(jiǎn)稱“Modbus”）等常見規(guī)約報(bào)文進(jìn)行通信。IEC 104 規(guī)約及 Modbus 規(guī)約均使用 TCP 協(xié)議傳輸了一個(gè)與基礎(chǔ)通信層無關(guān)的應(yīng)用規(guī)約數(shù)據(jù)單元（Application Protocol Data Unit，APDU）。兩種規(guī)約封裝傳輸格式一致，如圖 1 所示。

圖 1 應(yīng)用規(guī)約數(shù)據(jù)單元 TCP 傳輸格式

IEC 104 規(guī)約及 Modbus 規(guī)約在設(shè)計(jì)之初，未考慮任何對(duì)規(guī)約數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性等方面的保護(hù)措施，因此這兩個(gè)規(guī)約均不具有防竊取和防篡改的能力。新能源集控系統(tǒng)正面臨著控制指令、監(jiān)控?cái)?shù)據(jù)容易被竊取和篡改的嚴(yán)重隱患。

2

擬態(tài)防御

擬態(tài)防御是鄔江興院士首創(chuàng)的主動(dòng)防御理論，是一個(gè)具有普適性、創(chuàng)新性的防御理論和方法。基于“結(jié)構(gòu)決定安全的猜想”，擬態(tài)防御為系統(tǒng)提供內(nèi)生安全的能力，可應(yīng)對(duì)不同種類、不同來源的攻擊與威脅。通過動(dòng)態(tài)調(diào)度機(jī)制和負(fù)反饋控制機(jī)制保證系統(tǒng)的動(dòng)態(tài)性、變化性，通過多模裁決機(jī)制保證系統(tǒng)的魯棒性。

擬態(tài)防御的核心架構(gòu)是動(dòng)態(tài)異構(gòu)冗余（Dynamic Heterogeneous Redundancy，DHR），如圖 2 所示。

圖 2 DHR 結(jié)構(gòu)

擬態(tài)防御允許由功能等價(jià)的軟硬件變結(jié)構(gòu)協(xié)同處理機(jī)制，可以采用組合或混合的環(huán)境構(gòu)成方式，包括但不限于不同的軟件、硬件、操作系統(tǒng)、編程語言等實(shí)現(xiàn)各種功能等價(jià)的異構(gòu)執(zhí)行體 。這些功能等價(jià)的異構(gòu)執(zhí)行體組成了一個(gè)異構(gòu)執(zhí)行體池。

DHR 結(jié)構(gòu)的原理為：從異構(gòu)執(zhí)行體池中動(dòng)態(tài)地、隨機(jī)地選擇部分執(zhí)行體構(gòu)成執(zhí)行體集，然后輸入代理將輸入數(shù)據(jù)分發(fā)給各個(gè)執(zhí)行體進(jìn)行執(zhí)行、處理。表決器對(duì)每個(gè)執(zhí)行體所執(zhí)行的結(jié)果進(jìn)行判定，裁決出近似正確的結(jié)果并輸出，識(shí)別出異常的執(zhí)行體并標(biāo)記不再信任 。當(dāng)少數(shù)異構(gòu)執(zhí)行體被攻擊后，通過 DHR總能夠得到正確的運(yùn)算結(jié)果。只有在全部異構(gòu)體被攻擊，且每個(gè)異常異構(gòu)體運(yùn)算的結(jié)果一樣時(shí)，DHR 才可能無法發(fā)現(xiàn)系統(tǒng)被攻擊了。對(duì)于未知威脅的防范問題，也被 DHR 的物理機(jī)制轉(zhuǎn)換為對(duì)未知威脅的控制問題，轉(zhuǎn)換為對(duì)所有異構(gòu)執(zhí)行體同時(shí)出現(xiàn)運(yùn)算錯(cuò)誤的判定問題。系統(tǒng)抗攻擊能力提升，攻擊者也被迫從對(duì)單一目標(biāo)的攻擊轉(zhuǎn)變?yōu)閷?duì)全部異構(gòu)體的攻擊。系統(tǒng)通過 DHR 識(shí)別出異常的執(zhí)行體并標(biāo)記為不可再信任。

3

密碼保護(hù)的擬態(tài)防御架構(gòu)

3.1 框架介紹

從擬態(tài)防御的核心架構(gòu)出發(fā)，構(gòu)造一個(gè)適用于新能源集控系統(tǒng)的針對(duì)關(guān)鍵數(shù)據(jù)機(jī)密性保護(hù)和防篡改的密碼服務(wù)擬態(tài)防御架構(gòu)，如圖 3所示。

圖 3 新能源集控密碼服務(wù)擬態(tài)防御框架

（1）密碼服務(wù)異構(gòu)冗余執(zhí)行體池。密碼服務(wù)異構(gòu)執(zhí)行體包括：國(guó)產(chǎn)化服務(wù)器密碼機(jī)、非國(guó)產(chǎn)化服務(wù)器密碼機(jī)、加密卡、密碼軟模塊等具有密鑰存儲(chǔ)、密鑰擴(kuò)散、密碼運(yùn)算、哈希運(yùn)算及隨機(jī)數(shù)生成能力的硬件裝置或密碼模塊，多個(gè)密碼服務(wù)異構(gòu)執(zhí)行體一起組成一個(gè)密碼服務(wù)異構(gòu)冗余執(zhí)行體池。密碼服務(wù)異構(gòu)冗余執(zhí)行體池中的每個(gè)獨(dú)立個(gè)體有著相同的密鑰。

（2）密碼運(yùn)算調(diào)度模塊。密碼運(yùn)算調(diào)度模塊部署于新能源集控系統(tǒng)服務(wù)器及接口機(jī)上，具備加密、解密、哈希運(yùn)算接口，可產(chǎn)生隨機(jī)數(shù)作為密碼運(yùn)算的因子。密碼運(yùn)算調(diào)度模塊負(fù)責(zé)在異構(gòu)冗余執(zhí)行體池中隨機(jī)選擇至少 3 個(gè)處于可用狀態(tài)的異構(gòu)執(zhí)行體進(jìn)行密碼運(yùn)算。

（3）密碼運(yùn)算裁決模塊。密碼運(yùn)算裁決模塊負(fù)責(zé)進(jìn)行多模裁決，對(duì)異構(gòu)執(zhí)行體的密碼運(yùn)算結(jié)果進(jìn)行表決，輸出運(yùn)算結(jié)果的大多數(shù)值，并將運(yùn)算結(jié)果為異?；蝈e(cuò)誤的執(zhí)行體信息反饋至負(fù)反饋控制器模塊。

（4）負(fù)反饋控制器模塊。負(fù)反饋控制器模塊根據(jù)密碼運(yùn)算裁決模塊的結(jié)果，對(duì)異構(gòu)冗余執(zhí)行體池中的執(zhí)行體標(biāo)記是否可用，并將執(zhí)行體狀態(tài)同步到密碼運(yùn)算調(diào)度模塊。

（5）密鑰管理系統(tǒng)。密鑰管理系統(tǒng)部署于管理信息大區(qū)，負(fù)責(zé)對(duì)稱密鑰的產(chǎn)生、更新、銷毀等全生命周期管理，密鑰管理系統(tǒng)定時(shí)向各可用狀態(tài)的密碼服務(wù)異構(gòu)冗余執(zhí)行體分發(fā)相同的對(duì)稱密鑰。

3.2 工作機(jī)制

3.2.1 密鑰分發(fā)

將密鑰管理系統(tǒng)生成異構(gòu)執(zhí)行體所需的對(duì)稱密鑰，稱作主密鑰。由于新能源集控系統(tǒng)具有橫向隔離的網(wǎng)絡(luò)特性，密碼管理系統(tǒng)無法直接訪問密碼服務(wù)異構(gòu)執(zhí)行體，所以密碼服務(wù)異構(gòu)執(zhí)行體在上線前，由密鑰管理系統(tǒng)離線將前述主密鑰分發(fā)至各個(gè)異構(gòu)執(zhí)行體。使得所有密碼服務(wù)異構(gòu)執(zhí)行體使用相同的主密鑰。

當(dāng)負(fù)反饋控制器發(fā)現(xiàn)大多數(shù)密碼服務(wù)異構(gòu)執(zhí)行體的密碼運(yùn)算結(jié)果不一致時(shí)，會(huì)由密鑰管理系統(tǒng)離線更新各個(gè)異構(gòu)執(zhí)行體的主密鑰。

3.2.2 異構(gòu)體調(diào)度

當(dāng)需要進(jìn)行密碼運(yùn)算時(shí)，密碼運(yùn)算調(diào)度模塊首先從密碼服務(wù)異構(gòu)執(zhí)行體池中隨機(jī)選擇 3個(gè)或 3 個(gè)以上處于可用狀態(tài)的異構(gòu)執(zhí)行體組成異構(gòu)執(zhí)行體集，由異構(gòu)執(zhí)行體集進(jìn)行本次的密碼運(yùn)算。

若無法選擇至少 3 個(gè)異構(gòu)執(zhí)行體，則認(rèn)為系統(tǒng)遭到嚴(yán)重破壞，處于不可用狀態(tài)，并反饋管理員進(jìn)行問題排查。

在每次密碼運(yùn)算之前，均需進(jìn)行此操作，以實(shí)現(xiàn)異構(gòu)執(zhí)行體的動(dòng)態(tài)、冗余選擇，可有效減少異構(gòu)執(zhí)行體被破壞后對(duì)整個(gè)系統(tǒng)穩(wěn)定性的影響，保證系統(tǒng)的擬態(tài)防御能力及魯棒性。

3.2.3 加密過程

當(dāng)密碼運(yùn)算調(diào)度模塊收到輸入的明文數(shù)據(jù)時(shí)，會(huì)產(chǎn)生一組隨機(jī)數(shù)。密碼運(yùn)算調(diào)度模塊將這組隨機(jī)數(shù)與明文數(shù)據(jù)一起交由密碼服務(wù)異構(gòu)執(zhí)行體集進(jìn)行加密運(yùn)算。

每個(gè)異構(gòu)執(zhí)行體使用相同的隨機(jī)數(shù)與主密鑰進(jìn)行密鑰分散，計(jì)算得到本次會(huì)話加密所需的工作密鑰和初始化向量（Initialization Vector，IV），這組隨機(jī)數(shù)被稱為“密鑰分散因子”。各異構(gòu)執(zhí)行體使用工作密鑰、IV 采用 SM4 算法的密碼分組鏈接工作模式（Cipher Block Chaining，CBC）計(jì)算加密結(jié)果。

密碼運(yùn)算裁決模塊使用 SM3 算法計(jì)算各密碼服務(wù)異構(gòu)執(zhí)行體加密結(jié)果的哈希值，并通過比較哈希值的一致性進(jìn)行多模裁決。若哈希值存在不一致的情況，說明有異構(gòu)執(zhí)行體存在異常，密碼運(yùn)算裁決模塊則拋出異常執(zhí)行體，交由負(fù)反饋處理器進(jìn)行處置。若各異構(gòu)執(zhí)行體加密結(jié)果的哈希值一致，密碼運(yùn)算裁決模塊則輸出密文數(shù)據(jù)及密鑰分散因子。

3.2.4 解密過程

密碼運(yùn)算調(diào)度模塊將收到的密鑰分散因子與密文數(shù)據(jù)一起交由密碼服務(wù)異構(gòu)執(zhí)行體集進(jìn)行解密運(yùn)算。

同樣地，各異構(gòu)執(zhí)行體使用密鑰分散因子與主密鑰進(jìn)行分散，計(jì)算得到本次解密所需的工作密鑰和向量 IV。異構(gòu)執(zhí)行體使用工作密鑰、向量 IV 采用 SM4 算法 CBC 模式計(jì)算解密結(jié)果。

密碼運(yùn)算裁決模塊使用 SM3 算法計(jì)算各密碼服務(wù)異構(gòu)執(zhí)行體的解密結(jié)果的哈希值，并比較一致性進(jìn)行多模裁決。若哈希值存在不一致的情況，說明有異構(gòu)執(zhí)行體存在異常，密碼運(yùn)算裁決模塊則拋出異常執(zhí)行體，交由負(fù)反饋處理器進(jìn)行處置。若各異構(gòu)執(zhí)行體解密結(jié)果的哈希值一致，密碼運(yùn)算裁決模塊則輸出明文數(shù)據(jù)。

3.2.5 哈希過程

密碼運(yùn)算調(diào)度模塊將收到的輸入數(shù)據(jù)交由異構(gòu)執(zhí)行體集進(jìn)行哈希運(yùn)算。

各異構(gòu)執(zhí)行體使用 SM3 算法計(jì)算輸入數(shù)據(jù)的哈希值。

密碼運(yùn)算裁決模塊使用 SM3 算法計(jì)算上述加密結(jié)果的哈希值，并通過比較哈希值的一致性進(jìn)行多模裁決。若哈希值存在不一致的情況，說明有異構(gòu)執(zhí)行體存在異常，密碼運(yùn)算裁決模塊則拋出異常執(zhí)行體，交由負(fù)反饋處理器進(jìn)行處置。若各異構(gòu)執(zhí)行體加密結(jié)果的哈希值一致，密碼運(yùn)算裁決模塊則輸出相同的哈希值。

3.2.6 動(dòng)態(tài)調(diào)整過程

負(fù)反饋控制器模塊收到執(zhí)行體異常的信息后，根據(jù)配置的容忍度參數(shù)決定是否在異構(gòu)執(zhí)行體池中繼續(xù)保留該執(zhí)行體。如配置容忍度參數(shù)為 2，即允許異構(gòu)執(zhí)行體執(zhí)行失敗兩次，超過兩次則認(rèn)為異構(gòu)執(zhí)行體被破壞或者不穩(wěn)定、不可信任。負(fù)反饋控制器將調(diào)整后的處置結(jié)果通知密碼運(yùn)算調(diào)度模塊。

密碼運(yùn)算調(diào)度模塊根據(jù)負(fù)反饋控制器的反饋信息，在收到輸入數(shù)據(jù)后，動(dòng)態(tài)地選擇多個(gè)異構(gòu)執(zhí)行體進(jìn)行密碼運(yùn)算。

4

擬態(tài)防御與密碼技術(shù)的工程應(yīng)用

在 某 風(fēng) 電 有 限 公 司 中， 通 過 對(duì) 新 能 源 集控系統(tǒng)進(jìn)行多方面改造，實(shí)現(xiàn)在密碼保護(hù)集控系統(tǒng)關(guān)鍵數(shù)據(jù)的過程中的擬態(tài)防御及內(nèi)生安全防護(hù)。

4.1 部署環(huán)境

總體技術(shù)架構(gòu)以商用密碼為核心，以擬態(tài)防御理論為指導(dǎo)，遵循國(guó)家相關(guān)法律法規(guī)，參照密碼應(yīng)用標(biāo)準(zhǔn)規(guī)范 和電力行業(yè)相關(guān)規(guī)范進(jìn)行設(shè)計(jì)。對(duì)新能源集控系統(tǒng)集控側(cè)與場(chǎng)站側(cè)之間的指令管控、數(shù)據(jù)采集等業(yè)務(wù)流程進(jìn)行全方位的安全防護(hù)。

對(duì)集控生產(chǎn)控制大區(qū)的業(yè)務(wù)服務(wù)器及場(chǎng)站安全生產(chǎn)控制大區(qū)的業(yè)務(wù)接口機(jī)進(jìn)行改造，安裝和部署加密卡、軟件密碼模塊及密碼應(yīng)用中間件；在集控及場(chǎng)站的生產(chǎn)控制大區(qū)均部署國(guó)產(chǎn)化密碼機(jī)及非國(guó)產(chǎn)化密碼機(jī)；在集控管理信息大區(qū)和場(chǎng)站管理信息大區(qū)分別部署一臺(tái)密鑰管理系統(tǒng)，上下級(jí)密鑰管理系統(tǒng)之間通過網(wǎng)絡(luò)同步密鑰。具體部署拓?fù)淙鐖D 4 所示。

圖 4 風(fēng)電場(chǎng)擬態(tài)防御系統(tǒng)部署

由國(guó)產(chǎn)化服務(wù)器密碼機(jī)、非國(guó)產(chǎn)化服務(wù)器密碼機(jī)、加密卡、密碼軟模塊共同組成了一個(gè)冗余的異構(gòu)密碼服務(wù)執(zhí)行體池，為上層應(yīng)用提供了密碼支撐能力。各密碼服務(wù)執(zhí)行體具有主密鑰存儲(chǔ)、主密鑰擴(kuò)散、SM4 加解密運(yùn)算及 SM3哈希運(yùn)算等密碼服務(wù)能力，為集控系統(tǒng)的關(guān)鍵數(shù)據(jù)提供機(jī)密性及完整性保護(hù)。

密碼應(yīng)用中間件提供了以密碼運(yùn)算調(diào)度、密碼運(yùn)算裁決、執(zhí)行體的負(fù)反饋控制為核心的擬態(tài)防御服務(wù)功能。同時(shí)，密碼應(yīng)用中間件為業(yè)務(wù)系統(tǒng)提供一套簡(jiǎn)單且統(tǒng)一的密碼服務(wù)接口，并對(duì)業(yè)務(wù)系統(tǒng)隱藏密碼服務(wù)執(zhí)行體的實(shí)現(xiàn)細(xì)節(jié)及邏輯，可有效降低密鑰應(yīng)用的改造難度。密碼應(yīng)用中間件還負(fù)責(zé)生成主密鑰，擴(kuò)散所需的隨機(jī)數(shù)作為分散因子，以及對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行安全封裝。

IEC 104 規(guī)約及 Modbus 規(guī)約服務(wù)調(diào)用密碼應(yīng)用中間件的接口，可以實(shí)現(xiàn)安全規(guī)約封裝及數(shù)據(jù)機(jī)密性和防篡改保護(hù)。

各個(gè)異構(gòu)密碼服務(wù)執(zhí)行體的主密鑰來源于密碼管理系統(tǒng)。密鑰管理系統(tǒng)負(fù)責(zé)主密鑰的生成、分發(fā)及更新。由于集控系統(tǒng)網(wǎng)絡(luò)分區(qū)的限制，密碼服務(wù)執(zhí)行體在初始化或主密鑰需要更新的時(shí)候，離線接入密鑰管理系統(tǒng)進(jìn)行主密鑰灌入。

4.2 關(guān)鍵數(shù)據(jù)保護(hù)

業(yè)務(wù)服務(wù)器在下發(fā)控制指令時(shí)，密碼應(yīng)用中間件生成密鑰分散因子，由其密碼應(yīng)用調(diào)度模塊檢查密碼服務(wù)異構(gòu)執(zhí)行體池中各執(zhí)行體的狀態(tài)，并隨機(jī)選擇至少 3 個(gè)執(zhí)行體。密碼應(yīng)用中間件將密鑰分散因子及應(yīng)用規(guī)約數(shù)據(jù)傳遞給密碼服務(wù)異構(gòu)執(zhí)行體進(jìn)行哈希與加密運(yùn)算。密碼運(yùn)算裁決模塊對(duì)哈希與加密結(jié)果進(jìn)行多模裁決，并將運(yùn)算結(jié)果的大多數(shù)值連同安全控制單元、密鑰分散因子封裝成安全應(yīng)用規(guī)約數(shù)據(jù)單元（Security Application Protocol Data Unit，SAPDU）。TCP 承載的 SAPDU 規(guī)約數(shù)據(jù)，在經(jīng)過集控中心與場(chǎng)站邊界處的縱向加密認(rèn)證裝置后，通過安全傳輸通道最終到達(dá)接口機(jī)。

接口機(jī)的密碼應(yīng)用中間件收到 SAPDU 后，由其密碼應(yīng)用調(diào)度模塊檢查密碼服務(wù)異構(gòu)執(zhí)行體池中各執(zhí)行體的狀態(tài)，并隨機(jī)選擇至少 3 個(gè)密碼服務(wù)執(zhí)行體。密碼應(yīng)用中間件將密鑰分散因子及 SAPDU 傳遞給各個(gè)選中的密碼服務(wù)執(zhí)行體進(jìn)行解密與哈希驗(yàn)證。密碼運(yùn)算裁決模塊對(duì)各個(gè)密碼服務(wù)執(zhí)行體的解密與哈希運(yùn)算結(jié)果進(jìn)行多模裁決，解密結(jié)果的大多數(shù)值即原始 APDU。

上行監(jiān)視數(shù)據(jù)的保護(hù)過程與下行控制指令的保護(hù)過程類似。

4.3 應(yīng)用效果

從安全性、魯棒性、實(shí)時(shí)性 3 個(gè)方面對(duì)試驗(yàn)風(fēng)電公司集控系統(tǒng)改造前后的效果進(jìn)行對(duì)比評(píng)價(jià)。

（1）安全性。在集控與場(chǎng)站之間的交換機(jī)上進(jìn)行鏡像，捕獲集控發(fā)往場(chǎng)站的控制指令規(guī)約數(shù)據(jù)包，對(duì)比集控系統(tǒng)改造前后規(guī)約數(shù)據(jù)的變化。

系統(tǒng)改造前的數(shù)據(jù)包可以使用規(guī)約協(xié)議分析工具進(jìn)行解析，查看控制指令的內(nèi)容。對(duì)比發(fā)現(xiàn)系統(tǒng)改造后，無法使用規(guī)約協(xié)議分析工具正常捕獲的數(shù)據(jù)包的規(guī)約內(nèi)容。

隨機(jī)修改捕獲的規(guī)約數(shù)據(jù)包的 TCP 載荷內(nèi)容，并將該數(shù)據(jù)包在交換機(jī)上按原路徑重放。系統(tǒng)改造前，數(shù)據(jù)包可以到達(dá)場(chǎng)站接口機(jī)的業(yè)務(wù)服務(wù)系統(tǒng)；系統(tǒng)改造后，場(chǎng)站接口機(jī)的密碼應(yīng)用中間件在收到該規(guī)約數(shù)據(jù)包后，對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證，并提示數(shù)據(jù)包被篡改，不會(huì)將非法數(shù)據(jù)包提交給業(yè)務(wù)服務(wù)系統(tǒng)。

說明該體系結(jié)構(gòu)具有對(duì)規(guī)約數(shù)據(jù)進(jìn)行機(jī)密性及完整性保護(hù)的能力。

（2）魯棒性。魯棒性是指系統(tǒng)在不確定性條件下具有保持穩(wěn)定性、漸進(jìn)性和動(dòng)態(tài)特性不受不確定性因素影響的能力。

測(cè)試時(shí)，將集控業(yè)務(wù)服務(wù)器中密碼軟模塊的主密鑰進(jìn)行更換，使之與其他密碼服務(wù)執(zhí)行體中的密鑰不一致。密碼運(yùn)算后，密碼應(yīng)用中間件進(jìn)行多模裁決時(shí)發(fā)現(xiàn)該密碼軟模塊處于險(xiǎn)狀態(tài)，但本次計(jì)算結(jié)果不受影響，仍舊可以使用大多數(shù)一致原則選出。但后期密碼應(yīng)用中間件在調(diào)度時(shí)，集控業(yè)務(wù)服務(wù)器沒有繼續(xù)使用密碼軟模塊進(jìn)行密碼運(yùn)算。

說明該體系架構(gòu)具有廣義魯棒性 ，基于該體系的系統(tǒng)具備一定的內(nèi)生安全能力，對(duì)系統(tǒng)的抗攻擊能力具有增益效果。

（3）實(shí)時(shí)性。對(duì)比系統(tǒng)改造前后所捕獲的數(shù)據(jù)包長(zhǎng)度，發(fā)現(xiàn)數(shù)據(jù)包長(zhǎng)度變化不大。

將集控服務(wù)器收到工作站請(qǐng)求后下發(fā)控制指令的時(shí)刻記為將集控服務(wù)器發(fā)生控制指令發(fā)送的時(shí)刻記為則的差值為指令生成的耗時(shí)。通過統(tǒng)計(jì)，業(yè)務(wù)系統(tǒng)應(yīng)用擬態(tài)防御前后生成控制指令的耗時(shí)對(duì)比情況如表 1 所示，結(jié)果顯示該體系架構(gòu)平均增加了 2.25 ms 的時(shí)長(zhǎng)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全防護(hù)，對(duì)控制指令生成的實(shí)時(shí)性影響較小。

表 1 擬態(tài)防御應(yīng)用前后控制指令耗時(shí)對(duì)比

5

結(jié) 語

現(xiàn)階段新能源集控系統(tǒng)面臨的威脅越來越多，本文基于擬態(tài)防御理論和商用密碼技術(shù)對(duì)新能源集控系統(tǒng)的關(guān)鍵數(shù)據(jù)保護(hù)提出了新的體系架構(gòu)，具有高安全性、高魯棒性、低時(shí)延影響的特性。該體系架構(gòu)在實(shí)現(xiàn)規(guī)約數(shù)據(jù)的機(jī)密性、完整性保護(hù)的同時(shí)，為新能源集控系統(tǒng)提供了內(nèi)生安全及主動(dòng)防御的能力，賦能新能源行業(yè)健康穩(wěn)定地發(fā)展。

為快速地在新能源場(chǎng)景中應(yīng)用，試驗(yàn)項(xiàng)目中選擇了不同架構(gòu)的服務(wù)器密碼機(jī)、硬件加密卡和密碼軟模塊搭建了一套密碼服務(wù)異構(gòu)冗余執(zhí)行體池，這密碼服務(wù)執(zhí)行體都是成熟的產(chǎn)品，但所組成的密碼服務(wù)異構(gòu)冗余執(zhí)行體池經(jīng)濟(jì)成本較高。未來可以多采用不同軟件架構(gòu)、編程語言、實(shí)現(xiàn)邏輯、關(guān)鍵器件的硬件加密卡、密碼軟模塊，以降低密碼服務(wù)擬態(tài)防御架構(gòu)應(yīng)用的總體經(jīng)濟(jì)成本。

免責(zé)聲明：本文轉(zhuǎn)自信息安全與通信保密雜志社，原作者宗琪 , 蔣嘯 , 周俊，周強(qiáng)，陳蕾。文章內(nèi)容系原作者個(gè)人觀點(diǎn)，本公眾號(hào)編譯/轉(zhuǎn)載僅為分享、傳達(dá)不同觀點(diǎn)，如有任何異議，歡迎聯(lián)系我們/轉(zhuǎn)載公眾號(hào)！

轉(zhuǎn)自丨信息安全與通信保密雜志社

作者丨宗琪 , 蔣嘯 , 周俊，周強(qiáng)，陳蕾

研究所簡(jiǎn)介

國(guó)際技術(shù)經(jīng)濟(jì)研究所（IITE）成立于1985年11月，是隸屬于國(guó)務(wù)院發(fā)展研究中心的非營(yíng)利性研究機(jī)構(gòu)，主要職能是研究我國(guó)經(jīng)濟(jì)、科技社會(huì)發(fā)展中的重大政策性、戰(zhàn)略性、前瞻性問題，跟蹤和分析世界科技、經(jīng)濟(jì)發(fā)展態(tài)勢(shì)，為中央和有關(guān)部委提供決策咨詢服務(wù)。“全球技術(shù)地圖”為國(guó)際技術(shù)經(jīng)濟(jì)研究所官方微信賬號(hào)，致力于向公眾傳遞前沿技術(shù)資訊和科技創(chuàng)新洞見。

地址：北京市海淀區(qū)小南莊20號(hào)樓A座

電話：010-82635522

微信：iite_er