王智東　王鋼　許志恒　童晉方　石泉　朱革蘭?

(1.華南理工大學(xué) 電力學(xué)院， 廣東 廣州 510640； 2.華南理工大學(xué)廣州學(xué)院 電氣工程學(xué)院， 廣東 廣州 510800)

結(jié)合域含義的GOOSE報(bào)文加解密方法*

王智東1,2王鋼1許志恒1童晉方1石泉1朱革蘭1?

(1.華南理工大學(xué) 電力學(xué)院， 廣東 廣州 510640； 2.華南理工大學(xué)廣州學(xué)院 電氣工程學(xué)院， 廣東 廣州 510800)

摘要:盡管加密方法由于耗時(shí)較大而不被IEC62351推薦用于GOOSE等實(shí)時(shí)報(bào)文，但許多電力工程實(shí)踐中仍加密GOOSE報(bào)文以加強(qiáng)網(wǎng)絡(luò)信息安全性.文中以經(jīng)典的對(duì)稱加密算法Rijndael為例，從密鑰長度、分組長度和分組模式等方面分析影響GOOSE報(bào)文加密耗時(shí)的因素.結(jié)合GOOSE的域含義，提出基于關(guān)鍵信息的GOOSE加密方法，在保證報(bào)文信息保密的基礎(chǔ)上減少耗時(shí)；同時(shí)，利用GOOSE報(bào)文的StNum、SqNum和T等具有時(shí)間同步意義的信息防止經(jīng)典的報(bào)文重放攻擊，利用GOOSE報(bào)文的CRC驗(yàn)證碼保障報(bào)文的完整性.嵌入式平臺(tái)的耗時(shí)特性表明，文中提出的GOOSE報(bào)文加解密方法滿足GOOSE報(bào)文的實(shí)時(shí)性要求.

關(guān)鍵詞：GOOSE報(bào)文；對(duì)稱加密；完整性；實(shí)時(shí)性

隨著智能電網(wǎng)發(fā)展帶來電力通信網(wǎng)絡(luò)的更多應(yīng)用，電力信息由原來相對(duì)狹小的信息“孤島”擴(kuò)展到更大的范圍，IEC 61850- 90協(xié)議涵蓋了站站、站控、配電和分布式能源、水電、風(fēng)電甚至電動(dòng)車充電等領(lǐng)域[1- 2]，導(dǎo)致GOOSE等重要報(bào)文將在更多樣化和更復(fù)雜的通信網(wǎng)絡(luò)環(huán)境中流動(dòng)，報(bào)文信息更容易遭受泄密和篡改等惡意攻擊的風(fēng)險(xiǎn)，電網(wǎng)的信息安全被周孝信等專家列為應(yīng)超前部署面向21世紀(jì)第三代電網(wǎng)的前瞻技術(shù)之一[3].

采用加密等密碼學(xué)技術(shù)對(duì)整個(gè)GOOSE報(bào)文進(jìn)行處理，是保障GOOSE報(bào)文安全性最常用的辦法[4].但是加密GOOSE報(bào)文所需的巨大耗時(shí)難以滿足電力信息系統(tǒng)的實(shí)時(shí)性要求，專門負(fù)責(zé)電力信息安全的IEC TC57第15工作組制定的IEC 62351標(biāo)準(zhǔn)便不建議GOOSE等高實(shí)時(shí)性報(bào)文采用加密方法[5].文獻(xiàn)[6]中在介紹GMAC方法對(duì)電力報(bào)文保護(hù)的基礎(chǔ)上，建議GOOSE報(bào)文只采用耗時(shí)小的GMAC認(rèn)證模式，而不采用耗時(shí)較大的GMAC加密模式.文獻(xiàn)[7]中采用各類專用芯片進(jìn)行加密方法耗時(shí)測試表明，涉及加密等明顯影響報(bào)文傳輸速率的安全方法不適合應(yīng)用于GOOSE報(bào)文等實(shí)時(shí)性要求嚴(yán)格的場合.

盡管加密方法的巨大耗時(shí)不易滿足GOOSE報(bào)文實(shí)時(shí)性要求，但出于電力信息安全性考慮，尤其涉及較大范圍電力網(wǎng)絡(luò)報(bào)文交換時(shí)，電力工程實(shí)踐仍將GOOSE等重要報(bào)文做加密處理.文獻(xiàn)[8]中采用加密方法實(shí)現(xiàn)智能電網(wǎng)多層次信息結(jié)構(gòu)，以確保電網(wǎng)終端用戶的信息安全.文獻(xiàn)[9]中介紹北美規(guī)劃的廣域網(wǎng)項(xiàng)目NASPInet時(shí)，將信息安全作為其中重要的內(nèi)容，建議對(duì)導(dǎo)致電網(wǎng)動(dòng)作等敏感信息的報(bào)文進(jìn)行加密保護(hù).南加利福尼亞愛迪生公司正在開展的標(biāo)稱當(dāng)前實(shí)際運(yùn)行的最大廣域網(wǎng)centralized remedial action scheme項(xiàng)目[10]，便采用加密的GOOSE報(bào)文跨區(qū)域傳送電力信息.該電力通信網(wǎng)絡(luò)在物理隔離和防火墻技術(shù)的基礎(chǔ)上，對(duì)所有經(jīng)過路由的報(bào)文進(jìn)行信息加密.但該項(xiàng)目的實(shí)測數(shù)據(jù)表明，計(jì)及整個(gè)GOOSE報(bào)文的加/解密耗時(shí)、路由和網(wǎng)絡(luò)傳送時(shí)間，GOOSE報(bào)文延時(shí)最大達(dá)到19 ms.

在電力工業(yè)實(shí)踐中加密GOOSE等重要報(bào)文具有迫切要求，在不降低GOOSE報(bào)文信息保密性的前提下減少加密耗時(shí)，是工程實(shí)踐能否對(duì)GOOSE報(bào)文采用加密方法的關(guān)鍵.文中通過分析影響報(bào)文加密耗時(shí)的影響因素，結(jié)合GOOSE具體的報(bào)文結(jié)構(gòu)和幀域含義，探尋一種符合GOOSE報(bào)文特點(diǎn)的低耗時(shí)加密方法.

1GOOSE加密方法分析

1.1加密方法耗時(shí)分析

由于對(duì)稱加密算法比非對(duì)稱加密算法運(yùn)算快很多，在效率優(yōu)先的GOOSE報(bào)文加密方法中，對(duì)稱加密成為首選.基于Rijndael加密算法的高級(jí)加密標(biāo)準(zhǔn)(AES)[11]是當(dāng)前對(duì)稱密鑰加密中最經(jīng)典的算法，在電力信息系統(tǒng)中也逐漸有應(yīng)用[12].文中以Rijndael算法為基礎(chǔ)，分析加密方法在GOOSE報(bào)文中的應(yīng)用要點(diǎn)，結(jié)合安全性條件，分析Rijndael耗時(shí)的主要影響因素.

基于分組密碼的Rijndael算法加密GOOSE報(bào)文的耗時(shí)取決于分組的組數(shù)和每組的加密耗時(shí).盡管AES的規(guī)定數(shù)據(jù)分組長度為128比特、密鑰長度為128/192/256比特，但Rijnciael算法本身具有可變分組長度和密鑰長度的分組密碼的特性，該特性對(duì)于需要盡可能減少耗時(shí)的GOOSE加解密算法來說具有重要意義.Rijnciael分組長度和密鑰長度均可獨(dú)立地設(shè)定為介于128比特和256比特之間的32比特的倍數(shù).Rijnciael算法輪數(shù)Nr和密鑰長度Nk以及分組報(bào)文長度Nb的關(guān)系如表1所示，待加密的GOOSE報(bào)文長度一定時(shí)，采用128比特(Nk=4)的密碼，所需的加密輪數(shù)最小，加密耗時(shí)最少.確定密碼長度后，數(shù)據(jù)量較大的GOOSE報(bào)文，長的分組長度會(huì)帶來較高的運(yùn)算效率，比如，密鑰長度確定為128比特時(shí)，對(duì)256比特的報(bào)文采用Rijndael算法，選用分組長度為128比特時(shí)，需分組2次，加密輪數(shù)高達(dá)20輪；而選用分組長度為256比特時(shí)，加密輪數(shù)只需要14輪.采用Rijndael算法加密較大的報(bào)文時(shí)，選擇較長的分組長度，加密輪數(shù)較少，算法效率高，缺點(diǎn)是跟AES規(guī)定的128比特的分組長度不完全一致.

表1不同的分組長度Nb(Nb=分組長度/32)和密鑰長度Nk(Nk=密鑰長度/32)對(duì)應(yīng)的輪數(shù)Nr

Table 1Round number ofNrcorresponding to different packet lengthNband key lengthNk

NkNrNb=4Nb=5Nb=6Nb=7Nb=84101112131451111121314612121213147131313131481414141414

從Rijndael自身的算法特性分析可知，GOOSE報(bào)文長度一定時(shí)，采用最小的密碼長度128比特和較長的分組長度時(shí)，將減少加密方法輪數(shù)，從而減少加密耗時(shí).密鑰長度和分組長度等Rijndael算法特性確定后，GOOSE報(bào)文自身的特點(diǎn)將是影響加密耗時(shí)的關(guān)鍵因素.待加密的GOOSE報(bào)文長度越小，所需加密的分組越少，加密耗時(shí)也將成比例地減少.因此，結(jié)合GOOSE報(bào)文特點(diǎn)，在不降低報(bào)文實(shí)質(zhì)信息安全性基礎(chǔ)上，減少所需GOOSE報(bào)文的加密內(nèi)容，將提高GOOSE報(bào)文加密方法的效率.

1.2GOOSE信息域分析

IEC 61850- 8- 1協(xié)議中變電站內(nèi)的GOOSE報(bào)文采用直接面向數(shù)據(jù)鏈路層的以太網(wǎng)幀以提高報(bào)文效率，但對(duì)于GOOSE短報(bào)文而言，以太網(wǎng)幀頭等信息仍占據(jù)了GOOSE報(bào)文一定的比例[13].如圖1所示，GOOSE報(bào)文由MAC地址、標(biāo)志協(xié)議標(biāo)識(shí)(TPID)、標(biāo)識(shí)控制信息(TCI)、以太網(wǎng)報(bào)文類型(EtherType)、應(yīng)用標(biāo)識(shí)(APPID)、長度(Length)、保留1(Reserved1)、保留2(Reserved2)和應(yīng)用協(xié)議數(shù)據(jù)單元(APDU)等信息域組成.除了APDU包含電力系統(tǒng)相關(guān)信息外，其他信息域主要表征了以太網(wǎng)幀的自身屬性.以最小長度(64比特)GOOSE報(bào)文為例，APDU以外的以太網(wǎng)幀的自身屬性信息占據(jù)接近整個(gè)報(bào)文41%.為適應(yīng)PMU廣域網(wǎng)絡(luò)應(yīng)用環(huán)境，IEC61850- 90- 5將SV，GOOSE報(bào)文基于IP網(wǎng)絡(luò)進(jìn)行傳輸.使用了IP網(wǎng)絡(luò)，報(bào)文可通過路由器自由傳輸[14]，但所增加的網(wǎng)絡(luò)層等通信服務(wù)帶來包括IP在內(nèi)的更多網(wǎng)絡(luò)信息，這將進(jìn)一步增加通信網(wǎng)絡(luò)自身屬性占據(jù)整個(gè)GOOSE報(bào)文的比重，而這部分內(nèi)容不反映GOOSE報(bào)文所承載的電力系統(tǒng)實(shí)質(zhì)信息，因此不對(duì)其進(jìn)行加密處理，并不影響GOOSE報(bào)文實(shí)質(zhì)信息的安全性.

反映電力系統(tǒng)實(shí)質(zhì)信息主要集中在APDU域，APDU采用靈活性較好的ASN.1解析方式，ASN.1結(jié)構(gòu)由類型標(biāo)記(Tag)、長度(Length)和具體內(nèi)容(Value)3個(gè)主要部分構(gòu)成，由于類型標(biāo)記和長度信息只反映ASN.1的結(jié)構(gòu)特點(diǎn)，而且ASN.1的順承式結(jié)構(gòu)使得更多信息用于表征ASN.1結(jié)構(gòu)特征，而與GOOSE報(bào)文攜帶的電力系統(tǒng)信息無關(guān).GOOSE報(bào)文加密時(shí)剔除類型標(biāo)記和長度等只表征ASN.1結(jié)構(gòu)的信息，有望在不降低報(bào)文實(shí)質(zhì)信息安全性的基礎(chǔ)上，大幅度減少GOOSE報(bào)文待加密的長度.

分析APDU域的具體內(nèi)容，其中允許生存時(shí)間(TimesAllowedtoLive)、GOOSE標(biāo)識(shí)符(GoID)、檢修位(Test)、配置版本號(hào)(ConfRev)、需要重新配置標(biāo)識(shí)(NdsCom)、數(shù)據(jù)集成員個(gè)數(shù)(NumDatSetEntries)等內(nèi)容表征GOOSE報(bào)文屬性，不包含實(shí)際的電力系統(tǒng)信息，以明文出現(xiàn)也不會(huì)泄露GOOSE報(bào)文所承載的電力信息.而控制塊引用名(GoCBReference)和數(shù)據(jù)集引用名(DataSet)雖然不直接涉及電力系統(tǒng)開關(guān)狀態(tài)或控制等信息，但從中可以看出該報(bào)文表征的IEC61850模型和信息路徑等內(nèi)容.實(shí)際應(yīng)用中可根據(jù)通信網(wǎng)絡(luò)安全環(huán)境和報(bào)文的安全要求綜合衡量是否需要對(duì)這兩個(gè)域的信息進(jìn)行加密.

APDU域中，應(yīng)用服務(wù)數(shù)據(jù)單元(AllData)的StVal屬性表征了電力系統(tǒng)開關(guān)狀態(tài)和操作命令等整個(gè)GOOSE報(bào)文中最為核心的信息，是數(shù)據(jù)保密的關(guān)鍵.經(jīng)典應(yīng)用中，除了StVal屬性，還有表征該StVal的質(zhì)量q和UTC時(shí)間t，但這兩個(gè)數(shù)據(jù)在當(dāng)前實(shí)際應(yīng)用中常默認(rèn)為零而且t需占據(jù)較大的空間，對(duì)q、t不加密，從而在不泄露報(bào)文核心信息基礎(chǔ)上大幅減少所需加密的內(nèi)容.

圖1　GOOSE報(bào)文結(jié)構(gòu)

AllData成員的數(shù)值StVal發(fā)生變化(比如開關(guān)狀態(tài)改變)時(shí)，狀態(tài)號(hào)計(jì)數(shù)器(StNum)數(shù)值加1，并記錄當(dāng)前時(shí)間T(Utc時(shí)間)，順序號(hào)計(jì)數(shù)器(SqNum)在狀態(tài)號(hào)StNum加1時(shí)置0；其他時(shí)間每重發(fā)一次GOOSE報(bào)文，SqNum數(shù)值加1.通過StNum、SqNum和T3個(gè)參數(shù)，可以知道GOOSE報(bào)文數(shù)據(jù)成員是否發(fā)生變化，這給攻擊者推測開關(guān)狀態(tài)等電力信息提供線索(尤其當(dāng)AllData成員很少時(shí)).因此，對(duì)這3個(gè)參數(shù)進(jìn)行加密有利于減少遭受惡意推測的隱患.利用GOOSE報(bào)文不等間隔發(fā)送的特性，攻擊者也可以通過在線觀察GOOSE報(bào)文的發(fā)送頻率推測AllData成員的數(shù)值是否發(fā)生變化，但這超出文中討論的通信網(wǎng)絡(luò)密碼安全技術(shù)的范疇.

1.3GOOSE報(bào)文完整性

采用Rijndael等加密算法能夠保證報(bào)文的保密性，但不足以保證信息安全的另外一個(gè)重要指標(biāo)：報(bào)文的完整性.通過額外的認(rèn)證碼等算法可以保證報(bào)文的完整性，但需要外加運(yùn)算和通信負(fù)荷.注意到GOOSE報(bào)文中已有的CRC校驗(yàn)碼，CRC校驗(yàn)碼本來是用于發(fā)現(xiàn)由于通信網(wǎng)絡(luò)通道噪聲等引起的無碼錯(cuò)誤，并不具備抵抗惡意篡改通信網(wǎng)絡(luò)報(bào)文的能力.根據(jù)CRC運(yùn)算公式[15]：

CRC(a‖b)⊕CRC(c‖d)=CRC(a⊕c‖b⊕d)

(1)

式(1)中，令a=c，得

CRC(a‖b)⊕CRC(c‖d)=CRC(b⊕d)

(2)

式(1)中，令b=c，得

CRC(a‖b)⊕CRC(c‖d)=CRC(a⊕d)

(3)

其中，CRC()表示CRC運(yùn)算，⊕表示異或，‖表示連接符.

由式(2)、(3)可知，對(duì)于參與CRC運(yùn)算的需要替換的報(bào)文內(nèi)容，通過構(gòu)造一個(gè)含有與所需替代的內(nèi)容相同的報(bào)文，并與原報(bào)文進(jìn)行簡單運(yùn)算即可實(shí)現(xiàn).因此，一般的CRC碼存在易受篡改的危險(xiǎn)，但如果GOOSE報(bào)文不完全以明文出現(xiàn)，由于攻擊者無法通過該密文推測原來的明文內(nèi)容，而且加密方法所用到的非線性、混淆和擴(kuò)散等功能使得無法從明文中構(gòu)造可以抵消原先密文的CRC驗(yàn)證碼.攻擊者一旦篡改GOOSE報(bào)文的密文內(nèi)容，報(bào)文接收方將解密后的報(bào)文內(nèi)容進(jìn)行CRC運(yùn)算，發(fā)現(xiàn)該CRC校驗(yàn)碼與跟伴隨報(bào)文的CRC校驗(yàn)碼不一樣，從而丟棄被篡改過的報(bào)文，實(shí)現(xiàn)對(duì)GOOSE報(bào)文中已加密部分的信息的完整性保護(hù).

2基于Rijndael的GOOSE加解密方法

由于電子編碼本(ECB)分組模式具有實(shí)現(xiàn)簡單、無需初始化向量和便于并行運(yùn)算等有助于提高算法效率的優(yōu)點(diǎn)，適合當(dāng)前朝著多核等技術(shù)發(fā)展的智能電子設(shè)備，注意到GOOSE報(bào)文主要傳遞斷路器狀態(tài)和命令等相對(duì)獨(dú)立的開關(guān)量信息，ECB分組模式不能隱藏明文的缺陷不影響以獨(dú)立離散數(shù)據(jù)為主要內(nèi)容的GOOSE報(bào)文.采用ECB分組模式的自適應(yīng)分組長度的方法，對(duì)GOOSE報(bào)文進(jìn)行基于關(guān)鍵信息的加解密處理，同時(shí)還采用了完整性檢查和GOOSE報(bào)文經(jīng)典的一致性校驗(yàn)等方法，GOOSE報(bào)文收、發(fā)的具體流程如圖2所示.

圖2　GOOSE報(bào)文加密方法流程

2.1發(fā)送端加密

發(fā)送端在所生成的GOOSE報(bào)文的基礎(chǔ)上，對(duì)GOOSE報(bào)文采用安全算法，較之于無安全算法的GOOSE報(bào)文，主要增加密鑰生成、關(guān)鍵內(nèi)容提取、自適應(yīng)分組和分組加密與回置等關(guān)鍵步驟.

(1)密鑰生成

GOOSE報(bào)文的發(fā)布方和訂閱方采用變電站配置語言 SCL (Substation Configuration Language)進(jìn)行系統(tǒng)配置時(shí)，約定好密鑰種子，并對(duì)第三方保密.密鑰種子作為初始密鑰，通過密鑰擴(kuò)展函數(shù)KeyExpansion()依次生成每輪加密運(yùn)算所需的輪密鑰.為了減少加密方法的耗時(shí)，離線生成所有的輪密鑰并按順序保存至控制器的存儲(chǔ)空間，GOOSE報(bào)文加密過程直接調(diào)用對(duì)應(yīng)的輪密鑰.

(2)GOOSE報(bào)文關(guān)鍵信息提取

GOOSE報(bào)文中StVal數(shù)值反映了開關(guān)狀態(tài)和命令等關(guān)鍵內(nèi)容，是避免GOOSE實(shí)質(zhì)信息泄露而需加密的重點(diǎn).當(dāng)StVal數(shù)量較少而能滿足實(shí)時(shí)性要求時(shí)，StNum、SqNum、T、GoCBReference、DataSet和GoID等內(nèi)容間接反映電力系統(tǒng)信息，對(duì)這5個(gè)數(shù)值加密將減少信息被推測的隱患.將上述GOOSE報(bào)文關(guān)鍵信息，按照在GOOSE報(bào)文的位置，順序提取出來組成待加密內(nèi)容.

(3)待加密報(bào)文預(yù)處理

采用自適應(yīng)的分組長度方法，將待加密內(nèi)容長度分別依次與Rijndael算法的基準(zhǔn)長度256、192和128比特相比較，優(yōu)先選擇大的分組長度對(duì)待加密內(nèi)容進(jìn)行分組.例如待加密內(nèi)容長度大于256比特時(shí)，以256比特為基準(zhǔn)長度不斷分組直至長度小于256比特，再找到最接近而且小于或等于128、192比特的分組長度，并填充明文內(nèi)容直至長度等于該基準(zhǔn)長度；若待加密內(nèi)容長度小于256比特，則直接找到最接近而且小于或等于128或192比特的分組基準(zhǔn)長度，并填充明文內(nèi)容直至到該基準(zhǔn)長度.根據(jù)不同長度的待加密內(nèi)容，得到不同數(shù)量和組內(nèi)不同個(gè)數(shù)的待加密數(shù)組.

(4)Rijndael加密和密文回置

采用ECB分組方式，將步驟(2)產(chǎn)生的待加密數(shù)組進(jìn)行Rijndael算法加密，每輪加密過程直接采用步驟(3)已計(jì)算好的輪密鑰.按照步驟(1)所提取的GOOSE信息域位置，將所生成的密文依次放置回所提取信息域的位置.若步驟(2)進(jìn)行待加密報(bào)文預(yù)處理時(shí)進(jìn)行數(shù)據(jù)填充以補(bǔ)齊對(duì)應(yīng)的數(shù)據(jù)分組長度，則密文比所提取的GOOSE明文多了數(shù)據(jù)，增加的數(shù)據(jù)放置到GOOSE報(bào)文的填充域.

2.2接收端解密與安全驗(yàn)證

接收方進(jìn)行GOOSE報(bào)文對(duì)應(yīng)信息的解密過程，采用與發(fā)送方加密過程類似的步驟，包括加密信息域的提取與預(yù)處理，密鑰生成等過程，除此之外還有與加密逆向的數(shù)據(jù)解密過程.但接收方增加了報(bào)文的合理性檢查，除了報(bào)文常規(guī)的一致性檢查等，文中從密碼學(xué)角度重點(diǎn)分析GOOSE報(bào)文的安全性，利用GOOSE報(bào)文現(xiàn)成的CRC碼進(jìn)行完整性校驗(yàn)，由GOOSE報(bào)文的StNum、SqNum和T三個(gè)參數(shù)進(jìn)行防重放攻擊檢查.

(1)密文解密并回置

作為加密方法的逆過程，GOOSE解密與GOOSE報(bào)文發(fā)送方的實(shí)現(xiàn)方法類似.GOOSE報(bào)文接收端首先生成并預(yù)存由種子密鑰生成的離線輪密鑰，收到GOOSE報(bào)文后，從所加密的GOOSE報(bào)文StVal等位置，依次提取所有的密文數(shù)據(jù)，并依據(jù)大長度優(yōu)先的自適應(yīng)分組方法，對(duì)密文分組得到待解密數(shù)組，調(diào)用已有的離線輪密鑰進(jìn)行Rijndael解密算法，并將得到的明文按照這些域在GOOSE報(bào)文的順序回置到報(bào)文中，從而得到只包含明文的GOOSE報(bào)文.

(2)CRC報(bào)文完整性校驗(yàn)

對(duì)解密后的GOOSE報(bào)文進(jìn)行CRC運(yùn)算，得到的CRC校驗(yàn)碼與附帶在GOOSE報(bào)文的CRC校驗(yàn)碼進(jìn)行比較，如果兩者不一致，說明所接收的GOOSE報(bào)文內(nèi)容已被篡改.

(3)防重放攻擊

重放攻擊是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的報(bào)文，從而達(dá)到欺騙系統(tǒng)的目的，由于重放攻擊所用的報(bào)文是延時(shí)的真實(shí)報(bào)文，因此克服重放攻擊是網(wǎng)絡(luò)通信安全的普遍性難題，防重放攻擊主要有時(shí)間戳、序號(hào)和提問應(yīng)答(隨機(jī)數(shù))等經(jīng)典方法.GOOSE報(bào)文中反映報(bào)文狀態(tài)的StNum和SqNum兩個(gè)參數(shù)起到事實(shí)上的同步碼(序號(hào))作用，再加上報(bào)文中StNum變化時(shí)的時(shí)間參數(shù)T，相當(dāng)于同時(shí)具有序號(hào)和不嚴(yán)格的時(shí)間戳兩種抵抗重放攻擊的功能.攻擊者若保存發(fā)布方之前發(fā)送的GOOSE報(bào)文，并選擇某個(gè)時(shí)間點(diǎn)發(fā)送該報(bào)文，試圖進(jìn)行重放攻擊，則訂閱方收到該報(bào)文后，首先檢查StNum和T值，若這兩個(gè)值小于上一次接收?qǐng)?bào)文對(duì)應(yīng)的值，則該報(bào)文可能是重放攻擊報(bào)文，直接丟棄該報(bào)文；若這兩個(gè)值等于上一次接收?qǐng)?bào)文對(duì)應(yīng)的值，則進(jìn)一步比較SqNum，若SqNum不大于上一次接收?qǐng)?bào)文對(duì)應(yīng)的值，則該報(bào)文也可能是重放攻擊報(bào)文，丟棄該報(bào)文.通過GOOSE心跳報(bào)文機(jī)制，以及GOOSE報(bào)文StNum、SqNum和T三個(gè)值，不僅能發(fā)現(xiàn)延遲報(bào)文，而且從密碼學(xué)角度能有效抵抗重放攻擊.

3實(shí)例與分析

GOOSE報(bào)文的訂閱方和發(fā)布方主要是電力系統(tǒng)的各類智能電子設(shè)備和智能開關(guān).當(dāng)前智能電子設(shè)備和智能開關(guān)大多采用嵌入式控制器，選擇TI公司的C674x系列DSP進(jìn)行耗時(shí)測試.DSP采用無操作系統(tǒng)的定時(shí)器直接測量耗時(shí)，避免因系統(tǒng)調(diào)度等因素導(dǎo)致測量時(shí)間抖動(dòng).

3.1不同分組長度的耗時(shí)特性

觀察不同分組長度的耗時(shí)特性，采用256、192和128比特3種經(jīng)典的固定分組長度和結(jié)合上述3種長度的自適應(yīng)方法，在DSP上對(duì)報(bào)文長度不斷增加的信息進(jìn)行Rijndael加解密耗時(shí)測試.

實(shí)測的耗時(shí)數(shù)據(jù)如圖3所示，每組分組長度的Rijndael加解密耗時(shí)呈階梯狀，且階梯寬度為該分組長度；小的分組長度只在加解密內(nèi)容少時(shí)有優(yōu)勢，隨著報(bào)文長度增加，分組長度越大，所需耗時(shí)越少；自適應(yīng)分組長度同時(shí)具備小的分組長度在加解密內(nèi)容少時(shí)的優(yōu)勢和大的分組長度在加解密內(nèi)容多時(shí)的優(yōu)勢.注意到圖3中，當(dāng)報(bào)文長度很大時(shí)，由于256比特分組長度的加解密耗時(shí)占據(jù)主導(dǎo)地位，所以自適應(yīng)分組的曲線與256比特分組長度曲線在加解密內(nèi)容較長的階段基本重合.

圖3　4種分組長度的Rijndael加密耗時(shí)

Fig.3Time consumiption of Rijndael encryption by four diffe-rent packet modes

3.2不同密鑰長度的耗時(shí)特性

觀察不同密碼長度的耗時(shí)特性，分組長度統(tǒng)一為128比特，采用256、192和128比特3種密鑰長度，在對(duì)報(bào)文長度不斷增加的信息進(jìn)行Rijndael加解密耗時(shí)測試.

實(shí)測的耗時(shí)數(shù)據(jù)如圖4所示，密鑰長度分別為256、192和128比特的加密耗時(shí)曲線隨著加密信息長度的增加而對(duì)應(yīng)的增加；而對(duì)于相同的報(bào)文長度，密鑰長度128比特的耗時(shí)最小，其次192比特，密鑰長度256比特的耗時(shí)最大，符合前文的理論分析.

圖4　3種密鑰長度的Rijndael加密耗時(shí)

Fig.4Time consumption of Rijndael encryption by 3 different key lengths

3.3不同報(bào)文長度的耗時(shí)特性

GOOSE報(bào)文具有很強(qiáng)的靈活性，但是GOOSE報(bào)文的長度差別主要取決于GOOSE報(bào)文dataset的數(shù)據(jù)對(duì)象內(nèi)容和數(shù)量，報(bào)文其他域的長度較為穩(wěn)定.以一個(gè)經(jīng)典的GOOSE報(bào)文為基礎(chǔ)，通過從小到大循序地改變GOOSE報(bào)文dataset數(shù)據(jù)對(duì)象的數(shù)量(由dataset中StVal的數(shù)目具體體現(xiàn))，觀察不同報(bào)文長度各種加密方法的耗時(shí)特性.每個(gè)數(shù)據(jù)對(duì)象假設(shè)具有StVal、q和t三個(gè)常見屬性，長度分別為經(jīng)典的4Byte、2Byte和8Byte，GoCBReference、DataSet和GoID取中值長度，分別為32Byte.

采用以下3種方法進(jìn)行測試：①只對(duì)StVal實(shí)質(zhì)內(nèi)容加密；②對(duì)StVal實(shí)質(zhì)內(nèi)容和StNum、SqNum、T、GoCBReference、DataSet和GoID等間接反映電力系統(tǒng)信息加密；③對(duì)GOOSE報(bào)文主體整個(gè)APDU加密的傳統(tǒng)方法.

測試結(jié)果如圖5所示，第1、2種方法中，隨著StVal的數(shù)目增加，兩條耗時(shí)曲線呈階梯型增加而且增加趨勢一致，兩條曲線存在固定的耗時(shí)差，這是由StNum、SqNum、T、GoCBReference、DataSet和GoID等固定長度的內(nèi)容引起的；不同于方法1和2的曲線，第3種方法的耗時(shí)曲線耗時(shí)增長很快，這是由于每個(gè)數(shù)據(jù)對(duì)象中，q和t等其他屬性也占據(jù)了很大的數(shù)據(jù)空間.

圖5　3種方法中GOOSE報(bào)文加密耗時(shí)

Fig.5Time consumiption of GOOSE packet encryption by three methods

同時(shí)從圖5可以看出，采用第1種方法，只對(duì)GOOSE報(bào)文的實(shí)質(zhì)信息進(jìn)行Rijndael加密，即使報(bào)文長度較大，所需的耗時(shí)也很小，能較好滿足GOOSE報(bào)文4 ms的傳輸要求.

3.4具體加解密信息與安全性分析

電力報(bào)文安全性包括可用性、機(jī)密性和完整性3個(gè)核心特性[16].可用性主要是從電力安全機(jī)制上確保電力報(bào)文能順利到達(dá)接收端[17]，因此文中重點(diǎn)分析報(bào)文的機(jī)密性和完整性.

以待加密信息長度128比特、密鑰長度128比特的最簡單情況為例，觀察信息加密過程中的數(shù)據(jù)變化情況(由于篇幅所限，只列出報(bào)文加解密信息).具體過程如圖6所示，報(bào)文發(fā)送端對(duì)原信息采用密鑰進(jìn)行加密，進(jìn)而將以密文形式的加密信息經(jīng)電力通信網(wǎng)絡(luò)傳輸?shù)綀?bào)文接收端，接收端采用事先跟發(fā)送端約定好的密鑰對(duì)密文進(jìn)行解密，從而得到原信息.

從上述報(bào)文傳輸過程可以看出，明文信息只在報(bào)文發(fā)送端和接收端中出現(xiàn)，整個(gè)電力通信網(wǎng)絡(luò)傳輸?shù)氖敲芪男畔?，惡意第三方即便獲得密文信息，在沒有密鑰的情況下也無法破解該信息，保證了信息的機(jī)密性.

完整性方面，報(bào)文附帶了由加密信息的明文和其他報(bào)文信息運(yùn)算得到的CRC碼，惡意第三方僅依靠從電力通信網(wǎng)絡(luò)獲得的含密文信息的報(bào)文，由于不能知道密文信息對(duì)應(yīng)的明文信息，也就無法通過篡改報(bào)文內(nèi)容得到相對(duì)應(yīng)的、運(yùn)算上正確的CRC碼，從而實(shí)現(xiàn)的報(bào)文的完整性.

圖6　具體加解密信息演示

4結(jié)論

文中在不降低GOOSE報(bào)文所承載的電力系統(tǒng)實(shí)質(zhì)信息安全性基礎(chǔ)上，以減少耗時(shí)為目標(biāo)，提出一種基于Rijndael算法的GOOSE加解密方法，主要特征包括：

(1)密鑰長度統(tǒng)一為128比特，根據(jù)所需加密內(nèi)容的長度，采用自適應(yīng)的分組長度，尤其當(dāng)加密內(nèi)容較多時(shí)，優(yōu)先選擇較長的分組長度以減少運(yùn)算輪數(shù)，從而提高效率，采用ECB分組模式利于并行算法.

(2)避免對(duì)整個(gè)報(bào)文加密，只加密與電力系統(tǒng)信息直接相關(guān)的Alldate數(shù)據(jù)對(duì)象的StVal域.根據(jù)報(bào)文所處的網(wǎng)絡(luò)環(huán)境安全程度和報(bào)文的實(shí)時(shí)性要求，有選擇性地加密StNum、SqNum、T、GoCBRefe-rence、DataSet和GoID等間接反映電力系統(tǒng)的內(nèi)容.

(3)通過GOOSE中現(xiàn)成的CRC碼校驗(yàn)方法，實(shí)現(xiàn)報(bào)文的完整性檢測；綜合利用報(bào)文已有的StNum、SqNum和T信息，有效防止報(bào)文的重放攻擊.

參考文獻(xiàn)：

[1]任雁銘,操豐梅,張軍.IEC61850 Ed 2.0技術(shù)分析 [J].電力系統(tǒng)自動(dòng)化,2013,37(3):1- 5.

REN Yan-ming,CAO Feng-mei,ZHANU Jun.Technical analysis of IEC61850 Ed 2.0 [J].Automation of Electric Power Systems,2013,37(3):1- 5.

[2]任雁銘,操豐梅.IEC61850新動(dòng)向和新應(yīng)用 [J].電力系統(tǒng)自動(dòng)化,2013,37(2):1- 6.

REN Yan-ming,CAO Feng-mei.New developmentand new application of IEC61850 [J].Automation of Electric Power Systems,2013,37(2):1- 6.

[3]周孝信,陳樹勇,魯宗相.電網(wǎng)和電網(wǎng)技術(shù)發(fā)展的回顧與展望——試論三代電網(wǎng) [J].中國電機(jī)工程學(xué)報(bào)，2013,33(22):1- 11.

ZHOU Xiao-xin,CHEN Shu-yong,LU Zong-xiang.Review and prospect forpower system development and related technologies:a concept of three-generation power systems [J].Proceedings of the CSEE,2013,33(22):1- 11.

[4]WEN J,HAMMOND C,UDREN E.Wide-area ethernet network configuration for system protection messaging [C]∥Proc 65th Annu Conf Protective Relay Eng College Station:Texas,2012.

[5]IEC 62351—2007.Power systems information exchange Data and management and associated communication security [S].

[6]王保義,王民安,張少敏.一種基于GCM的智能變電站報(bào)文安全傳輸方法 [J].電力系統(tǒng)自動(dòng)化,2013,37(3):87- 92.

WANG Bao-yi,WANG Min-an,ZHANG Shao-min.A secure message transmission method Based on GCM for smart substation [J].Automation of Electric Power Systems,2013,37(3):87- 92.

[7]FULORIA Shailendra,ANDERSON Ross,MCGRATH Kevin,et al.The Protection of substation communication [C]∥Proceedings of the SCADA Security Scientific Symposium.Miami:[s.n.],2010.

[8]YAN Ye,QIAN Yi,SHARIF H,et al.A survey on smart grid communication infrastructures:motivations,requirements and challenges [J].IEEE Communications Surveys & Tutorials,2013,15(1):5- 20.

[9]BOBBAR R,DAGLE J,HEINE E,et al.Enhancing grid measurements:wide area measurement systems,NASPInet,and security [J].Power and Energy Magazine,2012,10(1):67- 73.[10]WEN Jun,LIU W H E,ARONS P L,et al.Evolution pathway towards wide area monitoring and protection—areal-world implementation of centralized RAS system [J].IEEE Trans Smart Grid,2014,5(3):1506- 1513.

[11]德門,賴伊曼.高級(jí)加密標(biāo)準(zhǔn)(AES)算法：Rijndae的設(shè)計(jì) [M].北京:清華大學(xué)出版社,2003.

[12]ZHANG P,ELKEELANYO O,MCDANIELL L.An implementation of secured smart grid Ethernet communications using AES [C]∥Proceedings of the IEEE SoutheastCon(SoutheastCon 2010).Concord：NC,2010.

[13]KRIGER Carl.A detailed analysis of the generic object-oriented substation event message structure in an IEC 61850 standard-based substation automation system [J].International Journal of Computers Communications & Control,2013,8(5):708- 721.

[14]IEC 61850- 8-1—2003.Communication networks and systems in substations——specific communication ser-vice mapping(SCSM} mappings to MMS(ISO 9506- 1 and ISO 9506- 2) and to ISO/IEC 8802- 3,International Electrotechnical Commission (IEC) [S].

[15]LOPEZ P Peris,HERNANDEZ-CASTROJ C,ESTEVEZ-TAPIADORJ M,et al.Cryptanalysis of a novel authentication protocol conforming to EPC-C1G2 standard [J].Computer Standards & Interfaces,2009,31(2):372- 380.

[16]ADNAN Anwar,MAHMOOD Abdunnaser.The state of the art in intrusion prevention and detection [C]∥Proceedings of Taylor & Francis Group.USA:CRC Press,2014:449- 472.

[17]LIU Shi-chao,LIU Xiao-ping,ABDULMOTALEB El-Saddik.Denial-of-service(dos) attacks on load frequency control in smart grids [C]∥Proc IEEE PES Innovative Smart Grid Technologies.Washington D C:[s.n.],2013:1- 6.

Encryption and Decryption Methods of GOOSE Packets Based on Domain Implication

WANGZhi-dong1,2WANGGang1XUZhi-heng1TONGJin-fang1SHIQuan1ZHUGe-lan1

(1.School of Electric Power, South China University of Technology, Guangzhou 510640, Guangdong, China;2.School of Electrical Engineering, Guangzhou College of South China University of Technology, Guangzhou 510800, Guangdong, China)

Abstract:Although IEC62351 suggests no encryption algorithm for GOOSE and other real-time packets due to the huge time consumption of encryption algorithms, many practical power projects still encrypt GOOSE packets to strengthen the security of network information. In this paper, the classical Rijndael symmetric encryption algorithm is adopted as an example to analyze such factors affecting the time consumption of GOOSE packets encryption as the secret key length, the packet length and the packet mode. Then, in order to reduce the time consumption without weakening the packet confidentiality, a GOOSE encryption method based on critical information is proposed with the combination of packet domain implication. Moreover, GOOSE messages such as StNum, SqNum and T, which possess time synchronization functions, are used to prevent replay attacks, and the CRC verification code in GOOSE packets is used to ensure the integrity of the message. Finally, the time-consuming characteristics of the proposed GOOSE encryption and decryption algorithms are tested on an embedded platform, and the results show that the proposed method meets the real-time requirements of power systems well.

Key words:GOOSE packet;symmetric encryption;integrity; real-time performance

收稿日期:2015- 03- 02

*基金項(xiàng)目:國家自然科學(xué)基金資助項(xiàng)目(51477057)

Foundation item:Supported by the National Natural Science Foundation of China(51477057)

作者簡介:王智東(1980-),男,博士生,主要從事電力通信及其信息安全研究.E-mail：zdwang@scut.edu.cn ?通信作者: 朱革蘭(1968-),女，博士,助理研究員，主要從事電力系統(tǒng)及自動(dòng)化研究.E-mail：zhugl@scut.edu.cn

文章編號(hào):1000- 565X(2016)04- 0063- 08

中圖分類號(hào)：TM 714.2；TM 615

doi：10.3969/j.issn.1000-565X.2016.04.010