本公开涉及能源互联网技术领域,尤其涉及一种基于可信计算的分层安全管控系统和方法。
背景技术:
目前,针对配电物联网的安全防护措施集中在数据采集安全、数据传输安全和数据处理安全三个环节,均采用传统的信息安全防护手段。但是传统信息安全防护手段对网络环境的碎片化隔离划分不利于配电物联网的广泛互联和开放互动。因此,配电物联网的信息安全既需要外部安全防御,更在于自身内生的强健性与免疫力,外部防御可以有效减少攻击危害,是“量”的问题,而内生安全是决定了系统的安全免疫力,是“质”的问题。因此,如何基于自主可控、安全可信、主动免疫的可信计算技术构建配电物联网主站端和边缘端的分级可信免疫管控策略,保证配电物联网运行环境的内生安全与主动免疫是目前面临的技术难题。
技术实现要素:
本公开的目的之一是通过提供一种基于可信计算的分层安全管控系统和方法,以解决背景技术中提到的至少一个技术问题。
为实现上述目的,根据本公开的一个方面,提供一种基于可信计算的分层安全管控系统,所述分层安全管控系统应用于能源互联网系统,所述能源互联网系统包括基于信息流和能量流关联的配电主站、配网子站和终端,所述分层安全管控系统包括主站可信子系统和边缘可信子系统,所述主站可信子系统负责对主站的安全管控,而边缘可信子系统负责对子站和终端的安全管控,其中可信网络连接包括配电主站与配网子站的可信网络连接、以及包括配网子站与终端中无线终端设备的可信网络连接、以及终端中配电变压器监测终端与节点设备的可信网络连接,其中所述无线终端设备包括将串口数据转换为ip数据或将ip数据转换为串口数据的无线终端设备。
可选地,所述配电主站、配网子站和终端构成的三层配电网架构与感知层、网络传输层和处理应用层构成的三个逻辑层架构对应,其中感知层为传输器节点和传感网网关节点,网络传输层为感知数据远距离传输到处理中心的网络,处理应用层指对感知数据进行存储、智能处理和服务的平台。
可选地,所述感知层分为单元感知层和系统感知层,所述单元感知层包含于系统感知层,所述单元感知层包括终端中配电变压器监测终端与节点设备,所述系统感知层包括单元感知层和配网子站、配电开关监控终端和无线终端设备。
可选地,所述网络传输层包括主站与子站之间的远程通信网络、以及子站与终端之间的本地通信网络。
可选地,所述处理应用层包括主站的应用服务器。
可选地,所述分层安全管控包括基于边缘计算的终端本地可信验证、以及基于云端或配电主站的终端或配网子站的远程可信验证。
可选地,所述可信计算包括以下中的一项或多项:对终端节点设备或/和无线终端设备进行可信证据和完整性度量信息收集;对终端配电变压器监测终端或/和配网子站以及配电主站进行终端可信证据统计检查或/和完整性度量验证。
可选地,所述配电主站和终端中的可信计算芯片存储有各自的可信证书和密钥。
可选地,所述配电主站与终端通过执行以下操作实现相互可信认证:主站取当前时间t1,主站可信计算芯片取一个随机数r1,使用可信计算芯片对(t1||r1)进行签名,得到签名结果s1;主站将(t1,r1,s1)发送至终端;终端收到签名之后,交给可信计算芯片对签名进行验证,同时终端取当前时间t2,验证|t2-t1|是否在有效期内,如果在有效期内则可信计算芯片生成随机数r2,并使用可信计算芯片对(t1||r1||r2)进行签名得到s2,使用可信计算芯片存储的认证子密钥对r1进行加密;终端将(t2,enclosed(r1),r2,s2)发送至主站;主站可信计算芯片使用验证子密钥对enc(r1)进行解密,验证是否与r1相等,利用可信计算芯片验证签名s2的正确性,并取当前时间t3,检验|t3-t1|和|t3-t2|是否在有效期内,如果解密结果与r1相等,签名s2验证正确,t1和t2在有效期内,则主站完成对终端的认证;主站使用认证子密钥在可信计算芯片中对r2进行加密并将enc(r2)发送至终端;终端使用认证子密钥对在可信计算芯片中对enc(r2)解密,验证其是否与r2相等,如果相等则终端完成对主站的认证。其中,enclosed可以指封装的数据,简写为enc。
根据本公开的另一个方面,提供一种基于可信计算的分层安全管控方法,所述分层安全管控方法应用于上述任一项的分层安全管控系统。
本公开的实施例可以实现以下有益效果:本申请通过构建配电物联网主站端和边缘端的分级可信免疫管控策略,实现了每一级分别实现可信计算的节点可信、网络连接可信和应用可信等三个层次功能,能够有效保证配电物联网的安全稳定。并且,将配电网和配电物联网中各节点的计算能力、安全防护能力和数据重要性等特点分别映射为全节点或主节点、轻节点或从节点,从而结合配电业务感知设备和网络安全管理的需求,基于可信计算技术构建配电物联网“内生安全免疫模型”,建立配电物联网的“可管可控、精准防护、可视可信、智能防御”安全防护模型。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请一个实施例提供的可信计算的基本原理的示意图;
图2为本申请一个优选实施例的基于可信计算的配电物联网内生安全防护模型;
图3提供了本申请一个优选实施例的嵌入式可信模块的层次结构示意图;
图4提供了本申请一个实施例的配电主站与终端进行可信证书和密钥存储的交互流程示意图;
附图中相同或相似的附图标记代表相同或相似的结构。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包括一个或多个相关联的列出项目的任何或所有可能组合。
根据本申请的一个方面,提供了一种基于可信计算的分层安全管控系统。在描述分层安全管控系统之前,为了更好地理解本发明的技术方案,先对可信计算的相关内容进行详述。
可信计算的基本原理是:建立一个由物理安全、管理安全、技术安全三方面共同确保安全可靠的信任根,接着再建立一条可靠的信任链。其扩展在整个计算机系统中,用来保证整个计算机系统的可信。从信任根、硬件平台、整个操作系统,再到应用用户,逐级进行测量认证,逐级进行信任,从而整个计算机系统都在可信的状态下进行运行,为整个计算机系统营造一个可信的计算环境。信任根、硬件平台、操作系统、应用用户整体成为可信计算机系统。可信计算的基本原理如图1所示。
可信计算是要为计算机建立起免疫系统,可信计算是指计算运算的同时进行安全防护,使计算结果总是与预期一致,计算全程可测可控,不被干扰。可信计算运算与防护并存。具有身份识别、状态度量、保密存储等功能,能及时识别“自己”和“非己”成份,从而破坏和排斥进入机体的有害物质。可信计算环境层次可以描述为:以密码为基础(包括密码算法、密码协议、证书管理等),以芯片为支柱、主板为平板、可信基础支撑软件为核心构建可信计算节点,基于网络使得多个可信计算节点构成可信信息系统,进而基于应用体系进一步构建可信应用支撑环境。
具体地,可信计算环境层次主要包括以下几个方面:
(1)底层硬件层面:在底层硬件层面中,将可信密码模块(tcm/tpm)增加到基础硬件平台之上,并且,将核心可信根(crtm)植入到硬件平台的bootrom中,从而确保底层可以安全,可控的进行启动。
(2)安全操作系统层面:在安全操作系统层面中,可信服务的提供由可信服务模块(tsm)完成。其作为可信计算系统中密码模块支撑内部的软件模块,实现了操作系统与tcm的适配,与此同时,还对tcm进行了加固。
(3)应用层面:在应用层面中,具体的应用服务均在这个层面得到实现。为保证所有应用服务都可以在安全可信的环境下运行,那么可信计算环境体系从底层硬件至上层应用都必须保证是可信环境。可信根必须与所有应用服务进行关联,信任链从而得到认证,这样,整个环境都是可信的,所有服务的安全稳定运行就可以在这个环境下实现。
所述可信计算模块可以以软件、硬件或两者相结合的方式嵌入在分层安全管控系统中。
下文对本申请的基于可信计算的分层安全管控系统进行描述,请参考图2,图2为本申请一个优选实施例的基于可信计算的配电物联网内生安全防护模型,本申请的分层安全管控系统基于该防护模型而实现。
其中,所述配电物联网中的设备包括但不限于电网设备和网络设备以及相关终端设备,其中电网设备包括变压器、电能表等,核心的网络设备包括交换机、路由器、智能网关、用于采集电力系统数据的数据采集系统等,相关终端设备包括但不限于传感器、智能设备、智能终端设备,这些相关设备可以通过诸如短距离通信手段与能源互联网边缘具备一定计算能力的对象装置(简称“边缘计算装置”)连接,从而边缘计算装置通过接收到这些相关设备的数据进行就近处理与分析,并可以提取相关设备数据中的关键数据并上传至云服务器或云平台等进行集中处理。其中,所述边缘计算装置可以包括但不限于智能物联网网关以及其他能够完成边缘计算分析任务的装置或模块。
本申请的基于可信计算的分层安全管控系统能够应用于包括但不限于能源互联网系统,所述能源互联网系统包括基于信息流和能量流关联的配电主站、配网子站和终端,所述分层安全管控系统包括主站可信子系统和边缘可信子系统,所述主站可信子系统负责对主站的安全管控,而边缘可信子系统负责对子站和终端的安全管控,其中可信网络连接包括配电主站与配网子站的可信网络连接、以及包括配网子站与终端中无线终端设备的可信网络连接、以及终端中配电变压器监测终端与节点设备的可信网络连接,其中所述无线终端设备包括将串口数据转换为ip数据或将ip数据转换为串口数据的无线终端设备。
其中所述节点设备例如包括但不限于电动汽车、储能设备、电表、故障指示器或/和电表。
可选地,所述配电主站、配网子站和终端构成的三层配电网架构与感知层、网络传输层和处理应用层构成的三个逻辑层架构对应,其中感知层为传输器节点和传感网网关节点,网络传输层为感知数据远距离传输到处理中心的网络,处理应用层指对感知数据进行存储、智能处理和服务的平台。
可选地,所述感知层分为单元感知层和系统感知层,所述单元感知层包含于系统感知层,所述单元感知层包括终端中配电变压器监测终端(ttu)与节点设备,所述系统感知层包括单元感知层和配网子站、配电开关监控终端(ftu)和无线终端设备(dtu)。将配电网和配电物联网中各节点的计算能力、安全防护能力和数据重要性等特点分别映射为全节点或主节点、轻节点或从节点来看,其中所述终端中的ttu、dtu和ftu可以为主节点,而节点设备例如电动汽车、储能设备、电表、故障指示器或/和电表为从节点。
可选地,所述网络传输层包括主站与子站之间的远程通信网络、以及子站与终端之间的本地通信网络。
可选地,所述处理应用层包括主站的应用服务器。
可选地,所述分层安全管控包括基于边缘计算的终端本地可信验证、以及基于云端或配电主站的终端或配网子站的远程可信验证。
可选地,所述可信计算包括以下中的一项或多项:对终端节点设备或/和无线终端设备进行可信证据和完整性度量信息收集;对终端配电变压器监测终端或/和配网子站以及配电主站进行终端可信证据统计检查或/和完整性度量验证。
可选地,所述配电主站和终端中的可信计算芯片存储有各自的可信证书和密钥。
请参考图2,图2示出的基于可信计算的配电物联网内生安全防护模型,其标示了主站、子站和终端在内的安全防护体系。其中ftu可以指配电开关监控终端,具有遥控、遥测、遥信,故障检测功能,并与配电自动化主站通信,提供配电系统运行情况和各种参数即监测控制所需信息;dtu可以指专门用于将串口数据转换为ip数据或将ip数据转换为串口数据通过无线通信网络进行传送的无线终端设备;ttu可以指配电变压器监测终端,用于对配电变压器的信息采集和控制,它实时监测配电变压器的运行工况,并能将采集的信息传送到主站或其他的智能装置。其中,实线箭头表示能量流,弯曲虚线箭头表示可信网络连接,带点间距直线虚线表示控制流,而双向箭头表示信息流。其中,字母a表示终端可信收集证据,b表示完整性度量收集者,c表示终端可信证据统计检查,d表示完整性度量验证者。
如图2所示,本申请构建了配电物联网主站端和边缘端的分级可信免疫管控策略,实现了每一级分别实现可信计算的节点可信、网络连接可信和应用可信等三个层次功能。并将配电网和配电物联网中各节点的计算能力、安全防护能力和数据重要性等特点分别映射为全节点或主节点、轻节点或从节点,从而结合配电业务感知设备和网络安全管理的需求,基于可信计算技术构建配电物联网“内生安全免疫模型”,建立配电物联网的“可管可控、精准防护、可视可信、智能防御”安全防护模型。
进一步地,对本申请的基于可信计算的安全模块在终端或云服务或边缘服务器中的层次设计而言,可以参考图3,图3提供了本申请一个优选实施例的嵌入式可信模块的层次结构示意图。
如图3所示,嵌入式可信模块的层次结构可以分为三个层次,具体包括:
(1)硬件层。在嵌入式物联网终端硬件系统中集成tcm化安全芯片,即集成一颗具有轻量级的tcm可信计算功能的安全芯片,具备可信根、独立封闭安全计算环境构建、密码操作等功能,为嵌入式物联网终端提供可信计算安全功能提供硬件支撑。
(2)操作系统层。采用linux内核定制,实现linux的安全防护功能加固。
(3)应用层。包括:轻量级tcm安全协议栈设计、白名单系统、定制安全应用。
在嵌入式物联网可信终端系统中采用轻量级tcm功能设计,考虑主要基于多数嵌入式物联网终端装置内存运行空间偏小这一因素,可以不像主机系统那样提供完整的tcm规范功能,通过适当裁剪tcm功能系统及白名单系统,使其既满足装置类系统的可信平台功能构建需求,又满足装置类系统运行资源偏紧及实时性高的需求。
可选地,请参考图4,图4提供了本申请一个实施例的配电主站与终端进行可信证书和密钥存储的交互流程示意图。
根据图4,所述配电主站与终端通过执行以下操作实现相互可信认证:主站取当前时间t1,主站可信计算芯片取一个随机数r1,使用可信计算芯片对(t1||r1)进行签名,得到签名结果s1;主站将(t1,r1,s1)发送至终端;终端收到签名之后,交给可信计算芯片对签名进行验证,同时终端取当前时间t2,验证|t2-t1|是否在有效期内,如果在有效期内则可信计算芯片生成随机数r2,并使用可信计算芯片对(t1||r1||r2)进行签名得到s2,使用可信计算芯片存储的认证子密钥对r1进行加密;终端将(t2,enclosed(r1),r2,s2)发送至主站;主站可信计算芯片使用验证子密钥对enc(r1)进行解密,验证是否与r1相等,利用可信计算芯片验证签名s2的正确性,并取当前时间t3,检验|t3-t1|和|t3-t2|是否在有效期内,如果解密结果与r1相等,签名s2验证正确,t1和t2在有效期内,则主站完成对终端的认证;主站使用认证子密钥在可信计算芯片中对r2进行加密并将enc(r2)发送至终端;终端使用认证子密钥对在可信计算芯片中对enc(r2)解密,验证其是否与r2相等,如果相等则终端完成对主站的认证。
与现有技术相比,由于可信计算一般分为三个层次,分别是节点可信、网络连接可信和应用可信。其中,节点可信层为整个主动免疫系统提供信任起点,是主动免疫系统的源头;网络连接可信层承担节点之间交互的免疫,是网络可信的关键部分;应用可信层为节点和网络提供免疫支持和服务,更新安全策略,增强节点的免疫能力。因此,本申请构建的配电物联网主站端和边缘端的分级可信免疫管控策略,每一级分别实现可信计算的节点可信、网络连接可信和应用可信等三个层次功能。从而通过将安全接入区和可信管控下放至边缘侧,基于边缘计算技术实现计算、分析与安全控制的本地化和就地化,提升处理效率和提供更快的响应,减轻主站端的处理负荷,支撑远程和本地化处理协同与优化管理。
基于本发明的同一发明构思,还提供了一种基于可信计算的分层安全管控方法,所述分层安全管控方法应用于上述任一项的分层安全管控系统。
本发明实施例的基于可信计算的分层安全管控方法与本发明实施例的基于可信计算的分层安全管控系统相对应,在上述基于可信计算的分层安全管控系统的实施例阐述的技术特征及其有益效果均适用于基于可信计算的分层安全管控方法的实施例中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
1.一种基于可信计算的分层安全管控系统,其特征在于,所述分层安全管控系统应用于能源互联网系统,所述能源互联网系统包括基于信息流和能量流关联的配电主站、配网子站和终端,所述分层安全管控系统包括主站可信子系统和边缘可信子系统,所述主站可信子系统负责对主站的安全管控,而边缘可信子系统负责对子站和终端的安全管控,
其中可信网络连接包括配电主站与配网子站的可信网络连接、以及包括配网子站与终端中无线终端设备的可信网络连接、以及终端中配电变压器监测终端与节点设备的可信网络连接,其中所述无线终端设备包括将串口数据转换为ip数据或将ip数据转换为串口数据的无线终端设备。
2.根据权利要求1所述的分层安全管控系统,其特征在于,其中,所述配电主站、配网子站和终端构成的三层配电网架构与感知层、网络传输层和处理应用层构成的三个逻辑层架构对应,其中感知层为传输器节点和传感网网关节点,网络传输层为感知数据远距离传输到处理中心的网络,处理应用层指对感知数据进行存储、智能处理和服务的平台。
3.根据权利要求2所述的分层安全管控系统,其特征在于,所述感知层分为单元感知层和系统感知层,所述单元感知层包含于系统感知层,所述单元感知层包括终端中配电变压器监测终端与节点设备,所述系统感知层包括单元感知层和配网子站、配电开关监控终端和无线终端设备。
4.根据权利要求2所述的分层安全管控系统,其特征在于,所述网络传输层包括主站与子站之间的远程通信网络、以及子站与终端之间的本地通信网络。
5.根据权利要求2所述的分层安全管控系统,其特征在于,所述处理应用层包括主站的应用服务器。
6.根据权利要求1所述的分层安全管控系统,其特征在于,所述分层安全管控包括基于边缘计算的终端本地可信验证、以及基于云端或配电主站的终端或配网子站的远程可信验证。
7.根据权利要求1或6所述的分层安全管控系统,其特征在于,所述可信计算包括以下中的一项或多项:
对终端节点设备和无线终端设备进行可信证据和完整性度量信息收集;
对终端配电变压器监测终端和配网子站以及配电主站进行终端可信证据统计检查或/和完整性度量验证。
8.根据权利要求1所述的分层安全管控系统,其特征在于,所述配电主站和终端中的可信计算芯片存储有各自的可信证书和密钥。
9.根据权利要求1或8所述的分层安全管控系统,其特征在于,所述配电主站与终端通过执行以下操作实现相互可信认证:
主站取当前时间t1,主站可信计算芯片取一个随机数r1,使用可信计算芯片对(t1||r1)进行签名,得到签名结果s1;
主站将(t1,r1,s1)发送至终端;
终端收到签名之后,交给可信计算芯片对签名进行验证,同时终端取当前时间t2,验证|t2-t1|是否在有效期内,如果在有效期内则可信计算芯片生成随机数r2,并使用可信计算芯片对(t1||r1||r2)进行签名得到s2,使用可信计算芯片存储的认证子密钥对r1进行加密;
终端将(t2,enclosed(r1),r2,s2)发送至主站;
主站可信计算芯片使用验证子密钥对enc(r1)进行解密,验证是否与r1相等,利用可信计算芯片验证签名s2的正确性,并取当前时间t3,检验|t3-t1|和|t3-t2|是否在有效期内,如果解密结果与r1相等,签名s2验证正确,t1和t2在有效期内,则主站完成对终端的认证;
主站使用认证子密钥在可信计算芯片中对r2进行加密并将enc(r2)发送至终端;
终端使用认证子密钥对在可信计算芯片中对enc(r2)解密,验证其是否与r2相等,如果相等则终端完成对主站的认证。
10.一种基于可信计算的分层安全管控方法,其特征在于,所述分层安全管控方法应用于权利要求1-9任一项所述的分层安全管控系统。
技术总结