电力自动化通讯技术中的信息安全分析

1 / 8电力自动化通讯技术中的信息安全分析摘要：近年来，跟着电力建设的快速发铺，自动化通讯技术中的也网络信息安全要求也不断入步。因此，作者主要电力信息系统的数据加密技术中的 DES 和 RSA 两类典型加密算法、密匙的天生和治理方案及加密方案的机能入行了分析。 枢纽词：电力通讯；安全；数据加密尺度 1电力通讯安全防护体系。电网安全防护工程是一项系统工程，它是将准确的工程实施流程、治理技术和当前能够得到的最好的技术方法相结合的过程。从理论上，电网安全防护系统工程可以套用信息安全工程学模型的方法，信息安全工程能力成熟度模型可以指导安全工程的项目实施过程，从单一的安全设备设置转向考虑系统地解决安全工程的治理、组织和设计、实施、验证等。将上述信息安全模型涉及到的诸多方面的因素回纳起来，最主要的因素包括：策略、治理和技术，这三要素组成了一种简朴的信息安全模型。 2 / 8从工程实施方面讲，信息安全工程是永无住手的动态过程。其设计思惟是将安全治理望成一个动态的过程，安全策略应适应网络的动态性。动态自适应安全模型由下列过程的不断轮归构成：安全需求分析、实时监测、报警响应、技术措施、审计评估。 2电力信息系统的数据加密技术 典型的数据加密算法典型的数据加密算法包括数据加密尺度算法和公然密钥算法，下面将分别先容这两种算法。 数据加密尺度算法。目前在海内，跟着三金工程尤其是金卡工程的启动，DES 算法在 POS、ATM、磁卡及智能卡、加油站、高速公路收费站等领域被广泛应用，以此来实现枢纽数据的保密，如信用卡持卡人的 PIN 的加密传输，IC 卡与 POS 间的双向认证、金融交易数据包的 MAC 校验等，均用到 DES 算法。 图 1DES 算法框图 3 / 8DES 加密算法的框图如图 1 所示。其中明文分组长为64bit，密钥长为 56bit。图的左边是明文的处理过程，有3 个阶段，首先是一个初始置换 IP，用于重排明文分组的64bit 数据，然后是具有相同功能的 16 轮变换，每轮都有置换和代换运算，第 16 轮变换的输出分为左右两部门，并被交换次序。最后再经由一个逆初始置换 IP-1，从而产生64bit 的密文。 DES 算法具有极高的安全性，到目前为止，除了用穷举搜索法对 DES 算法入行攻击外，还没有发现更有效的办法。而 56 位长的密钥的穷举空间为 256，这意味着假如一台计算机的速度是每秒检测一百万个密钥，则它搜索完全部密钥就需要将近 2285 年的时间，可见，对 DES 处法的攻击是难以实现的。 公然密钥算法。公钥加密算法也称非对称密钥算法，用两对密钥：一个公共密钥和一个专用密钥。用户要保障专用密钥的安全；公共密钥则可以发布出往。公共密钥与专用密钥是有紧密关系的，用公共密钥加密信息只能用专用密钥解密，反之亦然。因为公钥算法不需要联秘要钥服务器，密钥分配协议简朴，所以极大简化了密钥治理。除加密功能外，公钥系统还可以提供数字签名。公共密钥4 / 8加密算法主要有 RSA、Fertzza、Elgama 等。 在这些安全实用的算法中，有些合用于密钥分配，有些可作为加密算法，还有些仅用于数字签名。多数算法需要大数运算，所以实现速度慢，不能用于快的数据加密。RSA 使用两个密钥，一个是公钥，一个是私钥。加密时把明文分成块，块的大小可变，但不超过密钥的长度。RSA 把明文块转化为与密钥长度相同的密文。一般来说，安全等级高的，则密钥选取大的，安全等级低的则选取相对小些的数。RSA 的安全性依靠于大数分解，然而值得留意的是，是否等同于大数分解一直未得到理论上的证实，而破解 RSA 是否只能通过大数分解同样是有待证实。 算法比较。DES 常见攻击方法有：强力攻击、差分密码分析法、线性密码分析法。对于 16 个轮归的 DES 来说，差分密码分析的运算为，而穷举式搜索要求 255。根据摩尔定律所述：大约每经由 18 个月计算机的计算能力就会翻一番，加上计算机并行处理及分布式系统的产生，使得 DES的抗暴能力大大降低。 RAS 的安全性依靠于大整数的因式分解题目。但实际5 / 8上，谁也没有在数学上证实从 c 和 e 计算 m，需要对 n 入行因式分解。可以想象可能会有完全不同的方式往分析 RAS。然而，假如这种方法能让密码解析员推导出 d，则它也可以用作大整数因式分解的新方法。最难以令人置信的是，有些 RAS 变体已经被证实与因式分解同样难题。甚至从 RAS加密的密文中恢复出某些特定的位也与解密整个动静同样难题。另外，对 RAS 的详细实现存在一些针对协议而不是针对基本算法的攻击方法。 综合上述内容，对于保密级别不是很高的电力数据，例如日常电量数据，没有必要合用当时最强盛的密码系统，直接引用 DES 密码系统实现一种经济可行的好方案。 密匙的天生和治理。密钥治理技术是数据加密技术中的重要一环，它处理密钥从天生、存储、备份/恢复、载进、验证、传递、保管、使用、分配、保护、更新、控制、丢失、吊销和销毁等多个方面的内容。它涵盖了密钥的整个生存周期，是整个加密系统中最薄弱的环节，密钥的治理与泄漏将直接导致明文内容的泄漏，那么一切的其它安全技术，无论是认证、接进等等都丧失了安全基础。 密钥治理机制的选取必需根据网络的特性、应用环6 / 8境和规模。下面对常用的密钥治理机制做具体的分析，以及判定这种治理机制是否合用于无线网络。详细包括以下几个方面： 221密钥分配模式。KDC 可以是在中央站端，与服务器同在一个逻辑服务器，也可以是在与中央站完全对等的一个服务器上。假如 KDC 只为一个子站端分发密钥，应该采用集中式，假如 KDC 为很多的同级子站分发密钥，应该采用对等式。由上文的分析来望，显然应该采用集中式的分配方案，将 KDC 建立在中央站中。 222预置所有共享密钥。网络中的每个节点都保留与其它所有节点的共享密钥。假如网络规模为 n 个节点，那么每个节点需要存储 n-1 个密钥。这种机制在网络中是不现实的。网络一般具有很大的规模，那么节点需要保留良多密钥而节点的内存资源又非常有限，因此这种密钥分配机制会占用掉巨大的存储资源，也不利于动态拓扑下新节点的加进。 223密钥的天生和分发过程。采用一时一密方式，天生密钥时间可以通过预先天生解决；传输安全由密钥分发制完成；密钥不用采取保护、存储和备份措施；KDC7 / 8也轻易实现对密钥泄密、过时销毁的治理。电力自动化数据加密传输的方案中，密钥的分发建议采用 X509 数字证书案，并且不使用 CA，而是采用自签名的数字证书，其中KDC 的可托性由电力控制中央自己承担。因为方案中将 KDC建立在中央站中，因此只要保证中央站的信 息安全，就不虞有泄密的危险。 224密钥启念头制。目前电力系统中运行的终端，一般是启动接进数据网络就入行实时数据的传输。采用实时数据加密机制后，数据的传输必需在身份认证和第一次密钥交换成功之后才能开始数据传输。在数据传输过程中，一时一密机制将定时或不定时地交换密钥，此时密钥的启动和同步成为非常重要的题目。 225随机数的天生。一时一密的密钥天生方式需要大量的随机数。真正的随机数难以获取，一般由技术手段天生无偏的伪随机性数列。在电力系统应用中，一般可以采用三种手段得到4：a)通过随机现象得到。如记实环境噪音、每次击键、鼠标轨迹、当前时刻、CPU 负荷和网络延迟等产生的随机数，然后对其入行异或、杂凑等往偏技术，通过一系列的随机性检修后，就可以得到较满足的8