樊愛(ài)宛，常 強(qiáng)，魯書(shū)喜，任童童

(1.平頂山學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南平頂山467002;2.貴州電網(wǎng)公司遵義供電局，貴州遵義563002)

0 引言

電力調(diào)度審批流程是多個(gè)調(diào)度員在同一份操作票上進(jìn)行有序簽名，已經(jīng)涉及到有序多重?cái)?shù)字簽名技術(shù)［1］.現(xiàn)有的電力調(diào)度系統(tǒng)的有序多重?cái)?shù)字簽名多是以RSA數(shù)字簽名為主［2］.在相同的安全強(qiáng)度下，橢圓曲線密碼(Elliptic Curve Cryptosystem，ECC)［3］的密鑰長(zhǎng)度或數(shù)字簽名的長(zhǎng)度遠(yuǎn)小于RSA，因此在增快執(zhí)行速度或節(jié)省空間方面，ECC 明顯要優(yōu)于 RSA［4-5］.目前，ECC 有序多重?cái)?shù)字簽名在電力調(diào)度中的應(yīng)用研究很少.筆者對(duì)電力調(diào)度安全性分析后，設(shè)計(jì)了一個(gè)ECC有序多重?cái)?shù)字簽名在電力調(diào)度系統(tǒng)中的應(yīng)用方案，該方案具有抗否認(rèn)性、抗偽造性、簽名整體的可驗(yàn)證性等特點(diǎn)，能夠較好的解決電力調(diào)度系統(tǒng)的安全性問(wèn)題，并滿足調(diào)度系統(tǒng)實(shí)時(shí)性的要求.

1 電力調(diào)度系統(tǒng)安全性研究

電力調(diào)度系統(tǒng)安全審批的具體流程見(jiàn)圖1.利用調(diào)度操作平臺(tái)，由發(fā)電調(diào)度員提出操作票申請(qǐng)，通過(guò)信任中心認(rèn)證后，獲取操作票，在簽名后，轉(zhuǎn)發(fā)給輸電調(diào)度員，輸電調(diào)度員審核簽名后，轉(zhuǎn)發(fā)給總值調(diào)度員，總值調(diào)度員審核簽名后，交給信任中心審核是否所有人員簽名后，方可進(jìn)入已審綜合令庫(kù)，然后才能出票調(diào)度.

圖1 電力調(diào)度系統(tǒng)安全審批流程圖Fig.1 Flow chart of security approval of electrical dispatching system

在網(wǎng)絡(luò)化審批過(guò)程中，一般需要解決操作票合法性的驗(yàn)證性、操作票內(nèi)容的抗否認(rèn)性，操作票發(fā)送者身份的可識(shí)別性、操作票的完整性和數(shù)字簽名的抗偽造性等問(wèn)題.

2 基于電力調(diào)度系統(tǒng)的ECC有序多重簽名

2.1 系統(tǒng)初始化及密鑰的生成

2.1.1 簽名順序初始化

假設(shè)電力調(diào)度系統(tǒng)有z個(gè)調(diào)度員u1，u2，…，uz，按順序?qū)ν徊僮髌眒進(jìn)行簽名.調(diào)度系統(tǒng)設(shè)置一個(gè)簽名中心.為防止冒充簽名者偽造簽名，由簽名中心為每位簽名者產(chǎn)生唯一的身份ID，并將事先安排的簽名順序{ID1，ID2，…，IDZ}傳給每個(gè)調(diào)度員.

2.1.2 ECC 初始化

選擇有限域Fq，橢圓曲線參數(shù)D={q，F(xiàn)R，a，b，G，n，h}.其中q是所選有限域的階;FR是域中元素的表示;a，b∈Fq，是定義了橢圓曲線E上的兩個(gè)系數(shù)，即y2=x3+ax+b;G∈E(Fq)是橢圓曲線的一個(gè)基點(diǎn);n是G的階數(shù);h是輔因子，標(biāo)識(shí)橢圓曲線E能夠構(gòu)成子群的個(gè)數(shù).

每個(gè)調(diào)度簽名者選擇個(gè)人私鑰di，其中i∈［0，z］;計(jì)算 Qi=di·G，作為公鑰，其中 i∈［0，z］.

簽名中心選取dCA作為其私鑰，并計(jì)算QCA=dCA·G作為其公鑰.

所有簽名者的公鑰由簽名中心存儲(chǔ).每個(gè)調(diào)度簽名者可以從簽名中心獲取其他調(diào)度簽名者的公鑰.

定義H是一個(gè)單向安全的HASH函數(shù)，能夠保證數(shù)據(jù)的完整性和真實(shí)性.

2.2 操作票審核的過(guò)程

u1為了能夠得到電力調(diào)度的權(quán)限，向簽名中心提出調(diào)度權(quán)限申請(qǐng).具體步驟如下:

(1)u1產(chǎn)生操作票m.m含有調(diào)度時(shí)間、調(diào)度內(nèi)容、調(diào)度地點(diǎn)和調(diào)度申請(qǐng)人身份ID等重要信息;

(2)為防止非法者冒充u1提交操作票，u1對(duì)操作票m進(jìn)行簽名;

(3)將u1的簽名和操作票m通過(guò)秘密通道發(fā)送給簽名中心;

(4)簽名中心得到簽名和m，進(jìn)行簽名驗(yàn)證.若驗(yàn)證未通過(guò)，或者驗(yàn)證通過(guò)但是簽名中心不允許電力調(diào)度操作，則產(chǎn)生警告消息回傳給u1，然后轉(zhuǎn)入(9)，否則轉(zhuǎn)入(5);

(5)簽名中心產(chǎn)生操作票令牌Token.在每個(gè)電力簽名者簽名前，都需要審核操作令牌Token，以保證操作票的合法性;

(6)簽名中心為操作票產(chǎn)生調(diào)度簽名時(shí)效Time.要求用戶在給定的時(shí)間Time內(nèi)簽名，以防止簽名重播;

(7)簽名中心發(fā)送Token和Time給u1;

(8)u1驗(yàn)證Token和Time;

(9)完成.

在上面步驟中，簽名中心產(chǎn)生操作票令牌Token，采用簽名中心對(duì)操作票 m和簽名時(shí)效Time的簽名方式實(shí)現(xiàn).具體算法如下:

(1)簽名中心隨機(jī)產(chǎn)生整數(shù)k(0＜k＜n);(2)(x，y)=k·G;r=x mod n;

(3)hash=H(m‖Time)mod n，其中‖為連接符號(hào);

(4)SCA=(k+(r+hash)dCA)mod n;

(5)Token=(SCA，r).

調(diào)度簽名者在收到Token，m，Time后，對(duì)Token的驗(yàn)證算法如下:

(1)hash'=H(m‖Time)mod n;

(2)(x'，y')=SCA·G-(r+hash')QCA;

(3)判斷r=x'mod n是否成立.如果成立，則Token驗(yàn)證通過(guò)，否則失敗.

Token驗(yàn)證產(chǎn)生與驗(yàn)證算法有效性的驗(yàn)證如下:

2.3 調(diào)度簽名的過(guò)程

調(diào)度簽名者ui(i≥1)收到信息后，在經(jīng)過(guò)一系列信息驗(yàn)證后，進(jìn)行數(shù)字簽名，具體步驟如下:

(1)使用ui的私鑰di對(duì)m和IDi形成簽名S;(2)使用秘密隨機(jī)數(shù)產(chǎn)生秘密坐標(biāo)值keyi;(3)將(S，Token，m，Time)發(fā)送給下一個(gè)簽名者ui+1;

(4)將(S，keyi，IDi)發(fā)送給簽名中心備案，以便簽名中心驗(yàn)證每個(gè)簽名者真?zhèn)?

ui的簽名算法如下:

(1)ui隨機(jī)產(chǎn)生整數(shù)ki(0＜k＜n);

2.4 調(diào)度簽名的驗(yàn)證過(guò)程

在方案中，要求每位簽名者ui(i≥2)要對(duì)ui-1的簽名進(jìn)行驗(yàn)證.u1的簽名驗(yàn)證其實(shí)就是對(duì)Token的驗(yàn)證.下面給出電力調(diào)度中的ui(i≥2)簽名的驗(yàn)證具體步驟.

(1)首先判斷簽名時(shí)間Time的有效性，如果失效，則簽名失敗，否則，轉(zhuǎn)入(2);

(2)判斷Token的有效性，保證操作票及操作票令牌的完整性與真實(shí)性.如果失效，則簽名失敗，否則轉(zhuǎn)入(3);

(3)查看m，如果不同意調(diào)度，則轉(zhuǎn)入(5)，否則轉(zhuǎn)入(4);

(4)對(duì)S進(jìn)行數(shù)字簽名驗(yàn)證;

(5)完成.

ui數(shù)字簽名驗(yàn)證算法如下:

(1)hash'=H(m‖Time‖IDi-1)mod n;

(2)(x'，y')=Si-1·G-(ri-1+hash')Qi-1;

(3)判斷ri-1=x'mod n是否成立.如果成立，則驗(yàn)證通過(guò)，否則失敗.

2.5 簽名中心的驗(yàn)證

簽名中心的驗(yàn)證分為對(duì)ui的簽名驗(yàn)證和對(duì)所有簽名者的簽名驗(yàn)證.具體步驟如下:

(1)判斷Time的有效性.如果失效，則簽名失敗，否則，轉(zhuǎn)入(2);

(2)判斷m是否被修改.如果修改，簽名失敗，否則轉(zhuǎn)入(3);

(3)對(duì)ui的簽名驗(yàn)證，可使用3.5中的數(shù)字簽名驗(yàn)證算法.由于 ui提交的(S，keyi，IDi)中還有身份信息和m，可以通過(guò)ui的公鑰判斷ui身份是否合法，從而得知m的完整性;

(4)對(duì)所有簽名者的簽名驗(yàn)證.

在簽名中心已知每個(gè)調(diào)度簽名者發(fā)送過(guò)來(lái)的S=(si，ri)和 IDi情況下，計(jì)算如下:

如果R=x mod n成立，則多重?cái)?shù)字簽名通過(guò)，否則，驗(yàn)證失敗.

簽名算法的有效性驗(yàn)證如下:

2.6 電力調(diào)度信息的加密過(guò)程

考慮到電力調(diào)度信息的機(jī)密性，可以使用ECC進(jìn)行加密和解密處理.加密處理如下:

(1)ui的加密算法:ui隨機(jī)選擇整數(shù)k，使C1=k·G，C2=m+k·Qi+1，將(C1，C2)發(fā)送給ui+1;

(2)ui+1的解密算法:m=C2-di+1·C1.

3 方案安全性分析

上述基于電力調(diào)度的有序多重簽名方案滿足以下安全特性:

(1)不可偽造性.在抵抗被動(dòng)攻擊時(shí)，既使攻擊者知道了簽名者ui的公用密鑰Qi，要解出ui的秘密密鑰di，或者是知道了公開(kāi)的ri，要解出ki，都相當(dāng)于解橢圓曲線離散對(duì)數(shù)問(wèn)題，這比解大整數(shù)因式分解和一般有限域離散對(duì)數(shù)問(wèn)題更加困難.

(2)不可否認(rèn)性.簽名者向簽名中心發(fā)送的(S，keyi，IDi)中含有了簽名者的身份 ID，具有不可否認(rèn)性.

(3)不誠(chéng)實(shí)簽名者的可識(shí)別性.由于簽名中心根據(jù)(S，keyi，IDi)，可以對(duì)每個(gè)簽名者 ui的簽名進(jìn)行驗(yàn)證，因此如果簽名組成員中有不誠(chéng)實(shí)者，試圖偽造簽名，則在簽名過(guò)程中就會(huì)被發(fā)現(xiàn).

(4)可驗(yàn)證性.每個(gè)簽名者都可以對(duì)前面的簽名進(jìn)行驗(yàn)證.

(5)簽名的完整性.簽名中心通過(guò)對(duì)Si的驗(yàn)證對(duì)所有利用簽名者的身份ID生成Si，保證簽名的完整性.

(6)消息的機(jī)密性.在簽名前，使用ECC加密算法保證消息的機(jī)密性.

(7)消息的完整性.當(dāng)ui向簽名中心提交(S，keyi，IDi)后，簽名中心會(huì)根據(jù)對(duì) S的簽名驗(yàn)證，判斷消息的完整性，同時(shí)可以得出修改m的簽名者身份.

(8)操作票的合法性.如果簽名者存疑，可向簽名中心提出仲裁，簽名中心比較Token'和Token是否一致，即得操作票的合法性.

筆者方案與其它方案的安全性比較見(jiàn)表1.

表1 本文方案與其它方案在安全性上的比較Tab.1 Comparison of security between this paper scheme and other schemes

4 執(zhí)行效率分析

4.1 時(shí)間復(fù)雜度

ECC的各種運(yùn)算的時(shí)間符號(hào)定義和時(shí)間復(fù)雜度換算關(guān)系可按文獻(xiàn)［8-9］估算.其中，相對(duì)于 tMUL，tADD和 tM可以忽略，tEXP≈240tMUL，tEC_MUL≈29tMUL，tEC_ADD≈ 0.12tMUL，tH≈ 0.23tMUL，tI≈11.6tMUL.

(1)操作票審核.簽名中心簽名時(shí)間為:tEC_MUL+tM+tH+tM+tADD+tMUL+tADD+tM≈29tMUL+0.23tMUL+tMUL=30.23tMUL.

操作票申請(qǐng)者驗(yàn)證時(shí)間:tH+tEC_MUL+tEC_MUL+tADD+tEC_ADD≈58tMUL+0.12tMUL=58.12tMUL.

(2)調(diào)度簽名

tEC_MUL+tM+tH+tM+tADD+tMUL+tADD+tM≈29tMUL+0.23tMUL+tMUL=30.23tMUL.

(3)調(diào)度簽名的驗(yàn)證

tH+tEC_MUL+tEC_MUL+tADD+tEC_ADD≈58tMUL+0.12tMUL=58.12tMUL.

(4)簽名中心的驗(yàn)證.假設(shè)有z個(gè)電力調(diào)度簽名者，則簽名中心驗(yàn)證時(shí)間為:ztEC_ADD+z(tH+tEC_ADD+tEC_MUL)+tEC_ADD.如果調(diào)度簽名者為3個(gè)，則驗(yàn)證時(shí)間為:3tEC_ADD+3(tH+tEC_ADD+tEC_MUL)+tEC_ADD≈88.53tMUL.

本文方案與其它方案在時(shí)間復(fù)雜度上的比較見(jiàn)表2.可以看出，本文方案的計(jì)算量明顯小于其它方案，具有較高的運(yùn)行效率.

4.2 通信量

本文方案通信量用調(diào)度簽名運(yùn)行中產(chǎn)生的消息數(shù)來(lái)表示.在操作票審核過(guò)程中，通信雙方使用1次交互，2條消息;在調(diào)度者審核簽名過(guò)程使用2條消息，假設(shè)有3個(gè)調(diào)度者參與簽名，則整個(gè)調(diào)度者審核簽名使用6條消息.本文方案使用8條消息，具有較小的通信量.

表2 本文方案與其它方案在時(shí)間復(fù)雜度上的比較Tab.2 Comparison of time complexity between this paper scheme and other schemes

5 應(yīng)用測(cè)試

本文方案在VC6.0環(huán)境下進(jìn)行實(shí)現(xiàn)，橢圓曲線q的位數(shù)為224位.針對(duì)電力調(diào)度命令進(jìn)行簽名和驗(yàn)證，以檢驗(yàn)本軟件的實(shí)用性，整個(gè)實(shí)驗(yàn)采用Intel酷睿i5-750，4G內(nèi)存的運(yùn)行環(huán)境，密鑰生成過(guò)程的平均時(shí)間為1 ms，電力調(diào)度簽名過(guò)程消耗的平均時(shí)間為9 ms，簽名驗(yàn)證過(guò)程消耗的平均時(shí)間為17 ms，簽名中心驗(yàn)證消耗的平均時(shí)間為30 ms.實(shí)驗(yàn)表明該系統(tǒng)具有良好的運(yùn)行效率，能夠滿足電力調(diào)度的實(shí)時(shí)性要求.電力調(diào)度系統(tǒng)的監(jiān)測(cè)簽名的界面如圖2示，ECC簽名的后臺(tái)運(yùn)行過(guò)程如圖3所示.

6 結(jié)束語(yǔ)

筆者設(shè)計(jì)了ECC有序多重?cái)?shù)字簽名在電力調(diào)度中的應(yīng)用方案，方案滿足抗否認(rèn)性、抗偽造性、簽名整體的可驗(yàn)證性等安全特性.與同類方案相比，克服了消息采用明文傳送帶來(lái)的安全隱患，能夠保證消息的完整性，可以對(duì)操作票合法性進(jìn)行驗(yàn)證.方案的計(jì)算量?jī)?yōu)于同類方案，具有較高的運(yùn)行效率，較小通信量的特點(diǎn).方案的應(yīng)用測(cè)試表明能夠滿足電力調(diào)度的實(shí)時(shí)性要求.但是方案是以信任的簽名中心為研究前提，沒(méi)有考慮到簽名中心的作弊行為，如何設(shè)計(jì)基于電力調(diào)度系統(tǒng)無(wú)認(rèn)證的有序多重簽名是下一步的研究方向.

［1］ 徐俊杰，趙京虎.基于SCADA系統(tǒng)的地區(qū)電網(wǎng)調(diào)度操作票系統(tǒng)的設(shè)計(jì)［J］.電力系統(tǒng)保護(hù)與控制，2010，38(13):104-107.

［2］ 陳瑞，葉核亞.B/S結(jié)構(gòu)的電力調(diào)度信息管理系統(tǒng)中的數(shù)字簽名［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，5(9):50-52.

［3］ 耿永軍，閆洪亮.一種基于DSA變體的盲簽名方案［J］.鄭州大學(xué)學(xué)報(bào):工學(xué)版，2006，27(3):101-103.

［4］ 李欣妍，蘆殿軍.基于橢圓曲線密碼體制的代理多重盲簽名［J］.計(jì)算機(jī)工程與科學(xué) ，2010，32(11):58-59.

［5］ 史開(kāi)泉，陳澤雄，電力系統(tǒng)加密通信與通信認(rèn)證問(wèn)題［J］.中國(guó)電機(jī)工程學(xué)報(bào)，2002，22(10):34-38.

［6］ 施榮華，胡芳.一種基于橢圓曲線的有序多重?cái)?shù)字簽名方案［J］.計(jì)算機(jī)工程與應(yīng)用，2006，27(25):152-155.

［7］ 劉振，申凱，余昭平.有效的有序多重?cái)?shù)字簽名方案［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2008，29(1):28-33.

［8］ COURTOI N，KLIMOV A，PATARIN J.Efficient Algorithms for Solving Overdefined Systems of Multivariate Polynomial Equations［C］.Berlin，Germany:Springer-Verlag，2000:392-407.

［9］ KIPNIS A，SHAMIA A.Cryptanalysis of the HFE Public Key Cryptosystem by Relinearization［C］.Berlin，Germany:Springer-Verlag，1999:19-30.