• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于國密SM9 算法的電力物聯(lián)網(wǎng)身份認(rèn)證技術(shù)研究

      2020-11-02 08:44:36廖會敏班國民李長青陳紹真
      山東電力技術(shù) 2020年10期
      關(guān)鍵詞:國密私鑰海量

      廖會敏,俞 果,班國民,李長青,陳紹真

      (1.國網(wǎng)電子商務(wù)有限公司,北京 100053;2.國家電網(wǎng)有限公司電力金融與電子商務(wù)實驗室,北京 100053;3.國網(wǎng)山東省電力公司,山東 濟(jì)南 250001)

      0 引言

      依托“大云物移智”等新技術(shù)的發(fā)展,電力行業(yè)逐步將能源流和信息流進(jìn)行深度融合,實現(xiàn)電力系統(tǒng)各環(huán)節(jié)的互聯(lián)互通,形成物物相通、人機(jī)智聯(lián)的電力物聯(lián)網(wǎng)[1-4],為能源互聯(lián)網(wǎng)的發(fā)展打造新的業(yè)務(wù)生態(tài)。伴隨電力物聯(lián)網(wǎng)建設(shè)的高速推進(jìn),在“發(fā)—輸—變—配—用”等環(huán)節(jié)部署了大量具有狀態(tài)感知、數(shù)據(jù)處理及控制管理等功能的終端,將時間、地點(diǎn)、人、物等元素連接在一起,實現(xiàn)信息的高效共享和快速交互。面對電力物聯(lián)網(wǎng)中大量移動終端的接入,各類電力運(yùn)營數(shù)據(jù)被采集分析,大量碎片化的數(shù)據(jù)通過不同的裝置采集提供給數(shù)據(jù)中心進(jìn)行管理[5]。隨著電力系統(tǒng)間信息交互日益頻繁,接入主體的安全性影響著數(shù)據(jù)及指令的可靠性,設(shè)備的身份認(rèn)證技術(shù)也將在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用??紤]到傳統(tǒng)基于公鑰基礎(chǔ)設(shè)施 (Public Key Infrastructure,PKI)的身份認(rèn)證依賴于第三方認(rèn)證機(jī)構(gòu)(Certificate Authority,CA)[6-7],且需要為每一臺終端創(chuàng)建一個證書,海量終端身份認(rèn)證過程存在大量的證書交換過程,管理體系十分復(fù)雜,不利于證書的管理和安全應(yīng)用的部署,因此,輕量便捷化的身份認(rèn)證機(jī)制成為重要的研究方向之一。

      分析電力業(yè)務(wù)信息安全的現(xiàn)狀,描述現(xiàn)有的身份認(rèn)證架構(gòu)存在的不足,結(jié)合實際的電力業(yè)務(wù)場景提出基于國密SM9 算法[8]的信息安全防護(hù)架構(gòu),降低電力物聯(lián)網(wǎng)大規(guī)模終端安全接入管控的復(fù)雜性,提升各電力系統(tǒng)間信息交互的高效性和安全性。

      1 電力物聯(lián)網(wǎng)安全威脅

      伴隨移動應(yīng)用和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展,在移動、泛在、混合、廣域互聯(lián)環(huán)境下,電力物聯(lián)網(wǎng)中部署了傳感裝置、移動終端、視頻監(jiān)控、智能電表、充電樁、辦公計算機(jī)等大量的內(nèi)外網(wǎng)數(shù)據(jù)采集、控制及管理設(shè)備,網(wǎng)絡(luò)界限的模糊使得安全威脅與風(fēng)險超越了固有邊界,業(yè)務(wù)端在可信操作、身份合法性等方面存在一定的安全風(fēng)險。同時電力企業(yè)云的建設(shè),使得電力系統(tǒng)面臨數(shù)據(jù)規(guī)模大、業(yè)務(wù)類型多、信息交互復(fù)雜等問題,導(dǎo)致非法訪問、數(shù)據(jù)泄露等風(fēng)險急劇增加。面對云環(huán)境下海量終端安全接入的需求,將基于PKI 機(jī)制的身份認(rèn)證機(jī)制與云計算相結(jié)合,利用云服務(wù)的便捷性和開放性形成以身份認(rèn)證、統(tǒng)一用戶管理及數(shù)字簽名等應(yīng)用為核心的安全體系,實現(xiàn)終端接入的合法性驗證,解決云環(huán)境下終端身份認(rèn)證、數(shù)據(jù)安全傳輸及訪問控制管理面臨的安全問題。PKI 機(jī)制綜合使用了數(shù)字摘要技術(shù)、數(shù)字簽名等多項密碼技術(shù)以及一套完整的證書管理機(jī)制來提供安全服務(wù)。

      隨著國產(chǎn)密碼算法的大力推廣,為降低海量終端環(huán)境下身份認(rèn)證的復(fù)雜性[9],基于物理邊界構(gòu)筑安全基礎(chǔ)設(shè)施、依靠網(wǎng)絡(luò)位置建立安全信任的傳統(tǒng)防御架構(gòu)被徹底打破,基于身份的認(rèn)證和授權(quán)成為新的安全防御機(jī)制。基于身份標(biāo)識的密碼技術(shù)不必申請和交換證書,可有效降低公鑰系統(tǒng)中密鑰管理和使用的復(fù)雜性,相較于傳統(tǒng)PKI 具有靈活、易擴(kuò)展、簡潔的優(yōu)點(diǎn)。

      2 面向海量終端的國密SM9 應(yīng)用研究

      2.1 基于國密SM9 的身份認(rèn)證

      國密SM9 作為身份標(biāo)識密碼的一種,其公私鑰由密鑰生成中心(Key Generation Center,KGC)利用設(shè)備身份標(biāo)識、主公鑰、主私鑰和公共算法參數(shù)計算得出。國密SM9 使用具有唯一性的各類標(biāo)識作為公鑰進(jìn)行數(shù)據(jù)加密和身份認(rèn)證,非常適合電子郵件保護(hù)、公文安全流轉(zhuǎn)、多媒體融合安全通信、身份認(rèn)證、物聯(lián)網(wǎng)安全通信、云數(shù)據(jù)保護(hù)等應(yīng)用。國密SM9 算法采用橢圓曲線上的雙線性對作為基礎(chǔ)數(shù)學(xué)工具,基于相關(guān)的計算復(fù)雜性假設(shè)構(gòu)建安全性證明,極大提高我國信息安全的防護(hù)水平。這樣的系統(tǒng)具有天然的密碼委托功能,非常適合于有監(jiān)管的應(yīng)用環(huán)境,對海量互聯(lián)設(shè)備的管控具有相當(dāng)大的優(yōu)勢?;跇?biāo)識的密碼系統(tǒng) (Identity Based Cryptography,IBC)[10]與PKI 的詳細(xì)對比如表1 所示。

      表1 IBC 與PKI 體系比較

      目前電力部分業(yè)務(wù)數(shù)據(jù)的通信協(xié)議未應(yīng)用安全認(rèn)證技術(shù),存在被第三方偽造或竊取協(xié)議數(shù)據(jù)包、篡改協(xié)議控制類數(shù)據(jù)等風(fēng)險。同時,為構(gòu)建面向大規(guī)模業(yè)務(wù)場景的統(tǒng)一密碼服務(wù),開展國密SM9 算法和云技術(shù)相融合的虛擬化應(yīng)用研究,可提升安全認(rèn)證的效率。

      2.2 云環(huán)境下國密SM9 應(yīng)用架構(gòu)

      隨著電力物聯(lián)網(wǎng)的大力推進(jìn),業(yè)務(wù)終端及應(yīng)用系統(tǒng)急劇增加,在業(yè)務(wù)交互時鑒別設(shè)備終端身份、保護(hù)隱私信息、維護(hù)系統(tǒng)安全、數(shù)據(jù)精準(zhǔn)保護(hù)等問題尤為重要,且由傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型、海量、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。傳統(tǒng)基于PKI 機(jī)制的安全認(rèn)證面對復(fù)雜的證書交換場景,將產(chǎn)生巨大的管理開銷和運(yùn)維成本。

      為提升海量終端安全認(rèn)證的效率,提出基于國密SM9 算法的云安全接入方法,實現(xiàn)大規(guī)模終端安全接入、強(qiáng)身份認(rèn)證、通道加密等功能,防止因系統(tǒng)漏洞、弱口令、數(shù)據(jù)中間劫持等造成應(yīng)用系統(tǒng)冒名越權(quán)訪問、數(shù)據(jù)篡改和數(shù)據(jù)泄露等安全風(fēng)險,保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。同時,本方案可為業(yè)務(wù)交互提供安全接入和通道加密服務(wù),形成訪問過程的審計管理。通過融合云技術(shù)和國密SM9 算法,安全防護(hù)方案無須改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu),具有部署簡單、使用成本低、密鑰管理簡便等特點(diǎn),實際應(yīng)用中,海量終端通過身份標(biāo)識即可實現(xiàn)雙向強(qiáng)身份認(rèn)證,圖1 為基于國密SM9 算法的海量電力終端云安全接入架構(gòu)。

      圖1 基于國密SM9 的海量電力終端云安全接入架構(gòu)

      利用國密SM9 無數(shù)字證書的密鑰管理優(yōu)勢,為用戶終端、標(biāo)識設(shè)備與解析服務(wù)節(jié)點(diǎn)之間的安全認(rèn)證和通道加密提供服務(wù),極大簡化了密鑰的管理,有效降低了網(wǎng)絡(luò)資源的消耗。同時,大量的業(yè)務(wù)數(shù)據(jù)存儲在云上,大量的終端接入對如何保障數(shù)據(jù)的安全提出了挑戰(zhàn)?;趪躍M9 的身份認(rèn)證機(jī)制可以有效解決數(shù)據(jù)訪問權(quán)限的問題,可以根據(jù)身份標(biāo)識分配不同數(shù)據(jù)的操作權(quán)限,實現(xiàn)基于身份標(biāo)識的數(shù)據(jù)訪問安全可控。

      2.3 基于CHAP 機(jī)制的增強(qiáng)身份認(rèn)證

      由于傳統(tǒng)基于用戶名/口令的認(rèn)證方式存在被竊聽或攔截的風(fēng)險,且極易受到木馬、口令字典等攻擊。為提升身份認(rèn)證的安全性,基于國密SM9 的身份認(rèn)證被廣泛研究應(yīng)用,可有效規(guī)避以上風(fēng)險。與PKI 體系的身份認(rèn)證機(jī)制一樣,基于國密SM9 的身份認(rèn)證仍然面臨重放攻擊的威脅。為提升身份認(rèn)證的穩(wěn)定性和安全性,提出了結(jié)合挑戰(zhàn)握手認(rèn)證協(xié)議(Challenge-Handshake Authentication Protocol,CHAP)機(jī)制防止重放攻擊的影響,實現(xiàn)國密SM9 的增強(qiáng)身份認(rèn)證,提升電力物聯(lián)網(wǎng)環(huán)境下身份認(rèn)證方式的安全性和穩(wěn)定性?;贑HAP 機(jī)制的身份認(rèn)證過程如圖2 所示,通過3 次交互過程來校驗對端的身份:1)當(dāng)接入者需要向認(rèn)證者表明身份時,認(rèn)證者向接入者發(fā)送隨機(jī)“挑戰(zhàn)”消息;2)來訪者收到挑戰(zhàn)消息后,使用自己私鑰的簽名挑戰(zhàn)值生成“響應(yīng)”值;3)認(rèn)證者根據(jù)響應(yīng)值中接入者對挑戰(zhàn)值的簽名信息來驗證接入者的身份,如果簽名驗證正確,身份得到確認(rèn)。否則,來訪請求應(yīng)該被終止。

      圖2 基于CHAP 機(jī)制的增強(qiáng)身份認(rèn)證

      利用國密SM9 算法將傳統(tǒng)基于PKI 數(shù)字證書的認(rèn)證方式升級為基于身份標(biāo)識的驗證方式,基于CHAP 機(jī)制,電力物聯(lián)網(wǎng)服務(wù)端通過修改可變的挑戰(zhàn)值阻止第三方的重放攻擊行為,能夠安全驗證電力終端或應(yīng)用系統(tǒng)的身份標(biāo)識,從而確認(rèn)接入電力物聯(lián)網(wǎng)“人機(jī)物”的身份真實性及合法性。

      3 聯(lián)合生物識別的國密SM9 密鑰增強(qiáng)系統(tǒng)

      在電力物聯(lián)網(wǎng)背景下,國密SM9 算法能夠非常簡單地實現(xiàn)電力用戶的身份認(rèn)證。但是由于私鑰在用戶側(cè)管理,存在較大的被竊取隱患,萬一私鑰泄露,將對電力設(shè)備的接入驗證帶來很大的威脅。為了防止密鑰被竊取帶來的危險終端接入,利用生物識別技術(shù)保障私鑰存儲安全的方案被提出,目的是實現(xiàn)用戶“無口令”的強(qiáng)身份認(rèn)證,在設(shè)備中通過生物特征識別即可完成認(rèn)證實現(xiàn)用戶登錄,支持指紋、語音、瞳孔、人臉等生物特征識別方式。因此,利用生物識別技術(shù)提升身份認(rèn)證私鑰的安全性,實現(xiàn)對終端使用者嚴(yán)格管控,確保終端操作的合理合規(guī)?;谏镒R別的安全性認(rèn)證主要步驟為:

      1)為了提升身份認(rèn)證私鑰的安全性,私鑰的存儲模塊以硬件的形式嵌入電力終端;

      2)在電力終端上采集合法操作人員的生物信息,如指紋、人臉、聲紋等;

      3)操作人員進(jìn)行操作時首先進(jìn)行生物識別,如識別通過則獲取私鑰的使用權(quán)限,若不通過,則拒絕。

      圖3 展示了聯(lián)合生物識別技術(shù)和國密SM9 的強(qiáng)身份認(rèn)證技術(shù),本方案對終端和操作人員都進(jìn)行了有效的監(jiān)管,對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境具有更好的適應(yīng)性,其主要流程為:

      1)利用電力終端的身份標(biāo)識信息向KGC 申請注冊;

      2)KGC 生成終端對應(yīng)的公私鑰,并將私鑰存儲在電力終端的私鑰存儲模塊中,同時,明確各終端的操作人員范圍,并錄入相關(guān)的生物信息;

      3)當(dāng)操作人員訪問應(yīng)用服務(wù)器資源時,利用電力終端向資源服務(wù)器發(fā)送訪問請求;

      4)資源服務(wù)器收到請求后,向電力終端發(fā)送身份認(rèn)證請求和隨機(jī)挑戰(zhàn)值;

      5)電力終端識別操作人員的生物信息,如果識別通過則用私鑰對挑戰(zhàn)值簽名發(fā)送給安全認(rèn)證中心;

      6)安全認(rèn)證中心接收到簽名信息,對報文進(jìn)行解析,并比對隨機(jī)挑戰(zhàn)值是否一致;

      7)若隨機(jī)挑戰(zhàn)值一致,則身份認(rèn)證通過;若不一致,則返回錯誤信息。

      圖3 聯(lián)合生物識別與國密SM9 的電力終端強(qiáng)身份認(rèn)證技術(shù)

      利用生物識別技術(shù)實現(xiàn)基于國密SM9 “無口令”的身份認(rèn)證,與電力業(yè)務(wù)上云有很好的契合性,有效解決了傳統(tǒng)身份認(rèn)證機(jī)制面臨的證書管理低效的問題,提升電力物聯(lián)網(wǎng)環(huán)境下身份認(rèn)證的安全和效率。

      4 結(jié)語

      分析電力物聯(lián)網(wǎng)中存在的信息安全風(fēng)險,重點(diǎn)分析了系統(tǒng)安全防護(hù)和數(shù)據(jù)安全管理的應(yīng)用。針對大規(guī)模接入點(diǎn)存在的安全問題,提出利用國密SM9強(qiáng)化對終端身份認(rèn)證的支撐能力,融合國密SM9 算法、CHAP 協(xié)議、生物識別等技術(shù),構(gòu)建了面向海量終端的身份認(rèn)證架構(gòu),保障了業(yè)務(wù)終端到云服務(wù)端的接入認(rèn)證、業(yè)務(wù)全鏈條數(shù)據(jù)傳輸和信任的安全性,提升電力物聯(lián)網(wǎng)身份認(rèn)證的效率。

      猜你喜歡
      國密私鑰海量
      一種傅里葉域海量數(shù)據(jù)高速譜聚類方法
      比特幣的安全性到底有多高
      國密技術(shù)在智能燃?xì)獗硐到y(tǒng)的應(yīng)用與分析
      煤氣與熱力(2021年7期)2021-08-23 01:11:14
      基于改進(jìn)ECC 算法的網(wǎng)絡(luò)信息私鑰變換優(yōu)化方法
      Hyperledger Fabric平臺的國密算法嵌入研究
      海量快遞垃圾正在“圍城”——“綠色快遞”勢在必行
      自助終端設(shè)備國密改造方法探究
      基于國密算法的銀行移動營銷終端安全系統(tǒng)研究
      電子測試(2018年9期)2018-06-26 06:45:40
      一種基于虛擬私鑰的OpenSSL與CSP交互方案
      一個圖形所蘊(yùn)含的“海量”巧題
      克东县| 南川市| 陕西省| 宣武区| 灵石县| 敖汉旗| 汉阴县| 永兴县| 开平市| 灵宝市| 双流县| 大兴区| 天镇县| 玉山县| 玛纳斯县| 内江市| 岳西县| 永和县| 张家川| 东乌珠穆沁旗| 山阴县| 长寿区| 博白县| 兴宁市| 正宁县| 东海县| 汤原县| 龙南县| 隆安县| 大石桥市| 江陵县| 江川县| 靖江市| 祥云县| 饶阳县| 元谋县| 辽宁省| 大新县| 元朗区| 房产| 沭阳县|