基于ZigBee的電網(wǎng)用電信息收集與跨域認(rèn)證安全方法

曹華鋒，劉倍菡，李樹林，張建平

（1.國網(wǎng)甘肅省電力公司市場營銷事業(yè)部，甘肅蘭州 730000；2.國網(wǎng)定西供電公司，甘肅定西 743000）

近年來，各省電網(wǎng)公司的電力信息收集系統(tǒng)雖然發(fā)展迅速、設(shè)計范圍逐漸擴(kuò)大，但其收集效果還是很不理想[1]?，F(xiàn)在的電力信息收集系統(tǒng)主要依靠GPRS 完成數(shù)據(jù)傳輸，但如果用GPRS 傳輸數(shù)據(jù)的用戶達(dá)到一定的程度，負(fù)載過大，就會使數(shù)據(jù)傳輸通道擁擠堵塞。而且傳輸效果很容易被周圍環(huán)境影響，在后臺收集數(shù)據(jù)時，常常會發(fā)生延遲和丟包[2-3]。

ZigBee 技術(shù)是一種基于IEEE802.15.4 標(biāo)準(zhǔn)的無線通信技術(shù)，能夠?qū)崿F(xiàn)雙向的無線傳輸，并且在安全監(jiān)控、智能家居等領(lǐng)域都有廣泛的應(yīng)用。將ZigBee無線網(wǎng)絡(luò)技術(shù)部署在無線傳感器網(wǎng)絡(luò)需要的地方，不僅可以實時監(jiān)控電網(wǎng)，還可以將用戶信息收集到終端，快速構(gòu)建智能電網(wǎng)雙向信息流通道。為此，該文設(shè)計了基于ZigBee 的電網(wǎng)用電信息收集與跨域認(rèn)證安全方法，利用信任管理方法保證安全，以及服務(wù)域結(jié)合信任管理和證書認(rèn)證保證安全，用戶能夠透明地訪問采用不同底層安全機(jī)制的域中服務(wù)，實現(xiàn)安全跨域認(rèn)證。

1 電網(wǎng)用電信息收集

ZigBee 網(wǎng)絡(luò)由協(xié)調(diào)器、多個路由器以及終端設(shè)備構(gòu)成。其中，網(wǎng)絡(luò)的啟動和建立由協(xié)調(diào)器負(fù)責(zé)，經(jīng)過網(wǎng)絡(luò)的批準(zhǔn)后，終端設(shè)備節(jié)點(diǎn)和路由器節(jié)點(diǎn)可以向協(xié)調(diào)器節(jié)點(diǎn)提出申請[4]。協(xié)調(diào)節(jié)點(diǎn)的作用是建設(shè)和維護(hù)ZigBee 網(wǎng)絡(luò)，匯集終端節(jié)點(diǎn)發(fā)送的電量和收集數(shù)據(jù)，并將數(shù)據(jù)發(fā)送到收集系統(tǒng)主站[5]。

1.1 ZigBee電網(wǎng)用電信息收集原理

系統(tǒng)的硬件設(shè)計主要包括收集節(jié)點(diǎn)和協(xié)調(diào)器兩部分，測量儀、STM32單片機(jī)以及ZigBee芯片CC2530共同組成了收集節(jié)點(diǎn)，其主要功能是收集能耗信息以及傳送數(shù)據(jù)至協(xié)調(diào)器。協(xié)調(diào)器主要負(fù)責(zé)接收收集節(jié)點(diǎn)發(fā)送的數(shù)據(jù)，封裝后通過UART 總線發(fā)送給主機(jī)[6-8]。ZigBee 網(wǎng)絡(luò)采用TI 公司推出的2.4 GHz RF芯片CC2530，其將CPU 與PFRF 集成在一起，使之符合IEEE802.15.4 標(biāo)準(zhǔn)[9-10]。ZigBee 電網(wǎng)用電信息收集原理圖如圖1 所示。

圖1 ZigBee電網(wǎng)用電信息收集原理圖

圖1中，CC2530的CPU內(nèi)核是一個單循環(huán)的8051兼容內(nèi)核，其包含了一個擴(kuò)展中斷單環(huán)和一個調(diào)試接口，可以給無線收發(fā)器提供兼容IEEE802.15.4 的RF 內(nèi)核控制模擬無線模塊。利用該芯片，可以大大簡化電路設(shè)計，降低系統(tǒng)功耗[11]。

1.2 收集終端節(jié)點(diǎn)設(shè)置

采用DDSll02-Z型電能表收集節(jié)點(diǎn)、RS-485端口和CC2530 收集終端構(gòu)成用戶用電信息收集節(jié)點(diǎn)[12]。DDSll02-Z 是一款額定電壓為220 V、頻率為50 Hz的智能電表。其主要作用包括記錄事件及其發(fā)生的時間、主動切斷設(shè)備電源，并且可以遠(yuǎn)程監(jiān)控、管理用戶的用電情況；也可以實時顯示電壓、電流、功率等所需數(shù)據(jù)。該文應(yīng)用RS-485 接口和遠(yuǎn)紅外接口采集來自輸出端口的電能表數(shù)據(jù)，所使用的信息格式符合DL/T645 型多功能電表通信標(biāo)準(zhǔn)。RS-485 端口采用9 600 bps 的波特率設(shè)置，當(dāng)通信端口有數(shù)據(jù)接收信號時，通過LCD 顯示屏顯示通信信號[13]。

電能表箱組成本地RS-485網(wǎng)絡(luò)后，與收集終端的CC2530模塊相連，無線收集節(jié)點(diǎn)硬件框圖如圖2所示。

圖2 無線收集節(jié)點(diǎn)硬件框圖

1.3 基于協(xié)調(diào)器的網(wǎng)絡(luò)啟動和建立

在有線接入?yún)f(xié)調(diào)程序中，ZigBee 模塊是整個ZigBee網(wǎng)絡(luò)的數(shù)據(jù)匯聚節(jié)點(diǎn)，其主要任務(wù)是在ZigBee網(wǎng)絡(luò)集中匯集處理后，將所需要的數(shù)據(jù)發(fā)送給有線以太網(wǎng)，并且會匯總處理系統(tǒng)主站所需要的不同控制指令，并傳輸至ZigBee 網(wǎng)絡(luò)，因此能夠?qū)崿F(xiàn)ZigBee網(wǎng)絡(luò)和以太網(wǎng)的有機(jī)連接[14-15]?；趨f(xié)調(diào)器的網(wǎng)絡(luò)啟動和建立流程如圖3 所示。

圖3 基于協(xié)調(diào)器的網(wǎng)絡(luò)啟動和建立流程

由圖3 可知，協(xié)調(diào)器在組網(wǎng)過程中，首先要進(jìn)行系統(tǒng)的初始化，系統(tǒng)初始化成功且網(wǎng)絡(luò)組網(wǎng)成功以后就可以收集節(jié)點(diǎn)[16]。協(xié)調(diào)器節(jié)點(diǎn)的起始狀態(tài)稱為初始化狀態(tài)，是必要狀態(tài)，調(diào)節(jié)器在初始化狀態(tài)時會建立自己的網(wǎng)絡(luò)，在此之前所有的后續(xù)工作都無法進(jìn)行。如果組網(wǎng)成功，則可進(jìn)入初始化工作狀態(tài)，否則還會回到初始化狀態(tài)。當(dāng)組網(wǎng)成功后，協(xié)調(diào)器節(jié)點(diǎn)可以檢索到可用通道，并且在檢索到的可用通道上建立自己的網(wǎng)絡(luò)，當(dāng)網(wǎng)絡(luò)建設(shè)成功以后將可以正常啟動，否則將回到上一狀態(tài)。若已經(jīng)可以正常啟動，協(xié)調(diào)器節(jié)點(diǎn)就可以允許周圍的設(shè)備加入其所建立的網(wǎng)絡(luò)，然后逐步實現(xiàn)節(jié)點(diǎn)間的通信，這種狀態(tài)叫做正常啟動狀態(tài)。之后將進(jìn)入正常工作狀態(tài)，會依據(jù)用戶的指令和要求來完成協(xié)調(diào)器與終端設(shè)備之間的通信。

1.4 電網(wǎng)用電信息收集

實現(xiàn)數(shù)據(jù)的發(fā)送和鏈接協(xié)調(diào)程序節(jié)點(diǎn)所組成的網(wǎng)絡(luò)是由收集節(jié)點(diǎn)完成的，硬件的初始化功能是應(yīng)用程序設(shè)計的主要功能。按照用戶的指令進(jìn)行相應(yīng)的工作模式并加入ZigBee 網(wǎng)絡(luò)后，首先要掃描周圍的通道信息，再將協(xié)調(diào)節(jié)點(diǎn)與電源接通，最后才將ZigBee 網(wǎng)絡(luò)建立在空閑通道上。電網(wǎng)用電信息收集流程如圖4 所示。

圖4 電網(wǎng)用電信息收集流程

2 跨域認(rèn)證安全方法

2.1 跨域認(rèn)證模型構(gòu)建

信任管理的背景是證書轉(zhuǎn)換服務(wù)，其跨域身份認(rèn)證步驟主要包含用戶域?qū)Ψ?wù)域的信任評估、用戶域內(nèi)部的信任評估、服務(wù)域?qū)τ脩粲虻男湃卧u估以及用戶域內(nèi)部的信任評估。由此構(gòu)建跨域認(rèn)證模型，如圖5 所示。

圖5 跨域認(rèn)證模型

從圖5 中可以看出，系統(tǒng)包含2 個信任域P1 和P2，這個模型的每個域都增加了一個信任代理服務(wù)，由實體之間的直接交互行為歷史和間接經(jīng)驗建議等信息來建立各個域之間的信任關(guān)系。只有在信任關(guān)系已經(jīng)建立的基礎(chǔ)上，訪問者身份的傳遞才可以基于標(biāo)準(zhǔn)的認(rèn)證斷言協(xié)議進(jìn)行域之間的權(quán)威認(rèn)證，本地信任域才可以被原信任域中的身份信息映射進(jìn)去，并且可以同步取得主題的屬性信息，用來對信息進(jìn)行授權(quán)，以實現(xiàn)跨區(qū)域的安全互操作。

2.2 跨域信息存儲

在每個區(qū)域管理中心加入群時，需要在該區(qū)域管理群中進(jìn)行RAO 身份注冊，主要流程為：區(qū)域管理中心自行選擇私密鑰匙和身份信息發(fā)送給區(qū)域管理中心RAO，RAO 接收以后進(jìn)行信息處理和綁定，然后發(fā)送回區(qū)域管理中心，并將相關(guān)信息存儲到自己的數(shù)據(jù)庫中。

2.3 安全認(rèn)證

每一個安全域中的用戶都會被預(yù)先注冊到跨域核證處，在跨域核證處為用戶建立身份信息。

在證書轉(zhuǎn)換服務(wù)支持下，結(jié)合信任管理機(jī)制，如果P1 中的用戶X 有訪問P2 中有關(guān)服務(wù)的需求，那么P1 的信任代理第一步要評估P2 的信任值。如果使用Agent.P1，則需要使用信任計算方法來計算P2 的綜合信任向量，并判斷哪些集合符合P2 的信任。假設(shè)Agent.P1 信任此模糊集合中的對象，則可以進(jìn)行交易行為，啟動區(qū)域內(nèi)的身份驗證。在此基礎(chǔ)上，STS1 將對用戶向其所在域部分提交身份認(rèn)證信息的申請，從假名服務(wù)獲取用戶假名的指示。STSQ 將為客戶生成客戶X 的證書并將其發(fā)送，當(dāng)區(qū)域內(nèi)的身份認(rèn)證完成后，用戶將向域P2 中的服務(wù)請求訪問該P(yáng)2。接收用戶X 的請求后，Agent.P2 會根據(jù)P1 對其進(jìn)行信任評估，評估的步驟和標(biāo)準(zhǔn)與Agent.P2 相同。如果登錄憑證與域P2 是不同的認(rèn)證機(jī)制，那么P2 中的授權(quán)服務(wù)就會截取該用戶的證書，并將其轉(zhuǎn)發(fā)給域P2。

基于此，采用群盲簽名技術(shù)，提出了一種ZigBee網(wǎng)絡(luò)中的跨域認(rèn)證方案。該方案在跨域認(rèn)證模型下能夠抵抗重放攻擊，同時具有機(jī)密性、不可偽造性和匿名性。在信任管理方案中，惡意實體通知消息使得信任代理能夠向其他實體通報所發(fā)現(xiàn)的惡意實體，當(dāng)所發(fā)現(xiàn)的惡意行為達(dá)到某個上限時，會被列入黑名單。

3 實驗與結(jié)果分析

在上述設(shè)計基礎(chǔ)上，對基于ZigBee 的電網(wǎng)用電信息收集與跨域認(rèn)證安全方法的可行性展開驗證。

3.1 信息覆蓋率

一般情況下，收集到的信息覆蓋率不能低于50%，如果低于50%，則說明收集到的重復(fù)信息較多。針對該問題，分別使用基于GPRS 的方法和基于ZigBee 的方法對信息收集覆蓋率進(jìn)行對比分析，結(jié)果如表1 所示。

表1 不同方法信息收集覆蓋率對比分析

分析表1 可知，使用基于GPRS 的方法后，信息覆蓋率不超過50%，說明該方法收集到的重復(fù)信息較多；使用基于ZigBee 的方法后，信息覆蓋率不低于97.5%，說明該方法收集到的重復(fù)信息較少。

3.2 信息認(rèn)證傳輸完整度

分別使用基于GPRS 的方法和基于ZigBee 的方法對信息認(rèn)證傳輸完整度進(jìn)行對比分析，結(jié)果如圖6所示。分析圖6 可知，使用基于GPRS 的方法將重復(fù)信息傳輸?shù)綌?shù)據(jù)傳輸通道中，導(dǎo)致信息傳輸不完整，重復(fù)信息比例較高；而使用基于ZigBee 的方法在數(shù)據(jù)傳輸通道中無重復(fù)信息，信息傳輸完整。

圖6 不同方法信息認(rèn)證傳輸完整度對比

4 結(jié)束語

該文提出的基于ZigBee 的電網(wǎng)用電信息收集與跨域認(rèn)證安全方法的實現(xiàn)方案，以低成本、低功耗、易于實現(xiàn)、安全可靠為目標(biāo)，將ZigBee 技術(shù)應(yīng)用于室內(nèi)電力設(shè)備能耗信息收集中，有效解決了現(xiàn)場收集效率低、數(shù)據(jù)不準(zhǔn)確等問題，并提高了認(rèn)證的安全性和可信性。