當(dāng)前中國(guó)正在大力推進(jìn)城鎮(zhèn)化的建設(shè)����,因此對(duì)城市照明提出了更高的要求�����。由于城市路燈的耗電量占城市公用事業(yè)耗電總量的比重很大��,因而路燈的節(jié)能工作是城鎮(zhèn)管理發(fā)展的必然方向���。2008年8月1日開始實(shí)施的國(guó)務(wù)院辦公廳關(guān)于深入開展全民節(jié)能行動(dòng)的通知第五條中指出:“控制路燈和景觀燈照明����,在保證車輛,行人安全的前提下�,合理的開啟和關(guān)閉路燈”。傳統(tǒng)路燈控制系統(tǒng)存在著無(wú)法遠(yuǎn)程操控��、不能自動(dòng)遠(yuǎn)程識(shí)別故障路燈�、人工作業(yè)量大等缺點(diǎn)。而智能路燈控制系統(tǒng)能夠遠(yuǎn)程控制范圍內(nèi)的任意路燈����,并且能遠(yuǎn)程識(shí)別故障路燈,這極大提高故障路燈維修反應(yīng)時(shí)間�����。此外�,智能路燈控制系統(tǒng)還能根據(jù)照明系統(tǒng)的各種電參數(shù)與運(yùn)行情況,針對(duì)不同的照明需求提供靈活多樣的控制方案�,從而使得城市路燈照明更加節(jié)能。
信息化是一把雙刃劍���,在推進(jìn)路燈智能控制的同時(shí)也給路燈帶來(lái)潛在的安全隱患。路燈安全屬于市政與工業(yè)控制安全的范疇����,當(dāng)路燈控制系統(tǒng)受到攻擊時(shí)�����,造成的社會(huì)影響也是難以估量的2.同時(shí)��,考慮到智能路燈也屬于用電領(lǐng)域的一個(gè)應(yīng)用�����,對(duì)路燈的智能建設(shè)是智能電網(wǎng)建設(shè)的延展���,因此,本文將智能電網(wǎng)建設(shè)中的安全防護(hù)經(jīng)驗(yàn)應(yīng)用到智能路燈領(lǐng)域���,為路燈的智能化建設(shè)保駕護(hù)航���。
1智能路燈系統(tǒng)1.1系統(tǒng)簡(jiǎn)介系統(tǒng)拓?fù)鋱D智能路燈系統(tǒng)可分為主站層、通信層與終端層三部分�,其構(gòu)成框架見。
系統(tǒng)組成智能路燈系統(tǒng)的主站層是由主站管理系統(tǒng)構(gòu)成���,它包括主站服務(wù)器��、地理信息系統(tǒng)與監(jiān)控中心����。其中服務(wù)器是存儲(chǔ)和管理路燈的信息;監(jiān)控中心是通過(guò)服務(wù)器向集中控制器發(fā)送指令���,實(shí)時(shí)的控制每一盞路燈��,同時(shí)定期輪詢檢測(cè)每盞路燈是否正常工作��;地理信息系統(tǒng)是嵌入城市地圖�����,在系統(tǒng)上對(duì)當(dāng)?shù)厮性O(shè)備的在線情況�����、亮燈情況��、報(bào)警情況進(jìn)行直觀監(jiān)控與快速定位��,它可以針對(duì)各種異常情況在第一時(shí)間做出準(zhǔn)確定位和快速處理����。
適機(jī)認(rèn)知無(wú)線網(wǎng)絡(luò)(opportunisticmesh,OPM)等通信方式�����,構(gòu)建采集器與主站之間的通信信道�。
終端層是按照市政規(guī)劃���,集中采集路燈的所有控制信息���,它與每個(gè)路燈控制子模塊之間的通信方式采用Zigbee或GPRS或OPM等方式。每個(gè)控制模塊負(fù)責(zé)采集路燈控制信息并發(fā)送給集中器��。
系統(tǒng)功能智能路燈系統(tǒng)的主要功能是為路燈提供針對(duì)第:謝大平(1984―)��,碩士��,工程師��。研究方向:網(wǎng)絡(luò)安全��、芯片安全�����、云安全、電網(wǎng)安全等工作���。E-mail:Xiedapinggmail.com通信層終端層智能路燈系統(tǒng)拓?fù)鋱D路燈設(shè)備的“三遙”控制�����。所謂“三遙”���,就是“遙控”、“遙信”和“遙測(cè)”����。
功能分為兩大部分:自動(dòng)控制和手動(dòng)控制。
上山/士白�����。
制器)將自身的在線狀態(tài)����、本地路燈的亮滅情況定時(shí)地通過(guò)巡檢的方式自動(dòng)上報(bào)給監(jiān)控計(jì)算機(jī)。路燈管理人員可以通過(guò)監(jiān)控計(jì)算機(jī)�����,利用本系統(tǒng)自帶的電子地圖功能,直觀地監(jiān)視設(shè)備的當(dāng)前狀態(tài)�,在地圖上對(duì)發(fā)生故障的設(shè)備進(jìn)行快速定位,在盡可能短的時(shí)間內(nèi)排查故障��。
1.2工作流程主站與集中器之間的工作流程�����,通過(guò)GPRS���、電力線載波等方式進(jìn)行傳輸。而且當(dāng)前所有報(bào)文的傳輸都是使用公網(wǎng)進(jìn)行明文傳輸���。
考慮到路燈網(wǎng)絡(luò)的線性特性��,為了減低成本���,通常集中器與路燈控制模塊之間的工作流程通過(guò)無(wú)線通信方式,即Zigbee�����、OPM等傳輸方式,并且所有報(bào)文都是使用明文進(jìn)行傳輸�����。
2安全風(fēng)險(xiǎn)2.1主站與集中器集中器和主站系統(tǒng)之間使用公網(wǎng)進(jìn)行通信在集中器與主站之間傳輸數(shù)據(jù)和控制報(bào)文的時(shí)候?qū)⒚媾R安全風(fēng)險(xiǎn)�,傳輸?shù)臄?shù)據(jù)有被篡改和竊取的風(fēng)險(xiǎn)。
對(duì)于下行鏈路�,當(dāng)主站下發(fā)控制報(bào)文給集中器,若是被人篡改�����,可能會(huì)造成整體一個(gè)片區(qū)瞬間和持續(xù)的出現(xiàn)異常照明����。這給城市安全帶來(lái)極大的威脅,同時(shí)減低了居民對(duì)市政的滿意度�,引起社會(huì)的恐慌。
對(duì)于上行鏈路���,當(dāng)集中器需要把當(dāng)前路燈的信息上報(bào)給主站時(shí)�����,若是被人篡改���,可能會(huì)造成后臺(tái)控制中心錯(cuò)誤的調(diào)度����,造成政府資源的浪費(fèi)�。
2.2集中器與路燈控制模塊集中器與路燈控制模塊之間安全類似于集中器與主站之間,除此之外還面臨更大的安全威脅�。Zigbee/OPM等無(wú)線通信方式的安全性正在面臨巨大的威脅,使得路燈控制模塊與集中器之間的通信信息更易被竊取和篡改���。隨著智慧化城市的建設(shè)加速,視頻監(jiān)控為每個(gè)市民的安全提供了保障�,同時(shí)也提高了公安機(jī)關(guān)的辦案效率,提供了更豐富的證據(jù)�,普通視頻監(jiān)控的有效性是依賴于路燈照明的質(zhì)量。若犯罪分子在作案之前�,先破壞預(yù)選作案現(xiàn)場(chǎng)的路燈,那么視頻監(jiān)控系統(tǒng)將會(huì)失效��。
3安全技術(shù)3.1加解密技術(shù)加解密技術(shù)通常分為對(duì)稱加密算法和非對(duì)稱加密算法��。
對(duì)稱加密是單鑰密碼體制���,其中加密密鑰等于解密密鑰�����,或可以相互推導(dǎo)�����;按照每次加密的長(zhǎng)度分為:序列密碼(流密碼)���、分組密碼��。本方案使用的對(duì)稱加密算法是分組密碼算法�。
非對(duì)稱密鑰加密系統(tǒng)采用的雙鑰密碼體制�,使用公鑰進(jìn)行加密而使用私鑰進(jìn)行解密的一類密碼算法,已知公鑰求私鑰在計(jì)算上不可行�。常用的RSA和ECC兩種對(duì)稱加密算法。
ECC和RSA相比(見表1)�����,有以下幾點(diǎn)絕對(duì)的優(yōu)勢(shì):抗攻擊性強(qiáng)�����。相同的密鑰長(zhǎng)度���,其抗攻擊性要強(qiáng)很多倍�����。
計(jì)算量小�����,處理速度快��。
帶寬要求低����。當(dāng)對(duì)長(zhǎng)消息進(jìn)行加密解密時(shí),以上2類密碼系統(tǒng)有相同的帶寬要求��,但應(yīng)用于短消息時(shí)ECC帶寬要求卻低很多�。
表1RSA和ECC安全模長(zhǎng)比較攻破時(shí)間ECC(密鑰計(jì)算機(jī)執(zhí)行的百萬(wàn)指令數(shù)/s.MIPS年是表示以百萬(wàn)次/s運(yùn)行1年���。
算法和1023bitRSA算法有相同的安全性���,使用國(guó)際公用的安全生成器SecurityBuilder和BSAFE3.。進(jìn)行測(cè)試���,見表2��,ECC算法的性能都優(yōu)與RSA算法�。
功能安全生成器密鑰對(duì)生成簽名認(rèn)證密鑰交換相同的安全性,使用國(guó)際公用的安全生成器SercurityBuilder 1.2和BSAFE3.�。進(jìn)行測(cè)試。見表2�����,ECC算法的性能都優(yōu)與RSA算法�。
因路燈終端之間使用無(wú)線的傳輸方式,本方案使用的傳的非對(duì)稱算法選擇SM2(是中國(guó)商用密碼局研發(fā)的類ECC算法)或ECC算法���,對(duì)稱算法選用SM1(國(guó)家商用密碼算法)或AES算法����。
3.2數(shù)字簽名技術(shù)或終點(diǎn)抵賴的鑒別技術(shù)����,按照IS07498―2標(biāo)準(zhǔn)中定義為:附加在數(shù)據(jù)單元上的些數(shù)據(jù),或是對(duì)數(shù)據(jù)單元所作的密碼變換����,這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性��,并保護(hù)數(shù)據(jù)��,防止被人(例如接收者)進(jìn)行偽造就是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的段數(shù)字串��,這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明�����。
數(shù)字簽名只能使用非對(duì)稱加密算法���,本方案中使用ECDSA作為數(shù)字簽名機(jī)制。
3.3哈希函數(shù)雜湊函數(shù)H是一個(gè)公開函數(shù)��,將任意長(zhǎng)的消息映射為較短的�、固定長(zhǎng)度的一個(gè)值H(M)。H(M)稱為雜湊值�����、消息���,是消息中所有bit的函數(shù),提供了錯(cuò)誤檢測(cè)的能力��。
4安全解決方案4.1安全方案為了實(shí)現(xiàn)對(duì)路燈遠(yuǎn)程智能安全的控制,需要防止信息被篡改和竊聽�����。市政安全方面的考慮�����,需要工業(yè)級(jí)的安全標(biāo)準(zhǔn)�����,所以在使用安全算法的時(shí)候推進(jìn)使用國(guó)產(chǎn)的安全算法�����。使用SM1算法對(duì)數(shù)據(jù)進(jìn)行加密����,使用SM2算法對(duì)數(shù)據(jù)進(jìn)行簽名。
對(duì)于終端控制模塊的安全防護(hù)方案有2種實(shí)現(xiàn)的方案:①軟件實(shí)現(xiàn)�����,即把相應(yīng)安全算法集成到MCU內(nèi);②硬件實(shí)現(xiàn)�����,即使用安全芯片來(lái)實(shí)現(xiàn)加解密算法的功能���。安全芯片內(nèi)高速的密碼算法引擎�,能極大的提升效率�,同時(shí)能保證密鑰不會(huì)明文出固件,這是硬件實(shí)現(xiàn)相對(duì)軟件實(shí)現(xiàn)的優(yōu)勢(shì)��。使用安全芯片的解決方案����,除了能提供安全性方面的因素外還有性能方面的,因?yàn)槁窡艨刂颇K考慮成本的因素�����,使用的主控MCU都是8位的低端MCU�����,若是再其上運(yùn)行安全算法�,只有選擇更好的更貴的MCU,ESAM的價(jià)格較低���,所以在性能和成本的基礎(chǔ)上�����,選擇ESAM作為協(xié)處理器的實(shí)現(xiàn)方式����。本方案中我們采用硬件實(shí)現(xiàn)的方式來(lái)構(gòu)建整體的安全防護(hù)網(wǎng)絡(luò)���。
4.2安全架構(gòu)如所示����,在主站層增加了密鑰管理系統(tǒng)和安全芯片發(fā)行系統(tǒng)���。其中密鑰管理系統(tǒng)包括密碼機(jī)和密碼服務(wù)器���,實(shí)現(xiàn)密鑰的生成及密鑰安全性檢測(cè)等功能;安全芯片發(fā)行系統(tǒng)灌裝安全芯片的初始密鑰等功能�。主站側(cè)接收到的數(shù)據(jù)使用密鑰管理服務(wù)器進(jìn)行解密或驗(yàn)簽,對(duì)于向外發(fā)送的數(shù)據(jù)進(jìn)行加密或附帶簽名信息�。
此外�,還在主站層增加了密鑰管理系統(tǒng)和安全芯片發(fā)行系統(tǒng)���。
密鑰管理系統(tǒng)包括密碼機(jī)和密碼服務(wù)器�����,實(shí)現(xiàn)密鑰的生成及密鑰安全性檢測(cè)等功能��。在國(guó)家電網(wǎng)的密鑰管理系統(tǒng)中����,采用三級(jí)密鑰的管理機(jī)制��,即國(guó)家電網(wǎng)級(jí)����、網(wǎng)省級(jí)、地市級(jí)�,其中國(guó)家電網(wǎng)級(jí)和網(wǎng)省級(jí)都有生成根密鑰的權(quán)限,根據(jù)業(yè)務(wù)應(yīng)用的需要將相應(yīng)的部分密鑰分別下裝到操作員卡�����、密碼機(jī)內(nèi)��,見。
在智能路燈管理系統(tǒng)中���,因?qū)嶋H應(yīng)用是以城市為單位或者以區(qū)為單位,采取級(jí)密鑰管理機(jī)制�����,即只有個(gè)根密鑰生成���,來(lái)實(shí)現(xiàn)對(duì)密碼的生成和分發(fā)��,見�����。同時(shí)在根密碼的生成上采用Shamir門限的五分三合機(jī)制��。五分三合機(jī)制的實(shí)現(xiàn)方式是�����,隨機(jī)選擇1條二次曲線的參數(shù)作為根密鑰�,在該曲線上選擇5個(gè)點(diǎn)�����,這5個(gè)點(diǎn)分別分配給5個(gè)管理者,當(dāng)5個(gè)管理者中的至少3個(gè)管理者同時(shí)提供自己管理的點(diǎn)時(shí)才能恢復(fù)曲線的參數(shù)�,進(jìn)而獲得根密鑰。
隨機(jī)數(shù)領(lǐng)導(dǎo)種子國(guó)網(wǎng)級(jí)根密鑰一級(jí)分散代碼I業(yè)務(wù)根密鑰I操作員卡密碼機(jī)I三級(jí)密鑰管理系統(tǒng)安全芯片發(fā)行系統(tǒng)灌裝安全芯片的初始密鑰等功能�����。主站層接收到的數(shù)據(jù)使用密鑰管理服務(wù)器進(jìn)行解密或驗(yàn)簽��,對(duì)于向外發(fā)送的數(shù)據(jù)進(jìn)行加密或附帶簽名信息��。
在終端層嵌入安全芯片到安全控制模塊之中���,邏輯見�����。計(jì)量芯片負(fù)責(zé)電流和電壓的計(jì)量���;時(shí)鐘芯片R丁C,負(fù)責(zé)時(shí)鐘同步���;無(wú)線采集模塊��,可以選擇Zigbee或OPM來(lái)實(shí)現(xiàn)對(duì)無(wú)線信息的傳輸��;繼電器實(shí)現(xiàn)對(duì)路燈開關(guān)等控制�;此外,結(jié)合實(shí)際的應(yīng)用���,增加相應(yīng)的傳感器。安全芯片實(shí)現(xiàn)對(duì)數(shù)據(jù)安全防護(hù)�����,對(duì)接收的數(shù)據(jù)解密驗(yàn)證�����;對(duì)發(fā)送的數(shù)據(jù)加密和增加簽名信息���。
4.3工作流程主站系統(tǒng)配備數(shù)據(jù)加密密碼機(jī)��,在各集中器終端和控制節(jié)點(diǎn)內(nèi)嵌安全加密模塊�,對(duì)通信的上行和下行鏈路分別提供安全防護(hù)���。
對(duì)于上行鏈路���,路燈控制節(jié)點(diǎn)對(duì)采集到的數(shù)據(jù)使用ESAM加密后��,通過(guò)電力線或無(wú)線發(fā)送加密后的數(shù)據(jù)給集中器����,通過(guò)公網(wǎng)傳輸?shù)街髡鞠到y(tǒng)中��,主站系統(tǒng)需將數(shù)據(jù)傳輸?shù)綌?shù)據(jù)加密密碼機(jī)�����,進(jìn)行數(shù)據(jù)解密���,解密后的數(shù)據(jù)才能夠進(jìn)行后續(xù)的數(shù)據(jù)處理����。
對(duì)于下行鏈路���,當(dāng)主站系統(tǒng)需要下發(fā)控制數(shù)據(jù)時(shí)�,需先送入到數(shù)據(jù)加密密碼機(jī)進(jìn)行數(shù)據(jù)加密�,數(shù)據(jù)傳輸?shù)郊衅鹘K端后,集中器終端再發(fā)送給控制器,控制器使用安全芯片解密后�����,數(shù)據(jù)才能進(jìn)入后續(xù)數(shù)據(jù)處理����。
使用安全芯片數(shù)據(jù)的安全加密和簽名,確保了數(shù)據(jù)傳輸?shù)陌踩院屯暾浴?
4.4安全等級(jí)劃分對(duì)于不同的應(yīng)用選擇不同的安全防護(hù)等級(jí)��,提供不同的安全防護(hù)�����,見表3.表3安全等級(jí)的劃分安全等級(jí)加密簽名高中低注:Y表示選擇��;N表示不選擇�����。
如管理中心下發(fā)的整體路燈控制信息�,選擇高安全的加密方式�����;對(duì)于單燈控制�、單燈主動(dòng)上報(bào)異常的信息���,選擇中安全的級(jí)別。
4.安全性分析在安全算法選擇方面�����,對(duì)稱算法選擇128位SM1算法���,非對(duì)稱算法選擇256位SM2算法�����,哈希算法選擇SHA256���,見表4.表4安全方案的防護(hù)等級(jí)算法選擇算法安全等級(jí)對(duì)稱非對(duì)稱哈希算法基于表4的分析,該系統(tǒng)的安全等級(jí)為128bit達(dá)到金融��、工業(yè)安全等級(jí)的標(biāo)準(zhǔn)�。
通過(guò)在一個(gè)園區(qū)168盞路燈的試點(diǎn),加入安全性后對(duì)整個(gè)系統(tǒng)性能沒(méi)有影響����。該密鑰管理方案中,當(dāng)5個(gè)管理者中有3個(gè)丟失其管理的子密鑰時(shí),無(wú)法恢復(fù)出根密鑰����,進(jìn)而造成整個(gè)密鑰管理系統(tǒng)崩盤的風(fēng)險(xiǎn)。對(duì)于這種特殊的情況����,解決方式是重新隨機(jī)選二次曲線,生成根密鑰�����,再通過(guò)超級(jí)管理員權(quán)限對(duì)每個(gè)控制模塊安全芯片的密鑰進(jìn)行遠(yuǎn)程更新��,進(jìn)而解決該安全隱患�。
4.6性能分析通信速率平均能到4Mb/s,甚至更高��。通過(guò)實(shí)驗(yàn)仿真測(cè)試�����,128位的SM1算法的加密速度為53.56kb/s���,解密速度為55.65kb/s;256位SM2算法簽名的速度為184.5ms/次,驗(yàn)簽速度為當(dāng)前對(duì)路燈所采集的信息還相對(duì)較少���,考慮到未來(lái)的拓展性�����,安全芯片對(duì)原有路燈控制模塊的性能沒(méi)有影響�����。
5結(jié)束語(yǔ)綜上所述�����,基于安全芯片的智能路燈控制安全技術(shù)能夠解決當(dāng)前智能路燈控制系統(tǒng)所面臨的安全問(wèn)題�����。在不影響現(xiàn)有系統(tǒng)的性能的條件下�����,通過(guò)提供128bt的安全級(jí)防護(hù)機(jī)制�,為智能路燈控制的節(jié)能����、環(huán)保等決策和管理的傳輸保駕護(hù)航�����。此外�����,安全路燈無(wú)線通信網(wǎng)絡(luò)能在諸如地震����、火災(zāi)等特殊事件發(fā)生時(shí)����,作為常用通信系統(tǒng)的補(bǔ)充,豐富通信的方式�����,提高通信質(zhì)量���。
