张满宏

摘 要： 在10kV及以下电压等级的中低压配电网中，对于未配备光纤专网通信的部分馈线、配变以及各类小容量分布式电源与储能系统等，由于其对应的远程终端设备采用公共无线网络通信方式而面临非法窃听、恶意篡改和重放攻击、身份欺骗等方面的安全风险。为确保数量众多的底层配电终端设备乃至配电自动化系统的整体安全，需要在数据保密性和身份认证等安全技术以及硬件设备的安全防护等方面进行更为深入的研究。

关键词： 配电终端;可信计算;三级认证;椭圆曲线

【中图分类号】TM734     【文献标识码】A     【文章编号】1674-3733（2020）21-0171-01

引言：配电自动化的终端包括馈线终端、站所终端和配变终端，该终端对配电网的故障定位、隔离、恢复供电起着举足轻重的作用。由于现场运行环境复杂，使配电终端与主站通信中断。当配电终端与主站通信中断时，主站对“死机”的终端就失去了必要的数据监视，不能及时掌握现场运行情况;配电自动化运行评价会因终端长时间不在线而扣分。

1 配电自动化终端重启系统构成

1.1 各模块的功能

第一发送命令模块，在第二配电终端正常时，每1h发送一次自检命令，在第二配电终端死机时，每10min发送4次“自检命令”;第一发送命令模块，用于向所述第二接收命令模块发送自检命令;第二接收命令模块，用于接收所述自检命令，并将所述自检命令发送至第二自查模块，用于接收第一反馈模块发送的重启命令并重启第二配电终端;第二自查模块，用于对第二配电终端当前的运行数据进行自查，以及生成结束信号发送给第一应答模块，生成死机信号发送给第一反馈模块;第一反馈模块，用于接收第二自查模块发送的死机信号，并记录接收到的死机信号次数，以及生成重启命令并发送给第二接收命令模块，生成反馈信号并发送至第一应答模块;第一应答模块，用于接收第二自查模块发送的结束信号并结束自检，用于接收第一反馈模块发送的反馈信号，并生成信号“1”发送至系统主站的分析模块;分析模块，用于接收第一应答模块发送的信号“1”，并统计信号“1”的个数，以及生成结束信号并发送给第二接收命令模块，生成报警指令并发送至输出模块;输出模块，用于接收所述报警指令，并启动声音警报，同时提示死机终端编号。

1.2 各模块的连接方式

第一发送命令模块与第二接收命令模块通信连接，第二接收命令模块和第二自查模块通过硬接线连接，第二自查模块与第一反馈模块以及第一应答模块通信连接，第一反馈模块和第一应答模块通过硬接线连接;第二发送命令模块与第一接收命令模块通信连接，第一接收命令模块和第一自查模块通过硬接线连接，第一自查模块与第二反馈模块以及第二应答模块通信连接，第二反馈模块和第二应答模块通过硬接线连接;第一应答模块与所述分析模块通信连接，所述第二应答模块与所述分析模块通信连接;第三配电终端与第一配电终端一致，所有通信连接方式包括无线网络或5G无线网络。

2 分层的三级可信认证机制

2.1 可信认证机制

根据可信计算理论，首先为配电网底层远程终端设备配置可信根TPM构建可信终端。因此需要封装入专门为终端设备开发设计的安全芯片以承擔平台完整性度量、密钥及关键信息的安全存储、数据加密签名和恶意代码检测等任务。以FTU为例，专用可信根须能够度量遥测、遥信量采集部分、遥控模块和网络通信模块的状态完整性，并将度量值存储于其内部寄存器中，对上传的遥测遥信数据进行加密和数字签名，解密分析接收到的下行遥控信息。

根据国家管理条例与相关国际标准，纵向认证需要采用基于非对称密钥的单向认证加密技术，专用可信根使用一定密钥长度的椭圆曲线用于加密能获得足够强度的保密性。

其次，为确保遥测、遥信数据的安全，除终端设备可信性自认证外，还需进一步通过检测代理和主站服务器的可信认证，根据可信计算理论中可信网络连接的相关规范，在终端设备所处的不同网段网关处设置多个可信检测代理，控制终端设备与通信网络的连接，报告检测到的不可信访问与恶意行为。终端可信模块将存储于寄存器中的关于自身完整性的度量值通过签名的方式发送给可信检测代理，由后者验证和评估以判定终端设备是否安全可信。

2.2 配电网二次系统的逻辑边界

在中低压配电网中，部分馈线分段开关处安装的馈线终端装置（feederterminalunit，FTU），部分杆上和箱式配电变压器处安装的配电变压器检测终端，不具备光纤通信条件的小容量分布式发电（distributedgeneration，DG）和储能装置处安装的远程终端装置（remoteterminalunit，RTU）以及用户电表处的数据传输单元等远程终端设备，通过公共无线通信网络（包括GPRS、TD-SCDMA等方式）与配电主站相应安全区或配电子站进行数据信息通信。

3 基于可信计算的配电终端自身安全防护方法

3.1 终端上电顺序

终端加电的第一时刻启动安全芯片，安全芯片读取引导程序（U-Boot）并进行验证;同时安全芯片控制CPU的电源模块，确保在可信度量期间CPU不会启动。当安全芯片对引导程序的验证通过后，终端CPU启动，从SPIFlash中加载U-Boot。

3.2 终端静态可信度量与验证

终端的静态可信度量与验证主要包含引导程序以及操作系统2部分，这2部分不会频繁改变。配电终端引导程序方面，安全芯片完成U-Boot度量后，U-Boot运行，从原有的Flash上读取嵌入式Linux系统内核并进行可信度量，可信度量通过后允许嵌入式Linux系统内核加载和运行。

3.3 终端的动态可信度量与验证

配电终端动态可信度量方面，进行终端动态度量时，定期调用安全芯片，对终端业务应用和关键配置数据进行可信度量，调用流程与嵌入式Linux内核调用安全芯片相同。动态度量与验证主要包含重要应用程序的升级以及应用与参数的更新2方面。可信度量应用按照预设的频率对业务应用和关键配置参数进行可信度量，但没有必要对嵌入式Linux内核和U-Boot进行度量，度量失败时发出告警或将终端强制下线。可信度量的频率可以定时或不定时（如每进行100次与主站交互、每处理10M字节数据等）。

结语：1）本文提出的基于可信计算与可信安全芯片的可信认证机制及考虑设备状态完整性和真实性可信度的计算模型能够量化评估公共通信网络中配电终端的安全水平，为实时、动态调整并提高配电终端的安全性提供了完备的依据。2）应根据实际运行的安全需求和终端设备安全芯片的计算处理能力，选取适当破译强度的椭圆曲线以及适用于密码快速运算的优化算法，以期在减少时间开销、获得最佳运算性能的同时提供充足的安全保障。

参考文献

[1] 刘威鹏，胡俊，方艳湘，等.基于可信计算的终端安全体系结构研究与进展[J].计算机科学，2007，34（10）：257-263.

[2] 林功平.配电自动化终端技术分析[J].电力系统自动化，2003（12）：59.