Professional Documents
Culture Documents
基于 Me
sh 网络的自组网配电终端安全互联设计
戴瑞海 , 汤耀景 , 郑 圣 , 夏惠惠
(国网温州供电公司,浙江 温州 325000)
[摘要] 阐述基于 Me
sh 网络自组网配电终端的安全互联原理与实现方案 ,利用 Me
sh 网络认证 组 网 机 制 及 VPN 隧 道
保障网络通道的安全 ,利用嵌入终端的安全加密芯片保障应用数据的安全 , 有 效 提 高 了 配 电 自 动 化 通 信 系 统
sh 节点也能有效提高终 端 接 入 配 电 自 动 化 通 信 网 络 的 效 率 , 为 现 场 安 装、 运
的互联安全性,同时自组网 Me
维减少了工作量 。
sh 网络 自组网配电终端 安全防护 密钥协商
关键词 Me
中图分类号 TM769
0 引言 RPL 协议构建 Me
sh 网 络, 其 中 RPL 是 一 种 基 于 低 功 耗
和有损网络上运行 IPv6 的动态路由协议。在 Me
sh 网 络 的
sh 网络自组网 无 线 通 信 技 术 给 配 电 自 动 化 系 统 提
Me 安全方面,任何试图加入 Me
sh 网络的节点在获 取 IPv6 地
出一种可靠且便利的无线通信 解 决 方 案 : 基 于 国 际 公 开 通 址之前都需 要 进 行 身 份 认 证 (如 IEEE 1x)。 在 Me
802. sh
信协议 IEEE
802. 4、6LowPan1 、RPL 路 由 协 议 2 、
15.
[] []
网络中能基 于 IEEE
802.
11i标 准 进 行 安 全 密 钥 管 理, 对
sh 自愈网络拓 扑 等 物 联 网 最 先 进 技 术 标 准, 依 托 完 善
Me sh 网络中每个节点间的 KEY 进行统一 集 中 管 理, 以 保
Me
的整体无线网络核心解决方案, 可 以 提 高 无 线 网 络 的 健 壮 障 Me
sh 网络每个节点的身份一致性并能剔除恶意节点 。
性和通信可靠性,利于系统维 护 和 扩 展, 从 而 使 得 配 电 网 配电通信主网中,现场区域路 由 器 主 要 负 责 将 传 统 的
业务更可靠灵活、更智能。 配用电网设备数据和基 于 Me
sh 通 信 节 点 采 集 的 数 据 利 用
内嵌 Me
sh 无线模块的配电终端可以方便地接入 Me
sh 基础网络(光纤/以太网/无线公 网)转 发 至 头 端 路 由 器; 头
网络,但是也有需要注意的信 息 安 全 问 题: 配 电 终 端 处 于 端路由器的主要功能是实现 IPSe
c VPN 隧道的汇聚功能 和
室外环境,终端设备无线通信 安 全 极 为 重 要, 国 外 某 城 市 MAP-T 功 能 4 ; 认 证 服 务 器 组 通 过 DHCP 服 务 器、 CA
[]
就出现 过 通 过 终 端 反 向 连 接 主 站 造 成 大 面 积 停 电 的 事 服务器、网管服务器 等 设 备 对 现 场 区 域 路 由 和 Me
sh 网 络
件 [
3]
sh 网络 中 自 组 网 配 电 终 端 的 安 全 互 联
。本文针对 Me 中的通信节点的 IP 地 址(
IPv4 和 IPv6)进 行 集 中 统 一 的 管
进行了设计,以提高终端与主站 间 以 及 终 端 与 终 端 间 的 连 理、分配及身份认证,最后将安 全 的 数 据 送 往 安 全 接 入 区
接安全性。 至配电主站。
1 Me
sh 网络自组网配电终端通信网络 2 自组网配电终端与配电主站的安全互联设计
图 1 所示的 网 络 拓 扑 中 实 际 存 在 着 两 张 网, 即 Me
sh 通过以上分析可知,自组网配 电 终 端 至 配 电 主 站 的 数
自组网络与配电通信主网。 据通道是被层层防护起来的,但 是 应 用 数 据 的 安 全 还 是 要
Mesh 网络 靠终端应用自身进行保护,其 安 全 基 础 是 内 置 安 全 芯 片。
配网主站
配电 配电 安全芯片 与 终 端 采 用 sp
i通 信, 工 作 在 -40~85℃ , 需 通
终端 终端
安全接入区
过国家密码管理局鉴定且满足 工 控 领 域 安 全 需 求 。 终 端 与
配电 配电 配电 主站间应用数据安全加密策略设计如下 :
终端 终端 终端
认证服务器组
1)通信通 道 建 立 后, 首 先 由 主 站 发 起 会 话, 进 行 双
(
光纤/以太网/无线公网 向身份认证与对称 密 钥 协 商。 协 商 完 成 后 进 行 104 或 101
配电现场区域路由器 头端路由器
规约通信。通信中定期重新协 商 对 称 密 钥, 且 通 信 断 开 重
图1 自组网配电终端接入配电主站的网络拓扑示意图
连后重新协商对称密钥。
sh 自组网中, Me
Me sh 模块嵌入 到 现 有 配 电 终 端 设 备 2)针对重 要 的 遥 信、 遥 测、 对 时、 参 数 定 值 等 数 据
(
中,使终端具备 自 组 网 属 性。 Me
sh 节 点 间 支 持 通 过 无 线 进行对称加密,防篡改、监听。
和电力线进行连接,能自动进 行 网 络 发 现、 链 路 层 的 网 络 3)针对主站 下 发 控 制 命 令, 利 用 主 站 私 钥 进 行 数 字
(
访问 控 制 和 网 络 层 的 自 动 配 置, 包 括 IPv6 路 由 发 现 和 转 签名,终端使用主站公钥验证 签 名 后 再 执 行 控 制 。 控 制 命
发。 配 电 现 场 路 由 器 和 自 组 网 配 电 终 端 基 于 IPv6 的 三 层 令中的时间戳、随机数等重要 信 息 对 称 加 密, 防 重、 防 攻
收稿日期:
2016-12-10
发送终端 A 证书,及
终端 A 发起会话认证身份
主站 终端 签名的握手数据
终端 B 验证 A 证书,提取
发送主站证书,及签名的 证书公钥,验证签名
主站发起会话协商密钥 主站握手数据 终端验证主站证书,提取 发送终端 B 证书,及
终端 A 验证 B 证书,提取
证书公钥,验证签名 签名的握手数据
证书公钥,验证签名
主站验证终端证书,提取 发送终端证书,及加密签名
证书公钥,验证签名 的终端握手数据、随机数 A 终端生成随机数 A
认证会话结束,
发起规约通信
主站解密随机数 A, 发送加密的随机数 B
生成随机数 B
终端解密出随机数 B
图3 终端与终端的身份认证流程图
图 2 主站与终端协商流程图
4 安全互联方案实现
3 自组网配电终端与其它终端的安全互联设计
1 配电终端安全自组网的实现
4.
配电终端与其它终端间互联的应用场景有 : 配电终端内 嵌 Me
sh 通 信 模 块, 二 者 间 用 sp
i或 串 口
38 www.chinaet.net 中国电工网
电气设计 电工技术
通信。终端自组网实现流程如下: 联原理与 实 现 方 案, 利 用 Me
sh 网 络 认 证 组 网 机 制 及 其
(1)出场配置。 终 端 现 场 安 装 部 署 前 需 要 通 过 xml脚 VPN 隧道保障 网 络 通 道 的 安 全, 利 用 嵌 入 终 端 的 安 全 加
本配 置 EUI
64 MAC 地 址、 组 网 应 加 入 的 SS ID、 用 于 密芯片保障应用数据的安全,有 力 促 进 了 配 电 通 信 网 络 的
sh 网络发现与验证的 CA 证书。
Me 发展。
2)网 络 发 现。 终 端 启 动 后 都 会 持 续 低 通 发 送 基 于
( 1)给配电自 动 化 系 统 提 出 一 种 可 靠 且 便 利 的 无 线 通
(
IEEE
802. 4e增强标准的信标(
15. Beacons)发现网络。 信解决方 案: 基 于 国 际 公 开 通 信 协 议 IEEE
802.15.4、
(
3 )访问控制。 现 场 区 域 路 由 器 要 求终端节点在加入 6LowPan、RPL 路由协 议、 Me
sh 自 愈 网 络 拓 扑 等 物 联 网
sh 网络前必须 进 行 身 份 验 证, 终 端 节 点 接 入 网 络 并 进
Me 最先进技术标准,提高无线网 络 的 健 壮 性 和 通 信 可 靠 性,
入身份验证阶段后需要通过IEEE 1x 验证,并在 802.
802. 利于系统维护和扩展,从而使 得 配 电 网 业 务 更 可 靠 灵 活、
1x 的最后两个阶段 执 行 IEEE
802.
11i秘 钥 管 理 协 议 和 现 更智能。
场区域路由器同步 GTK 。 [
5]
2)基 于 802.
( 1x 证 书 的 方 式 对 无 线 设 备 进 行 身 份 认
4)路由发现。在终端节点成功获取当前 Me
( sh 网络的 证,提高系统安全性,同时应用 连 接 用 安 全 芯 片 进 行 身 份
GTK 后,进入路 由 发 现 阶 段, 通 过 与 临 近 节 点 的 交 互, 认证,应用数据用安全芯片加 密, 满 足 国 网 配 电 自 动 化 系
使用缺省路由发送 DHCP 请求。 统安全防护要 求 及 国 调 168 号 文、 能 源 局 14 号 令 要 求,
5)地址分配。DHCP 请 求 逐 级 转 发 至 DHCP 服 务 器
( 增强了配网通信的安全性,保 证 了 重 要 命 令(如 遥 控 命 令)
后,DHCP 服 务 器 根 据 请 求 信 息 为 终 端 分 配 相 应 的 IP 地 的认证和防止篡改要求。
址并通过 DHCP 选项告诉终端节点网关服务器和应用服 务 3)配电自 动 化 终 端 内 部 集 成 自 组 网 无 线 通 信 技 术,
(
器的 IP 地址。来自 DHCP 服务 器 的 DHCP 中 继 信 息 会 首 解决制约配电自动化系统发展 的 瓶 颈 , 利 于 下 一 步 配 电 自
先被发送 回 现 场 区 域 路 由 器, 然 后 再 逐 级 中 继 给 终 端 节 动化的大面积推广。 同 时, 通 过 自 行 建 设 本 地 Me
sh 自 愈
点。 无线通信网络,在充分利用无 线 网 络 部 署 便 利 性 的 同 时,
6)路 由 注 册。 终 端 节 点 获 取 全 局 可 路 由 的 IP 地 址
( 避开了 GPRS 产生的持续性运营费用。
后,该终端节点还会定期 地 通 过 RPL
DAO 消 息 将 它 自 己
参考文献
的IP 地址和他父端点的IP 地址通知给 DODAG 根 [6](配置
有 Me
sh 模块的现场区域路由器),路由器收到后便会更新 [
1]Ami
tha
Cha
lappu
rama,P.R.Sr
eeshb,
Juney M.Ge
orgeb.
自己的 RPL 树并在自己全局路由表中进行发布 。 De
vel
opmen
t o
f 6LoWPAN i
n Embedded Wi
rel
ess Sy
stem
7)网管注 册。 终 端 节 点 会 利 用 CSMP(基 于 CoAP7
( [] [J].
Pro
ced
ia
Techno
logy,
2016(25):
513-519
的简单管理协 议)向 配 用 电 网 数 据 中 心 的 网 管 服 务 器 进 行 2 陆慧娟,刘亚卿,夏 海 霞,等 .
[ ] 6LoWPAN 网 络 中 RPL 路 由 协
注册。 议的仿真与研究[
J].小 型 微 型 计 算 机 系 统,
2016,
37(
1):
83-
87
2 应用数据加密实现
4.
3]童晓阳,王晓茹 .乌 克 兰 停 电 事 件 引 起 的 网 络 攻 击 与 电 网 信
[
配电终端 CPU 板内嵌 NRSEC3000 加密芯片,二者间 息安全防范思考[
J].电力系统自动化,
2016(
7):
144-148
用 sp
i接口进行数 据 交 互, 通 信 规 约 见 芯 片 手 册, 实 物 如 4]崔勇,吴建平 .下一代互 联 网 与 IPv6 过 渡 [M].北 京:清 华 大
[
图 4 所示。 学出版社,
2014
[
5]Cheng i,Hu
zhe La i i,Rongx
L ing Lu,Xuemi
n( rman)
She
SE-AKA:
Shen. A s
ecu
reand
eff
ici
ent
gr au
oup t
hen
tic
ati
on
NRSEC3000
加密芯片 and
key
agr
eemen
t r
pot
oco
l f
or
LTE
netwo
rks[
J].
Compu
ter
Ne
two
rks,
2013,
57(
17):
3492-3510
[
6] Mohammad Na
ssi
ri, Mohammad Bou
jai,Seyed Vah
r id
Azha
ri.
Ene
rgy-awa
reand
load-ba
lanc pa
ed r
ent
se
lec
tion
图4 配电终端 CPU 板与 NRSEC3000 加密芯片图 i
n RPL
rou
ting
fo
r wi
rel
ess
sens
or
netwo
rks[
J].
Int
erna-
t
iona
l J
our
nal
of
Wir
ele
ssand
Mob
ile
Compu
ting,
2015,
9
经测试,配电 终 端 通 过 NRSEC3000 加 密 芯 片 可 以 成
(
3):
231-239
功完成应用数据加密,进行安全互联。 [
7]I
sam I
shaqabAu
tho
r Vi
tae,
Jer
oen Hoebeke
aAu
tho
r Vi
tae,
I
ngr
id Moe
rmanaAu
tho
r Vi
tae,
Pie
t Deme
est
eraAu
tho
r Vi-
5 结束语
t
ae.Obs
erv
i r
ng CoAP goups
ef
fic
ien
tly[
J].Ad Ho
c Ne
t-
本文阐述了基于 Me
sh 网 络 自 组 网 配 电 终 端 的 安 全 互 wo
rks,
2016,
37(
2):
368-388