基于SM9的配电网Modbus报文安全性分析及改进.pdf
基于SM9的配电网Modbus报文安全性分析及改进邱帆1,陈兰兰2,林楠3,左黎明21. 国网江西省电力公司吉安供电分公司,江西 吉安 343009;2. 华东交通大学 系统工程与密码学研究所,江西南昌 330013;3. 国网江西电力有限公司电力科学研究院,江西 南昌 330096摘 要为了确保智能配电网系统中信息的安全,越来越多的密码算法被应用在通信工程中。针对基于SM2的配电网Modbus报文安全性研究,指出其易受重放攻击和篡改攻击,并有几处描述错误。为改进基于SM2的方法,提出了一种适用于Modbus TCP(transmission control protocol)报文的基于国密算法SM9标识算法的协议。首先介绍了SM9数字签名过程,进而将其应用到Modbus TCP报文通信中,并加入时戳机制,对改进的协议进行了安全性分析。最后,采用C语言实现签名方案,并与几种签名方案进行效率比较。结果表明改进后的协议不仅可以抵抗重放攻击和消息篡改攻击,保证报文通信过程中的数据完整性和来源可靠性,而且在运行效率方面具有较强的优势。关键词配电网;国密算法;SM9;时戳机制;安全性分析中图分类号 TM76 文献标志码 A DOI 10.11930/j.issn.1004-9649.2018110940 引言随着现代通信、计算、控制技术在电力系统的广泛应用,电力系统更加趋于自动化,从而推动了电网的智能化发展[1-2]。然而,依赖于通信网络的智能配电网其安全性智能化电力系统在带来方便的同时也隐藏着信息安全风险[3-4]。智能电网信息系统安全属性主要包括保密性、完整性和可用性,其中,保密性包括信息内容和状态的保密,完整性包括数据与系统的保密[5]。数据保密性和完整性是最重要的安全属性。非对称密钥算法因使用时通信双方的密钥不同,密钥便于管理,从而成为中国电力系统中常用的信息安全算法之一。目前,国内外已经有许多学者和研究员将密码算法技术应用于电网系统[6-11]。2014年,文献[12]针对电力二次系统安全防护体系缺乏集中管理与审计问题,提出了基于SM2密码体系的电网信息安全支撑平台的设计和实施方案。2015年,文献[13]针对智能网格应用场景专门研究了非对称密钥封装,进一步提出了智能网格密钥的远程生成和分发实例,实现了一个密钥包装适配器,使之能够与不兼容的密钥管理体系结构一起运行。2017年,文献[14]针对现有配电主站和PKI系统数字证书管理负担过重的问题,设计了基于PKC和IBC(基于标志的密码体系)的配电网数据加密认证方案,并且适用于国密标准算法,满足配电网通信带宽需求。2018年,文献[15]结合量子密钥分发技术和智能变电站监控系统发展的状况,提出了量子密钥分发与智能变电站辅助监控系统相结合的技术方案。同年,还有文献[16-17]进行相关研究。对于中国电力系统而言,采用国密算法对信息进行保护具有重要意义。最近,文献[18]提出基于SM2的配电网Modbus报文安全性研究,主要包括密钥交换和认证2个流程,用于保证配电网信息的真实性和不可抵赖性。与普通电力系统相比,安全级别已经有很大提高,然而,本文经过分析,该方案仍然有一些攻击漏洞,包括重放攻击和篡改攻击,并且还有几处描述错误。同时,本文还提出了一个改进的协议,采用国密SM9标识算法对Modbus TCP报文进行数字签名,并加入时戳机制,保证报文信息的完整性和身份的可靠性。并对改进的协议进行了安全性分析,表明该协议可以抵抗重放攻击和篡改攻击,具有较高的安全性和实用性。收稿日期2018−11−22; 修回日期2019−04−10。基金项目国家自然科学基金资助项目11761033;国网江西省电力有限公司科技项目52182017001L。第 52 卷 第 10 期中国电力Vol. 52, No. 102019 年 10 月ELECTRIC POWER Oct. 2019181 预备工作1.1 相关定义k G1q G2 PG1 q k bit8a;b 2 Z q eaP;bPeP;PabeP;P,1 8Q;R 2G1eQ;R双线性对定义给定一个安全参数,为阶循环加法群,为同阶循环乘法群,其中为的生成元,为一个素数,如果满足3条性质,则称映射e G1G1→G2为双线性对(1)双线性对,有;(2)非退化性;(3)易计算性,存在有效算法计算。1.2 配电网Modbus TCP报文介绍Modbus TCP借助于以太网TCP/IP通信协议,TCP负责将数据分割成IP包,在数据到达时再重新组合,而IP负责发送和接收报文。ModbusTCP是以太网TCP/IP的一种特殊应用,网络传输速度快,其结构与经典的TCP/IP协议族相同,由4层协议组成,主要包括14个字节的以太网首部、20个字节的IP首部、20个字节的TCP首部和应用层,如图1所示。Modbus TCP的应用层为报文关键数据所在,其主要由MBAP报文头、功能码和数据域3个报文域组成。MBAP报文头又由传输标志、协议标志、数据长度和单元标志组成。传输标志可理解为序列号,用于判断报文类型是请求还是响应,防止MODBUS TCP通信错位;协议标志用于区分协议类型,值为1表示UNI-TE协议,为0表示Modbus协议;数据长度表示可变长度数据结束的数据长度;单位标志表示从机地址。应用层结构如图2所示。Modbus TCP基于高带宽的以太网,一个保温可以传输高达1 500字节的报文,因此完全可以携带生成的报文数字签名信息。2 国密SM9算法在政府高度重视和市场迫切需求背景下,国密算法SM1-SM9应运而生,其中,SM9算法于2016年3月由国家密码管理局正式公布。SM9标识密码算法是一种的标识密码体制(identity-basedcryptography,IBC),可以把用户的身份标识用以生成用户的公、私密钥对。SM9算法共包含总则、数字签名算法、密钥交换协议以及密钥封装机制和公钥加密算法4个部分。与传统意义上的SM2算法不同的是,SM9算法可以实现基于身份的密码体制,其公钥与用户的身份信息即标识有关,从而省去了证书管理等操作。SM9数字签名算法主要包括签名生成算法和验证算法。在生成签名和进行验证之前,都要用密码杂凑函数对待签名消息进行压缩。具体算法描述[19]如下。kNG1 G2 N GT P1P2 G1 G2e G1 G2 GTH1 f0;1g Z q H2 f0;1g Z qs 2 [1;N 1]Ppub sP2 paramss(1)系统参数建立给定安全参数,密钥生成中心(key generation center,KGC)选取阶循环子群和,阶乘法循环群,其中、分别是循环子群、的生成元。选择一个安全的双线性映射,并选择安全的Hash函数,。KGC随机选择作为系统主密钥,并计算作为主公钥。KGC公布系统参数,KGC秘密保存主密钥。hidFN t1 H1IDAjjhid;Nst1 0t2 s t 11 d t2P1 sH1IDjjhidsP1Q H1IDjjhidP1Ppub(2)密钥生成算法对用户身份ID,KGC选择并公开用一个字节表示的私钥生成函数识别符,在椭圆曲线有限域上计算,若,则需要重新生成主私钥,否则计算,再计算私钥和公钥 。(3)签名生成算法设待签名的消息为M,对消息M的签名步骤如下。geP1;Ppub①计算;r 2 [1;N 1] gr②生成随机数,计算,以太网首部IP首部TCP首部应用数据以太网尾部14字节20字节20字节4字节461 500字节图 1 Modbus TCP报文结构Fig. 1 The Modbus TCP message structureMBAP功能码数据7字节传输标志协议标志长度单元标志2字节2字节1字节2字节 图 2 Modbus TCP报文应用层结构Fig. 2 Structure of Modbus TCP messageapplication layer第 10 期 邱帆等基 于 SM9的配电 网 Modbus报文安全性分析及改进19h H2Mjj;N;Lr h mod N L0③计算,若则返回②);S LdA M h;S④计算,则消息的签名为。M′h′;S′(4)签名验证算法对收到的消息及其签名,验证者签名验证步骤如下。h′ 2 [1;N 1] S′ 2G1①检验与是否成立,如果不成立,则验证失败,输出“INVALID”,否则继续;geP1;Ppub t gh′ h1 H1IDAjjhid;N Ph1P2Ppub②令;计算,;;eS′;P ′ t h2 H2M′jj′;N③计算,,;h2 h′④检验是否成立,如果成立则验证通过,输出“VALID”,否则验证失败,输出“INVALID”。3 回顾基于SM2的配电网报文安全性研究文献[18]提出了一种应用于配电网Modbus报文的国密SM2数字签名方法,对Modbus TCP报文数据域进行签名,数字签名的信息摘要加在原报文的数据域后端。该方法主要包括基于SM2直接加密的配电网密钥交换和基于SM2数字签名的配电网报文认证,详细信息参考文献[18]。3.1 基于SM2直接加密的配电网密钥交换适用于智能电子设备和智能配电网信息系统的SM2非对称加密算法的密钥交换流程如图3所示,具体步骤如下。(1)电子设备→主站安全模块电子设备接入配电网通信系统后,利用预先输入的配电网主站公钥和通信地址,用主站公钥加密设备的公钥、身份等信息,并发送给主站安全模块。(2)主站安全模块→电子设备主站接收到报文后,用主站私钥解密报文,并验证信息真实性,如果该信息可信,则添加该设备的身份和公钥信息到主站的密钥证书系统中。同时,主站将答复信息返回给该电子设备。(3)主站安全模块→其他电子设备主站以广播形式,通知系统中的其他电子设备关于新添加的电子设备信息,并提供电子设备公钥查询功能。(4)电子设备查询其他设备公钥新加入的电子设备查询并保存需要通信的电子设备公钥和通信地址。当下次接收该电子设备报文时,可以利用保存的对应公钥对报文进行解密和认证。3.2 基于SM2数字签名的配电网报文认证将SM2数字签名应用于配电网报文中,报文发送端利用椭圆曲线离散对数原理,对拟发送的报文进行签名,主要由SM3哈希运算和基于发送端私钥的SM2加密过程组成。配电网接收端验证接收的报文,判断发送端身份的可靠性,包括SM3哈希运算和基于发送端公钥的SM2解密过程。发送端和接收端具体流程如图4所示。4 文献[18]方法的安全性分析本文找到文献[18]国密SM2安全方法的一些与密码学基础知识相悖的描述错误,并仔细分析了该SM2配电网报文数字签名方法的安全缺陷不能抵抗重放攻击和消息篡改攻击。4.1 密钥交换过程文献[18]密钥交换过程中,存在描述歧义问题。图3在主站到新加入设备这个过程存在歧义,一种理解是描述“电子设备查询其他设备公钥”这一步骤,主站用新加入设备公钥对其查询的应答信息进行加密,再返回加密信息给新加入设备,以后用查询的特定电子设备的公钥解析报文;另一种理解是主站返回新加入设备公钥加密信息后,新加入设备用其公钥解析主站发送的报文。若为前者理解,则流程没有错误,只是少了用设备私钥解密描述;若为后者,则与SM2非对称加密算法中公钥加密,私钥解密相矛盾。因新加入设备主站ID,设备公钥主站公钥用设备的公钥解析报文应答设备公钥主站私钥解析存入身份,公钥密钥证书系统其他设备用主站的公钥解析报文新设备通知主站私钥图 3 基于SM2配电网密钥交换Fig. 3 SM2-based key exchange of distribution network中国电力第 52 卷20此,应修改密钥交换图,或在文字描述中说明具体流程。另外,密钥交换过程步骤(4)中最后“调用电子设备的公钥对报文进行解密和认证”描述错误,在SM2加密算法中,公钥不能用于解密。4.2 认证过程4.2.1 描述错误文献[18]认证过程中,对SM2数字签名过程描述不当,与SM2加密算法概念有所混淆,下面指出2处描述错误。发送端一开始用SM3算法获取报文摘要后,用发送端私钥对摘要进行SM2加密,这一流程不符合SM2公钥加密算法中用公钥对消息进行加密原理。此流程应为用SM3算法获取报文摘要后,用发送端私钥采用SM2数字签名算法对信息摘要生成签名。接收端用发送端公钥对附带在报文的信息摘要进行SM2算法解密,这一流程不符合SM2非对称加密算法中用私钥解密原理。此流程应为用发送端公钥对附带在报文的信息摘要采用SM2数字签名算法验证签名。4.2.2 重放攻击在报文认证过程中,未添加时戳等新鲜因子来抵抗重放攻击。攻击者利用网络监听或者其他方式盗取认证报文,之后再把它重新发给接收端,接收端并没有能力判断该消息是否为旧报文。因此,该认证过程无法抵抗重放攻击。4.2.3 消息篡改攻击由Modbus TCP报文结构可知,报文应用数据包括MBAP、功能码和数据域3部分,但是在认证过程中,未对MBAP和功能码进行哈希处理和签名。攻击者在截获报文后,可以篡改这两部分信息,而接收端在接收到报文后无法验证该报文的这两部分信息是否被篡改。因此,该认证过程存在消息篡改攻击风险。5 提出的改进协议本文提出一种基于SM9标识算法的配电网Modbus报文的安全协议,与SM2算法相比,SM9标识算法中用户标志密钥不需要证书认证中心(certificate authority,C)进行验证确认,将公钥与身份标识统一,减少了证书的环节,用户的私钥由KGC计算生成。因此,基于SM9的配电网Modbus报文安全协议电子设备发送端只需要接收端的公钥及系统公开参数就能发送报文信息,过程简单,不需要第三方介入。对配电网报文采用SM9数字签名方法,可以保证信息传输的完整性、身份可靠性和不可抵赖性。在协议交互过程中,还加入了时戳新鲜因子,抵抗重放攻击。基于SM9的配电网Modbus报文安全协议主要由密钥注册、发送端签名和接收端验证3部分组成。d(1)密钥注册。新加入的电子设备连接密钥生成中心,提交其预先分配的身份标识ID,申请SM9私钥,再以安全的方式将私钥注入电子设备。(2)发送端签名。电子设备发送端采用SM9算法对配电网Modbus TCP数据域进行数字签名,主要步骤如下。o_datadata o_datajjIDjjT①压缩数据设原应用数据为,改进的协议在原应用数据后端加入身份ID和时戳T,现应用数据为。采用SM3哈希算法用SM3哈希算法获取报文信息摘要,再用发送端私钥对摘要进行SM2加密由椭圆曲线上基点,用随机数发生器生成随机数k由的随机数,得到椭圆上对应的曲线坐标对由椭圆的曲线坐标分析该切线值,即计算离散对数计算基于私钥的对数值得到相应的密文发送端提取报文信息进行SM3哈希运算获取报文信息摘要用发送端公钥对附带在报文中的信息摘要进行SM2解密从加密信息摘要中,提取椭圆曲线上对应点的坐标对,并验证该点的存在性计算该椭圆曲线切线信息根据密钥派生函数,基于报文发送端的公钥进行模运算等得到解密后的明文接收端该明文与本地计算获得的报文信息摘要是否一致报文真实是判定该报文在网络传输过程中已经遭受篡改或该报文并非来自真实的发送端否图 4 SM2配电网报文数字签名方法Fig. 4 SM2 digital signature for distributionnetwork message第 10 期 邱帆等基 于 SM9的配电 网 Modbus报文安全性分析及改进21dataHashdata对报文应用数据进行压缩,得到应用数据的信息摘要H。S SigHashdata②生成签名用自身私钥对信息摘要采用SM9签名算法进行签名,得到签名信息。SS_datadatajjSigHashdata③组合报文将签名信息添加在data后端,组合后的最终应用数据格式为,将其与报文其他部分组合成完整配电网报文,发送给接收端。SigHashdata′data′S′ SigHashdata′data′ S′(3)接收端验证。电子设备接收端对接收的报文进行验证,判断对方身份的真实性。首先设接收的应用数据为S_data′ data′ ‖,分别提取应用数据中待签名信息,身份标识ID′ 和签名信息,再用发送端标识ID′ 生成公钥,输入待签名信息和签名,用SM9验证算法对签名进行验证,并输出验证结果。6 改进协议的安全性分析6.1 抗重放攻击T在改进的协议中采取了时戳机制,添加了时戳作为新鲜因子,任意一端验证消息的时候都要先根据时间戳验证报文的新鲜性,任何截获了报文的攻击者都无法通过重放再次通过验证。因此,改进协议可以抵抗重放攻击。6.2 防篡改攻击在改进的协议中,发送端对报文的应用数据所有信息进行哈希处理和签名,接收端在接收报文后,进行签名验证,任何截获了报文的攻击者若对数据进行篡改都无法通过验证。从而使得报文可以抵抗篡改攻击。7 实验仿真与效率分析7.1 实验仿真本实验应用层的仿真在 Windows 7 64 位操作系统的 Microsoft Visual Studio 2012 开发平台下,采用 C 语言实现本文提出的针对配电网Modbus报文的改进安全协议。7.1.1 发送端签名仿真电子设备发送端采用SM9签名算法对应用层数据进行数字签名,其实验结果如图5所示,仿真过程核心代码如下。element_init_GT(g,pairing);//初始化gelement_pairing(g,P1,Ppub);//计算ge(P1,Ppub)element_init_Zr(r,pairing);//初始化relement_random(r);//选择随机数relement_init_GT(w,pairing);//初始化grelement_pow_zn(w,g,r);//计算wgrelement_init_Zr(N,pairing); //初始化Nelement_random(N);//选择随机数Nelement_init_Zr(h,pairing); //初始化relement_from_hash(h, Mwh, strlen(Mwh));element_init_Zr(temp2,pairing);//初始化temp2element_init_Zr(L,pairing); //初始化Lelement_sub(L,r,h);//计算(r-h)element_init_G1(S,pairing);//初始化签名变量Selement_mul(S,L,d);//计算SL*d7.1.2 接收端验证签名仿真电子设备接收端对接收的报文采用SM9算法进行验证。其实验结果如图6所示,仿真过程核心代码如下。element_init_GT(t,pairing);//初始化t图 5 签名结果Fig. 5 Signature result图 6 签名验证结果Fig. 6 Signature verification result中国电力第 52 卷22element_pow_zn(t,g,w);//计算tgwelement_init_G1(H1P2,pairing);//初始化H1P2element_init_G1(P,pairing);//初始化Pelement_mul(H1P2,H1,P2);//计算H1P1H1*P2//计算PH1*P2Ppubelement_add(P,H1P2,Ppub);element_init_GT(u,pairing);//初始化uelement_pairing(u,S,P);//计算ue(S,P)element_init_GT(w1,pairing);//初始化w1element_mul(w1,u,t);//初始化变量H11H1(ID‖hid)element_init_Zr(h2,pairing);element_from_hash(h2,Mwh1,strlen(Mwh1));//判断验证结果bool isverify element_cmp(h2, h);7.2 效率分析7.2.1 性能比较表1为本文采用的SM9算法与其他几种签名方案分别在签名阶段和验证阶段的性能比较,其中P表示双线性对运算,H表示Hash运算,M表示标量乘运算,E表示指数运算。SM9算法在签名阶段进行了1次双线性对运算,1次指数运算,1次Hash运算和1次标量乘运算。在签名阶段,计算量比文献[20]小,与其他方案接近,验证阶段,计算量比其他文献小。因此,本文采用的SM9签名算法在性能上更具优势。7.2.2 运行效率分析在同一运行环境(CPU为Intel i5 7500 3.4 GHz,操作系统为64位Windows 7)下实现了几种签名方案,经过多次实验,其运行效率结果如表2所示。由表2可知,本文采用的SM9签名算法耗时较少,效率较高。8 结语本文针对已有基于SM2的配电网Modbus报文安全性研究中的几处描述错误,指出其易受重放攻击和篡改攻击。几处之后改进此方法,提出了一种适用于Modbus TCP报文的基于SM9标识算法的协议,将SM9数字签名应用到ModbusTCP报文中,并在协议中加入时戳机制,提高传输报文的安全性。之后对改进的协议进行了安全性分析,表明改进后的协议可以抵抗重放攻击和消息篡改攻击,保证报文通信过程中的数据完整性和来源可靠性。最后采用C语言进行实验仿真,并与其他几种签名方案进行效率分析比较,结果表明改进的协议在效率和性能上更具优势。参考文献秦红霞, 谭志海, 葛亮, 等. 智能配电网自愈控制系统技术研究与设计[J]. 电力系统保护与控制, 2014, 4222 134–139.QIN Hongxia, TAN Zhihai, GE Liang, et al. Study and design ofsmart distribution grid self-healing control system technology[J].Power System Protection and Control, 2014, 4222 134–139.[1]VIJAYAPRIYA T, KOTHARI D P. Smart grid an overview[J].Smart Grid and Renewable Energy, 2011, 24 305.[2]高志远, 姚建国, 郭昆亚, 等. 智能电网对智慧城市的支撑作用研究[J]. 电力系统保护与控制, 2015, 4311 148–153.GAO Zhiyuan, YAO Jianguo, GUO Kunya, et al. Study on thesupporting role of smart grid to the construction of smart city[J].Power System Protection and Control, 2015, 4311 148–153.[3]PIATKOWSKA E, BAJRAKTARI A, CHHAJED D, et al. Toolsupport for data protection impact assessment in the smart grid[J].[4]表 1 方案性能比较Table 1 Perance comparison of different schemes方案签名阶段验证阶段文献[20]4E3H2M 4E3H3M文献[21]4M 4P2E文献[22]1E1H 4P1E2H本文1P1E1H1M 2P1E2H2M表 2 签名方案运行60次平均耗时Table 2 The average consumed time of different signa-ture schemes for running 60 times方案签名平均耗时/s验证平均耗时/s方案平均总耗时/s文献[20] 0.041 0.046 0.148文献[21] 0.033 0.057 0.159文献[22] 0.034 0.055 0.162本文0.036 0.038 0.136第 10 期 邱帆等基 于 SM9的配电 网 Modbus报文安全性分析及改进23e 2. SEC Institute, East China Jiaotong University, Nanchang 330013, China; 3. State Grid Jiangxi Electric Power Co., Ltd.,Electric Power Research Institute, Nanchang 330096, ChinaAbstract In order to ensure the ination security in smart distribution network, more and more cryptographic algorithms areapplied in the communication process. by SM2-based Modbus message security of distribution network was analyzed to find outsuch defects as its vulnerability to replay attack and tampering attack, and several other description errors. In order to improve this, the authors in this paper propose a SM9-based protocol of identification algorithm suitable for Modbus TCP transmissioncontrol protocol message. At first, the process of SM9 digital signature is introduced, and then it is applied to Modbus TCP messagecommunication added with the timestamp mechanism. And the security of the improved protocol is analyzed. Finally, the C languageis used to realize the signature scheme, and its efficiency is compared with several other signature schemes. The results show that theimproved protocol can not only resist replay attacks and tamper attacks, and ensure the data integrity and source reliability in theprocess of message communication, but also have a good advantage in running efficiency.This work is supported by National Natural Science Foundation of China No.11761033, Science and Technology Project of StateGrid Jiangxi Electric Power Co., Ltd. No.52182017001L.Keywords distribution network; national cryptographic algorithm; SM9; timestamp mechanism; security analysis上接第17页Ination Security Protection of Distributed Energy Stations under theEnvironment of Energy InternetPENG Daogang1, WEI Tao1, YAO Jun2, ZHANG Kai1, XIA Fei11. College of Automation Engineering, Shanghai University of Electric Power, Shanghai Engineering Research Center ofIntelligent Management and Control for Power Process, Shanghai 200090, China;2. Shanghai Minghua Power Science distributed energy station; ination security; protective measures第 10 期 邱帆等基 于 SM9的配电 网 Modbus报文安全性分析及改进25
