文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.021
0 引言
智能電網(wǎng)通過(guò)使用面向未來(lái)的技術(shù)、設(shè)備,、方法,,整合系統(tǒng)技術(shù)的應(yīng)用,從而實(shí)現(xiàn)電網(wǎng)的安全,、可靠,、環(huán)境友好的目標(biāo)。未來(lái)電網(wǎng)的建設(shè)方向毫無(wú)疑問(wèn)是智能電網(wǎng),,而智能電網(wǎng)是以高壓,、特高壓電網(wǎng)為骨干,,各級(jí)電網(wǎng)協(xié)調(diào)發(fā)展的新型電網(wǎng)。在智能電網(wǎng)的建設(shè)中,,建設(shè)高效率,、實(shí)時(shí)性強(qiáng)、多種應(yīng)用集成的通信系統(tǒng)是實(shí)現(xiàn)智能電網(wǎng)的基礎(chǔ),。智能電網(wǎng)在獲取實(shí)時(shí)測(cè)試數(shù)據(jù),、電量、保護(hù)等數(shù)據(jù)上都需要通信系統(tǒng)的支持,,因此,,建立先進(jìn)的電力通信系統(tǒng)是走向智能電網(wǎng)的第一步。
目前應(yīng)用于電網(wǎng)的通信方式主要有光纖通信,、電力線載波,、電話專線、CATV通道,、無(wú)線擴(kuò)頻,、無(wú)線通信系統(tǒng)、微波通信,、專線RS-485,、數(shù)傳電臺(tái)、北斗等,,這些各不相同的通信方式應(yīng)用于不同的電力業(yè)務(wù)場(chǎng)景,,最主要的應(yīng)用場(chǎng)景有:特高壓輸電線路、遠(yuǎn)程電力調(diào)度,、配電終端FTU/TTU的通信,、負(fù)荷控制、低壓用戶遠(yuǎn)程抄表等,。
隨著智能電網(wǎng)建設(shè)的深入,,現(xiàn)代社會(huì)對(duì)供電可靠性和電能質(zhì)量提出了更高的要求,這其中智能配電網(wǎng)的地位尤其突出,。在智能配電網(wǎng)中,,由于其延伸至各個(gè)用電區(qū)域,可以說(shuō)是電網(wǎng)中的接入網(wǎng),。在這種情況下,,信息安全至關(guān)重要,而數(shù)據(jù)加密是信息安全的重要手段,。
由于配電網(wǎng)在整個(gè)電網(wǎng)中的位置和作用,,在智能配電網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)非常混雜,這主要包括:
(1)下行數(shù)據(jù)
下行數(shù)據(jù)相對(duì)比較少,,但是非常重要,,主要是遙控、遙調(diào),、遙信,、遙脈(四遙)和保護(hù)裝置及其他自動(dòng)裝置的整定值信息等。這類數(shù)據(jù)與設(shè)備狀態(tài)息息相關(guān),,尤其是遙控信息,將能夠直接影響到電網(wǎng)的安全運(yùn)行,。因此對(duì)于這些數(shù)據(jù)的傳送,,在安全性和實(shí)時(shí)性兩個(gè)方面的要求都很高。
(2)上行數(shù)據(jù)
上行數(shù)據(jù)量很大,,主要是遙信,、重要遙測(cè)、事件順序記錄,、SOE信息等,。這些數(shù)據(jù)可以幫助上層做出判斷,并可能觸發(fā)告警和故障信息平臺(tái),。
這類數(shù)據(jù)是配電網(wǎng)穩(wěn)定運(yùn)行的判據(jù),,也是調(diào)度決策的依據(jù),其高安全性和實(shí)時(shí)性是系統(tǒng)運(yùn)行非常重要的指標(biāo),。
結(jié)合各種通信方式自身的優(yōu)缺點(diǎn)以及網(wǎng)絡(luò)建設(shè)成本,,各終端通信接入方式可在光纖接入(PON)、電力線載波(中壓PLC)和無(wú)線公網(wǎng)(WiFi,、3G/4G)等三種方式中選擇,。伴隨著智能配電網(wǎng)的深入發(fā)展,PON系統(tǒng)由于其實(shí)時(shí)性得到了越來(lái)越廣泛的應(yīng)用,。本文著重于配電網(wǎng)采用PON系統(tǒng)通信時(shí)的加密研究,。
1 配電網(wǎng)PON通信介紹
PON系統(tǒng)是點(diǎn)到多點(diǎn)結(jié)構(gòu),而配電網(wǎng)是串行結(jié)構(gòu),,PON本身的物理網(wǎng)絡(luò)結(jié)構(gòu)并不適用于配電網(wǎng)通信,,需要引入新的技術(shù)進(jìn)行適當(dāng)?shù)男薷摹T谂潆娋W(wǎng)中使用的光分路器是不等比光分,,從而實(shí)現(xiàn)光分路器的串聯(lián),,進(jìn)而適應(yīng)配電網(wǎng)的網(wǎng)絡(luò)架構(gòu)。
PON網(wǎng)絡(luò)在配電網(wǎng)中的使用方式如圖1所示,。實(shí)際使用中還有多種方式,,但是大同小異。鑒于篇幅的原因,本處不進(jìn)行PON網(wǎng)絡(luò)用于配電網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)方面的深入探討,,重點(diǎn)關(guān)注應(yīng)用后的信息安全問(wèn)題,。
在PON網(wǎng)絡(luò)中,由于網(wǎng)絡(luò)結(jié)構(gòu)是點(diǎn)到多點(diǎn)的,,其下行信元的傳輸是廣播式的,,所有用戶都可以在物理上收到OLT發(fā)向其他用戶的下行信息,那么惡意用戶就有可能在某個(gè)下路點(diǎn)偵聽(tīng)到所有終端的下行幀信息,,進(jìn)而進(jìn)行破壞,。前文已經(jīng)說(shuō)明,下行信息雖然比較少,,但是非常重要,。其中很多都是非常關(guān)鍵的信息,比如遙控信息,。
在G.983.1標(biāo)準(zhǔn)中,,PON網(wǎng)絡(luò)的安全是依靠如下機(jī)制實(shí)現(xiàn)的:在上行幀,完全以明文進(jìn)行傳輸,。在下行幀,,每個(gè)ONT提供3 B長(zhǎng)密鑰,由OLT使用該密鑰對(duì)下行信元進(jìn)行擾碼處理,。從密碼學(xué)研究來(lái)看,,擾碼方式所能實(shí)現(xiàn)的安全級(jí)別很低,而且如此短長(zhǎng)度的密鑰在現(xiàn)代計(jì)算機(jī)技術(shù)快速發(fā)展的情況下極易被破解,。因此,,PON系統(tǒng)在用于配電網(wǎng)場(chǎng)景時(shí),需要引入新的方法,,完善其整體的加密安全機(jī)制,。
2 AES介紹
AES算法是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所NIST的新一代私鑰加密標(biāo)準(zhǔn)。作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn),,其匯聚了強(qiáng)安全性,、高性能、高效率,、易用和靈活等優(yōu)點(diǎn),。該加密算法已經(jīng)被認(rèn)定成為美國(guó)政府信息安全加密的主要手段。
算法具體的加密流程如圖2,。
在AES加密標(biāo)準(zhǔn)中,,采用的是分組密碼,分組密碼也就是把需要加密的明文分成一組一組等長(zhǎng)度的數(shù)據(jù),。標(biāo)準(zhǔn)規(guī)定的分組的明文長(zhǎng)度可以是128,、192或256 bit。對(duì)應(yīng)的密鑰的長(zhǎng)度可以使用128、192或256 bit,。根據(jù)密鑰長(zhǎng)度的不同,,推薦使用的加密輪次有10輪、12輪和14輪,。當(dāng)加密運(yùn)算開(kāi)始后,,算法每次對(duì)一組數(shù)據(jù)進(jìn)行加密,逐組順序加密,,直到加密完全部的明文,。本文的討論和測(cè)試數(shù)據(jù)均基于128 bit的分組,密鑰也是同樣的長(zhǎng)度,,加密輪次本文選定的為10輪,。其他情況可以據(jù)此類推。
2.1 AES算法流程
AES算法主要的加解密操作有字節(jié)替換,、行變換、列變換,、輪密鑰加4個(gè)基本操作,。其基本流程如圖3所示。
下邊對(duì)相應(yīng)的操作逐個(gè)進(jìn)行詳細(xì)說(shuō)明,。
2.1.1 字節(jié)替換
AES算法的核心是字節(jié)代換,,這也是該算法效率高的根源,這其實(shí)就是一個(gè)簡(jiǎn)單的查表操作,?;谶@個(gè)原理,該算法定義了一個(gè)S盒(圖4)和一個(gè)逆S盒(圖5),。
在AES算法中,,狀態(tài)矩陣中的元素按照下面的方式映射為一個(gè)新的字節(jié):將該元素的字節(jié)的高4位作為行值,低4位作為列值,,據(jù)此取出S盒或者逆S盒中對(duì)應(yīng)的行的元素作為輸出,。根據(jù)圖3的顯示,在加密時(shí),,如果輸出的字節(jié)S1為0x6f,,則查S盒的第0x06行和0x0f列,得到值0xa8,,然后替換S1原有的0x6f為0xc9,。
逆字節(jié)代換也就是查逆S盒來(lái)變換。逆字節(jié)代換與字節(jié)代換剛好相反,,此處不再贅述,。
2.1.2 行變換
算法中的行移位是一個(gè)簡(jiǎn)單的左循環(huán)移位操作。在密鑰長(zhǎng)度為128 bit時(shí),狀態(tài)矩陣的第0行左移0 B,,第1行左移1 B,,第2行左移2 B,第3行左移3 B,。
行移位的逆變換就是將狀態(tài)矩陣中的每一行執(zhí)行相反的移位操作,,也就是簡(jiǎn)單的右循環(huán)移位操作。例如AES-128中,,狀態(tài)矩陣的第0行右移0 B,,第1行右移1 B,第2行右移2 B,,第3行右移3 B,。
2.1.3 列變換
列混合變換的操作的實(shí)質(zhì)是矩陣相乘,經(jīng)過(guò)行移位之后的狀態(tài)矩陣與固定的矩陣相乘,,得到混淆后的狀態(tài)矩陣,,如圖6的公式所示。
逆向列混合變換可由圖7的矩陣乘法定義,。
2.1.4 輪密鑰加
輪密鑰加的操作,,是算法首次進(jìn)行帶入密鑰的操作。其核心思想是將128 bit的輪密鑰Ki同狀態(tài)矩陣中的數(shù)據(jù)進(jìn)行逐位異或操作,,然后將結(jié)果代入,。其中,密鑰Ki中每個(gè)W[4i],W[4i+1],W[4i+2],W[4i+3]為32位比特字,,長(zhǎng)度為4 B,,與需要操作的數(shù)據(jù)相對(duì)應(yīng)。輪密鑰加過(guò)程實(shí)際上是字逐位進(jìn)行異或的結(jié)果,,也可以看成是字節(jié)級(jí)別或者是位級(jí)別的操作,。
在算法中,這個(gè)階段的操作有一個(gè)特點(diǎn),,就是輪密鑰加操作的逆運(yùn)算操作同正向的輪密鑰加運(yùn)算是完全一致的,,這是因?yàn)楫惢虿僮鞯哪娌僮骶褪瞧渥陨怼?/p>
2.2 AES算法優(yōu)化
本文所研究的加密算法實(shí)現(xiàn)方案聚焦于將算法流程進(jìn)行資源并行的優(yōu)化,從而提高效率,,并盡量避免資源消耗,。
核心是將現(xiàn)有的算法流程采用流水線進(jìn)行優(yōu)化設(shè)計(jì),將操作盡可能地細(xì)化,,細(xì)分到一個(gè)時(shí)鐘周期,,并且盡可能減少并行的操作,這樣做的好處是不需要增加多少資源就可以實(shí)現(xiàn)效率的大幅提升,。
將整個(gè)流程按照時(shí)鐘周期逐個(gè)進(jìn)行時(shí)鐘周期分段,,把整個(gè)加密操作劃分為5個(gè)分段,,每個(gè)分段剛好占用一個(gè)時(shí)鐘周期,具體分段如圖8所示,。
在時(shí)鐘周期之間進(jìn)行操作并行,,根據(jù)上面的分析,對(duì)整個(gè)硬件實(shí)現(xiàn)采取5級(jí)流水線設(shè)計(jì),,當(dāng)?shù)?組數(shù)據(jù)開(kāi)始進(jìn)行時(shí),,第2組數(shù)據(jù)開(kāi)始輸入,以此類推,,這樣數(shù)據(jù)通路中最多有5組要加密的數(shù)據(jù)在同時(shí)進(jìn)行處理,,1~N代表N組需要加密的128 bit數(shù)據(jù)。
3 FPGA硬件實(shí)現(xiàn)和實(shí)驗(yàn)
對(duì)本文中的優(yōu)化算法設(shè)計(jì),,使用Verilog HDL語(yǔ)言進(jìn)行了算法描述,,并采用 Mentor Graphics公司的Modelsim軟件進(jìn)行算法運(yùn)算仿真。
經(jīng)過(guò)一段時(shí)間的編寫(xiě)和測(cè)試,,優(yōu)化后的算法可以正確地完成大批量數(shù)據(jù)的加密和解密過(guò)程,,運(yùn)行穩(wěn)定。
實(shí)驗(yàn)使用Altera公司的Quartus工具在10AX115U4的工藝庫(kù)上進(jìn)行硬件邏輯單元綜合,,顯示其關(guān)鍵路徑延時(shí)為3.078 ns,,算法共計(jì)使用了1 127個(gè)邏輯單元,在10 MHz的低頻率下,,算法加,、解密的速率可以達(dá)到600 Mbit/s以上,。
實(shí)驗(yàn)結(jié)果通過(guò)與以往研究結(jié)果的對(duì)比(如表1所示),,可以看出本文的方法使用硬件邏輯單元更少,主頻更低,,加解密的效率卻達(dá)到了相當(dāng)好的吞吐率,,方法非常適宜于形成獨(dú)立自主知識(shí)產(chǎn)權(quán)的AES加密芯片,應(yīng)用于電力系統(tǒng)的PON通信中,。
4 ASIC實(shí)現(xiàn)
與FPGA實(shí)現(xiàn)相比,,ASIC實(shí)現(xiàn)具有完整的定制功能,降低器件成本,,更小巧的尺寸,,可以實(shí)現(xiàn)批量生產(chǎn)。
本文已完成AES算法在電力配網(wǎng)PON通信中的FPGA具體實(shí)現(xiàn),,仿真結(jié)果顯示占用資料少,、效率高,適用于形成自主知識(shí)產(chǎn)權(quán)的加密芯片,。接下來(lái)主要是運(yùn)用Synopsys綜合工具將芯片設(shè)計(jì)轉(zhuǎn)為面向ASIC專用集成電路的設(shè)計(jì),,并且在廠商工藝庫(kù)的支持下,,遵循ASIC設(shè)計(jì)流程來(lái)進(jìn)行代碼的模擬仿真、綜合和優(yōu)化,,從而實(shí)現(xiàn)FPGA到ASIC的轉(zhuǎn)換,。
5 結(jié)束語(yǔ)
伴隨著我國(guó)經(jīng)濟(jì)和社會(huì)的高速發(fā)展,我國(guó)的電力通信主干網(wǎng)絡(luò)己完全實(shí)現(xiàn)傳輸介質(zhì)的光纖化,、業(yè)務(wù)承載的網(wǎng)絡(luò)化,、運(yùn)行監(jiān)控和管理的自動(dòng)化和信息化。然而,,作為電力數(shù)據(jù)傳輸接入層網(wǎng)絡(luò)的配電通信網(wǎng),,因缺乏相應(yīng)的加密芯片等原因,智能電網(wǎng)的可靠性和信息安全成為電力發(fā)展的瓶頸,,制約了智能配電系統(tǒng)業(yè)務(wù)的發(fā)展與應(yīng)用,。
下一步,就是繼續(xù)完善設(shè)計(jì),,加速該方法的實(shí)用化,,盡快將方法應(yīng)用于電力配網(wǎng)PON通信中。
參考文獻(xiàn)
[1] U S DoC / NIST--2001, Advanced Encryption Standard(AES)[S].
[2] GAJ K, CHODOWIEC P.Comparison of the hardware performance of the AES candidates using reconfigurable hardware[A]. The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000: 40-54.
[3] SKLAVOS N, KOUFOPAVLOU O.Architectures and VLSI implementations of the AES--proposal rijndae1 [J]. IEEE Trans. on Computers, 2002, 51(12):1454-1459.
[4] ELBIRT A J, Yip W, CHETWYND B,,et al. An FPGA based performance evaluation of the AES block cipher candidate algorithm finalists[A].The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000:13-27.
[5] 張濤,,李玲. 千兆比無(wú)源光網(wǎng)絡(luò)的加密安全技術(shù)及實(shí)現(xiàn)[J]. 無(wú)線電通信技術(shù),2005(1):36-39.
[6] 李霞,,黃元波. 一種新的AES算法的FPGA實(shí)現(xiàn)方法研究 [J].光通信研究,,2008(4):23-24.
[7] GAJ K, CHODOWIEC P.Comparison of the hardware performance of the AES candidates using reconfigurable hardware [A]. The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000:40-54.
[8] ELBIRT A J, YIP W, CHETWYND B,et al. An FPGA based performance evaluation of the AES block cipher candidate algorithm finalists[A].The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000: 13-27.
作者信息:
黨三磊,,張 捷,,李 健,劉 健,,張思建
(廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院,,廣東 廣州510080)