当前位置:首页 期刊杂志

智能路灯控制系统安全性研究

时间:2024-08-31

谢大平 李 延 王于波 邵 瑾

(北京南瑞智芯微电子科技有限公司 北京100192)

0 引 言

当前中国正在大力推进城镇化的建设,因此对城市照明提出了更高的要求.由于城市路灯的耗电量占城市公用事业耗电总量的比重很大,因而路灯的节能工作是城镇管理发展的必然方向。2008年8月1日开始实施的《国务院办公厅关于深入开展全民节能行动的通知》[国办发(2008)106号文件]第五条中指出:“控制路灯和景观灯照明,在保证车辆,行人安全的前提下,合理的开启和关闭路灯……”。传统路灯控制系统存在着无法远程操控、不能自动远程识别故障路灯、人工作业量大等缺点。而智能路灯控制系统能够远程控制范围内的任意路灯,并且能远程识别故障路灯,这极大提高故障路灯维修反应时间。此外,智能路灯控制系统还能根据照明系统的各种电参数与运行情况,针对不同的照明需求提供灵活多样的控制方案,从而使得城市路灯照明更加节能[1]。

信息化是一把双刃剑,在推进路灯智能控制的同时也给路灯带来潜在的安全隐患。路灯安全属于市政与工业控制安全的范畴,当路灯控制系统受到攻击时,造成的社会影响也是难以估量的[2]。同时,考虑到智能路灯也属于用电领域的一个应用,对路灯的智能建设是智能电网建设的延展,因此,本文将智能电网建设中的安全防护经验应用到智能路灯领域,为路灯的智能化建设保驾护航[3]。

1 智能路灯系统

1.1 系统简介

1.1.1 系统拓扑图

智能路灯系统可分为主站层、通信层与终端层[4-5]三部分,其构成框架见图1。

1.1.2 系统组成

智能路灯系统的主站层是由主站管理系统构成,它包括主站服务器、地理信息系统与监控中心。其中服务器是存储和管理路灯的信息;监控中心是通过服务器向集中控制器发送指令,实时的控制每一盏路灯,同时定期轮询检测每盏路灯是否正常工作;地理信息系统是嵌入城市地图,在系统上对当地所有设备的在线情况、亮灯情况、报警情况进行直观监控与快速定位,它可以针对各种异常情况在第一时间做出准确定位和快速处理[4-8]。

而通信层是使用电力线载波、Zigbee、GPRS、适机认知无线网络(opportunistic mesh,OPM)[5-6]等通信方式,构建采集器与主站之间的通信信道。

终端层是按照市政规划,集中采集路灯的所有控制信息,它与每个路灯控制子模块之间的通信方式采用Zigbee或GPRS或OPM等方式。每个控制模块负责采集路灯控制信息并发送给集中器。

1.1.2 系统功能

智能路灯系统的主要功能是为路灯提供针对路灯设备的“三遥”控制。所谓“三遥”,就是“遥控”、“遥信”和“遥测”。

图1 智能路灯系统拓扑图Fig.1 Intelligent road lamp system topology diagram

“遥控”功能是指对路灯设备的远程控制,此功能分为两大部分:自动控制和手动控制。

“遥测”功能是指集中器具有远程收集控制终端信息。

“遥信”功能是指设备(集中器和路灯节点控制器)将自身的在线状态、本地路灯的亮灭情况定时地通过巡检的方式自动上报给监控计算机。路灯管理人员可以通过监控计算机,利用本系统自带的电子地图功能,直观地监视设备的当前状态,在地图上对发生故障的设备进行快速定位,在尽可能短的时间内排查故障。

1.2 工作流程

主站与集中器之间的工作流程,通过GPRS、电力线载波等方式进行传输。而且当前所有报文的传输都是使用公网进行明文传输。

考虑到路灯网络的线性特性,为了减低成本,通常集中器与路灯控制模块之间的工作流程通过无线通信方式,即Zigbee、OPM等传输方式,并且所有报文都是使用明文进行传输。

2 安全风险

2.1 主站与集中器

集中器和主站系统之间使用公网进行通信,在集中器与主站之间传输数据和控制报文的时候将面临安全风险,传输的数据有被篡改和窃取的风险。

对于下行链路,当主站下发控制报文给集中器,若是被人篡改,可能会造成整体一个片区瞬间和持续的出现异常照明。这给城市安全带来极大的威胁,同时减低了居民对市政的满意度,引起社会的恐慌。

对于上行链路,当集中器需要把当前路灯的信息上报给主站时,若是被人篡改,可能会造成后台控制中心错误的调度,造成政府资源的浪费。

2.2 集中器与路灯控制模块

集中器与路灯控制模块之间安全类似于集中器与主站之间,除此之外还面临更大的安全威胁。

Zigbee/OPM等无线通信方式的安全性正在面临巨大的威胁,使得路灯控制模块与集中器之间的通信信息更易被窃取和篡改。随着智慧化城市的建设加速,视频监控为每个市民的安全提供了保障,同时也提高了公安机关的办案效率,提供了更丰富的证据,普通视频监控的有效性是依赖于路灯照明的质量。若犯罪分子在作案之前,先破坏预选作案现场的路灯,那么视频监控系统将会失效。

3 安全技术

3.1 加解密技术

加解密技术通常分为对称加密算法和非对称加密算法[9]。

对称加密是单钥密码体制,其中加密密钥等于解密密钥,或可以相互推导;按照每次加密的长度分为:序列密码(流密码)、分组密码。本方案使用的对称加密算法是分组密码算法。

非对称密钥加密系统采用的双钥密码体制,使用公钥进行加密而使用私钥进行解密的一类密码算法,已知公钥求私钥在计算上不可行。常用的RSA和ECC[10]两种对称加密算法。

ECC和RSA相比(见表1),有以下几点绝对的优势:

1)抗攻击性强。相同的密钥长度,其抗攻击性要强很多倍。

2)计算量小,处理速度快。

3)存储空间占用小。

4)带宽要求低。当对长消息进行加密解密时,以上2类密码系统有相同的带宽要求,但应用于短消息时ECC带宽要求却低很多[11-12]。

表1 RSA和ECC安全模长比较Tab.1 Mode length comparison between RSA and ECC

163 bit的ECC算法和1 023 bit RSA算法有相同的安全性,使用国际公用的安全生成器Security Builder 1.2和BSAFE3.0进行测试,见表2,ECC算法的性能都优与RSA算法。

表2 RSA和ECC速度比较Tab.2 Speed comparison between RSA and ECC

163 bit的ZCC算法和1 023 bit RSA算法有相同的安全性,使用国际公用的安全生成器Security Builder 1.2和BSAFE3.0进行测试。见表2,ECC算法的性能都优与RSA算法。

因路灯终端之间使用无线的传输方式,本方案使用的传的非对称算法选择SM2(是中国商用密码局研发的类ECC算法)或ECC算法,对称算法选用SM1(国家商用密码算法)或AES算法[13]。

3.2 数字签名技术

数字签名(digital signature)是一种防止源点或终点抵赖的鉴别技术,按照ISO7498—2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明[9]。

数字签名只能使用非对称加密算法,本方案中使用ECDSA作为数字签名机制。

3.3 哈希函数

杂凑函数H是一个公开函数,将任意长的消息映射为较短的、固定长度的一个值 H(M)。H(M)称为杂凑值、消息摘要,是消息中所有bit的函数,提供了错误检测的能力[9]。

4 安全解决方案

4.1 安全方案

为了实现对路灯远程智能安全的控制,需要防止信息被篡改和窃听。市政安全方面的考虑,需要工业级的安全标准,所以在使用安全算法的时候推进使用国产的安全算法。使用SM1算法对数据进行加密,使用SM2算法对数据进行签名。

对于终端控制模块的安全防护方案有2种实现的方案:①软件实现,即把相应安全算法集成到MCU内;②硬件实现,即使用安全芯片来实现加解密算法的功能。安全芯片内高速的密码算法引擎,能极大的提升效率,同时能保证密钥不会明文出固件,这是硬件实现相对软件实现的优势。使用安全芯片的解决方案,除了能提供安全性方面的因素外还有性能方面的,因为路灯控制模块考虑成本的因素,使用的主控MCU都是8位的低端MCU,若是再其上运行安全算法,只有选择更好的更贵的MCU,ESAM的价格较低,所以在性能和成本的基础上,选择ESAM作为协处理器的实现方式。本方案中我们采用硬件实现的方式来构建整体的安全防护网络。

图2 智能路灯安全解决方案拓扑图Fig.2 Intelligent road lamp security solution topology diagram

4.2 安全架构

如图2所示,在主站层增加了密钥管理系统和安全芯片发行系统。其中密钥管理系统包括密码机和密码服务器,实现密钥的生成及密钥安全性检测等功能;安全芯片发行系统灌装安全芯片的初始密钥等功能。主站侧接收到的数据使用密钥管理服务器进行解密或验签,对于向外发送的数据进行加密或附带签名信息。

此外,还在主站层增加了密钥管理系统和安全芯片发行系统。

密钥管理系统包括密码机和密码服务器,实现密钥的生成及密钥安全性检测等功能。在国家电网的密钥管理系统中,采用三级密钥的管理机制,即国家电网级、网省级、地市级,其中国家电网级和网省级都有生成根密钥的权限,根据业务应用的需要将相应的部分密钥分别下装到操作员卡、密码机内,见图3。

在智能路灯管理系统中,因实际应用是以城市为单位或者以区为单位,采取一级密钥管理机制,即只有一个根密钥生成,来实现对密码的生成和分发,见图4。同时在根密码的生成上采用Shamir门限的五分三合机制[9]。五分三合机制的实现方式是,随机选择1条二次曲线的参数作为根密钥,在该曲线上选择5个点,这5个点分别分配给5个管理者,当5个管理者中的至少3个管理者同时提供自己管理的点时才能恢复曲线的参数,进而获得根密钥。

图3 三级密钥管理系统Fig.3 3-level key management system

图4 智能路灯密管系统Fig.4 Intelligent road lamp key management system

安全芯片发行系统灌装安全芯片的初始密钥等功能。主站层接收到的数据使用密钥管理服务器进行解密或验签,对于向外发送的数据进行加密或附带签名信息。

在终端层嵌入安全芯片到安全控制模块之中,逻辑见图5。计量芯片负责电流和电压的计量;时钟芯片RTC,负责时钟同步;无线采集模块,可以选择Zigbee或OPM来实现对无线信息的传输;继电器实现对路灯开关等控制;此外,结合实际的应用,增加相应的传感器。安全芯片实现对数据安全防护,对接收的数据解密验证;对发送的数据加密和增加签名信息。

4.3 工作流程

主站系统配备数据加密密码机,在各集中器终端和控制节点内嵌安全加密模块,对通信的上行和下行链路分别提供安全防护。

对于上行链路,路灯控制节点对采集到的数据使用ESAM加密后,通过电力线或无线发送加密后的数据给集中器,通过公网传输到主站系统中,主站系统需将数据传输到数据加密密码机,进行数据解密,解密后的数据才能够进行后续的数据处理。

图5 安全芯片与路灯控制器的逻辑图Fig.5 Security chip &road lamp controller logical diagram

对于下行链路,当主站系统需要下发控制数据时,需先送入到数据加密密码机进行数据加密,数据传输到集中器终端后,集中器终端再发送给控制器,控制器使用安全芯片解密后,数据才能进入后续数据处理。

使用安全芯片数据的安全加密和签名,确保了数据传输的安全性和完整性。

4.4 安全等级划分

对于不同的应用选择不同的安全防护等级,提供不同的安全防护,见表3。

表3 安全等级的划分Tab.3 Security level allocation

如管理中心下发的整体路灯控制信息,选择高安全的加密方式;对于单灯控制、单灯主动上报异常的信息,选择中安全的级别。

4.5 安全性分析

在安全算法选择方面,对称算法选择128位SM1算法,非对称算法选择256位SM2算法,哈希算法选择SHA256,见表4。

表4 安全方案的防护等级[10]Tab.4 Security solution’s protection levels

基于表4的分析,该系统的安全等级为128 bit,达到金融、工业安全等级的标准。

通过在一个园区168盏路灯的试点,加入安全性后对整个系统性能没有影响。该密钥管理方案中,当5个管理者中有3个丢失其管理的子密钥时,无法恢复出根密钥,进而造成整个密钥管理系统崩盘的风险。对于这种特殊的情况,解决方式是重新随机选二次曲线,生成根密钥,再通过超级管理员权限对每个控制模块安全芯片的密钥进行远程更新,进而解决该安全隐患。

4.6 性能分析

安全芯片与MCU之间的通信接口SPI,其通信速率平均能到4 Mb/s,甚至更高。通过实验仿真测试,128位的SM1算法的加密速度为53.56 kb/s,解密速度为55.65 kb/s;256位SM2算法签名的速度为184.5 ms/次,验签速度为376.062 ms/次;真随机数生成速度20.078 kb/s。当前对路灯所采集的信息还相对较少,考虑到未来的拓展性,安全芯片对原有路灯控制模块的性能没有影响。

5 结束语

综上所述,基于安全芯片的智能路灯控制安全技术能够解决当前智能路灯控制系统所面临的安全问题。在不影响现有系统的性能的条件下,通过提供128bit的安全级防护机制,为智能路灯控制的节能、环保等决策和管理的传输保驾护航。此外,安全路灯无线通信网络能在诸如地震、火灾等特殊事件发生时,作为常用通信系统的补充,丰富通信的方式,提高通信质量。

[1] 国务院办公厅关于深入开展全民节能行动的通知,国办发〔2008〕106号[EB/OL].(2008-08-02)[2013-05-13],http://www.gov.cn/zwgk/2008-08/02/content_1062621.htm.

[2] 李 宁.城市路灯远程监控终端的设计与实现[D].石家庄:华北电力学院,2008.

[3] 刘振亚.智能电网技术[M].北京:中国电力出版社,2010.

[4] 王亚兰.智能路灯节能控制器研究[D].武汉:武汉理工大学,2008.

[5] 陈亚平.基于GPRS技术的城市路灯监控终端研制[D].江苏:江苏大学,2010.

[6] Liang Song Prototypes of Opportunistic Wireless Mesh Networks Supporting Real-Time Services[C]∥USA:Las Vegs Nevada Consumer Communications and Networking Conference,2008.USA:Las Vegs:CCNC 2008.01 IEEE.

[7] 张达夫,张昕明.基于时空特性的GPS轨迹数据压缩算法[J].交通信息与安全,2013,31(3):45-54.

[8] 辛秀颖,马寿峰,贾 宁.“闯黄灯”决策的影响因素分析:基于意向调查方法[J].交通信息与安全,2013,31(3):68-75.

[9] 毛文波.现代密码学理论与实践[M].英国,2003.

[10] NIST.SP800-57_Part_rev3_general.USA[EB/OL].(2013-03-22)[2013-05-25].http://www.nsa.gov/ia/programs/suiteb_cryptography/.2013.

[11] NIST.SP 800-131A,B,and C.USA[EB/OL].(2011-01-24)[2012-05-18]http://csrc.nist.gov/publications/PubsSPs.html.2012.

[12] NIST.Transitions:Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths(SP800-131A).[EB/OL].(2011-01-24)[2012-05-18]http://csrc.nist.gov/publications/nistpubs/800-131A/sp800-131A.pdf,2012.

[13] 国家商用密码管理局.SM2椭圆曲线公钥密码算法[S].北京:国家商用密码管理局,2010.

免责声明

我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!