基于NB-IOT的电力配网智能锁具 安全通信方法的设计与实现 摘要:本文在智能锁开锁通讯流程中设计实现了一套安全通信协议及加密机制,实现智能锁具与应用系统通信过程中消息收发的双向安全验证,有效保证通信数据在公网环境及电力内网上进行安全传输。射频识别设备 关键词:NB-IOT;电力配网柜体;智能锁具;安全通信;数据加密 1引言 NB-IOT技术因在无线通信中表现出较强的覆盖能力、数据传输稳定性高、低功耗等特点在电力行业中有着广泛的应用需求。目前,NB-IOT技术已经被引入远程抄表、输电线路监控、调度自动化巡检等电力业务中,借助相应的传感器采集终端设备运行数据,通过数据远距离传输实现对电力运行情况的实时在线监测,确保电力系统安全稳定运行。电力系统中对数据通信的安全性有着较高要求,因此在NB-IOT中引入必要的安全通信协议及加密机制显得尤为重要,本文通过对目前的主流安全通信协议及加密算法进行深入研究,提出了一种电力配网智能锁具安全通信方法,在保证数据通信能力及设备低功耗的应用优势下,有效提升数据通讯过程的安全性。 2 NB-IOT安全风险分析及防护策略led间隔柱
NB-IOT的架构设计分为设备终端层、网络层、应用层。设备终端层:NB-IOT设备终端在低功耗、低成本的设计下,不适合独立部署计算复杂的加密模块,终端数据安全存储能力较差,在遭到非法破坏时容易造成信息泄露。网络层:NB-IOT组网结构简单、缺乏必要的安全通信协议,通信数据容易被拦截、篡改,另一方面NB-IOT的公网接入也增加了来自互联网的安全攻击。应用层:设备终端需要与业务系统进行信息交互,交互信息在应用端服务器进行统一存储,在安全防护机制不到位的情况下,一旦应用服务器遭到攻击,则容易引发严重的信息安全问题。 为此,结合NB-IOT架构制定安全防护策略。设备终端层:部署轻量级安全通信模块,对设备终端数据进行加密存储及访问控制,考虑到终端上的数据存储、计算性能及功耗要求,宜采用秘钥长度短、计算高效的安全通信协议。网络层:提供设备终端到应用服务器端的加密通信保护机制,采用混合加密算法实现端到端的数据加密、身份认证及双向安全验证,保证通信信息的正确性、完整性。应用层:基于安全加密算法及秘钥交换机制实现业务交互信息的安全存储保护、信息传输保护及数据访问控制,实现应用系统与设备终端之间受控的信息交换。 3基于NB-IOT的智能锁具设计思路 针对配电网中户外环网柜、分支箱等基础设施数量多、分布广,管理手段落后,安全隐患突出等情况。利用现代无线通信技术,开发智能锁具及配套的锁控APP应用,实现对配网柜体的智能化开锁控制及操作信息的远程传输,对配网作业现场进行有效监督控制,提升配网安全管理水平。整体设计思路如图1所示:
申智惠 图1 NB-IOT智能锁具设计思路
锁务管理中心通过网络NB-IOT网络将移动应用APP与智能锁具进行连接,并保证信息传输安全;移动应用APP通过向锁务管理中心发送身份认证信息、开锁指令申请,通过VPN、APN的方式,进入电力内网,由移动统一接入平台进行数据的中转和通信,保证整个通信链路的安全;智能锁具主要包括信息采集单元、执行单元、控制单元、通信单元、存储单元及安全单元。信息采集单元:采集机械锁体信息。执行单元:接收开锁指令,驱动锁体开锁动作。控制单元:智能锁核心单元,完成各模块信息交互。通信单元:通过网络将锁具状态信息上传到锁务管理中心,并接收锁务管理中心远程指令。存储单元:存储秘钥。安全单元:用户身份验证及远程开锁指令验证,并将验证结果反馈至控制单元。其结构如图2所示:
故障诊断方法 图2 智能锁结构图
4智能锁开锁通讯流程
4.1开锁通讯流程
首先按下锁具开关按钮,唤醒锁具,使其处于工作状态,通过手机APP扫描锁具二维码,进行锁具信息获取,再将锁具信息及用户身份信息通过NB-IOT中转服务器传输至电力内网DMZ区服务器,并在服务器端完成信息验证,信息验证通过后下发加密的开锁指令,在锁具上完成解密并开启锁具,锁具将开锁结果信息进行加密并回传到服务器,服务器解密开锁结果信息并保存,同时将信息传输至手机移动APP端,手机端接收到信息后对用户进行开锁提醒。
4.2蓝牙开锁通讯流程
唤醒锁具后,通过手机移动APP自动连接蓝牙设备,点击APP上的开锁按钮,手机发送锁具信息及用户身份信息及开锁申请数据至服务器,在服务器端进行信息验证并返回验证结果信息至手机APP端,验证通过后手机APP通过蓝牙发送开锁指令给对应锁具,锁具开启后自动将加密后的开锁结果信息反馈至服务器端,服务器端解密开锁结果信息并进行
存储,同时将开锁结果信息反馈至手机APP端,手机端接收开锁结果信息后对用户进行开锁提醒。
5 智能锁安全通信方法的设计与实现
5.1 加密算法的分析
加密算法主要分为对称加密算法和非对称加密算法两类。对称加密算法在加密和解密过程中使用相同秘钥,具有加解密快速、效率高、安全性高的特点,常见的非对称加密算法主要有RSA算法及ECC算法。非对称加密算法加密和解密过程中使用不同秘钥,秘钥长度长及算法复杂等特点使得加解密速度较慢,主要包括DES、AES及微型加密算法XXTEA。加密算法的选择要遵循几个原则:加密算法不宜太过复杂、加解密速度快、对内存及电量消耗低。
5.2 RSA及XXTEA混合加密算法
本文采用RSA及XXTEA混合加密算法实现秘钥的生成和校验的非对称性,既保证了NB-IOT秘钥交换低功耗要求,又保证了通信安全。RSA基于极大整数难分解原理,秘钥的长度是两个质数乘积的二进制所占比特数,生成一个由公钥及私钥组成的秘钥对,用公钥进行加密,私钥解密。XXTEA属于微型加密算法TEA的一种改进算法,采用128比特的秘
钥对至少2倍的32比特信息变量块进行加密。整个算法的加密轮次非固定,具体的加密轮次根据数据的长度而定,在6至32轮之间。加密过程中仅涉及简单的加法、移位、异或等运算,计算占用内存少,效率较高,在性能及资源受限的嵌入式系统中优势明显。
5.2 智能锁安全通信设计
智能锁具端通过加密算法对相关状态信息进行加密后,经NB-IOT中转服务器转发至电力内网DMZ区前置机,然后再进入锁务后台管理中心,锁务后台管理中心在接收到数据时,进行解密处理。后台锁务管理中心在向智能锁具下发指令时,首先对指令数据进行加密后,最终在锁具端完成数据解密工作,实现整个通信过程中的全数据加密机制。
图3智能锁安全通信设计
智能锁开锁通讯过程中的秘钥交换机制作为保障通信安全的核心,具体步骤如下:
步骤1:智能锁上电后,在设备端生成XXTEA秘钥并保存,同时向服务端请求RSA公钥,请求成功后服务器端将RSA公钥下发至设备端,并记录请求成功RSA_SUCCESS状态,若请求失败记录请求失败RSA_FAIL状态。
步骤2:利用RSA非对称加密算法对设备端XXTEA秘钥进行加密,并将加密后的秘钥
返回至服务器端,提交成功后设备端记录提交成功PK_SUCCESS状态,若提交失败记录提交失败PK_FAIL状态。
步骤3:手机APP扫码或蓝牙连接后,向服务端发送开锁申请,锁具通讯被唤起,此时,锁具设备端会执行状态检查操作。若为公钥请求失败RSA_FAIL状态,则重新执行公钥请求;若为秘钥加密提交失败PK_FAIL状态则重新执行步骤1、步骤2;若为秘钥加密提交成功PK_SUCCESS状态,则向服务端发送数据,整个秘钥交换过程完毕,如果服务器端返回解密错误信息,则设备端重新更新秘钥。
图4 智能锁秘钥交换流程图
对智能锁电子秘钥设置时效性约束,定义秘钥的有效时间为15天,在锁具开锁通讯过程中,服务器返回解密错误信息后,智能锁具执行秘钥更新操作。
机票查询接口 6结语
在电力物联网中,NB-IOT因其网络覆盖能力强及低功耗的特点被广泛应用于各类电力业务场景中。为满足户外配网柜体的安全管理需求,设计一种基于NB-IOT的智能锁具,在智能锁通信过程中引入安全通信协议及数据加密算法,保障传输数据的安全性、保密性
光碟机及完整性,在确保配网柜体物理环境安全的基础上实现安全加固,提升配网安全管理水平。
参考文献:
[1]梅沁,李大伟,虎啸.基于NB-IoT的电力物联网安全技术研究[J].电力信息与通信技术,2019,17(01):100-104.
[2]毕玉冰,金晶.NB-IoT发展演进历程研究和对电力企业的影响分析[J].数字通信世界,2019(08):133.
[3]何明,赵欢,张斌,李思尧,袁帅,田松林,喻召杰.NB-IoT技术在电力行业的应用[J].数字通信世界,2019(02).
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议