余玉晗
(广东电网有限责任公司阳江供电局529500)
摘要:本文提出了一种基于数字水印技术的网络攻击认证方法,将CRC16作为水印添加到原始数据中,结合仿真模型的性能分析方法。实践证明,该方法能够实时检测出虚假数据,为信息安全提供了一种新的选择。同时,通过仿真详细分析了数字水印的性能,进一步论证了基于水印的实时数据保护方法的可行性和优越性。通过简单的仿真模型得到电流和电压波形,电流和电压波形与嵌入的水印基本一致。以距离保护的阻抗轨迹为例,发现数字水印的嵌入并不影响继电保护的正常工作。该方法为电力信息网络的安全保护提供了一种新的思路,特别是为数字化、智能化电力系统的安全保护提供了一种新的思路。
关键词:网络攻击;电力系统网络安全;基于数字水印技术的验证
1.引言
电力系统是一个复杂的大型非线性动力系统。在现代社会,所有的社会活动和经济生产或多或少都与电力系统相关联,现代电网的电能生产、输配过程中伴随着不确定因素,为大量的信息传递、故障损失、电力恢复提供了。电力系统能够安全稳定运行关系到非常严重的社会问题,并确保电力系统的安全运行,不仅有助于提高电力企业的利润,也有利于整个国民经济的正常运行系统。
安全生产和管理的核心是电力系统安全的问题,为了保护电力系统生产、安全管理,我们必须系统主人的一面可以防患于未然,风险问题归根结底是各种风险来源的影响引起的电力系统电力系统中存在各种各样的风险。根据1335-2004ISO/IEC的定义,风险是一种指定的威胁,利用一项资产或若干项资产的脆弱性,导致资产可能受到损坏或破坏。这个定义给出了风险研究中两个最重要的方面,即事件发生的概率和事件的结果(损害或损害)。
鉴于网络攻击对电力系统控制系统的不利影响,应主动探索如何减轻或预防网络攻击的作用。电力系统大多实现远程控制,主站与分站之间的通信至关重要,频繁的网络攻击将给电力通信网带来巨大的压力,如何保证数据通信的安全一直被忽视。本文在论述数字变电站数据传输安全性的基础上,认为现有的IEC61850定义的保护机制是透明的,容易攻击,因此提出了一种基于数字水印的实时数据传输检测方法,该方法具有实时性好、可靠性高和不易被发现的诸多优点。仿真结果表明,该方法是一种可行的网络攻击电网实时数据传输方案。
2基于数字水印的数据认证的理论依据
传统加密算法是强大的和可靠的,具有非常丰富的实际应用,但由于特殊性数字变电站的数据传输协议,传输帧在每相电流和电压采集空间,只用了16位数据量和每一帧数据传输时间间隔很短,而且不允许占用更常见的加密系统,结合加密,解密时间无法满足实时性的要求,对实时数据传输加密提出了很大的挑战。提出了一种基于数字水印的数字水印算法,能够满足实时性、可靠性等要求。数字水印技术是一种信息隐藏技术,它是通过在载体(图片、文档等)上与识别识别信息(数字水印)来实现识别的便利性。数字水印提供了一种不知不觉地将数字信息嵌入数字和传统信息的方法。水印中包含的信息可用于为各种应用程序增加价值,如安全性、内容保护、防止复制、事务监视、身份验证等。
2.1IEC61850的缺陷
IEC?61850标准是由国际电工委员会(InternationalElectrotechnicalCommission)第57技术委员会于2004年颁布的、应用于变电站通信网络和系统的国际标准。作为基于网络通讯平台的变电站唯一的国际标准,IEC61850标准吸收了IEC60870系列标准和UCA的经验,同时吸收了很多先进的技术,对保护和控制等自动化产品和变电站自动化系统(SAS)的设计产生深刻的影响。它将不仅应用在变电站内,而且将运用于变电站与调度中心之间以及各级调度中心之间。国内外各大电力公司、研究机构都在积极调整产品研发方向,力图和新的国际标准接轨,以适应未来的发展方向。
IEC61850建模了大多数公共实际设备和设备组件。这些模型定义了公共数据格式、标识符、行为和控制,例如变电站和馈线设备(诸如断路器、电压调节器和继电保护等)。自我描述能显著降低数据管理费用、简化数据维护、减少由于配置错误而引起的系统停机时间。IEC61850作为制定电力系统远动无缝通信系统基础能大幅度改善信息技术和自动化技术的设备数据集成,减少工程量、现场验收、运行、监视、诊断和维护等费用,节约大量时间,增加了自动化系统使用期间的灵活性。它解决了变电站自动化系统产品的互操作性和协议转换问题。采用该标准还可使变电站自动化设备具有自描述、自诊断和即插即用(PlugandPlay)的特性,极大的方便了系统的集成,降低了变电站自动化系统的工程费用。在我国采用该标准系列将大大提高变电站自动化系统的技术水平、提高变电站自动化系统安全稳定运行水平、节约开发验收维护的人力物力、实现完全的互操作性。
2.2数字水印加密的优势
已有研究中提出的大多数水印算法都是基于类似于扩频通信的原理。在数据中插入一个伪随机序列,称为数字水印。在提取过程中,同样的伪随机序列与从图像中提取的估计模式相关联。如果计算出的相关性超过选定的阈值,则称水印存在。在这类一般的水印方案中,水印插入的特定域的选择是多种多样的,如空间域、DCT域、小波域等;以及基本方案的增强,以提高健壮性和减少可见构件。计算得到的相关性依赖于重新生成的模式与从图像中提取的模式的对齐。因此,两种模式的同步对水印检测过程至关重要。通常,这种同步是由图像的固有几何结构提供的,其中伪随机序列被假定放置在相同的图像几何结构上。当对水印图像进行几何处理时,底层几何结构会发生畸变,从而导致水印检测过程的失同步和失败。几何操作可以从简单的缩放、旋转或剪切到Stirmark应用的更复杂的随机几何畸变。
基于电力系统的环境,我们需要提出不同的方法来减少或防止电流操作时的算法失效模式。对于非盲水印方案,当原始图像在检测器上可用时,水印图像可以对原始图像进行注册,以提供适当的同步。对于探测器无法获取原始图像的盲水印方案,提出的方法包括利用傅氏变换空间提供旋转、平移、尺度不变性,以及利用图像的几何不变性进行水印。将图像分割成小块,使用小增量对旋转和平移进行相关,以检测适当的同步。通过分析了数字图像的正交射影序列,利用数字图像的正交投影序列讨论数字图像正交射影序列的定义及其性质,得出了两种模式下的正交投影序列与该数字图像基本对应的结论。
3基于纠错码的数字水印
隐藏数字水印技术是一种关键的方法,什么算法对该方法没有实质性的影响,数字水印是不透明的,隐藏在原始数据中,它不会影响数据不容易受到攻击的事实。算法虽然会有实质性的影响,但是该算法计算消耗时间的数字水印方案对性能有一定的影响,算法计算更快,占用内存空间小的会更有利于提高该方案的性能。数据验证算法不仅是IEC61850中的循环冗余校验(CRC)码,还包括奇偶校验码和汉明校验码的变体。考虑到各种因素,本文还采用CRC作为数字水印算法。CRC的优点是能够以较低的代价检测到数据位的突变或位序列的变化。简而言之,如果数据位发生了变化,就可以有效地检测到。遗憾的是,该算法也存在很多缺陷,如he不能纠错,只能检测报警错误;其次缺乏认证机制,任何攻击者也会篡改保护数据和CRC本身,到最后也找不到任何异常。CRC算法不是单向算法,因此不能作为数字签名使用。但CRC算法简单、耗时,满足了本方案的要求,是一种非常成熟的算法,具有良好的稳定性。本文利用数字水印的优点弥补了CRC的许多缺陷,通常攻击者不会发现隐藏的CRC校验码,而将其作为一种常见的数据编码处理。
3.1仿真设置
对220kV变电站出口进行了仿真分析。电源侧阻抗:0.2+j4.5?;行参数设置如下:R1,R2=0.027?/km,L1,L2=0.86mH/km,C1=C2=0.0123μf/km;R0=0.1948?/km,10=2.4mH,C0=0.0071μf/km。母线出口在不同距离的单相、两相、三相短路接地后,统一设置80毫秒的时间产生一次故障,描述了水印的具体实现过程,分析添加水印验证代码的原始数据值造成的错误,或数字水印算法的性能分析。
图1一个基于数字水印算法的实现过程实例
发送值为正常情况结束时应接收,如图1所示,上图进程表示电流269A加数字水印进程,下图进程表示电压18123V加数字水印进程。它们分别代表了在极端情况下添加两种数字水印算法的方法,即CRC1和CRC7。上图的相对误差为0.1986%,下图传输到第二个设备转换到实际使用范围值原始值的相对误差为0.1214%,我们可以发现过程中更多的是0错误现象,可见水印引起的误差非常小,几乎可以忽略不计。一个阶段的单相短路电压和电流的仿真波形,视力没有任何差异,实现隐藏的理想效果和更充分地表明,恶意攻击者无法觉察的通讯数据异常,因此,电力电子变压器的数字水印隐藏检查数据采集,如果选择适当的检查算法,可以达到预期的效果。
3.2数字水印效率分析
数据传输是基于二进制编码的,因此原始数据的数字水印嵌入引起的误差是明显的,原始数据的大小越大,水印序列越小,原始数据引起的误差也就越小。为了增加水印对原始数据分析的影响,本文还模拟了A/B两相接地和A/B/C三相接地两种情况,观察了不同条件下数字水印的性能。
表1数字水印引入电压数据的稳定性比较
由表1可见,电压的波动率从60ms处到达顶峰,其中转换成二进制的电流互感器在量程内有效位数不足8位,且无水印;80毫秒后,故障的发生开始由水印引入错误。微机保护系统是保证电力系统可靠运行的关键系统。IEEE电力系统继电保护委员会发表的一份研究报告全面系统地阐述了继电保护信息安全问题,以微机距离保护分析对象,在相短路仿真结果的基础上,探讨了数字水印的性能。根据实际仿真结果,计算出嵌入水印的电流和电压数据以及水印的电流电压数据,得到时刻的测量阻抗,并将连接线绘制到阻抗轨迹中。从表中可以看出,两种测量阻抗轨迹在数量上很难检测到明显的差别。因此,即使不可见对嵌入水印的阻抗轨迹的影响,也可以推断在水印嵌入8位的前提下,对距离保护性能没有显著影响。
因为位置加密的实现原理相对简单,虽然位置加密后的水印信号已经被加扰生效,但它不能改变原来新年的好直方图。这样,很容易泄露水印信号的统计信息。因此,为了增强安全性,水印信号通过位置加密和灰度值加密(双因子加密)的组合来加密。这种加密方法可以降低提取水印信号时水印被解码的概率,保证水印的安全性和保密性。从水印加密的角度来看,双因素加密机制在加密数字水印时产生两个混沌矩阵,一个用于位置加密,另一个用于灰度级加密。如果两者结合,混沌序列是不可预测的,所以即使水印序列是已知的,没有混沌加密的密钥矩阵,水印信息也不能被破解。为了达到水印的安全性要求,从而起到更好的信号保护作用。通过比较我们可以进一步得出结论,因为版权的保护而产生的数字水印技术,不仅可以应用在防伪溯源、隐藏标识中,在认证和安全隐蔽通信中的作用也可以应用。当数字水印应用于认证和安全隐蔽通信时,可以在不损害原有信号的基础下,达到屏蔽干扰的目的。数字水印技术将重要数据隐藏到主机数据中并发送出去。它的基本假设是第三方不知道隐藏数据的存在,主要应用于点对点秘密通信。因此,它不需要鲁棒性,或者一旦传输的数据发生变化,嵌入的信息就无法恢复。然而,数字水印需要鲁棒性,也就是说,它可以抵抗来自第三方的攻击或正常和标准的数据处理和转换。换句话说,即使攻击者知道传输的数据包含隐藏的重要信息,他也不能在不严重破坏主机数据的情况下提取或破坏水印。为了便于比较,我们还评估和比较了两种技术对各种类型的数字信号处理攻击的性能,这些攻击包括高斯噪声(5%)、JPEG压缩(5:1)和图像裁剪(1/4)。虽然这三次攻击是少数几次,但它们很好地代表了较为普遍的攻击。数字水印技术作为电网保护的一种有效方法,对于电压和电流的变化,嵌入过程可以在空间域或频域完成,采用频域格式可以较好地兼顾鲁棒性和透明性。
4结语
随着计算机和网络通信技术在电力系统中的普及和应用,网络攻击将逐渐成为电力系统的头号威胁。近年来局域网连续攻击敏感的基础设施,网络信息通常反映数据,安全号码是根据安全通信进行的一项非常重要的工作。本文提出了一种基于数字水印技术的网络攻击认证方法,选择CRC16作为水印添加到原始数据中,结合仿真模型的性能分析方法。实践证明,该方法能够实时检测出虚假数据,为信息安全提供了一种新的选择。同时,通过仿真详细分析了数字水印的性能,进一步论证了基于水印的实时数据保护方法的可行性和优越性。通过简单的仿真模型得到电流和电压波形,电流和电压波形与嵌入的水印基本一致。以距离保护的阻抗轨迹为例,发现数字水印的嵌入并不影响继电保护的正常工作。该方法为电力信息网络的安全保护提供了一种新的思路,特别是为数字化、智能化电力系统的安全保护提供了一种新的思路。
参考文献:
[1]陈亮.数字水印技术在电力文档安全传输中的研究[J].科技视界,2018(36):125-126.
[2]张晓琪,胡振,唐天国,张佳丽.一种复合加密的小波变换图像数字水印技术研究[J].电子技术与软件工程,2018(05):66-68.
[3]徐江峰,张守强.基于QR码的DWT-DCT数字水印算法[J].计算机应用研究,2018,35(05):1540-1544.
[4]杨志东,鲁敬,王科清,刘淑丽,郭翼翔.数字水印技术在电力信息安全保障中的应用[J].信息技术,2016(12):172-175.
[5]郭永.数字水印技术在电力文档安全传输中的研究[J].信息技术,2016(10):121-123+127.
[6]戴静,张立中,费冬妹.数字水印技术及其在电力系统中的应用[J].现代商贸工业,2016,37(22):178.
[7]邢晓溪,梁红强,张卫民,崔建新.文本数字水印技术在电力物资供应链信息安全中的应用研究[J].数据通信,2014(06):18-21.
[8]陈青,连攀攀.数字水印在电力系统数据保护方面的应用[J].数据通信,2014(04):26-28.
[9]陈青,邢晓溪.一种可用于电力系统隐蔽通信的数字水印方法[J].电力科学与工程,2014,30(02):12-15.