《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 智能配電網(wǎng)光通信中一種自主知識產(chǎn)權(quán)的加密芯片的研究
智能配電網(wǎng)光通信中一種自主知識產(chǎn)權(quán)的加密芯片的研究
2018智能電網(wǎng)增刊
黨三磊,張 捷,李 健,劉 健,張思建
廣東電網(wǎng)有限責任公司電力科學研究院,廣東 廣州510080
摘要: 目前的電力配網(wǎng)對通信信息的安全性、實時性和穩(wěn)定性提出了很高的要求,這其中信息的安全性是現(xiàn)代電力配網(wǎng)通信的關(guān)鍵。本文主要討論電力配網(wǎng)光通信中在采用PON網(wǎng)絡時的信息安全性,以及高級加密標準(AES)算法在資源較少、主頻較低情況下的硬件實現(xiàn),并聚焦于PON通信自主知識產(chǎn)權(quán)的加密芯片研究。根據(jù)AES算法的結(jié)構(gòu)特點和硬件實現(xiàn)的具體原理,提出了一種AES算法的硬件實現(xiàn)方法。該方法可用FPGA和ASIC芯片實現(xiàn),有利于實現(xiàn)加密芯片的國產(chǎn)化,推動配電網(wǎng)通信業(yè)務的發(fā)展。
關(guān)鍵詞: 流水線 AES 加密 PON OLT
中圖分類號: TN915.05
文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.021
Abstract:
Key words :

0  引言

    智能電網(wǎng)通過使用面向未來的技術(shù)、設備、方法,整合系統(tǒng)技術(shù)的應用,從而實現(xiàn)電網(wǎng)的安全、可靠、環(huán)境友好的目標。未來電網(wǎng)的建設方向毫無疑問是智能電網(wǎng),而智能電網(wǎng)是以高壓、特高壓電網(wǎng)為骨干,各級電網(wǎng)協(xié)調(diào)發(fā)展的新型電網(wǎng)。在智能電網(wǎng)的建設中,建設高效率、實時性強、多種應用集成的通信系統(tǒng)是實現(xiàn)智能電網(wǎng)的基礎(chǔ)。智能電網(wǎng)在獲取實時測試數(shù)據(jù)、電量、保護等數(shù)據(jù)上都需要通信系統(tǒng)的支持,因此,建立先進的電力通信系統(tǒng)是走向智能電網(wǎng)的第一步。

    目前應用于電網(wǎng)的通信方式主要有光纖通信、電力線載波、電話專線、CATV通道、無線擴頻、無線通信系統(tǒng)、微波通信、專線RS-485、數(shù)傳電臺、北斗等,這些各不相同的通信方式應用于不同的電力業(yè)務場景,最主要的應用場景有:特高壓輸電線路、遠程電力調(diào)度、配電終端FTU/TTU的通信、負荷控制、低壓用戶遠程抄表等。

    隨著智能電網(wǎng)建設的深入,現(xiàn)代社會對供電可靠性和電能質(zhì)量提出了更高的要求,這其中智能配電網(wǎng)的地位尤其突出。在智能配電網(wǎng)中,由于其延伸至各個用電區(qū)域,可以說是電網(wǎng)中的接入網(wǎng)。在這種情況下,信息安全至關(guān)重要,而數(shù)據(jù)加密是信息安全的重要手段。

    由于配電網(wǎng)在整個電網(wǎng)中的位置和作用,在智能配電網(wǎng)數(shù)據(jù)網(wǎng)絡上傳輸?shù)臄?shù)據(jù)非?;祀s,這主要包括:

    (1)下行數(shù)據(jù)

    下行數(shù)據(jù)相對比較少,但是非常重要,主要是遙控、遙調(diào)、遙信、遙脈(四遙)和保護裝置及其他自動裝置的整定值信息等。這類數(shù)據(jù)與設備狀態(tài)息息相關(guān),尤其是遙控信息,將能夠直接影響到電網(wǎng)的安全運行。因此對于這些數(shù)據(jù)的傳送,在安全性和實時性兩個方面的要求都很高。

    (2)上行數(shù)據(jù)

    上行數(shù)據(jù)量很大,主要是遙信、重要遙測、事件順序記錄、SOE信息等。這些數(shù)據(jù)可以幫助上層做出判斷,并可能觸發(fā)告警和故障信息平臺。

    這類數(shù)據(jù)是配電網(wǎng)穩(wěn)定運行的判據(jù),也是調(diào)度決策的依據(jù),其高安全性和實時性是系統(tǒng)運行非常重要的指標。

    結(jié)合各種通信方式自身的優(yōu)缺點以及網(wǎng)絡建設成本,各終端通信接入方式可在光纖接入(PON)、電力線載波(中壓PLC)和無線公網(wǎng)(WiFi、3G/4G)等三種方式中選擇。伴隨著智能配電網(wǎng)的深入發(fā)展,PON系統(tǒng)由于其實時性得到了越來越廣泛的應用。本文著重于配電網(wǎng)采用PON系統(tǒng)通信時的加密研究。

1  配電網(wǎng)PON通信介紹

    PON系統(tǒng)是點到多點結(jié)構(gòu),而配電網(wǎng)是串行結(jié)構(gòu),PON本身的物理網(wǎng)絡結(jié)構(gòu)并不適用于配電網(wǎng)通信,需要引入新的技術(shù)進行適當?shù)男薷?。在配電網(wǎng)中使用的光分路器是不等比光分,從而實現(xiàn)光分路器的串聯(lián),進而適應配電網(wǎng)的網(wǎng)絡架構(gòu)。

    PON網(wǎng)絡在配電網(wǎng)中的使用方式如圖1所示。實際使用中還有多種方式,但是大同小異。鑒于篇幅的原因,本處不進行PON網(wǎng)絡用于配電網(wǎng)網(wǎng)絡結(jié)構(gòu)方面的深入探討,重點關(guān)注應用后的信息安全問題。

dsl-t1.gif

    在PON網(wǎng)絡中,由于網(wǎng)絡結(jié)構(gòu)是點到多點的,其下行信元的傳輸是廣播式的,所有用戶都可以在物理上收到OLT發(fā)向其他用戶的下行信息,那么惡意用戶就有可能在某個下路點偵聽到所有終端的下行幀信息,進而進行破壞。前文已經(jīng)說明,下行信息雖然比較少,但是非常重要。其中很多都是非常關(guān)鍵的信息,比如遙控信息。

    在G.983.1標準中,PON網(wǎng)絡的安全是依靠如下機制實現(xiàn)的:在上行幀,完全以明文進行傳輸。在下行幀,每個ONT提供3 B長密鑰,由OLT使用該密鑰對下行信元進行擾碼處理。從密碼學研究來看,擾碼方式所能實現(xiàn)的安全級別很低,而且如此短長度的密鑰在現(xiàn)代計算機技術(shù)快速發(fā)展的情況下極易被破解。因此,PON系統(tǒng)在用于配電網(wǎng)場景時,需要引入新的方法,完善其整體的加密安全機制。

2  AES介紹

    AES算法是美國國家標準技術(shù)研究所NIST的新一代私鑰加密標準。作為新一代的數(shù)據(jù)加密標準,其匯聚了強安全性、高性能、高效率、易用和靈活等優(yōu)點。該加密算法已經(jīng)被認定成為美國政府信息安全加密的主要手段。

    算法具體的加密流程如圖2。

dsl-t2.gif

    在AES加密標準中,采用的是分組密碼,分組密碼也就是把需要加密的明文分成一組一組等長度的數(shù)據(jù)。標準規(guī)定的分組的明文長度可以是128、192或256 bit。對應的密鑰的長度可以使用128、192或256 bit。根據(jù)密鑰長度的不同,推薦使用的加密輪次有10輪、12輪和14輪。當加密運算開始后,算法每次對一組數(shù)據(jù)進行加密,逐組順序加密,直到加密完全部的明文。本文的討論和測試數(shù)據(jù)均基于128 bit的分組,密鑰也是同樣的長度,加密輪次本文選定的為10輪。其他情況可以據(jù)此類推。

2.1  AES算法流程

    AES算法主要的加解密操作有字節(jié)替換、行變換、列變換、輪密鑰加4個基本操作。其基本流程如圖3所示。

dsl-t3.gif

    下邊對相應的操作逐個進行詳細說明。

2.1.1  字節(jié)替換

    AES算法的核心是字節(jié)代換,這也是該算法效率高的根源,這其實就是一個簡單的查表操作?;谶@個原理,該算法定義了一個S盒(圖4)和一個逆S盒(圖5)。

dsl-t4.gif

dsl-t5.gif

    在AES算法中,狀態(tài)矩陣中的元素按照下面的方式映射為一個新的字節(jié):將該元素的字節(jié)的高4位作為行值,低4位作為列值,據(jù)此取出S盒或者逆S盒中對應的行的元素作為輸出。根據(jù)圖3的顯示,在加密時,如果輸出的字節(jié)S1為0x6f,則查S盒的第0x06行和0x0f列,得到值0xa8,然后替換S1原有的0x6f為0xc9。

    逆字節(jié)代換也就是查逆S盒來變換。逆字節(jié)代換與字節(jié)代換剛好相反,此處不再贅述。

2.1.2  行變換

    算法中的行移位是一個簡單的左循環(huán)移位操作。在密鑰長度為128 bit時,狀態(tài)矩陣的第0行左移0 B,第1行左移1 B,第2行左移2 B,第3行左移3 B。

    行移位的逆變換就是將狀態(tài)矩陣中的每一行執(zhí)行相反的移位操作,也就是簡單的右循環(huán)移位操作。例如AES-128中,狀態(tài)矩陣的第0行右移0 B,第1行右移1 B,第2行右移2 B,第3行右移3 B。

2.1.3  列變換

    列混合變換的操作的實質(zhì)是矩陣相乘,經(jīng)過行移位之后的狀態(tài)矩陣與固定的矩陣相乘,得到混淆后的狀態(tài)矩陣,如圖6的公式所示。

dsl-t6.gif

    逆向列混合變換可由圖7的矩陣乘法定義。

dsl-t7.gif

2.1.4  輪密鑰加

    輪密鑰加的操作,是算法首次進行帶入密鑰的操作。其核心思想是將128 bit的輪密鑰Ki同狀態(tài)矩陣中的數(shù)據(jù)進行逐位異或操作,然后將結(jié)果代入。其中,密鑰Ki中每個W[4i],W[4i+1],W[4i+2],W[4i+3]為32位比特字,長度為4 B,與需要操作的數(shù)據(jù)相對應。輪密鑰加過程實際上是字逐位進行異或的結(jié)果,也可以看成是字節(jié)級別或者是位級別的操作。

    在算法中,這個階段的操作有一個特點,就是輪密鑰加操作的逆運算操作同正向的輪密鑰加運算是完全一致的,這是因為異或操作的逆操作就是其自身。

2.2  AES算法優(yōu)化

    本文所研究的加密算法實現(xiàn)方案聚焦于將算法流程進行資源并行的優(yōu)化,從而提高效率,并盡量避免資源消耗。

    核心是將現(xiàn)有的算法流程采用流水線進行優(yōu)化設計,將操作盡可能地細化,細分到一個時鐘周期,并且盡可能減少并行的操作,這樣做的好處是不需要增加多少資源就可以實現(xiàn)效率的大幅提升。

    將整個流程按照時鐘周期逐個進行時鐘周期分段,把整個加密操作劃分為5個分段,每個分段剛好占用一個時鐘周期,具體分段如圖8所示。

dsl-t8.gif

    在時鐘周期之間進行操作并行,根據(jù)上面的分析,對整個硬件實現(xiàn)采取5級流水線設計,當?shù)?組數(shù)據(jù)開始進行時,第2組數(shù)據(jù)開始輸入,以此類推,這樣數(shù)據(jù)通路中最多有5組要加密的數(shù)據(jù)在同時進行處理,1~N代表N組需要加密的128 bit數(shù)據(jù)。

3  FPGA硬件實現(xiàn)和實驗

    對本文中的優(yōu)化算法設計,使用Verilog HDL語言進行了算法描述,并采用 Mentor Graphics公司的Modelsim軟件進行算法運算仿真。

    經(jīng)過一段時間的編寫和測試,優(yōu)化后的算法可以正確地完成大批量數(shù)據(jù)的加密和解密過程,運行穩(wěn)定。

    實驗使用Altera公司的Quartus工具在10AX115U4的工藝庫上進行硬件邏輯單元綜合,顯示其關(guān)鍵路徑延時為3.078 ns,算法共計使用了1 127個邏輯單元,在10 MHz的低頻率下,算法加、解密的速率可以達到600 Mbit/s以上。

    實驗結(jié)果通過與以往研究結(jié)果的對比(如表1所示),可以看出本文的方法使用硬件邏輯單元更少,主頻更低,加解密的效率卻達到了相當好的吞吐率,方法非常適宜于形成獨立自主知識產(chǎn)權(quán)的AES加密芯片,應用于電力系統(tǒng)的PON通信中。

dsl-b1.gif

4  ASIC實現(xiàn)

    與FPGA實現(xiàn)相比,ASIC實現(xiàn)具有完整的定制功能,降低器件成本,更小巧的尺寸,可以實現(xiàn)批量生產(chǎn)。

    本文已完成AES算法在電力配網(wǎng)PON通信中的FPGA具體實現(xiàn),仿真結(jié)果顯示占用資料少、效率高,適用于形成自主知識產(chǎn)權(quán)的加密芯片。接下來主要是運用Synopsys綜合工具將芯片設計轉(zhuǎn)為面向ASIC專用集成電路的設計,并且在廠商工藝庫的支持下,遵循ASIC設計流程來進行代碼的模擬仿真、綜合和優(yōu)化,從而實現(xiàn)FPGA到ASIC的轉(zhuǎn)換。

5  結(jié)束語

    伴隨著我國經(jīng)濟和社會的高速發(fā)展,我國的電力通信主干網(wǎng)絡己完全實現(xiàn)傳輸介質(zhì)的光纖化、業(yè)務承載的網(wǎng)絡化、運行監(jiān)控和管理的自動化和信息化。然而,作為電力數(shù)據(jù)傳輸接入層網(wǎng)絡的配電通信網(wǎng),因缺乏相應的加密芯片等原因,智能電網(wǎng)的可靠性和信息安全成為電力發(fā)展的瓶頸,制約了智能配電系統(tǒng)業(yè)務的發(fā)展與應用。

    下一步,就是繼續(xù)完善設計,加速該方法的實用化,盡快將方法應用于電力配網(wǎng)PON通信中。

參考文獻

[1] U S DoC / NIST--2001, Advanced Encryption Standard(AES)[S].

[2] GAJ K, CHODOWIEC P.Comparison of the hardware performance of the AES candidates using reconfigurable hardware[A]. The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000: 40-54.

[3] SKLAVOS N, KOUFOPAVLOU O.Architectures and VLSI implementations of the AES--proposal rijndae1 [J]. IEEE Trans. on Computers, 2002, 51(12):1454-1459.

[4] ELBIRT A J, Yip W, CHETWYND B,et al. An FPGA based performance evaluation of the AES block cipher candidate algorithm finalists[A].The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000:13-27.

[5] 張濤,李玲. 千兆比無源光網(wǎng)絡的加密安全技術(shù)及實現(xiàn)[J]. 無線電通信技術(shù),2005(1):36-39.

[6] 李霞,黃元波. 一種新的AES算法的FPGA實現(xiàn)方法研究 [J].光通信研究,2008(4):23-24.

[7] GAJ K, CHODOWIEC P.Comparison of the hardware performance of the AES candidates using reconfigurable hardware [A]. The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000:40-54.

[8] ELBIRT A J, YIP W, CHETWYND B,et al. An FPGA based performance evaluation of the AES block cipher candidate algorithm finalists[A].The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000: 13-27.



作者信息:

黨三磊,張  捷,李  健,劉  健,張思建

(廣東電網(wǎng)有限責任公司電力科學研究院,廣東 廣州510080)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。