《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 智能配電網(wǎng)光通信中一種自主知識(shí)產(chǎn)權(quán)的加密芯片的研究
智能配電網(wǎng)光通信中一種自主知識(shí)產(chǎn)權(quán)的加密芯片的研究
2018智能電網(wǎng)增刊
黨三磊,張 捷,李 健,劉 健,張思建
廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院,廣東 廣州510080
摘要: 目前的電力配網(wǎng)對(duì)通信信息的安全性、實(shí)時(shí)性和穩(wěn)定性提出了很高的要求,這其中信息的安全性是現(xiàn)代電力配網(wǎng)通信的關(guān)鍵。本文主要討論電力配網(wǎng)光通信中在采用PON網(wǎng)絡(luò)時(shí)的信息安全性,以及高級(jí)加密標(biāo)準(zhǔn)(AES)算法在資源較少、主頻較低情況下的硬件實(shí)現(xiàn),并聚焦于PON通信自主知識(shí)產(chǎn)權(quán)的加密芯片研究。根據(jù)AES算法的結(jié)構(gòu)特點(diǎn)和硬件實(shí)現(xiàn)的具體原理,提出了一種AES算法的硬件實(shí)現(xiàn)方法。該方法可用FPGA和ASIC芯片實(shí)現(xiàn),有利于實(shí)現(xiàn)加密芯片的國(guó)產(chǎn)化,推動(dòng)配電網(wǎng)通信業(yè)務(wù)的發(fā)展。
關(guān)鍵詞: 流水線 AES 加密 PON OLT
中圖分類號(hào): TN915.05
文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.021
Abstract:
Key words :

0  引言

    智能電網(wǎng)通過(guò)使用面向未來(lái)的技術(shù)、設(shè)備、方法,整合系統(tǒng)技術(shù)的應(yīng)用,從而實(shí)現(xiàn)電網(wǎng)的安全、可靠、環(huán)境友好的目標(biāo)。未來(lái)電網(wǎng)的建設(shè)方向毫無(wú)疑問(wèn)是智能電網(wǎng),而智能電網(wǎng)是以高壓、特高壓電網(wǎng)為骨干,各級(jí)電網(wǎng)協(xié)調(diào)發(fā)展的新型電網(wǎng)。在智能電網(wǎng)的建設(shè)中,建設(shè)高效率、實(shí)時(shí)性強(qiáng)、多種應(yīng)用集成的通信系統(tǒng)是實(shí)現(xiàn)智能電網(wǎng)的基礎(chǔ)。智能電網(wǎng)在獲取實(shí)時(shí)測(cè)試數(shù)據(jù)、電量、保護(hù)等數(shù)據(jù)上都需要通信系統(tǒng)的支持,因此,建立先進(jìn)的電力通信系統(tǒng)是走向智能電網(wǎng)的第一步。

    目前應(yīng)用于電網(wǎng)的通信方式主要有光纖通信、電力線載波、電話專線、CATV通道、無(wú)線擴(kuò)頻、無(wú)線通信系統(tǒng)、微波通信、專線RS-485、數(shù)傳電臺(tái)、北斗等,這些各不相同的通信方式應(yīng)用于不同的電力業(yè)務(wù)場(chǎng)景,最主要的應(yīng)用場(chǎng)景有:特高壓輸電線路、遠(yuǎn)程電力調(diào)度、配電終端FTU/TTU的通信、負(fù)荷控制、低壓用戶遠(yuǎn)程抄表等。

    隨著智能電網(wǎng)建設(shè)的深入,現(xiàn)代社會(huì)對(duì)供電可靠性和電能質(zhì)量提出了更高的要求,這其中智能配電網(wǎng)的地位尤其突出。在智能配電網(wǎng)中,由于其延伸至各個(gè)用電區(qū)域,可以說(shuō)是電網(wǎng)中的接入網(wǎng)。在這種情況下,信息安全至關(guān)重要,而數(shù)據(jù)加密是信息安全的重要手段。

    由于配電網(wǎng)在整個(gè)電網(wǎng)中的位置和作用,在智能配電網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)非?;祀s,這主要包括:

    (1)下行數(shù)據(jù)

    下行數(shù)據(jù)相對(duì)比較少,但是非常重要,主要是遙控、遙調(diào)、遙信、遙脈(四遙)和保護(hù)裝置及其他自動(dòng)裝置的整定值信息等。這類數(shù)據(jù)與設(shè)備狀態(tài)息息相關(guān),尤其是遙控信息,將能夠直接影響到電網(wǎng)的安全運(yùn)行。因此對(duì)于這些數(shù)據(jù)的傳送,在安全性和實(shí)時(shí)性兩個(gè)方面的要求都很高。

    (2)上行數(shù)據(jù)

    上行數(shù)據(jù)量很大,主要是遙信、重要遙測(cè)、事件順序記錄、SOE信息等。這些數(shù)據(jù)可以幫助上層做出判斷,并可能觸發(fā)告警和故障信息平臺(tái)。

    這類數(shù)據(jù)是配電網(wǎng)穩(wěn)定運(yùn)行的判據(jù),也是調(diào)度決策的依據(jù),其高安全性和實(shí)時(shí)性是系統(tǒng)運(yùn)行非常重要的指標(biāo)。

    結(jié)合各種通信方式自身的優(yōu)缺點(diǎn)以及網(wǎng)絡(luò)建設(shè)成本,各終端通信接入方式可在光纖接入(PON)、電力線載波(中壓PLC)和無(wú)線公網(wǎng)(WiFi、3G/4G)等三種方式中選擇。伴隨著智能配電網(wǎng)的深入發(fā)展,PON系統(tǒng)由于其實(shí)時(shí)性得到了越來(lái)越廣泛的應(yīng)用。本文著重于配電網(wǎng)采用PON系統(tǒng)通信時(shí)的加密研究。

1  配電網(wǎng)PON通信介紹

    PON系統(tǒng)是點(diǎn)到多點(diǎn)結(jié)構(gòu),而配電網(wǎng)是串行結(jié)構(gòu),PON本身的物理網(wǎng)絡(luò)結(jié)構(gòu)并不適用于配電網(wǎng)通信,需要引入新的技術(shù)進(jìn)行適當(dāng)?shù)男薷?。在配電網(wǎng)中使用的光分路器是不等比光分,從而實(shí)現(xiàn)光分路器的串聯(lián),進(jìn)而適應(yīng)配電網(wǎng)的網(wǎng)絡(luò)架構(gòu)。

    PON網(wǎng)絡(luò)在配電網(wǎng)中的使用方式如圖1所示。實(shí)際使用中還有多種方式,但是大同小異。鑒于篇幅的原因,本處不進(jìn)行PON網(wǎng)絡(luò)用于配電網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)方面的深入探討,重點(diǎn)關(guān)注應(yīng)用后的信息安全問(wèn)題。

dsl-t1.gif

    在PON網(wǎng)絡(luò)中,由于網(wǎng)絡(luò)結(jié)構(gòu)是點(diǎn)到多點(diǎn)的,其下行信元的傳輸是廣播式的,所有用戶都可以在物理上收到OLT發(fā)向其他用戶的下行信息,那么惡意用戶就有可能在某個(gè)下路點(diǎn)偵聽到所有終端的下行幀信息,進(jìn)而進(jìn)行破壞。前文已經(jīng)說(shuō)明,下行信息雖然比較少,但是非常重要。其中很多都是非常關(guān)鍵的信息,比如遙控信息。

    在G.983.1標(biāo)準(zhǔn)中,PON網(wǎng)絡(luò)的安全是依靠如下機(jī)制實(shí)現(xiàn)的:在上行幀,完全以明文進(jìn)行傳輸。在下行幀,每個(gè)ONT提供3 B長(zhǎng)密鑰,由OLT使用該密鑰對(duì)下行信元進(jìn)行擾碼處理。從密碼學(xué)研究來(lái)看,擾碼方式所能實(shí)現(xiàn)的安全級(jí)別很低,而且如此短長(zhǎng)度的密鑰在現(xiàn)代計(jì)算機(jī)技術(shù)快速發(fā)展的情況下極易被破解。因此,PON系統(tǒng)在用于配電網(wǎng)場(chǎng)景時(shí),需要引入新的方法,完善其整體的加密安全機(jī)制。

2  AES介紹

    AES算法是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所NIST的新一代私鑰加密標(biāo)準(zhǔn)。作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn),其匯聚了強(qiáng)安全性、高性能、高效率、易用和靈活等優(yōu)點(diǎn)。該加密算法已經(jīng)被認(rèn)定成為美國(guó)政府信息安全加密的主要手段。

    算法具體的加密流程如圖2。

dsl-t2.gif

    在AES加密標(biāo)準(zhǔn)中,采用的是分組密碼,分組密碼也就是把需要加密的明文分成一組一組等長(zhǎng)度的數(shù)據(jù)。標(biāo)準(zhǔn)規(guī)定的分組的明文長(zhǎng)度可以是128、192或256 bit。對(duì)應(yīng)的密鑰的長(zhǎng)度可以使用128、192或256 bit。根據(jù)密鑰長(zhǎng)度的不同,推薦使用的加密輪次有10輪、12輪和14輪。當(dāng)加密運(yùn)算開始后,算法每次對(duì)一組數(shù)據(jù)進(jìn)行加密,逐組順序加密,直到加密完全部的明文。本文的討論和測(cè)試數(shù)據(jù)均基于128 bit的分組,密鑰也是同樣的長(zhǎng)度,加密輪次本文選定的為10輪。其他情況可以據(jù)此類推。

2.1  AES算法流程

    AES算法主要的加解密操作有字節(jié)替換、行變換、列變換、輪密鑰加4個(gè)基本操作。其基本流程如圖3所示。

dsl-t3.gif

    下邊對(duì)相應(yīng)的操作逐個(gè)進(jìn)行詳細(xì)說(shuō)明。

2.1.1  字節(jié)替換

    AES算法的核心是字節(jié)代換,這也是該算法效率高的根源,這其實(shí)就是一個(gè)簡(jiǎn)單的查表操作。基于這個(gè)原理,該算法定義了一個(gè)S盒(圖4)和一個(gè)逆S盒(圖5)。

dsl-t4.gif

dsl-t5.gif

    在AES算法中,狀態(tài)矩陣中的元素按照下面的方式映射為一個(gè)新的字節(jié):將該元素的字節(jié)的高4位作為行值,低4位作為列值,據(jù)此取出S盒或者逆S盒中對(duì)應(yīng)的行的元素作為輸出。根據(jù)圖3的顯示,在加密時(shí),如果輸出的字節(jié)S1為0x6f,則查S盒的第0x06行和0x0f列,得到值0xa8,然后替換S1原有的0x6f為0xc9。

    逆字節(jié)代換也就是查逆S盒來(lái)變換。逆字節(jié)代換與字節(jié)代換剛好相反,此處不再贅述。

2.1.2  行變換

    算法中的行移位是一個(gè)簡(jiǎn)單的左循環(huán)移位操作。在密鑰長(zhǎng)度為128 bit時(shí),狀態(tài)矩陣的第0行左移0 B,第1行左移1 B,第2行左移2 B,第3行左移3 B。

    行移位的逆變換就是將狀態(tài)矩陣中的每一行執(zhí)行相反的移位操作,也就是簡(jiǎn)單的右循環(huán)移位操作。例如AES-128中,狀態(tài)矩陣的第0行右移0 B,第1行右移1 B,第2行右移2 B,第3行右移3 B。

2.1.3  列變換

    列混合變換的操作的實(shí)質(zhì)是矩陣相乘,經(jīng)過(guò)行移位之后的狀態(tài)矩陣與固定的矩陣相乘,得到混淆后的狀態(tài)矩陣,如圖6的公式所示。

dsl-t6.gif

    逆向列混合變換可由圖7的矩陣乘法定義。

dsl-t7.gif

2.1.4  輪密鑰加

    輪密鑰加的操作,是算法首次進(jìn)行帶入密鑰的操作。其核心思想是將128 bit的輪密鑰Ki同狀態(tài)矩陣中的數(shù)據(jù)進(jìn)行逐位異或操作,然后將結(jié)果代入。其中,密鑰Ki中每個(gè)W[4i],W[4i+1],W[4i+2],W[4i+3]為32位比特字,長(zhǎng)度為4 B,與需要操作的數(shù)據(jù)相對(duì)應(yīng)。輪密鑰加過(guò)程實(shí)際上是字逐位進(jìn)行異或的結(jié)果,也可以看成是字節(jié)級(jí)別或者是位級(jí)別的操作。

    在算法中,這個(gè)階段的操作有一個(gè)特點(diǎn),就是輪密鑰加操作的逆運(yùn)算操作同正向的輪密鑰加運(yùn)算是完全一致的,這是因?yàn)楫惢虿僮鞯哪娌僮骶褪瞧渥陨怼?/p>

2.2  AES算法優(yōu)化

    本文所研究的加密算法實(shí)現(xiàn)方案聚焦于將算法流程進(jìn)行資源并行的優(yōu)化,從而提高效率,并盡量避免資源消耗。

    核心是將現(xiàn)有的算法流程采用流水線進(jìn)行優(yōu)化設(shè)計(jì),將操作盡可能地細(xì)化,細(xì)分到一個(gè)時(shí)鐘周期,并且盡可能減少并行的操作,這樣做的好處是不需要增加多少資源就可以實(shí)現(xiàn)效率的大幅提升。

    將整個(gè)流程按照時(shí)鐘周期逐個(gè)進(jìn)行時(shí)鐘周期分段,把整個(gè)加密操作劃分為5個(gè)分段,每個(gè)分段剛好占用一個(gè)時(shí)鐘周期,具體分段如圖8所示。

dsl-t8.gif

    在時(shí)鐘周期之間進(jìn)行操作并行,根據(jù)上面的分析,對(duì)整個(gè)硬件實(shí)現(xiàn)采取5級(jí)流水線設(shè)計(jì),當(dāng)?shù)?組數(shù)據(jù)開始進(jìn)行時(shí),第2組數(shù)據(jù)開始輸入,以此類推,這樣數(shù)據(jù)通路中最多有5組要加密的數(shù)據(jù)在同時(shí)進(jìn)行處理,1~N代表N組需要加密的128 bit數(shù)據(jù)。

3  FPGA硬件實(shí)現(xiàn)和實(shí)驗(yàn)

    對(duì)本文中的優(yōu)化算法設(shè)計(jì),使用Verilog HDL語(yǔ)言進(jìn)行了算法描述,并采用 Mentor Graphics公司的Modelsim軟件進(jìn)行算法運(yùn)算仿真。

    經(jīng)過(guò)一段時(shí)間的編寫和測(cè)試,優(yōu)化后的算法可以正確地完成大批量數(shù)據(jù)的加密和解密過(guò)程,運(yùn)行穩(wěn)定。

    實(shí)驗(yàn)使用Altera公司的Quartus工具在10AX115U4的工藝庫(kù)上進(jìn)行硬件邏輯單元綜合,顯示其關(guān)鍵路徑延時(shí)為3.078 ns,算法共計(jì)使用了1 127個(gè)邏輯單元,在10 MHz的低頻率下,算法加、解密的速率可以達(dá)到600 Mbit/s以上。

    實(shí)驗(yàn)結(jié)果通過(guò)與以往研究結(jié)果的對(duì)比(如表1所示),可以看出本文的方法使用硬件邏輯單元更少,主頻更低,加解密的效率卻達(dá)到了相當(dāng)好的吞吐率,方法非常適宜于形成獨(dú)立自主知識(shí)產(chǎn)權(quán)的AES加密芯片,應(yīng)用于電力系統(tǒng)的PON通信中。

dsl-b1.gif

4  ASIC實(shí)現(xiàn)

    與FPGA實(shí)現(xiàn)相比,ASIC實(shí)現(xiàn)具有完整的定制功能,降低器件成本,更小巧的尺寸,可以實(shí)現(xiàn)批量生產(chǎn)。

    本文已完成AES算法在電力配網(wǎng)PON通信中的FPGA具體實(shí)現(xiàn),仿真結(jié)果顯示占用資料少、效率高,適用于形成自主知識(shí)產(chǎn)權(quán)的加密芯片。接下來(lái)主要是運(yùn)用Synopsys綜合工具將芯片設(shè)計(jì)轉(zhuǎn)為面向ASIC專用集成電路的設(shè)計(jì),并且在廠商工藝庫(kù)的支持下,遵循ASIC設(shè)計(jì)流程來(lái)進(jìn)行代碼的模擬仿真、綜合和優(yōu)化,從而實(shí)現(xiàn)FPGA到ASIC的轉(zhuǎn)換。

5  結(jié)束語(yǔ)

    伴隨著我國(guó)經(jīng)濟(jì)和社會(huì)的高速發(fā)展,我國(guó)的電力通信主干網(wǎng)絡(luò)己完全實(shí)現(xiàn)傳輸介質(zhì)的光纖化、業(yè)務(wù)承載的網(wǎng)絡(luò)化、運(yùn)行監(jiān)控和管理的自動(dòng)化和信息化。然而,作為電力數(shù)據(jù)傳輸接入層網(wǎng)絡(luò)的配電通信網(wǎng),因缺乏相應(yīng)的加密芯片等原因,智能電網(wǎng)的可靠性和信息安全成為電力發(fā)展的瓶頸,制約了智能配電系統(tǒng)業(yè)務(wù)的發(fā)展與應(yīng)用。

    下一步,就是繼續(xù)完善設(shè)計(jì),加速該方法的實(shí)用化,盡快將方法應(yīng)用于電力配網(wǎng)PON通信中。

參考文獻(xiàn)

[1] U S DoC / NIST--2001, Advanced Encryption Standard(AES)[S].

[2] GAJ K, CHODOWIEC P.Comparison of the hardware performance of the AES candidates using reconfigurable hardware[A]. The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000: 40-54.

[3] SKLAVOS N, KOUFOPAVLOU O.Architectures and VLSI implementations of the AES--proposal rijndae1 [J]. IEEE Trans. on Computers, 2002, 51(12):1454-1459.

[4] ELBIRT A J, Yip W, CHETWYND B,et al. An FPGA based performance evaluation of the AES block cipher candidate algorithm finalists[A].The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000:13-27.

[5] 張濤,李玲. 千兆比無(wú)源光網(wǎng)絡(luò)的加密安全技術(shù)及實(shí)現(xiàn)[J]. 無(wú)線電通信技術(shù),2005(1):36-39.

[6] 李霞,黃元波. 一種新的AES算法的FPGA實(shí)現(xiàn)方法研究 [J].光通信研究,2008(4):23-24.

[7] GAJ K, CHODOWIEC P.Comparison of the hardware performance of the AES candidates using reconfigurable hardware [A]. The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000:40-54.

[8] ELBIRT A J, YIP W, CHETWYND B,et al. An FPGA based performance evaluation of the AES block cipher candidate algorithm finalists[A].The Third Advanced Encryption Standard(AES) Candidate Conference[C].New York, USA:NIST, 2000: 13-27.



作者信息:

黨三磊,張  捷,李  健,劉  健,張思建

(廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院,廣東 廣州510080)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。