電力調度數據網作為電力系統(tǒng)的重要基礎設施，與電網調度和控制系統(tǒng)的安全運行緊密關聯(lián)。隨著計算機和網絡的普遍應用，電力系統(tǒng)對數據傳輸的安全需求也在不斷提高。通過對調度數據網中傳輸的數據采用加密算法，加密裝置利用私鑰進行裝置與證書管理中心之間的認證以及裝置之間的密鑰協(xié)商，保證了電力通信數據的私密性、完整性和不可否認性。

一、加密技術概述

數據加密技術作為網絡安全的一個重要組成部分，在網絡中扮演著非常重要的角色，它牽涉到數據的機密性、鑒別、不可抵賴和完整性。密鑰是數據加密技術的關鍵，它控制著加密和解密算法的實現(xiàn)。根據密鑰的不同，將加密技術分為對稱加密技術、非對稱加密技術、混合加密技術。

（一）對稱加密算法

對稱加密技術就是加密密鑰能夠從解密密鑰中推算出來，同時解密密鑰也可以從加密密鑰中推算出來，而在大多數的對稱算法中，加密密鑰和解密密鑰是相同的。比較著名的對稱算法有：美國的DES及其各種變形，比如Triple DES、GDES、NEW DES;歐秒H的Ⅱ)EA;日本的FEAL、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等，對稱密碼中影響最大的是DES加密算法。

對稱加密技術由于雙方擁有相同的密鑰，具有易于實現(xiàn)和速度快的優(yōu)點，所以廣泛應用于通信和存儲數據文件加密和解密。對稱加密技術的安全性依賴于密鑰，所以密鑰的保密性對通信安全至關重要。對稱加密流程如圖1所示。

（二）非對稱加密技術

這種技術也可以稱為公鑰加密技術，加密密鑰（公鑰）可以公開，即陌生人可以得到它并用來加密信息，但只有用相應的解密密鑰（私鑰）才能解密信息。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、Hellman、Rabin、橢圓曲線算法等等，最有影響的公鑰密碼算法是RSA，它能抵抗到日前為止已知的所有密碼攻擊。公鑰密碼的優(yōu)點是可以適應網絡的開放性要求，但速度比較慢，不太適合對文件進行加密。非對稱加密流程如圖2所示。

（三）混合加密技術

混合加密技術不是一種單一的加密技術，而是一個結合體，是上述兩種數據加密技術相互結合的產物。通信雙方的通信過程分為兩個部分，雙方先利用非對稱加密技術傳送本次通信所用的對稱密鑰，然后再用對稱加密技術加密傳送文件?；旌霞用芰鞒倘鐖D3所示。

（四）數字簽名

所謂”數字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名。數字簽名的概念由WhitfiedDiffie和MaitinHellman于1976年最先提出，目的是使簽名者對電子文件也可以進行簽名并且無法否認，驗證者無法篡改文件。數字簽名由簽名算法和驗證算法構成，數字簽名如圖4所示。

·簽名算法一一發(fā)送方使用自己的私鑰進行加密
·驗證算法一一接收方使用發(fā)送方的公鑰進行解密

（五）數字證書

數字證書證明證書持有者身份的電子介質，由證書頒發(fā)機構(CA)簽發(fā)，至少包含一個公開密鑰、證書持有人（或單位）的名稱以及證書授權中心對這些信息的數字簽名的文件。一個證書中，最重要的信息是個體名字、個體的公鑰、機構的簽名、算法和用途。證書的格式遵循ITUTX. 509 (v1.0、v2.0、v3.0)國際標準。數字證書的格式如圖5所示。

二、調度數據網的加密認證設計

（一）電力二次系統(tǒng)安全防護體系

國家電監(jiān)會2006年頒布了《電力二次系統(tǒng)安全防護總體方案》，要求電力二次系統(tǒng)安全防護工作應當堅持”安全分區(qū)、網絡專用、橫向隔離、縱向認證”的原則，保障電力監(jiān)控系統(tǒng)和電力調度數據網絡的安全。縱向加密認證是電力二次系統(tǒng)安全防護核心的縱向防線，其目的是通過采用認證、加密、訪問控制等技術措施實現(xiàn)數據的遠方安全傳輸以及縱向邊界的安全防護，保證數據傳輸的可靠性和實時性?？v向防護體系總體配置如圖6所示。

（二）縱向加密認證網關

電力調度數據網的縱向加密認證是通過專用的電力加密認證網關（裝置）來實現(xiàn)。電力專用加密認證網關部署在各級調度中心（國調、網調、省調、地調、縣調）及下屬調度的各廠站，根據電力調度上下級關系建立加密隧道。加密認證網關應實現(xiàn)電力系統(tǒng)專用的應用層通信協(xié)議(IEC-104，DLA76-92等)轉換功能，以便實現(xiàn)端到端的選擇性保護。其作用有以下兩個：

1、為生產控制大區(qū)提供網絡屏障，具有類似”包過濾防火墻”的功能；

2、為網關機之間的通信提供認證和加密功能，實現(xiàn)數據傳輸的機密性、完整性保護。

縱向加密認證網關拓撲圖如圖7如示。

其中省調I區(qū)采用雙機冗余技術，配置2臺加密認證網關，Ⅱ區(qū)配置單臺加密認證網關。地調節(jié)點的I、II區(qū)分別接入1臺加密認證網關。

（三）電力調度數字證書系統(tǒng)

電力調度數字證書系統(tǒng)是采用基于公鑰技術(P K I)的分布式數字證書系統(tǒng)，為電力監(jiān)控系統(tǒng)及電力調度數據網上的關鍵應用、關鍵用戶和關鍵設備提供數字證書服務，實現(xiàn)高強度的身份認證、安全的數據傳輸以及可靠的行為審計。

電力調度證書系統(tǒng)為縱向加密認證設備簽發(fā)相應的符合X.509證書規(guī)范的數字證書以實現(xiàn)身份認證和數據文件加密。加密認證網關的設備密鑰為非對稱密鑰，配置在裝置和裝置管理系統(tǒng)中，用于設備的認證與會話密鑰的協(xié)商。設備密鑰由網關產生，其私鑰保存在網關內，公鑰經電力調度數字證書系統(tǒng)(CA)簽名，以數字證書的方式發(fā)布。會話密鑰為對稱密鑰，用于裝置之間的通信數據文件加密，會話密鑰由設備在建立安全通道時動態(tài)協(xié)商產生，拆除通道時失效。對于一個運行CA的大型權威機構而言，簽發(fā)證書的工作不能僅僅由一個CA來完成它，可以建立一個CA層次結構，如圖8所示。

根CA具有一個自簽名的證書，根CA依次對它下面的CA進行簽名，層次結構中葉子節(jié)點上的CA用于對安全個體進行簽名。對于個體而言，它需要信任根CA，中間的CA可以不必關心（透明的）；同時它的證書是由底層的CA簽發(fā)的，沿著層次樹往上找，可以構成一條證書鏈，直到根證書?？v向加密裝置CA系統(tǒng)的部署拓撲圖如圖9所示。

·三峽電廠裝置證書由國調CA簽發(fā)。

·清江梯調裝置證書由華中網調CA簽發(fā)。

·姚孟電站裝置證書由河南省調CA簽發(fā)，二灘廠站裝置證書由四川省調CA簽發(fā)。

·華中網調裝置證書、河南省調裝置證書和四川省調裝置證書由華中網調CA簽發(fā)。

·網調CA的根證書由國調CA簽發(fā)，省調CA的根證書由網調簽發(fā)。

·網調裝置信任省調CA簽發(fā)的所有裝置，國調裝置信任網調CA簽發(fā)所有裝置。

因此河南姚孟電站裝置能與國調裝置互通。三峽裝置證書是國調CA簽發(fā)的，因此三峽裝置與姚孟電站裝置、華中網調裝置和四川、河南省調裝置互通。

（四）安全認證與密鑰協(xié)商

在電力應用數據進行安全傳輸前，必須完成加密認證系統(tǒng)雙方的身份認證與通信密鑰的協(xié)商。根據電力調度系統(tǒng)的管理特性與電力數字證書的應用，會話密鑰協(xié)商機制具有如下前提條件：加密認證網關之間安全通信所采用的加密算法、工作方式和通信協(xié)議等已經確定，無須協(xié)商；使用的數字證書由電力調度證書服務系統(tǒng)統(tǒng)一簽發(fā)，不考慮交叉認證；加密認證網關內已經預先配置了所有與之相連的裝置的設備證書，無須進行證書交換；證書的真實性與有效性通過裝置的本地手工管理手段保證。因此，在加密認證系統(tǒng)的設計中，采用如下簡化的安全認證協(xié)商機制，系統(tǒng)I為發(fā)起方，系統(tǒng)II為應答方，安全認證與密鑰協(xié)商過程如圖10所示。

i、節(jié)點I產生隨機數rl，用II的公鑰對rl進行加密，同時用自己的私鑰進行簽名，作A=Ecert2(r1)||EskeyI(H(r1))，將A發(fā)給通信節(jié)點Ⅱ；

ii、節(jié)點II收到A后，用自己的私鑰解密并驗證I的簽名；如果驗證簽名成功，產生隨機數r2，用I的公鑰對眨進行加密，同時用自己的私鑰進行簽名，作B= Ecertl (r2)||Es-key2(H(r2))，將B發(fā)給節(jié)點I；

iii、節(jié)點I對B用自己的私鑰進行解密并驗證II的簽名，如果驗證簽名成功，合成會話密鑰DK=r1(2)，并作哈希運算C=H(r1r2)發(fā)給通信節(jié)點n；

iv、節(jié)點II同樣對合成密鑰作哈希運算，作D=H (r1r2)，比較C與D是否相同，如果相同，則密鑰協(xié)商與認證完成，進入正常通信階段。

三、縱向加密認證在電力調度數據網中的應用

09年下半年，重慶市調完成了縱向加密裝置在全網的安裝調試，現(xiàn)已全部投入運行，涵蓋市調、地調(12個供電局及超高壓局所轄220KV、500KV變電站)及市調所轄電廠。縱向加密裝置采用衛(wèi)士通公司的SJW77網絡密碼機，市調部署4臺加密機，實時、非實時業(yè)務各2臺，分別采用雙機熱備方式（1臺部署在主鏈路上，1臺部署在備鏈路上）。實時加密機保護數據網中的EMS、WAMS業(yè)務，非實時加密機保護數據網中的TMR、HDS業(yè)務。各個地調及電廠部署2臺加密機，實時業(yè)務、非實業(yè)務各1臺。其網絡拓撲如圖11所示。

加密裝置使用對稱加密算法、非對稱算法、散列算法等加密算法。

·對稱加密算法采用國家密碼管理局批準使用的SSX06密碼芯片，分組長度為128位，密鑰長度為128位，主要用于保護設備之間的通信數據加密。它設計成專用的硬件加密卡，加密算法只能在卡中完成數據加解密操作。

·非對稱算法用于數字簽名和數字信封，采用標準RSA加密算法，密鑰長度為1024位。

·散列算法用于數據完整性驗證，采用目前廣泛應用的標準MD5加密算法。

·裝置使用的密鑰包括：設備密鑰、會話密鑰、通信密鑰。

·設備密鑰為非對稱密鑰，配置在裝置和裝置管理系統(tǒng)中，用于設備的認證與會話密鑰的協(xié)商。設備密鑰由裝置產生，其私鑰保存在裝置內，公鑰經調度數字證書服務系統(tǒng)簽名，以數字證書的方式發(fā)布。

·會話密鑰為對稱密鑰，用于裝置之間的通信數據文件加密，會話密鑰由設備在建立安全通道時動態(tài)協(xié)商產生，拆除通道時失效：安全通道一旦建立以后，會話密鑰主要有以下產生方式：

1)人工協(xié)商：由管理員通過管理界面提供的密鑰協(xié)商功能進行操作；

2）自動協(xié)商：密鑰協(xié)商程序根據設置的協(xié)商時間定時自動協(xié)商，缺省為24個小時，用戶可以通過管理界面修改；

3）開機協(xié)商：加密認證裝置在啟動時，初始化完所有的配置參數時自動啟動密鑰協(xié)商功能。

·通信密鑰為對稱密鑰，用于裝置管理系統(tǒng)與設備之間管理數據通信加密，通信密鑰一次一密，通過數字信封隨管理報文傳輸到每個與之連接的設備。

經過近半年的運行，該加密裝置工作穩(wěn)定，能較好地滿足調度數據網中各項傳輸業(yè)務的加密要求。

admin

收藏 海報分享