摘要:本文研究了一种适用于公网通信的电力自动化终端信息交换数据加密设计,以保证电流电压、开关位置、设备状态、控制命令等数据采集及监控信息在公网传输中的安全可靠,进而保证电力系统的安全稳定运行。
关键词:公网通信;电力自动化;终端信息;交换数据加密设计
为了保证公网通信中电力自动化终端信息交换数据加密的健壮性,有必要对现有电网的公开协议及规约信号帧结构进行梳理研究,并采用软件加密及硬件芯片加密相结合的方法进行加密。本文对适用于公网通信的电力自动化终端信息交换数据加密设计进行了探讨。
一、现有加密方法
数据加密技术是指在加密钥匙和加密功能转换后,将信息转换成无意义的密文,而接收者通过解密函数和解密钥匙将此密文还原为明文。加密技术是网络安全技术的基石。目前加密技术的研究,主要是基于计算机系统中以某种编码方式存储的数字信息的加密解密方法。传统的加密技术主要是文字书信,书信内容基于某个字母表,如标准英文字母表等。该种加密方法主要用于对文字信息进行加密和解密。文字由字母表中的字母组成,按字母排列顺序进行特殊编码,把字母按排列顺序用数字表示出来,然后将这些数字按一定的数学运算方式排列,使字母的加减运算形成相应的代数码。
现代密码加密技术是在计算机科学及数学的基础上发展起来的,可应用于计算机系统中的所有数据。由于二进制数据在计算机系统中的广泛应用,致使二进制数据的加密方法在计算机安全中有着广泛的应用,也是现代密码学研究的主要对象。该密码加密技术可简单分为对称式加密及非对称式加密。对称式密码加密也称为单钥密码加密,是指信息的发送者及接收者在传输及处理信息时必须持有相同的密码。非对称加密是指加密密钥和解密密钥为两个不同的钥匙,一个用于加密信息,另一个用于解密信息,通信双方不需事先交换密钥就可进行保密通信。
二、电力自动化终端信息交换数据加密关键技术
1、隧道加密技术。隧道加密技术是指利用一种网络协议来传输另一个网络协议,主要利用网络隧道协议来实现这一功能。网络隧道技术涉及三种网络协议,即网络隧道协议、隧道协议下的承载协议、隧道协议承载的被承载协议。隧道协议通常用于建立VPN(虚拟专用),可防止恶意入侵者通过加密的隧道访问或攻击内网主机,有效实现了加密隧道的安全防护功能,防止了重放攻击。同时,隧道技术可在逻辑上实现网络隔离,它可使用对公共网络的廉价访问来传输私有数据,与传统的专线联网相比,它具有更多的成本优势,因此被许多企业和电信运营商采用。常用的隧道技术有PPPoE、GRE、PPTP、L2TP、MPLS和IPSec等。隧道协议分为两层隧道协议及三层隧道协议。常用的两层隧道协议有PPTP与L2TP,常用的三层隧道协议有GRE及IPSec。IPSec在IP层中建立一个安全隧道,连接两个异地的私有网络,或使公网上的计算机或设备能远程访问企业的私有网络。IPSec是一种提供网络层安全的标准安全技术,其提供的安全特性包括:
1)私密性:数据私密性是对数据进行加密,即使第三方获得加密数据,也不能将其还原为明文。
2)完整性:完整性保证在传输过程中不被第三方篡改。
3)源认证:认证数据包源,确保是合法源发送数据包。
4)反重放:接收方可检测并拒绝接收过时或重复的报文。
IPSec是IETF为保证互联网上传输数据的安全性和保密性而开发的框架协议,包括两个协议:报文验证头协议、报文安全封装协议。
IPSec支持隧道模式与传输模式两种工作方式。
2、数字签名技术。数字签名是在非对称加密技术的基础上发展起来的,它在网络安全的身份认证、数据完整性、不可否认性和匿名性等方面有着重要的应用。它的提出是为了对电子文档进行签名,以替代传统纸质文档上的手写签名,因此必须具备五个特性:1)签名可信;2)签名不可伪造;3)签名不可重用;4)签名文件不可更改;5)签名不可抵赖。
数字签名结合了加密散列函数及非对称加密算法。发送方处理数字签名的过程为:1)发送方通过加密散列函数处理要发送的消息并生成消息摘要;2)发送方使用其私钥加密消息摘要,加密的消息摘要附加到要传输的消息后,并发送给接收方。消息接收方处理数字签名的过程为:首先,接收方用发送方的公钥对收到的加密消息摘要进行解密,以获到发送方的消息摘要;其次,接收方通过加密散列函数对接收到的消息(不包括消息摘要)进行处理,生成本地消息摘要;最后,接收方比较两个消息摘要,若消息摘要相同,则接收方可确定消息的来源和完整性。
终端控制单元通过加密散列函数处理要发送的信息并生成消息摘要;终端控制单元用其私钥对消息摘要进行加密,加密后的消息摘要附加到要发送的消息后,再发送到管控集中器。管控集中器用终端管控单元的公钥对接收到的加密消息摘要进行解密,获得终端管控单元的消息摘要;之后管控集中器通过加密散列函数对接收到的消息(不包括消息摘要)进行处理,生成本地消息摘要;最后,管控集中器比较两个消息摘要,若消息摘要相同,则管控集中器可确定消息的来源和完整性。本文采用数字签名技术,保证了终端管控单元与管控集中器间数据传输的完整性。同时,根据加密散列函数和非对称加密的原理,若消息签名验证通过,终端管控单元也不能对数字签名进行抵赖。本文提出的数字签名技术采用基于非对称加密技术(RSA或ECC)的数字签名算法。
3、分区和隔离。电力监控系统安全防护的总体原则最基本的要求是安全分区。本文涉及多种网络元素,需要根据电力监控系统安全的要求,将其部署到恰当的分区中,分区间应采取适当的“横向隔离”措施,包括防火墙及物理隔离装置。
电力自动化系统的相关业务模块分别位于生产控制区及管理信息区。实时控制系统、具有实时控制功能的业务模块和未来具有实时控制功能的业务系统应置于生产控制区域。若故障指示器接入管理信息区的其他系统,则不能同时接入生产控制区的配电自动化系统,禁止跨区域互联,且不可遥控。在生产控制区和管理信息区间,必须设置专用的横向单向电力安全隔离装置,而且要经国家指定部门检测合格。采用防火墙实现生产控制区内部的安全区(控制区和非控制区)间的逻辑隔离,当系统间的隔离强度超过逻辑隔离要求时,可采用专用的横向单向电力安全隔离装置代替防火墙。
三、电力自动化终端信息交换数据加密技术在配电自动化中的应用
配电自动化终端布置在控制区(安全区I),控制区(安全区I)与生成管理区(安全区Ⅲ)间的安全隔离由正反向隔离装置进行,管控集中器部署在安全接入区与公用通信网或无线专网通信网间(管控集中器是本次项目研究的设备,它不仅具有加密认证功能,还可监控终端部署、网络通信和网络安全,还承担纵向加密证书与密钥的管理功能,同时对终端控制单元传输的加密数据包进行解密,以实现访问控制、安全隔离等功能)。本部署方案完全符合《南方电网电力监控系统网络安全三年规划》和《南方电网配电自动化系统安全防护技术规范》要求。
在适用于公网通信的电力自动化终端信息交换的数据加密设计过程中,终端管控单元内嵌终端安全防护模块(含加密芯片)支持数据加解密,并与管控集中器建立VPN隧道,进行通信服务控制管理、双向加密认证、数据加密保护、终端证书管理等功能,可实现终端与主站间的数据交换,满足国家电网自动化系统标准通信协议和信息安全防护要求的电力终端通信单元。管控集中器内嵌加密认证网关(含加密芯片)和终端管控单元建立VPN隧道,对来自终端管控单元的数据进行解密,并与终端进行双向身份鉴别,从而保证报文的机密性、完整性及抗抵赖性。
参考文献:
[1]李站.适用于公用网络通信的电力自动化终端信息交换协议及接入管控技术研究[J].计算机光盘软件与应用,2015(22).
[2]孙暄.适用于公用网络通信的电力自动化终端信息交换数据加密设计[J].电子世界,2020(04).