惠建平 张少兵
中国电子科技集团公司第34研究所,广西 桂林541004
摘要:微型纵向加密认证装置,是解决电力调度系统业务数据的机密性及完整性问题的安全装置,采用认证、加密、访问控制等手段实现数据的安全传输以及纵向界的安全防护,能够为解决新能源场站就地防护的安全问题提供有力的保证。
关键字:微纵密,新能源、策略、报文
引言
随着国家经济实力不断的增强,公民用电量持续上升。建立一套具有高可靠性、高冗余性,能够抵御病毒、黑客等各种恶意破坏和攻击的安全电力调度数据网络是保障国家经济建设最为基础和重要的措施。为了加强电站二次系统安全防护,确保电力监控系统及电力调度数据网络的安全,电力新能源场站须加强户外就地采集终端的物理防护,强化就地采集终端的通信安全。站控系统与终端之间网络通信应部署加密认证装置,实现身份认证、数据加密、访问控制等安全措施。终端连接的网络设备需采取IP/MAC地址绑定等措施,禁止外部设备的接入,防止单一风机或光伏发电单元的安全风险扩散到站控系统。
1组串方阵
1.1.组串方阵线路
某光伏电场包含3个组串方阵线路,共有23个箱变,组串线路如下。
Ⅰ线:A01、A02、A04、A05、A07 、A08、A09、A10;
Ⅱ线:A03、A11、A13、A15、A18、A19、A20;
Ⅲ线:A06、A12、A14、A16、A17、A21、A22、A23。
1.2.组串方阵系统分布图
某光伏电场组串方阵及箱变分布如图1所示。
.png)
图1组串方阵及箱变分布图
1.3. 选用设备及生产厂家
按照实际情况,规划主站加装1台千兆纵密,箱变加装23台10兆微纵密,设备配置如下。
.png)
2系统规划(以Ⅰ线组串方阵8#箱变为例)
2.1加装微纵密系统后,系统分布图如下图。
.png)
图2 加装微纵密系统分布图
2.2 业务名称及IP地址
.png)
2.3 IP地址规划及分配
根据光伏业务IP地址,23个箱变监控装置IP地址192.168.1.1~23,规划核心千兆纵密IP地址为192.168.5.200,对应箱变微纵密IP地址按顺序为192.168.5.1~192.168.5.23。
3业务隧道及策略规划(以Ⅰ线组串方阵8#箱变为例)
3.1千兆纵密业务策略规划
.png)
4设备配置(以Ⅰ线组串方阵8#箱变微纵密为例)
4.1千兆纵密配置
(1)装置参数配置,封装IP,192.168.5.200
(2)网络地址配置:网桥192.168.5.200,掩码:255.255.255.0
(3)路由配置,子网路由:网桥1,目的地址:192.168.5.0,掩码:255.255.255.0,网关:192.168.5.200
(4)VPN隧道配置,千兆纵密VPN隧道源地址为192.168.5.200,目的地址为192.168.5.8,通讯模式为加密。
(5)VPN安全策略配置
.png)
4.2箱变微纵密配置
(1)装置参数配置,封装IP:192.168.5.8
(2)网络地址配置,网桥1:192.168.5.8,掩码:255.255.255.0
(3)路由配置,接口路由,网桥1,目的地址:192.168.5.0,掩码:255.255.255.0,网关:0.0.0.0
(4)VPN隧道配置,微纵密VPN隧道源地址为192.168.5.8,目的地址为192.168.5.200,通讯模式为加密。
(5)VPN安全策略配置
.png)
5安全测试
Ⅰ线组串方阵8#微纵密设备安装调试完成后,连接箱变测控装置,在千兆纵密设备上,8#箱变微纵密对应隧道设置为加密通信,其他对应隧道设置为明文通信。终端侧访问主站,保证通信链路的连通,进行密通测试。在加密认证装置上抓取网络报文,报文加密传输,如果8#微纵密是通过加密报文传输数据,则通过安全测试。
5.1 千兆纵密测试抓包
用串口线连接千兆纵密控制口,打开超级终端,输入tcpdump -i brg1 esp and host 192.168.5.8命令对8#隧道进行抓包测试,抓包结果显示,8#隧道是加密报文传输数据的。
.png)
图3千兆纵密加密测试抓包截图
5.2箱变10兆微纵密测试抓包
用串口线连接箱变10兆微纵密控制口,打开超级终端,输入tcpdump -i brg1 esp and host 192.168.5.8命令,对8#微纵密隧道进行抓包测试,抓包结果显示,8#微纵密隧道是加密报文传输数据的。
.png)
图4 箱变微纵密加密测试抓包截图
6结论
通过前期细致规划,所有纵密设备安装、调试完成后。经测试箱变测控装置,所有业务均以密文形式正常传送,达到设计要求,保证了新能源场站区环网的网络安全。
参考文献:
1电力系统专用纵向加密认证装置技术白皮书,卫士通信息产业股份有限公司,2017.01
2SJJ1632-B电力系统专用纵向加密认证装置,卫士通信息产业股份有限公司,2016
3UPnP基本原理以及在NAT中的应用,吴兆立,网络安全技术与应用,2014年11期
4虚拟专网(VPN)技术综述,刘婷,科技广场,2010.01