纵向加密认证网关在电力二次系统安全防护中的应用

摘要：电力系统安全防护工作坚持“安全防护、网络专用、横向管理、纵向认证”的原则，保证二次系统的安全运行。电力调度数据网在专用通道上使用独立的网络设备组网，在物理层面实现与其它数据网及外部公共信息网的安全隔离。

关键字：电力二次系统；加密技术；调度数据网；纵向加密认证网关

Abstract: The power system security and protection work adhere to the "safety, network management, dedicated, transverse longitudinal certification" principle, to ensure the safe operation of the two system. Network equipment of electric power dispatching data network using independent on special channel, in the realization of security isolation and other data networks and external public information network physical layer.

Key words: power two system; encryption technology; dispatching data network; vertical encryption authentication gateway

中图分类号：TU994文献标识码： 文章编号:

一、引言

密码是一门科学，有着悠久的历史。密码在古代就用于传递秘密信息。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展，密码技术的发展也非常迅速，应用领域不断发展。密码除了用于信息加密外，也用于数据信息签名和安全认证。密码技术是保护信息安全的主要手段，它通过对信息进行重新编码，在保证信息的完整性和正确性的同时，也保证信息的机密性，防止信息被篡改、伪造和泄露。加密是使信息在非授权的情况下不可解读的过程。加密依据是一中密码算法和至少有一种密钥，对于加密信息即使知道了算法，没有密钥，也无法解读信息。

电力调度数据网介绍

电力调度数据网通信业务流向主要为各直调厂站向青海省调和各地调的纵向数据传输。电力调度数据网接入层设备采用接入远动LAN交换机和路由器组成，网络协议为TCP/IP，传输平台为SDH/PDH。其他各种应用系统如厂站的RTU、电能量处理器、保护信息管理机等资源子网使用TCP/IP功能接入远动LAN交换机，需协议转换的可增加网关或由RTU、电能量处理器、保护信息管理机自行完成协议的转换，LAN采用IEEE802系列标准。电力调度数据网是专门用于电力调度和电力生产数据业务的网络,不承担有关日常的管理信息以及如话音业务、视频业务、多媒体等其它业务。做到专网专用，确保电力生产的安全。青海电力调度数据网是专门为电力调度生产服务的,网络承载业务主要是数据业务。采用104网络规约传输数据,传输的信息主要包括实时信息和非实时信息。实时信息包含：远动信息、AGC/MGC、电力市场的实时信息、EMS系统之间交换的用于网络分析的准实时数据、电网事故反演习数据.非实时信息包含：发/送/受电计划值、远传调度票、调度生产运行报表（日报、月报、季报）、ACE考核报表、计费电能量数据、故障录波信号综合保护信号（保护定值、保护动作和告警信号）、安全自动装置信号、电网运行参数、DTS应用数据交换。

电力调度数据网划分为逻辑隔离的实时子网，分别链接控制区和非控制区。二次系统基于计算机和网络技术的业务系统，划分为生产控制大区和管理信息大区，生产控制大区分为控制区和非控制区，生产控制大区分为控制区（安全区I）和非控制区（安全区II）；管理信息大区在不影响生产控制大区安全的前提下，可以划分为不同的安全区。在生产控制大区与管理信息大区之间必须设置经国家指定部门认定的电力横向单向（正向、反向）安全隔离装置，正向隔离装置必须满足1比特返回要求，反向隔离装置满足传输文本信息的要求。电力通信管理系统按所承载的业务进行安全分区，传输网、接入网、同步网的设备网管位于控制区（I区），通信综合网管位于非控制区（II区），通信管理信息位于管理信息大区；I区和Ⅱ区之间采用逻辑隔离措施。

厂站调度数据网网络拓扑图如下：

三、电力专用纵向加密认证网关介绍

电力专用纵向加密认证网关是用于保护电力调度数据网路由器和电力系统的局域网之间通信安全的电力专用网关机。该网关保护上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。此外，电力纵向加密认证网关实现了对电力系统专用的应用层通信协议（IEC-104规约）转换功能，以便于实现端到端的选择性保护。按照“分级管理”要求，纵向加密认证网关装置部署在各级调度及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构。电力专用纵向加密认证网关采用基于公钥体制的工作密钥的自动协商和交换。电力专用纵向加密认证网关的密钥生成、数据加密都是由专用高速数据加密卡完成，对称加密基于专用加密算法芯片，加密速度快，抗攻击能力强。

四、加密网关在电力调度数据网中的部署

纵向认证加密网关的加密原理

加密网关部署在网络的关键路径之上，不同的业务都可以通过一个或者主备两个纵向装置对应用的业务进行保护，借用路由器和交换机的地址。在调度数据网的本地网络和远程通信网络的路由器之间加上“加密认证装置”，可以在不改变原来的网络结构和地址的情况下，保证信息的加密。安全隧道的建立必须有相应的证书，首先导入的是调度证书系统的根证书，根证书用于检验其他证书的有效性。只有经过“电力调度证书系统”的签发的证书才是有效地证书，采可以用于电力调度数据网之间的通信。为了增强数据的保密性性，安全性，协商好的密钥要定期更换，每到数据包累积到一定的数量，就要求原有的对称密钥过期，重新进行密钥协商。

结语

作为电力二次系统安全防护的核心设备，该加密网关涵盖了青海电力调度数据网实时与非实时业务的加密认证工作，在业务数据通道上实现了数据的加密，没有密钥无法读取数据通道上的数据。能够保证数据在安全区域内纵向可靠传输，满足电力二次系统安全防护总体方案的要求。

参考文献

[1].电力专用纵向加密认证网关使用指南，北京科东电力控制系统有限责任公司2008.