电力调度数据网作为电力系统的重要基础设施,与电网调度和控制系统的安全运行紧密关联。随着计算机和网络的普遍应用,电力系统对数据传输的安全需求也在不断提高。通过对调度数据网中传输的数据采用加密算法,加密装置利用私钥进行装置与证书管理中心之间的认证以及装置之间的密钥协商,保证了电力通信数据的私密性、完整性和不可否认性。
一、加密技术概述
数据加密技术作为网络安全的一个重要组成部分,在网络中扮演着非常重要的角色,它牵涉到数据的机密性、鉴别、不可抵赖和完整性。密钥是数据加密技术的关键,它控制着加密和解密算法的实现。根据密钥的不同,将加密技术分为对称加密技术、非对称加密技术、混合加密技术。
(一)对称加密算法
对称加密技术就是加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来,而在大多数的对称算法中,加密密钥和解密密钥是相同的。比较著名的对称算法有:美国的DES及其各种变形,比如TripleDES、GDES、NEWDES;欧秒H的Ⅱ)EA;日本的FEAL、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等,对称密码中影响最大的是DES加密算法。
对称加密技术由于双方拥有相同的密钥,具有易于实现和速度快的优点,所以广泛应用于通信和存储数据文件加密和解密。对称加密技术的安全性依赖于密钥,所以密钥的保密性对通信安全至关重要。对称加密流程如图1所示。
(二)非对称加密技术
这种技术也可以称为公钥加密技术,加密密钥(公钥)可以公开,即陌生人可以得到它并用来加密信息,但只有用相应的解密密钥(私钥)才能解密信息。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Hellman、Rabin、椭圆曲线算法等等,最有影响的公钥密码算法是RSA,它能抵抗到日前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求,但速度比较慢,不太适合对文件进行加密。非对称加密流程如图2所示。
(三)混合加密技术
混合加密技术不是一种单一的加密技术,而是一个结合体,是上述两种数据加密技术相互结合的产物。通信双方的通信过程分为两个部分,双方先利用非对称加密技术传送本次通信所用的对称密钥,然后再用对称加密技术加密传送文件。混合加密流程如图3所示。
(四)数字签名
所谓”数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名。数字签名的概念由WhitfiedDiffie和MaitinHellman于1976年最先提出,目的是使签名者对电子文件也可以进行签名并且无法否认,验证者无法篡改文件。数字签名由签名算法和验证算法构成,数字签名如图4所示。
(五)数字证书
二、调度数据网的加密认证设计
(一)电力二次系统安全防护体系
国家电监会2006年颁布了《电力二次系统安全防护总体方案》,要求电力二次系统安全防护工作应当坚持”安全分区、网络专用、横向隔离、纵向认证”的原则,保障电力监控系统和电力调度数据网络的安全。纵向加密认证是电力二次系统安全防护核心的纵向防线,其目的是通过采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护,保证数据传输的可靠性和实时性。纵向防护体系总体配置如图6所示。
(二)纵向加密认证网关
电力调度数据网的纵向加密认证是通过专用的电力加密认证网关(装置)来实现。电力专用加密认证网关部署在各级调度中心(国调、网调、省调、地调、县调)及下属调度的各厂站,根据电力调度上下级关系建立加密隧道。加密认证网关应实现电力系统专用的应用层通信协议(IEC-104,DLA76-92等)转换功能,以便实现端到端的选择性保护。其作用有以下两个:
1、为生产控制大区提供网络屏障,具有类似”包过滤防火墙”的功能;
2、为网关机之间的通信提供认证和加密功能,实现数据传输的机密性、完整性保护。
纵向加密认证网关拓扑图如图7如示。
其中省调I区采用双机冗余技术,配置2台加密认证网关,Ⅱ区配置单台加密认证网关。地调节点的I、II区分别接入1台加密认证网关。
(三)电力调度数字证书系统
电力调度数字证书系统是采用基于公钥技术(PKI)的分布式数字证书系统,为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务,实现高强度的身份认证、安全的数据传输以及可靠的行为审计。
电力调度证书系统为纵向加密认证设备签发相应的符合X.509证书规范的数字证书以实现身份认证和数据文件加密。加密认证网关的设备密钥为非对称密钥,配置在装置和装置管理系统中,用于设备的认证与会话密钥的协商。设备密钥由网关产生,其私钥保存在网关内,公钥经电力调度数字证书系统(CA)签名,以数字证书的方式发布。会话密钥为对称密钥,用于装置之间的通信数据文件加密,会话密钥由设备在建立安全通道时动态协商产生,拆除通道时失效。对于一个运行CA的大型权威机构而言,签发证书的工作不能仅仅由一个CA来完成它,可以建立一个CA层次结构,如图8所示。
根CA具有一个自签名的证书,根CA依次对它下面的CA进行签名,层次结构中叶子节点上的CA用于对安全个体进行签名。对于个体而言,它需要信任根CA,中间的CA可以不必关心(透明的);同时它的证书是由底层的CA签发的,沿着层次树往上找,可以构成一条证书链,直到根证书。纵向加密装置CA系统的部署拓扑图如图9所示。
·三峡电厂装置证书由国调CA签发。
·清江梯调装置证书由华中网调CA签发。
·姚孟电站装置证书由河南省调CA签发,二滩厂站装置证书由四川省调CA签发。
·华中网调装置证书、河南省调装置证书和四川省调装置证书由华中网调CA签发。
·网调CA的根证书由国调CA签发,省调CA的根证书由网调签发。
·网调装置信任省调CA签发的所有装置,国调装置信任网调CA签发所有装置。
因此河南姚孟电站装置能与国调装置互通。三峡装置证书是国调CA签发的,因此三峡装置与姚孟电站装置、华中网调装置和四川、河南省调装置互通。
(四)安全认证与密钥协商
在电力应用数据进行安全传输前,必须完成加密认证系统双方的身份认证与通信密钥的协商。根据电力调度系统的管理特性与电力数字证书的应用,会话密钥协商机制具有如下前提条件:加密认证网关之间安全通信所采用的加密算法、工作方式和通信协议等已经确定,无须协商;使用的数字证书由电力调度证书服务系统统一签发,不考虑交叉认证;加密认证网关内已经预先配置了所有与之相连的装置的设备证书,无须进行证书交换;证书的真实性与有效性通过装置的本地手工管理手段保证。因此,在加密认证系统的设计中,采用如下简化的安全认证协商机制,系统I为发起方,系统II为应答方,安全认证与密钥协商过程如图10所示。
i、节点I产生随机数rl,用II的公钥对rl进行加密,同时用自己的私钥进行签名,作A=Ecert2(r1)||EskeyI(H(r1)),将A发给通信节点Ⅱ;
ii、节点II收到A后,用自己的私钥解密并验证I的签名;如果验证签名成功,产生随机数r2,用I的公钥对眨进行加密,同时用自己的私钥进行签名,作B=Ecertl(r2)||Es-key2(H(r2)),将B发给节点I;
iii、节点I对B用自己的私钥进行解密并验证II的签名,如果验证签名成功,合成会话密钥DK=r1(2),并作哈希运算C=H(r1r2)发给通信节点n;
iv、节点II同样对合成密钥作哈希运算,作D=H(r1r2),比较C与D是否相同,如果相同,则密钥协商与认证完成,进入正常通信阶段。
三、纵向加密认证在电力调度数据网中的应用
09年下半年,重庆市调完成了纵向加密装置在全网的安装调试,现已全部投入运行,涵盖市调、地调(12个供电局及超高压局所辖220KV、500KV变电站)及市调所辖电厂。纵向加密装置采用卫士通公司的SJW77网络密码机,市调部署4台加密机,实时、非实时业务各2台,分别采用双机热备方式(1台部署在主链路上,1台部署在备链路上)。实时加密机保护数据网中的EMS、WAMS业务,非实时加密机保护数据网中的TMR、HDS业务。各个地调及电厂部署2台加密机,实时业务、非实业务各1台。其网络拓扑如图11所示。
加密装置使用对称加密算法、非对称算法、散列算法等加密算法。
·对称加密算法采用国家密码管理局批准使用的SSX06密码芯片,分组长度为128位,密钥长度为128位,主要用于保护设备之间的通信数据加密。它设计成专用的硬件加密卡,加密算法只能在卡中完成数据加解密操作。
·非对称算法用于数字签名和数字信封,采用标准RSA加密算法,密钥长度为1024位。
·散列算法用于数据完整性验证,采用目前广泛应用的标准MD5加密算法。
·装置使用的密钥包括:设备密钥、会话密钥、通信密钥。
·设备密钥为非对称密钥,配置在装置和装置管理系统中,用于设备的认证与会话密钥的协商。设备密钥由装置产生,其私钥保存在装置内,公钥经调度数字证书服务系统签名,以数字证书的方式发布。
·会话密钥为对称密钥,用于装置之间的通信数据文件加密,会话密钥由设备在建立安全通道时动态协商产生,拆除通道时失效:安全通道一旦建立以后,会话密钥主要有以下产生方式:
1)人工协商:由管理员通过管理界面提供的密钥协商功能进行操作;
3)开机协商:加密认证装置在启动时,初始化完所有的配置参数时自动启动密钥协商功能。
·通信密钥为对称密钥,用于装置管理系统与设备之间管理数据通信加密,通信密钥一次一密,通过数字信封随管理报文传输到每个与之连接的设备。
经过近半年的运行,该加密装置工作稳定,能较好地满足调度数据网中各项传输业务的加密要求。
小知识之电力调度
欢迎访问夏冰加密软件技术博客,您的数据安全知识库和加密技术资讯平台。我们致力于提供最新的加密技术动态、深入的行业资讯以及实用的软件使用技巧,帮助您在数字时代中保护好每一比特的数据。