摘要:為解決現(xiàn)行配電網(wǎng)防護(hù)方案中由于主站與終端之間單項(xiàng)認(rèn)證而造成的終端上行數(shù)據(jù)不可信問(wèn)題，在充分參考國(guó)網(wǎng)調(diào)【2011】168號(hào)文件及現(xiàn)行配電網(wǎng)安全防護(hù)方案的基礎(chǔ)上，提出一種基于雙向加密認(rèn)證技術(shù)的高可信的自動(dòng)化配電網(wǎng)模型管理方案。相比現(xiàn)行配電網(wǎng)，所提出的方案將網(wǎng)絡(luò)層和應(yīng)用層一體化，秘鑰管控統(tǒng)一化，對(duì)主站和終端之間的數(shù)據(jù)傳輸實(shí)行低延遲、高可信的雙向加密認(rèn)證機(jī)制。

　　關(guān)鍵詞:配電網(wǎng);網(wǎng)絡(luò)安全;雙向加密;一體化;高可信

　　1引言

　　工業(yè)網(wǎng)絡(luò)安全安全形勢(shì)日益嚴(yán)峻。針對(duì)電力網(wǎng)絡(luò)，配電網(wǎng)自動(dòng)化通信系統(tǒng)中主站和終端之間數(shù)據(jù)傳輸被竊取或修改會(huì)對(duì)整個(gè)配電網(wǎng)的安全性產(chǎn)生極大影響[1-2]，而大規(guī)模的配電網(wǎng)對(duì)主站與終端之間通信數(shù)據(jù)加密效率提出更高要求。電力網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)影響國(guó)家基礎(chǔ)命脈，成為工控網(wǎng)絡(luò)安全防御的重中之重[3]。

　　配電網(wǎng)模型對(duì)于自動(dòng)化配電網(wǎng)的建設(shè)和運(yùn)行具有重大意義，為實(shí)時(shí)監(jiān)測(cè)并控制電力系統(tǒng)提供給技術(shù)保障，通信系統(tǒng)的可靠性和高效性決定全網(wǎng)的安全程度[4]。配電網(wǎng)絡(luò)點(diǎn)多面廣、分布廣泛，存在通過(guò)配電終端誤報(bào)故障信息等方式對(duì)主站發(fā)起迂回攻擊的可能性，進(jìn)而引起更大范圍的安全隱患。從配電網(wǎng)安全防護(hù)現(xiàn)狀來(lái)看，主要依照國(guó)網(wǎng)調(diào)【2011】168號(hào)文件的方案采用非對(duì)稱秘鑰技術(shù)對(duì)主站到配電終端進(jìn)行單向加密認(rèn)證，現(xiàn)行配電網(wǎng)模型管理方案僅對(duì)主站到終端的下行報(bào)文負(fù)責(zé)，無(wú)法保障配電終端的回告數(shù)據(jù)安全[5]。

　　在安全認(rèn)證密鑰管控技術(shù)方面，目前有對(duì)稱加密和非對(duì)稱加密兩類體系。對(duì)稱秘鑰體系雖然具有簡(jiǎn)單、高效的優(yōu)勢(shì)，但是秘鑰管理困難，由于雙方使用相同的秘鑰，在公開(kāi)的計(jì)算機(jī)網(wǎng)絡(luò)上傳遞和保管秘鑰較為困難，且無(wú)法實(shí)現(xiàn)數(shù)據(jù)簽名和不可否認(rèn)性。非對(duì)稱秘鑰體系使用一對(duì)密鑰分別完成加密和解密操作，相比對(duì)稱加密的方式它消除了最終用戶交換秘鑰的需求，不需要通信雙方事先傳遞秘鑰或者做出任何約定。但是由于加密效率低于對(duì)稱加密方式，因此應(yīng)用場(chǎng)景收到限制。配電網(wǎng)模型設(shè)計(jì)層面，通過(guò)配電安全接入網(wǎng)關(guān)構(gòu)建安全接入?yún)^(qū)，配網(wǎng)加密認(rèn)證裝置對(duì)終端上行數(shù)據(jù)數(shù)據(jù)加密并對(duì)主站下行數(shù)據(jù)解密。該架構(gòu)存在經(jīng)濟(jì)成本高和運(yùn)行管理復(fù)雜度較高的問(wèn)題。

　　提出一體化雙向加密認(rèn)證模型管理方案實(shí)現(xiàn)主站與終端之間高可信通信，解決配網(wǎng)側(cè)IEC101和IEC104工控規(guī)約以及現(xiàn)有配網(wǎng)信息安全防護(hù)架構(gòu)所存在的工控規(guī)約泄露、遙測(cè)與遙信指令篡改、偽主站攻擊等安全隱患，降低整體配網(wǎng)和運(yùn)營(yíng)的經(jīng)濟(jì)成本及運(yùn)維難度。

　　2總體方案

　　充分考慮配電網(wǎng)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的現(xiàn)行配電自動(dòng)化基本執(zhí)行原則，對(duì)已有的配電網(wǎng)通信系統(tǒng)進(jìn)行結(jié)構(gòu)升級(jí)，實(shí)現(xiàn)網(wǎng)絡(luò)層與應(yīng)用層安全機(jī)制一體化[6]。現(xiàn)行配電網(wǎng)模型參照國(guó)網(wǎng)調(diào)【2011】168號(hào)文件的方案實(shí)施，分別從主站、電力終端、橫向通信和橫向邊界進(jìn)行安全防護(hù)。

　　主站通過(guò)配網(wǎng)加密認(rèn)證裝置對(duì)進(jìn)出主站的數(shù)據(jù)進(jìn)行加解密，經(jīng)過(guò)正反向安全隔離裝置可與采集服務(wù)器通信。采集服務(wù)器位于由配電安全接入網(wǎng)關(guān)構(gòu)建安全接入?yún)^(qū)內(nèi)。安全接入網(wǎng)關(guān)為采集服務(wù)器與電力終端建立VPN通道實(shí)現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)加密。電力終端配備安全模塊采用SM2秘鑰算法對(duì)接收到的控制命令和參數(shù)進(jìn)行安全鑒別和完整性驗(yàn)證。提出的新型高可信雙向加密認(rèn)證的配電網(wǎng)模型，設(shè)計(jì)上向下兼容現(xiàn)有配電網(wǎng)安全防護(hù)機(jī)制。建立基于國(guó)密算法的雙向加密認(rèn)證機(jī)制，對(duì)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)源充分確認(rèn)。

　　建立網(wǎng)絡(luò)層和應(yīng)用層統(tǒng)一化的證書(shū)機(jī)構(gòu)和安全機(jī)制，將原有配電網(wǎng)中加密認(rèn)證裝置和配電安全接入網(wǎng)關(guān)進(jìn)行整合，解決配電安全接入網(wǎng)關(guān)和安全接入平臺(tái)的秘鑰管理分散化的問(wèn)題。增加證書(shū)秘鑰分發(fā)功能。配電網(wǎng)信息交互安全防護(hù)體系結(jié)構(gòu)在橫向上通過(guò)正反向安全隔離裝置控制數(shù)據(jù)單向通信以確保安全[7]。縱向上由一體化雙向加密認(rèn)證裝置構(gòu)建安全接入?yún)^(qū)，為主站與終端之間的數(shù)據(jù)交互提供安全機(jī)制。設(shè)計(jì)出終端加密認(rèn)證模塊實(shí)現(xiàn)電力終端與主站之間實(shí)現(xiàn)雙向認(rèn)證，保障終端與一體化雙向加密認(rèn)證裝置之間可靠通信。新型高可信雙向加密認(rèn)證配電網(wǎng)模模型主要包含兩個(gè)關(guān)鍵部分：一體化加密裝置和終端加密認(rèn)證模塊。

　　2.1一體化雙向加密認(rèn)證裝置

　　針對(duì)現(xiàn)行配電網(wǎng)絡(luò)模型進(jìn)行優(yōu)化，將配網(wǎng)加密認(rèn)證裝置和配電安全接入網(wǎng)關(guān)的功能一體化，并新增證書(shū)秘鑰分發(fā)和管理功能，與終端加密認(rèn)證模塊共同實(shí)現(xiàn)主站與終端的雙向加密認(rèn)證通信。該裝置由證書(shū)管理模塊、密鑰管理模塊、簽名模塊、加密模塊、網(wǎng)閘和VPN六個(gè)部分構(gòu)成。

　　主站向終端下發(fā)的數(shù)據(jù)經(jīng)過(guò)一體化雙向加密認(rèn)證裝置進(jìn)行加密和簽名，首先由網(wǎng)閘根據(jù)數(shù)據(jù)流向判斷是否允許其通過(guò)，然后經(jīng)過(guò)簽名模塊對(duì)數(shù)據(jù)簽名形成符合國(guó)網(wǎng)調(diào)[2011]168號(hào)文件所規(guī)定的復(fù)合格式的報(bào)文[8]。加密模塊對(duì)復(fù)合報(bào)文進(jìn)行加密通過(guò)VPN發(fā)送給終端加密認(rèn)證裝置。其中秘鑰管理模塊負(fù)責(zé)密鑰的生成、刪除、分發(fā)及儲(chǔ)存，證書(shū)管理模塊負(fù)責(zé)證書(shū)的生成、吊銷(xiāo)、分發(fā)及儲(chǔ)存。

　　2.2終端加密認(rèn)證裝置

　　終端加密認(rèn)證裝置部署在電力終端設(shè)備一側(cè)，位于一體化雙向加密認(rèn)證裝置與電力終端之間，負(fù)責(zé)對(duì)主站下行數(shù)據(jù)解密和驗(yàn)簽，并對(duì)終端向主站回告的上行數(shù)據(jù)進(jìn)行簽名和加密。該裝置由簽名模塊和加密模塊構(gòu)成。

　　3關(guān)鍵技術(shù)

　　本方案為配電網(wǎng)提供基于雙向加密認(rèn)證的高可信通信方式。設(shè)計(jì)出一體化雙向加密認(rèn)證裝置和終端加密認(rèn)證裝置實(shí)現(xiàn)配電網(wǎng)的高可靠通信，采用輕量級(jí)加密算法保障網(wǎng)絡(luò)通信低延遲。主站下行數(shù)據(jù)經(jīng)過(guò)一體化雙向加密認(rèn)證裝置進(jìn)行簽名和加密，通過(guò)VPN隧道傳輸給終端加密認(rèn)證裝置進(jìn)行解密和驗(yàn)簽。終端的上行數(shù)據(jù)經(jīng)過(guò)終端加密認(rèn)證裝置進(jìn)行簽名和加密通過(guò)VPN隧道上傳給一體化雙向加密認(rèn)證裝置進(jìn)行解密和驗(yàn)簽，最后上傳給主站。一體化雙向加密認(rèn)證裝置與終端加密認(rèn)證裝置同時(shí)擁有證書(shū)管理和秘鑰生成功能是雙向加密通信的關(guān)鍵。

　　3.1配網(wǎng)雙向安全認(rèn)證機(jī)制融合

　　針對(duì)省配電網(wǎng)當(dāng)前采用的安全技術(shù)，將配電安全接入網(wǎng)關(guān)和配網(wǎng)加密認(rèn)證裝置合為一體，由一體化雙向加密認(rèn)證裝置代替。建立起網(wǎng)絡(luò)層和應(yīng)用層安全機(jī)制融合的一體化安全防護(hù)體系，解決現(xiàn)行方案中配電自動(dòng)化安全接入平臺(tái)，安全加密網(wǎng)關(guān)相分離的架構(gòu)所造成的經(jīng)濟(jì)成本和管理復(fù)雜問(wèn)題。兼容DTU、FTU、TTU等配網(wǎng)終端接入機(jī)制，構(gòu)造實(shí)現(xiàn)具備雙向身份認(rèn)證和數(shù)據(jù)加密的VPN機(jī)制并支持SM2國(guó)密算法。

　　3.2低延遲高可信的雙向加密認(rèn)證過(guò)程

　　在國(guó)網(wǎng)調(diào)[2011]168號(hào)文件的要求基礎(chǔ)上，本方案結(jié)合運(yùn)檢部所提出的最新需求，增強(qiáng)現(xiàn)有終端上行至主站的通信認(rèn)證和數(shù)據(jù)防護(hù)工作，防止消息充分、信息泄露和篡改的情況，確保上下行數(shù)據(jù)的可信性。針對(duì)配電網(wǎng)單向加密認(rèn)證導(dǎo)致終端上行數(shù)據(jù)報(bào)文不可信的狀況，提出雙向加密認(rèn)證的改進(jìn)方案。在大規(guī)模配電網(wǎng)的業(yè)務(wù)場(chǎng)景下，設(shè)計(jì)出基于分布式的SM2秘鑰管控和秘鑰分發(fā)功能。針對(duì)海量配電終端并發(fā)連接的情況，采用低延遲數(shù)據(jù)轉(zhuǎn)發(fā)和實(shí)施加密技術(shù)構(gòu)建出高效、可伸縮的雙向加密認(rèn)證算法。

　　3.3一體化的秘鑰管控機(jī)制

　　提出將網(wǎng)絡(luò)層和應(yīng)用側(cè)秘鑰統(tǒng)一化的證書(shū)機(jī)構(gòu)和安全驗(yàn)證機(jī)制解決現(xiàn)行配電網(wǎng)安全加密網(wǎng)關(guān)和安全接入平臺(tái)的秘鑰管理分散化問(wèn)題。一體化雙向加密認(rèn)證裝置的機(jī)密模塊和秘鑰管理以及終端加密認(rèn)證裝置的加密模塊的設(shè)計(jì)滿足主站側(cè)和終端側(cè)的秘鑰管理需求，同時(shí)兼容基于用戶口令、數(shù)字證書(shū)等常規(guī)配電網(wǎng)終端的秘鑰機(jī)制。

　　4工程實(shí)踐

　　基于雙向加密認(rèn)證的通信對(duì)于配電網(wǎng)意義重大，實(shí)現(xiàn)加密認(rèn)證和安全接入網(wǎng)關(guān)一體化在實(shí)際應(yīng)用中可以明顯減低安裝及維護(hù)難度，節(jié)約經(jīng)濟(jì)成本。為較少配電網(wǎng)改造成本降低工程實(shí)踐難度，本方案維持現(xiàn)行配電網(wǎng)總體架構(gòu)，將正反向安全隔離裝置、配網(wǎng)加密認(rèn)證裝置、配電安全接入網(wǎng)關(guān)三合一融合成一體化裝置，同時(shí)在終端側(cè)增設(shè)終端加密認(rèn)證裝置。本方案所提出的配電網(wǎng)模型管理方案涉及硬件和軟件兩個(gè)方面。

　　4.1硬件設(shè)計(jì)

　　一體化雙向加密認(rèn)證采用新一代多核處理器架構(gòu)的工控機(jī)結(jié)合PCI密碼卡的設(shè)計(jì)架構(gòu)，采用千兆網(wǎng)口連接網(wǎng)閘和安全接入網(wǎng)關(guān)，組成結(jié)構(gòu)如圖6所示。采用多核心處理器保障軟件流暢運(yùn)行，完成安全裝置上秘鑰協(xié)商、數(shù)據(jù)封裝、轉(zhuǎn)發(fā)、管理配置等任務(wù)。采用高速SDRAM保障數(shù)據(jù)讀寫(xiě)速度，使用RJ45接口連接主站側(cè)、網(wǎng)閘和VPN網(wǎng)關(guān)，使用PCI-E高速總線連接RJ45接口和芯片組。

　　終端加密認(rèn)證裝置的設(shè)計(jì)是為了配合一體化雙向加密認(rèn)證裝置實(shí)現(xiàn)全網(wǎng)高可信雙向加密認(rèn)證。該裝置完全兼容IEC104和IEC101規(guī)約，提供RJ45接口和RS485接口與電力終端設(shè)備連接，對(duì)現(xiàn)行所有配電終端在物理接口與通信協(xié)議層兼容。

　　4.2軟件設(shè)計(jì)

　　根據(jù)一體雙向加密認(rèn)證裝置的功能需求結(jié)合硬件設(shè)計(jì)方案設(shè)計(jì)出軟件架構(gòu)。用戶配置接口解析模塊負(fù)責(zé)實(shí)現(xiàn)用戶接口命令的解析，合法性判斷，提供方便用戶使用的配置命令，并將用戶的配置信息存儲(chǔ)到配置數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)配置的導(dǎo)入、導(dǎo)出和恢復(fù)出廠配置等。配置數(shù)據(jù)庫(kù)是一個(gè)嵌入式小型數(shù)據(jù)庫(kù)，專門(mén)用于存儲(chǔ)用戶配置信息的數(shù)據(jù)庫(kù)，可實(shí)現(xiàn)配置的顯示、查詢、添加、刪除、導(dǎo)入和導(dǎo)出等。密鑰交換IKE模塊是實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)傳輸信道加密裝置的核心模塊之一，實(shí)現(xiàn)與遠(yuǎn)端VPN安全網(wǎng)關(guān)進(jìn)行一系列基于《IPSec技術(shù)規(guī)范》協(xié)議的通信協(xié)商，實(shí)現(xiàn)算法協(xié)商、身份認(rèn)證與密鑰協(xié)商。

　　HA(高可用性)同步模塊為實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)傳輸信道加密裝置的雙機(jī)主從熱備或多機(jī)負(fù)載均衡使用時(shí)，設(shè)計(jì)完成用戶配置信息的實(shí)時(shí)同步，以及TCP/UDP/ICMP數(shù)據(jù)包協(xié)議狀態(tài)的同步，保障網(wǎng)絡(luò)中單點(diǎn)設(shè)備故障不會(huì)造成網(wǎng)絡(luò)中斷等異常情況。軟件控制總線SCM模塊為了根據(jù)適應(yīng)用戶不同應(yīng)用需求的靈活性，實(shí)現(xiàn)將用戶配置和專有操作系統(tǒng)安全協(xié)議棧的全安全協(xié)議(2-7層)行為檢測(cè)處理專用控制接口的轉(zhuǎn)換層，通過(guò)定義統(tǒng)一的軟件總線，實(shí)現(xiàn)應(yīng)用安全軟件和用戶配置的高度靈活性和擴(kuò)展性。

　　專有操作系統(tǒng)安全協(xié)議棧是核心的處理層，運(yùn)行在內(nèi)核空間，通過(guò)一致的抽象硬件驅(qū)動(dòng)接口直接接收發(fā)送數(shù)據(jù)報(bào)文，最大程度上利用硬件固有的最大處理性能，減少了傳統(tǒng)操作系統(tǒng)協(xié)議棧開(kāi)銷(xiāo)，保證系統(tǒng)整體實(shí)時(shí)數(shù)據(jù)處理性能的最優(yōu);在專有操作系統(tǒng)安全協(xié)議棧中采用先進(jìn)的軟件組件技術(shù)，實(shí)現(xiàn)完整的全安全協(xié)議(2-7層)網(wǎng)絡(luò)行為檢測(cè)，數(shù)據(jù)包分類，全狀態(tài)檢測(cè)防火墻，攻擊檢測(cè)，入侵防護(hù)，VPN加解密處理，帶寬和QoS保證等。通過(guò)優(yōu)化的FDD(快速流轉(zhuǎn)發(fā)引擎)和MSDAL(多段直接尋址搜索算法)等一系列優(yōu)化算法，和軟件組件技術(shù)，實(shí)現(xiàn)了嚴(yán)格的安全性檢查和高處理性能的完美結(jié)合。PCI加密卡驅(qū)動(dòng)提供PCI密碼卡的驅(qū)動(dòng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)包的加密和解密運(yùn)算，在系統(tǒng)啟動(dòng)時(shí)加載。網(wǎng)絡(luò)接口驅(qū)動(dòng)塊提供系統(tǒng)的幾個(gè)網(wǎng)絡(luò)接口的網(wǎng)卡驅(qū)動(dòng)程序，實(shí)現(xiàn)對(duì)數(shù)據(jù)包的高速接收和發(fā)送，在系統(tǒng)啟動(dòng)時(shí)加載。

　　5結(jié)束語(yǔ)

　　分析國(guó)網(wǎng)調(diào)168號(hào)文件和配網(wǎng)安全防護(hù)方案的技術(shù)現(xiàn)狀，針對(duì)現(xiàn)行配電網(wǎng)防護(hù)策略提出優(yōu)化方案。消除由于工控規(guī)約泄露、遙測(cè)與遙信指令、為主站攻擊等安全隱患，提出一體化配網(wǎng)雙向認(rèn)證加密裝置的關(guān)鍵技術(shù)。雙向加密認(rèn)證自動(dòng)化配電模型管理方案采用SM2國(guó)密算法及輕量級(jí)密碼加密技術(shù)對(duì)主站與終端之間的雙向數(shù)據(jù)加密，實(shí)現(xiàn)低延遲、高可信的數(shù)據(jù)通信。

　　所提出的配電網(wǎng)模型涵蓋一體化雙向認(rèn)證加密平臺(tái)、一體化配網(wǎng)秘鑰管理機(jī)制并融合網(wǎng)絡(luò)層和應(yīng)用側(cè)的雙線高配網(wǎng)指令可信加密機(jī)制，屬國(guó)內(nèi)首創(chuàng)。提出的雙向加密認(rèn)證自動(dòng)化配電模型管理方案友好兼容DTU、FTU、TTU等配網(wǎng)終端的網(wǎng)絡(luò)層接入機(jī)制，滿足大規(guī)模配網(wǎng)終端并發(fā)連接需求。研究出一體化配網(wǎng)秘鑰管控機(jī)制，主站與終端直接傳輸?shù)臄?shù)據(jù)使用對(duì)稱加密算法，秘鑰使用非對(duì)稱加密進(jìn)行保護(hù)，這使得通信安全得到保障的前提下兼顧了通信效率。

　　參考文獻(xiàn):

　　[1]康重慶,姚良忠.高比例可再生能源電力系統(tǒng)的關(guān)鍵科學(xué)問(wèn)題與理論研究框架[J].電力系統(tǒng)自動(dòng)化,2017,41(9):2-11.DOI:10.7500/AEPS20170120004.

　　[2]王成山,李鵬,于浩.智能配電網(wǎng)的新形態(tài)及其靈活性特征分析與應(yīng)用[J].電力系統(tǒng)自動(dòng)化,2018,42(10):13-21.DOI:10.7500/AEPS20171012002.

　　[3]MIRANBEIGIM,IMAN-EINIH.Hybridmodulationtechniqueforgrid-connectedcascadedphotovoltaicsystems[J].IEEETransactionsonIndustrialElectronics,2016,63(12):7843-7853.

　　[4]CAOYijia,LIQiang,TANYi,etal.AcomprehensivereviewofEnergyInternet:basicconcept,operationandplanningmethods,andresearchprospects[J].JournalofModernPowerSystemsandCleanEnergy,2018,6(3):399-411.

　　[5]冷喜武,陳國(guó)平,白靜潔,等.智能電網(wǎng)監(jiān)控運(yùn)行大數(shù)據(jù)分析系統(tǒng)總體設(shè)計(jì)[J/OL].電力系統(tǒng)自動(dòng)化[2018-05-14].

　　作者：章麗娟1,劉旭1,沈亮2,孟罡2,孫振2