摘要:為解決現行配電網防護方案中由于主站與終端之間單項認證而造成的終端上行數據不可信問題，在充分參考國網調【2011】168號文件及現行配電網安全防護方案的基礎上，提出一種基于雙向加密認證技術的高可信的自動化配電網模型管理方案。相比現行配電網，所提出的方案將網絡層和應用層一體化，秘鑰管控統一化，對主站和終端之間的數據傳輸實行低延遲、高可信的雙向加密認證機制。

　　關鍵詞:配電網;網絡安全;雙向加密;一體化;高可信

　　1引言

　　工業網絡安全安全形勢日益嚴峻。針對電力網絡，配電網自動化通信系統中主站和終端之間數據傳輸被竊取或修改會對整個配電網的安全性產生極大影響[1-2]，而大規模的配電網對主站與終端之間通信數據加密效率提出更高要求。電力網絡的正常運轉影響國家基礎命脈，成為工控網絡安全防御的重中之重[3]。

　　配電網模型對于自動化配電網的建設和運行具有重大意義，為實時監測并控制電力系統提供給技術保障，通信系統的可靠性和高效性決定全網的安全程度[4]。配電網絡點多面廣、分布廣泛，存在通過配電終端誤報故障信息等方式對主站發起迂回攻擊的可能性，進而引起更大范圍的安全隱患。從配電網安全防護現狀來看，主要依照國網調【2011】168號文件的方案采用非對稱秘鑰技術對主站到配電終端進行單向加密認證，現行配電網模型管理方案僅對主站到終端的下行報文負責，無法保障配電終端的回告數據安全[5]。

　　在安全認證密鑰管控技術方面，目前有對稱加密和非對稱加密兩類體系。對稱秘鑰體系雖然具有簡單、高效的優勢，但是秘鑰管理困難，由于雙方使用相同的秘鑰，在公開的計算機網絡上傳遞和保管秘鑰較為困難，且無法實現數據簽名和不可否認性。非對稱秘鑰體系使用一對密鑰分別完成加密和解密操作，相比對稱加密的方式它消除了最終用戶交換秘鑰的需求，不需要通信雙方事先傳遞秘鑰或者做出任何約定。但是由于加密效率低于對稱加密方式，因此應用場景收到限制。配電網模型設計層面，通過配電安全接入網關構建安全接入區，配網加密認證裝置對終端上行數據數據加密并對主站下行數據解密。該架構存在經濟成本高和運行管理復雜度較高的問題。

　　提出一體化雙向加密認證模型管理方案實現主站與終端之間高可信通信，解決配網側IEC101和IEC104工控規約以及現有配網信息安全防護架構所存在的工控規約泄露、遙測與遙信指令篡改、偽主站攻擊等安全隱患，降低整體配網和運營的經濟成本及運維難度。

　　2總體方案

　　充分考慮配電網“安全分區、網絡專用、橫向隔離、縱向認證”的現行配電自動化基本執行原則，對已有的配電網通信系統進行結構升級，實現網絡層與應用層安全機制一體化[6]。現行配電網模型參照國網調【2011】168號文件的方案實施，分別從主站、電力終端、橫向通信和橫向邊界進行安全防護。

　　主站通過配網加密認證裝置對進出主站的數據進行加解密，經過正反向安全隔離裝置可與采集服務器通信。采集服務器位于由配電安全接入網關構建安全接入區內。安全接入網關為采集服務器與電力終端建立VPN通道實現網絡層數據加密。電力終端配備安全模塊采用SM2秘鑰算法對接收到的控制命令和參數進行安全鑒別和完整性驗證。提出的新型高可信雙向加密認證的配電網模型，設計上向下兼容現有配電網安全防護機制。建立基于國密算法的雙向加密認證機制，對網絡內的數據源充分確認。

　　建立網絡層和應用層統一化的證書機構和安全機制，將原有配電網中加密認證裝置和配電安全接入網關進行整合，解決配電安全接入網關和安全接入平臺的秘鑰管理分散化的問題。增加證書秘鑰分發功能。配電網信息交互安全防護體系結構在橫向上通過正反向安全隔離裝置控制數據單向通信以確保安全[7]。縱向上由一體化雙向加密認證裝置構建安全接入區，為主站與終端之間的數據交互提供安全機制。設計出終端加密認證模塊實現電力終端與主站之間實現雙向認證，保障終端與一體化雙向加密認證裝置之間可靠通信。新型高可信雙向加密認證配電網模模型主要包含兩個關鍵部分：一體化加密裝置和終端加密認證模塊。

　　2.1一體化雙向加密認證裝置

　　針對現行配電網絡模型進行優化，將配網加密認證裝置和配電安全接入網關的功能一體化，并新增證書秘鑰分發和管理功能，與終端加密認證模塊共同實現主站與終端的雙向加密認證通信。該裝置由證書管理模塊、密鑰管理模塊、簽名模塊、加密模塊、網閘和VPN六個部分構成。

　　主站向終端下發的數據經過一體化雙向加密認證裝置進行加密和簽名，首先由網閘根據數據流向判斷是否允許其通過，然后經過簽名模塊對數據簽名形成符合國網調[2011]168號文件所規定的復合格式的報文[8]。加密模塊對復合報文進行加密通過VPN發送給終端加密認證裝置。其中秘鑰管理模塊負責密鑰的生成、刪除、分發及儲存，證書管理模塊負責證書的生成、吊銷、分發及儲存。

　　2.2終端加密認證裝置

　　終端加密認證裝置部署在電力終端設備一側，位于一體化雙向加密認證裝置與電力終端之間，負責對主站下行數據解密和驗簽，并對終端向主站回告的上行數據進行簽名和加密。該裝置由簽名模塊和加密模塊構成。

　　3關鍵技術

　　本方案為配電網提供基于雙向加密認證的高可信通信方式。設計出一體化雙向加密認證裝置和終端加密認證裝置實現配電網的高可靠通信，采用輕量級加密算法保障網絡通信低延遲。主站下行數據經過一體化雙向加密認證裝置進行簽名和加密，通過VPN隧道傳輸給終端加密認證裝置進行解密和驗簽。終端的上行數據經過終端加密認證裝置進行簽名和加密通過VPN隧道上傳給一體化雙向加密認證裝置進行解密和驗簽，最后上傳給主站。一體化雙向加密認證裝置與終端加密認證裝置同時擁有證書管理和秘鑰生成功能是雙向加密通信的關鍵。

　　3.1配網雙向安全認證機制融合

　　針對省配電網當前采用的安全技術，將配電安全接入網關和配網加密認證裝置合為一體，由一體化雙向加密認證裝置代替。建立起網絡層和應用層安全機制融合的一體化安全防護體系，解決現行方案中配電自動化安全接入平臺，安全加密網關相分離的架構所造成的經濟成本和管理復雜問題。兼容DTU、FTU、TTU等配網終端接入機制，構造實現具備雙向身份認證和數據加密的VPN機制并支持SM2國密算法。

　　3.2低延遲高可信的雙向加密認證過程

　　在國網調[2011]168號文件的要求基礎上，本方案結合運檢部所提出的最新需求，增強現有終端上行至主站的通信認證和數據防護工作，防止消息充分、信息泄露和篡改的情況，確保上下行數據的可信性。針對配電網單向加密認證導致終端上行數據報文不可信的狀況，提出雙向加密認證的改進方案。在大規模配電網的業務場景下，設計出基于分布式的SM2秘鑰管控和秘鑰分發功能。針對海量配電終端并發連接的情況，采用低延遲數據轉發和實施加密技術構建出高效、可伸縮的雙向加密認證算法。

　　3.3一體化的秘鑰管控機制

　　提出將網絡層和應用側秘鑰統一化的證書機構和安全驗證機制解決現行配電網安全加密網關和安全接入平臺的秘鑰管理分散化問題。一體化雙向加密認證裝置的機密模塊和秘鑰管理以及終端加密認證裝置的加密模塊的設計滿足主站側和終端側的秘鑰管理需求，同時兼容基于用戶口令、數字證書等常規配電網終端的秘鑰機制。

　　4工程實踐

　　基于雙向加密認證的通信對于配電網意義重大，實現加密認證和安全接入網關一體化在實際應用中可以明顯減低安裝及維護難度，節約經濟成本。為較少配電網改造成本降低工程實踐難度，本方案維持現行配電網總體架構，將正反向安全隔離裝置、配網加密認證裝置、配電安全接入網關三合一融合成一體化裝置，同時在終端側增設終端加密認證裝置。本方案所提出的配電網模型管理方案涉及硬件和軟件兩個方面。

　　4.1硬件設計

　　一體化雙向加密認證采用新一代多核處理器架構的工控機結合PCI密碼卡的設計架構，采用千兆網口連接網閘和安全接入網關，組成結構如圖6所示。采用多核心處理器保障軟件流暢運行，完成安全裝置上秘鑰協商、數據封裝、轉發、管理配置等任務。采用高速SDRAM保障數據讀寫速度，使用RJ45接口連接主站側、網閘和VPN網關，使用PCI-E高速總線連接RJ45接口和芯片組。

　　終端加密認證裝置的設計是為了配合一體化雙向加密認證裝置實現全網高可信雙向加密認證。該裝置完全兼容IEC104和IEC101規約，提供RJ45接口和RS485接口與電力終端設備連接，對現行所有配電終端在物理接口與通信協議層兼容。

　　4.2軟件設計

　　根據一體雙向加密認證裝置的功能需求結合硬件設計方案設計出軟件架構。用戶配置接口解析模塊負責實現用戶接口命令的解析，合法性判斷，提供方便用戶使用的配置命令，并將用戶的配置信息存儲到配置數據庫中，實現配置的導入、導出和恢復出廠配置等。配置數據庫是一個嵌入式小型數據庫，專門用于存儲用戶配置信息的數據庫，可實現配置的顯示、查詢、添加、刪除、導入和導出等。密鑰交換IKE模塊是實現無線網絡傳輸信道加密裝置的核心模塊之一，實現與遠端VPN安全網關進行一系列基于《IPSec技術規范》協議的通信協商，實現算法協商、身份認證與密鑰協商。

　　HA(高可用性)同步模塊為實現無線網絡傳輸信道加密裝置的雙機主從熱備或多機負載均衡使用時，設計完成用戶配置信息的實時同步，以及TCP/UDP/ICMP數據包協議狀態的同步，保障網絡中單點設備故障不會造成網絡中斷等異常情況。軟件控制總線SCM模塊為了根據適應用戶不同應用需求的靈活性，實現將用戶配置和專有操作系統安全協議棧的全安全協議(2-7層)行為檢測處理專用控制接口的轉換層，通過定義統一的軟件總線，實現應用安全軟件和用戶配置的高度靈活性和擴展性。

　　專有操作系統安全協議棧是核心的處理層，運行在內核空間，通過一致的抽象硬件驅動接口直接接收發送數據報文，最大程度上利用硬件固有的最大處理性能，減少了傳統操作系統協議棧開銷，保證系統整體實時數據處理性能的最優;在專有操作系統安全協議棧中采用先進的軟件組件技術，實現完整的全安全協議(2-7層)網絡行為檢測，數據包分類，全狀態檢測防火墻，攻擊檢測，入侵防護，VPN加解密處理，帶寬和QoS保證等。通過優化的FDD(快速流轉發引擎)和MSDAL(多段直接尋址搜索算法)等一系列優化算法，和軟件組件技術，實現了嚴格的安全性檢查和高處理性能的完美結合。PCI加密卡驅動提供PCI密碼卡的驅動，實現對數據包的加密和解密運算，在系統啟動時加載。網絡接口驅動塊提供系統的幾個網絡接口的網卡驅動程序，實現對數據包的高速接收和發送，在系統啟動時加載。

　　5結束語

　　分析國網調168號文件和配網安全防護方案的技術現狀，針對現行配電網防護策略提出優化方案。消除由于工控規約泄露、遙測與遙信指令、為主站攻擊等安全隱患，提出一體化配網雙向認證加密裝置的關鍵技術。雙向加密認證自動化配電模型管理方案采用SM2國密算法及輕量級密碼加密技術對主站與終端之間的雙向數據加密，實現低延遲、高可信的數據通信。

　　所提出的配電網模型涵蓋一體化雙向認證加密平臺、一體化配網秘鑰管理機制并融合網絡層和應用側的雙線高配網指令可信加密機制，屬國內首創。提出的雙向加密認證自動化配電模型管理方案友好兼容DTU、FTU、TTU等配網終端的網絡層接入機制，滿足大規模配網終端并發連接需求。研究出一體化配網秘鑰管控機制，主站與終端直接傳輸的數據使用對稱加密算法，秘鑰使用非對稱加密進行保護，這使得通信安全得到保障的前提下兼顧了通信效率。

　　參考文獻:

　　[1]康重慶,姚良忠.高比例可再生能源電力系統的關鍵科學問題與理論研究框架[J].電力系統自動化,2017,41(9):2-11.DOI:10.7500/AEPS20170120004.

　　[2]王成山,李鵬,于浩.智能配電網的新形態及其靈活性特征分析與應用[J].電力系統自動化,2018,42(10):13-21.DOI:10.7500/AEPS20171012002.

　　[3]MIRANBEIGIM,IMAN-EINIH.Hybridmodulationtechniqueforgrid-connectedcascadedphotovoltaicsystems[J].IEEETransactionsonIndustrialElectronics,2016,63(12):7843-7853.

　　[4]CAOYijia,LIQiang,TANYi,etal.AcomprehensivereviewofEnergyInternet:basicconcept,operationandplanningmethods,andresearchprospects[J].JournalofModernPowerSystemsandCleanEnergy,2018,6(3):399-411.

　　[5]冷喜武,陳國平,白靜潔,等.智能電網監控運行大數據分析系統總體設計[J/OL].電力系統自動化[2018-05-14].

　　作者：章麗娟1,劉旭1,沈亮2,孟罡2,孫振2