关键词:配电自动化终端;信息安全加密模块;信息完整性检测;时间戳校验
前言:随着电网技术的不断发展,信息化发展趋势也成为了电力领域的主要发展趋势。信息化技术在电网系统的应用,可以在提升电网企业运行管理效率的同时,促进电网运行可靠性的提升。电力技术与信息化技术之间的发展融合,也为电网运行系统的信息安全提出了较为严格的要求。配电自动化终端设备信息安全加密模块在电网系统中的应用,可以在节约人力物力资源成本的基础上,拓展配电自动化系统配电终端安全防护体系的优化思路。
1、配电自动化终端设计信息安全加密模块的加密原理
电网系统中应用的配电自动化终端设备信息安全加密模块主要安装于配电终端通信箱体内部,具有着连接分组无线服务/光网络单元和配电终端设备的作用。预装主站私钥是对遥控命令报文进行签名运算的主要工具。对称密钥会应用于数字签名的环节。在对数字签名进行加密处理以后,相关人员需要将已经进行加密处理的数字签名附加于标准遥控报文和配电主站所下发的遥控命令时间之后,以完成符合遥控命令报文的建构,最后人们需要借助GPRS无线公网或光纤网络等网络完成将报文发送至加密模块[1]。
接受复合遥控命令报文以后,加密模块中预装的对称密钥可以发挥出解密功能。在利用预装对称密钥进行解密以后,使用主站公钥进行验签处理,可以让人们确定遥控命令信息来源的合法性。如果命令信息合法,相关人员需要根据配电主站下发的遥控命令时间确定数据报文的合法性,并要对已经过期的数据报文进行丢弃,如果合法报文信息并未过期,人们需要在对信息内容进行解析的基础上,利用明文方式将解析出的遥控命令发送至配电终端,进而让配电终端在接收到遥控报文以后开展远程遥控操作。
2、模块的硬件功能
安装于配电终端通信箱体中的加密模块主要由CPU处理芯片、独立双数据通道和直流电源模块等多种模块组成。该模块CPU中所使用的芯片为CycloneⅢ现场可编程门阵列芯片。这种芯片具有着灵活性高的特点,芯片内部可以安装有软核处理器和SM2签名算法库。与之相关的独立数据通道主要由以下元素组成:一是主线端网络接口与备用配电端网络接口。二是备用主站端网络接口与备用配电端网络接口。模块数据通道中所使用的芯片为独立硬件TCP/IP协议栈芯片W5200。这种芯片可以为10 Mbit/100 Mbit自适应反转和极性自动翻转提供支持。在配电终端与外界相隔离的情况下,加密模块中的每一个网口都可以安装有独立IP。
模块之中所应用的SDPAM存储器为IS42S16320B存储器,这种存储设备具有为安全模块提供程序运行空间和不合法数据存储空间的能力。
期刊文章分类查询,尽在期刊图书馆DS1302实时时钟是加密模块中常用的一种事实时钟,它可以用于报文时间戳的比较过程之中。模块之中的SD卡插槽主要具有以下作用:一是完成不合法数据的读取;二是完成加密模块IP、MAC地址等参数的设置。
3、模块的软件设计
在动态化、复杂化和多变化的电力信息网络环境下,为配电自动化业务应用安全提供保障,是电力领域现阶段所面对的安全挑战。信息安全加密模块在终端设备安全防护改造工作开展过程中发挥着重要的作用。一般而言,配电自动化系统的信息安全防护问题涉及到了基础设施物理安全和体系结构安全等多项内容。基础设施物理安全问题主要涉及到了以下内容:一是机房基础设施的物理安全防护措施;二是系统的供电可靠性;三是电源电缆布设的安全要求;四是通信设备局域网配线间的安全可靠运行要求。体系结构安全问题涉及到了安全分区、横向隔离、纵向认证等多个方面。全方位化的安全管理体系的构建,可以让配单自动化信息安全评价指标体系更好地满足电力系统的运行要求。针对配电自动化系统在实际运行阶段所表现出来的新问题,相关人员需要对配电自动化终端设备中的加密模块进行不断优化。
3.1信息完整性检测与主站身份认证
配电自动化信息安全方案与电力系统配电网整体设计之间具有同步性。配电自动化信息安全方案与配电网设计方案之间的融合,有助于配电网信息安全效果的提升。在加密模块之中,信息完整性检测与主站身份认证是加密模块在完成遥控报文接受以后所不可缺少的环节。假设配电主站下发的在信息完整性检测与主站身份认证环节,配电主站会借助预装主站私钥及预装对称密钥对对复合遥控报文进行加密处理,并利用GPRS/ONU通信网络将复合遥控命令报文下发至加密模块。加密模块会借助预装主站公钥的数字签名运算设备能够得到第一份数字签名。针对预装对称密钥加密运算,系统可以借助预装的对称秘钥,对这一内容进行解密运算,并生成另外一份数字签名。如果配电主站的身份合法,加密模块通过主要私密运算所获取的签名与私钥运算所获取的签名之间会表现出一致性的特点。因而两种数字签名的一致性,是检测报文信息合理性与主站身份合法性的有效工具。
3.2时间戳校验
与加密模块有关的时间戳主要指的是配电主站下发遥控命令的时间。加密模块的时间戳校验具有着预防重放攻击的作用。从电网配电自动化体系的实际运行情况来看,时间戳校验也可以避免攻击者利用非法窃听手段获取整条符合遥控命令报文的作用。加密模块的时间戳校验与以下因素有关:一是比较时间差值;二是延时阀值Tthreshold。根据配电自动化现场的实际情况,Tthreshold可以被设置为15s[2]。
结语:配电自动化终端设备中信息安全加密模块具有着连接分组无线服务/光网络单元和配电终端设备的作用。其硬件功能为不合法数据的读取及完成加密模块IP、MAC地址等参数的设置。在软件设计方面,时间戳校验和信息完整性检测与主站身份认证是人们所不可忽视的内容。
参考文献:
[1]黄秀丽,戴东情,封亚辉.配电自动化系统信息安全认证评价指标体系研究[J].质量与认证,2017(05):59-61.
[2]左高,方金国,向驰,于伟,石文娟.配电自动化终端设备中信息安全加密模块设计[J].电力系统自动化,2016,40(19):134-138.
论文作者:黄楚童
论文发表刊物:《科技中国》2018年3期
论文发表时间:2018/8/6
标签:模块论文; 报文论文; 信息安全论文; 主站论文; 终端设备论文; 终端论文; 时间论文; 《科技中国》2018年3期论文;