电力配网终端安全解决方案-加密模块

电力配网终端安全解决方案

随着电网智能化建设的深入进行，配网安全也逐渐的被各大电网及电力公司所重视。相关部门也于2009年陆续出台了一系列的有关安全的指导性方案与规定。万协通依据电监会《电力二次系统安全防护总体方案》、《配电网二次系统安全防护总体方案》，国家电网《中低压配电网自动化系统安全防护补充规定》及国家电网与南方电网的实际需求，成功推出了《配电网终端安全方案》。

1） 终端/子站安全通信模块方案

电网配电终端安全要求：

认证加密：

1） 主站对子站/终端下发的控制指令不论采用何种通信模式（以太网、无线、还是其他方式）都需要使用基于非对称密钥的加密技术进行单向身

份认证。

2）配电网自动化系统采用基于调度证书的非对称密钥算法实现控制命令及参数设置指令的单向身份认证与报文完整性保护。

3）用电信息采集及负荷管理系统采用信息证书的方式实现单向身份认证与报文完整性保护。

无线通信：

1）采用VPN技术实现无线虚拟专有通道。

2）通过认证服务器对接入终端进行身份认证及地址派发

扩展功能：

单向认证+对称加密

主站采用私钥签名并使用对称密钥对数据进行加密，子站使用与主站

相同的密钥对数据内容进行解密。主要用于对复合报文中明文部分（控

制命令、时间戳等）的保护。

技术实现：

认证加密：采用SM2/RSA 非对称算法，满足目前单向认证需求，中央控制子

模块中的存储空间可以存放多个认证证书。

对称算法支持SM1算法，完全支持单向认证+对称算法的扩展功能通信：

接口：提供丰富的通信接口，支持以太网通信，GPRS通信，及多种符合

电网规约的串口通信

传输安全：支持APN+VPN、VDPN，GRE等电力上广泛应用的通信技术。

其他功能：

利用TF32A09中强大的32位CPU，及扩展存储（flash）模块，用

户可以在本方案的基础上，自行增加专有相关控制功能

2）安全模块方案

为了减少对配电终端设备的改造，万协通提出外置安全模块的方案，解决电力配网终端安全的问题。管理模块把需要认证/加解密的数据通过串口发给安全模块，安全模块按照

电网的安全标准处理完毕后，再把数据回传管理模块。

方案优势：

1）系统改动小：

主要改动部分集中在管理模块的数据处理与分发上，其他部

分不需要改动。管理模块软件需要对主站下发的数据做出区

分，分辨出那类数据是需要转给安全模块处理的，转发给安

全模块，同时接受安全模块处理完毕的数据信息。

2）适用性高：同一模块可以适用于各种子站、DTU、FTU。

3）成本低：外接安全模块的成本远远低于硬件升级改动的成本。

4）扩展性好：针对今后配电网更加严格的安全要求，安全模块在算法上

已经能够满足电网未来的安全要求。