一种高可信双向加密认证的网络安全管理方案

　　摘要:为解决现行配电网防护方案中由于主站与终端之间单项认证而造成的终端上行数据不可信问题，在充分参考国网调【2011】168号文件及现行配电网安全防护方案的基础上，提出一种基于双向加密认证技术的高可信的自动化配电网模型管理方案。相比现行配电网，所提出的方案将网络层和应用层一体化，秘钥管控统一化，对主站和终端之间的数据传输实行低延迟、高可信的双向加密认证机制。

　　关键词:配电网;网络安全;双向加密;一体化;高可信

　　1引言

　　工业网络安全安全形势日益严峻。针对电力网络，配电网自动化通信系统中主站和终端之间数据传输被窃取或修改会对整个配电网的安全性产生极大影响[1-2]，而大规模的配电网对主站与终端之间通信数据加密效率提出更高要求。电力网络的正常运转影响国家基础命脉，成为工控网络安全防御的重中之重[3]。

　　配电网模型对于自动化配电网的建设和运行具有重大意义，为实时监测并控制电力系统提供给技术保障，通信系统的可靠性和高效性决定全网的安全程度[4]。配电网络点多面广、分布广泛，存在通过配电终端误报故障信息等方式对主站发起迂回攻击的可能性，进而引起更大范围的安全隐患。从配电网安全防护现状来看，主要依照国网调【2011】168号文件的方案采用非对称秘钥技术对主站到配电终端进行单向加密认证，现行配电网模型管理方案仅对主站到终端的下行报文负责，无法保障配电终端的回告数据安全[5]。

　　在安全认证密钥管控技术方面，目前有对称加密和非对称加密两类体系。对称秘钥体系虽然具有简单、高效的优势，但是秘钥管理困难，由于双方使用相同的秘钥，在公开的计算机网络上传递和保管秘钥较为困难，且无法实现数据签名和不可否认性。非对称秘钥体系使用一对密钥分别完成加密和解密操作，相比对称加密的方式它消除了最终用户交换秘钥的需求，不需要通信双方事先传递秘钥或者做出任何约定。但是由于加密效率低于对称加密方式，因此应用场景收到限制。配电网模型设计层面，通过配电安全接入网关构建安全接入区，配网加密认证装置对终端上行数据数据加密并对主站下行数据解密。该架构存在经济成本高和运行管理复杂度较高的问题。

　　提出一体化双向加密认证模型管理方案实现主站与终端之间高可信通信，解决配网侧IEC101和IEC104工控规约以及现有配网信息安全防护架构所存在的工控规约泄露、遥测与遥信指令篡改、伪主站攻击等安全隐患，降低整体配网和运营的经济成本及运维难度。

　　2总体方案

　　充分考虑配电网“安全分区、网络专用、横向隔离、纵向认证”的现行配电自动化基本执行原则，对已有的配电网通信系统进行结构升级，实现网络层与应用层安全机制一体化[6]。现行配电网模型参照国网调【2011】168号文件的方案实施，分别从主站、电力终端、横向通信和横向边界进行安全防护。

　　主站通过配网加密认证装置对进出主站的数据进行加解密，经过正反向安全隔离装置可与采集服务器通信。采集服务器位于由配电安全接入网关构建安全接入区内。安全接入网关为采集服务器与电力终端建立VPN通道实现网络层数据加密。电力终端配备安全模块采用SM2秘钥算法对接收到的控制命令和参数进行安全鉴别和完整性验证。提出的新型高可信双向加密认证的配电网模型，设计上向下兼容现有配电网安全防护机制。建立基于国密算法的双向加密认证机制，对网络内的数据源充分确认。

　　建立网络层和应用层统一化的证书机构和安全机制，将原有配电网中加密认证装置和配电安全接入网关进行整合，解决配电安全接入网关和安全接入平台的秘钥管理分散化的问题。增加证书秘钥分发功能。配电网信息交互安全防护体系结构在横向上通过正反向安全隔离装置控制数据单向通信以确保安全[7]。纵向上由一体化双向加密认证装置构建安全接入区，为主站与终端之间的数据交互提供安全机制。设计出终端加密认证模块实现电力终端与主站之间实现双向认证，保障终端与一体化双向加密认证装置之间可靠通信。新型高可信双向加密认证配电网模模型主要包含两个关键部分：一体化加密装置和终端加密认证模块。

　　2.1一体化双向加密认证装置

　　针对现行配电网络模型进行优化，将配网加密认证装置和配电安全接入网关的功能一体化，并新增证书秘钥分发和管理功能，与终端加密认证模块共同实现主站与终端的双向加密认证通信。该装置由证书管理模块、密钥管理模块、签名模块、加密模块、网闸和VPN六个部分构成。

　　主站向终端下发的数据经过一体化双向加密认证装置进行加密和签名，首先由网闸根据数据流向判断是否允许其通过，然后经过签名模块对数据签名形成符合国网调[2011]168号文件所规定的复合格式的报文[8]。加密模块对复合报文进行加密通过VPN发送给终端加密认证装置。其中秘钥管理模块负责密钥的生成、删除、分发及储存，证书管理模块负责证书的生成、吊销、分发及储存。

　　2.2终端加密认证装置

　　终端加密认证装置部署在电力终端设备一侧，位于一体化双向加密认证装置与电力终端之间，负责对主站下行数据解密和验签，并对终端向主站回告的上行数据进行签名和加密。该装置由签名模块和加密模块构成。

　　3关键技术

　　本方案为配电网提供基于双向加密认证的高可信通信方式。设计出一体化双向加密认证装置和终端加密认证装置实现配电网的高可靠通信，采用轻量级加密算法保障网络通信低延迟。主站下行数据经过一体化双向加密认证装置进行签名和加密，通过VPN隧道传输给终端加密认证装置进行解密和验签。终端的上行数据经过终端加密认证装置进行签名和加密通过VPN隧道上传给一体化双向加密认证装置进行解密和验签，最后上传给主站。一体化双向加密认证装置与终端加密认证装置同时拥有证书管理和秘钥生成功能是双向加密通信的关键。

　　3.1配网双向安全认证机制融合

　　针对省配电网当前采用的安全技术，将配电安全接入网关和配网加密认证装置合为一体，由一体化双向加密认证装置代替。建立起网络层和应用层安全机制融合的一体化安全防护体系，解决现行方案中配电自动化安全接入平台，安全加密网关相分离的架构所造成的经济成本和管理复杂问题。兼容DTU、FTU、TTU等配网终端接入机制，构造实现具备双向身份认证和数据加密的VPN机制并支持SM2国密算法。

　　3.2低延迟高可信的双向加密认证过程

　　在国网调[2011]168号文件的要求基础上，本方案结合运检部所提出的最新需求，增强现有终端上行至主站的通信认证和数据防护工作，防止消息充分、信息泄露和篡改的情况，确保上下行数据的可信性。针对配电网单向加密认证导致终端上行数据报文不可信的状况，提出双向加密认证的改进方案。在大规模配电网的业务场景下，设计出基于分布式的SM2秘钥管控和秘钥分发功能。针对海量配电终端并发连接的情况，采用低延迟数据转发和实施加密技术构建出高效、可伸缩的双向加密认证算法。

　　3.3一体化的秘钥管控机制

　　提出将网络层和应用侧秘钥统一化的证书机构和安全验证机制解决现行配电网安全加密网关和安全接入平台的秘钥管理分散化问题。一体化双向加密认证装置的机密模块和秘钥管理以及终端加密认证装置的加密模块的设计满足主站侧和终端侧的秘钥管理需求，同时兼容基于用户口令、数字证书等常规配电网终端的秘钥机制。

　　4工程实践

　　基于双向加密认证的通信对于配电网意义重大，实现加密认证和安全接入网关一体化在实际应用中可以明显减低安装及维护难度，节约经济成本。为较少配电网改造成本降低工程实践难度，本方案维持现行配电网总体架构，将正反向安全隔离装置、配网加密认证装置、配电安全接入网关三合一融合成一体化装置，同时在终端侧增设终端加密认证装置。本方案所提出的配电网模型管理方案涉及硬件和软件两个方面。

　　4.1硬件设计

　　一体化双向加密认证采用新一代多核处理器架构的工控机结合PCI密码卡的设计架构，采用千兆网口连接网闸和安全接入网关，组成结构如图6所示。采用多核心处理器保障软件流畅运行，完成安全装置上秘钥协商、数据封装、转发、管理配置等任务。采用高速SDRAM保障数据读写速度，使用RJ45接口连接主站侧、网闸和VPN网关，使用PCI-E高速总线连接RJ45接口和芯片组。

　　终端加密认证装置的设计是为了配合一体化双向加密认证装置实现全网高可信双向加密认证。该装置完全兼容IEC104和IEC101规约，提供RJ45接口和RS485接口与电力终端设备连接，对现行所有配电终端在物理接口与通信协议层兼容。

　　4.2软件设计

　　根据一体双向加密认证装置的功能需求结合硬件设计方案设计出软件架构。用户配置接口解析模块负责实现用户接口命令的解析，合法性判断，提供方便用户使用的配置命令，并将用户的配置信息存储到配置数据库中，实现配置的导入、导出和恢复出厂配置等。配置数据库是一个嵌入式小型数据库，专门用于存储用户配置信息的数据库，可实现配置的显示、查询、添加、删除、导入和导出等。密钥交换IKE模块是实现无线网络传输信道加密装置的核心模块之一，实现与远端VPN安全网关进行一系列基于《IPSec技术规范》协议的通信协商，实现算法协商、身份认证与密钥协商。

　　HA(高可用性)同步模块为实现无线网络传输信道加密装置的双机主从热备或多机负载均衡使用时，设计完成用户配置信息的实时同步，以及TCP/UDP/ICMP数据包协议状态的同步，保障网络中单点设备故障不会造成网络中断等异常情况。软件控制总线SCM模块为了根据适应用户不同应用需求的灵活性，实现将用户配置和专有操作系统安全协议栈的全安全协议(2-7层)行为检测处理专用控制接口的转换层，通过定义统一的软件总线，实现应用安全软件和用户配置的高度灵活性和扩展性。

　　专有操作系统安全协议栈是核心的处理层，运行在内核空间，通过一致的抽象硬件驱动接口直接接收发送数据报文，最大程度上利用硬件固有的最大处理性能，减少了传统操作系统协议栈开销，保证系统整体实时数据处理性能的最优;在专有操作系统安全协议栈中采用先进的软件组件技术，实现完整的全安全协议(2-7层)网络行为检测，数据包分类，全状态检测防火墙，攻击检测，入侵防护，VPN加解密处理，带宽和QoS保证等。通过优化的FDD(快速流转发引擎)和MSDAL(多段直接寻址搜索算法)等一系列优化算法，和软件组件技术，实现了严格的安全性检查和高处理性能的完美结合。PCI加密卡驱动提供PCI密码卡的驱动，实现对数据包的加密和解密运算，在系统启动时加载。网络接口驱动块提供系统的几个网络接口的网卡驱动程序，实现对数据包的高速接收和发送，在系统启动时加载。

　　5结束语

　　分析国网调168号文件和配网安全防护方案的技术现状，针对现行配电网防护策略提出优化方案。消除由于工控规约泄露、遥测与遥信指令、为主站攻击等安全隐患，提出一体化配网双向认证加密装置的关键技术。双向加密认证自动化配电模型管理方案采用SM2国密算法及轻量级密码加密技术对主站与终端之间的双向数据加密，实现低延迟、高可信的数据通信。

　　所提出的配电网模型涵盖一体化双向认证加密平台、一体化配网秘钥管理机制并融合网络层和应用侧的双线高配网指令可信加密机制，属国内首创。提出的双向加密认证自动化配电模型管理方案友好兼容DTU、FTU、TTU等配网终端的网络层接入机制，满足大规模配网终端并发连接需求。研究出一体化配网秘钥管控机制，主站与终端直接传输的数据使用对称加密算法，秘钥使用非对称加密进行保护，这使得通信安全得到保障的前提下兼顾了通信效率。

　　参考文献:

　　[1]康重庆,姚良忠.高比例可再生能源电力系统的关键科学问题与理论研究框架[J].电力系统自动化,2017,41(9):2-11.DOI:10.7500/AEPS20170120004.

　　[2]王成山,李鹏,于浩.智能配电网的新形态及其灵活性特征分析与应用[J].电力系统自动化,2018,42(10):13-21.DOI:10.7500/AEPS20171012002.

　　[3]MIRANBEIGIM,IMAN-EINIH.Hybridmodulationtechniqueforgrid-connectedcascadedphotovoltaicsystems[J].IEEETransactionsonIndustrialElectronics,2016,63(12):7843-7853.

　　[4]CAOYijia,LIQiang,TANYi,etal.AcomprehensivereviewofEnergyInternet:basicconcept,operationandplanningmethods,andresearchprospects[J].JournalofModernPowerSystemsandCleanEnergy,2018,6(3):399-411.

　　[5]冷喜武,陈国平,白静洁,等.智能电网监控运行大数据分析系统总体设计[J/OL].电力系统自动化[2018-05-14].

　　作者：章丽娟1,刘旭1,沈亮2,孟罡2,孙振2