《配网终端加密解决方案_国密算法_》.pdfVIP

配网终端加密模块解决方案 ——TF32A09国密加密芯片 目前现有的配网自动化试点 （包括国网和南网）均未考虑二次安防，而在 110KV 以上的变电网里，二次安防是一个很重要的建设内容，主要原因在于以前 配网自动化建设不规范，且技术条件不成熟。 二○一一年二月九日国家电网在调 〔2011〕168 号文件 《关于加强配电网自 动化系统安全防护工作的通知》明确提出了配网自动化系统位于生产控制 1 区， 必须做好安全防护工作。 国家电网公司物资采购标准中专用技术规范中提出，配电终端应配备符合国 调 〔2011〕168 号文件的技术功能要求的非对称密钥技术的单向认证模块。 目前公司的配网终端还不具有加密模块，为了使配网终端产品更具有市场竞 争力，需要尽快加入加密模块以满足需求。 国家电网公司物资采购标准(数据采集终端通用技术规范 2009 年版) 国家电网公司物资采购标准(站所终端单元 DTU 专用技术规范 2010 年版) 配网网变压器监测终端安全防护，其主要目的：一、防止通过公共网络对 子站进行攻击，造成用户供电中断；二、同时防止通过公共网络和用户终端入侵 主站，造成更大范围的安全风险。 遵循 《电力二次系统安全防护总体方案》及 《配电二次系统安全防护方案》 168 号文件的要求，参照 “安全分区、网络专用、横向隔离、纵向认证”的原则， 针对10kV 以下中低压配电网自动化系统子站数量众多、遥控命令间隔较长等特 点，对采用公用通信方式的中低压配电网自动化系统，进行基于非对称加密的数 字证书单向身份鉴别技术等纵向边界安全防护。 清华同方利用自主研发的安全芯片TF32A09 开发出适合配网终端安全防护 的应用方案，目前技术已成熟，开始逐步应用于配网终端防护中。 针对如下几种安全防护模式: 安全模式 下行报文 上行报文 单向认证 主站采用私钥签名，终端 按原有方式处理 （兼容模式） 采 用主站公钥验签 单向认证+对称加密 （非 主站采用私钥签名，并使 终端采用对称密钥 兼容模式） 用 加密，主站采用同一 对称密钥对数据进行加 对称密钥解密 （可 密， 选） 终端使用同一对称密钥 解密 后采用主站公钥验签 单向认证+非对称加密 主站采用私钥签名、加 终端采用主站公钥 （非兼容模式） 密， 加密，主站用私钥解 终端采用主站公钥解密、 密 （可选） 验 清 签 清华同方基于自主安全芯片TF32A09，采用国密安全算法，在满足国家电网 对安全防护技术规范的基本前提下开发出一系列针对南网、国网相对应的解决方 案。 一、高速加密流芯片TF32A09 TF32A09 系列芯片是同方股份有限公司采用国产主控 32 位 CPU 自主设计的 一款高速度、高性能信息安全 SoC 芯片。该系列芯片集成了高速的安全加密算法 和通讯接口，采用独有的数据流加解密处理机制，实现了对高速数据流同步加解 密功能，在加解密速度上全面超越了国内同类型芯片。同时，该系列芯片还集成 了键盘控制模块，可广泛应用于高端键盘和安全键盘的设