配电自动化终端设备中信息安全加密模块设计.PDF

配电自动化终端设备中信息安全加密模块设计 左　高,方金国,向　驰,于　伟,石文娟 (南瑞集团公司(国网电力科学研究院)(北京),北京市１０２２００) 摘要:当前配电网自动化系统配电终端的安全防护、升级改造大都通过更换终端设备硬件板卡的 方式实现,改造过程中需要对配电终端所在区域停电.设计了配电自动化终端设备信息安全加密 模块,通过在配电终端前加装该模块,实现对终端设备的安全防护改造,且不需对改造区域断电,也 无需对终端设备进行其他硬件改造和软件配置.介绍了加密模块的工作原理和硬件功能,描述了 加密模块对遥控命令报文的信息完整性检测与时间戳校验过程,及对配电主站的身份认证过程. 模块实现了对遥控报文的完整性保护和主站的身份鉴别,能满足对配电终端的信息安全防护要求. 关键词:加密模块;安全防护;身份认证;SM２加密算法 收稿日期:２０１５Ｇ０６Ｇ１１;修回日期:２０１６Ｇ０３Ｇ３０. 上网日期:２０１６Ｇ０８Ｇ１６. ０　引言 为保证配电网安全稳定运行,国家电力调度通 信中心发布了国家电网调〔２０１１〕１６８号文件?关于 加强配电网自动化系统安全防护工作的通知?(简称 １６８号文),要求配电网自动化系统采用基于调度证 书的非对称密钥算法实现控制命令以及参数设置指 令的单向认证与报文完整性保护,非对称密钥算法 选用椭圆曲线密码(elipticcurvecryptography, ECC)(１６０bit以上)或RSA(１０２４bit以上)算法, 各地要尽快开展配电网自动化系统主站及终端设备 的升级改造工作[１].同时,国家电力调度通信中心 向配电终端厂家提供了基于各自硬件平台与软件运 行环境的基于ECC体制下的SM２椭圆曲线公钥密 码算法(简称SM２算法)运算库,供厂家对各自已安 装的终端设备实施安全防护改造升级. 配电终端厂商综合各自设备的性能特征,基于 SM２算法运算所需的资源开销,以及配电自动化业 务的性能要求等因素考虑,大都采用将运行有SM２ 算法的CPU板卡替换已有CPU板卡的方式实现 配电终端的安全防护改造[２Ｇ１０].该改造方式在板卡 替换过程中需要对终端设备断电,因而要求供电单 位在升级改造过程中对需要改造的配电终端所在线 路与区域逐一安排停电计划.由于当前已投运的配 电终端数量巨大,这种改造方式需要供电公司投入 大量的人力以及时间实施停电改造,同时需要终端 厂家投入大量物力成本实现CPU板卡替换,并且 会造成替换后旧板卡被废弃的资源浪费. 为解决上述问题,本文设计了配电自动化终端 设备信息安全加密模块(简称加密模块),支持基于 ECC的SM２椭圆曲线算法运算库,能够对主站下 发的遥控报文进行解密和验签操作,同时判断遥控 报文的时效性,实现遥控报文的完整性保护和主站 身份鉴别. 只需在配电终端前加装该加密模块,不需对改 造区域停电,也无需对终端设备进行其他硬件改造 和软件配置,就能实现终端设备的安全防护改造,避 免了改造造成的线路停电和CPU 板卡更换废弃, 可节约大量人力、物力和时间成本,为配电自动化系 统配电终端信息安全防护改造提供了一种新思路. １　加密原理 加密模块安装在配电终端通信箱体中,一端连 接通用分组无线服务/光网络单元(GPRS/ONU)等 通信设备,另一端连接配电终端设备,其应用场景如 图１所示. 配电主站使用预装主站私钥对遥控命令报文进 行签名运算得到数字签名,然后使用对称密钥对数 字签名进行加密,最后配电主站将加密后的数字签 名附加在标准遥控报文、时间戳(配电主站下发遥控 命令的时间)后形成复合遥控命令报文,并通过 GPRS无线公网、无线专线或者光纤网络发送给加 密模块. ４３１ 第４０卷　第１９期　２０１６年１０月１０日 Vol．４０No．１９Oct．１０,２０１６ DOI:１０．７５００/AEPS２０１５０６１１００２ http://www．aepsＧinfo．com 图１　加密模块应用场景 Fig．１　Applicationsceneofencryptionmodule 　　加密模块接收到复合遥控命令报文后,使用预 装的对称密钥解密后,再使用主站公钥验签,就能判 断遥控命令消息来源是否合法.不合法则丢弃命令 报文,合法则分析时间戳的有效性判断数据报文传 输是否超时.超时则丢弃已过期的数据报文,未超 时则解析其内容,并将解析后的遥控命令以明文方 式发送给配电终端,配电终端接收遥控报文后执行 远程遥控操作. ２　模块硬件功能及框图 加密模块由主CPU处理芯片、独立的双数据 通道、实时时钟电路、SDRAM 存储器、直流电源模 块和SD卡电路构成,其硬件原理如图２所示. SDRAM IS42S16320B SD  *G+054  *0054 G+054  IEC