电力专用纵向加密认证网关的技术应用＊

高 健，刘 萍

电力专用纵向加密认证网关的技术应用＊

高 健1，2，刘 萍2

（1.华北电力大学电气与电子工程学院，北京102206；2.湖州电力局，浙江湖州313000）

电力专用纵向加密认证网关用于生产控制大区的广域边界防护，为电力网关机之间的广域通信提供认证与加密功能，实现数据传输的机密性和完整性保护.

加密认证；机密性；完整性

计算机网络技术和通信技术的发展，对电力调度数据网和监控系统的安全性、可靠性和实时性构成了严重的挑战.如二滩水电厂控制系统停机、某公司故障录波系统出现时间逻辑炸弹，以及龙泉、政平、鹅城换流站控制系统病毒事件都为我们敲响了警钟.因此电力监控系统和调度数据网络系统的安全性和可靠性，以及如何保证调度主站与子站RTU之间报文的安全传输已成为当前需要考虑和解决的问题.

为保障生产控制大区与广域网纵向数据传输过程中的数据机密性、完整性和真实性，根据实际情况，我们选择在调度主站和所直接采集信息的500k V、220k V子站两侧电力控制系统的内部局域网与电力调度数据网络的路由器之间部署电力专用纵向加密认证网关.

1 纵向加密认证网关的技术应用概况

1.1 纵向加密认证网关的功能特点

（1）灵活的工作模式.纵向加密认证网关的工作模式支持网关模式、透明路由、地址借用三种模式，充分考虑了该装置在部署过程中的不同网络情况要求.在透明模式下工作时，可以完全透明的接入该装置，不用对原来网络的结构有任何改变；在网关工作模式下，可以作为一个简单路由器来使用；在地址借用模式下，可以代理装置身后的路由器交换机应答，并借用交换机的地址进行隧道协商及密文通信；灵活的工作模式提高了网络的安全稳定性.

（2）防御网络攻击能力.纵向加密认证网关本身能够在一定程度上防御常见的网络攻击，包括ARP Attack、Ping Attack、Ping of Death Attack、Smurf Attack、Unreachable Host Attack、Land Attack、Teardrop Attack、Syn Attack等，能充分体现装置的防御网络攻击能力.

（3）监视功能.纵向加密认证网关提供了良好的监视功能，能对设备的状态信息、隧道信息，以及基于隧道之上的安全策略信息进行监视.

（4）日志记录功能.纵向加密认证装置对进行的操作和发生的事件均有日志记录，格式完全按照“SYSLOG”规范.日志信息包括时间、事件类型.该日志内容可以分别通过不同用户的需求和配置，通过“串口”或者“网口”进行日志信息的发布和相应报警信息的引出.可以导出日志信息备份到本地硬盘中.

（5）报文探测功能.电力纵向加密认证网关有特殊的探测报文，类似PING功能，能够显示对方装置的安全模式是安全还是旁路，设备状态是正常还是异常，设备是主还是备.

（6）专用性.①具有特殊的安全功能（专用算法、专用协议、电力应用数据安全控制等）；②全国调度系统的互联互通.

1.2 部署方案

（1）500k V变电站安装纵向加密认证网关的部署方案.目前，500k V含山变采用的是浙江500k V变电站标准接入方式：双交换双路由的方形接入模式，两台华为交换机启用vrrp协议，针对每个VLAN业务段分别虚拟出一个网关地址供内部业务使用；路由器交换机之间启用OSPF协议以实现交换机路由器的主备交互及动态切换.

500k V变电站和省调、华东网调、部分地调建立加密隧道，进行加密通信.500k V变电站加密装置部署在调度数据网屏柜内.为了满足电力二次系统安全防护总体要求本次部署暂不考虑防火墙的部署.

（2）220k V变电站电力专用纵向加密认证网关部署方案.220k V变电站采用单路由双交换，220k V白雀变、长超变、花城变、莫梁变、钮家变等13个220k V变电所已在IEC－104网络安全I区通道中加装纵向加密认证网关.目前非实时交换机暂时不做安全防护.本次在实时交换机和边界路由器之间部署一台纵向加密认证网关，采用透明接入.

220k V变电站和省调、地调等建立加密隧道进行加密通信.220k V变电站加密装置部署在调度数据网屏柜内.

（3）纵向加密认证网关为数字化变电站做好准备工作.纵向加密认证网关安装部署工作是浙江电网运行控制与安全防御系统建设工程的一个重要部分.作为电力次系统安全防护的核心设备，该套装置涵盖了电力调度数据网实时业务的加密认证工作.能够保证数据在安全区域内纵向可靠地传输，满足电力二次系统安全防护总体方案的要求.与此同时，通过本次系统安装调试工作和加强对专业技术人员的培训力度，提高了检修人员的自动化专业知识和实践动手能力，为今后“数字化电网”的设备运行和维护做好技术保障.

1.3 应用纵向加密认证网关后的安全成效

（1）通信认证.采用简化的密钥协商协议，大大提高了协商效率和装置的存储负担；装置添加随机序列号，能防止抗重放攻击.

（2）数据加密.网关内嵌专用密码处理单元，结合隧道技术，实现电力应用多协议的封装，对监视和查询报文分别以明通方式通信，而对控制报文及控制报文的参数进行加密，保证实时数据的机密性和完整性.

（3）数据综合过滤.网关通过对截获的数据包进行分析，然后灵活的制定访问控制策略（如基于源地址的访问控制、目标地址的访问控制、端口的访问控制、协议的访问控制），最后根据制定的访问控制策略决定如何改数据包.

（4）双机热备.正常情况下由主加密装置工作，备加密装置时刻检测主加密装置的状态，一旦发现主加密装置发生故障，备加密装置立即接管它的工作，以提高系统的可靠性；

（5）安全审计与告警.完善的日志审计功能，与装置管理系统的日志通信一次一密，支持定时和触发方式，加强网络的安全性.主要的日志类型包括系统日志、链路日志、安全日志、应用日志等.

2 运行、检修单位在日常维护工作的注意事项

3.1 装置电源功能说明

纵向加密认证网关支持双电源，在纵向加密认证设备中要求实现主备电源的在线无缝切换，以提高整个电源工作的可靠性，以及延长整个系统的平均无故障工作时间.

检修单位在安装纵向加密认证网关时务必采用不同电源，否则失去纵向加密认证网关支持双电源的意义.

运行单位要使加密认证网关处于双电源工作状态，这种方式更有利于减少电压的纹波系数，提高装置滤波功能，从而保证电源电压的稳定性.

3.2 加密认证网关故障应急处理

加密认证网关在运行过程中，如遇到加密认证网关紧急故障，失去数据加密安全功能时，运行人在装置具有防止误操作的技术措施时，应进行人为操作关掉电源，进入旁路工作方式（旁路所有安全功能，加密认证网关作为透明桥接设备工作），否则有可能引起网络数据堵塞，业务数据不流通.

3.3 智能IC卡管理规范化

智能IC卡接口可以用来连接配置终端，方便管理人员通过智能IC卡对加密认证网关进行装置密钥、工作参数的备份与恢复的安全管理.在对纵向加密认证网关进行管理时，需要“人机卡”的三方认证过程.管理人员必须持有可用于管理的智能IC卡，持有可登陆管理的密码，再进行“人机卡”的三方认证才能登陆纵向加密认证网关模块，进行有效的管理配置.所以智能IC卡日常管理显得尤为重要，只有智能IC卡的保管、使用、维护管理的规范化，才能保证智能IC卡的可使用性和与加密认证网关的一一对应性.

3.4 严格执行自动化系统设备检修流程管理办法

纵向加密认证网关有工作或有新业务安装前，必须告知省调度通信中心，以免引起网省数据发生跳变，影响网省电网自动发电控制功能.

3.5 熟悉加密认证网关几组指示灯

加密网关的前面板图有8组指示灯，分别为双电源指示灯（POWER）、告警指示灯（ALARM）、读写器指示灯（ICSTA/ICACT）、加解密指示灯（ENCSTA/ENCACT）、五组网络接口指示灯（FE0－FE4SPD/LNK/ACT）.熟悉装置指示灯可以清楚地了解装置运行情况，对装置故障原因的分析判断非常有利.

电力专用纵向加密认证网关在电力系统运行已有一段时间，运行情况可靠稳定，没有发生一起网络安全事故，保证了传输数据的机密性、完整性和真实性.电力专用纵向加密认证网关融合了当今信息安全领域的最新技术和电力监控系统数据通信的应用特点.纵向加密认证网关在电力系统的成功应用，可以为电力调度部门上下级控制中心多个业务系统之间的实时数据交换提供认证与加密服务，同时满足电力应用层通信协议转换功能，实现端到端的选择性保护，保证电力实时数据传输的实时性、安全性和可靠性.

［1］浙江省电力公司.变电站计算机监控系统及其应用［M］.北京：中国电力出版社，2008.

［2］耿科理，周四清，马晓琴.纵向加密认证装置技术在青海电网的应用［J］.电力信息化，1999（3）.

［3］李劲.遵守等级化保护的电力调度数据网安全防护［J］.广播电力，2008（4）.

［4］马国红，方庆军.电力二次系统纵向安全防护体系的建设［J］.电力信息化，2008（2）.

［5］林坚.电力调度自动化系统的安全防护［J］.科学与文化，2006（11）.

［6］骆文忠.浅谈电力二次系统安全防护体系［J］.电力信息化，2009（3）.

［7］史开泉，陈泽雄.电力系统加密通信与通信认证问题［J］.中国电机工程学报，2002（10）.

TP202＋.1

A

1009－1734（2011）S0－0291－03

2011－09－10

高健，助理工程师，华北电力大学电气工程专业在职硕士研究生，从事电力系统分析、运行、管理和控制

研究.