非對稱密鑰加密在電力系統數據通訊中的應用

李誠 LI Cheng；湯勝 TANG Sheng；康明 KANG Ming；賀志鋒 HE Zhi-feng；周波 ZHOU Bo

（國網湖北省電力公司武漢供電公司，武漢 430000）

（State Grid Hubei Electric Power Company Wuhan Power Supply Company，Wuhan 430000，China）

0 引言

在電力系統中，為了確保信息傳輸的安全性，保障電力系統的穩定性，本文根據電力系統數據傳輸的特點和在網絡傳輸中電力系統中信息存在的安全問題，以電力系統數據傳輸安全加密技術為背景，運用先進的加密技術對傳輸的數據進行處理，進而確保數據安全傳輸。

本文在確保電力系統信息安全的基礎上，在電力系統中，通過對電力系統中信息的特點、安全技術進行分析，同時對常用的信息安全技術、數據加密技術等進行討論，進而在一定程度上確保電力系統中信息安全傳輸。

經過多年的建設，電力系統中的信息安全防護體系已經初見成效，在電力系統中，各種信息安全技術得到廣泛應用。作為最簡單、最常用的方式,加密技術在一定程度上可以減少系統安全漏洞產生的安全問題。在實時數據通信方面，電力系統有著特殊的要求，在網絡上，電力系統都是通過明文對實時數據進行傳輸的，并且不同的網絡環境會影響，甚至限制加密手段。目前，在電力系統中，對于實時性傳輸要求較高的數據，基本沒進行任何加密措施處理。通常情況下，通過采用網絡物理隔離或者VPN 的方式對傳輸的數據進行處理，進一步確保數據傳輸的安全性。隨著科學技術的不斷發展，網絡數據流量逐漸增長，在電力系統通信中，基于TCP/IP 的網絡通信將成為主流。在電力系統中，一些關鍵數據依然通過明文的方式進行傳輸,這種傳輸方式在一定程度上降低了電力系統數據傳輸的安全性和穩定性。如果數據通信網絡遭到入侵，進而截獲、篡改、偽造實時數據，在這種情況下，將會造成重大的安全隱患，甚至引發重大事故。

1 數據加密技術

1.1 對稱密鑰加密體制 在對傳輸的數據進行加密處理的過程中，對稱密鑰加密算法作為一種加密方式，使用簡單快捷，密鑰比較短，破譯密匙存在一定難度。對于這種算法來說，其密鑰（秘密鑰）通常需要信使或秘密通道進行傳送，并且傳送、管理密鑰比較困難。在這種情況下，密鑰的秘密保存決定著算法的安全性。RC4、混沌算法、DES、IDEA、RCZ 算法等是對稱密鑰加密體制中的典型代表。

1.2 非對稱密鑰加密體制 非對稱加密算法與對稱加密算法相比，通常情況下需要公開密鑰（publickey）和私有密鑰（Privatekey）兩個密鑰。利用密鑰對數據進行加密處理時，如果使用公開密鑰進行加密，那么利用相應的私有密鑰才能解密；反之用相應的公開密鑰進行解密。

2 選擇加密算法

隨著網絡的推廣和使用，進一步催生了現代常用密碼學技術。對于密碼學技術來說，一方面可以確保信息傳輸的機密性，另一方面可以確保信息傳輸的完整性和確定性，進而在一定程度上避免信息被假冒或偽造。在網絡安全中，密碼學技術處于非常重要的地位。尋求安全性高的有效算法和協議這是密碼編碼技術的主要任務所在，進一步滿足數據傳輸和消息認證數字簽名的需要。對于現代密碼技術來說，根據密鑰類型不同，可以將其分為：對稱加密（秘密鑰匙加密）系統和公開密鑰加密（非對稱加密）系統。

2.1 對稱密碼系統 該密碼系統的安全性依賴于，第一：加密算法足夠強，信息解密只能通過密文本身去實現，在實踐上是不可能的；第二：密鑰的秘密性決定著加密方法的安全性，因此，在對數據進行加密時，只需確保密鑰的秘密性。在算法實現速度方面，對稱加密系統比較快，通常情況下，其軟件實現速度每秒高達數兆或數十兆比特。憑借自身的特點，對稱密碼系統得到廣泛的應用，因為不需要對算法進行保密，所以制造商可以開發出低成本的芯片對數據進行加密，這種芯片應用范圍比較廣，適合規模化生產。

2.2 公開密鑰加密系統 對于公開密鑰加密系統來說，由于采用不同的公鑰和私鑰，并且加密鑰匙是公開的，在這種情況下，分配、管理密鑰就比較簡單，進一步滿足了電子商務應用的需要。在實際應用過程中，密鑰加密系統沒有完全被公開密鑰加密系統取代，這是因為公開密鑰加密系統的實現速度滯后于對稱密鑰加密系統。

3 選擇加密方式

對于電力系統來說，需要采用端對端的加密方式對傳輸的數據進行加密處理,使數據以密文的形式存在于信道和交換節點上。

在網絡結構、硬件方面，實時數據加密的要求主要包括：

①為了確保加、解密速度，運行設備的CPU 需要具備一定的運算能力。

②網絡通信網絡延遲小，誤碼率低，帶寬滿足實時性和可靠性要求。

③主站端設有管理密鑰的服務器，主站的前置機能夠同時處理多個進程的加密/解密。

通常情況下，電力系統通過固定密鑰方式、一時一密方式對實時數據通信進行加密處理：

①固定密鑰方式。

作為一個用戶，每個終端擁有一個密鑰分配中心生成的密鑰,主站擁有所有終端的密鑰列表。安全信道建立之后，根據協商好的密鑰，終端與主站端進行通信。

②一時一密方式。

對于每個終端來說，通常情況下沒有固定的密鑰，同樣服務器也不保存密鑰。根據系統安全情況，服務器設置相應的時間參數，隨機地向密鑰分配中心請求密鑰。

4 管理密鑰

4.1 密鑰分配模式 在加密傳輸的過程中，由于需要將密匙分配給主機、節點和用戶，進而需要大量的密鑰。在加密通信中，密鑰的安全管理是一個非常重要的環節。通常情況下，通過采用中心化的密鑰管理方式對密匙進行管理，在一定程度上降低系統的復雜性。對于每次加密通信的密鑰，通常由密鑰分配中心負責其生成、分發、更新，以及銷毀等。

基于目前電力系統實際的情況，電力系統應該采用一時一密方式對實時數據進行加密，如果采用固定密鑰方式對實時數據進行加密處理，需要改變網絡結構或者增加終端設備，在這種情況下，會增加維護、更新密鑰的難度；每個終端需要分配一個密鑰，并且需要永久保存，這時需要對密鑰進行存儲和管理；對于泄漏的密鑰來說，吊銷或銷毀存在一定的難度。但是，采用一時一密的方式進行加密處理，可以通過預先生成的方式解決生成密鑰的時間問題；由密鑰分發控制傳輸的安全；對于密鑰來說，不需要進行保護、存儲和備份等處理。

4.2 密鑰的生成 在認證對方的身份后，通信雙方由主站端請求密鑰分配中心生成一個隨機密鑰用于加密通信。對于密鑰管理程序來說，通常情況下，可以預先生成一個隨機密鑰列表，接收到申請后，將列表中的第1個隨機密鑰發到服務器，然后再生成一個隨機密鑰，同時將其加到列表最后一位。在通信雙方中，不會永久存儲隨機密鑰，一般將其存放在內存中，受到銷毀密鑰命令后，密鑰字符串會被立即刪除，同時釋放所占內存。

4.3 密鑰的長度 非對稱算法一般用于認證，為保證在電力系統中認證的需要。加上現在計算機運算能力的快速提高，可以采用1024bit 長度的密鑰進行加密。MD5、SHA 等是比較常用的摘要算法，采用MD5對實時數據進行加密處理，并且MD5的加密方式具有更好的安全性。

5 SSL 協議實現實時數據傳輸加密

Secure Sockets Layer（SSL）安全套接字層。

對于SSL 協議來說，通常情況下位于TCP/IP 協議與各應用層協議之間，該協議的職責就是確保數據通訊的安全性。SSL 協議可分為SSL 記錄協議和SSL 握手協議。其中，SSL 記錄協議（SSL Record Protocol）：它建立在TCP 等可靠傳輸協議的基礎之上，進而在一定程度上為高層協議提供數據封裝、壓縮、加密等。SSL 握手協議（SSL Handshake Protocol）：該協議通常建立在SSL 記錄協議之上，主要用于實際數據傳輸開始前。

SSL 支持各種加密套件，算法強度根據實際情況選擇強弱，加密套件的選擇需要根據數據價值和實時性要求來確定。在連接時間方面，如果一次連接時間較長，在這種情況下可以使用一時一密的加密通信方式，利用隨機密鑰生成器生成的密鑰代替一次連接生成的密鑰，在服務器端需要加入密鑰生成器生成的密鑰，同時傳送相應的密鑰。在客戶端加入接受新密鑰，同時將舊密鑰銷毀。

在電力系統中，采用TCP 傳輸大量的應用數據和系統數據，在這種情況下，可以采用SSL 協議對數據實現加密，其算法本身已經采用了一次（連接）一密，通過連接服務器的IP 地址和端口，客戶機和服務器完成大量數據加密通信。

6 結束語

電力系統的信息安全管理在通信技術高速發展下，對網絡安全、數據安全提出了更高的要求。通信加密作為一項重要的技術，在電力系統的多個領域已經得到廣泛的應用。本文通過對電力系統數據傳輸的加密需求進行分析之后，提出了數據傳輸加密密鑰分發的一時一密方案和對數據傳輸加密的應用方案，同時對一時一密的加密過程進行分析。利用SSL 協議對數據傳輸進行TCP 加密傳輸，通過在服務器端和客戶端源程序加人SSL，可以根據加密的需求對密鑰管理方式和算法進行選擇，比較靈活，電力系統網絡環境、系統環境十分復雜，在以后的工作當中，還需要進一步完善該加密系統，提供電力系統信息傳輸的安全性。

[1]宋磊，羅其亮，羅毅，涂光瑜.電力系統實時數據通信加密方案[J].電力系統自動化，2004(07).

[2]宋磊.電力信息系統實時數據的通信安全[D].華中科技大學，2005(04).

[3]常逢佳.橢圓曲線加密算法研究及其在即時通訊系統中的應用[D].南京理工大學，2008(09).

[4]宣艷.信息加密技術在電力市場中的應用與研究[D].廣西師范大學，2002(05).

[5]劉艷芳.信息加密技術在ERP 系統中的應用和研究[D].河北工業大學，2006(01).