通信加密技術在電力系統中的應用研究

楊 飛

(廣東電網有限責任公司佛山供電局，廣東 佛山 52800)

通信加密技術在電力系統中的應用研究

楊 飛

(廣東電網有限責任公司佛山供電局，廣東 佛山 52800)

隨著電力企業信息安全需求的提升，越來越多的信息安全技術被用于電力信息系統的安全防護當中。本文針對電力信息系統的通信加密技術進行了研究，論文首先設計了通信加密技術在電力信息系統中的應用架構，其次論文研究了通信業務數據的加密以及認證方法，最后論文討論了業務數據包的通信模式以及數據封裝方法。實踐證明，通信加密技術能有效避免業務數據在傳輸過程中被篡改和竊聽，對提高電力信息系統的整體安全水平，保障企業內網數據安全具有重要意義。

IPsec VPN、電力信息系統、信息安全

本文著錄格式：楊飛. 通信加密技術在電力系統中的應用研究[J]. 軟件，2016，37（12）：176-179

0 引言

隨著企業信息化的發展，越來越多的信息系統部署到企業內部用于提升企業的信息化水平。在電網公司內部，企業建成了龐大的電力監控系統以及管理信息系統用于電力的生產、調度、營銷以及辦公自動化等。然而，企業信息化水平在高速發展的同時也帶來了不可忽視的信息安全風險[1]。在這些信息安全風險當中，數據明文傳輸且易被篡改偽造是管理信息系統以及電力監控系統面臨的共同問題。這主要是由于TCP/IP協議在設計之初并沒有考慮網絡安全問題，且大部分電力工業控制系統協議均采用明文方式[2]。正因為如此，企業采用了多種信息安全措施來保障企業電力電力監控系統及管理信息系統的安全穩定運行。

本文針對電力系統的通信加密技術進行了研究，論文首先設計了通信加密技術在電力系統中的應用架構，其次研究了數據加密以及認證方法，最后討論了業務數據包的封裝模式。實踐證明，通信加密技術能有效避免業務數據在傳輸過程中被篡改和竊聽，能有效提高電力系統的整體信息安全水平，對保障企業系統及數據安全具有重要意義。

1 通信加密技術應用架構

在電力企業當中，通信加密技術是一種能有效保障網絡通信機密性和完整性的方法得到了廣泛的應用。在企業內部，典型的通信加密技術的應用架構如圖1所示[3]。

電力監控系統主要采用IPsec VPN技術實現通信加密，其在網絡邊界處部署縱向加密裝置，該設備屬于電力監控系統專用的VPN網關設備，調度自動化系統主站分別和變電站及發電廠建立IPsec VPN隧道實現對通信業務的信息安全保護。管理信息系統主要采用SSL VPN技術用于系統信息安全保障，遠程訪問用戶通過SSL VPN隧道和管理信息系統內部服務器建立安全連接。在電力系統當中，為實現數據的通信加密，還需要部署數字證書系統，通過數字證書系統給用戶及縱向加密認證裝置頒發證書以實現用戶身份的合法證明，避免惡意分子偽造身份對系統發起網絡攻擊。在管理信息系統當中，用戶證書通過安全寫入USB-KEY的方式實現證書的頒發，在電力監控系統當中，設備證書通過離線導入的方式導入縱向加密認證裝置當中。在電力系統當中，為保障數字證書系統的安全，其一般為離線部署[4]。

在實際應用當中，IPsec VPN技術主要有3種典型的應用場景[5]：

1）網關到網關應用場景：網關之間相互建立VPN隧道，網關實現對其后端的內網通信主機進行保護，此應用場景不需要內網主機做額外配置即可實現VPN通信，但需要網關配置公網IP地址。

2）主機到主機應用場景：主機之間建立VPN隧道，此應用場景需要內網主機進行額外配置，并擁有公網IP地址。

3）主機到網關應用場景，主機和遠端網關之間建立VPN隧道，遠端網關實現對內部主機的保護，其中網關的外網端口和主機均需要公網IP。

電力監控系統主要采取IPsec VPN的網關到網關的應用場景，系統內部服務器不需要額外配置，以方便系統的運維及管理。

圖1 通信加密技術在電網中的應用架構Fig.1 The application architecture of communication encryption technology in power grid

2 數據加密認證方法

在電力系統當中，廣泛應用的密碼算法主要包括對稱加密算法和非對稱加密算法。對稱加密使用同一個密鑰用于數據加解密，其流程如圖2所示。該密碼算法的優點在于數據的加解密速度快，其缺點在于通信加密的安全強度主要通過密鑰的強度來保證，如果通信機制設計有缺陷或密鑰強度不夠，將很容易導致密鑰被破解或泄露，進而導致通信加密體系奔潰[6]。

圖2 對稱密碼算法加解密示意圖Fig.2 The sketch map of symmetric cryptographic algorithm

非對稱密碼算法使用公私密鑰對進行數據加解密，其加解密流程如圖3所示。密鑰K1和K2有公私鑰之分，且必須配合成對使用。公鑰是公開的，由權威機構進行認證和發布，私鑰由通信實體保存，不公開且必須受到嚴格保護。公鑰和私鑰在地位上是對等的，理論上，密鑰K1和K2是非對稱密碼算法的2個參數，在數值上沒有關聯關系，且不能相互導出。該方法的優點在缺數據加密強度高，缺點在于數據加解密效率比較低[7]。

圖3 非對稱密碼算法加解密示意圖Fig.3 The sketch map of asymmetric cryptographic algorithm

在電力系統當中，為實現保障業務數據在傳輸過程中不被竊聽和被偽造，本文提出如下加密認證方法，如圖4所示。用戶A和用戶B都有一對公私對，分別用(PubA, PriA)和(PubB, PriB) 來分別表示。

圖4 非對稱密碼算法加解密示意圖Fig.4 The encryption and authentication methods in power grid

1）數據加密方法實現：用戶A使用用戶B的公鑰PubB對業務數據進行加密，并將加密后的數據發給用戶B。用戶B使用自己的私鑰PriB進行解密。由于只有用戶B有自己的私鑰PriB，且私鑰不對外公開，因此只有用戶B才能對數據進行解密，這就保證了通信數據的機密性。

2）數據認證方法實現：用戶A使用自己的私鑰PriA對數據進行加密，并將加密后的數據發送給用戶B，用戶B使用用戶A的公鑰PubA進行解密，并驗收數據的正確性。由于只要用戶A擁有自己的私鑰PriA，如果用戶B能夠對數據解密并驗證數據正確，那么就能確認該數據是由用戶A發出，用戶A不能否認自己加密并發送數據的行為。

3）數據的加密與認證方法實現：用戶A使用用戶B的公鑰PubB和自己的私鑰PriA對數據進行加密，并將數據發送給用戶B，用戶B分別使用自己的私鑰PriB和用戶A的公鑰PubA解密，這樣就保證了數據的機密性和數據源身份認證。

在實際應用當中，為加快系統加解密的速度，并保障數據通信加密的高安全，可以先通過非對稱密碼算法協商業務數據通信的會話密鑰，并將會話密鑰作為對稱密碼算法的密鑰對業務系統數據進行加密，以實現業務數據的高安全以及高效率的通信[8]。

3 數據包封裝模式

通信加密技術在電力系統應用上主要有兩種數據包封裝模式，ESP（ESP：Encapsulated Security Payload）數據包封裝模式和AH（AH：Authentication Header）數據包封裝模式[5]。不同數據包的封轉模式可以實現不同的通信加密效果。

3.1 ESP數據包封轉模式

ESP數據包封裝模式可以實現通信數據的完整性保護、數據加密、防重放等安全功能；其加密算法可以使用DES、3DES、AES、國密SM1等加密算法實現，其數據摘要算法可以使用MD5、SHA1、國密SM3等密碼算法來實現數，圖5是ESP封裝模式下數據包的封裝格式。

對于傳輸模式，原始數據包的應用數據將被加密并封裝在新數據包的應用層，原始IP頭將繼續保留，同時，在新的數據包將添加ESP報文頭和ESP認證[5][9]。

對于隧道模式，原始數據包的IP頭和包數據都將被加密并封裝成新數據包的應用層數據，新數據包將添加新的IP頭，ESP報文頭和ESP認證[5][10]。

3.1 AH數據包封轉封裝

AH數據包封裝模式可以實現完整性確認、數據源確認、防重放等安全功能，圖6是AH協議對數據包的封裝格式。

對于傳輸模式，IPsec VPN保存原始的IP頭和包數據不變，但是在新的數據包中添加了AH認證頭，AH認證頭=hash(原始IP頭||報數據)，常用的數據摘要算法包括MD5、SHA1和國密SM3等。

對于隧道模式，IPsec VPN在原始數據包中添加外網IP頭和AH認證頭，其中AH認證頭=hash(外網IP頭||原始IP頭||報數據)。

4 結論

本文對電力系統的通信加密技術進行了研究，論文分析了電力系統數據通信的信息安全風險，提出了通信加密技術在電力系統中的應用架構，給出了業務數據加密及認證方法的研究，并設計了業務數據包的封轉模式。實踐證明，采用通信加密技術可以有效保障電力業務系統的信息安全。

圖5 ESP數據包封裝格式Fig.5 ESP packet encapsulation format

圖6 AH數據包封裝格式Fig.6 AH packet encapsulation format

[1] 邵光強, 王岳. OpenSSL在IEC61850通信安全中的應用[J].電力系統通信, 2008, 29(188): 30-33. SHAO G Q，WANG Y. Application of Openssl in IEC61850 Communication Security [J]. Telecommunications for Electric Power System, 2008, 29(188): 30-33. (in Chinese)

[2] 胡炎, 董名垂. 用SSL協議加強電力系統網絡應用的安全性[J]. 電力系統自動化, 2002, 26(15): 70-77. HU Y, DONG M C. Strengthening the Security of Network Applications with SSL Protocol [J]. Automation Of Electric Power Systems, 2002, 26(15): 70-77. (in Chinese)

[3] 宋磊, 羅其亮, 羅毅, 涂光瑜. 電力系統實時數據通信加密方案[J]. 電力系統自動化, 2008, 28(14):76-81. SONG L, LUO Q L, LUO Y, TU G Y. Encryption on Power Systems Real-Time Data Communication[J]. Automation of Electric Power Systems, 2008, 28(14): 76-81. (in Chinese)

[4] 景峰, 徐澄宇, 李欣. 通信加密與數字認證在企業信息系統的應用[J]. 山西電力, 2010(4), 2010(4): 37-39. JING F X, Cheng Y Y, LI X. Application of Communications Encryption and Digital Authentication Technology in Enterprise Information System [J]. Shanxi Electric Power, 2010(4): 37-39. (in Chinese)

[5] 徐家臻, 陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J], 計算機工程與設計, 2004 25(4): 586-588. XU J X, CHEN S M. Comparison and Analysis of IPsec-Based And SSL-Based VPN [J]. Computer Engineering and Design, 2004, 25(4): 586-588. (in Chinese)

[6] 孫亮, 金偉信. 基于對稱密碼體制的通信加密方案設計與研究[J]. 信息網絡安全, 2013(8): 18-20. SUN L, JIN W X. Design and Research of Communication Encryption Scheme Based on the Symmetric Cryptography [J]. Netinfo Security, 2013(8): 18-20. (in Chinese)

[7] 吳班, 武君勝. 通信加密與鑒別技術在電子商務中的應用[J]. 航空計算技術, 2006, 36(2): 70-73. WU B, WU J S. Application of Encrypted Communications and Identify Technique in Electronic Commerce [J]. Aeronautical Computing Technique, 2006, 36(2): 70-73. (in Chinese)

[8] 秦鴻. 利用VPN技術實現遠程訪問的研究與實踐[J]. 圖書情報工作, 2007, 52(3): 117-120. Qin H. Exploration and Practice on Remote Access to EResources Using VPN Technology [J]. Library And Information Service, 2007, 52(3): 117-120. (in Chinese)

[9] 楊正校, 劉靜. 工業控制系統信息安全防范研究[J]. 軟件, 2014,35(8): 55-58. YANG Z X, LIU J. Industrial Control System of Information Security Defense [J]. Computer engineering & Software, 2014, 35(8): 55-58. (in Chinese)

[10] 袁泓, 李繼國. 無線網絡安全通信加密算法仿真研究[J].計算機仿真, 2015, 32(3): 331-334. YUAN H, LI J G. Simulation on Encryption Algorithm for Communication under Public Key Cryptosystems [J]. Computer Simulation, 2015, 32(3): 331-334. (in Chinese)

The Application Research of Communication Encryption Technology in Power System

YANG Fei

(Foshan Power Supply Bureau of Guangdong Power Grid Co., Ltd. Foshan 52800, China)

With the enhancement of information security needs, more and more information security technology has been introduced into the power system. As one of the most powerful technologies, communication encryption technology plays an important role in the information protection of data confidentiality and integrity. In this paper, we designed the encrypted application architecture, studied the confidentiality and non-repudiation protection methods, and discussed the data packet encapsulation mode. It was proved that the communication encryption technology can effectively protect communication data from being tampered or eavesdropped and can improve the overall safety level of the power information system.

Communication encryption technology; Power system

TP393

A

10.3969/j.issn.1003-6970.2016.12.037

楊飛(1978-)，男，工程師，主要研究方向：網絡與信息安全。