SM2密碼體系下的電網信息安全平臺設計

田里

摘要

根據當前電力二次系統安全防護體系的管理較為缺乏的情況，而現有的安全體系公鑰算法主要使用的是RSA算法，在這一情況下提出基于國產SM2密碼體系的安全支撐平臺相關設計方案以及具體的實施方案，對SM2算法存在的問題有效分析，并且提出采用組件技術進行自行研制的安全加密通道的方案構建，使得安全支撐平臺得以有效實現，在這一過程中，也需要能夠對集成整合后的安全支撐平臺功能有效檢測和具體分析處理。在相關研究的基礎上，能夠發現在，這一平臺能夠對電力二次系統應用之間無縫整合，使得其相互之間可以形成有機整體，并且提供安全性較高的身份認證和安全審計日志記錄等，對用戶信息和系統資源實施管理。

【關鍵詞】SM2密碼體系 電網信息 安全平臺設計

電力二次系統是指各個級別的電力監控系統和電力數據通信網絡工程等所一起形成的更大的系統，其也不斷成為當前電力異構二元復合網絡中較為重要的內容，其在電力信息網絡受到攻擊的時候，信息網的故障情也會早電力二次系統的基礎上，從而穿過信息網邊界，并且在這一過程中也會波及電力物理網，使得電力網絡在具體運轉的時候，會出現相關的連鎖反應情況，這些問題交替傳播的過程中，會對電網安全運行方面也會造成嚴重影響，本文提出基于SM2算法密碼體系的安全支撐平臺設計的方案以及實現方案，為了使得用戶硬件投資金額得以降低，這一平臺就需要支持RSA和SM2算法的密碼體系能夠一起應用，并且其也不會對當前業務的發生和發展造成不利影響，對政策的相關要求加以滿足，同時對RSA算法的密碼體系淘汰，使得其和密碼管理規范的內容相符合。

1 安全支撐平臺中SM2算法的應用存在的問題

在進行安全支撐平臺構建和應用的時候，也需要獲取相關的SM2算法數字證書，在這一過程中對其中的內容綜合考慮，使電力公司的公鑰基礎設施（PKI）系統能夠有效支撐SM2算法的數字證書發放的情況，并且電力二次應用系統是否能夠對SM2算法的數字證書合法使用。對于能否對國家商用SM2算法的數字證書的發放而言，其本身需要和第三方CA中心的關系更加緊密，而對于能否進行支持國家商用 SM2算法的數字證書應用的時候，其也需要和數字證書及電力系統應用的業務綜合在一起。

1.1 電力公司PKI系統是否可以發放支持SM2算法的數字證書

在社會不斷發展的過程中，電網運行安全也成為需要重視的內容，其在國家商用密碼的內容支持SM2橢圓曲線算法的加密卡等標準內容的基礎上進行必要規則制定，使得其能夠對SM2橢圓曲線算法的數字證書的合理有效發放提供相對完善的條件作為支撐。

1.2 電力二次系統是否可以使用支持國家商用SM2算法的數字證書

當前其所具備的RSA算法安全支撐平臺需要能夠和電力應用系統等需要綜合在一起，其能夠進行分為客戶端以及服務器處理，對客戶端而言，其在具體應用的時候，應用環境主要是在瀏覽器或者服務器等基礎上所實施的，這一過程中的用戶在IE瀏覽器的基礎上對系統資源進行訪問，并且對客戶端USBKey硬件加密設備有效應用，促使客戶端加密和驗證等方面有效實現，其次對于服務器端而言，其Web服務器需要能夠在在安全套接層協議和客戶端等內容中促使信息加密和解密的方式得以實現，對這些內容實施間接身份認證處理，服務器通常情況下需要在應用的時候，選擇較為標準的PKCS#11接口，在這一過程中促使硬件加密卡的訪問成為現實，并且提供具體的加解密以及簽名等相關服務內容。

2 安全支撐平臺的升級

使用SM2算法的安全支撐平臺實施單點登錄設計的過程中，需要在客戶端瀏覽器中對和iMidWare組件部署的相關內容加以處理，促使其對平臺部署iServer組件提供支持，在電力二次應用系統中進行iAccouni組件部署和具體運轉的時候，需要其能夠實現自行設計安全傳輸通道對原有SSL協議加密通道進行有效替換處理，使得平臺升級得以完善，支持SM2算法數字證書。

2.1 安全支撐平臺與客戶端的安全傳輸通道

客戶端在iMidWare組件和安全的支撐平臺iServer組件的基礎上，對這一過程中所應用的SSL協議加密通道有效替換，并且這兩個方面在安全傳輸通道中能夠進行雙重身份認證處理，安全支撐平臺在具體應用的時候，也需要能夠根據用戶的會話信息內容和用戶基本信息等相關內容形成相關的憑證票據，通過安全支撐平臺證書的認證之后，將認證證書傳遞給用戶端iMidWare安全組件。

2.2 安全支撐平臺與電力應用系統的安全傳輸通道

為了能夠對安全支撐平臺進行有效升級，也需要加強對SM2算法支撐，在支撐平臺和電力應用系統等加以應用的時候，對iServer組件和iAccount組件進行有效建設和應用，電力應用系統在具體應用的時候，其中用iAccount安全套件接口，對一次性憑證簽名和授權系統授權碼的合法性等方面進行驗證，在此之后，安全支撐平臺使得用戶屬性信息內容和應用的擴展信息內容等在簽字之后，進行加密，隨后將其退回給電力二次應用系統。在SM2算法的安全支撐平臺應用的時候，其中的相關架構和流程首先需要訪問用戶在客戶端中實施SM2算法插入，最后USBKey，在HTTP協議及數字證書等方面也需要進行電力二次系統登陸處理，促使電力二次系統訪問得以實現。其次是電力二次系統服務器在進行iAccount套件證書應用的時候，在這一過程中，安全支撐平臺會根據已經提交的SM2算法數字證書驗證用戶。SM2算法數字證書在進行有效認證之后，安全支撐平臺也要根據用戶自身的會話內容及隨機序列值等，在服務器證書簽字后形成相關的憑證，并且使得憑證能夠有效傳遞給客戶端，客戶端在iMidWare組件利用的基礎上進行簽名憑證提交。iAccount套件證書認證接口對一次性簽名憑證有效驗證的時候，其需要能夠在驗證通過之后，對用戶信息內容解密處理。

3 結束語

在統一安全支撐平臺構建的過程中，能夠促使當前各個區域中的電力二次應用系統整合，使用戶統一身份認證和統一授權等得以實現，這不僅對電力二次應用系統具有保護的作用，也能夠使得其訪問控制以及權限管理系統等方面的開發和維護等不斷得以簡化處理，使其管理成本得以減少，并且不斷得以簡化，對國家層面上的信息安全提供必要的保護。

參考文獻

[1]張躍，張騫，黃益彬，金倩倩.電網智能單元加密算法效率評估[J].計算機測量與控制，2017，25（05）：258-261+272.

[2]陳聞卿，朱巖.SM2數字簽名算法在電力分界開關控制器中的研究與應用[J].電力科學與技術學報，2015，30（03）：121-125.

[3]王志賀，駱釗，謝吉華，顧偉，陳海超，許超，周亮.基于SM2密碼體系的SD卡的電力移動終端安全接入方案[J].中國電力，2015，48（05）：75-80.

[4]駱釗，謝吉華，顧偉，徐芳，金鈞華.基于SM2密碼體系的電網信息安全支撐平臺開發[J].電力系統自動化，2014，38（06）：68-74.