楊 飛

(廣東電網(wǎng)有限責(zé)任公司佛山供電局，廣東 佛山 52800)

通信加密技術(shù)在電力系統(tǒng)中的應(yīng)用研究

楊 飛

(廣東電網(wǎng)有限責(zé)任公司佛山供電局，廣東 佛山 52800)

隨著電力企業(yè)信息安全需求的提升，越來越多的信息安全技術(shù)被用于電力信息系統(tǒng)的安全防護當(dāng)中。本文針對電力信息系統(tǒng)的通信加密技術(shù)進行了研究，論文首先設(shè)計了通信加密技術(shù)在電力信息系統(tǒng)中的應(yīng)用架構(gòu)，其次論文研究了通信業(yè)務(wù)數(shù)據(jù)的加密以及認(rèn)證方法，最后論文討論了業(yè)務(wù)數(shù)據(jù)包的通信模式以及數(shù)據(jù)封裝方法。實踐證明，通信加密技術(shù)能有效避免業(yè)務(wù)數(shù)據(jù)在傳輸過程中被篡改和竊聽，對提高電力信息系統(tǒng)的整體安全水平，保障企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全具有重要意義。

IPsec VPN、電力信息系統(tǒng)、信息安全

本文著錄格式：楊飛. 通信加密技術(shù)在電力系統(tǒng)中的應(yīng)用研究[J]. 軟件，2016，37（12）：176-179

0 引言

隨著企業(yè)信息化的發(fā)展，越來越多的信息系統(tǒng)部署到企業(yè)內(nèi)部用于提升企業(yè)的信息化水平。在電網(wǎng)公司內(nèi)部，企業(yè)建成了龐大的電力監(jiān)控系統(tǒng)以及管理信息系統(tǒng)用于電力的生產(chǎn)、調(diào)度、營銷以及辦公自動化等。然而，企業(yè)信息化水平在高速發(fā)展的同時也帶來了不可忽視的信息安全風(fēng)險[1]。在這些信息安全風(fēng)險當(dāng)中，數(shù)據(jù)明文傳輸且易被篡改偽造是管理信息系統(tǒng)以及電力監(jiān)控系統(tǒng)面臨的共同問題。這主要是由于TCP/IP協(xié)議在設(shè)計之初并沒有考慮網(wǎng)絡(luò)安全問題，且大部分電力工業(yè)控制系統(tǒng)協(xié)議均采用明文方式[2]。正因為如此，企業(yè)采用了多種信息安全措施來保障企業(yè)電力電力監(jiān)控系統(tǒng)及管理信息系統(tǒng)的安全穩(wěn)定運行。

本文針對電力系統(tǒng)的通信加密技術(shù)進行了研究，論文首先設(shè)計了通信加密技術(shù)在電力系統(tǒng)中的應(yīng)用架構(gòu)，其次研究了數(shù)據(jù)加密以及認(rèn)證方法，最后討論了業(yè)務(wù)數(shù)據(jù)包的封裝模式。實踐證明，通信加密技術(shù)能有效避免業(yè)務(wù)數(shù)據(jù)在傳輸過程中被篡改和竊聽，能有效提高電力系統(tǒng)的整體信息安全水平，對保障企業(yè)系統(tǒng)及數(shù)據(jù)安全具有重要意義。

1 通信加密技術(shù)應(yīng)用架構(gòu)

在電力企業(yè)當(dāng)中，通信加密技術(shù)是一種能有效保障網(wǎng)絡(luò)通信機密性和完整性的方法得到了廣泛的應(yīng)用。在企業(yè)內(nèi)部，典型的通信加密技術(shù)的應(yīng)用架構(gòu)如圖1所示[3]。

電力監(jiān)控系統(tǒng)主要采用IPsec VPN技術(shù)實現(xiàn)通信加密，其在網(wǎng)絡(luò)邊界處部署縱向加密裝置，該設(shè)備屬于電力監(jiān)控系統(tǒng)專用的VPN網(wǎng)關(guān)設(shè)備，調(diào)度自動化系統(tǒng)主站分別和變電站及發(fā)電廠建立IPsec VPN隧道實現(xiàn)對通信業(yè)務(wù)的信息安全保護。管理信息系統(tǒng)主要采用SSL VPN技術(shù)用于系統(tǒng)信息安全保障，遠(yuǎn)程訪問用戶通過SSL VPN隧道和管理信息系統(tǒng)內(nèi)部服務(wù)器建立安全連接。在電力系統(tǒng)當(dāng)中，為實現(xiàn)數(shù)據(jù)的通信加密，還需要部署數(shù)字證書系統(tǒng)，通過數(shù)字證書系統(tǒng)給用戶及縱向加密認(rèn)證裝置頒發(fā)證書以實現(xiàn)用戶身份的合法證明，避免惡意分子偽造身份對系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊。在管理信息系統(tǒng)當(dāng)中，用戶證書通過安全寫入USB-KEY的方式實現(xiàn)證書的頒發(fā)，在電力監(jiān)控系統(tǒng)當(dāng)中，設(shè)備證書通過離線導(dǎo)入的方式導(dǎo)入縱向加密認(rèn)證裝置當(dāng)中。在電力系統(tǒng)當(dāng)中，為保障數(shù)字證書系統(tǒng)的安全，其一般為離線部署[4]。

在實際應(yīng)用當(dāng)中，IPsec VPN技術(shù)主要有3種典型的應(yīng)用場景[5]：

1）網(wǎng)關(guān)到網(wǎng)關(guān)應(yīng)用場景：網(wǎng)關(guān)之間相互建立VPN隧道，網(wǎng)關(guān)實現(xiàn)對其后端的內(nèi)網(wǎng)通信主機進行保護，此應(yīng)用場景不需要內(nèi)網(wǎng)主機做額外配置即可實現(xiàn)VPN通信，但需要網(wǎng)關(guān)配置公網(wǎng)IP地址。

2）主機到主機應(yīng)用場景：主機之間建立VPN隧道，此應(yīng)用場景需要內(nèi)網(wǎng)主機進行額外配置，并擁有公網(wǎng)IP地址。

3）主機到網(wǎng)關(guān)應(yīng)用場景，主機和遠(yuǎn)端網(wǎng)關(guān)之間建立VPN隧道，遠(yuǎn)端網(wǎng)關(guān)實現(xiàn)對內(nèi)部主機的保護，其中網(wǎng)關(guān)的外網(wǎng)端口和主機均需要公網(wǎng)IP。

電力監(jiān)控系統(tǒng)主要采取IPsec VPN的網(wǎng)關(guān)到網(wǎng)關(guān)的應(yīng)用場景，系統(tǒng)內(nèi)部服務(wù)器不需要額外配置，以方便系統(tǒng)的運維及管理。

圖1 通信加密技術(shù)在電網(wǎng)中的應(yīng)用架構(gòu)Fig.1 The application architecture of communication encryption technology in power grid

2 數(shù)據(jù)加密認(rèn)證方法

在電力系統(tǒng)當(dāng)中，廣泛應(yīng)用的密碼算法主要包括對稱加密算法和非對稱加密算法。對稱加密使用同一個密鑰用于數(shù)據(jù)加解密，其流程如圖2所示。該密碼算法的優(yōu)點在于數(shù)據(jù)的加解密速度快，其缺點在于通信加密的安全強度主要通過密鑰的強度來保證，如果通信機制設(shè)計有缺陷或密鑰強度不夠，將很容易導(dǎo)致密鑰被破解或泄露，進而導(dǎo)致通信加密體系奔潰[6]。

圖2 對稱密碼算法加解密示意圖Fig.2 The sketch map of symmetric cryptographic algorithm

非對稱密碼算法使用公私密鑰對進行數(shù)據(jù)加解密，其加解密流程如圖3所示。密鑰K1和K2有公私鑰之分，且必須配合成對使用。公鑰是公開的，由權(quán)威機構(gòu)進行認(rèn)證和發(fā)布，私鑰由通信實體保存，不公開且必須受到嚴(yán)格保護。公鑰和私鑰在地位上是對等的，理論上，密鑰K1和K2是非對稱密碼算法的2個參數(shù)，在數(shù)值上沒有關(guān)聯(lián)關(guān)系，且不能相互導(dǎo)出。該方法的優(yōu)點在缺數(shù)據(jù)加密強度高，缺點在于數(shù)據(jù)加解密效率比較低[7]。

圖3 非對稱密碼算法加解密示意圖Fig.3 The sketch map of asymmetric cryptographic algorithm

在電力系統(tǒng)當(dāng)中，為實現(xiàn)保障業(yè)務(wù)數(shù)據(jù)在傳輸過程中不被竊聽和被偽造，本文提出如下加密認(rèn)證方法，如圖4所示。用戶A和用戶B都有一對公私對，分別用(PubA, PriA)和(PubB, PriB) 來分別表示。

圖4 非對稱密碼算法加解密示意圖Fig.4 The encryption and authentication methods in power grid

1）數(shù)據(jù)加密方法實現(xiàn)：用戶A使用用戶B的公鑰PubB對業(yè)務(wù)數(shù)據(jù)進行加密，并將加密后的數(shù)據(jù)發(fā)給用戶B。用戶B使用自己的私鑰PriB進行解密。由于只有用戶B有自己的私鑰PriB，且私鑰不對外公開，因此只有用戶B才能對數(shù)據(jù)進行解密，這就保證了通信數(shù)據(jù)的機密性。

2）數(shù)據(jù)認(rèn)證方法實現(xiàn)：用戶A使用自己的私鑰PriA對數(shù)據(jù)進行加密，并將加密后的數(shù)據(jù)發(fā)送給用戶B，用戶B使用用戶A的公鑰PubA進行解密，并驗收數(shù)據(jù)的正確性。由于只要用戶A擁有自己的私鑰PriA，如果用戶B能夠?qū)?shù)據(jù)解密并驗證數(shù)據(jù)正確，那么就能確認(rèn)該數(shù)據(jù)是由用戶A發(fā)出，用戶A不能否認(rèn)自己加密并發(fā)送數(shù)據(jù)的行為。

3）數(shù)據(jù)的加密與認(rèn)證方法實現(xiàn)：用戶A使用用戶B的公鑰PubB和自己的私鑰PriA對數(shù)據(jù)進行加密，并將數(shù)據(jù)發(fā)送給用戶B，用戶B分別使用自己的私鑰PriB和用戶A的公鑰PubA解密，這樣就保證了數(shù)據(jù)的機密性和數(shù)據(jù)源身份認(rèn)證。

在實際應(yīng)用當(dāng)中，為加快系統(tǒng)加解密的速度，并保障數(shù)據(jù)通信加密的高安全，可以先通過非對稱密碼算法協(xié)商業(yè)務(wù)數(shù)據(jù)通信的會話密鑰，并將會話密鑰作為對稱密碼算法的密鑰對業(yè)務(wù)系統(tǒng)數(shù)據(jù)進行加密，以實現(xiàn)業(yè)務(wù)數(shù)據(jù)的高安全以及高效率的通信[8]。

3 數(shù)據(jù)包封裝模式

通信加密技術(shù)在電力系統(tǒng)應(yīng)用上主要有兩種數(shù)據(jù)包封裝模式，ESP（ESP：Encapsulated Security Payload）數(shù)據(jù)包封裝模式和AH（AH：Authentication Header）數(shù)據(jù)包封裝模式[5]。不同數(shù)據(jù)包的封轉(zhuǎn)模式可以實現(xiàn)不同的通信加密效果。

3.1 ESP數(shù)據(jù)包封轉(zhuǎn)模式

ESP數(shù)據(jù)包封裝模式可以實現(xiàn)通信數(shù)據(jù)的完整性保護、數(shù)據(jù)加密、防重放等安全功能；其加密算法可以使用DES、3DES、AES、國密SM1等加密算法實現(xiàn)，其數(shù)據(jù)摘要算法可以使用MD5、SHA1、國密SM3等密碼算法來實現(xiàn)數(shù)，圖5是ESP封裝模式下數(shù)據(jù)包的封裝格式。

對于傳輸模式，原始數(shù)據(jù)包的應(yīng)用數(shù)據(jù)將被加密并封裝在新數(shù)據(jù)包的應(yīng)用層，原始IP頭將繼續(xù)保留，同時，在新的數(shù)據(jù)包將添加ESP報文頭和ESP認(rèn)證[5][9]。

對于隧道模式，原始數(shù)據(jù)包的IP頭和包數(shù)據(jù)都將被加密并封裝成新數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)，新數(shù)據(jù)包將添加新的IP頭，ESP報文頭和ESP認(rèn)證[5][10]。

3.1 AH數(shù)據(jù)包封轉(zhuǎn)封裝

AH數(shù)據(jù)包封裝模式可以實現(xiàn)完整性確認(rèn)、數(shù)據(jù)源確認(rèn)、防重放等安全功能，圖6是AH協(xié)議對數(shù)據(jù)包的封裝格式。

對于傳輸模式，IPsec VPN保存原始的IP頭和包數(shù)據(jù)不變，但是在新的數(shù)據(jù)包中添加了AH認(rèn)證頭，AH認(rèn)證頭=hash(原始IP頭||報數(shù)據(jù))，常用的數(shù)據(jù)摘要算法包括MD5、SHA1和國密SM3等。

對于隧道模式，IPsec VPN在原始數(shù)據(jù)包中添加外網(wǎng)IP頭和AH認(rèn)證頭，其中AH認(rèn)證頭=hash(外網(wǎng)IP頭||原始IP頭||報數(shù)據(jù))。

4 結(jié)論

本文對電力系統(tǒng)的通信加密技術(shù)進行了研究，論文分析了電力系統(tǒng)數(shù)據(jù)通信的信息安全風(fēng)險，提出了通信加密技術(shù)在電力系統(tǒng)中的應(yīng)用架構(gòu)，給出了業(yè)務(wù)數(shù)據(jù)加密及認(rèn)證方法的研究，并設(shè)計了業(yè)務(wù)數(shù)據(jù)包的封轉(zhuǎn)模式。實踐證明，采用通信加密技術(shù)可以有效保障電力業(yè)務(wù)系統(tǒng)的信息安全。

圖5 ESP數(shù)據(jù)包封裝格式Fig.5 ESP packet encapsulation format

圖6 AH數(shù)據(jù)包封裝格式Fig.6 AH packet encapsulation format

[1] 邵光強, 王岳. OpenSSL在IEC61850通信安全中的應(yīng)用[J].電力系統(tǒng)通信, 2008, 29(188): 30-33. SHAO G Q，WANG Y. Application of Openssl in IEC61850 Communication Security [J]. Telecommunications for Electric Power System, 2008, 29(188): 30-33. (in Chinese)

[2] 胡炎, 董名垂. 用SSL協(xié)議加強電力系統(tǒng)網(wǎng)絡(luò)應(yīng)用的安全性[J]. 電力系統(tǒng)自動化, 2002, 26(15): 70-77. HU Y, DONG M C. Strengthening the Security of Network Applications with SSL Protocol [J]. Automation Of Electric Power Systems, 2002, 26(15): 70-77. (in Chinese)

[3] 宋磊, 羅其亮, 羅毅, 涂光瑜. 電力系統(tǒng)實時數(shù)據(jù)通信加密方案[J]. 電力系統(tǒng)自動化, 2008, 28(14):76-81. SONG L, LUO Q L, LUO Y, TU G Y. Encryption on Power Systems Real-Time Data Communication[J]. Automation of Electric Power Systems, 2008, 28(14): 76-81. (in Chinese)

[4] 景峰, 徐澄宇, 李欣. 通信加密與數(shù)字認(rèn)證在企業(yè)信息系統(tǒng)的應(yīng)用[J]. 山西電力, 2010(4), 2010(4): 37-39. JING F X, Cheng Y Y, LI X. Application of Communications Encryption and Digital Authentication Technology in Enterprise Information System [J]. Shanxi Electric Power, 2010(4): 37-39. (in Chinese)

[5] 徐家臻, 陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J], 計算機工程與設(shè)計, 2004 25(4): 586-588. XU J X, CHEN S M. Comparison and Analysis of IPsec-Based And SSL-Based VPN [J]. Computer Engineering and Design, 2004, 25(4): 586-588. (in Chinese)

[6] 孫亮, 金偉信. 基于對稱密碼體制的通信加密方案設(shè)計與研究[J]. 信息網(wǎng)絡(luò)安全, 2013(8): 18-20. SUN L, JIN W X. Design and Research of Communication Encryption Scheme Based on the Symmetric Cryptography [J]. Netinfo Security, 2013(8): 18-20. (in Chinese)

[7] 吳班, 武君勝. 通信加密與鑒別技術(shù)在電子商務(wù)中的應(yīng)用[J]. 航空計算技術(shù), 2006, 36(2): 70-73. WU B, WU J S. Application of Encrypted Communications and Identify Technique in Electronic Commerce [J]. Aeronautical Computing Technique, 2006, 36(2): 70-73. (in Chinese)

[8] 秦鴻. 利用VPN技術(shù)實現(xiàn)遠(yuǎn)程訪問的研究與實踐[J]. 圖書情報工作, 2007, 52(3): 117-120. Qin H. Exploration and Practice on Remote Access to EResources Using VPN Technology [J]. Library And Information Service, 2007, 52(3): 117-120. (in Chinese)

[9] 楊正校, 劉靜. 工業(yè)控制系統(tǒng)信息安全防范研究[J]. 軟件, 2014,35(8): 55-58. YANG Z X, LIU J. Industrial Control System of Information Security Defense [J]. Computer engineering & Software, 2014, 35(8): 55-58. (in Chinese)

[10] 袁泓, 李繼國. 無線網(wǎng)絡(luò)安全通信加密算法仿真研究[J].計算機仿真, 2015, 32(3): 331-334. YUAN H, LI J G. Simulation on Encryption Algorithm for Communication under Public Key Cryptosystems [J]. Computer Simulation, 2015, 32(3): 331-334. (in Chinese)

The Application Research of Communication Encryption Technology in Power System

YANG Fei

(Foshan Power Supply Bureau of Guangdong Power Grid Co., Ltd. Foshan 52800, China)

With the enhancement of information security needs, more and more information security technology has been introduced into the power system. As one of the most powerful technologies, communication encryption technology plays an important role in the information protection of data confidentiality and integrity. In this paper, we designed the encrypted application architecture, studied the confidentiality and non-repudiation protection methods, and discussed the data packet encapsulation mode. It was proved that the communication encryption technology can effectively protect communication data from being tampered or eavesdropped and can improve the overall safety level of the power information system.

Communication encryption technology; Power system

TP393

A

10.3969/j.issn.1003-6970.2016.12.037

楊飛(1978-)，男，工程師，主要研究方向：網(wǎng)絡(luò)與信息安全。