广东电网有限责任公司揭阳供电局 广东省揭阳市 522000
【摘要】 数据加密技术在电力监控系统安全防护中得到广泛的应用,本文重点阐述了什么是数据加密技术、数据加密的方法以及数据加密技术在电力监控系统中的应用情况。
【关键词】加密;电力;监控系统;应用
引言
随着智能电网和数字电网的不断发展,电力监控系统网络安全问题就愈加突出,对电网安全运行的影响也越来越大。自2017年《中华人民共和国网络安全法》实施以来,国家对电网企业电力监控系统网络安全愈加重视,态势感知、流量控测等网络安全新技术也开始在南网的各类系统中得到广泛的应用。而数据加密技术始终在电力监控系统安全防护中起到不可替代的作用。
1. 数据加密技术
数据加密是目前远程数据传输对信息保护的最可靠的办法。利用加密钥匙和加密算法等密码技术对传输数据进行加密,变成没有实际意义的密文,实现信息隐蔽,从而达到数据传输安全防护的目的。而解密则是通过解密算法和解密密钥将无意义的数据还原成明文。数据加密技术的核心是密码学。
加密涉及三个基本元素:明文、密文和密钥,如图4-1所示。明文:就是人们或计算机可读懂、有意义的语言。密文:就是明文经加密变换后人们或计算机无法读懂、无意义的语言。密钥:参与加密变换的输入参数。
图1 数据加密传输过程
数据加密技术要求发送方通过密钥对远程传输数据进行加密,并将密文在专用的数据通道上进行传输,接收方再进行解密从而获取原文。
2. 密钥
密钥分为专用密钥和公开密钥。
2.1 专用密钥
如果数据传输过程中加密和解密使用相同的密钥,则该密钥称为专用密钥或者单密钥。专用密钥的工作方式相对简单,采用本地的密钥对数据进行加密后发送给对方,然后将本地的密钥采用另外的方法发给对方,对方需使用我方的密钥对接收到的数据进行解密。反之,对方如需发送数据给我方,也是同样的道理。密文在信息上进行传送,收到密钥时必须用同一个密钥将密文进行解密,翻译成文本。
国密SM1算法是经过国家密码局审批的SM1分组密码算法,SM1算法由密码局所编,该算法与AES算法一样具备高强度的安全保密性,从软、硬性的性能来分析,两者也具有一定的可比性,但有一个不同点就是SM1算法不对外公开。本算法目前应用各个国民经济、网上支付等领域,其中还包括公安、法院等政府机关。现阶段,以SM1算法为核心的网络安全产品非常多样,包括加拨号网关,Ukey等。
非对称加密算法的加密密钥和解密密钥之间虽存在一定的联系,但又不能够相互推导。有一把公用的加密密钥,有多把解密密钥,如国外的公钥加密算法RSA和国内的椭圆曲线公钥密码算法SM2。
非对称密钥由于其加密算法和解密算法各不相同,所以可以将加密密钥公开,而将解密密钥保密,同样能够达到加密的效果。
在数据传输过程中,首先用对方的公开密钥对数据转成密文,再利用私有密钥将密文翻译成文本文字。公钥和私钥之间的关系通常是数学关系。公钥和私钥都由素数组成,并且有个共同的特点,就是位数很多。利用单密钥没有办法进行数据互通,只有双方同事拥有公开密钥和私有密钥才能利用密文进行交流。数据的发送方和接收方都可以得到唯一的一对密钥,一个是公开密钥,一个是私有密钥。
RSA非对称加密算法在各个领域的应用范围最为广泛,对于黑客采用的密码攻击手段具有非常强的抵抗力,是一个广受推荐的标准算法。RSA算法由于计算机技术的不断发展,已经暴露出许多不足。2010年12月17日,国家密码局自主研发的椭圆曲线算法SM2正式对外公布,这是一个更安全、更科学的非对称密码算法,目前被广为推广,RSA算法在许多领域已经被SM2算法所替代。
3. 加密技术在电力监控系统的应用
数据加密技术在电力监控系统安全防护中的应用主要包括两个方面:1、数据传输。2、远程技术支持
3.1 加密技术在数据传输中的应用
根据安全防护十六字安全策略——“安全分区、网络专业、横向隔离、纵向认证”的要求,电力监控系统生产控制大区在进行数据纵向传输时,必须采用支持国密算法SM2的纵向加密认证装置。
纵向加密认证装置是调度数据网进行远程数据传输时的网络安全设备,使用特定的密文格式,在IP层实现数据的机密性、完整性和数据源鉴别等安全功能,无须修改用户网络原有配置。
纵向加密认证网关作为调度数据网安全I区和安全II区数据远传的网络安全保障,一般部署于这两个安全区的网络边界,数据从电力监控系统的内部网络发送到调度数据网之前,必须通过纵向加密认证装置的加密认证功能,将数据包从明文转为密文,为数据在上下级纵向传输提供完整性和加密服务。2017年以前,纵向加密认证装置的加密技术大多采用的是RSA算法,根据国家网络安全法的要求,电网行业所采购的加密认证装置都必须支持国密算法SM2。
电力系统必须在变电站和各级调度都部署一套纵向加密认证装置,在数据传输过程中进行数据加解密和访问控制。
3.2 加密技术在远程技术支持中的应用
根据电网企业规定,第三方人员对生产控制大区的电力监控系统开展技术支持,必须使用调度数字认证技术和加密的方式进行远程拨号访问。如果采用无线网络远程拨号直接访问局域网,须采用网络层保护,在APN建立专用加密通道。如果通过电话线进行拨号,则须采电力专用远程拨号网关进行链路层的保护。
电力安全拨号网关适用于各级调控中心、电厂和变电站电力监控系统的远程安全维护。安全拨号认证网关一般部署于公网和内部网络之间,为技术人员进行电力监控系统远程技术支持提供可靠的安全保障。
安全拨号网关如何实现远程技术支持的安全防护?安全拨号网关通过策略的配置,限制了访问的源地址、目的地址和访问端口。技术人员必须通过我们限定的IP地址和特定的端口才能够访问电力监控系统,访问的设备清单由拨关网关的策略决定。另外,远程拨号的工作站必须安装拨号网关特定的客户端并导入加密书,才能够正常地拨号连接,整个拨号的过程,数据都经过加密处理。
4. 结语
电网企业在进行远程数据传输和技术支持过程中,都面临着网络攻击和数据泄密的重大风险,数据加密技术在电力监控系统中的应用是降低此类风险的有效手段,对电网安全运行有着重要的作用。
参考文献:
[1] 郑子淮,裘雨音.电力监控系统二次安防的防护策略[J]. 电力专栏,2017,8期 121-122
[2] 于秋玲.电力监控网络安全态势感知架构与智能化防护[J]. 电子技术与软件工程,2019:202-203