电力系统通用服务协议的应用层数据加密技术研究

为了确保数据在传输过程中的安全性,需要对数据进行加密处理。阐述了电力系统调度主站与子站之间GSP协议的应用层报文采用AES算法加密,同时对AES密钥采用RSA加密处理,在保证数据报文传输可靠性的同时增强了密钥的安全性。     

基于GOOSE的分布式控制数据快速传输技术研究

研究基于相关站点智能终端(Smart Terminal Unit,STU)间实时对等通信的分布式控制实现机理。为实现STU间的实时对等通信以及互操作,使用GOOSE(Generic Object-Oriented Substation Event)机制来传输STU间的实时数据以及控制命令。在分析现有GOOSE传输机制的基础上,提出基于TCP协议的GOOSE报文传输方案及提高报文传输实时性的措施。通过OPNET软件搭建仿真模型,验证了所提方案的可行性。仿真结果表明,当网络平均负载率小于40%时,应用TCP协议传输GOOSE报文的平均传输延时约为0.65 ms,且最大值不超过1 ms,可以满足分布式控制对快速报文传输速度的要求。     

电力EPON通信网安全设计

分析电力EPON通信网存在的安全隐患的基础上,对电力EPON通信网的安全机制进行了设计.针对电力EPON通信网的安全隐患,从终端认证、业务隔离、深度检测与防御三个方面对电力EPON通信设备进行安全防护部署.通过EPON通信数据的加密处理和密钥管理,实现OLT与ONU的双向身份认证,确保了电力EPON通信数据的安全.测试结果表明,系统正常工作时,数据传输的上行延时小于2ms,下行延时不超过1ms,完全满足电力系统数据和信息传输的要求.     

适用于用电信息采集的轻量级认证密钥协商协议

用电信息采集系统信息量巨大、覆盖面广,而传统的认证密钥协商协议计算量开销大、通信交互次数多,无法满足其高实时、低成本的现实需求。为了实现电力数据的安全高效传输,文中基于证书认证及新旧参数保护密钥动态协商机制,提出了一种轻量级认证密钥协商协议,结合BAN逻辑形式化分析和非形式化分析方法对协议进行分析,证明协议在达到一级信仰和二级信仰的同时具有双向实体认证、完美的向前保密性等安全属性。该协议能够抵抗多种攻击,在保证安全的情况下实时高效地完成身份认证及密钥协商,适用于用电信息采集系统对密钥应用的需求。     

IEC 60870-5-104远动协议的一种安全报文探讨

随着电力系统网络化的发展，很多调度主站和变电站远程终端设备(RTU)的通信已经逐步采用以太网，国际电工委员会(IEC)于1998年8月制定了 IEC60870-5-104协议，该协议的目的是将原有的 IEC60870-5-101远动协议用于 TCP/IP 网络。通过 TCP/IP 网络传输远动信息也带来了一系列安全问题，其不安全因素主要体现在对远动报文的窃听、篡改和伪造等3个方面，解决方法在于调度主站及厂站 RTU 的身份认证与远动报文信息的加密。为此，应用信息安全技术对IEC60870-5-104应用协议数据单元(APDU)及其传输模式进行了研究，在不改变原有报文传输模式的情况下提出了一种安全报文的设想，在一定程度上能有效地满足信息保密与安全认证的需要。     

基于TCP/IP协议的通信电源监控系统的设计

随着通信网络覆盖区域的迅速扩大和通信机房的增多,应用无线传输方式构建监测系统成为通信电源监控系统的主要发展方向.采用TCP/IP协议进行数据的传输,并结合电源监控系统的现状和特点分析了TCP/IP协议数据传输在电源监控系统中的应用方式.设计了相应的数据采集和传输模块,实现了监控中心与远程数据采集终端的TCP/IP协议无线通信功能,实现了预期的设计目标.     

量子密钥在电网SSLVPN中的应用

基于虚拟专用网(virtual private networks,VPN)技术的电力系统调度数据网使用对称加密技术来保护通信数据的安全性,加密密钥的分配和使用都存在不安全因素。为此,提出将量子密钥分配网络与电网相融合的方案,利用量子密钥分配技术解决密钥安全分配的问题,使通信双方之间能共享无条件安全的密钥。两网融合方案是通过使用量子服务器和VPN服务器来实现的,服务器能完成量子密钥从量子网络到电网应用的调度。通过对安全套接层(secure sockets layer,SSL)协议进行详细分析,从认证密钥、主密钥和会话密钥3个层次给出了量子密码的应用形式。在通信协议方面,为减少对现有协议的修改,通过附加的协商过程来协商量子密码的应用形式,实现密钥的获取和替换。该方法降低了整个融合方案的复杂性,提高了其可用性。     

配电网分布式控制实时数据快速传输技术

为实现分布式控制关联站点智能终端(Smart Terminal Unit, STU)间的实时对等通信以及互操作,可采用面向通用对象的变电站事件(Generic Object—Oriented Substation Event,GOOSE)传输STU间的实时数据和控制命令。在对比分析现有GOOSE映射方式的基础上,提出了基于TCP协议的GOOSE报文传输方案(GOOSE over TCP),给出了实现方法以及改善GOOSE over TCP传输实时性的措施。分析了影响报文传输延时的主要因素。通过试验测得在通信网络含有大量突发报文的恶劣环境中优化后的GOOSE over TCP最大传输延时约为2.4 ms,平均传输延时约为1.3 ms,可以满足配电网分布式控制应用的需求。     

基于以太网与GSM网络远程传输系统的设计与实现

设计了基于以太网与GSM网络数据转换的分布式传输系统。通过对TCP/IP协议的精简,在AVR单片机上实现了局域网内部通信,降低了系统运行成本。利用查表和异或操作,实现了快速AES加密算法,保证了数据传输的安全性。远程数据传输采用服务质量和覆盖范围较好的GSM网络,为通信的可靠性提供了保障。实际测试表明,该方案在远距离数据传输时,数据传输成功率在长春网通和西安电信网络条件下分别提升了19%和57.8%,而且,在单位时间内数据传输曲线平滑,传输实时性较好。     

一种基于国密算法和物理不克隆函数的安全并行总线

传统安全总线的安全机制一般采用固定存储密钥和国际密码算法,这种方式存在不可控因素和密钥被侵入攻击的安全风险,针对传统总线传输存在的风险问题,提出一种基于国密算法和物理不克隆函数的安全并行总线,该总线设计了一种环形振荡器物理不克隆函数和密钥生成机制,将物理不克隆函数结合随机数发生器由SM3密码算法生成密钥,采用国密SM4密码算法对总线上传输的数据进行加密,加密时为了安全因素采用随机数对明文进行填充,保证了总线数据传输的安全性。通过该安全机制实现的总线,能有效抵御侵入式分析,抵抗重放攻击,解决密钥易被破解问题,保证数据安全性和机密性。最后搭建了并行总线加密仿真平台,验证了该方案的可行性。     

电动汽车充电桩-后台服务管理中心信息安全防护方案设计与实现

为提高分布式电动汽车充电桩的信息安全防护能力,保障充电桩与后台服务管理中心之间传输数据的机密性、完整性与真实性,分析了充电桩信息安全威胁与信息安全需求,采用高级加密标准（advanced encryption standard,AES）和HMAC-SHA256算法,设计了基于认证加密的充电桩-后台服务管理中心信息安全防护方案;基于STM32F407ZGT6芯片和嵌入式操作系统μC/OS-III,搭建了充电桩通信模拟平台;制定了充电桩-后台服务管理中心通信应用层协议,设计了充电桩-后台服务管理中心信息安全防护方案;测试了不同类型数据在明文传输、加密传输、认证传输、认证加密传输4种安全情形下的报文传输时间,量化了充电桩-后台服务管理中心信息安全防护方案的实施对充电桩通信实时性的影响。测试结果表明,所设计信息安全防护方案可满足充电桩与后台服务管理中心之间通信的机密性、完整性、真实性和实时性要求。     

面向对象的用电信息系统安全通信协议设计

针对当前用电信息系统多业务并行处理能力需求,提出了一种面向对象的用电信息系统安全通信协议(OS-CP)。OSCP协议采用传输层和应用层双层加密机制实现了用电信息系统的安全防护,并将业务数据根据安全级别进行分类,不同类别的数据采用不同的安全配置模式,实现了业务数据的灵活处理。之后,采用基于博弈论的安全性证明方法证明了OSCP协议的正确性和安全性,并与传统安全通信协议做了性能比较。比较结果表明,OSCP协议的交互次数相对较少,加解密处理效率有了明显提高,安全加密模式配置更为灵活。因此,OSCP协议更适用于当前用电信息系统的业务应用需求。     

DL/T 1527—2016《用电信息安全防护技术规范》解读与应用

为了加强用电信息系统安全防护能力,确保信息系统数据及网络安全,中国电力科学研究院组织编制了DL/T 1527—2016《用电信息安全防护技术规范》。针对标准要求,首先分析了用电信息系统的逻辑结构,之后对该标准中的关键问题进行了详细解读,在标准解读基础上研制了密码机、安全加密模块、专用安全隔离网关等关键安全加密设备,设计了安全交互协议,保障了用电信息系统的安全可靠性。     

电力信息网络安全隔离设备的研究

政府机关或企业上网后，必须对关键的网络进行有效的信息隔离。作者介绍了专为电力实时控制网络研制的安全隔离设备，它采用双嵌入式计算机结构实现物理层的隔离。采用MAC/IP地址、协议类型及端口等的综合过滤与认证鉴别的访问控制技术，并实现了电力行业标准通信协议的应用代理，从链路层、网络层、传输层、应用层实现有效的隔离。测试证明：在提供透明的网络服务的同时，隔离设备的安全性能有极大的提高，其传输延迟和吞吐量能满足电力系统实时控制的要求。     

交换路由技术在调度自动化主站网络中的应用

概述了电力调度自动化主站目前常用的计算机网络组网方式。介绍了采用交换路由及相关网络技术，如服务质量（QoS）、虚拟局域网（VLAN）、第3层交换和第4层交换技术，来提高SCADA/EMS数据传输的实时性和安全性的经验。VLAN技术将整个主站计算机网络分成采集子网、Web网，并在主网、子网之间利用交换机的第3层路由功能进行通信；利用第3层交换机的访问列表控制功能来限制数据的非法访问，增强网络的安全性；利用QoS技术对网络中的数据流按优先级别高低分配带宽，实现实时性较强的数据优先通信。     

智能变电站TCP/IP通信网络的安全解决方案

变电站自动化系统的通信网络和系统的国际标准IEC 61850虽然没有规定具体的通信媒介,但从目前的研究和实践来看,以太网已成为实现IEC 61850标准的主流网络,底层通信协议选用广泛使用的TCP/IP协议.但是TCP/IP协议没有提供任何安全能力,针对这一问题,研究了IEC 62351：电力系统管理及其信息交换数据和通信安全的第三部分——通信网络和系统安全包括TCP/IP的协议集,将嵌入Kerberos协议的TLS协议以及基于SSL/TLS的VPN隧道技术作为安全解决方案,达到保障TCP/IP协议和通信网络安全的目的.     

电力设备监控系统无线网络结构设计策略研究

越来越多的无线通信技术被用于各类电力设备监控系统中,各类系统所处的电源条件、电磁环境不同,通信数据量差别很大,对网络的要求也各不相同。具有一定通用性的无线网络结构设计策略尚缺乏研究。本文首先对现有系统中的无线通信技术及其网络结构进行分析;其次从通信功耗、通信距离、传输安全性、传输速率、建设和维护成本等几个方面进行分析;然后对监测系统的各类数据的特点及其对网络的需求进行归纳;给出了一种无线通信网络结构的设计策略;采用一个实例系统的对该策略的有效性进行了验证,结果表明本文对于电力设备监控系统中无线通信网络结构设计具有一定的指导意义。     

智能断路器中Modbus/TCP协议的实时性能测试

将Modbus/TCP通信协议应用于低压智能断路器,进行了Modbus/TCP通信协议实时性能的研究,从理论上分析了Modbus/TCP通信网络的链路建立和数据传输时间。通过在实验室利用智能断路器作为从站设备搭建了Modbus/TCP通信网络的实时性测试平台,对Modbus/TCP通信协议进行了实时性测试,根据测试数据详细分析了Modbus/TCP通信协议的通信实时性能,满足智能配电开关设备的通信要求,最终从测试结果分析中验证了在现有低压开关设备中采用Modbus/TCP通信协议的可行性和有效性,对低压配电系统的智能化和信息化的实现具有一定的现实意义。