电力系统一体化设计中信息安全防护体系研究

建设电力系统集成环境已成为实现全电网信息共享的自动化系统的基础建设。然而,信息安全问题也是威胁电力系统的安全、稳定、经济、优质运行的重大问题。介绍了一体化的电力系统及特点;阐述了电力系统一体化信息安全的主要内容(保密性、完整性、有效性);几种安全技术(防火墙、虚拟专用网、认证中心、入侵检测系统等);以及一体化信息安全防护体系的设计原则、系数设计、管理上的安全策略。该系统安全方案已应用于地区电网自动化系统。效果良好。     

配电自动化终端设备中信息安全加密模块设计

当前配电网自动化系统配电终端的安全防护、升级改造大都通过更换终端设备硬件板卡的方式实现,改造过程中需要对配电终端所在区域停电。设计了配电自动化终端设备信息安全加密模块,通过在配电终端前加装该模块,实现对终端设备的安全防护改造,且不需对改造区域断电,也无需对终端设备进行其他硬件改造和软件配置。介绍了加密模块的工作原理和硬件功能,描述了加密模块对遥控命令报文的信息完整性检测与时间戳校验过程,及对配电主站的身份认证过程。模块实现了对遥控报文的完整性保护和主站的身份鉴别,能满足对配电终端的信息安全防护要求。     

继电保护定值在线发放管理系统及其安全防护

为实现继电保护定值的在线发放和满足定值在线发放过程中的机密性、完整性、真实性和不可否认性等安全需求,本文在对继电保护定值在线发放管理系统进行需求分析的基础上,设计了定值在线流转、设备参数表上传、系统认证与访问控制、SSL/TLS协议通信模块;基于双因子身份认证、基于任务的访问控制策略和SSL/TLS协议,设计了基于安全信道的数据加密/解密方案和系统安全防护方案;采用C#语言、SQL数据库和OpenSSL开发工具,开发了具有定值单录入、定值单校核、定值单审批和设备参数上传等功能的继电保护定值在线发放管理系统。实际应用结果表明,该系统可实现继电保护定值的在线流转,满足定值在线发放过程中的安全需求。     

调度与变电站通信安全防护技术

目前,调度与变电站之间的通信主要由电力纵向加密认证装置来防护,调度与变电站两端的电力纵向加密认证装置可保护两端数据传输的机密性和完整性,然而调度与变电站之间的通信协议IEC 60870-5-104(简称IEC 104)并没有相应的安全机制,协议数据在调度的加密装置前与变电站的加密装置后容易被伪造、篡改、重放及窃取,存在一定的安全风险。因此,本文在IEC104协议的基础上扩展协议安全域,从协议层面解决调度到变电站的通信安全问题。标识密码算法SM9为该目标的实现提供了算法支撑,根据算法特征与协议特点,本文对协议进行少许的扩展即可实现协议的安全性。本文的亮点为:1)基于标识密码算法实现了调度与变电站的安全通信,与其他文献基于数字证书的安全通信有着本质的区别,没有证书管理等复杂事项;2)实现了调度主站到变电站通信的端到端安全认证;3)通过标识密码算法解决了协议的安全隐患,实现了调度与变电站的双向身份认证及通信数据的机密性、完整性、不可抵赖性。     

变电站自动化广域运维系统安全防护技术的设计与实现

针对当前常用变电站自动化广域运维系统架构,基于运维主、子站二次系统安全防护的要求,研制了一种变电站自动化广域运维系统安全防护技术。应用审计日志、流量管控、权限认证、主站录屏等多种关键技术,在运维中心、服务管理中心和变电站分别设立广域运维系统的安全认证体系,同时在运维中心、服务管理中心和变电站之间配置双因子登录安全访问功能,实现了从调度到变电站的一体化全通信过程纵深安全防护,有效保障主站远方操作变电站设备的安全。     

电动汽车充电桩轻量级密钥管理方案

充电桩通信系统作为“泛在电力物联网”通信网络的重要组成部分,其密钥管理是信息安全防护措施成功实施的关键。为保证管理控制中心、电气控制柜、电动汽车充电桩三层架构的通信安全,兼顾电动汽车充电桩通信效率,提出一种轻量级的充电桩密钥管理方案（charging pile key management scheme,CPKMS）,并给出了详细的密钥管理实现流程;分析了该方案的密钥安全性、前向与后向安全性、抗攻击能力及其运算负荷和密钥存储数量。分析结果表明：该方案具有抗伪造攻击、抗中间人攻击与抗重放攻击的能力,兼顾了安全性与效率,能够满足充电桩密钥管理的安全需求。     

具有安全防护功能的电动汽车充电桩控制装置

针对传统电动汽车充电桩控制装置在电力通信过程中传输数据容易被非法截获等安全性问题,设计了一种具有安全防护功能的电动汽车充电桩控制装置。介绍了硬件结构和软件结构设计。电动汽车充电桩控制装置采用了先进的数据加密技术,增加了安全存储单元,可以有效防止传输数据在通信过程中被非法截获或篡改,保障了数据的完整性和机密性,具有很高的实用价值。     

变电站通信报文安全认证及其实时性仿真

作为IEC 61850对等通信协议(实时通信)的安全规范,IEC 62351-6推荐采用认证保证变电站信息交换的安全性.文中基于IEC 61850数字化变电站报文和信息安全要求,提出了用扩展的安全报文实现身份认证的方法.该方法利用安全散列算法和数据加密标准(DES)加密获得扩展字段,能有效满足通信报文的保密性、完整性和...     

基于Multi-agent理论的电力系统计算机网络的安全防护体系设计

对基于Multiagent理论的电力系统计算机网络安全防护体系算法做了深入的研究,设计并实现了一种基于Multiagent理论的电力系统计算机网络的安全防护体系的分布式安全机制DSM的设计方案。该方案DSM结构分成低层和高层,低层提供加密的信道,采用混合使用RSA和Rabin加密的方法;高层实现权限的检查,采用访问许可表APL,由一个建立在电力系统计算机网络中的专门的认证中心ACAgent来完成各个Agent的登记、权限核实、修改草案等工作。通过理论分析和实践证明,该方案较好地满足了基于Multiagent的电力系统计算机网络中对安全性和实时性的要求。     

基于WLAN的电力监控网络智能化安全防护研究

为了保障电力监控网络的安全性,本文根据无线局域网在电力监控网络中的应用方向和存在的安全威胁,设计了基于WLAN的电力监控网络智能化安全防护方案,建立安全防护网络架构后,介绍了接入认证、漏洞扫描、入侵防御和智能分析等安全防护机制的工作原理。该安全防护方案实施后,能够进一步提高电力监控系统的机密性,增强用户和电力监控系统间的信息交互,实现电力监控网络的主动防御。     

电力系统实时数据通信加密方案

随着电力系统数据网络的迅速发展,基于网际协议(IP)的以明文方式传输实时数据的安全问题引起了重视。文中分析了网络环境下电力系统实时数据通信的网络安全和信息安全,结合电力系统实时数据通信的加密需求,阐述了实时数据加密密钥管理和加密的过程。根据电力系统的实际情况,选择了实时数据一时一密的加密方案,并推荐了电力系统所使用的加密算法和密钥长度。对实时数据传输控制协议(TCP)传输,在应用层和TCP层之间引入了加密套接字协议层(SSL)实现加密;对电力系统大多数的用户数据报协议(UDP)实时数据传输,通过返回确认和超时技术保证传输的可靠性,采用密钥分发机制和密钥启动机制保证了传输的保密性和准确性。最后对加密的可行性进行了讨论。     

基于短信动态口令的身份认证管理服务

针对配电馈线终端（FTU）智能手机人机交互接口MMI应用身份认证管理的技术要求,需要在配网调控制中心建设动态身份验证的服务器系统,以实现对手机MMI应用的安全防护。控制中心服务器侧的身份认证管理软件采用挑战/响应方式的动态口令身份认证技术,并使用手机短信实现认证信息的传输,微型加密算法TEA对短信内容进行加解密处理,从而实现MMI应用的异步双因子安全体系登录认证的目的。在分析研究相关理论、方法和实现技术的基础上,完成了身份认证管理软件的设计与实现,并在用户控制中心机房成功部署,达到了项目开发的目的。     

配电物联网边缘物联代理网络安全防护研究

配电物联网是配电监控系统向物联网模式演进的结果,边缘物联代理是连接物联网终端与云端的重要感知层设备。通过分析边缘物联代理自身及交互面临的安全风险和安全需求,研究了可信启动、身份认证、密钥协商、数据机密性保护、数据完整性保护、安全监测等技术,构建了基于可信启动的设备本体安全、基于身份认证和数据保护的交互安全以及基于日志、流量信息实时采集的安全监测于一体的安全防护架构,有效避免了因边缘物联代理遭受恶意攻击而导致整个系统瘫痪事件发生,有助于提升配电物联网在新的网络安全形势下抵御恶意攻击的能力。     

基于标准加密算法的智能电能表通信安全方案设计

针对电能表与多种客户端设备通信过程中的安全风险,文中介绍了一种电能表通信安全方案。按设备类型对客户端进行分类,设计了用于保障数据访问安全的分级身份验证和数据对象访问权限控制机制,通过对比分析选择出适用于电能表数据传输保护的标准加密算法AES-128-GCM,结合数据传输安全方案设计,保证电能表通信的安全性和互操作性。该方案对于电能表数据通信安全及后续扩展客户端设备的访问接入具有一定的参考意义。     

数字签密技术在智能电网中的应用

为了减少智能电网安全体系中的数字证书存储空间和计算开销,提高加密与签名的耦合度,在分析智能电网数据传输中的安全性的基础上,提出智能电网与无证书数字签密体制间角色的映射方法,构建智能电网无证书签密应用环境,并以椭圆曲线密码为基础,设计一种面向智能电网的数字签密安全方案。智能电网通信中引入的可信第三方与智能节点共同产生的密钥对,提高了通信的安全性,将加密过程融入签名过程中,提高了通信的传输效率。与智能电网现有密码算法在安全上相比,该方案具有消息的保密性、完整性、抗否认性和抗伪造型等特点。经应用场景测试,该方案可以满足智能电网数据传输的时间需求。     

国密体系在智能变电站的研究与应用

目前智能变电站系统安全防护主要依据IEC 62351标准实施,IEC 62351是国际标准,其涉及的安全技术主要采用国际算法RSA、AES及数字证书。针对智能变电站系统通信存在的安全缺陷,本文提出以下3方面解决方案,1)提出基于IEC 62351安全机制的智能变电站设备间通信采用国密算法与调度数字证书技术;2)发现调度主站到变电站通信协议IEC 104的安全隐患,提出安全改造方案及实现方法;3)提出站控层与过程层通信协议改造方案并采用国密算法与调度证书技术实现。通过采取以上安全措施,确保站内通信信息以及信息资源的实时性、可靠性、保密性、完整性和可用性,杜绝未授权用户的非法接入,保证通信双方身份的真实性及业务数据的可追溯性。