第37卷 第12期 软 件
COMPUTER ENGINEERING & SOFTWARE 2016, Vol. 37, No. 12 国际IT传媒品牌
通信加密技术在电力系统中的应用研究
杨 飞
(广东电网有限责任公司佛山供电局,广东 佛山 52800)
摘 要: 随着电力企业信息安全需求的提升,越来越多的信息安全技术被用于电力信息系统的安全防护当中。本文针对电力信息系统的通信加密技术进行了研究,论文首先设计了通信加密技术在电力信息系统中的应用架构,其次论文研究了通信业务数据的加密以及认证方法,最后论文讨论了业务数据包的通信模式以及数据封装方法。实践证明,通信加密技术能有效避免业务数据在传输过程中被篡改和窃听,对提高电力信息系统的整体安全水平,保障企业内网数据安全具有重要意义。
关键词: IPsec VPN、电力信息系统、信息安全
中图分类号: TP393 文献标识码: A DOI:10.3969/j.issn.1003-6970.2016.12.037
本文著录格式:杨飞. 通信加密技术在电力系统中的应用研究[J]. 软件,2016,37(12):176179
The Application Research of Communication Encryption Technology in Power System
YANG Fei
(Foshan Power Supply Bureau of Guangdong Power Grid Co., Ltd. Foshan 52800, China)
【Abstract】: With the enhancement of information security needs, more and more information security technology has been introduced into the power system. As one of the most powerful technologies, communication encryption technol-ogy plays an important role in the information protection of data confidentiality and integrity. In this paper, we designed the encrypted application architecture, studied the confidentiality and non-repudiation protection methods, and dis-cussed the data packet encapsulation mode. It was proved that the communication encryption technology can effectively protect communication data from being tampered or eavesdropped and can improve the overall safety level of the power information system.
【Key words】: Communication encryption technology; Power system
本文针对电力系统的通信加密技术进行了研究,论文首先设计了通信加密技术在电力系统中的应用架构,其次研究了数据加密以及认证方法,最后讨论了业务数据包的封装模式。实践证明,通信加密技术能有效避免业务数据在传输过程中被篡改和窃听,能有效提高电力系统的整体信息安全水平,对保障企业系统及数据安全具有重要意义。
0 引言
随着企业信息化的发展,越来越多的信息系统部署到企业内部用于提升企业的信息化水平。在电网公司内部,企业建成了庞大的电力监控系统以及管理信息系统用于电力的生产、调度、营销以及办公自动化等。然而,企业信息化水平在高速发展的同时也带来了不可忽视的信息安全风险[1]。在这些信息安全风险当中,数据明文传输且易被篡改伪造是管理信息系统以及电力监控系统面临的共同问题。这主要是由于TCP/IP协议在设计之初并没有考虑网络安全问题,且大部分电力工业控制系统协议均采用明文方式[2]。正因为如此,企业采用了多种信息安全措施来保障企业电力电力监控系统及管理信息系统的安全稳定运行。
1 通信加密技术应用架构
在电力企业当中,通信加密技术是一种能有效
保障网络通信机密性和完整性的方法得到了广泛的应用。在企业内部,典型的通信加密技术的应用架构如图1所示[3]。
电力监控系统主要采用IPsec VPN技术实现通信加密,其在网络边界处部署纵向加密装置,该设
作者简介: 杨飞(1978),男,工程师,主要研究方向:网络与信息安全。
杨 飞:通信加密技术在电力系统中的应用研究
供电局通讯服务器管理信息系统数字证书服务器VPN服务器正反向隔离装置纵向加密认证装置IPsec VPN隧道电力监控系统数字证书服务器括对称加密算法和非对称加密算法。对称加密使用同一个密钥用于数据加解密,其流程如图2所示。该密码算法的优点在于数据的加解密速度快,其缺点在于通信加密的安全强度主要通过密钥的强度来保证,如果通信机制设计有缺陷或密钥强度不够,将很容易导致密钥被破解或泄露,进而导致通信加密体系奔溃[6]。
SSL VPN隧道用户变电站内网服务器纵向加密认证装置IPsec VPN隧道WAN发电厂纵向加密认证装置IPsec VPN隧道
内网服务器对称密码算法加密明文P密钥K密文C 密钥K明文P解密
图1 通信加密技术在电网中的应用架构
Fig.1 The application architecture of communication
encryption technology in power grid
用户A用户B备属于电力监控系统专用的VPN网关设备,调度自动化系统主站分别和变电站及发电厂建立IPsec VPN隧道实现对通信业务的信息安全保护。管理信息系统主要采用SSL VPN技术用于系统信息安全保障,远程访问用户通过SSL VPN隧道和管理信息系统内部服务器建立安全连接。在电力系统当中,为实现数据的通信加密,还需要部署数字证书系统,通过数字证书系统给用户及纵向加密认证装置颁发证书以实现用户身份的合法证明,避免恶意分子伪造身份对系统发起网络攻击。在管理信息系统当中,用户证书通过安全写入USB-KEY的方式实现证书的颁发,在电力监控系统当中,设备证书通过离线导入的方式导入纵向加密认证装置当中。在电力系统当中,为保障数字证书系统的安全,其一般为离线部署[4]。
在实际应用当中,IPsec VPN技术主要有3种典型的应用场景:
1)网关到网关应用场景:网关之间相互建立VPN隧道,网关实现对其后端的内网通信主机进行保护,此应用场景不需要内网主机做额外配置即可实现VPN通信,但需要网关配置公网IP地址。
2)主机到主机应用场景:主机之间建立VPN隧道,此应用场景需要内网主机进行额外配置,并拥有公网IP地址。
3)主机到网关应用场景,主机和远端网关之间建立VPN隧道,远端网关实现对内部主机的保护,其中网关的外网端口和主机均需要公网IP。
电力监控系统主要采取IPsec VPN的网关到网关的应用场景,系统内部服务器不需要额外配置,以方便系统的运维及管理。
用户A公钥PubA私钥PriA图2 对称密码算法加解密示意图 Fig.2 The sketch map of symmetric
cryptographic algorithm
非对称密码算法使用公私密钥对进行数据加解密,其加解密流程如图3所示。密钥K1和K2有公私钥之分,且必须配合成对使用。公钥是公开的,由权威机构进行认证和发布,私钥由通信实体保存,不公开且必须受到严格保护。公钥和私钥在地位上是对等的,理论上,密钥K1和K2是非对称密码算法的2个参数,在数值上没有关联关系,且不能相互导出。该方法的优点在缺数据加密强度高,缺点在于数据加解密效率比较低[7]。
非对称密码算法加密公钥/私钥明文P密文C 私钥/公钥明文P解密[5]用户A用户B图3 非对称密码算法加解密示意图
Fig.3 The sketch map of asymmetric cryptographic
algorithm
在电力系统当中,为实现保障业务数据在传输过程中不被窃听和被伪造,本文提出如下加密认证方法,如图4所示。用户A和用户B都有一对公私对,分别用(PubA, PriA)和(PubB, PriB) 来分别表示。
EPubB数据EPriA数据EPubBEPriA数据/EPriAEPubB数据
用户B公钥PubB私钥PriB2 数据加密认证方法
在电力系统当中,广泛应用的密码算法主要包
177
图4 非对称密码算法加解密示意图 Fig.4 The encryption and authentication
methods in power grid
1)数据加密方法实现:用户A使用用户B的公钥PubB对业务数据进行加密,并将加密后的数
《软件》杂志欢迎推荐投稿:cosoft@vip.163.com
第37卷 第12期 软 件
据发给用户B。用户B使用自己的私钥PriB进行解密。由于只有用户B有自己的私钥PriB,且私钥不对外公开,因此只有用户B才能对数据进行解密,这就保证了通信数据的机密性。
2)数据认证方法实现:用户A使用自己的私钥PriA对数据进行加密,并将加密后的数据发送给用户B,用户B使用用户A的公钥PubA进行解密,并验收数据的正确性。由于只要用户A拥有自己的私钥PriA,如果用户B能够对数据解密并验证数据正确,那么就能确认该数据是由用户A发出,用户A不能否认自己加密并发送数据的行为。
3)数据的加密与认证方法实现:用户A使用用户B的公钥PubB和自己的私钥PriA对数据进行加密,并将数据发送给用户B,用户B分别使用自己的私钥PriB和用户A的公钥PubA解密,这样就保证了数据的机密性和数据源身份认证。
在实际应用当中,为加快系统加解密的速度,并保障数据通信加密的高安全,可以先通过非对称密码算法协商业务数据通信的会话密钥,并将会话密钥作为对称密码算法的密钥对业务系统数据进行 加密,以实现业务数据的高安全以及高效率的通信。
[8]
性保护、数据加密、防重放等安全功能;其加密算法可以使用DES、3DES、AES、国密SM1等加密算法实现,其数据摘要算法可以使用MD5、SHA1、国密SM3等密码算法来实现数,图5是ESP封装模式下数据包的封装格式。
对于传输模式,原始数据包的应用数据将被加密并封装在新数据包的应用层,原始IP头将继续保留,同时,在新的数据包将添加ESP报文头和ESP认证[5][9]。
对于隧道模式,原始数据包的IP头和包数据都将被加密并封装成新数据包的应用层数据,新数据包将添加新的IP头,ESP报文头和ESP认证[5][10]。
3.1 AH数据包封转封装
AH数据包封装模式可以实现完整性确认、数据源确认、防重放等安全功能,图6是AH协议对数据包的封装格式。
对于传输模式,IPsec VPN保存原始的IP头和包数据不变,但是在新的数据包中添加了AH认证头,AH认证头=hash(原始IP头||报数据),常用的数据摘要算法包括MD5、SHA1和国密SM3等。
对于隧道模式,IPsec VPN在原始数据包中添加外网IP头和AH认证头,其中AH认证头=hash(外网IP头||原始IP头||报数据)。
3 数据包封装模式
通信加密技术在电力系统应用上主要有两种数据包封装模式,ESP(ESP:Encapsulated Security Payload)数据包封装模式和AH(AH:Authentication Header)数据包封装模式。不同数据包的封转模式可以实现不同的通信加密效果。
[5]
4 结论
本文对电力系统的通信加密技术进行了研究,论文分析了电力系统数据通信的信息安全风险,提出了通信加密技术在电力系统中的应用架构,给出了业务数据加密及认证方法的研究,并设计了业务数据包的封转模式。实践证明,采用通信加密技术可以有效保障电力业务系统的信息安全。
3.1 ESP数据包封转模式
ESP数据包封装模式可以实现通信数据的完整
原始数据包:原始IP头包数据传输模式ESP数据包:原始IP头ESP报头加密的数据(包数据)ESP认证隧道模式原始数据包:原始IP头包数据ESP数据包:新IP头ESP报头加密的数据(原始数据包)
ESP认证
图5 ESP数据包封装格式
Fig.5 ESP packet encapsulation format
《软件》杂志欢迎推荐投稿:cosoft@vip.163.com
178
杨 飞:通信加密技术在电力系统中的应用研究
原始数据包:原始IP头包数据传输模式AH数据包:原始IP头AH认证头(摘要)原始IP头包数据原始数据包:包数据隧道模式AH数据包:外网IP头AH认证头(摘要)内网IP头
包数据
图6 AH数据包封装格式
Fig.6 AH packet encapsulation format
参考文献
[1]
邵光强, 王岳. OpenSSL在IEC61850通信安全中的应用[J]. 电力系统通信, 2008, 29(188): 30-33.
SHAO G Q,WANG Y. Application of Openssl in IEC61850 Communication Security [J]. Telecommunications for Electric Power System, 2008, 29(188): 30-33. (in Chinese) [2]
胡炎, 董名垂. 用SSL协议加强电力系统网络应用的安全性[J]. 电力系统自动化, 2002, 26(15): 70-77.
HU Y, DONG M C. Strengthening the Security of Network Applications with SSL Protocol [J]. Automation Of Electric Power Systems, 2002, 26(15): 70-77. (in Chinese) [3]
宋磊, 罗其亮, 罗毅, 涂光瑜. 电力系统实时数据通信加密方案[J]. 电力系统自动化, 2008, 28(14):76-81.
SONG L, LUO Q L, LUO Y, TU G Y. Encryption on Power Systems Real-Time Data Communication[J]. Automation of Electric Power Systems, 2008, 28(14): 76-81. (in Chinese) [4]
景峰, 徐澄宇, 李欣. 通信加密与数字认证在企业信息系统的应用[J]. 山西电力, 2010(4), 2010(4): 37-39.
JING F X, Cheng Y Y, LI X. Application of Communications Encryption and Digital Authentication Technology in Enter-prise Information System [J]. Shanxi Electric Power, 2010(4): 37-39. (in Chinese) [5]
徐家臻, 陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J], 计算机工程与设计, 2004 25(4): 586-588.
XU J X, CHEN S M. Comparison and Analysis of IPsec-Based And SSL-Based VPN [J]. Computer Engineering and Design,
2004, 25(4): 586-588. (in Chinese) [6]
孙亮, 金伟信. 基于对称密码体制的通信加密方案设计与研究[J]. 信息网络安全, 2013(8): 18-20.
SUN L, JIN W X. Design and Research of Communication Encryption Scheme Based on the Symmetric Cryptography [J]. Netinfo Security, 2013(8): 18-20. (in Chinese) [7]
吴班, 武君胜. 通信加密与鉴别技术在电子商务中的应用 [J]. 航空计算技术, 2006, 36(2): 70-73.
WU B, WU J S. Application of Encrypted Communications and Identify Technique in Electronic Commerce [J]. Aeronautical Computing Technique, 2006, 36(2): 70-73. (in Chinese) [8]
秦鸿. 利用VPN技术实现远程访问的研究与实践[J]. 图书情报工作, 2007, 52(3): 117-120.
Qin H. Exploration and Practice on Remote Access to E- Resources Using VPN Technology [J]. Library And Informa-tion Service, 2007, 52(3): 117-120. (in Chinese) [9]
杨正校, 刘静. 工业控制系统信息安全防范研究[J]. 软件, 2014,35(8): 55-58.
YANG Z X, LIU J. Industrial Control System of Information Security Defense [J]. Computer engineering & Software, 2014, 35(8): 55-58. (in Chinese)
[10] 袁泓, 李继国. 无线网络安全通信加密算法仿真研究[J].
计算机仿真, 2015, 32(3): 331-334.
YUAN H, LI J G. Simulation on Encryption Algorithm for Communication under Public Key Cryptosystems [J]. Com-puter Simulation, 2015, 32(3): 331-334. (in Chinese)
179 《软件》杂志欢迎推荐投稿:cosoft@vip.163.com
因篇幅问题不能全部显示,请点此查看更多更全内容