李誠 LI Cheng；湯勝 TANG Sheng；康明 KANG Ming；賀志鋒 HE Zhi-feng；周波 ZHOU Bo

（國網(wǎng)湖北省電力公司武漢供電公司，武漢 430000）

（State Grid Hubei Electric Power Company Wuhan Power Supply Company，Wuhan 430000，China）

0 引言

在電力系統(tǒng)中，為了確保信息傳輸?shù)陌踩?，保障電力系統(tǒng)的穩(wěn)定性，本文根據(jù)電力系統(tǒng)數(shù)據(jù)傳輸?shù)奶攸c(diǎn)和在網(wǎng)絡(luò)傳輸中電力系統(tǒng)中信息存在的安全問題，以電力系統(tǒng)數(shù)據(jù)傳輸安全加密技術(shù)為背景，運(yùn)用先進(jìn)的加密技術(shù)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行處理，進(jìn)而確保數(shù)據(jù)安全傳輸。

本文在確保電力系統(tǒng)信息安全的基礎(chǔ)上，在電力系統(tǒng)中，通過對(duì)電力系統(tǒng)中信息的特點(diǎn)、安全技術(shù)進(jìn)行分析，同時(shí)對(duì)常用的信息安全技術(shù)、數(shù)據(jù)加密技術(shù)等進(jìn)行討論，進(jìn)而在一定程度上確保電力系統(tǒng)中信息安全傳輸。

經(jīng)過多年的建設(shè)，電力系統(tǒng)中的信息安全防護(hù)體系已經(jīng)初見成效，在電力系統(tǒng)中，各種信息安全技術(shù)得到廣泛應(yīng)用。作為最簡單、最常用的方式,加密技術(shù)在一定程度上可以減少系統(tǒng)安全漏洞產(chǎn)生的安全問題。在實(shí)時(shí)數(shù)據(jù)通信方面，電力系統(tǒng)有著特殊的要求，在網(wǎng)絡(luò)上，電力系統(tǒng)都是通過明文對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行傳輸?shù)?，并且不同的網(wǎng)絡(luò)環(huán)境會(huì)影響，甚至限制加密手段。目前，在電力系統(tǒng)中，對(duì)于實(shí)時(shí)性傳輸要求較高的數(shù)據(jù)，基本沒進(jìn)行任何加密措施處理。通常情況下，通過采用網(wǎng)絡(luò)物理隔離或者VPN 的方式對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行處理，進(jìn)一步確保數(shù)據(jù)傳輸?shù)陌踩?。隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量逐漸增長，在電力系統(tǒng)通信中，基于TCP/IP 的網(wǎng)絡(luò)通信將成為主流。在電力系統(tǒng)中，一些關(guān)鍵數(shù)據(jù)依然通過明文的方式進(jìn)行傳輸,這種傳輸方式在一定程度上降低了電力系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性。如果數(shù)據(jù)通信網(wǎng)絡(luò)遭到入侵，進(jìn)而截獲、篡改、偽造實(shí)時(shí)數(shù)據(jù)，在這種情況下，將會(huì)造成重大的安全隱患，甚至引發(fā)重大事故。

1 數(shù)據(jù)加密技術(shù)

1.1 對(duì)稱密鑰加密體制 在對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理的過程中，對(duì)稱密鑰加密算法作為一種加密方式，使用簡單快捷，密鑰比較短，破譯密匙存在一定難度。對(duì)于這種算法來說，其密鑰（秘密鑰）通常需要信使或秘密通道進(jìn)行傳送，并且傳送、管理密鑰比較困難。在這種情況下，密鑰的秘密保存決定著算法的安全性。RC4、混沌算法、DES、IDEA、RCZ 算法等是對(duì)稱密鑰加密體制中的典型代表。

1.2 非對(duì)稱密鑰加密體制 非對(duì)稱加密算法與對(duì)稱加密算法相比，通常情況下需要公開密鑰（publickey）和私有密鑰（Privatekey）兩個(gè)密鑰。利用密鑰對(duì)數(shù)據(jù)進(jìn)行加密處理時(shí)，如果使用公開密鑰進(jìn)行加密，那么利用相應(yīng)的私有密鑰才能解密；反之用相應(yīng)的公開密鑰進(jìn)行解密。

2 選擇加密算法

隨著網(wǎng)絡(luò)的推廣和使用，進(jìn)一步催生了現(xiàn)代常用密碼學(xué)技術(shù)。對(duì)于密碼學(xué)技術(shù)來說，一方面可以確保信息傳輸?shù)臋C(jī)密性，另一方面可以確保信息傳輸?shù)耐暾院痛_定性，進(jìn)而在一定程度上避免信息被假冒或偽造。在網(wǎng)絡(luò)安全中，密碼學(xué)技術(shù)處于非常重要的地位。尋求安全性高的有效算法和協(xié)議這是密碼編碼技術(shù)的主要任務(wù)所在，進(jìn)一步滿足數(shù)據(jù)傳輸和消息認(rèn)證數(shù)字簽名的需要。對(duì)于現(xiàn)代密碼技術(shù)來說，根據(jù)密鑰類型不同，可以將其分為：對(duì)稱加密（秘密鑰匙加密）系統(tǒng)和公開密鑰加密（非對(duì)稱加密）系統(tǒng)。

2.1 對(duì)稱密碼系統(tǒng) 該密碼系統(tǒng)的安全性依賴于，第一：加密算法足夠強(qiáng)，信息解密只能通過密文本身去實(shí)現(xiàn)，在實(shí)踐上是不可能的；第二：密鑰的秘密性決定著加密方法的安全性，因此，在對(duì)數(shù)據(jù)進(jìn)行加密時(shí)，只需確保密鑰的秘密性。在算法實(shí)現(xiàn)速度方面，對(duì)稱加密系統(tǒng)比較快，通常情況下，其軟件實(shí)現(xiàn)速度每秒高達(dá)數(shù)兆或數(shù)十兆比特。憑借自身的特點(diǎn)，對(duì)稱密碼系統(tǒng)得到廣泛的應(yīng)用，因?yàn)椴恍枰獙?duì)算法進(jìn)行保密，所以制造商可以開發(fā)出低成本的芯片對(duì)數(shù)據(jù)進(jìn)行加密，這種芯片應(yīng)用范圍比較廣，適合規(guī)?；a(chǎn)。

2.2 公開密鑰加密系統(tǒng) 對(duì)于公開密鑰加密系統(tǒng)來說，由于采用不同的公鑰和私鑰，并且加密鑰匙是公開的，在這種情況下，分配、管理密鑰就比較簡單，進(jìn)一步滿足了電子商務(wù)應(yīng)用的需要。在實(shí)際應(yīng)用過程中，密鑰加密系統(tǒng)沒有完全被公開密鑰加密系統(tǒng)取代，這是因?yàn)楣_密鑰加密系統(tǒng)的實(shí)現(xiàn)速度滯后于對(duì)稱密鑰加密系統(tǒng)。

3 選擇加密方式

對(duì)于電力系統(tǒng)來說，需要采用端對(duì)端的加密方式對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理,使數(shù)據(jù)以密文的形式存在于信道和交換節(jié)點(diǎn)上。

在網(wǎng)絡(luò)結(jié)構(gòu)、硬件方面，實(shí)時(shí)數(shù)據(jù)加密的要求主要包括：

①為了確保加、解密速度，運(yùn)行設(shè)備的CPU 需要具備一定的運(yùn)算能力。

②網(wǎng)絡(luò)通信網(wǎng)絡(luò)延遲小，誤碼率低，帶寬滿足實(shí)時(shí)性和可靠性要求。

③主站端設(shè)有管理密鑰的服務(wù)器，主站的前置機(jī)能夠同時(shí)處理多個(gè)進(jìn)程的加密/解密。

通常情況下，電力系統(tǒng)通過固定密鑰方式、一時(shí)一密方式對(duì)實(shí)時(shí)數(shù)據(jù)通信進(jìn)行加密處理：

①固定密鑰方式。

作為一個(gè)用戶，每個(gè)終端擁有一個(gè)密鑰分配中心生成的密鑰,主站擁有所有終端的密鑰列表。安全信道建立之后，根據(jù)協(xié)商好的密鑰，終端與主站端進(jìn)行通信。

②一時(shí)一密方式。

對(duì)于每個(gè)終端來說，通常情況下沒有固定的密鑰，同樣服務(wù)器也不保存密鑰。根據(jù)系統(tǒng)安全情況，服務(wù)器設(shè)置相應(yīng)的時(shí)間參數(shù)，隨機(jī)地向密鑰分配中心請(qǐng)求密鑰。

4 管理密鑰

4.1 密鑰分配模式 在加密傳輸?shù)倪^程中，由于需要將密匙分配給主機(jī)、節(jié)點(diǎn)和用戶，進(jìn)而需要大量的密鑰。在加密通信中，密鑰的安全管理是一個(gè)非常重要的環(huán)節(jié)。通常情況下，通過采用中心化的密鑰管理方式對(duì)密匙進(jìn)行管理，在一定程度上降低系統(tǒng)的復(fù)雜性。對(duì)于每次加密通信的密鑰，通常由密鑰分配中心負(fù)責(zé)其生成、分發(fā)、更新，以及銷毀等。

基于目前電力系統(tǒng)實(shí)際的情況，電力系統(tǒng)應(yīng)該采用一時(shí)一密方式對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行加密，如果采用固定密鑰方式對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行加密處理，需要改變網(wǎng)絡(luò)結(jié)構(gòu)或者增加終端設(shè)備，在這種情況下，會(huì)增加維護(hù)、更新密鑰的難度；每個(gè)終端需要分配一個(gè)密鑰，并且需要永久保存，這時(shí)需要對(duì)密鑰進(jìn)行存儲(chǔ)和管理；對(duì)于泄漏的密鑰來說，吊銷或銷毀存在一定的難度。但是，采用一時(shí)一密的方式進(jìn)行加密處理，可以通過預(yù)先生成的方式解決生成密鑰的時(shí)間問題；由密鑰分發(fā)控制傳輸?shù)陌踩粚?duì)于密鑰來說，不需要進(jìn)行保護(hù)、存儲(chǔ)和備份等處理。

4.2 密鑰的生成 在認(rèn)證對(duì)方的身份后，通信雙方由主站端請(qǐng)求密鑰分配中心生成一個(gè)隨機(jī)密鑰用于加密通信。對(duì)于密鑰管理程序來說，通常情況下，可以預(yù)先生成一個(gè)隨機(jī)密鑰列表，接收到申請(qǐng)后，將列表中的第1個(gè)隨機(jī)密鑰發(fā)到服務(wù)器，然后再生成一個(gè)隨機(jī)密鑰，同時(shí)將其加到列表最后一位。在通信雙方中，不會(huì)永久存儲(chǔ)隨機(jī)密鑰，一般將其存放在內(nèi)存中，受到銷毀密鑰命令后，密鑰字符串會(huì)被立即刪除，同時(shí)釋放所占內(nèi)存。

4.3 密鑰的長度 非對(duì)稱算法一般用于認(rèn)證，為保證在電力系統(tǒng)中認(rèn)證的需要。加上現(xiàn)在計(jì)算機(jī)運(yùn)算能力的快速提高，可以采用1024bit 長度的密鑰進(jìn)行加密。MD5、SHA 等是比較常用的摘要算法，采用MD5對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行加密處理，并且MD5的加密方式具有更好的安全性。

5 SSL 協(xié)議實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)傳輸加密

Secure Sockets Layer（SSL）安全套接字層。

對(duì)于SSL 協(xié)議來說，通常情況下位于TCP/IP 協(xié)議與各應(yīng)用層協(xié)議之間，該協(xié)議的職責(zé)就是確保數(shù)據(jù)通訊的安全性。SSL 協(xié)議可分為SSL 記錄協(xié)議和SSL 握手協(xié)議。其中，SSL 記錄協(xié)議（SSL Record Protocol）：它建立在TCP 等可靠傳輸協(xié)議的基礎(chǔ)之上，進(jìn)而在一定程度上為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等。SSL 握手協(xié)議（SSL Handshake Protocol）：該協(xié)議通常建立在SSL 記錄協(xié)議之上，主要用于實(shí)際數(shù)據(jù)傳輸開始前。

SSL 支持各種加密套件，算法強(qiáng)度根據(jù)實(shí)際情況選擇強(qiáng)弱，加密套件的選擇需要根據(jù)數(shù)據(jù)價(jià)值和實(shí)時(shí)性要求來確定。在連接時(shí)間方面，如果一次連接時(shí)間較長，在這種情況下可以使用一時(shí)一密的加密通信方式，利用隨機(jī)密鑰生成器生成的密鑰代替一次連接生成的密鑰，在服務(wù)器端需要加入密鑰生成器生成的密鑰，同時(shí)傳送相應(yīng)的密鑰。在客戶端加入接受新密鑰，同時(shí)將舊密鑰銷毀。

在電力系統(tǒng)中，采用TCP 傳輸大量的應(yīng)用數(shù)據(jù)和系統(tǒng)數(shù)據(jù)，在這種情況下，可以采用SSL 協(xié)議對(duì)數(shù)據(jù)實(shí)現(xiàn)加密，其算法本身已經(jīng)采用了一次（連接）一密，通過連接服務(wù)器的IP 地址和端口，客戶機(jī)和服務(wù)器完成大量數(shù)據(jù)加密通信。

6 結(jié)束語

電力系統(tǒng)的信息安全管理在通信技術(shù)高速發(fā)展下，對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全提出了更高的要求。通信加密作為一項(xiàng)重要的技術(shù)，在電力系統(tǒng)的多個(gè)領(lǐng)域已經(jīng)得到廣泛的應(yīng)用。本文通過對(duì)電力系統(tǒng)數(shù)據(jù)傳輸?shù)募用苄枨筮M(jìn)行分析之后，提出了數(shù)據(jù)傳輸加密密鑰分發(fā)的一時(shí)一密方案和對(duì)數(shù)據(jù)傳輸加密的應(yīng)用方案，同時(shí)對(duì)一時(shí)一密的加密過程進(jìn)行分析。利用SSL 協(xié)議對(duì)數(shù)據(jù)傳輸進(jìn)行TCP 加密傳輸，通過在服務(wù)器端和客戶端源程序加人SSL，可以根據(jù)加密的需求對(duì)密鑰管理方式和算法進(jìn)行選擇，比較靈活，電力系統(tǒng)網(wǎng)絡(luò)環(huán)境、系統(tǒng)環(huán)境十分復(fù)雜，在以后的工作當(dāng)中，還需要進(jìn)一步完善該加密系統(tǒng)，提供電力系統(tǒng)信息傳輸?shù)陌踩浴?/p>

[1]宋磊，羅其亮，羅毅，涂光瑜.電力系統(tǒng)實(shí)時(shí)數(shù)據(jù)通信加密方案[J].電力系統(tǒng)自動(dòng)化，2004(07).

[2]宋磊.電力信息系統(tǒng)實(shí)時(shí)數(shù)據(jù)的通信安全[D].華中科技大學(xué)，2005(04).

[3]常逢佳.橢圓曲線加密算法研究及其在即時(shí)通訊系統(tǒng)中的應(yīng)用[D].南京理工大學(xué)，2008(09).

[4]宣艷.信息加密技術(shù)在電力市場中的應(yīng)用與研究[D].廣西師范大學(xué)，2002(05).

[5]劉艷芳.信息加密技術(shù)在ERP 系統(tǒng)中的應(yīng)用和研究[D].河北工業(yè)大學(xué)，2006(01).