《电力用户用电信息采集系统安全防护技术方案.ppt》由会员分享,可在线阅读,更多相关《电力用户用电信息采集系统安全防护技术方案.ppt(30页珍藏版)》请在金锄头文库上搜索。
1、0电力用户用电信息采集系统电力用户用电信息采集系统安全防护技术方案安全防护技术方案中国电力科学研究院2009年9月三、安全防护技术方案三、安全防护技术方案三、安全防护技术方案三、安全防护技术方案二、风险分析二、风险分析二、风险分析二、风险分析目 录一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介四、主要工作四、主要工作四、主要工作四、主要工作一、用电信息采集系统简介全全面面建建设设电电力力用用户户用用电电信信息息采采集集系系统统,符符合合国国际际电电网网技技术术发发展展的的方方向向,是是建建设设智智能能电电网网的的
2、重重要要组组成成部部分分;符符合合经经济济社社会会发发展展的的要要求求,是是扩扩大大内内需需、加加快快城城市市和和农农村村电电网网改改造造的的重重要要措措施施;符符合合公公司司发发展展方方式式转转变变的的需需要要,是是公公司司“SG186SG186”信信息息系系统统工工程程建建设设和和营营销销计计量量、抄抄表表、收收费费标标准准化化建建设设的的重重要要基基础础,是是提提升升服服务务能能力力、实实行行居居民民阶阶梯梯电电价价的的必必然然选选择择,是是建建设设国国际际一一流流企企业业的的重重要要保保证证,将将有有力力支支撑撑公公司司决决策策更更加加及及时时、科科学学,推推动动公公司司发发展展实现历
3、史性跨越。实现历史性跨越。 一、用电信息采集系统简介根据电力用户用电信息采集系统建设规模的不同,主站可分为集中根据电力用户用电信息采集系统建设规模的不同,主站可分为集中式和分布式两种部署模式。式和分布式两种部署模式。 (1 1)集中式部署)集中式部署集中式部署是全省(直辖市)仅部署一套主站系统,一个统一的通集中式部署是全省(直辖市)仅部署一套主站系统,一个统一的通信接入平台,直接采集全省范围内的所有现场终端和表计,集中处理信信接入平台,直接采集全省范围内的所有现场终端和表计,集中处理信息采集、数据存储和业务应用。集中式部署主要适用于低于息采集、数据存储和业务应用。集中式部署主要适用于低于500
4、500万用户的万用户的网省电力公司。网省电力公司。一、用电信息采集系统简介 (2 2)分布式部署)分布式部署分分布布式式部部署署是是在在全全省省各各地地市市公公司司分分别别部部署署一一套套主主站站系系统统,独独立立采采集集本本地地区区范范围围内内的的现现场场终终端端和和表表计计,实实现现本本地地区区信信息息采采集集、数数据据存存储储和和业业务务应应用用。分分布布式式部部署署主主要要适适用用于于用用户户数数量量高高于于500500万万的的网网省省电电力公司。力公司。一、用电信息采集系统简介主站无线专网无线公网光纤居民表居民表电力线载波采集器电力线载波采集器集中器远传多功能电表集中器小无线采集器I
5、C卡预付费表主站管理系统传输通道终端系列主站服务器前置机电力线小无线电表小无线网主站管理系统电力线载波表IC卡预付费表负控终端485线485线485线三、安全防护方案三、安全防护方案三、安全防护方案三、安全防护方案二、风险分析二、风险分析二、风险分析二、风险分析目 录一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介四、主要工作四、主要工作四、主要工作四、主要工作现状现状风险分析风险分析二、风险分析现状现状风险分析风险分析二、风险分析主站安全防护现状主站安全防护现状 系统主站已根据电力二次系统安全防护总体方案,采取一
6、定的通用安系统主站已根据电力二次系统安全防护总体方案,采取一定的通用安全防护措施。全防护措施。公网信道安全防护现状公网信道安全防护现状 主主站站通通过过专专线线和和移移动动公公司司 GPRS GPRS 网网的的 GGSN GGSN 相相连连,在在移移动动 GGSN GGSN 网网元元上上为为电电力力公公司司设设置置一一个个专专用用的的APNAPN接接入入点点,从从而而在在终终端端和和电电力力企企业业内内部部网网络络之之间间构构成成一一条条无无线线虚虚拟拟专专网网(VPNVPN)通通道道,满满足足电电力力企企业业提提出出的的内内部部网网络络安安全性及数据私密性的要求。全性及数据私密性的要求。现状
7、现状风险分析风险分析二、风险分析 采集终端安全防护现状采集终端安全防护现状 目前使用的各种采集终端很少采取有效的安全防护措施。目前使用的各种采集终端很少采取有效的安全防护措施。 电能表安全防护现状电能表安全防护现状 普通电子式电能表没有采取安全防护措施。普通电子式电能表没有采取安全防护措施。 预预付付费费电电能能表表中中的的逻逻辑辑加加密密卡卡安安全全防防护护等等级级较较低低,CPUCPU卡卡使使用用3DES3DES算算法的安全模块,安全防护等级较高,逐步为多个网省电力公司采用。法的安全模块,安全防护等级较高,逐步为多个网省电力公司采用。二、风险分析现状现状风险分析风险分析p窃听p篡改p身份伪
8、造窃 听篡 改通信主体身份伪造窃 听篡改通信主体身份伪造目 录三、安全防护方案三、安全防护方案三、安全防护方案三、安全防护方案二、风险分析二、风险分析二、风险分析二、风险分析一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介四、主要工作四、主要工作四、主要工作四、主要工作三、安全防护方案p进一步规范用电信息采集系统安全防护工作,提进一步规范用电信息采集系统安全防护工作,提高系统的总体安全防护能力。高系统的总体安全防护能力。p保障电网安全稳定运行,确保业务数据安全可靠,保障电网安全稳定运行,确保业务数据安全可靠,提高用
9、电服务质量。提高用电服务质量。p实现国家电网公司营销业务应用系统安全防护水实现国家电网公司营销业务应用系统安全防护水平的整体提升。平的整体提升。目的目的技术措施技术措施方案设计方案设计方案实现方案实现目的目的防护策略防护策略方案设计方案设计三、安全防护方案方案实现方案实现电力线载波表主站发卡系统无线专网无线公网光纤用户卡居民表居民表电力线载波采集器电力线载波采集器集中器远传多功能电表集中器小无线采集器IC卡预付费表主站管理系统传输通道终端系列售电系统加密机主站服务器前置机用户卡PSAM加密机用户卡用户卡ESAMESAMESAMESAMESAMESAMESAMESAMESAM电力线小无线电表ES
10、AMESAM小无线网主站管理系统密钥管理系统IC卡预付费表负控终端485线485线485线三、安全防护方案目的目的技术措施技术措施方案设计方案设计方案实现方案实现u依依据据电电力力二二次次系系统统安安全全防防护护技技术术方方案案和和电电力力用用户户用用电电信信息息采采集集系系统统电电能能信信息息安安全全技技术术规规范范,对对系系统统的的边边界界、网络、主机进行防护。网络、主机进行防护。u采采用用非非对对称称密密钥钥算算法法和和对对称称密密钥钥算算法法的的混混合合密密码码系系统统,以以确保主站和终端通信的安全性。确保主站和终端通信的安全性。u对称密钥算法主要用于通信数据的加解密。对称密钥算法主要
11、用于通信数据的加解密。u非非对对称称密密钥钥算算法法主主要要用用于于身身份份鉴鉴别别、密密钥钥协协商商、对对称称密密钥钥的更新。的更新。 三、安全防护方案目的目的技术措施技术措施方案设计方案设计方案实现方案实现u密密钥钥管管理理包包括括:密密钥钥的的产产生生、存存储储、分分发发、更更新新、备备份份/ /恢恢复复、销销毁毁等等整整个个密密钥钥生生命命周周期期的的管管理理,支支持持在在线线和和离线的管理。离线的管理。u对对称称密密钥钥的的管管理理采采用用三三级级密密钥钥管管理理体体系系:国国网网级级主主密密钥钥、网网省省级级主主密密钥钥、地地市市级级主主密密钥钥。密密钥钥采采用用逐逐级级离离散散的
12、方式,以确保根密钥的安全性。的方式,以确保根密钥的安全性。u非非对对称称密密钥钥主主要要用用于于CACA系系统统,CACA采采用用双双证证书书结结构构。非非对称密钥包括签名密钥和加密密钥。对称密钥包括签名密钥和加密密钥。三、安全防护方案u在在电电力力用用户户用用电电信信息息采采集集系系统统中中,所所有有数数据据的的加加解解密密都采用硬件方式实现。都采用硬件方式实现。u对对称称密密钥钥算算法法采采用用国国密密算算法法(国国密密算算法法),非非对称密钥算法采用或算法。对称密钥算法采用或算法。目的目的技术措施技术措施方案设计方案设计方案实现方案实现三、安全防护方案u主主站站侧侧采采用用国国家家密密码
13、码管管理理局局认认可可的的密密码码机机设设备备实实现现数数据据加加解解密密,密密码机集成有对称密钥算法和非对称密钥算法。码机集成有对称密钥算法和非对称密钥算法。u专专变变采采集集终终端端和和集集中中器器采采用用国国家家密密码码管管理理局局认认可可的的硬硬件件安安全全模模块块实实现现数数据据加加解解密密。硬硬件件安安全全模模块块同同时时集集成成有有对对称称密密钥钥算算法法和和非非对对称称密密钥算法。钥算法。u智智能能电电能能表表内内采采用用国国家家密密码码管管理理局局认认可可的的硬硬件件安安全全模模块块实实现现数数据据加加解解密密。智智能能电电能能表表采采用用的的硬硬件件安安全全模模块块集集成成
14、有有对对称称密密钥钥算算法法。本本地地费控电能表可以借助费控电能表可以借助CPUCPU卡实现密钥的更新。卡实现密钥的更新。目的目的技术措施技术措施方案设计方案设计方案实现方案实现目 录三、安全防护方案三、安全防护方案三、安全防护方案三、安全防护方案二、风险分析二、风险分析二、风险分析二、风险分析一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介一、电力用户用电信息采集系统简介四、主要工作四、主要工作四、主要工作四、主要工作四、主要工作 20072007年年1 1月至月至20082008年年1 1月,按照国家电网公司科技项月,按照国家电网公司科技项目
15、目“电能采集与运行管理系统研究与应用电能采集与运行管理系统研究与应用”的工作安的工作安排,中国电力科学研究院进行电力负荷管理系统加密排,中国电力科学研究院进行电力负荷管理系统加密认证装置的应用试点研究,包括与终端装置各种通讯认证装置的应用试点研究,包括与终端装置各种通讯模块的软硬件接口和控制模式。模块的软硬件接口和控制模式。试点测试试点测试标准建设标准建设产品研制产品研制上海试点上海试点四、主要工作系统结构图试点测试试点测试标准建设标准建设产品研制产品研制系统结构系统结构四、主要工作p模模拟拟系系统统的的组组网网方方式式为为1 1比比8 8。在在松松江江安安装装9600bps9600bps基基
16、站站电电台台及及相相关关设设备备,使使用用一一个个独独立立的的230MHz230MHz单单工工频频率率作作为为模模拟拟系系统统的的信信道道。在在上上海海电电力力公公司司大大楼楼内内安安装装一一套套单单机机版版主主站站模模拟拟软软件件,主主站站计计算算机机使使用用USBUSB接接口口连连接接加加密密模模块块,使使用用串串口口服服务务器器远远程程连连接接松松江江的的9600bps9600bps基基站站电电台台。在在松松江江安安装装了了8 8台台9600bps9600bps终终端端,终终端端加加装装专专用用通通信信加加密密模模块块所所需需的的接接口口和和固固定定件件,使使用用I2CI2C总总线线方方
17、式式连连接接加加密密模模块块。模模拟拟系系统统采采用用Q/GDW130-2005Q/GDW130-2005电电力力负负荷荷管管理理系系统统数数据据传传输规约输规约。试点测试试点测试标准建设标准建设产品研制产品研制系统概况系统概况四、主要工作 20072007年年1111月月,由由华华东东电电力力试试验验研研究究院院对对该该系系统统的的传传输输加密、加解密效率和安全功能进行测试。测试项目包括:加密、加解密效率和安全功能进行测试。测试项目包括:p数据召测响应延时试验;数据召测响应延时试验;p数据召测成功率试验;数据召测成功率试验;p抄表数据传输响应延时试验;抄表数据传输响应延时试验;p不同传输速度
18、下的加密参数响应延时试验;不同传输速度下的加密参数响应延时试验;p不同传输速度下加密前后的控制命令响应延时试验等;不同传输速度下加密前后的控制命令响应延时试验等;p安全功能测试。安全功能测试。试点测试试点测试标准建设标准建设产品研制产品研制系统测试系统测试四、主要工作 系统能提供严密的身份验证、数据加解密、访问控系统能提供严密的身份验证、数据加解密、访问控制、权限划分等安全机制,可以确保系统和数据的安全制、权限划分等安全机制,可以确保系统和数据的安全性和完整性。性和完整性。 本项目研究成果可为国家电网公司电能信息采集与本项目研究成果可为国家电网公司电能信息采集与管理系统建设提供设计指导,也可以
19、为电能信息采集与管理系统建设提供设计指导,也可以为电能信息采集与管理系统在数据的高效传输和系统的信息安全方面提供管理系统在数据的高效传输和系统的信息安全方面提供有效的解决方案,提高在运系统的可靠性、安全性,保有效的解决方案,提高在运系统的可靠性、安全性,保障电网的稳定运行。障电网的稳定运行。试点测试试点测试标准建设标准建设产品研制产品研制测试结论测试结论四、主要工作p20092009年年3 3月月3131日,完成日,完成电力用户用电信息采集电力用户用电信息采集系统安全防护体系建设方案系统安全防护体系建设方案,提交国网公司,提交国网公司营销部。营销部。p20092009年年7 7月月1515日,
20、国家电网公司企业标准日,国家电网公司企业标准智能智能电能表信息交换安全认证规范电能表信息交换安全认证规范通过专家评审通过专家评审, ,即将发布。即将发布。p20092009年年8 8月月3131日,完成制定日,完成制定电力用户用电信息电力用户用电信息采集系统电能信息安全防护技术规范采集系统电能信息安全防护技术规范,已提,已提交,即将进行评审。交,即将进行评审。试点测试试点测试标准建设标准建设产品研制产品研制四、主要工作试点测试试点测试标准建设标准建设产品研制产品研制CEPESAMCEPESAM嵌嵌入入式式安安全全芯芯片片是是中中国国电电力力科科学学研研究究院院开开发发的的安安全全认认证证芯芯片
21、片,它它采采用用国国密密局局批批准准的的SM1SM1算算法法, ,可可以以根根据据用用户户需需要要封封装装成成Plug-in Plug-in 规规格格SAMSAM卡或卡或DIP8DIP8的芯片。的芯片。 DIP8DIP8封封装装的的芯芯片片可可以以作作为为一一个个安安全全存存取取单单元元,嵌嵌入入到到符符合合智智能能电电能能表表、终终端端产产品品或或者者其其他他专专用用或或通通用用设设备备中中,完完成成数数据据的的加加/ /解解密密、双双向向身身份份认认证证、访访问问权权限限控控制制、通通信信线线路路保保护护、临临时时密密钥钥导导出出、数数据据文文件件存存储等多种功能。储等多种功能。四、主要工作试点测试试点测试标准建设标准建设产品研制产品研制p完成基于国密局批准的完成基于国密局批准的SM1SM1算法的加密机研制。算法的加密机研制。四、主要工作试点测试试点测试标准建设标准建设产品研制产品研制p研制智能电能表国密研制智能电能表国密SM1SM1算法安全芯片开发套件。算法安全芯片开发套件。四、主要工作试点测试试点测试标准建设标准建设产品研制产品研制p完完成成智智能能电电表表和和智智能能用用电电终终端端安安全全防防护护检检测测台台研制,具备检测条件。研制,具备检测条件。谢谢!
