电力负荷管理系统：数据加密技术

。参照图1的网络结构模型，为了给所有的主站和从站分发密钥，KDC将配置在中心站的一台服务器上，使用集中式的密钥分配方式。

二、结合负荷管理系统数据特点的加密方案

因为电力负荷管理系统在有限传输带宽下要求特别短的反映时间，所以采用增强型的三层体系结构(EPA)，如图2所示。与传统的ISO七层模型相比较，简化了层次结构，有利于数据的实时传输。

在物理层上不作数据加密，而在链路层和应用层上分别用不同的加密方式。在主站和从站的通信控制程序中分别加入针对这两层的加解密模块，而密钥管理方案在通信双方的源程序中实现。

1、应用层的数据加密方式

图3是应用层帧结构，应用层协议根据功能码AFN的区分，将数据分成不同的类型，如确认、复位、中继站命令、设置参数、查询等。由前文的分析可知，负荷管理系统的数据对于时效性的要求各有不同，在各种数据中又根据保密性的要求分成不同的级别。因此按照AFN的区分采用不同的加密方式，对应用层的所有字节统一进行加密。在发送端根据级别进行数据文件加密，对应的在接收端进行相应的数据文件解密。所有的程序都是嵌入到通信控制程序之中来完成的。

2、链路层的数据文件加密方式

图4是链路层帧结构，链路层协议对时效性要求比较高，其中的开始字符和结束字符在传输中对于帧的开始和结束的界定尤其重要，因此不参与数据文件加密。对于提出报文长度、控制域、地址域及校验和等使用实时加密方案;为了提高加密速度和保密性能，对于已经加密过的应用层数据采用和链路层其他数据域相同的实时加密方案。这样，既提高对应用层数据的加密效果，同时由于链路层采用统一的加密方案，对于加密和解密的时间也作了有效的压缩，以适应这一层协议对时效性的较高要求。

3、加密算法和密钥长度的选择

非对称加密算法安全性较高，抗攻击能力强，但是在目前存在一些工程上的缺点，如加密算法一般比较复杂，加密、解密速度慢等。因此在加密算法中普遍采用对称加密和非对称加密相结合的混合加密体制。

(1)密钥传送一般使用非对称加密算法，如果使用RSA生成密钥信息时，512 bit在短期内仍然是安全的。但是，随着硬件设备的不断发展和攻击算法的提高，很可能不久就要采用768 bit或者1024 bit长度的密钥来保证电力系统中数据安全的需要。

(2)对称加密算法应用于数据加密加密，速度要比相同密钥长度的非对称算法要高出一个数量级左右。因此负荷管理系统数据的加密将采用对称加密算法。

常用的加密算法有DES、IDEA和RC4。本文推荐使用标准长度的密钥，加密算法程序简单：DES有效密钥长度56 bit，IDEA密钥长度128 bitO最快速的加密算法是RC4，比DES加密算法快10倍左右，密钥长度40 bit。密钥在传送过程中将采用RSA加密算法。对于链路层的数据文件加密将统一采用RC4加密算法。而对于应用层的加密算法，根据AFN来区分的加密等级，将选择不同的对称算法来进行数据文件加密。

三、加密方案的效果及对系统的影响

对负荷管理系统的数据文件加密，必然会带来一定的时间开销。在有效地提高系统的安全性能的前提下，要保证不会对系统运行的时效性造成较大的影响。影响无线网络环境的实时性能的因素有：数据打包拆包，身份认证，数据文件加密、解密，数据的网络连接时间，网络延迟等。与不加密相比，影响响应时间的因素即身份认证和数据文件加密、解密的时间。身份认证的开销并不大，而对无线网络中的身份认证不必须在数据传输时进行，可以规定系统间隔一定时间即对全网的登录设备进行身份确认。因此，加密带来的时间开销可以简单的视作数据文件加密、解密的时间。

在加密方案中，选取了一种负荷管理终端常用的ARM7系列32位处理器AT91FR40162，时钟频率为70 MHZ。对加密和不加密两种情况下的时间性能进行了比较。加密算法是用C语言进行实现的，表1和表2中的时间数值均为1万次随机数据的处理时间的算术平均值。实验时的无线网络传输速率为1200 bpS。

(1)CDMA或GPRS通信方式，仅采用端到端的加密方式，加密算法为RC4，表1中的数据长度为物理层的l帧的数据长度。

(2)数传电台通信方式，采用端到端加密和链路加密的复合加密方式，为方便数据比对，两者均采用RC4加密算法，表2中的数据长度模拟用户一天的电能质量