加密技术在电力调度数据网中的应用

09年下半年，重庆市调完成了纵向加密装置在全网的安装调试，现已全部投入运行，涵盖市调、地调(12个供电局及超高压局所辖220KV、500KV变电站)及市调所辖电厂。纵向加密装置采用卫士通公司的SJW77网络密码机，市调部署4台加密机，实时、非实时业务各2台，分别采用双机热备方式(1台部署在主链路上，1台部署在备链路上)。实时加密机保护数据网中的EMS、WAMS业务，非实时加密机保护数据网中的TMR、HDS业务。各个地调及电厂部署2台加密机，实时业务、非实业务各1台。

其网络拓扑如图11所示。

加密装置使用对称加密算法、非对称算法、散列算法等加密算法。

˙对称加密算法采用国家密码管理局批准使用的SSX06密码芯片，分组长度为128位，密钥长度为128位，主要用于保护设备之间的通信数据加密。它设计成专用的硬件加密卡，加密算法只能在卡中完成数据加解密操作。

˙非对称算法用于数字签名和数字信封，采用标准RSA加密算法，密钥长度为1024位。

˙散列算法用于数据完整性验证，采用目前广泛应用的标准MD5加密算法。

˙装置使用的密钥包括：设备密钥、会话密钥、通信密钥。

˙设备密钥为非对称密钥，配置在装置和装置管理系统中，用于设备的认证与会话密钥的协商。设备密钥由装置产生，其私钥保存在装置内，公钥经调度数字证书服务系统签名，以数字证书的方式发布。

˙会话密钥为对称密钥，用于装置之间的通信数据文件加密，会话密钥由设备在建立安全通道时动态协商产生，拆除通道时失效：安全通道一旦建立以后，会话密钥主要有以下产生方式：

1)人工协商：由管理员通过管理界面提供的密钥协商功能进行操作;

2)自动协商：密钥协商程序根据设置的协商时间定时自动协商，缺省为24个小时，用户可以通过管理界面修改;

3)开机协商：加密认证装置在启动时，初始化完所有的配置参数时自动启动密钥协商功能。

˙通信密钥为对称密钥，用于装置管理系统与设备之间管理数据通信加密，通信密钥一次一密，通过数字信封随管理报文传输到每个与之连接的设备。

经过近半年的运行，该加密装置工作稳定，能较好地满足调度数据网中各项传输业务的加密要求。