CN113347004A

CN113347004A - 一种电力行业加密方法

Info

Publication number: CN113347004A
Application number: CN202110626779.8A
Authority: CN
Inventors: 杨乘胜; 胡银华
Original assignee: Nanjing Huadun Power Information Security Evaluation Co Ltd
Current assignee: Nanjing Huadun Power Information Security Evaluation Co Ltd
Priority date: 2021-06-04
Filing date: 2021-06-04
Publication date: 2021-09-03

Abstract

本发明公开了一种电力行业加密方法，包括：数字证书发放、用户强身份鉴别、数据安全传输、数据安全存储以及抗抵赖性保证几个方面，本发明通过以上几个方面对电力系统的数据在传输过程中进行加密，降低了数据泄露的风险，进一步提高了电力系统在数据传输过程中的安全性。

Description

一种电力行业加密方法

技术领域

本发明属于加密技术领域，尤其涉及一种电力行业加密方法。

背景技术

当今世界，由海量数据、异构网络、复杂应用共同组成的“网络空间”已成为与陆地、海洋、天空、太空同等重要的人类“第五空间”。网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、意识形态斗争的新平台、维护经济社会稳定的新阵地、未来军事角逐的新战场。网络战争中，密码应用的缺位是遭受损失的重要原因之一，在密码技术、密码产业处于弱势的一方，往往成为被动挨打的对象。2009年，在伊朗德核设施的工业控制室计算机中，由于该计算机缺乏基于密码的强身份认证和防问控制措施，被植入了“震网”（Stuxnet）病毒，它可以说是世界上第一个投放的网络武器，宣告了网络战争的开启。2012年5月，俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基实验室称，这种病毒可能是“某个国家专门开发的网络战武器”。遭受该病毒感染的国家包括伊朗（189个目标造袭）、以色列和巴基斯坦等大部分中东国家。“火焰”病毒利用了在Windows系统中普遍使用的MD5算法存在弱点，通过伪造数字证书成功绕过了操作系统的身份鉴别机制，得以进入受害者信息系统。尤其是DCS系统和SIS系统的安全问题不容乐观，主要存在诸多问题。DCS系统：

①缺少强制认证手段

工业控制类系统当前仍采用“用户名+口令”方式进行系统登录，随着互联网“拖垮、撞库”等安全事件的暴光，基于“口令”方式的身份鉴别机制已经无法满足系统安全建设要求。据第三方统计，在2016年网站安全事件中，由于“口令”问题所引发的安全事件高达11.7%。另外通信实体通信前未基于密码技术实现通信实体的相互认证。

②网络劫持与控制指令篡改风险

目前工业控制类系统通信与控制采用IEC 61850 通信明码报文，控制指令易被重用和篡改，不法分子采用网络劫持等手段可以实现篡改控制指令的目的。乌克兰停电事件就是利用IEC 61850明文协议，实现重用和篡改控制指令，达到攻击的目的。

数据泄露风险

现有电力数据存储基本以明文形式，未采取任何加密措施，随着未来信息系统的云化，安全风险将更加突出。

缺乏操作抗抵赖手段

工业控制系统存在组态文件的下装和关键控制指令的下发两种操作，目前对这两种操作缺乏抗抵赖手段，当安全事件发生时，无法准确查找到安全事件的操作人和相关资源。

SIS系统：

①缺少强制认证手段

管理人员作为系统信息发布者，其账户安全性直接影响整个站点安全与否，该系统当前仍采用“用户名+口令”方式进行系统登录，随着互联网“拖垮、撞库”等安全事件的暴光，基于“口令”方式的身份鉴别机制已经无法满足门户网站安全建设要求。

②网络劫持与内容篡改风险

该系统使用通用HTTP协议实现与公众浏览器间的交互，由于HTTP协议基于明文方式传输所有内容，不法分子采用网络劫持等手段可以实现篡改网站内容的目的。

发明内容

为了解决现有技术存在的问题，本发明提供一种电力行业加密系统，能够并行自动下载并升级程序。

本发明所要解决的技术问题是通过以下技术方案实现的：

提供了一种电力行业加密系统，包括：

数字证书发放、用户强身份鉴别、数据安全传输、数据安全存储以及抗抵赖性保证；

所述数字证书发放包括：在上级单位建立数字证书认证系统，在电厂端建立数字证书受理点进行数字证书发放；

所述用户强身份鉴别包括：对DCS系统用户进行强身份鉴别；对DCS系统设备之间进行强身份鉴别；对三区SIS系统用户进行强身份鉴别；

所述数据安全传输包括：对DCS系统内部数据进行安全传输；对一区DCS系统接口机与SIS系统二区服务器之间的数据进行安全传输；对SIS系统二区和SIS系统三区之间的数据进行安全传输；对SIS系统与外接网络的数据进行安全传输；

所述数据安全存储包括：对DCS系统数据进行安全存储；对SIS系统数据进行安全存储；

所述抗抵赖性保证包括：对DCS系统进行抗抵赖性保证。

进一步的，所述数字证书发放包括：有电厂端每个区域的电力监控系统管理员向证书受理点提交人员证书申请表和设备PKCS10请求文件；

证书受理点收集到用户、设备信息和鉴别管理用户身份后将用户公钥和设备的PKCS10请求发送提交到数字证书认证系统；

CA系统签发证书，由受理点证书管理员负责下载到证书介质中，发放给电力监控系统最终用户和设备。

进一步的，采用数字证书和密码卡实现对DCS系统用户进行强身份鉴别以及对DCS系统设备之间进行强身份鉴别，采用数字证书实现对三区SIS系统用户进行强身份鉴别。

进一步的，所述对DCS系统内部数据进行安全传输包括：在DCS系统内部各设备进行数据交互前，通过调用设置于各设备上的密码卡中的杂凑函数保证数据的完整性；设备间通过数字证书进行相互鉴别建立安全通信信道。

进一步的，所述对一区DCS系统接口机与SIS系统二区服务器之间的数据进行安全传输包括：调用一区DCS系统接口机中的HMAC-SM3算法保证数据传输过程中的完整性，SIS系统二区服务器调用服务器密码机验证接收消息的完整性；一区DCS系统接口机与SIS系统二区服务器之间通过数字证书进行相互鉴别建立安全通信信道。

进一步的，所述对SIS系统二区和SIS系统三区之间的数据进行安全传输包括：调用二区服务器的服务器密码机中的HMAC-SM3算法保证数据传输过程中的完整性，SIS系统三区的服务器调用服务器密码机验证接收消息的完整性。

进一步的，所述对SIS系统与外接网络的数据进行安全传输包括：在SIS系统隔外部网络通信链路的两端部署SSL网关建立安全信息传输通道，并对传输数据进行加密。

进一步的，所述对DCS系统数据进行安全存储为：通过厂站端服务器调用服务器的密码机提供主密钥对数据进行加密存储。

进一步的，所述对SIS系统数据进行安全存储为：SIS系统二区与三区的服务器调用各自的服务器密码机对数据进行对称加密。

进一步的，所述对DCS系统进行抗抵赖性保证包括：将DCS系统中工程师站组态文件的发布和操作员站下发的关键命令进行数字签名，并在DCS系统中各设备上设置密码卡。

本发明有益效果：本发明公开了一种电力行业加密系统，包括：数字证书发放、用户强身份鉴别、数据安全传输、数据安全存储以及抗抵赖性保证几个方面，本发明通过以上几个方面对电力系统的数据在传输过程中进行加密，降低了数据泄露的风险，进一步提高了电力系统在数据传输过程中的安全性。

附图说明

图1为本发明中数字证书下发流程图；

图2为本发明中DCS系统用户强身份鉴别示意图；

图3为本发明中DCS系统用户强身份鉴别过程中密码应用工作流程图；

图4为本发明中DCS系统设备之间相互认证的示意图；

图5为本发明中DCS系统设备之间相互认证过程中密码应用工作流程图；

图6为本发明中三区SIS系统用户的强身份鉴别的示意图；

图7为本发明中三区SIS系统用户的强身份鉴别过程中密码应用工作流程图；

图8为本发明中DCS系统中数据的安全传输示意图；

图9为本发明中DCS系统中数据的安全传输过程中密码应用流程图；

图10为本发明中一区DCS系统接口机与SIS系统二区服务器之间的数据传输示意图；

图11为本发明中一区DCS系统接口机与SIS系统二区服务器之间的数据传输过程中密码应用流程图；

图12为本发明中SIS系统二区和SIS系统三区之间的数据传输示意图；

图13为本发明中SIS系统二区和SIS系统三区之间的数据传输过程中密码应用流程图；

图14为本发明中SIS系统与外接网络的数据传输示意图；

图15为本发明中SIS系统与外接网络的数据传输过程中密码应用流程图；

图16为本发明中DCS系统数据的安全存储示意图；

图17为为本发明中DCS系统数据的安全存储过程中密码应用流程图；

图18为本发明中SIS系统数据的安全存储示意图；

图19为本发明中SIS系统数据的安全存储过程中密码应用流程图；

图20为本发明中DCS系统的抗抵赖示意图；

图21为本发明中DCS系统的抗抵赖过程中密码应用流程图；

图22为本发明中DCS系统操作员责任认定示意图。

具体实施方式

为了进一步描述本发明的技术特点和效果，以下结合附图和具体实施方式对本发明做进一步描述。

本发明提供的一种电力行业加密方法，如图1-22所示，包括以下几个方面：

数字证书的发放

为了保证证书服务及时可达和电厂管理自主化，在上级单位建设有数字证书认证系统，在电厂建立证书受理点，由电厂为每个区域的电力监控系统指派证书管理员，内部用户和区域内的设备通过受理点管理员办理数字证书，从而使电厂具有证书自助管理能力。

用户强身份鉴别

包括：

1、DCS系统用户的强身份鉴别

具体为：采用数字证书实现强身份鉴别功能，信息系统通过调用客户端安全组件和密码卡实现对存储于证书介质内数字证书的读取、解析、验证和展现，实现基于数字证书的安全登录。

采用的密码设备包括：

USBKey：由CA颁发的具有证书的个人用户USBKey。

密码卡：为DCS系统提供签名、验签、加解密等运算支持。

密码应用工作流程如下：

a)用户将证书载体（USBKey）插入计算机，访问应用服务；

b)客户端和DCS系统服务端建立连接，连接建立过程中系统提示用户输入证书保护PIN码；

c)用户正确输入PIN码后，客户端调用认证接口，密码卡产生随机数，发送给USBKey；

d)客户端调用USBKey签名接口，USBKey使用私钥对随机数进行签名，并将签名值和用户证书发送给客户端；

e)客户端收到签名值和用户证书后，调用认证接口，向密码卡请求验证签名和证书；

f)密码卡验证签名值和证书有效性，并获取证书唯一标识与数据库匹配，匹配成功则进入系统主页面。

集成效果：集成后系统用户使用个人数字证书对登录业务系统的人员进行合法身份的审核；没有证书将无法登录业务系统，防止非授权人员登录到业务系统。

2、DCS系统设备之间相互认证

具体为采用数字证书和密码卡实现设备间的相互认证功能。设备交互前需通过相互鉴别，方可建立通信通道。

设备之间的相互认证主要包括以下三种类型：

1、上位机工程师站、操作员站、历史服务器之间的相互认证；

2、控制器分别与上位机工程师站、操作员站、历史服务器之间的相互认证；

3、接口机与历史服务器之间的相互认证。

三种类型的设备之间交互认证方式的密码应用流程如下：

a)设备初始化阶段，设备证书已导入至设备中；

b)设备A和设备B建立通信连接请求，A调用认证接口，密码卡产生随机数Ra；同时B调用认证接口，密码卡产生随机数Rb；

c)设备A和B相互发送各自产生的随机数和设备证书；

d)设备A调用密码卡签名接口，密码卡使用私钥对随机数Ra、Rb进行签名，并将签名值发送给设备B。同时设备B调用密码卡签名接口，密码卡使用私钥对随机数Rb、Ra进行签名，并将签名值发送给设备A；

e)设备A收到签名值，调用认证接口，向密码卡请求验证签名，比对Rb与从b）步骤中接收到的随机数Rb是否一致。同时设备B收到签名值后，调用认证接口，密码卡验证签名值，比对Ra与从b）步骤中接收到的随机数Ra是否一致，一致则设备A和B相互认证成功。

采用设备主要为密码卡：为DCS系统提供签名、验签、加解密等运算支持。

3、三区SIS系统用户的强身份鉴别

具体为：采用数字证书实现三区系统的强身份鉴别功能，在服务器与用户区之间部署基于数字证书的身份认证系统，实现用户区与服务区的身份认证。

采用的主要密码设备（子系统或模块）

USBKey：由CA颁发的具有证书的个人用户USBKey。

身份认证系统：对用户提供基于数字证书的身份管理和鉴别服务，实现身份的互信互任，为网络访问和信息共享的安全可控提供基础安全能力。

密码应用工作流程如下所示：

a)用户使用身份鉴别USBKey登陆客户端；

b)客户端和SIS系统服务端建立连接，连接建立过程中系统提示用户输入证书保护PIN码；

c)用户正确输入PIN码后，请求访问服务器；

d)服务器调用身份认证系统生成随机数；

e)服务器向客户端发起随机数认证挑战；

f)客户端获取随机数后，调用身份认证系统，与身份认证系统进行基于数字证书的双向身份认证；证书校验通过后，身份认证系统生成用户的身份票据，并对随机数进行签名，将票据与数字签名返回客户端；

g)客户端将身份票据与随机数的签名值，提交到服务器；

h)服务器调用身份认证系统验证接口验证票据与数据签名。

数据的安全传输

包括：

1、DCS系统中数据的安全传输

采用调用设备嵌入的密码卡中的杂凑函数的密码技术实现数据传输过程中的完整性。在设备交互前已通过相互鉴别，建立了安全的通信信道。

PLC控制系统运行过程中，向PLC控制器下载和安装用户逻辑组态，本设计采用密码技术保护用户逻辑组态下装过程的完整性、不可抵赖性和操作授权。不可抵赖性与操作授权在责任制定中实现。

设备之间的数据交互主要包括以下三种类型：

1、上位机工程师站、操作员站、历史服务器之间的数据交互；

2、控制器分别与上位机工程师站、操作员站、历史服务器之间的数据交互；

3、接口机与历史服务器之间的数据交互。

三种类型的数据交互的密码应用流程如下：

a)设备A确定待传输数据Da，调用密码卡的完整性保护接口，生成数据Da的数字摘要Ha；

b)设备A将数据Da与数字摘要Ha同时发送给设备B；

c)设备B接收数据Da与数字摘要Ha，调用密码卡的完整性保护接口生成数据Da的数字摘要Hb；

d)设备B对比接收到的数字摘要Ha与生成的数据摘要Hb，若一致则验证通过，若不一致，返回设备A，并提示“数据完整性破坏”。

主要密码设备（子系统或模块）

密码卡：为DCS系统提供签名、验签、加解密等运算支持。

2、Ⅰ区DCS系统接口机与SIS二区服务器之间的数据传输

Ⅰ区DCS系统接口机与SIS二区服务器之间数据传输是单向的，设计采用调用Ⅰ区接口机嵌入的密码卡中的基于HMAC-SM3算法的完整性保护接口现数据传输过程中的完整性保护，SIS二区服务器调用服务器密码机验证接收消息的完整性。在设备交互前已通过相互鉴别，建立了安全的通信信道。

主要密码设备（子系统或模块）

密码卡：为DCS系统中的接口机提供数据完整性保护等运算支持。

服务器密码机：为SIS接口机、实时数据库服务器提供数据加解密、杂凑等密码运算服务，实现数据的机密性与完整性保护。

密码应用工作流程如下:

a)一区接口机确定待传输数据Da，调用密码卡的完整性保护接口；

b)密码卡根据主密钥，分散出MAC密钥，基于HMAC-SM3算法生成数据Da的消息鉴别码MAC1，并连同数据Da一起发送给二区接口机；

c)二区接口机接收到数据Da与MAC1后，调用服务器密码机；

d)服务器密码机根据主密钥，分散出MAC密钥，基于HMAC-SM3算法生成数据Da的消息鉴别码MAC2，并返回SIS二区接口机；

e)SIS二区接口机对比接收到的消息鉴别码MAC1与服务器密码机生成的消息鉴别码MAC2，若一致则验证通过，若不一致，提示“数据完整性破坏”。

3、SIS系统二区和SIS系统三区之间的数据传输

SIS二区和SIS三区之间服务器之间已经部署横向隔离装置，实现了两个安全区之间的非网络方式的安全的数据交换。设计采用调用二区服务器的服务器密码机中的基于HMAC-SM3算法的完整性保护接口现数据传输过程中的完整性保护，SIS三区服务器调用服务器密码机验证接收消息的完整性。

主要密码设备（子系统或模块）

服务器密码机：符合《GM/T 0030-2014服务器密码机技术规范》要求。

密码应用工作流程如下：

设备A：实时数据库服务器；设备B：数据库镜像服务器，WEB发布服务器，应用服务器；

a)设备A确定待传输数据Da，调用服务器密码机的完整性保护接口，生成数据Da的数字摘要Ha；

b)设备A将数据Da与数字摘要Ha同时发送给设备B；

c)设备B接收数据Da与数字摘要Ha，调用服务器密码机的完整性保护接口生成数据Da的数字摘要Hb；

4、SIS系统与外接网络的数据传输

主要密码设备（子系统或模块）

SSL VPN网关：符合《GM/T 0024-2014 SSL VPN技术规范》要求，用于在网络上建立安全的信息传输信道，并对传输的数据进行加密保护。

系统数据安全传输设计采用SSL（Secure Sockets Layer 安全套接层）VPN技术实现，通过在通信链路两端部署SSL网关设备建立安全的信息传输通道，对网络传输的数据进行加密保护，保障数据传输安全。

a)数据交换节点A主动发起请求，发送数据给远端数据节点B；

b)双方SSL网关建立https连接：包括进行数字证书互验过程，以及加密密钥的协商交换过程；

c)SSL网关将节点证书信息（如DN、实体的唯一标识等）发送给应用服务器；

d)SSL网关之间开始基于https的加密通讯，SSL网关作为加密代理设备转发数据交换节点A和数据交换节点B的通讯数据包。

SSL VPN网关主要包括两个阶段的工作：

①通道建立

网关之间采用SSL协议进行设备间的身份鉴别和密钥协商，建立安全传输信道。

②传输数据保护

基于安全的传输信道，及密钥协商阶段协商出的密钥，对传输的数据进行机密性和完整性保护。

数据的安全存储

包括：

1、DCS系统数据的安全存储

系统数据安全存储设计基于密码卡获取加密密钥实现本地数据安全存储。

主要密码设备（子系统或模块）

密码卡：为DCS系统提供数据加密存储和完整性保护。

密钥管理系统厂站端：提供数据加密密钥的管理。

密码应用工作流程

需要改造业务系统的数据存储模块模块，实现数据的安全存储，如下所示：

a)业务系统根据预先设定甄别关键数据；

b)调用密码卡对关键数据进行加密和完整性保护；

c)电厂侧密钥管理系统根据业务需要提供密钥管理功能以实现数据加密，最大限度的提升数据安全性；

d)业务系统获取密文数据和摘要值并存储。

1、SIS系统数据的安全存储

通过在SIS系统部署服务器密码机，实现对服务器关键数据的安全存储。SIS系统二区与三区的数据安全存储采用对称密码技术保证数据的机密性，采用数字摘要技术保障存储数据的完整性。

关键数据主要包括以下三类：

1）关键配置数据：包括设备配置信息、访问控制策略、系统重要日志信息等；

2）重要业务数据：包括采集类业务数据、历史业务数据、统计分析类业务数据等；

(1)主要密码设备（子系统或模块）

服务器密码机：为SIS系统服务器提供数据加解密、杂凑等密码运算服务，实现数据的机密性与完整性保护。

密钥管理系统厂站端：提供数据加密密钥的管理。

(2)密码应用工作流程

a)SIS系统服务器根据预先设定甄别关键数据；

b)调用服务器密码机对关键数据进行加密和完整性保护；

d)SIS系统服务器获取密文数据和摘要值并存储。

抗抵赖需求

主要为DCS系统的抗抵赖

密码卡实现基于数字证书的数字签名功能，核心是将工程师站组态文件的发布和操作员站下发的关键命令进行数字签名，以保证数据的不可抵赖性、完整性，并在查询相关数据时，实现用户对于所查询的数据的有效性验证。通过部署密码卡实现DCS系统内部重要业务环节中的数字签名及验证。

主要密码设备（子系统或模块）

USBKey：由CA颁发的具有证书的个人用户USBKey。

密码卡：为DCS系统提供签名、验签、加解密等运算支持。

密码应用工作流程

a)工程师使用USBKey成功登录系统，完成组态文件的编辑；

b)工程师站调用签名接口，使用USBKey中的私钥对待发布的组态文件进行签名，并将签名值返回给工程师站；

c)工程师站调用密码卡对返回的签名值进行验证，若验证失败，则返回重签；签名值验证通过，则将签名值、组态文件和工程师用户证书发送给控制器；

d)控制器收到后调用签名认证接口，调用密码卡对签名值进行验证，验证通过，则完成对工程师站发布的组态文件的完整性、不可否认性的验证。

操作员站下发到控制器的关键命令的密码应用流程参考工程师站对发布组态文件签名及验证的过程。

上述实施例不以任何形式限定本发明，凡采取等同替换或等效变换的形式所获得的技术方案，均落在本发明的保护范围之内。

Claims

1.一种电力行业加密方法，其特征在于，包括：数字证书发放、用户强身份鉴别、数据安全传输、数据安全存储以及抗抵赖性保证；

所述抗抵赖性保证包括：对DCS系统进行抗抵赖性保证。

2.根据权利要求1所述的一种电力行业加密系统，其特征在于，所述数字证书发放包括：有电厂端每个区域的电力监控系统管理员向证书受理点提交人员证书申请表和设备PKCS10请求文件；

3.根据权利要求1所述的一种电力行业加密方法，其特征在于，采用数字证书和密码卡实现对DCS系统用户进行强身份鉴别以及对DCS系统设备之间进行强身份鉴别，采用数字证书实现对三区SIS系统用户进行强身份鉴别。

4.根据权利要求1所述的一种电力行业加密系统，其特征在于，所述对DCS系统内部数据进行安全传输包括：在DCS系统内部各设备进行数据交互前，通过调用设置于各设备上的密码卡中的杂凑函数保证数据的完整性；设备间通过数字证书进行相互鉴别建立安全通信信道。

5.根据权利要求1所述的一种电力行业加密方法，其特征在于，所述对一区DCS系统接口机与SIS系统二区服务器之间的数据进行安全传输包括：调用一区DCS系统接口机中的HMAC-SM3算法保证数据传输过程中的完整性，SIS系统二区服务器调用服务器密码机验证接收消息的完整性；一区DCS系统接口机与SIS系统二区服务器之间通过数字证书进行相互鉴别建立安全通信信道。

6.根据权利要求1所述的一种电力行业加密方法，其特征在于，所述对SIS系统二区和SIS系统三区之间的数据进行安全传输包括：调用二区服务器的服务器密码机中的HMAC-SM3算法保证数据传输过程中的完整性，SIS系统三区的服务器调用服务器密码机验证接收消息的完整性。

7.根据权利要求1所述的一种电力行业加密方法，其特征在于，所述对SIS系统与外接网络的数据进行安全传输包括：在SIS系统隔外部网络通信链路的两端部署SSL网关建立安全信息传输通道，并对传输数据进行加密。

8.根据权利要求1所述的一种电力行业加密方法，其特征在于，所述对DCS系统数据进行安全存储为：通过厂站端服务器调用服务器的密码机提供主密钥对数据进行加密存储。

9.根据权利要求1所述的一种电力行业加密方法，其特征在于，所述对SIS系统数据进行安全存储为：SIS系统二区与三区的服务器调用各自的服务器密码机对数据进行对称加密。

10.根据权利要求1所述的一种电力行业加密方法，其特征在于，所述对DCS系统进行抗抵赖性保证包括：将DCS系统中工程师站组态文件的发布和操作员站下发的关键命令进行数字签名，并在DCS系统中各设备上设置密码卡。