1　智能變電站安全現狀

隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)在電力系統中的廣泛應用，隨之而來(lái)的安全傳輸問(wèn)題也波及到電力系統?；贗EC 61850的變電站自動(dòng)化系統由于其開(kāi)放性特點(diǎn)，易遭受網(wǎng)絡(luò )非法入侵的風(fēng)險以及被入侵后所造成的危害及影響范圍也日益嚴峻。如何有效保障電力調度控制系統及其網(wǎng)絡(luò )的信息安全問(wèn)題刻不容緩。

基于IEC 61850標準協(xié)議建立起來(lái)的通信網(wǎng)絡(luò )體系結構在上層協(xié)議上是一致的，而且大大提高了變電站內設備的互操作性和互換性，但是協(xié)議的開(kāi)放性、標準性同樣帶來(lái)一個(gè)重要的問(wèn)題，即協(xié)議的安全性問(wèn)題，而IEC 61850并沒(méi)有涉及信息安全的內容，同時(shí)智能化變電站內由于各種智能電子設備的大量應用，變電站內運行、狀態(tài)和控制等數字化信息都通過(guò)TCP/IP協(xié)議進(jìn)行網(wǎng)絡(luò )傳送，也將面臨著(zhù)傳統網(wǎng)絡(luò )的安全風(fēng)險與隱患。

在IEC 62351標準中，認證和加密是其核心內容，在標準中大量使用了國際算法和證書(shū)，本文根據變電站自動(dòng)化系統數據傳輸協(xié)議和報文結構的特點(diǎn)，在IEC 61850協(xié)議基礎上應用國家密碼管理局發(fā)布的國密算法保證通信過(guò)程的機密性、完整性和不可抵賴(lài)性。

2　智能變電站面臨的安全問(wèn)題及防護需求

IEC 61850定義了兩種通信服務(wù)模式，一種是客戶(hù)/服務(wù)器模式；另一種是發(fā)布/訂閱的對等模式。前者通過(guò)建立關(guān)聯(lián)認證服務(wù)來(lái)實(shí)現非實(shí)時(shí)報文的可靠傳輸，后者則通過(guò)多播方式向局域網(wǎng)發(fā)送大量實(shí)時(shí)報文（如GOOSE，GSE，SMV），其中，采樣測量值（SMV）和跳閘命令（GOOSE）是最重要的報文，直接關(guān)系到整個(gè)變電站自動(dòng)化系統的安全、穩定運行。SMV和GOOSE信息在以太網(wǎng)都是以明文形式傳輸的，考慮到實(shí)時(shí)性要求，它們往往不經(jīng)過(guò)任何加密處理就被送至網(wǎng)絡(luò )，安全性毫無(wú)保證，如果因為SMV或GOOSE的亂發(fā)而導致斷路器誤動(dòng)、拒動(dòng)，后果將不堪設想。

按照標準，在發(fā)布/訂閱模式中，網(wǎng)絡(luò )信息的傳輸時(shí)延要求小于4ms。過(guò)程總線(xiàn)上的電流、電壓互感器與保護、測控單元之間的實(shí)時(shí)電壓電流采樣值和保護單元發(fā)送到現場(chǎng)開(kāi)關(guān)設備的保護信息的傳輸時(shí)間需求最緊迫，信息傳輸時(shí)間要小于2ms，由此可見(jiàn)，基于發(fā)布/訂閱模式的傳輸服務(wù)對實(shí)時(shí)性要求非?？量?，因而對其安全防護措施不能太過(guò)要求，以免影響繼電保護和采樣值的快速時(shí)間響應。

在變電站中，網(wǎng)絡(luò )安全存在四種基本的安全需求，信息機密性、完整性、可用性和不可抵賴(lài)性。目前這些安全需求己有具體的安全技術(shù)手段可以實(shí)現，主要包括加密、認證、授權和訪(fǎng)問(wèn)控制。下面簡(jiǎn)單介紹這“四性”的基本概念和特征要求。

信息的保密性就是防止非法訪(fǎng)問(wèn)。對操作實(shí)體和交換報文施以加密，以確保重要信息，包括電力報警信息、保護的整定值和設備的維護信息等不暴露給未經(jīng)授權的實(shí)體或進(jìn)程。

信息的完整性就是防止非法修改。確保電力系統中存儲的或在網(wǎng)絡(luò )中傳輸的數據不遭受任何形式的非法插入、刪除、修改或重發(fā)，并具有判斷數據是否已被非法篡改的能力。

信息的可用性就是避免拒絕已授權的實(shí)體或進(jìn)程。確保經(jīng)授權的訪(fǎng)問(wèn)，得到授權的用戶(hù)在需要時(shí)可以訪(fǎng)問(wèn)數據，請求的服務(wù)不能被非法拒絕，防止非授權的實(shí)體使用和訪(fǎng)問(wèn)該資源。

信息的不可否認性就是防抵賴(lài)，信息給出的事件是確定的。合法用戶(hù)不能否認自己在網(wǎng)絡(luò )上的行為，在系統中的每一項操作都應留有痕跡，記錄下該項操作的各種屬性，保留必要的時(shí)限以備審查。

3　防護目標

本文的防護目標是確保變電站與調度主站及變電站內裝置之間傳輸數據的保密性、完整性、不可抵賴(lài)和可用性，同時(shí)實(shí)現調度主站到變電站通信鏈路的端到端雙向身份鑒別。重點(diǎn)防范偽造變電站內裝置的身份、重放、篡改攻擊等攻擊形式對調度主站系統的惡意破壞和攻擊以及其它非法操作，防止由此導致的變電站系統事故。

4　安全認證技術(shù)

認證技術(shù)是互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控系統信任的基礎。認證技術(shù)的核心是合理的簽名機制，而簽名機制的實(shí)現要靠合理的密鑰管理，因此沒(méi)有好的密鑰管理技術(shù)就很難實(shí)現較好的簽名機制和認證機制。在信息安全領(lǐng)域存在著(zhù)三種安全認證技術(shù)PKI、CPK及IBC。本文重點(diǎn)介紹基于IBC標識密碼算法SM9在變電站中的安全防護技術(shù)。

4.1　PKI技術(shù)

PKI（公鑰基礎設施）是利用公鑰加密技術(shù)為電子商務(wù)、工控通信及電力業(yè)務(wù)等提供一套安全基礎平臺的技術(shù)和規范。能夠為所有網(wǎng)絡(luò )應用透明地提供采用加密和數字簽名等密碼服務(wù)所必需的密鑰和證書(shū)管理，從而達到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴(lài)的目的。利用PKI可以方便地建立和維護一個(gè)可信的網(wǎng)絡(luò )計算環(huán)境, 從而使得人們在這個(gè)無(wú)法直接相互面對的環(huán)境里，能夠確認彼此的身份和所交換的信息。

PKI系統中用戶(hù)的私鑰可由用戶(hù)自己生成，也可由可信權威機構CA生成，用戶(hù)的公鑰是隨機生成的，公鑰和用戶(hù)身份信息由CA認證簽名后組成數字證書(shū), 證書(shū)存儲在公開(kāi)目錄中以供檢索。CA是PKI的核心, 通訊雙方須通過(guò)CA利用數字證書(shū)進(jìn)行身份確認，即PKI身份確認的過(guò)程必須建立在對第三方的共同信任和依賴(lài)的基礎之上?；诠€基礎設施（PKI）的密碼體制, 如果每個(gè)用戶(hù)只保存一個(gè)密鑰對來(lái)分別實(shí)現加密和簽名則能夠顯著(zhù)降低密鑰存儲空間及公鑰證書(shū)的存儲空間和證書(shū)的驗證時(shí)間。

PKI-CA體系架構如圖1所示。

圖1 PKI-CA體系架構

4.2　CPK技術(shù)

CPK（組合公鑰）是南相浩教授首次在《網(wǎng)絡(luò )安全技術(shù)概要》中提出了利用種子公鑰 SPK（Seeded Research & Analysis Public Key）解決密鑰管理規?；乃枷?。書(shū)中分別給出了基于RSA的多重公鑰（LPK）和基于橢圓曲線(xiàn)加密（ECC）的基于標識的組合公鑰（CPK）兩種算法。CPK認證機制可以在可信環(huán)境中為大量用戶(hù)提供簡(jiǎn)潔、安全的密鑰管理。這種密鑰產(chǎn)生和存儲的新方式可以大大節省密鑰存儲空間，以少量的種子生成幾乎“無(wú)限”個(gè)公鑰，以Mb級的空間存放千萬(wàn)或上億個(gè)公鑰變量。CPK以簡(jiǎn)捷的方式解決了規?；拿荑€管理，為構建認證體系提供了可靠的技術(shù)基礎。

4.3　IBC技術(shù)

IBC（基于標識密碼）是一種將用戶(hù)的唯一標識（例如郵件地址等）用作公鑰的加密方式。它使得任何一對用戶(hù)之間能夠安全的通信以及在不需要交換私鑰和公鑰的情況下驗證每一個(gè)人的簽名,并且不需要保存密鑰目錄及第三方服務(wù)。IBC系統中用戶(hù)的私鑰可由一個(gè)被稱(chēng)為KGC（Key Generator Center，密鑰生成中心）的可信機構生成，也可以由用戶(hù)自己保存私鑰，KGC只做定期更新用戶(hù)私鑰的工作。IBC的核心是使用了超奇異橢圓曲線(xiàn)上的一個(gè)雙線(xiàn)性映射Weil配對。

國外已出現了標識密碼算法結合云計算技術(shù)的安全加密電子郵件，其新業(yè)務(wù)模式較好地解決了傳統郵件的安全難題。如美國Voltage公司，采用標識密碼技術(shù)的密鑰數量已超過(guò) 5000萬(wàn)個(gè)，而基于標識加密郵件云2017年處理超過(guò)30億封加密電子郵件，后續逐年處理的安全郵件數量將翻倍。

我國政府也一直重視密碼技術(shù)的國產(chǎn)化。2007年，基于標識密碼技術(shù)標準正式通過(guò)評審，2008年正式獲得國家密碼管理局頒發(fā)的商密算法型號：SM9算法；2016年3月，中國標識密碼SM9算法正式對外發(fā)布。

基于SM9算法的郵件通信過(guò)程如圖2所示。

圖2 基于SM9算法郵件通信示意圖

5　基于SM9標識密碼變電站應用

5.1　基于SM9標識密碼體制

基于標識的密碼學(xué)思想由Shamir在1984年首先提出。在該體制中公鑰就是用戶(hù)的身份信息，如主機的IP地址，用戶(hù)的E-mail地址、手機號碼和姓名等。私鑰由KGC（密鑰生成中心）根據用戶(hù)的身份標識信息生成，并通過(guò)安全信道將私鑰發(fā)送給相應的用戶(hù)。因為用戶(hù)的公鑰由身份標識信息直接計算得出，所以在使用公鑰的過(guò)程中就不需要存放公鑰或證書(shū)，也不需要CA（第三方）提供服務(wù)?；赟M9標識密碼算法包括四種方案：基于標識的加密、基于標識的簽名、密鑰交換算法和密鑰封裝算法，這里只介紹前兩種方案。

基于SM9標識密碼是一種基于身份的公鑰體制，通信雙方能夠根據彼此身份ID計算出對方的公鑰，因而降低了密鑰交換和密鑰管理的復雜程度。因此，采用基于標識的密碼體制的安全防護方法既能滿(mǎn)足變電站通信的認證安全需求，也降低了證書(shū)管理復雜度，適用于變電站自動(dòng)化系統。

5.1.1　基于SM9標識密碼加密

在基于SM9標識密碼算法中，用戶(hù)的公鑰來(lái)自身份信息，私鑰由KGC生成。只要獲得用戶(hù)A的身份信息，用戶(hù)B就可以得到用戶(hù)A的公鑰，從而加密一條消息，使之以密文的形式在網(wǎng)絡(luò )上安全傳輸給用戶(hù)A，用戶(hù)A從SM9密鑰中心處得到自己的私鑰后，即可解密該消息，基本過(guò)程如圖3所示。

圖3 基于SM9標識密碼加密過(guò)程

5.1.2　基于SM9標識密碼簽名及認證

基于SM9標識密碼的數字簽名是基于標識密碼學(xué)實(shí)現的數字簽名。在傳統的基于證書(shū)的密碼體制下，用戶(hù)A若想驗證用戶(hù)B的數字簽名，必須首先獲得用戶(hù)B的證書(shū)，通過(guò)證書(shū)中已有的簽名來(lái)驗證用戶(hù)B的身份,并通過(guò)用戶(hù)B的公鑰驗證簽名的有效性。而在基于SM9標識密碼算法用戶(hù)A可以通過(guò)直接獲取用戶(hù)B的身份信息ID來(lái)驗證用戶(hù)B的簽名，基本過(guò)程如圖4所示。

圖4 基于SM9標識密碼簽名過(guò)程

5.2　基于SM9標識密碼智能變電站安全方案

目前調度主站與變電站內的數據網(wǎng)關(guān)機多采用104規約進(jìn)行數據通信，途徑調度數據網(wǎng)兩側的縱向加密認證裝置，對調度數據網(wǎng)兩側的數據流加密，保證數據在網(wǎng)絡(luò )層傳輸的安全。從調度主站到變電站內的數據網(wǎng)關(guān)機，數據網(wǎng)關(guān)機到測控、保護裝置的通信協(xié)議均未應用安全認證技術(shù)手段，容易被第三方偽造或竊取協(xié)議數據包、篡改協(xié)議控制類(lèi)數據，增加了系統的風(fēng)險。解決以上的問(wèn)題需要對調度主站到數據網(wǎng)關(guān)機的通信協(xié)議進(jìn)行擴展。而變電站站內設備間的通信均采用標準的IEC 61850協(xié)議，因此需要改造部分站內的通信協(xié)議，以滿(mǎn)足設備間的安全通信。

可利用基于SM9標識密碼的密鑰中心為數據網(wǎng)關(guān)機、測控裝置、監控主機/操作員站等變電站設備分發(fā)設備私鑰，并通過(guò)設備唯一序列號來(lái)表示設備公鑰，利用SM9算法的私鑰簽名、公鑰加密來(lái)完成設備間通信的身份認證和數據加密功能。

5.2.1　智能變電站自動(dòng)化系統層次結構

智能變電站采用“三層兩網(wǎng)”的結構，“三層”指站控層、間隔層和過(guò)程層；“兩網(wǎng)”指站控層網(wǎng)絡(luò )和過(guò)程層網(wǎng)絡(luò )。站控層設備主要有監控主機、操作員站、數據網(wǎng)關(guān)機和對時(shí)設備等。間隔層設備主要包括測控、保護、錄波等。過(guò)程層設備主要包括智能終端、合并單元、一次設備等。

各層之間通過(guò)IEC 61850規范接口進(jìn)行數據交換。目前變電站內進(jìn)行數據交換時(shí)都采用明文方式，系統通信安全性得不到保證?；赟M9標識密碼能為變電站建立完善的公鑰體系，為變電站數據加密和數字簽名提供安全保障，滿(mǎn)足智能變電站數據交換的安全需求。

智能變電站自動(dòng)化系統層次結構如圖5所示。

圖5 智能變電站自動(dòng)化系統層次結構

5.2.2　基于SM9標識密碼密鑰中心建立

基于SM9標識密碼的加密方案由四種算法構成：系統參數設置、身份私鑰生成、加密和解密。簽名方案也由四種算法構成：系統參數設置、身份私鑰生成、簽名和驗證。因此變電站建立基于SM9標識密碼算法的核心是SM9密鑰中心的建立和私鑰的發(fā)放。

SM9密鑰中心是調度/變電站系統中設備密鑰的生成、管理中心，是在嚴格的權限控制下實(shí)現密鑰的注入、生成、分配、存儲、保護、傳輸、備份、銷(xiāo)毀等過(guò)程，它是調度/變電站系統安全防護的的核心。SM9密鑰中心的密鑰可分為根密鑰、主密鑰、傳輸密鑰、設備密鑰、通信密鑰、保護密鑰、MAC密鑰等，包括對密鑰申請的授權和密鑰管理的審計和跟蹤、密鑰管理系統的訪(fǎng)問(wèn)控制等功能。

在基于SM9標識密碼體制中，SM9密鑰中心是最為重要的環(huán)節。SM9密鑰中心應集中管理，這樣不僅能提高變電站通信的安全等級，也將使變電站的管理更為集中。根據變電站安全防護區域的劃分和變電站內部通信的特點(diǎn)，SM9密鑰中心可在調度端集中統一設置，并為所管轄的變電站分發(fā)二級密鑰，而變電站SM9密鑰中心為其內部設備分發(fā)設備密鑰，實(shí)現站內設備間的安全通信。如圖6所示。

圖6 SM9密鑰生成、分發(fā)中心

（1）密鑰生成

SM9密鑰中心的密鑰生成需要特殊的機制和合成算法來(lái)實(shí)現，要根據不同的密鑰類(lèi)型采用不同的機制，根密鑰的生成需要多個(gè)密鑰分量來(lái)合成；主密鑰是通過(guò)根密鑰的離散而生成；設備密鑰是經(jīng)過(guò)設備ID號與特定的算法計算而成；設備間通信密鑰是協(xié)商而成。

（2）密鑰分發(fā)

變電站裝置的私鑰可以通過(guò)兩種方式下發(fā)，即裝置在線(xiàn)通過(guò)安全通道下發(fā)給指定裝置或離線(xiàn)以安全介質(zhì)或加密文件的方式傳遞到指定的裝置。由于變電站內的裝置所處獨立網(wǎng)絡(luò )，正常運行時(shí)無(wú)法從SM9密鑰中心獲取私鑰，因此，針對變電站的應用場(chǎng)景，私鑰采用離線(xiàn)加密的方式下發(fā)的到裝置中。

（3）密鑰保護

變電站裝置的私鑰通過(guò)采用離線(xiàn)加密的方式下發(fā)到裝置中，由于裝置密鑰的敏感性和重要性，密鑰不能以明文的方式存放，必須以加密的方式保存在裝置的安全區域。

（4）密鑰更新

密鑰更新是指系統運行了一段時(shí)期，由于管理等原因導致密鑰泄漏，或密碼技術(shù)的發(fā)展影響密鑰的安全；需對裝置密鑰進(jìn)行更新，鑒于現有變電站系統的情況采用離線(xiàn)密鑰更新方案。

（5）密鑰備份

SM9密鑰中心的密鑰備份是通過(guò)加密機來(lái)實(shí)現的，采用雙機熱備。裝置中的私鑰可以通過(guò)加密的方式保存備份（若裝置內嵌安全芯片，安全芯片本身有安全機制保護密鑰的安全）。

5.2.3　調度平臺及變電站設備密鑰分發(fā)

調度SM9密鑰中心是一級密鑰，是為調度主站平臺分發(fā)密鑰的密鑰中心，也是為所管轄的變電站二級密鑰中心分發(fā)密鑰的密鑰中心。

首先，調度SM9密鑰中心為調度主站平臺分發(fā)主站平臺密鑰，各變電站二級密鑰中心為各自的站內設備分發(fā)設備密鑰?；赟M9標識密碼機制可以實(shí)現變電站內裝置間通信的身份認證及數據加密，也可以實(shí)現調度主站到變電站內裝置的遠程端到端安全認證。

5.2.4　智能變電站裝置間安全通信

變電站站控層網(wǎng)絡(luò )負責實(shí)現站控層設備之間以及與間隔層之間的通信；過(guò)程層網(wǎng)絡(luò )負責實(shí)現間隔層與過(guò)程層之間的通信。智能化變電站內涉及遠方控制功能的裝置及設備應采用加密及身份認證等安全防護措施。

變電站自動(dòng)化系統站控層操作員站與間隔層的測控裝置通信；站控層數據網(wǎng)關(guān)機與間隔層的繼電保護通信；測控裝置、保護裝置與過(guò)程層的互感器和開(kāi)關(guān)通信，這些設備間的通訊都需要身份認證和協(xié)議數據加密及簽名。

5.2.5　站控層MMS協(xié)議安全防護

IEC 62351第4部分 [12]定義的MMS協(xié)議的安全機制，分兩部分進(jìn)行闡述，分別是傳輸層安全和應用層安全。傳輸層安全通過(guò)基于TCP/IP的TLS協(xié)議對安全服務(wù)要求進(jìn)行設計；應用層定義了安全服務(wù)要求，引入了關(guān)聯(lián)控制服務(wù)單元（ACSE）請求和響應來(lái)建立一個(gè)安全的MMS關(guān)聯(lián)，主要針對安全認證和數字證書(shū)。

MMS協(xié)議的傳輸層安全是通過(guò)TLS協(xié)議來(lái)完成。TLS協(xié)議是一種應用于傳輸層的安全協(xié)議，用于構建客戶(hù)端和服務(wù)端之間的安全通道。TLS協(xié)議本身基于TCP，通過(guò)實(shí)現證書(shū)認證、密鑰協(xié)商、數據加解密等功能，對上層應用程序提供加密服務(wù)。

國網(wǎng)調度中心已經(jīng)建成調度證書(shū)服務(wù)系統，可基于調度SM2算法數字證書(shū)實(shí)現MMS協(xié)議數據加密。根據以上通信協(xié)議的特點(diǎn)，可采用基于調度SM2證書(shū)TLS協(xié)議進(jìn)行安全通信?；谡{度SM2證書(shū)TLS過(guò)程如圖7所示。

圖7 基于調度SM2證書(shū)TLS過(guò)程

調度主站測控裝置與數據網(wǎng)關(guān)機、數據網(wǎng)關(guān)機與測控裝置數據交換的安全認證采用基于SM9標識密碼安全通信方式。涉及調度主站、數據網(wǎng)關(guān)機、測控裝置間的安全通信，以遙控為例，安全認證流程如圖8所示。

圖8 基于SM9標識密碼遠程安全認證

（１）調度主站從“遙控命令”明文中采用SM3算法產(chǎn)生消息摘要，用自身SM9私鑰對消息摘要形成數字簽名。

（２）調度主站將“遙控命令”明文與數字簽名發(fā)送給數據網(wǎng)關(guān)機。

（３）數據網(wǎng)關(guān)機接收到明文與數字簽名后，用調度主站SM9公鑰驗證這個(gè)簽名， 獲得由調度主站所產(chǎn)生的明文。

（４）數據網(wǎng)關(guān)機將“遙控命令”明文與自身SM9私鑰形成的數字簽名發(fā)給測控裝置。

（５）測控裝置接收到“遙控命令”明文與數字簽名后，使用數據網(wǎng)關(guān)機SM9公鑰驗證簽名后得到“遙控命令”明文。

（６）測控裝置將“遙控確認”明文與自身SM9私鑰形成的數字簽名發(fā)給數據網(wǎng)關(guān)機。

（７）數據網(wǎng)關(guān)機接收到“遙控確認”明文與數字簽名后，用測控裝置SM9公鑰驗證簽名得到“遙控確認”明文。

（８）數據網(wǎng)關(guān)機將“遙控確認”明文與自身私鑰形成的數字簽名發(fā)給調度主站。

（９）調度主站收到“遙控確認”明文與數字簽名后，使用數據網(wǎng)關(guān)機SM9公鑰驗證簽名得到“遙控確認”明文。

（10）結束

5.2.7　基于SM9標識密碼變電站內設備間端到端安全認證

變電站站控層和間隔層數據交換的消息認證采用基于SM9標識密碼算法的安全通信方式。以操作員站和測控裝置間的安全通信為例，安全防護遙控處理流程如圖９所示。

3）使用操作員站端 SM9公鑰驗證簽名，獲得 “遙控命令”明文

4）根據 “遙控確認 ”明文產(chǎn)生消息摘要，由測控端 SM9私鑰形成數字簽名

圖９基于SM9標識密碼變電站內設備間端到端安全認證

（1）操作員站從“遙控命令”明文中采用SM3算法產(chǎn)生消息摘要，用自身SM9私鑰對消息摘要形成數字簽名。

（2）操作員站將“遙控命令”明文與數字簽名發(fā)送給測控裝置。

（3）測控裝置接收到明文與數字簽名后，用操作員站SM9公鑰驗證這個(gè)簽名，獲得由操作員站產(chǎn)生的明文。

（4）測控裝置將“遙控確認”明文與自身SM9私鑰形成的數字簽名發(fā)給操作員站端。

（5）操作員站接收到“遙控確認”明文與數字簽名后，用測控裝置SM9公鑰驗證簽名得到“遙控確認”明文。

（6）結束。

6　總結

本文提出了基于國密SM9標識密碼算法智能變電站安全防護方案，參照IEC 62351相關(guān)安全認證技術(shù)，引入SM9標識密碼算法，繞開(kāi)基于調度證書(shū)管理的復雜性，提出基于調度級SM9密鑰中心來(lái)生成、管理各變電站二級密鑰，并由此引出變電站二級SM9密鑰中心，各變電站SM9密鑰中心生成及管理站內裝置的密鑰。在本文中，一是實(shí)現了調度主站到智能變電站網(wǎng)關(guān)機及網(wǎng)關(guān)機到間隔層設備的端到端遠程雙向安全認證；二是實(shí)現了智能變電站站內設備間通信的端到端本地雙向安全認證。

基于國密SM9標識密碼與采用數字證書(shū)相比，簡(jiǎn)化了傳統的PKI公鑰體系架構中CA對用戶(hù)證書(shū)的管理，具有易于實(shí)施、方便易用的特點(diǎn)，并且SM9算法在算法安全性方面與SM2算法及RSA算法也更具優(yōu)勢。

作者簡(jiǎn)介

許　艾（1982-），男，河北人，本科，工程師，現就職于北京四方繼保自動(dòng)化股份有限公司，主要從事密碼學(xué)、信息安全、智能卡等在電力系統中研究及應用工作。

劉　剛（1971-）,男，四川人，碩士，現任北京四方繼保自動(dòng)化股份有限公司研發(fā)中心副主任，主要從事電力自動(dòng)化領(lǐng)域相關(guān)產(chǎn)品研發(fā)工作，在智能變電站監控、遠動(dòng)、測控、工業(yè)通用圖形組態(tài)軟件和邏輯組態(tài)軟件、集控和調度自動(dòng)化等應用產(chǎn)品或領(lǐng)域都有所涉足；在網(wǎng)絡(luò )安全、工控安全、調度自動(dòng)化主站及電力監控系統安全防護領(lǐng)域有深入研究。

徐延明（1973-），男，陜西人，碩士，高級工程師，現就職于北京四方繼保自動(dòng)化股份有限公司，主要從事電力系統自動(dòng)化、工業(yè)自動(dòng)化工作，對工業(yè)控制系統信息安全、智能變電站信息安全有深入的研究。

參考文獻：

[1] 南湘浩, 陳鐘. 網(wǎng)絡(luò )安全技術(shù)概要[M]. 國防工業(yè)出版社, 2003.

[2] 管海明, CPK與PKI的性能分析[J]. 計算機安全, 2003, 8.

[3] 楊繼高, 陶文偉, 張靜. 符合IEC62351標準的變電站原型系統關(guān)鍵技術(shù)[J]. 電力系統自動(dòng)化, 2015.

[4] 張靜, 吳錦嬋, 單超. 基于身份的密碼體制在智能變電站中的應用[J]. 浙江電力, 2013.

[5] 申屠剛, 智能化變電站架構及標準化信息平臺研究[D]. 杭州: 浙江大學(xué), 2010.

[6] IEC61850 Communication networks and systems in substation [S]. 2004.

[7] IEC62351 Data and Communication Security [S]. 2005.

[8] IEC 62351-3, Power Systems Management And Associated Information Exchange-Data And communications Security-Part3[S].

[9] IEC 62351-4, Power Systems Management And Associated Information Exchange-Data And communications Security-Part4[S].

[10] 周蓉. 面向變電站數據通信的安全防護機制研究[D]. 保定: 華北電力大學(xué), 2008.

[11] 王文.電力調度證書(shū)系統的特點(diǎn)及應用[J]. 電網(wǎng)技術(shù), 2007.

[12] 杜振華, 王建勇, 羅奕飛, 等. 基于MMS與GOOSE網(wǎng)合一的數字化網(wǎng)絡(luò )保護設計[J].電力系統保護與控制, 2010, 38 (24): 178 - 181.

[13] 程朝輝. 加密算法的新發(fā)展基于Pairing的密碼技術(shù)（SM9算法）研究與應[R]. 2013.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》