安全防護(hù)，保證數(shù)據(jù)傳輸?shù)目煽啃院蛯?shí)時(shí)性。縱向防護(hù)體系總體配置如圖6所示。

(二)縱向加密認(rèn)證網(wǎng)關(guān)

電力調(diào)度數(shù)據(jù)網(wǎng)的縱向加密認(rèn)證是通過專用的電力加密認(rèn)證網(wǎng)關(guān)(裝置)來實(shí)現(xiàn)。電力專用加密認(rèn)證網(wǎng)關(guān)部署在各級調(diào)度中心(國調(diào)、網(wǎng)調(diào)、省調(diào)、地調(diào)、縣調(diào))及下屬調(diào)度的各廠站，根據(jù)電力調(diào)度上下級關(guān)系建立加密隧道。加密認(rèn)證網(wǎng)關(guān)應(yīng)實(shí)現(xiàn)電力系統(tǒng)專用的應(yīng)用層通信協(xié)議(IEC-104，DLA76-92等)轉(zhuǎn)換功能，以便實(shí)現(xiàn)端到端的選擇性保護(hù)。其作用有以下兩個(gè)：

1、為生產(chǎn)控制大區(qū)提供網(wǎng)絡(luò)屏障，具有類似”包過濾防火墻”的功能;

2、為網(wǎng)關(guān)機(jī)之間的通信提供認(rèn)證和加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。

縱向加密認(rèn)證網(wǎng)關(guān)拓?fù)鋱D如圖7如示。

其中省調(diào)I區(qū)采用雙機(jī)冗余技術(shù)，配置2臺加密認(rèn)證網(wǎng)關(guān)，Ⅱ區(qū)配置單臺加密認(rèn)證網(wǎng)關(guān)。地調(diào)節(jié)點(diǎn)的I、II區(qū)分別接入1臺加密認(rèn)證網(wǎng)關(guān)。

(三)電力調(diào)度數(shù)字證書系統(tǒng)

電力調(diào)度數(shù)字證書系統(tǒng)是采用基于公鑰技術(shù)(P K I)的分布式數(shù)字證書系統(tǒng)，為電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、關(guān)鍵用戶和關(guān)鍵設(shè)備提供數(shù)字證書服務(wù)，實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計(jì)。

電力調(diào)度證書系統(tǒng)為縱向加密認(rèn)證設(shè)備簽發(fā)相應(yīng)的符合X.509證書規(guī)范的數(shù)字證書以實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)文件加密。加密認(rèn)證網(wǎng)關(guān)的設(shè)備密鑰為非對稱密鑰，配置在裝置和裝置管理系統(tǒng)中，用于設(shè)備的認(rèn)證與會(huì)話密鑰的協(xié)商。設(shè)備密鑰由網(wǎng)關(guān)產(chǎn)生，其私鑰保存在網(wǎng)關(guān)內(nèi)，公鑰經(jīng)電力調(diào)度數(shù)字證書系統(tǒng)(CA)簽名，以數(shù)字證書的方式發(fā)布。會(huì)話密鑰為對稱密鑰，用于裝置之間的通信數(shù)據(jù)文件加密，會(huì)話密鑰由設(shè)備在建立安全通道時(shí)動(dòng)態(tài)協(xié)商產(chǎn)生，拆除通道時(shí)失效。對于一個(gè)運(yùn)行CA的大型權(quán)威機(jī)構(gòu)而言，簽發(fā)證書的工作不能僅僅由一個(gè)CA來完成它，可以建立一個(gè)CA層次結(jié)構(gòu)，如圖8所示。

根CA具有一個(gè)自簽名的證書，根CA依次對它下面的CA進(jìn)行簽名，層次結(jié)構(gòu)中葉子節(jié)點(diǎn)上的CA用于對安全個(gè)體進(jìn)行簽名。對于個(gè)體而言，它需要信任根CA，中間的CA可以不必關(guān)心(透明的);同時(shí)它的證書是由底層的CA簽發(fā)的，沿著層次樹往上找，可以構(gòu)成一條證書鏈，直到根證書。縱向加密裝置CA系統(tǒng)的部署拓?fù)鋱D如圖9所示。

˙三峽電廠裝置證書由國調(diào)CA簽發(fā)。

˙清江梯調(diào)裝置證書由華中網(wǎng)調(diào)CA簽發(fā)。

˙姚孟電站裝置證書由河南省調(diào)CA簽發(fā)，二灘廠站裝置證書由四川省調(diào)CA簽發(fā)。

˙華中網(wǎng)調(diào)裝置證書、河南省調(diào)裝置證書和四川省調(diào)裝置證書由華中網(wǎng)調(diào)CA簽發(fā)。

˙網(wǎng)調(diào)CA的根證書由國調(diào)CA簽發(fā)，省調(diào)CA的根證書由網(wǎng)調(diào)簽發(fā)。

˙網(wǎng)調(diào)裝置信任省調(diào)CA簽發(fā)的所有裝置，國調(diào)裝置信任網(wǎng)調(diào)CA簽發(fā)所有裝置。

因此河南姚孟電站裝置能與國調(diào)裝置互通。三峽裝置證書是國調(diào)CA簽發(fā)的，因此三峽裝置與姚孟電站裝置、華中網(wǎng)調(diào)裝置和四川、河南省調(diào)裝置互通。

(四)安全認(rèn)證與密鑰協(xié)商

在電力應(yīng)用數(shù)據(jù)進(jìn)行安全傳輸前，必須完成加密認(rèn)證系統(tǒng)雙方的身份認(rèn)證與通信密鑰的協(xié)商。根據(jù)電力調(diào)度系統(tǒng)的管理特性與電力數(shù)字證書的應(yīng)用，會(huì)話密鑰協(xié)商機(jī)制具有如下前提條件：加密認(rèn)證網(wǎng)關(guān)之間安全通信所采用的加密算法、工作方式和通信協(xié)議等已經(jīng)確定，無須協(xié)商;使用的數(shù)字證書由電力調(diào)度證書服務(wù)系統(tǒng)統(tǒng)一簽發(fā)，不考慮交叉認(rèn)證;加密認(rèn)證網(wǎng)關(guān)內(nèi)已經(jīng)預(yù)先配置了所有與之相連的裝置的設(shè)備證書，無須進(jìn)行證書交換;證書的真實(shí)性與有效性通過裝置的本地手工管理手段保證。因此，在加密認(rèn)證系統(tǒng)的設(shè)計(jì)中，采用如下簡化的安全認(rèn)證協(xié)商機(jī)制，系統(tǒng)I為發(fā)起方，系統(tǒng)II為應(yīng)答方，安全認(rèn)證與密鑰協(xié)商過程如圖10所示。

i、節(jié)點(diǎn)I產(chǎn)生隨機(jī)數(shù)rl，用II的公鑰對rl進(jìn)行加密，同時(shí)用自己的私鑰進(jìn)行簽名，作A=Ecert2(r1)||EskeyI(H(r1))，將A發(fā)給通信節(jié)點(diǎn)Ⅱ;

ii、節(jié)點(diǎn)II收到A后，用自己的私鑰解密并驗(yàn)證I的簽名;如果驗(yàn)證簽名成功，產(chǎn)生隨機(jī)數(shù)r2，用I的公鑰對眨進(jìn)行加密，同時(shí)用自己的私鑰進(jìn)行簽名，作B= Ecertl (r2)||Es-key2(H(r2))，將B發(fā)給節(jié)點(diǎn)I;

iii、節(jié)點(diǎn)I對B用自己的私鑰進(jìn)行解密并驗(yàn)證II的簽名，如果驗(yàn)證簽名成功，合成會(huì)話密鑰DK=r1(2)，并作哈希運(yùn)算C=H(r1r2)發(fā)給通信節(jié)點(diǎn)n;

iv、節(jié)點(diǎn)II同樣對合成密鑰作哈希運(yùn)算，作D=H (r1r2)，比較C與D是否相同，如果相同，則密鑰協(xié)商與認(rèn)證完成，進(jìn)入正常通信階段。

三、縱向加密認(rèn)證在電力調(diào)度數(shù)據(jù)網(wǎng)中的應(yīng)用