爱陆通配电终端存量加密改造解决方案
在配电主站与配电终端之间,存量加密改造既保证了一定的安全性,也可以提高数据的传递效率;利用这种加密方式,可以实现对配电网终端的接入和对配电网主站的监测;同时,为跨领域的数据共享提供一种安全可靠的机制。
01应用场景
应国家电网的改造要求,对许多运行多年的老终端设备进行加密传输,原先的老终端基本都是明文传输,分光纤或无线两种形式。现在为了进行加密传输,不更换终端的情况,使用我们的加密模块对数据进行加密传输。
02主要原因
为了加强配电自动化系统安全防护,保障电力监控系统的安全等对配电自动化系统的安全防护做出了原则性规定。现场配电终端主要通过光纤、无线网络等通信方式接入配电自动化系统,由于目前安全防护措施相对薄弱以及黑客攻击手段的增强,致使点多面广、分布广泛的配电自动化系统面临来自公网或专网的网络攻击风险,进而影响配电系统对用户的安全可靠供电,同时,当前国际安全形势出现了新的变化,攻击者存在通过配电终端误报故障信息等方式迂回攻击主站,进而造成更大范围的安全威胁。
03产品概述
国家电网公司物资采购标准要求的基于数字证书的双向认证技术,对称密码算法的数据加密和消息认证技术的加密模块。防护模块与配网终端产品(FTU、DTU)配套使用,完成终端与认证网关之间的双向身份认证、终端与主站之间的双向身份认证,终端证书管理等功能。配合其维护软件可以防护模块的参数配置、上召、下载、报文查看监视、查看SOE 事项等功能。
现有存量或是已投运接入Ⅰ区系统的配电终端和接入Ⅲ区系统的配电终端数量占据了大部分,若要满足配电终端的安全防护等级,需要对存量或是已投运配电终端外接内嵌安全芯片的配电加密盒,主要的功能:
·双向身份认证
·数据加密功能
·数据远传或是转发功能
04方案结构图
串口101,改造前后对比
改造前:主站通过TCP通道下发报文给模块,模块转成串口数据透传给终端。
改造后:主站通过TCP通道下发密文给模块,模块解密后再转成串口数据给终端。反之,终端的明文通过串口给模块,模块加密后再通过TCP给主站。
网口104,改造前后对比
改造前:无线模块透传
快盈500由无线模块插卡上网,并映射端口给终端的IP。主站通过SIM卡的IP和端口直接与终端建立TCP连接,进行数据交互。
改造后:加解密传输
主站通过SIM卡IP和端口与模块的TCP服务器建立连接(通道1)0,模块通过局域网与终端的TCP服务器建立连接(通道2)。
快盈500解密过程:主站通过通道1下发加密报文给模块,模块进行解密后变成明文,通过通道2把明文下发给终端。
加密过程:终端把明文的报文通过通道2给模块,模块进行加密后,把密文从通道1发往主站。
05系统概述
DTU是配电自动化的最末端监控设备,DTU通过串口或者网口和无线模块相连,通过电力APN无线专网与电力中心进行互联互通,实现了电力中心远程监控前端DTU的目的。
前端:DTU是配电自动化的终端部分,执行者采集汇报以及配网的职能,通过爱陆通AD7028与配电中心实现对接。
通信:爱陆通AD7028通过4G无线物联与配电中心数据互通,并对数据进行加解密。
后台:配电中心通过互联网对前端所有DTU的信息和状态进行统一整理分析,进而采取相应的措施。
06相关产品及现场实图
爱陆通工业无线路由器-AD7028
快盈500·SA/NSA双模5G,提供4G/5G全网通高速网络服务
·单网口,双串口、双卡双待、GPS/北斗定位、Lora等
·支持电力101、104、南网/国网硬件加密、电力1.4/1.8GHz专网
·支持IPSEC、L2TP、PPTP、openVPN、GRE、GRETAP、DMVPN等多种VPN协议
·电力通信管理机,协议网关,选配DNP3.0、IEC101/103/104、IEC61850、DLT_645、PLC协议等
快盈500·5~60VDC宽压,工作温度-40~+80ºC、产品尺寸108.43x85x40.7mm
快盈500·5G全网通、SA/NSA双模、兼容4G/3G/2G
快盈500·3路LAN(一路可为WAN)、1路RS232/485
·可选双卡、GPS、北斗、电力加密、公专一体、WIFI
快盈500·MQTT、Modbus TCP、OPC UA、Ntirp、DTU功能
·IPSEC、L2TP、PPTP、openVPN、GRE、DMVPN等
·Linux系统、支持python、C++二次开发
快盈500·9~35VDC(电力版9~60VDC)、在线不通信1.4W,通信1.9W(12V)
·工作温度-35~+75ºC、产品尺寸107x98x24mm
现场图
电力环网柜
DTU配电柜