愛陸通配電終端存量加密改造解決方案
在配電主站與配電終端之間,存量加密改造既保證了一定的安全性,也可以提高數據的傳遞效率;利用這種加密方式,可以實現對配電網終端的接入和對配電網主站的監測;同時,為跨領域的數據共享提供一種安全可靠的機制。
01應用場景
應國家電網的改造要求,對許多運行多年的老終端設備進行加密傳輸,原先的老終端基本都是明文傳輸,分光纖或無線兩種形式。現在為了進行加密傳輸,不更換終端的情況,使用我們的加密模塊對數據進行加密傳輸。
02主要原因
為了加強配電自動化系統安全防護,保障電力監控系統的安全等對配電自動化系統的安全防護做出了原則性規定。現場配電終端主要通過光纖、無線網絡等通信方式接入配電自動化系統,由于目前安全防護措施相對薄弱以及黑客攻擊手段的增強,致使點多面廣、分布廣泛的配電自動化系統面臨來自公網或專網的網絡攻擊風險,進而影響配電系統對用戶的安全可靠供電,同時,當前國際安全形勢出現了新的變化,攻擊者存在通過配電終端誤報故障信息等方式迂回攻擊主站,進而造成更大范圍的安全威脅。
03產品概述
國家電網公司物資采購標準要求的基于數字證書的雙向認證技術,對稱密碼算法的數據加密和消息認證技術的加密模塊。防護模塊與配網終端產品(FTU、DTU)配套使用,完成終端與認證網關之間的雙向身份認證、終端與主站之間的雙向身份認證,終端證書管理等功能。配合其維護軟件可以防護模塊的參數配置、上召、下載、報文查看監視、查看SOE 事項等功能。
現有存量或是已投運接入Ⅰ區系統的配電終端和接入Ⅲ區系統的配電終端數量占據了大部分,若要滿足配電終端的安全防護等級,需要對存量或是已投運配電終端外接內嵌安全芯片的配電加密盒,主要的功能:
·雙向身份認證
·數據加密功能
·數據遠傳或是轉發功能
04方案結構圖
串口101,改造前后對比
改造前:主站通過TCP通道下發報文給模塊,模塊轉成串口數據透傳給終端。
改造后:主站通過TCP通道下發密文給模塊,模塊解密后再轉成串口數據給終端。反之,終端的明文通過串口給模塊,模塊加密后再通過TCP給主站。
網口104,改造前后對比
改造前:無線模塊透傳
由無線模塊插卡上網,并映射端口給終端的IP。主站通過SIM卡的IP和端口直接與終端建立TCP連接,進行數據交互。
改造后:加解密傳輸
主站通過SIM卡IP和端口與模塊的TCP服務器建立連接(通道1)0,模塊通過局域網與終端的TCP服務器建立連接(通道2)。
解密過程:主站通過通道1下發加密報文給模塊,模塊進行解密后變成明文,通過通道2把明文下發給終端。
加密過程:終端把明文的報文通過通道2給模塊,模塊進行加密后,把密文從通道1發往主站。
05系統概述
DTU是配電自動化的最末端監控設備,DTU通過串口或者網口和無線模塊相連,通過電力APN無線專網與電力中心進行互聯互通,實現了電力中心遠程監控前端DTU的目的。
前端:DTU是配電自動化的終端部分,執行者采集匯報以及配網的職能,通過愛陸通AD7028與配電中心實現對接。
通信:愛陸通AD7028通過4G無線物聯與配電中心數據互通,并對數據進行加解密。
后臺:配電中心通過互聯網對前端所有DTU的信息和狀態進行統一整理分析,進而采取相應的措施。
06相關產品及現場實圖
愛陸通工業無線路由器-AD7028
·SA/NSA雙模5G,提供4G/5G全網通高速網絡服務
·單網口,雙串口、雙卡雙待、GPS/北斗定位、Lora等
·支持電力101、104、南網/國網硬件加密、電力1.4/1.8GHz專網
·支持IPSEC、L2TP、PPTP、openVPN、GRE、GRETAP、DMVPN等多種VPN協議
·電力通信管理機,協議網關,選配DNP3.0、IEC101/103/104、IEC61850、DLT_645、PLC協議等
·5~60VDC寬壓,工作溫度-40~+80oC、產品尺寸108.43x85x40.7mm
·5G全網通、SA/NSA雙模、兼容4G/3G/2G
·3路LAN(一路可為WAN)、1路RS232/485
·可選雙卡、GPS、北斗、電力加密、公專一體、WIFI
·MQTT、Modbus TCP、OPC UA、Ntirp、DTU功能
·IPSEC、L2TP、PPTP、openVPN、GRE、DMVPN等
·Linux系統、支持python、C++二次開發
·9~35VDC(電力版9~60VDC)、在線不通信1.4W,通信1.9W(12V)
·工作溫度-35~+75oC、產品尺寸107x98x24mm
現場圖
電力環網柜
DTU配電柜