小知識之電力負荷管理系統

        電力負荷管理系統是采集客戶端實時用電信息的基礎平臺，是運用通訊技術，計算機技術，自動控制技術對電力負荷監控、管理的綜合系統，其功能包括：遠方自動抄表、預購電、防竊電、控制地方上網電廠、配網監測等。

        一、電力負荷管理系統數據加密過程和方法

        1、加密技術

       數據加密技術是提高信息安全性能的一種有效方法。按作用不同，數據加密技術主要分為數據傳輸加密、數據存儲加密、數據完整性的鑒別以及密鑰管理技術四種。

        (1)數據傳輸加密技術

        目的是對傳輸中的數據流加密，常用的方法有鏈路加密和端一端加密兩種。

       前者側重在鏈路上而不考慮信源與信宿，是對保密信息通過各鏈路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端自動加密，然后作為不可閱讀和不可識別的數據穿過通信網絡，當這些信息一旦到達目的地，將被自動重組、解密，成為可讀數據。

        (2)數據存儲加密技術

       目的是防止在存儲環節上的數據失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現：后者則是對用戶資格、權限加以審查和限制，防止非法用戶存取數據或合法用戶越權存取數據。

       (3)數據完整性鑒別技術

       目的是對介入信息的傳送、存取、處理的人的身份和相關數據內容進行驗證，達到保密的要求，一般包括口令、密鑰、身份、數據等項的鑒別，系統通過對比驗證對象輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。

        (4)密鑰管理技術

       為了數據使用的方便，數據文件加密在許多場合集中表現為密鑰的應用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有：磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。

        2、負荷管理系統中的加密方式

       目前電力負荷管理系統的通信方式是以數傳電臺通信為主，輔以其他的通信方式;結構上采取中心站、主站及從站的三級結構。網絡模型圖1所示。

        在三層網絡結構中，主站和從站之間使用無線通信方式傳輸數據，而在中心站和主站之間，采用電力系統的辦公自動化網絡進行數據傳輸，一般是以光纖作為通信鏈路的。采用無線傳輸方式的主站和從站之間的鏈路，是整個系統的通信瓶頸所在，也是系統容易遭受攻擊的地方，本文研究的加密方式也以這一段鏈路為主。

        在從站和主站的前置機之間的數據加密傳輸，根據不同的通信方式將采取對應的數據加密方式。

        (1)數傳電臺通信方式下的數據文件加密

        數傳電臺通信方式的組網結構簡單，主站和從站之間只有一條通信鏈路，因此適合采用鏈路加密方式。為了增加數據的安全性，在數據傳輸之前也可以采用端到端的加密方式，將兩種加密方式復合使用。當然，這是以犧牲時效性為代價的。

        (2) CDMA和GPRS通信方式下的數據文件加密

        CDMA和GPRS通信方式，都是通過公網運營商進行數據傳輸，在傳輸過程中要通過多條不同的通信鏈路，因此不適合采用鏈路加密方式，改采用端到端的加密方式，數據在信道和交換節點上均以密文的形式存在。

        3、密鑰的生成和管理

       密鑰的生成方式有兩種：固定密鑰方式和一時一密方式。固定密鑰方式中，每個終端作為一個用戶擁有一個密鑰分配中心(KDC)生成好的密鑰，主站擁有所有終端的密鑰列表。而一時一密方式中，每個終端沒有固定的密鑰，服務器也不保存密鑰。服務器根據系統安全情況，設置時間參數，定時或不定時地、自動或手動地向KDC請求密鑰。由KDC將密鑰送給雙方。從安全角度來考慮，一時一密方式安全性更好一些，因此本文采用一時一密的密鑰生成方式。

       在加密傳輸的過程中，需要大量的密鑰，用以分配給主機、節點和用戶。密鑰的安全管理是加密通信的一個重要環節。為了降低系統的復雜性，采用中心化的密鑰管理方式。 KDC負責每次加密通信的密鑰的生成、分發、更新和銷毀過程。參照圖1的網絡結構模型，為了給所有的主站和從站分發密鑰，KDC將配置在中心站的一臺服務器上，使用集中式的密鑰分配方式。

         二、結合負荷管理系統數據特點的加密方案

        因為電力負荷管理系統在有限傳輸帶寬下要求特別短的反映時間，所以采用增強型的三層體系結構(EPA)，如圖2所示。與傳統的ISO七層模型相比較，簡化了層次結構，有利于數據的實時傳輸。

        在物理層上不作數據加密，而在鏈路層和應用層上分別用不同的加密方式。在主站和從站的通信控制程序中分別加入針對這兩層的加解密模塊，而密鑰管理方案在通信雙方的源程序中實現。

         1、應用層的數據加密方式

        圖3是應用層幀結構，應用層協議根據功能碼AFN的區分，將數據分成不同的類型，如確認、復位、中繼站命令、設置參數、查詢等。由前文的分析可知，負荷管理系統的數據對于時效性的要求各有不同，在各種數據中又根據保密性的要求分成不同的級別。因此按照AFN的區分采用不同的加密方式，對應用層的所有字節統一進行加密。在發送端根據級別進行數據文件加密，對應的在接收端進行相應的數據文件解密。所有的程序都是嵌入到通信控制程序之中來完成的。

          2、鏈路層的數據文件加密方式

        圖4是鏈路層幀結構，鏈路層協議對時效性要求比較高，其中的開始字符和結束字符在傳輸中對于幀的開始和結束的界定尤其重要，因此不參與數據文件加密。對于提出報文長度、控制域、地址域及校驗和等使用實時加密方案;為了提高加密速度和保密性能，對于已經加密過的應用層數據采用和鏈路層其他數據域相同的實時加密方案。這樣，既提高對應用層數據的加密效果，同時由于鏈路層采用統一的加密方案，對于加密和解密的時間也作了有效的壓縮，以適應這一層協議對時效性的較高要求。

        3、加密算法和密鑰長度的選擇

        非對稱加密算法安全性較高，抗攻擊能力強，但是在目前存在一些工程上的缺點，如加密算法一般比較復雜，加密、解密速度慢等。因此在加密算法中普遍采用對稱加密和非對稱加密相結合的混合加密體制。

        (1)密鑰傳送一般使用非對稱加密算法，如果使用RSA生成密鑰信息時，512 bit在短期內仍然是安全的。但是，隨著硬件設備的不斷發展和攻擊算法的提高，很可能不久就要采用768 bit或者1024 bit長度的密鑰來保證電力系統中數據安全的需要。

        (2)對稱加密算法應用于數據加密加密，速度要比相同密鑰長度的非對稱算法要高出一個數量級左右。因此負荷管理系統數據的加密將采用對稱加密算法。

常用的加密算法有DES、IDEA和RC4。本文推薦使用標準長度的密鑰，加密算法程序簡單：DES有效密鑰長度56 bit，IDEA密鑰長度128 bitO最快速的加密算法是RC4，比DES加密算法快10倍左右，密鑰長度40 bit。密鑰在傳送過程中將采用RSA加密算法。對于鏈路層的數據文件加密將統一采用RC4加密算法。而對于應用層的加密算法，根據AFN來區分的加密等級，將選擇不同的對