《光伏发电系统数据接入及网络安全方案(2017-6).docx》由会员分享,可在线阅读,更多相关《光伏发电系统数据接入及网络安全方案(2017-6).docx(18页珍藏版)》请在第一文库网上搜索。
1、新能源发电系统数据接入及网络安全技术方案XXXXX2017.04一、概述1二、数据接入系统的基本结构2三、数据传输网络的构建和网络安全21、采用VPN技术建立虚拟网络32、配置防火墙和物理隔离装置43、基于非对称密钥技术的单向认证54、数据加密6四、数据接入系统的加密管理7五、数据传输流程9六、子站智能采集单元101、功能特点H2、数据安全123、设备参数及规格13七、数据流量及通讯协议14八、最简配置15九、关于专线网络16一、概述随着国家对清洁能源的多样化需求与支持,各地建设了众多的光伏电站、小水电厂、生物电厂、垃圾电厂、沼气电站等。由于这些小电厂投资主体不同,装机容量及规模较小,不仅未被
2、统一调度,有些发电系统甚至实时数据都未上传到电力调度中心。由于此类新能源项目的数量不断增加,发电总量达到了一定规模,已对电网的安全运行带来了不利的影响。为了更好的落实鼓励清洁能源接入电网,同时要保障入网用电安全的要求,各省电力公司都逐渐加强了新能源项目的接入工作力度,要求调度发电系统需要加装能上传数据的采集终端,用于将实时数据等信息上传至各地市公司电力调度中心,便于统一调度及监控。而大量的新能源项目地理位置分布较广,数据传输量较少,部分项目所处地域较为偏僻,单独敷设光纤成本高昂,相应的光通讯设备也价格较高,对于新能源项目难以承受,而利用电信部门的无线公网实现数据接入成为一个经济适用的方法。但是
3、,利用无线公网的数据传输模式必然会带来网络通讯安全的问题,在系统构建、终端接入的时候必须要做好相应的设计,确保系统的安全稳定运行。二、数据接入系统的基本结构接入系统完成光伏电厂的数据采集、通讯,将采集到的远动数据和电量数据分别送到调度SCADA系统和TMR系统,由调度SCADA系统和TMR系统完成对光伏电厂或新能源电厂的监控和调度。三、数据传输网络的构建和网络安全按照国家电网在调(2011)168号文件关于加强配电网自动化系统安全防护工作的通知(以下简称通知)中的要求,配网自动化系统使用无线公网传输数据时,应该采用相应的安全技术措施,虽然新能源项目的数据接入没有专门的规定,但由于接入系统使用了
4、GPRS网络传送实时数据,通知中的各项要求也应该在新能源项目的数据接入中应用,保证整个系统的网络、数据安全,提高整个系统的可靠性。1、采用VPN技术建立虚拟网络所谓VPN是在公用网络上建立虚拟专用网络,应用VPN技术可以进行访问控制、加密通讯,大大提高了网络通讯的安全性,在国际国内的大企业中有非常广泛的应用,而具体到本项目,由于使用的是无线网络,因此是类似的APN。GGSN与互联路由器之间采用GRE隧道,保障网络安全性,通过GRE隧道技术,外网不能接入到这个APN的网络中来。在接入系统建设时,调度中心需要向电信部门申请带固定IP的专线光纤接入到监控主站所处位置,并申请专用APN端口(通常电信部
5、门已经为电力公司有预留)。常规的手机S1M卡是动态IP,流量费用较低,虽然也可以实现数据传输,但是主站端无法进行访问控制,容易受到网络冲击,因此在本项目的实施中,子站必须申请绑定固定IP的SIM卡,同时在申请时将对应的IP地址加入到专用的APN内,具体安装调试时,在GPRS模块设置中,将APN端口、密码、地址等相关信息填入即可。2、配置防火墙和物理隔离装置TMRt1TV安全烟SCADA主站内网交换机通讯管理机通讯管理机文件服务卷网口读取文件反向隔*器网络接入设备雒护工作站防VPN公网接入基站光纤无线VPN公网数据采集JK务器SCADA前置通讯系统天墙f1IECHi1W串口IEC1O1协议安全1
6、1区TMR主站内网*换机网口IECIO4协议串口IEC1O1协议网口读取文件文件服务器通知中明确要求:“系统主站与公网之间必须采取严格安全隔离措施,严禁将公网联入调度数据网及配网专用通信网络”。因此在所示的架构图中,公网数据接入光伏接入系统之前配置了硬件防火墙。由于远动数据和电量数据需要传递给安全I区和安全II区的SCADA系统和TMR系统,按照电力部门的常规配置,仅需在安全IH区与安全I区及安全II区间加装反向物理隔离设备即可,但是SCADA系统和TMR系统从反向物理隔离器获取数据需要采用读文件的方式,新增反向物理隔离器需要相关的主站厂家提供技术支持和服务,三方系统之间的联调与兼容也较为繁琐
7、,增加了主站端的调试工作量。为了更快捷的实现数据接入,且无需SCADA主站和TMR主站的供应商配合,光伏数据接入系统在配置反向隔离器的同时,增加了文件处理器、通讯管理机和纵向加密等设备。首先文件处理器从反向隔离器读取安全H1发送过来的数据文件,并还原成实时数据格式,然后通过串口(可以采用高速串口或者多串口方式与通讯管理机联接,保证数据传输的实时性),使用IEC1O1协议将数据发送到通讯管理机,此时可以确保安全I区和安全HI区完全没有物理上的网络联接,保证网络的安全性,再次确保网络隔离;通讯管理机通过网络接口,以IEC104协议经过纵向加密装置上传到SCADA系统的前置服务器,保证上传到SCAD
8、A的数据是通过了纵向加密的数据。从SCADA系统的角度,整个光伏接入系统相当于新增了一个变电站,只需添加一个站点的数据点表即可,调试工作量极小。安全II区的TMR系统处理方式相同。3、基于非对称密钥技术的单向认证通知中第四条指出:“无论采用何种远程通信方式,配电网自动化系统应该支持基于非对称密钥技术的单向认证功能,主站下发的遥控命令应带有基于调度证书的数字签名,子站侧或终端侧应能够鉴别主站的数字签名”。此外通知中还规定了非对称密钥技术的算法应该选用ECC(椭圆曲线密码体制)或RSA算法。在通知颁后,国家密码管理局公开发布了国密算法SM2(椭圆曲线密码体制),用来取代国际上常用的RSA算法,因此
9、我公司无论是子站设备还是主站的公网前置机内,都是采用国密SM2算法。标准协议控制(或参数设置)报文时间戳(或随机数)数字签名图1单向认证示意图启用单向认证功能后,虽然控制命令本身是明文,但是能够确保只有从对应主站下发的控制命令才会被执行,有效防止了网络攻击、只要主站端将私钥可靠保管,就不会出现被非法控制的情况出现。4、数据加密采用单向认证技术只能保证下行命令不会被仿冒,但是传送的数据本身是明文,而且无论是IO1还是104协议都是公开的,因此依然存在数据泄露的风险,通知推荐了对称加密和非对称加密两种模式供各地电力公司选择使用,并未强制要求。所谓对称加密是指加密解密使用同一个密钥,国家密码管理局规
10、定了SMKSM4两种对称加密算法,其中SM1算法应该更为普遍,SM4算法是为手机WAPI通讯专门设计的算法。而非对称加密是指加密解密用不同的密钥,也就是单向认证涉及到的公钥和私钥,算法是SM2。由于SM1是不公开的,只能使用专用的内核芯片进行加解密,而且对称加密算法应用中,主站和子站使用同一个密钥,密钥本身容易泄露,如果密钥泄露,传输数据加密就没有意义了,而SM1算法的优点主要是加密速度快,对于新能源项目这样数据量很少的传输没有任何优势,还增加了密钥泄露的风险,因此推荐使用SM2算法对报文进行加密。四、数据接入系统的加密管理系统在实现通常的调度自动化系统功能的基础上,标配的前置机内置通过国家密
11、码管理局认证的数据加密卡,支持国密SM1/SM6、SM2、SM3、SM4算法以及DES、3DES、AESRSA、SHA等国际加密算法,能够全面实现通知中要求的数字签名、单向认证的功能,同时能够对子站上传的密数据加密卡采用高性能DSP模块作为核心,运算速度快,支持大容量数据吞吐,采用PCIe总线,可以高效和CPU交换数据;算法模块采用硬件密码芯片,实现对称、非对称、杂凑等各种密码算法;存储模块可以保存设备信息和多达数千个(对)密码;USB模块实现与智能密码钥匙的交互访问,完成身份认证和部分密钥管理功能;硬件自带真随机数发生器,确保生成密码的质量.应用程序图3数据加密卡工作原理数据加密卡应用过程中
12、,应用软件将需要加密或签名的信息通过PCIE接口发送给数据加密卡,数据加密卡根据预先的配置的密钥,完成数据加密或签名过程,将密文发送给应用软件。解密或鉴签过程与加密类似,只是将密文转换为明文。公网前置机可以根据实际需求配置,最多可以接入超过2000个数据加密子站的信息。数据接入系统具备完善的密钥管理体系,支持对称密钥不少于4096个,RSA密钥不少于3000对,SM2密钥不少于1024对,加密卡内保存的密钥不能被明文导出。公网前置机性能强大,SM1/SM6算法加解密速度不低于500Mbps,SM2算法密钥对生成速度不低于IooO次/秒,签名速度不低于2000次/秒,解密速度不低于IoOO次/秒
13、,完全能够满足通过无线网上送的新能源子站的数据处理。五、数据传输流程远动数据采集自光伏发电站的远动通讯主机,经由数据采集器后,通过数据加密后,通过移动或电信的无线APN网络,送到接入系统的主站端,主站端通过解密,还原出发电厂的远动数据。电量数据采集自光伏发电站的电度表,经由数据采集器后,通过数据加密后,通过移动或电信的无线APN网络,送到接入系统的主站端,主站端通过解密,还原出发电厂的电量数据。实时数据经防火墙到数据采集前置机进行解密处理,数据采集前置机解密后的数据以文件方式通过反向隔离装置传送到安全I区或安全II区主网。安全I区经过通讯管理机,将远动数据虚拟成一个变电站的远动数据,通过IEC
14、1o4协议接入到SCADA主站系统,SCADA系统视其为一个子站接入,SCADA主站系统不需要新增任何功能。安全II区经过通讯管理机,将电量数据虚拟成一个变电站的电量数据,通过IEC102协议接入到TMR主站系统,TMR系统视其为一个子站接入,TMR主站系统不需要新增任何功能。六、子站智能采集单元由于光伏、小水电等新能源项目的地理位置分布较广,装机容量较小,难以承受成本较高的调度数据专网模式,因此选用无线GPRS模式上传数据成为理想选择。但使用无线GPRS会利用电信部门的公网数据通道,必须通过APN技术构建虚拟专用通道,由主站端进行访问控制,最大限度的隔离网络干扰和攻击。这种模式与省公司的用电
15、信息平台所使用的GPRS方式类似,具有组网灵活、安全可靠、点多分散,接口简单、透明传输的特点,是中小数据量专用的传输系统。XWXY-TA/G/S智能采集单元是根据光伏、小水电等新能源项目的需求专门设计的子站监控设备,具备完善的数据采集,智能接口和数据加密、鉴签功能,单元的常规工作模式如下图:/XY-TAGS型智能采集单元、通讯接口N远动主机、保护单元等智能设备控制开关、环状态信号、模境调整设备等拟信号采集下行单向认证GPRS上行数据加密监控主站协议:IEC1O1IEC104等子站通讯结构图1、功能特点支持多种电力行业常用通讯协议,可以与各种类型的智能设备直接接口 支持智能设备组网接入,最多可接入128台 在现场设备没有多余接口的条件下,支持采用监听模式获取数据 完善防雷设计,电源回路、通讯回路都能保证长期稳定运行 具备多路输入输出接口,支持控制开关、刀闸、灯光、风机、门禁、环境调整设备等 内置GPRS模块,支持多主站访问、支持APN接入控制 内置单向身份认证措施和数据加密2、数据安全智能型采集单元配置网络安全认证加密模块,支持使用基于非对称加密技术的单