《2022年通信方案 .pdf》由会员分享,可在线阅读,更多相关《2022年通信方案 .pdf(21页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、5.5 配电通信网络建设方案5.5.1建设原则配电通信网络是智能配电各类信息的传输载体,其建设应充分利用电力系统资源,与配电网的发展同步进行。石嘴山市应根据各种配电网业务的需求,结合通信技术的发展,考虑配网网架频繁变动的特点,以 可靠、安全、兼容、经济、开放为原则,合理选择通信方式,最终在石嘴山建成一个能满足未来5-10年配电数据通信需求、智能终端通信覆盖率达到100%的配电通信网络。石嘴山配电通信网络建设具体遵循原则如下:1. 可靠性:配电通信网络设计标准应满足配电自动化的通信业务需求,满足智能配电网发展需求,采用成熟、可靠的现代主流通信技术建设。2安全性:在建设配电通信网络时,应重视网络信
2、息安全,加强网络优化工作, 优先使用专网通信, 采用公网通信方式应采取相应的安全防护措施,构筑网架坚强、灵活可靠的通信网络,确保电网安全可靠运行。3兼容性:在采用多种通信方式进行配电通信网络的建设时,应建设配电通信综合接入平台,应统一技术标准, 实现统一接入和统一规范。4经济性:配电通信网络的建设和改造应充分利用现有通信资源,完善配电通信基础设施,避免重复建设。在满足现有配电自动化名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 21 页 - - - - - - - - -
3、 需求的前提下, 充分考虑业务综合应用和通信技术发展前景,统一规划、分步实施、适度超前。5. 开放性:配电通信网络在满足近期应用的基础上,应考虑到智能电网的不断发展, 在各方面为远期的扩充与发展预留条件,同时应在规划、设计、建设、运行管理、维护等各环节建立健全保障机制,具备良好的可持续发展能力。5.5.2通信技术分析通信系统是配电自动化系统的重要组成部分,是整个系统的神经网络,其性能与可靠性的好坏直接决定整个系统功能的实现及自动化水平程度。而通信系统的建设是以来于通信技术的发展,当前配用电通信网中,各种通信方式都有应用,随着自动化应用的日益成熟,逐渐形成以光纤通信为主、辅以无线通信的现状,针对
4、这一局面,结合配电网的需求对主流的光纤通信技术和无线通信技术进行分析。(1)光纤通信技术光纤通信技术是以光波作为信息载体,以光导纤维作为传输介质的通信手段。目前,光纤通信技术已很成熟,并且已在电力系统中广泛应用,对比于其他通信方式主要有以下优点:光纤传输频带宽、通信容量大,传输损耗小, 光电隔离,不受电磁干扰, 组网方便、灵活。光纤通信接入从技术上可分为两大类:有源光网络和无源光网络, 在配电网中有源光网络以光纤以太网交换机方式为代表、无源光网络以EPON 为代表。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -
5、 - - - - - - 第 2 页,共 21 页 - - - - - - - - - A、有源光网络 (AON) 有源光网络是指局端设备(CE ) 和远端设备( RE )之间,通过有源光传输设备相连,在节点和节点之间需要经过光-电-光的转换,以工业以太网、 SDH 技术为代主。B、无源光网络 (PON) 无源光网络在光分支点安装光分支器,可在树型、环型等多种拓扑结构下的纯光纤网络中,实现高速的光纤通信。在配电通信网中,目前应用的无源光网络主要是以太网无源光网络(EPON )技术。EPON采用点到多点结构、无源光纤传输,在以太网之上提供多种业务。具有低成本、高带宽、扩展性强、灵活快速的服务重组
6、以及方便与现有以太网完全兼容等特点。EPON 工作原理 : 基于无源光网络 PON 的一种实用无源光网络技术,采用 WDM 技术及纯光缆介质传输,实现单纤双向传输,支持点对点、点对多点模式, 是几种最佳技术和网络机构的结合,其传输示意见图5-1 所示。图 5-1 EPON传输示意图为了分离同一根光纤上多个用户来去方向的信号,采用以下两种复用技术:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 21 页 - - - - - - - - - 下行数据流:采用广播技术,见图5-
7、2 所示。图 5-2 数据传输示意图 在 ONU 注册成动后分配一个唯一的LLID; 在每一个分组开始之前添加一个LLID,替代以太网前导符的最后两个字节; OLT 接收数据时比较LLID 注册列表, ONU 接收数据时,仅接收符合自己的 LLID 的帧或者广播帧。上行数据流:采用TDMA 技术,见图 5-3 所示。图 5-3 数据传输示意图 OLT接收数据前比较 LLID 注册列表; 每个 ONU 在由局方设备统一分配的时隙中发送数据帧;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -
8、第 4 页,共 21 页 - - - - - - - - - 分配的时隙补偿了各个ONU 距离的差距,避免了各个ONU 之间的碰撞。配套设备: EPON 的系统结构简图如图5-1 所示,一个典型的系统由 OLT 、ONU 、ODN 组成。OLT (Optical Line Terminal)是光线路终端,提供网络集中和接入的功能,还可以针对用户的QoS SLA的不同要求进行带宽分配,网络安全和管理配臵。ONU (Optical Network Unit)是光网络单元,与用户端设备合为一体,负责下行数据的接收和上行数据的发送。ODN (Optical Distrib Network)是光分配网络
9、,是一个连接OLT和 ONU 的无源设备,负责下行数据的分发、上行数据的集中。组网模式: EPON的组网模式非常灵活,支持星型、树型、总线型、环型、双环网自愈型。C、AON 技术与 PON 技术对比对比项目AON (工业以太网)PON (工业以太网)传输速度快非常快,无光电转换技术成熟度高高,电信行业已普及节点失效率较高,单点失效影响全网非常低,仅失效节点抗干扰能力高,光电信号隔离传输更高,光信号传输更高,无信号传输低,双模光缆高,单模光缆设备兼容性一般,多厂家设备差异一般,多厂家设备差异使用范围配电通信网配电通信网、用户接入网行业应用情况较成熟试点推广中设备供应厂家多,但参差不齐不多,多为成
10、熟大厂家名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 21 页 - - - - - - - - - (2)无线通信技术无线通信 (Wireless communication)是利用电磁波信号在空间中传播的特性进行信息交换的一种通信方式,主要包括微波通信和卫星通信,微波是依靠间隔几十千米建设的中继站进行传播的,频带宽、容量大、但距离有限, 卫星通信是利用卫星作为中继站与地面之间建立微波通信联系的。 目前在城市配电网中应用的具有竞争力的无线技术包括 Wimax 、McWi
11、LL 、GPRS 和安全网管型 GPRS 。A、Wimax技术WiMAX全称为全球微波接入互操作性,是基于IEEE802.16 标准的一项无线城域网技术, 可提供最后一公里的固定和移动宽带无线接入。WiMAX 通信技术能够在城域网范围内以一点对多点的方式实现宽带无线接入。 WiMAX工作频带可从266GHz ,信道带宽可在1.5 20MHz范围内灵活覆盖。WiMAX最大覆盖范围达50km ,支持高达70Mbit/s的共享数据传输速率。可以采用多扇区技术来提高系统容量,一个扇区可同时支持60 多个采用 E1/T1 的企业用户或数百个配网监测点。B、McWiLL技术McWiLL (Multi-Ca
12、rrier Wireless Information Local Loop,多载波无线信息本地环路)是我国自主开发的宽带无线接入技术。McWiLL技术源于同步码分多址(SCDMA)技术,是在 SCDMA 技术基础上的演进和革新。 McWiLL系统是完全基于 IP 分组交换的宽带无线系统,采用宏蜂窝网络结构,覆盖半径可达1050km ,典型市内覆盖名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 21 页 - - - - - - - - - 半径 13km ,可以实现真正意义
13、上的非视距传输。传输速率上, 5MHz的信道带宽下, R4系统的最大净荷吞吐量可达8Mbit/s ,终端最大峰值数据速率 3Mbit/s ,而 R5系统的基站净荷吞吐量可达15Mbit/s ,终端最大峰值数据速率为5Mbit。C、GPRS 技术GPRS 即“通用分组无线业务 ” (General Packet Radio Service) ,是基于 GSM 网络上开通的一种新型的分组数据传输技术。目前GPRS 提供高达 115kb/s 的传输速率 (最高值为 171.2kb/s) ,同时支持TCP/IP 协议。GPRS 提供端到端的、广域的无线IP 连接,实现依据数据传输量来收费, 而不是单纯
14、的以联机时间计费。适用于频繁传送小数据量和非频繁传送大量数据的应用,目前,在我国电力配网中的适用范围为无线抄表系统、无功补偿系统、负荷控制系统等。传统解决方案(见方案拓扑图5-4) :图 5-4 方案拓扑结构配网自动化终端由配网设备和GPRS DTU InDTU132G 或 GPRS 路由器 InRouter (以下统称移动数据终端)构成,移动数据终端采用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 21 页 - - - - - - - - - RS485/232 串口
15、或 RJ45 网口和配网设备连接,将相应监控数据通过移动运营商提供的GPRS 专线网络传输到用户行业应用中心。应用中心系统采用专线或隧道的方式,与移动运营商核心网络联接,并最终与现场移动数据终端组成无线专网。用户业务数据通过移动数据终端接收后,直接上传到应用中心系统。结合中国移动 WMMP管理平台解决方案(见方案拓扑图5-5) :图 5-5 方案拓扑结构该方案结合中国移动WMMP管理平台,将业务数据与管理数据分开传输,用户可实现对下端设备的统一管理、统一配臵等。配网自动化终端由配网设备和移动数据终端构成,移动数据终端采用 RS485/232串口或 RJ45网口和配网设备连接,将相应监控数据通过
16、 GPRS 网络传输到移动的行业终端监控管理系统。应用中心系统采用专线或隧道的方式,与行业终端监控管理系统联接。行业终端监控管理系统负责接收配网设备上传的业务数据和网络管理数据。 业务数据也可通过移动数据终端接收后,直接上传到应用中心系统。D、安全网关型 GPRS 技术名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 21 页 - - - - - - - - - 电力二次系统安全防护规定 (电监会 5 号令)确定的“ 安全分区、网络专用、横向隔离、纵向认证”十六字方针及电力
17、二次安全防护方案对“ 110kV 及以下的变电站安全防护”中提出的“远程通信网络优先使用电力调度数据网,其次可以选用专线, 再次可以选用公网,但是使用公网时通信必须加密(可软加密)”等要求全面开展的安全防护工作, 对加大网络与信息安全保障力度、保证正常生产运行信息畅通、保障电力二次系统安全具备重大的战略意义。现有中国移动推出的GPRS网络,支持无线方式的分组包交换功能,其永远在线,快速传输、按流量计费的特点,很好的满足了用户对数据业务的需求, 同时已具备一定的安全性, 其采用两个方面的防护措施:一是每个终端插有一张SIM卡(具备一定的加密认证功能) 。二是在 GGSN(Gateway GPRS
18、 Support Node,网关 GSN )和企业路由器之间建立 GRE 隧道 (通用路由协议封装) 以保证网络传输的安全性,但由于 GPRS 是基于 IP 的骨干网且目前许多黑客都对TCP/IP 协议非常熟悉,这就使得它更容易受到来自黑客、管理人员、服务提供商、合作者等方面的攻击。结合国家对配电通信网安全性的要求及现有GPRS 模式存在的潜在风险,提出了安全性更高、更可靠的安全网关型GPRS 模式,其系统方案见图 5-6 所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页
19、,共 21 页 - - - - - - - - - 主站安全网关(机架式、最大并发用户支持20000)中国移动(APN 设备)2M 光纤网络SCADA服务器SCADA 工作站前置机前置机数据库服务器接入路由器配电自动化系统GPRS配电终端子站安全网关(嵌入式,安装与配电终端内部)配电终端子站安全网关(嵌入式,安装与配电终端内部)图 5-6 安全网关型 GPRS 通信模式配电终端通过串口与子站安全网关相连,安全网关基于电力调度数字证书对数据进行身份认证、 协议封装加密后通过光纤网络发送到主站安全网关。配调系统专设 1 台主站安全网关。主站安全网关基于电力调度数字证书对数据进行身份认证、 协议封装
20、解密、 安全隔离等措施后发送到主站配调系统。安全网关的数据流程示意见图5-7。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 21 页 - - - - - - - - - 网络嵌入式远动网关配电自动化终端CPU板TXRXGNDP+P-主站远动通信网关网络移动公司路由器配电自动化前置系统RXTXGNDP+P-GPRS图 5-7 安全网关数据流示意图E、无线通信技术对比分析对比项目Wimax技术McWiLL技术GPRS 技术安全网关型GPRS 技术带宽18M (5M带宽)1
21、5M 50K/100K/ 数百K 50K/100K/ 数百K 传输距离城域 1-3 公里城域 1-3 公里不限不限建设成本较高较高低 (有运行费用)低 (有运行费用)可靠性较高较高公网一般专网高公网一般专网高信息安全较高较高公网低专网高公网高专网更高通信实时性较高较高公网低专网较高公网低专网较高标准化程度较高一般高高应用成熟度一般一般高较高使用范围适于区域性配电网、接入网适于区域性配电网、接入网适于大型配电网、接入网适于大型配电网、接入网5.5.3骨干网建设方案5.5.3.1现状分析根据配电通信网建设原则,配电通信网络应充分利用电力系统资名师资料总结 - - -精品资料欢迎下载 - - - -
22、 - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 21 页 - - - - - - - - - 源,因地制宜的与配电网的发展同步进行。同时骨干通信网要求具备路由迂回能力和高生存性能, 当链路一个节点或多个节点断开后可自动建立新的链路,恢复通信网络的畅通,保证数据的可靠传输。目前石嘴山各主要变电站建有调度综合业务通信网,因此配电骨干通信网可充分利用现有资源进行建设,使用 MSTP/SDH 光纤传输网。5.5.3.2采用光纤以太网建设模式骨干通信网承载配电网与主站之间数据的交互,在通信系统中处于核心地位,可靠性、实时性、安全性要求
23、极高。 充分利用现有资源,骨干通信网采用MSTP/SDH 光纤以太网通信环网符合配电网高速数据传输需要,即在大武口变、东郊变、大南变、简泉变、隆湖变、吉宏变、镇南变、西河桥变、柳园变及9 座开闭所等供电区域内进行光缆敷设,其光纤以太网建设模式如下图:大武口变东郊变大南变简泉变柳园变西河桥变镇南变吉宏变隆湖变SDH/MSTP开闭所开闭所图 5-8 光纤以太网建设模式5.5.4接入网通信建设5.5.4.1主干线及重要分支采用EPON 无源光网通信名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -
24、 第 12 页,共 21 页 - - - - - - - - - 对集中自愈和电压时间型就地自愈的主干线及重要分支,要构建EPON 无源光网,完成通信及监控功能。从变电站出发, 光缆沿电力管线敷设至每个开闭所、 环网柜及柱上开关。 变电站和每条光缆链路采用星型接线方式 , 变电站的 OLT设备对多个方向的光缆链路实现千兆光口汇聚 , 任何一个终端设备故障都不会影响其他终端设备, 使得设备的故障率低 ,容易维护。结合石嘴山通信网现状需要在大武口变、东郊变、大南变、简泉变、隆湖变、吉宏变、镇南变、西河桥变、柳园变及9 座开闭所安装通信机柜 18 台,配臵集中型OLT 18 台,配臵光纤以太网交换机
25、18台,每台开闭所、 环网柜及柱上开关配1 套无源光网络终端及2 套无源光网络分光器。EPON 技术是一种点到多点的光纤接入技术,它由局侧的 OLT (光线路终端)、用户侧的 ONU (光网络单元)以及ODN (光分配网络)组成。可以灵活组成树型、星型、总线型等拓扑结构。所谓“无源”指ODN 中不含有任何有源电子器件,采用EPON 技术构建的配电通信网络整体架构如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 21 页 - - - - - - - - - 图
26、5-9 采用 EPON 技术构建的配电通信网络整体架构示意图5.5.4.2不具备 EPON 通讯条件的采用“安全网关+公网 GPRS ”通信5.5.4.2.1安全防护目标在传统无线GPRS/CDMA 等通讯方式基础上增加安全网关来实现公网数据通讯的安全保密性,以降低电力系统在部分情况下使用公网通信的安全风险,增强数据通信的机密性、完整性及真实性的保护,抵御外部人员对调度监控系统发起的恶意破坏和攻击,提高主站、子站及数据网络的安全防护强度。5.5.4.2.2安全防护策略本方案建议采用“网络隔离、身份认证、传输加密、权限受控”的措施来进行配网自动化系统公网安全防护,实现电力系统内网与公名师资料总结
27、 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 21 页 - - - - - - - - - 网进行网络隔离、 基于调度数字证书的身份验证、对所有通信数据采用密文传输、对传输数据可根据策略进行控制。1、采用“双机非网”的结构来实现网络隔离,“内网主机”与配电自动化系统以网络或串口的方式连接,“外网主机”与公网或专网以网络连接,“内网主机”与“外网主机”以高速串口非网络协议方式连接,从而达到既能保证应用程序之间进行双向数据通信,又能保证网络层面的隔离。图 5-10 采用“双机非网”的
28、结构示意图2、采用电力调度系统数字证书系统颁发的设备证书进行身份认证,以验证身份是否可以信任,从而确定对方身份的真实性,以实现配电自动化系统与负控终端双向的身份识别。3、采用通用密钥算法和国家商用密码算法两种算法环境,实现配电自动化系统与终端通信的数据加密。4、针对对网络层面的数据采用基于MAC 、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制,对应用层的通信规约数据增添通讯协议的分析, 对带控制命令的通信数据包可以根据策略设臵允许或限制其通过。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
29、- - - - - 第 15 页,共 21 页 - - - - - - - - - 5.5.4.2.3具体实现方案建议采用基于调度数字证书的远动通信安全网关进行防护,系统包含所有采用GPRS 通讯方式的配电环网柜及配电开关的安全网关及1 套主站安全网关,配电环网柜及配电开关的安全网关用于配电环网柜及配电开关的安全防护,主站安全网关用于配电主站的安全防护。系统方案具体结构如下:主站安全网关(机架式、最大并发用户支持20000)中国移动(APN 设备)2M 光纤网络SCADA服务器SCADA工作站前置机前置机数据库服务器接入路由器配电自动化系统GPRS配电终端子站安全网关(嵌入式,安装与配电终端内
30、部)配电终端子站安全网关(嵌入式,安装与配电终端内部)图 5-11 系统方案结构安全网关的防护过程如下:1) 配电环网柜 RTU通过网络与子站安全网关相连,安全网关基于电力调度数字证书对数据进行身份认证、协议封装加密后通过无线 GPRS 网络发送到主站安全网关。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 21 页 - - - - - - - - - 2) 配调系统专设 1 台主站安全网关与无线GPRS 网络互联。主站安全网关基于电力调度数字证书对数据进行身份认证、协
31、议封装解密、安全隔离等措施后发送到主站配调系统。3) 对配电自动化系统主站前臵系统进行改造,增加1 台安全网关,前臵机与 安全网关采用多个高速串口实现网络隔离(可选)或直接与安全网关连接,在前臵机安装主站私钥和签名模块,实现对 控制命令、参数设臵报文(可选)或所有应用层数据的数字签名,签名之后的数据发送到安全网关再以网络方式与子站终端相连接。4) 对子站终端也应进行安全改造,增加主站公钥和解签及解密硬件安全模块(子站安全网关), 实现子站终端对主站的身份鉴别和抗重放攻击功能。尚未进行安全改造的终端只处理原有控制(或参数设臵)报文,以实现平滑过渡。5.5.4.2.4加密范围国网方案是对通信规约应
32、用层中的一部份数据加密,例如:对称密钥算法主要用于设臵参数、 控制命令、数据转发等通信协议中规定的附加信息域( AUX )中需要携带消息认证码字段PW (下行)报文的加解密数据处理。推荐方案:采用应用层全加密的方案,如规约可以确定,也可采用应用层部份数据认证加密。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 21 页 - - - - - - - - - 国网方案是按照Q GDW 376.1-2009 电力用户用电信息采集系统通信协议:主站与采集终端通信协议来进行应用层
33、加密,具体如下:应用功能码AFN 应用功能定义是否加密备注00H 确认否认终端地址为FFFFH 的广播命令加密01H 复位02H 链路接口检测03H 中继站命令04H 设置参数加密05H 控制命令加密06H09H 备用0AH 查询参数0BH 任务数据查询0CH 请求 1 类数据(实时数据)0DH 请求 2 类数据(历史数据)0EH 请求 3 类数据(事件数据)0FH 文件传输加密10H 数据转发加密11HFFH 备用增加密钥分发应用层指定部份加密范围有如下优点:1、 仅仅对控制命令等加密认证,因此通道带宽影响不大(增加5% ) ;2、 报文帧结构框架不变,加密与不加密终端可以混合使用应用层指定
34、部份加密范围有如下缺点:1、 需要每个配电终端厂家对加密技术比较深的了解,改造不确定因素多;2、 加密体系公开难以管理,降低安全防护强度名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 21 页 - - - - - - - - - 3、 适应性差,由于各电网公司并无采用完全一致的通信规约,基于应用层开发接口难度较大,不方便调试及升级。4、应用层完全加密的优点是通用性好,可以适用不同的通信规约。5、应用层完全加密的缺点是对带宽有一定的影响,预计需要增加 20% 的通信带宽。
35、5.5.4.2.5加密算法国网方案是:密钥算法选择应符合国家密码管理有关规定,在对称密钥算法中,硬件实现推荐选用SM1算法;在非对称密钥算法中,可选用 ECC (椭圆曲线密码体制)(256bit 以上)或 RSA (1024bit 以上)算法。推荐方案:采用上述算法并补充AES (128bit )作为软件对称加密算法。5.5.4.2.6加密结构国网方案在配电自动化系统主站及子站终端其密码机(安全模块)是独立配臵在系统中以提供密码服务的方式存在,即配电自动化系统需要认证、 加解密及密钥更换时才使用, 前臵机及子站终端与网络连接的模式仍未改变, 为了提高安全防护强度, 建议在此基础上增加网络隔离功
36、能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 21 页 - - - - - - - - - 5.5.4.2.7单向认证国网方案在配电自动化系统主站及子站终端其密码机进行了过渡期的子站终端软加密。鉴于单向认证可以降低大量的管理工作量,并且具备相当的安全性,因此本方案推荐采用单向认证方式。5.5.4.2.8硬加密与软加密配电自动化系统安全防护可以采用硬件加密与软件加密结合的技术方案,并且未来逐步过渡到完全采用硬件加密的方式。5.5.4.2.9技术方案总结1. 配电自动
37、化系统应采用对称密钥算法与非对称密钥算法相结合的混合密码系统,对称密钥算法速度快,主要应用于数据的加解密;非对称密钥算法速度慢,密钥管理方便,主要应用于密钥的分发及控制、设臵或广播命令的下发。2. 密钥算法选择应符合国家密码管理有关规定,在对称密钥算法中,硬件实现推荐选用SM1/SM2 (128bit )算法,软件实现推荐选用 AES (128bit )算法;在非对称密钥算法中,可选用 ECC (160bit 以上)或 RSA (1024bit 以上)算法。3. 采用电力调度数字证书系统进行密钥管理,证书系统为一套配电自动化系统颁发两份数字证书,一份用于硬加密方式,名师资料总结 - - -精品
38、资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 21 页 - - - - - - - - - 一份用于软件加密方式,从证书中导出私钥在主站保存,公钥保存在每一台接入的配电终端。4. 对称加密算法的密钥由主站生成, 每 24 小时对子站终端进行一次密钥更新。5. 配电自动化系统安全防护可以采用硬件加密与软件加密结合的技术方案,并且未来逐步过渡到完全采用硬件加密的方式。5.5.5配电通信建设设备清单表 5-12 配电通信建设设备清单序号设备名称规格和型号单位数量备注1 无源光网络EPON 站端设备集中
39、型 OLT ,32 个 PON 口(含连接尾纤等附件)台182 光纤以太网交换机16 口台18 3 通信机柜标准机柜(安装通信设备)台18 4 无源光网络终端设备工业级 ONU ,双 PON 口,含接续盒、连接尾纤等附件套406 5 无源光网络分光器设备不等比分光套812 6 具备安全网关的无线通信模块安全网关型GPRS 通信模块台28 7 安全网关主站型安全网关套1 8 光缆ADSS-24B1 (含管道)kM 720 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 21 页 - - - - - - - - -
黑公网安备:91230400333293403D