电力专用纵向加密认证装置 千兆

产品参数

1、 型号说明

产品型号：电力专用纵向加密认证装置; 千兆型

产品型号：电力专用纵向加密认证装置;百兆型

产品型号：电力专用纵向加密认证装置;百兆普通型

国密局批复型号：SJY99加密网关

2、 接口说明

1. 千兆设备共有6个网络接口，其中4个10/100/1000M 网络电口（2个光接口与2个电接口复用），另外还具有2个10/100M自适应的网卡， 用于配置和扩展，保证网络传输的高速稳定；

2. 百兆设备共有5个网络接口，采用RJ45型接口，10/100M自适应，功能是2个内网网口，2个外网网口，1个配置/心跳网口；

3. RS-232 CONSOLE的接口，波特率115200bps，采用RJ45型接口；

4. 两个220V/50HZ电源插座；交流电源，交流100V-260V/50HZ，直流 100V-374V。。

5. 两个电源开关；

6. 智能IC卡接口，符合ISO－7816智能IC卡规范。

3、 电气性能

电源

我方提供的电源模块为交流电源，交流电压范围100V-260V/50HZ，直流 100V-374V。

环境规范

运行温度： -5℃ -- +45℃

储运温度：-40℃ -- +55℃

操作湿度：5% -- 95% @40摄氏度，非冷凝

大气压力：70kPa～106kPa

4、 几何及物理特性

尺寸：标准1U机箱

重量：4kg

5、 抗干扰性

1. 辐射电磁场抗扰度 :能承受GB/T15153.1中规定的严酷等级为3级（6V/m）的辐射电磁场干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。

2. 快速瞬变抗扰度:电源和信号都能承受GB/T15153.1中规定的严酷等级为3级的快速瞬变干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。

3. 脉冲群抗扰度装置: 能承受GB/T15153.1中规定的严酷等级为3级的1MHz和100kHz的脉冲群干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。

4. 静电放电抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的静电放电干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。

5. 浪涌（冲击）抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的浪涌（冲击）干扰实验，符合GB/T17626.1总则9中“a）”规定的要求.

6. 机械振动装置: 能承受GB/T11287－2000中3.2中规定的严酷等级为1级振动实验，性能符合该标准5中规定的要求。

7. 工频磁场装置: 能承受GB/T15153.1中规定的严酷等级为4级的工频磁场干扰实验，性能符合GB/T17626.1总则9中“a）”规定的要求。

8. 介质强度装置: 能承受GB/T15153.1中规定的严酷等级为3级的绝缘强度（不小于5MΩ）和耐压强度（电源输入回路不小于1500V）实验，性能符合GB/T17626.1总则9中“a）”规定的要求。

9. 稳定性装置: 能承受GB/T13729中3.9规定的稳定性实验;

10. 其他参考标准

IEC-1000-4-2 （ESD）

IEC-1000-4-3 （辐射敏感性）

IEC-1000-4-4 （电快速瞬变）

IEC-1000-4-5 （电涌）

IEC-1000-4-6 （谐波）

6、 性能指标

纵向加密装置百兆增强型：

并发加密隧道数：≥1024条

明通数据传输效率：≥96Mbps（在50条安全策略，1024字节报文长度的情况下）

密通数据传输效率：≥30Mbps（同一厂家运行环境下，50条安全策略，1024字节报文长度）

MTBF：＞60000小时（****负荷）

100M LAN环境下，加密隧道协商建立延迟：＜1s

数据包转发延迟：＜1ms （50％密文数据包吞吐量）

满负荷数据包丢弃率：0

纵向加密装置千兆型：

并发加密隧道数：≥2048条

明通数据传输效率：≥380Mbps（在100条安全策略，1024字节报文长度的情况下）

密通数据传输效率：≥110Mbps（同一厂家运行环境下，50条安全策略，1024字节报文长度）

MTBF：＞100 000小时（****负荷）

1000M LAN环境下，加密隧道协商建立延迟：＜1ms

数据包转发延迟：＜1ms （50％密文数据包吞吐量）

满负荷数据包丢弃率：0

密码是一门科学，有着悠久的历史。密码在古代就用于传递秘密信息。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展，密码技术的发展也非常迅速，应用领域不断发展。密码除了用于信息加密外，也用于数据信息签名和安全认证。密码技术是保护信息安全的主要手段，它通过对信息进行重新编码，在保证信息的完整性和正确性的同时，也保证信息的机密性，防止信息被篡改、伪造和泄露。加密是使信息在非授权的情况下不可解读的过程。加密依据是一中密码算法和至少有一种密钥，对于加密信息即使知道了算法，没有密钥，也无法解读信息。 

电力调度数据网介绍 

电力调度数据网通信业务流向主要为各直调厂站向青海省调和各地调的纵向数据传输。电力调度数据网接入层设备采用接入远动LAN交换机和路由器组成，网络协议为TCP/IP，传输平台为SDH/PDH。其他各种应用系统如厂站的RTU、电能量处理器、保护信息管理机等资源子网使用TCP/IP功能接入远动LAN交换机，需协议转换的可增加网关或由RTU、电能量处理器、保护信息管理机自行完成协议的转换，LAN采用IEEE802系列标准。电力调度数据网是专门用于电力调度和电力生产数据业务的网络,不承担有关日常的管理信息以及如话音业务、视频业务、多媒体等其它业务。做到专网专用，确保电力生产的安全。青海电力调度数据网是专门为电力调度生产服务的,网络承载业务主要是数据业务。采用104网络规约传输数据,传输的信息主要包括实时信息和非实时信息。实时信息包含：远动信息、AGC/MGC、电力市场发布的实时信息、EMS系统之间交换的用于网络分析的准实时数据、电网事故反演习数据.非实时信息包含：发/送/受电计划值、远传调度票、调度生产运行报表（日报、月报、季报）、ACE考核报表、计费电能量数据、故障录波信号综合保护信号（保护定值、保护动作和告警信号）、安全自动装置信号、电网运行参数、DTS应用数据交换。 

电力调度数据网划分为逻辑隔离的实时子网，分别链接控制区和非控制区。二次系统基于计算机和网络技术的业务系统，划分为生产控制大区和管理信息大区，生产控制大区分为控制区和非控制区，生产控制大区分为控制区（安全区I）和非控制区（安全区II）；管理信息大区在不影响生产控制大区安全的前提下，可以划分为不同的安全区。在生产控制大区与管理信息大区之间必须设置经**指定部门认定的电力横向单向（正向、反向）安全隔离装置，正向隔离装置必须满足1比特返回要求，反向隔离装置满足传输文本信息的要求。电力通信管理系统按所承载的业务进行安全分区，传输网、接入网、同步网的设备网管位于控制区（I区），通信综合网管位于非控制区（II区），通信管理信息位于管理信息大区；I区和Ⅱ区之间采用逻辑隔离措施。 

厂站调度数据网网络拓扑图如下： 

三、电力专用纵向加密认证网关介绍 

电力专用纵向加密认证网关是用于保护电力调度数据网路由器和电力系统的局域网之间通信安全的电力专用网关机。该网关保护上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。此外，电力纵向加密认证网关实现了对电力系统专用的应用层通信协议（IEC-104规约）转换功能，以便于实现端到端的选择性保护。按照“分级管理”要求，纵向加密认证网关装置部署在各级调度及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构。电力专用纵向加密认证网关采用基于公钥体制的工作密钥的自动协商和交换。电力专用纵向加密认证网关的密钥生成、数据加密都是由专用高速数据加密卡完成，对称加密基于专用加密算法芯片，加密速度快，抗攻击能力强。 

四、加密网关在电力调度数据网中的部署 

纵向认证加密网关的加密原理 

加密网关部署在网络的关键路径之上，不同的业务都可以通过一个或者主备两个纵向装置对应用的业务进行保护，借用路由器和交换机的地址。在调度数据网的本地网络和远程通信网络的路由器之间加上“加密认证装置”，可以在不改变原来的网络结构和地址的情况下，保证信息的加密。安全隧道的建立必须有相应的证书，首先导入的是调度证书系统的根证书，根证书用于检验其他证书的有效性。只有经过“电力调度证书系统”的签发的证书才是有效地证书，采可以用于电力调度数据网之间的通信。为了增强数据的保密性性，安全性，协商好的密钥要定期更换，每到数据包累积到一定的数量，就要求原有的对称密钥过期，重新进行密钥协商。 

结语 

作为电力二次系统安全防护的核心设备，该加密网关涵盖了青海电力调度数据网实时与非实时业务的加密认证工作，在业务数据通道上实现了数据的加密，没有密钥无法读取数据通道上的数据。能够保证数据在安全区域内纵向可靠传输，满足电力二次系统安全防护总体方案的要求。