PSTunnel-电力专用纵向加密证装置白皮书Word文档格式.docx
《PSTunnel-电力专用纵向加密证装置白皮书Word文档格式.docx》由会员分享,可在线阅读,更多相关《PSTunnel-电力专用纵向加密证装置白皮书Word文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
6.2装置类型 3
6.3系统组成 4
6.4内部硬件模块 4
6.5接口规范 6
6.6电气性能 6
6.7几何及物理特性 6
6.8抗干扰性 6
6.9基本功能 8
6.10产品特点 9
6.11部署位置以及和管理中心的关系 11
附录:
相关其他系统简介 13
电力调度证书服务系统 13
电力专用纵向加密认证装置/网关管理中心:
13
1公司简介
1.1科东公司
北京科东电力控制系统有限责任公司是一个专门从事电力系统自动化方面的技术开发、技术服务、技术咨询、技术培训及工程承包等工作的高新技术软件企业。
注册资金1000万元。
1.1.1组织结构
科东公司实行董事会领导下的总经理负责制。
由总经理、副总经理全面负责公司运营、技术工作,下设电网调度自动化、配电自动化、应用仿真、电力市场、技术开发、市场、销售、人事行政、质量管理、东北分公司、南方分公司等部门开展各项业务。
1.1.2为您提供的服务
在电力二次系统安全防护领域竭诚为您提供以下服务:
电力二次系统网络安全防护方案的设计与实施;
电力专用网络安全设备系列产品,包括正向型、反向型隔离设备、纵向加密认证装置、加密装置管理系统、信息安全网络隔离装置、拨号加密认证装置、安全网关机、调度证书系统、数据库同步系统等。
关于电力二次系统安全防护的咨询和培训。
2装置的开发背景
北京科东电力控制系统有限责任公司作为国家电力调度通信中心主持的《全国电力二次系统安全防护方案》研究课题的参与单位,派出了多名工作人员参与电力二次系统安全防护专家组工作,从事总体方案、技术方案、实施方案的编写,并受国家电力调度通信中心委托开发电力系统专用网络安全产品。
按照全国电力二次系统安全防护的要求,该电力专用网关的研制是国家电力公司科技环保部2000年科技攻关项目,是国家863项目—国家电网调度中心二次系统安全防护的子课题。
3开发的依据和功能规范
·
国家电网调度中心发布《全国电力二次系统安全防护方案(最新版)》
国家电网调度中心制定《电力系统专用纵向加密认证装置技术规范(最新版)》
中华人民共和国国家标准GB/T17900-1999《网络代理服务器的安全技术要求》
《关于维护网络安全和信息安全的决议》,全国人大常委会2000年10月审议通过;
《中华人民共和国计算机信息系统安全保护条例》,国务院1994年发布;
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》,国家保密局1998年发布;
《计算机信息网络国际联网安全保护管理办法》,公安部1998年发布;
《计算机信息系统安全保护等级划分准则》(GB17859-1999),公安部1999年发布;
《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国家经贸委[2002]第30号令;
《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和国家保密局1996年发布。
GB/T14598.9-1995辐射电磁场抗扰度标准
GB/T14598.10-1996 快速瞬变抗扰度标准
GB/T14598.13-1998脉冲群抗扰度标准
GB/T14598.14-1998静电放电抗扰度标准
GB/T17626.5-1999浪涌(冲击)抗扰度标准
GB/T17626.6-1998射频场感应的传导骚扰抗扰度标准
GB/T11287-2000机械振动响应标准
4参考的安全标准和规范
UL1950
EN41003
AS/NZS3260
AS/NZS3548ClassA
CSAClassA
FCCClassA
EN60552-2
VCCI(ClassII)
5我方涉密资质证明和涉密立项
我方已经向国家密码管理委员会申请作为“国家密码产品定点生产单位”和“国家密码产品定点销售单位”,已经接受了国家密码管理委员会和北京市国家密码管理委员会的审查。
装置采用涉密芯片审批和批复
该装置采用电力系统专用算法密码芯片,并且已经通过国家密码管理委员会办公室批准立项,项目名为“SJY99加密网关”,项目批文号为:
国密办字[2004]292号。
加密算法
纵向加密认证装置使用的密码算法包括对称加密算法、非对称算法、散列算法和随机数生成算法,其中的对称算法是经过国密办批复的专为电力系统使用的加密算法。
其他算法都是国密办指定的算法。
6PSTunnel2000电力专用加密认证网关
6.1型号
PSTunnel-2000
6.2装置类型
Ø
PSTunnel-2000电力专用纵向加密认证网关(百兆型)
百兆型纵向装置根据装置通信网口分为:
电口百兆型、光电一体百兆型。
6.3系统组成
硬件平台
采用非Intel指令集的处理器,PowerPC平台PowerPC8245400MZ;
内存〉=64M;
该网关采用已经集成在标准PCI卡上的采用国家密码办审批的电力系统专用的“SSX06型密码算法芯片”的PCI加密卡作为网络报文加密解密、证书签名验签的“安全模块”;
该网关加密卡采用双密码算法芯片。
操作系统
代码可控的经过裁减内核的Linux作为操作系统。
配置软件
纵向加密认证网关提供了良好的用户接口和管理界面。
方便简易的配置界面,可以使该装置的配置简单易行。
配置信息包括对装置的设备基本信息的配置、高可用信息、双机热备功能的配置,日志功能的定制和配置,该装置的工作模式的配置。
6.4内部硬件模块
采用双电源交流110V-220V、直流100V-370V供电,保证系统供电模块的可靠性;
具有五个不同功能接口自适应网口的网卡,保证网络传输的高速稳定;
支持双网通信;
旁路网口作为紧急应急接口,当通信设备故障时,设备断电,设备自动启动旁路功能,此时设备恢复明文通讯。
物理锁具。
保证加密装置内部安全模块的安全,没有特定的钥匙,不能打开机箱外壳,不能看见“加密认证网关”密码装置内部的结构和安全密码卡的结构。
保证“加密认证网关”密码装置的物理安全。
采用国家电力调度通信中心指定的IC卡生产厂家的IC卡,作为该装置的管理人员的“人机卡三方认证”的登录安全介质。
该网关外形为1U标准的机箱:
重量为4kg,上架方式为面板前方左右两侧的钢质耳朵。
有蜂鸣器装置作为声音报警装置,一旦系统发生紧急情况,可以由该系统的报警模块出发,作为提示系统管理人员的声音警示。
在装置的前方配有液晶显示屏,作为系统状态显示的外部接口,可以动态显示系统内部硬件和软件运行状态的不同的状态信息,方便用户了解系统运行的状态,及时发现可能遇到的各种问题,减少系统故障带给电力控制系统运行造成的损失。
面板前后方分别有多个指示灯,分别代表系统电源状态,内置读卡器状态,IC卡状态,不同网口状态,外接的系统信息串口状态,报警模块外部接口的状态,内部处理模块状态,安全加密解密模块等系统关键部件的运行状态。
内置硬件Wacthdog,用以监视系统的运行状态,保证整个硬件电路的安全稳定、可靠。
内置RTC时钟模块,保证系统时间的精准。
6.5接口规范
纵向装置5个10/100M自适应网口;
两个交流110V-220V、直流100V-370V电源插座;
两个电源开关;
RJ45转RS232CONSOLE的接口;
IC卡接口,符合ISO-7816智能IC卡规范。
6.6电气性能
电源
交流110V-220V、直流100V-370V,百兆设备功率20W,千兆设备功率40W
环境规范
运行温度:
-5℃--+45℃(-15℃贮藏运输)
操作湿度:
10%--90%@40摄氏度,非冷凝
大气压力:
70kPa~106kPa
6.7几何及物理特性
尺寸:
标准1U机箱
重量:
4kg
6.8抗干扰性
辐射电磁场抗扰度:
能承受GB/T15153.1中规定的严酷等级为3级(6V/m)的辐射电磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
快速瞬变抗扰度:
电源和信号都能承受GB/T15153.1中规定的严酷等级为3级的快速瞬变干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
脉冲群抗扰度装置:
能承受GB/T15153.1中规定的严酷等级为3级的1MHz和100kHz的脉冲群干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
静电放电抗扰度:
能承受GB/T15153.1中规定的严酷等级为3级的静电放电干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
浪涌(冲击)抗扰度:
能承受GB/T15153.1中规定的严酷等级为3级的浪涌(冲击)干扰实验,符合GB/T17626.1总则9中“a)”规定的要求.
机械振动装置:
能承受GB/T11287-2000中3.2中规定的严酷等级为1级振动实验,性能符合该标准5中规定的要求。
工频磁场装置:
能承受GB/T15153.1中规定的严酷等级为4级的工频磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
介质强度装置:
能承受GB/T15153.1中规定的严酷等级为3级的绝缘强度(不小于5MΩ)和耐压强度(电源输入回路不小于1500V)实验,性能符合GB/T17626.1总则9中“a)”规定的要求。
稳定性装置:
能承受GB/T13729中3.9规定的稳定性实验;
其他参考标准
IEC-1000-4-2(ESD)
IEC-1000-4-3(辐射敏感性)
IEC-1000-4-4(电快速瞬变)
IEC-1000-4-5(电涌)
IEC-1000-4-6(谐波)
6.9基本功能
纵向加密认证装置中使用的非对称密码功能部分,是基于证书的公私钥验证体系,与现在已经投入运行的各个网省电力调度中心的“电力调度证书服务系统”相配合。
证书的格式完全符合X509证书规范,与“电力调度证书服务系统”各个厂家所签发的证书完全兼容;
专有加密通信协议:
加密认证网关间通信协议为国调组织多位专家联合设计,并经权威机构的多位院士审查论证,通信协议内容同样高度保密;
在纵向加密认证装置通信加密协议包括会话密钥协商和通信加密两个阶段。
第一阶段的密钥协商需要完成纵向加密认证装置之间的认证和用于通信加密的会话密钥协商。
第二阶段完成加密数据的通信;
电力专用纵向加密认证网关能够实现“电力二次系统安全防护总体方案”中要求的安全防护功能,满足二次系统安全防护要求;
我方提供的“纵向加密认证网关”在和不同厂家之间的纵向加密认证网关、装置已经能保证互连互通;
纵向加密认证网关能被其对应的管理中心管理,具备可管理性;
已经通过电力系统指定单位的电磁兼容性检测;
支持双机热备功能,在任一设备出现故障时,自动切换;
采用代码可控的安全操作系统