详情
用电信息密码系统建设关键技术研究及应用——中国电力科学研究院用电信息密码系统研究成果展示
2013-07-26
用电信息包括电能计量计费信息、费率参数、充值信息、结算数据等涉及国计民生的重要信息,关系到电力用户的切身利益、我国能源政策和核心经济数据,保证上述数据安全可靠存储、传输和应用成为建设电力用户用电信息采集系统安全防护体系的重要目标。国家电网公司2010年启动电力用户用电信息采集系统建设,按照“统一规划、统一标准、统一建设”的原则,计划2014年建成覆盖2.5亿电力用户的用电信息采集系统,实现对电力用户“全覆盖、全采集、全费控”的目标。
中国电力科学研究院牵头主持完成的“用电信息密码系统建设关键技术研究及应用”项目,是中国电力科学研究院2010年至2011年的重点科研项目,项目来源于国家电网公司用电信息安全防护体系建设。在国家宏观密码管理政策的指导下,采用国产密码技术,自主设计的密码系统为用电信息采集、营销售电、预付费控制、阶梯电价调整、充值等用电信息业务应用系统提供了从密钥产生、衍生、备份、传递、使用、更新、销毁等全生命周期的管理。项目在国家电网公司系统及其管辖的27个网省电力公司得到全面成功应用,取得了显著的经济效益和社会效益。项目的技术方案及系统建设通过国家密码管理局的安全性论证和审查,得到电力行业专家和信息安全领域多名院士的高度评价,分别荣获2012年度中国电力科学技术奖、北京市科学技术奖和第六届中国市场协会金桥奖。
一、项目完成情况
密码技术是保障信息安全的关键和核心技术,密钥管理系统负责密钥的产生、衍生、备份、恢复、传递、更新、销毁工作,是信息安全基础设施。中国电力科学研究院作为国家密码管理局商用密码产品生产、销售定点单位,按照国家电网公司营销部的要求,承担了用电信息密码系统的规划、设计、开发及实施部署工作。该系统作为国网公司系统的信息安全基础设施,主要任务是为用电信息系统及其相关业务应用系统提供应用密钥全生命周期管理,保证信息的真实性、完整性和可用性。
项目解决了技术标准、算法选择、安全性设计、典型建设方案设计、设备研制、示范工程实施和推广应用等关键技术问题。在密钥的产生、传递、存储、衍生、备份和恢复等方面采用独创技术,安全措施有效;自主设计的密码芯片和密码机等密码产品,满足密钥管理系统、采集主站系统、营销售电、发卡系统、检测系统及现场服务系统等多种业务系统应用的需要。
依托项目形成专利24项,软件著作权9项,发表科技论文15篇。
二、主要创新点
1.实现了国密SM1对称密码算法在电力系统的规模化应用,将该算法与用电信息业务应用成功结合,建成的用电信息密码系统目前已在2亿用户成功应用。
2.“多因子循环加密”产生根密钥的方法,提高密钥的安全性;采用“分层结构、逐层保护”的设计理念 ,建成了“专钥专用”的三级密码管理体系,实现对密钥全生命周期的管理、使用和维护。
3.自主开发用电信息密钥管理技术,研制具有密钥管理功能的系统专用密码机及现场服务终端、电能表全自动功能检测台等多种密码应用产品,满足用电信息相关业务应用的需要。
4.自主开发智能卡仿真器和插卡模拟器,采用并行测试技术、自动插卡技术、发卡仿真技术和互动测试技术,实现了智能电能表费控功能的自动化检测。
5.提出用密码机传递密钥的方法,采用密钥“离线分发控制机制”,增强密钥传输过程的安全性,并使用开机卡和密钥卡对密码机进行管理,提高了密码机密钥使用的安全性。
项目先后通过了国家密码管理局组织的安全性论证、系统测试、安全性审查和中国电机工程学会组织的成果鉴定,认为该项目技术难度很大,整体技术国内领先,推动了民族密码技术的发展和电力科技进步。
三、关键技术设备
1.密码机
电能计量密码机是为满足国家电网公司用户用电信息采集系统安全防护需求研制的,承担密钥的生成、传递、备份、恢复、更新、应用等工作,实现用电信息采集系统及相关应用系统关键数据的加解密和认证功能。该设备配用国密SM1算法,采用密钥分层保护机制并通过紧急毁钥保护、身份鉴别及系统自检等多种安全保护措施实现物理安全、系统安全。
该装置针对用电信息领域业务种类繁多、数据量大、实时性强和安全性要求高等特点,产品研制突破了传统密码设备只完成加解密功能的局限,加入密钥管理功能;使用真随机数分量循环加密方式产生根密钥,并采用M of N密钥备份机制进行关键信息的异地备份;设计密码机开机卡和密钥卡管理功能,加强设备管理人员权限控制的同时,提高了密码机密钥使用的安全性;结合应用系统业务需求的不同,将密码机中的密钥分区、分层,遵循“专钥专用”原则,规划不同区域不同层次的密钥使用方式和方法;在密码机中增加了智能电能表信息交换安全认证技术规范中的密钥分散与保护机制。
2.智能电能表全自动功能检测台
国网公司启动电力用户用电信息采集系统的建设,计划2014年建成覆盖2.5亿电力用户的用电信息采集系统。因此平均每年将有8000万只电能表的需要检测,检测量对于检测系统的要求是革命性的。传统电能表检测装置不具备费控及安全功能检测,且多采用串行通信方式完成批量检测任务,不仅无法完成新增功能的检测要求,而且存在检测效率低、周期长等缺点,因此传统电能表检测装置根本无法满足这些检测需求。
智能电能表全自动功能检测台根据智能电能表的检测要求,开发了费控和安全功能检测,并采用并行测试、智能发卡和模拟插卡、互动测试等先进技术,可以缩短检测时间,提高检测效率,方便检测人员操作,提高智能电能表的全自动检测效率。
3.电力现场服务安全终端
电力现场服务安全终端是一款现场应急设备,当由于天气、地震等外界因素导致通信网络故障,用户缴费充值等业务无法正常开展时,使用该设备可在用户现场对电能表进行电价调整、应急合闸、保电、充值和故障排查等操作。
电力现场服务安全终端作为国家商用密码产品,采用国密SM1、SM2、SM3和SM7密码算法,内部集成有安全单元、操作员卡和业务卡等安全组件,采用工单任务下发和任务权限授权方式,使用用电信息密钥管理系统产生的密钥保证通信数据和权限数据的安全有效。该设备已通过安全性审查并获得商用密码产品型号(证书编号:SXH2012182)。
2013年4月22日,中国电力科学研究院通过四川省电力公司向雅安地震灾区无偿捐助80台电力现场服务安全终端,在地震损坏的通信网络、购电网点等基础设施恢复过程中发挥重要作用,有效保障电力用户缴费充值、应急合闸等业务的正常开展。
4.电子封印
具备安全功能的计量电子封印是严格按照《计量封印管理办法》规定,结合用电信息密钥管理系统业务应用和当前国内外计量管理发展需求,而设计开发的集成有国密算法的高安全产品。该产品具有自锁功能,易施封,防盗性能强等优点,施封数据由密钥加密保护,可做到抗抵赖、防伪造,易于管理。
该封印为射频电子封印,采用电子封印专用的国密SM7算法,采用流密码加密方式,保证通信过程中交互数据的安全。三次交互认证过程中,使用硬件随机数和用电信息密钥管理系统发放的密钥保证通信数据和权限数据的安全有效。
四、应用情况
截止到目前,项目完成了公司总部及27个网省公司密钥管理及业务系统的建设,已覆盖2亿电力用户。其中,国网级生产/发卡系统为电能表用安全模块2亿片、终端用安全芯片150万片、用户卡8000多万张注入密钥;检测系统已经对1.8亿只电能表完成密钥下装,营销售电系统已对2千多万用户实现售电业务,采集系统主站已经可以对1.6亿万用户实现费控功能,现场服务终端系统已现场实现对阶梯电价等参数的调整。
依托项目自主开发的电能计量密码机和电力现场服务安全终端已获得密码产品型号证书和生产批复,已成功应用于国网级和27个网省电力公司的用电信息密钥管理系统及相关应用系统,发行数量近近千台,运行状况良好。
项目技术成果向产业转化主要体现在产品销售和技术服务两方面。产品销售主要包括电能计量密码机和智能电能表全自动功能检测装置,创造经济效益近8千万;技术服务包括为27个网省电力公司提供技术支持,取得服务费1350万元,以及为智能电能表安全模块和智能IC卡注入密钥提供技术和管理,取得技术成果转让费8千万元 。
该项目技术成果在国家电网公司系统内不仅将应用于电动汽车运营系统、电子封印管理系统等用电信息领域,而且还可以用于配用电监测领域和路灯控制管理系统,为更多的应用系统提供密码服务。该技术成果还可向电力系统外如石化、公交及医疗卫生等公用事业企业的密钥管理系统推广,应用前景广阔。
五、社会经济效益
用电信息密码系统的建设推动了我国自有知识产权的密码技术在电力行业的规模化应用,培养了一批具有自主创新能力的科技和工程建设人才,在健全和完善用电信息安全体系、保证重要信息数据安全、施行阶梯电价调整、带动国家电网公司芯片产业发展、完善产品和系统检验体系建设等方面提供了强有力的技术保障,推动了民族密码技术的发展和电力科技进步。该系统对方便用户安全可靠用电、保障供用电双方利益、提高电网企业服务社会的形象,维护社会稳定具有十分重要的意义。
该项目通过在全国27网省电力公司实施的网省级密钥管理系统建设和技术服务,直接经济效益近300万元,依托该系统发展起来的用电设备安全芯片和电能计量密码机产业,取得间接经济效益约20亿元。
用电信息密钥管理系统的建成和投运,首次将商用密码算法成功应用于电能计量、信息采集、贸易结算和阶梯电价调整等电力核心业务,支撑和维护着用电信息数据的安全,维护着电力市场各方的合法权益。该系统涉及2.5亿电力用户,覆盖人口超过10亿,该系统采用中国电科院自主研发的密码机和安全芯片,不仅实现了我国商用密码SM1算法在我国电力行业的规模化应用,对推动我国自有知识产权的密码技术发展起到了积极的推动作用,并将引领密码技术在世界电网科技领域的发展方向。在未来的用电信息业务领域,该系统产生的密钥及密码应用方案还将广泛应用电动汽车运营系统、智能仓储物流以及城市路灯管理控制等系统,为更多的电力行业应用系统提供密码技术支持服务。
