纵向加密认证装置联调常见问题分析及处理

龙源期刊网纵向加密认证装置联调常见问题分析及处理作者：成白艳来源：《科学与技术》2018年第10期摘要：纵向加密认证装置如今被广泛地应用在电力信息化系统建设中，成为电力信息系统的安全保障装置之一，针对系统的信息通信和数据业务接入服务进行电力调度，抵御外界的恶意攻击和破坏，避免出现电力二次系统的侵入或是瘫痪，便于电力调度数据网路管理和维护，也提高电网安全生产运行的实时控制，稳定好电网调度数据业务安全和稳定性，是保证电网运行控制和安全防御系统运行的关键。本文先探讨利用纵向加密认证装置的意义，再从其应用常见的问题入手，提出相应的处理措施，以保证电网调度数据业务纵向加密功能的发挥，维护好电网调度数据业务的安全性和稳定性，解决实际工程中会遇到的问题和有效解决措施。关键词：纵向加密认证;装置联调问题;处理方法1纵向加密认证装置应用的意义电网安全运行与群众日常生活及经济发展密切相关，将纵向机密认证装置应用于电力信息化系统的目的，在于做好安全防范措施，抵御好黑客和病毒等恶意攻击和外来破坏，保证电力二次系统的安全运行，避免系统崩溃和瘫痪，促使联调电力系统的自动化运行和变电站监控系统的安全控制。在纵向加密认证装置建设下，电网运行控制和安全防御系统实现一体化建设，提高了电网运行的抵御能力，不仅能有效抵御常见恶意攻击，还能抵抗集团式攻击，保证电网供电的稳定性，例如陕西电网就是利用纵向加密认证装置实现联调，防止电力二次系统的崩溃和瘫痪，彻底解决了安全防护问题，保证调度中心和发电厂等生产控制大区系统的纵向链接安全性，电力业务从上至下逐一落实。此外，纵向加密认证装置还是厂站和业务管理中心的链接中转站，管理中心和厂站设备之间的连接管理，都由纵向加密认证装置处理，保证厂站设备和各台纵向对供电终端设备的控制，并且建立对端设备隧道以及策略限制，并完成纵向业务数据测试，保证纵向加密认证装置调试的稳定性。2纵向加密认证装置联调常见问题在纵向加密认证装置调试中主要出现两类问题，一是厂站与主站纵向加密装置联调问题，二是厂站与管理中心联调问题，总结起来主要有以下三点，一是厂站纵密装置与主站纵密装置无法连接，二是管理中心无法管理厂站纵密装置，三是纵密装置隧道业务不通。以下针对这三个问题进行详细分析，给出相应的排查方法及解决办法。一、厂站纵密装置与主站纵密装置无法连接。装置无法连接主要表现为厂站纵向加密装置接入调度数据网后，调度主站无法连接装置，隧道无法成功建立，这种情况（1）要排除双方网络相关配置是否有问题，若厂站与主站设备龙源期刊网之间网络不通畅，就会出现这种情况。首先检查主站端路由器配置，采用PING命令展开测试，并关闭网络连接状态，若PING命令无法通过对方的IP地址，则需要增加相应的路由;其次检查厂站侧网络配置状态，包括设备管理地址以及路由等，检测好网络协议配置和VlAN后，确保装置接入数据网后可用。若双方网络通畅，则进行（2）检查双方证书导入是否正确。若有一方未导入证书、证书导入不正确或证书本身格式不正确，都会导致双方无法连接。这种情况需要通过设备本身提示出的信息或查看设备日志来判断是否证书问题。如兴唐纵向加密认证装置通过隧道状态中的错误协商包可以进行判断，隧道状态为请求发送，且其错误协商包不为0且与发送协商包数量成正比，则说明证书有问题，需要重新导入正确的证书，以解决隧道无法打开的问题。（3）若在联调过程中出现数据通信中断问题，则在主站纵向加密认证装置上对厂站端纵向加密装置发送隧道协商探测，确定数据通信中断到底是由于周期太短还是厂站端应用程序数据流量过大所致。实施多次反复测试后，再将主站羰纵向加密认证装置周期扩充到100s，然后将两端的数据业务主机系统的MTU值修正到1400，稳定数据的传输和接受，保证数据传输的稳定性，解决数据中断问题。二、管理中心无法管理厂站纵密装置。管理中心是利用电力调度纵向加密认证系统，在远程对厂站的纵向加密认证装置进行监测和管理。通过管理中心，可以对受管控的厂站或主站纵密装置进行远程监测和配置，如查看或修改隧道以及隧道下的策略，不用维护人员下站进行操作，可见管理中心是整个电力运输的核心区域。若其对厂站纵向加密不可管理，就意味着管理中心和厂站之间无法实现安全纵向管理，也增加维护难度。（1）检查两端网络配置，保证网络通畅。（2）确保两端证书导入正确。由于各地区厂站纵向加密装置厂家、型号不统一、种类较多，兼容性不高，因此对于证書格式及认证需要相互协商，需要一厂家技术人员进行协商和沟通，对厂站的设备和程序进行修改和升级，重新导出证书进行交换，确保管理中心能够识别厂站证书且能与之建立连接。（3）检查管理中心平台配置以及厂站配置是否有遗漏。严格按照管理中心平台操作流程添加厂站纵密装置，避免某个环节出错导致无法管理。对于厂站纵密装置，主要是添加管理中心证书以及地址，不同厂家对添加管理中心的配置及流程不同，需要仔细排查以确保管理中心添加正确。三、纵密装置隧道业务不通。隧道业务不通畅，厂站纵向加密装置在数据网接入调度完毕后，管理中心接入管理厂站设备后，发现无法实现业务顺通，隧道建立成功但业务指令无法执行和输送。这种现象出现是因为设备本身配置出现问题，设备能连接意味着厂站设备和管理中心网络正常连接，设备管理就说明在证书导入方面不存在矛盾，隧道建立则对端设备导入也正常，业务指令无法传输和执行，就只能是隧道具体策略配置存在问题，无法正常进行设备运行。为解决问题，先要进行策略配置问题排查，检查好设备配置的起止地址，并检测目的端口限制，通信方向和源端口限制等，然后在从设备的明通和密通进行检查，看设备是否有明通/密通渠道，若是一端加密另一端的明通，则是数据无法解密还原，应对两端解密包数量进行核查，要是检查厂站设备内外网口接反，则设备无法进行加密，这就需要对纵向加密装置进行顺序匹配，然后逐一排查编号的龙源期刊网所有策略与当前策略交叉情况。如果隧道状态正常，但加密和解密数据包存在较大差异，则是数据通信异常，通信两端纵向加密认证装置策略检查无问题，应该对两端相关业务策略进行修改，将两端都修改成明通，然后对厂站端进行光功率预测设备参数进行修改，确保问题能够得到有效解决。结语综上所述，纵向加密认证装置是确保数据信息和设备控制自动化的关键，在调试前，要先对厂站调度数据网进行调试，保证网络通信顺畅后，再调试纵向加密认证装置，对纵向加密认证装置联调的排查，从管理中心开始定位问题点以及连接设备，确保厂站设备的可连接管理。参考文献[1]佟芳，韩青秀，张文飞，王旭，马国雷.纵向加密认证装置联调常见问题分析及处理[J].青海电力，2017，36（01）：63-65+68.[2]耿科理，周四清，马晓琴.纵向加密认证装置技术在青海电网中的应用及实践[J].青海电力，2011，30（02）：40-42.[3]梁智强，陈晓帆.纵向加密认证装置转发性能测试的研究[J].计算机测量与控制，2012，20（03）：606-609.（作者单位：陕西省地方电力（集团）有限公司渭南供电分公司）