配网终端加密模块解决方案

 

概述

目前现有的配网自动化试点（包括国网和南网）均未考虑二次安防，而在 110KV以上的变电网里，二次安防是一个很重要的建设内容，主要原因在于以前配网自动化建设不规范，且技术条件不成熟。

二○一一年二月九日国家电网在调〔 2011〕168号文件《关于加强配电网自动化系统安全防护工作的通知》明确提出了配网自动化系统位于生产控制1区，必须做好安全防护工作。

国家电网公司物资采购标准中专用技术规范中提出，配电终端应配备符合国调〔 2011〕168号文件的技术功能要求的非对称密钥技术的单向认证模块。

目前公司的配网终端还不具有加密模块，为了使配网终端产品更具有市场竞争力，需要尽快加入加密模块以满足需求。

参考资料

国家电网公司物资采购标准 (数据采集终端通用技术规范 2009年版)

国家电网公司物资采购标准(站所终端单元DTU专用技术规范 2010年版)

总体设计

配网网变压器监测终端安全防护，其主要目的：一、防止通过公共网络对

子站进行攻击，造成用户供电中断；二、同时防止通过公共网络和用户终端入侵

主站，造成更大范围的安全风险。

遵循《电力二次系统安全防护总体方案》及《配电二次系统安全防护方案》

168 号文件的要求，参照“安全分区、网络专用、横向隔离、纵向认证”的原则，

针对 10kV 以下中低压配电网自动化系统子站数量众多、遥控命令间隔较长等特

点，对采用公用通信方式的中低压配电网自动化系统，进行基于非对称加密的数

字证书单向身份鉴别技术等纵向边界安全防护。

清华同方利用自主研发的安全芯片 TF32A09 开发出适合配网终端安全防护的应用方案，目前技术已成熟，开始逐步应用于配网终端防护中。

 

针对如下几种安全防护模式 :

安全模式	下行报文	上行报文
单向认证 （兼容模式）	主站采用私钥签名，终端采 用主站公钥验签	按原有方式处理
单向认证 +对称加密（非 兼容模式）	主站采用私钥签名，并使用 对称密钥对数据进行加密， 终端使用同一对称密钥解密 后采用主站公钥验签	终端采用对称密钥 加密，主站采用同一 对称密钥解密（可 选）
单向认证 +非对称加密 （非兼容模式）	主站采用私钥签名、加密， 终端采用主站公钥解密、验 签	终端采用主站公钥 加密，主站用私钥解 密（可选） 清

清华同方基于自主安全芯片 TF32A09，采用国密安全算法，在满足国家电网对安全防护技术规范的基本前提下开发出一系列针对南网、国网相对应的解决方

案。现就 TF32A09 做详细介绍，请参考如下：

TF32A09系列芯片是同方股份有限公司采用国产主控32位CPU自主设计的一款高速度、高性能信息安全SoC芯片。该系列芯片集成了高速的安全加密算法和通讯接口，采用独有的数据流加解密处理机制，实现了对高速数据流同步加解密功能，在加解密速度上全面超越了国内同类型芯片。同时，该系列芯片还集成了键盘控制模块，可广泛应用于高端键盘和安全键盘的设计。

TF32A09系列芯片支持国家密码管理局指定的对称密码算法、非对称密码算法和杂凑算法，同时支持国际通用其他密码算法。该系列芯片集成度高、安全性强、接口丰富、加解密速度快、功耗低，具有极高的性价比。该系列芯片可广泛的应用于金融、电子政务、电子商务等安全领域。

TF32A09芯片内部架构

 

芯片特性

l  CPU 处理器

32位CPU内核

外部总线支持8位/16位/32位访问

l  片上存储单元

20KB SRAM

64KB ROM

512KB FLASH

l  DES/3DES 加密算法

支持DES、3DES算法

支持ECB模式和CBC模式

DES加解密速度27MByte/s @80MHz

3DES加解密速度11.5MByte/s @80MHz

l  RSA/SM2 协处理器

实现192~2048位的模加、模减、模乘、模逆、模幂等基本算术运算

l  RSA 非对称算法

支持1024/2048位RSA运算

1024位RSA签名次数32次/秒@80MHz，验证次数32次/秒@80MHz

l  SM1 算法    

分组长度为128位，密钥长度为128～256位

加解密速度43.7MByte/s@80MHz

l  SM2 算法    

加密算法分组长度128Byte，密钥长度为256位

签名算法分组长度256位、密钥长度为256位

l  SM3 算法    

摘要值长度为256位

l  SM4 算法

加解密速度29.5MByte/s@80MHz

l  随机数发生器

硬件随机数发生器，通过国际标准FIPS140-2测试

生成速度9.2MByte/s@80MHz

l  键盘控制接口（ KPP ）

20x10 阵列扫描，支持200个键，其中包括73个自定义键

支持任意4键同时按下

l  2 个 USB2.0  OTG 接口

支持高速480Mbps和全速12Mbps传输方式

USB1支持6个EndPoint，USB2支持3个EndPoint

l  2 个 SPI 主 / 从接口

每次中断可传输8位、16位或32位数据，传输速度400KByte/s

l  6 个外部中断 I/O

可作为6个独立可编程I/O复用

l  NFC （ Nandflash ）接口

带有ECC校验模块，可修正位数为8位或16位

支持4片NandFlash

l  其他接口

2路ISO-7816(T0)主/从接口

2路UART主从模式

1路I2C

1路16位的PWM

32个普通IO

 

Ø  产品亮点

l  高速数据流加密：集成了多种高速硬件加密算法模块，加密步骤由专有模块实现，使数据流加密的速度可高达25MB/s，有一个质的飞跃。

l  国内首家具有 USB 主接口：拥有两个USB-OTG 接口，可根据应用需求设置成Host、Device 或OTG；支持多达6 个端点，可设置成多重复合设备，最大限度地满足用户的设计需求。

l  算法全面：集成多种通信接口和多种信息安全算法（ SM1、SM2、SM3、SM4、3DES、RSA等），可实现高度整合的单芯片解决方案。

l  支持在线调试 : IDE 调试环境采用CodeWarrior，功能强大，上手方便。

l  产品系列化：多种产品型号可供客户选择。

 

Ø  资源对照表

资源 / 型号		TF32A9F AL0（LQFP-176）	TF32A9F BL1 （LQFP-100）	TF32A9F CL1 （LQFP-80）	TF32A9F DL1 （LQFP-64）
加密算法  / 硬件随机数	SM1	●	●	●	●
	SM2	●	●	●	●
	SM3	●	●	●	●
	SM4	●	●	●	●
	DES	●	●	●	●
	RSA	●	●	●	●
	真随机数发生器	●	●	●	●
存储	ROM(64K)	●	●	●	●
	RAM(20K)	●	●	●	●
	FLASH(512K)	●	●	●	●
通讯接口	USB2.0（ OTG）	● *2	● *2	● *1	● *2
	SPI	● *2	● *1	● *1	● *1
	7816	● *2	● *1	● *1	--
	UATR	● *2	● *1	● *2	● *1
	IIC	●	●	●	●
	NANDFLASH	●	--	●	--
	KPP	●	●	--	--
	PMW	●	●	●	●
	GPIO（不含复用）	● *32	● *10	● *16	● *2
其他资源	DMA	●	●	●	●
	INT(外部中断 )	● *6	● *6	● *6	● *6
	PIT	●	●	●	●
	Wrapper	●	●	●	●
仿真	JTAG	●	--	--	--