科东加密卡PT2000E-G

 PT2000E-G 电力专用加密卡
1 系统组成
硬件平台

采用非Intel指令集的处理器, 主频不低于1GHz,双核;

内存不低于2GB;

Flash不低于1GB

采用双核加密芯片,加密算法为“SSX06型密码算法芯片”的PCI加密卡作为网络报文加密解密、证书签名验签的“安全模块”;

 

操作系统

代码可控的经过裁减内核的Linux 作为操作系统。

 

配置软件

纵向加密卡提供了良好的用户接口和管理界面。方便简易的配置界面,可以使该装置的配置简单易行。配置信息包括对装置的设备基本信息的配置、装置的网络配置,高可用信息,日志功能的定制和配置。

 

2 内部硬件模块


PCI-E总线属于高速串行总线, 采用低压差分信号(LVDS,Low Voltage Differential Signal)进行数据传输;

 

XILINX公司的Virtex5芯片作为主FPGA芯片,此款芯片同时可以提供一个PCI-E 4x接口;FPGA本身提供一个16C550D兼容的UART IP核,然后通过一个RS232收发器提供RS232串口。

 

加密卡左侧有一个USB接口,需要兼容USB 2.0规范,FPGA只做报文转发,连接USB-KEY的报文部分由驱动实现。USB采用CY7C76200扩展,CY7C76200与FPGA之间的接口为Local Bus。

 

加密卡需提供RS232接口,如可能,最好提供完整的串口协议标准。由加密卡左侧以DB9方式引出。

 

Local Bus总线又称为CPU总线,本卡的DSP芯片使用了32位数据线和20位地址线。

 

随机数发生器选用WNG-4芯片。数字物理噪声源,用于产生真随机数序列。采用3.3V供电,数据输出率为100Kbps。

 

3 接口规范
RJ45转RS232 CONSOLE的接口;

 

一个USB2.0接口,Ukey验证登陆使用;

 

4 电气性能
电源

插卡,由服务器供电。

 

环境规范

运行温度:-30℃~+80℃

操作湿度:60%~70%

 

大气压力:

86kPa~106kPa

 

5 几何及物理特性
尺寸:2U卡

重量:300g

 

6 抗干扰性
辐射电磁场抗扰度 :能承受GB/T15153.1中规定的严酷等级为3级(6V/m)的辐射电磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。

 

快速瞬变抗扰度:电源和信号都能承受GB/T15153.1中规定的严酷等级为3级的快速瞬变干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。

 

脉冲群抗扰度装置: 能承受GB/T15153.1中规定的严酷等级为3级的1MHz和100kHz的脉冲群干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。

 

静电放电抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的静电放电干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。

 

浪涌(冲击)抗扰度: 能承受GB/T15153.1中规定的严酷等级为3级的浪涌(冲击)干扰实验,符合GB/T17626.1总则9中“a)”规定的要求.

 

机械振动装置: 能承受GB/T11287-2000中3.2中规定的严酷等级为1级振动实验,性能符合该标准5中规定的要求。

 

工频磁场装置: 能承受GB/T15153.1中规定的严酷等级为4级的工频磁场干扰实验,性能符合GB/T17626.1总则9中“a)”规定的要求。

 

介质强度装置: 能承受GB/T15153.1中规定的严酷等级为3级的绝缘强度(不小于5MΩ)和耐压强度(电源输入回路不小于1500V)实验,性能符合GB/T17626.1总则9中“a)”规定的要求。

 

稳定性装置: 能承受GB/T13729中3.9规定的稳定性实验;

 

其他参考标准

IEC-1000-4-2 (ESD)

IEC-1000-4-3 (辐射敏感性)

IEC-1000-4-4 (电快速瞬变)

IEC-1000-4-5 (电涌)

IEC-1000-4-6 (谐波)

7 基本功能
电力专用加密卡中使用的非对称密码功能部分,是基于证书的公私钥验证体系,与现在已经投入运行的各个网省电力调度中心的“电力调度证书服务系统”相配合。证书的格式完全符合X509 证书规范,与“电力调度证书服务系统”各个厂家所签发的证书完全兼容。

 

专有加密通信协议:加密认证网关间通信协议为国调组织多位专家联合设计,并经权威机构的多位院士审查论证,通信协议内容同样高度保密。

 

在电力专用加密卡通信加密协议包括会话密钥协商和通信加密两个阶段。第一阶段的密钥协商需要完成电力专用加密卡之间的认证和用于通信加密的会话密钥协商。第二阶段完成加密数据的通信。

 

电力专用纵向加密认证网关能够实现“电力二次系统安全防护总体方案”中要求的安全防护功能,满足二次系统安全防护要求;

 

我方提供的“电力专用加密卡”在和不同厂家之间的纵向加密认证网关、装置已经能保证互连互通;

 

电力专用加密卡能被其对应的管理中心管理, 具备可管理性;

 

已经通过电力系统指定单位的电磁兼容性检测;

 

本身应能够一定程度防御常见的网络攻击,包括ARP Attack、Ping Attack、Ping of Death Attack、Smurf Attack、Unreachable Host Attack、Land Attack、Teardrop Attack、Syn Attack等;

 

在对电力专用加密卡进行管理时,需要使用d5000环境对应用户名和密码的三方认证过程。管理人员必须持有可登陆管理的密码,才能登陆电力专用加密卡模块, 进行有效的管理配置。

 

提供对装置内配置的加密隧道监视的功能,

 

8 产品特点
作为对电力专用的加密卡,很好的结合了对电力系统内专用协议的兼容性,支持"IEC-104","DL476-92"的协议,可以很好的对以上协议进行解析和保护。

 

在电力专用加密卡的工作模式支持多种模式, 充分考虑了该装置在部署过程中的不同网络情况的要求。可以完全透明的接入该装置,不用对原来网络的结构有任何改变。

 

电力专用加密卡在工作时 ,支持报文的抗重播功能, 有效的禁止报文重放;

 

电力专用加密卡提供了良好的监视功能, 能对设备的状态信息、隧道的信息、基于隧道之上的安全策略信息进行监视。

 

方便的和管理中心进行连接和信息反馈,多次和管理中心的研制单位“国家电网公司信息安全实验室”进行联调,完全支持该管理中心的查询和配置。 快速的信息反馈有力的支持了管理中心的可管理性。

 

良好的在线帮助, 有效的支持用户的可操作性和对装置操作步骤的完整性。

 

电力专用加密卡对进行的操作和发生的事件均有日志记录,格式完全按照“SYSLOG”规范。 日志信息包括时间、事件类型,记录内容。该日志内容可以分别通过不同用户的需求和配置, 通过“串口”或者“网口”进行日志信息的发布和相应报警信息的引出。可以导出日志信息, 备份到本地硬盘中。

 

提供查看内部证书信息的命令, 将已经导入的远程证书信息、本地设备证书、操作员证书、管理中心证书等证书信息。

 

提供本地进程监视和终止的功能。可以在本地管理的图形界面中,查看本机内部的进程状态信息。只要输入友好终止的进程号, 就可以终止本地的某个进程。

 

对于初始化状态和装置的正常运行状态的转换。管理软件可以简洁的通过“初始化向导”配置将设备的初始化状态转入“正常运行状态”。

 

支持管理中心发出的监视和管理报文。