安全芯片NRSEC3000在FTU融合终端中的应用

配网自动化馈线终端（FTU）主要用于开断、关合电力系统中的负荷电流、过载电流及短路电流，适用于变电站及工矿企业配电系统中的保护和控制，以及农村电网等频繁操作的场所。可以完成开闭所、开关站、电缆分界室及配电室、低压变电站内部馈线的监控，能够识别馈线故障，与配电网自动化主站或子站系统配合，可实现多条线路的采集与控制，故障检测、故障定位、故障区域隔离及非故障区域恢复供电，有效提高供电可靠性。

FTU 是装设在馈线开关旁的开关监控装置。这些馈线开关指的是户外的柱上开关，例如10kV线路上的断路器、负荷开关、分段开关等。一般来说，1台FTU要求能监控1台柱上开关，主要原因是柱上开关大多分散安装，若遇同杆架设情况，这时可以1台FTU监控两台柱上开关。

随着能源互联网建设的不断推进，新型电力用能设施大量接入，电网形态越来越复杂，对电网通信安全也提出了更高的要求。传统的馈线终端的通讯方式多采用RS232、RS485或电力专线，因此在数据传输过程中存在安全隐患。

为解决上述问题，本文介绍一种具有加密功能的FTU融合终端，包括控制模块以及与控制模块连接的计量模块、第一加密模块、第二加密模块、通讯模块；

FTU数据传输功能如下：

能与上级站进行通信，将采集和处理信息向上发送并接受上级站的控制命令。

和上级的校时。

其他终端的信息向上转发。

电能量信息向上转发。

主动上传事故信息（可选功能）。

具有当地维护通信接口。

通信规约：支持DL/T 634.5101-2002（IEC60870-5-101）、DL/T634.5104-2002（IEC60870-5-104）、DL/T 451-91循环式远动规约、DNP3.0、SC1801、MODBUS等多种通信规约，并可按需要进行扩充。

通信接口：RS-232/485、工业以太网、CAN。

通信信道：可支持光纤、载波、无线扩频、无线数传电台、CDMA、GPRS以及ADSL等多种通讯形式，由用户任选。

计量模块实时采集馈电线路中线路数据，并将线路数据传输到控制模块；控制模块接收线路数据后将线路数据传输到第一加密模块；第一加密模块对线路数据加密并传输到第二加密模块所述第二加密模块对加密后的线路数据进行量子加密并传输到通讯模块；通讯模块将量子加密后的线路数据传输到主站。

发送数据时，首先经过第一加密模块进行第一次加密，随后经过第二加密模块进行第二次加密，再通过通讯模块发送，从而保证了数据传输的安全性。二次加密的方式更加提供了数据传输的安全性。

在本例中，第二加密模块调用安全加密芯片进行数据加密，然后由密钥云终端进行二次加密，通过5G/有线网络将数据上传至主站前置服务器，前置服务器确认加密消息，发到密钥服务器解密，然后返回至前置服务器，再发送到第一加密模块进行解密。

装置中通讯模块采用5G通信模块，5G通讯模块接收主站发来的加密报文发送至控制模块，控制模块转发至第一加密模块进行解密，解密后的明文返回至控制模块，控制模块分析明文并回复报文，回复的报文发送至第一加密模块进行加密，再将加密后的经5G通讯模块反馈给配网主站。

在本例中，第一加密模块型号为NRSEC3000、下图是具有加密功能的FTU融合终端的整体框架图。

安全芯片NRSEC3000采用32位嵌入式RISC架构的CPU。特点是低功耗、高性能、高代码密度，具有独立的存储器保护单元（mpu）和存储器加密单元（meu），是高性能、低功耗、具有丰富的内部协处理器和对外接口的安全芯片。

芯片内部实现了国家商用密码产品所需的SM2和SM1算法专用加密模块、DES/3DES加密模块和RSA公钥算法引擎。另外，芯片提供32位硬件加密处理器，可用于实现公钥算法，摘要算法以及AESDES等对称算法。芯片内嵌32位真随机数发生器TRNG，可满足COS开发者的密码学应用，可节约软件开销，提高软件实现效率。

NRSEC3000产品特点

1、芯片拥有丰富的对外接口，包括：7816（智能卡接口、一种串口，半双工）主/从收发器，可实现t=0和t=1协议，支持多种通信速率；硬件spi（一种串口，全双工）主/从模块。

2、芯片提供增强的安全特性。通过对存储器管理单元mmu进行配置，完成工作模式设置及相关权限设置，可实现由硬件保证安全性的一卡多应用。另外，芯片提供了包括电压、频率检测机制，程序和数据加密存储机制以及代码保护机制等安全机制，以对抗物理攻击、剖片探测等。

3、芯片是高性能、低功耗、具有丰富的内部协处理器和对外接口。

产品性能

SM2签名：2.34s/次

SM 1加解密：3.38mb/s

SM2密钥产生：1.62 s/次

SM 2签名验证：4.68s/次

SM 2公钥运算：4.67s/次

SM2私钥运算：1.63 s/次

审核编辑：汤梓红