加密模块

ISU-208N/G
配电终端加密模块
技术使用说明书
V2.1
特别提示
尊敬的客户：
衷心感谢您选用本公司的产品！
我们承诺在保证产品性能及品质的同时，将竭诚为您提供完善的技术服务。

为了让您更好地使用本产品，请在设备到货后仔细阅读以下提示内容，并在安装前阅读说明书全文。

工程供货配电终端加密模块，现场接线时，请查看随机的《端子接口定义图》图纸，具体配置以随机图纸为准。

在装置通电运行之前，应仔细检查接线是否正确。

装置接地线柱应可靠地经多股铜导线接到接地网上去，以避免装置外壳带电对人身造成伤害，并使装置的抗浪涌干扰电路正常的发挥作用。

智昊不断地对其产品进行改进完善，由于技术的不断进步及国网产品标准的不断更新，与实际产品可能存在差异。

欢迎您对本公司的产品提出宝贵意
见。

◆包装箱有无损坏；
◆设备外表有无明显的破裂或损坏；
◆产品上的设备名称、型号是否与订货相符；
◆装箱清单所列物品、随机文件是否齐全及与实物相符。

本说明书包含的所有内容均受版权法的保护，未经广州市智昊电气技术有限公司的书面授权，任何组织和个人不得以任何形式或手段对整个说明书和部分内容进行复制和转载。

目录
1 产品概述 (4)
1.1产品特点 (4)
2主要功能 (5)
2.1 基本功能 (5)
2.2访问控制 (6)
2.3状态监视 (6)
2.4程序升级 (6)
2.5日志功能 (6)
2.6无线通信功能 (7)
3 技术参数 (7)
3.1 ISU-208N技术参数 (7)
3.2 ISU-208G技术参数 (9)
4结构形式及接口说明 (11)
4.1外形结构与尺寸 (11)
4.2指示灯与接口定义 (11)
4.2.1 指示灯定义说明 (11)
4.2.2 接口定义说明 (12)
5管理维护工具 (13)
1 产品概述
ISU-208N/G是针对配电自动化终端信息安全升级改造自主研发的终端通信硬加密单元系列产品。

主要应用于配电终端的通信加固升级场合，采用内嵌安全芯片、4G全网通通讯模块设计理念，满足配电站所终端（DTU）和配电馈线终端（FTU）的通信安全升级要求。

支持数据标准化解析封装、通信服务控制管理、双向身份认证、数据加密保护、终端证书管理等功能，可实现终端与主站之间的数据，满足国网配电自动化系统标准通信协议（101/104）及信息安全防护要求的配电终端通信加密模块。

支持移动、联通、电信的2G/3G/4G全频段无线通信。

针对不同的安装方式，加密模块分为2种类型，即外置式ISU-208N与嵌入式ISU-208G。

其外形结构效果分别如下图1所示：
ISU-208N ISU-208G
图1 模块结构效果图
1.1产品特点
即插即用、坚固耐用，便于批量生产和批量测试，满足配电终端安全防护升级要求，可与DTU/FTU/TTU配套使用。

支持嵌入式安装方式或外置模块式安装方式，采用网络通信时，具备与终端IP、MAC绑定功能。

产品通过了2017年国家电网公司开展的配电终端设备信息安全相关测试与验证。

采用模块化、可扩展、低功耗功能、高度集成、配置灵活、免维护的设计标准，适应复杂运行环境，支持嵌入式安装方式或模块式安装方式，具有高可靠性和稳定性。

支持101、104通信规约识别功能，且报文封装格式满足《国网配电终端安全
报文定义》，与终端的交互满足《国网配电终端安全防护实施方案》。

通信介质与规约多样化，满足国网配电自动化系统标准通信协议（101/104）及信息安全防护要求。

适用于国内各种配电自动化终端。

支持数据标准化解析封装、通信服务控制管理、双向身份认证、数据加密保护、终端证书管理等功能。

内嵌了标准的101/104通信协议及配电终端安全芯片，对上对下具有统一的接口，与配电终端采用标准化简易协议，简单易用，可简化配电自动化设备厂商在规约与信息安全方面开发工作量，减少现场投运及维护工作量。

具备运行工况就地指示功能，方便运行调试；
软件采用嵌入式实时操作系统linux平台，模块化系统结构，性能稳定可靠，增添功能、升级方便；
支持自诊断、自恢复功能，重要芯片等可以进行自诊断，异常时能上送报警信息，软件异常时能自动复位；
全部采用工业级元器件、所有与外界的连接均做到了充分的电气隔离，并内置抗雷击保护电路和电源滤波器，专业的EMC 设计。

2主要功能
2.1 基本功能
(1)具有身份认证和数据加解密功能；满足《国网配电自动化系统网络安全防护方
案》相关要求；采用配电专用安全芯片实现对终端密钥的存储、管理以及密码运算,利用基于数字证书的认证技术，实现终端和主站/网关之间的双向身份鉴别,利用基于对称密码算法的数据加密和消息认证技术，实现配电业务数据的保密性和完整性保护。

(2)具有协议过滤功能；具备对IEC101、IEC104规约解析功能，对协议层的字段
定义进行检查，仅允许101/104格式报文通过。

具备对通信业务协议及端口控制功能，禁止所有与业务通信不相关的所有协议及端口（只允许开放2404上送端口及开放必要的SSH服务通信端口）。

(3)具有链路中断检测及网络状态同步功能；终端网络状态与加密模块网络状态应
保持一致。

(4)具有本地运维功能；支持包括导出证书请求文件、参数配置等本地运维功能，
满足《国网配电终端安全防护实施方案》提出的与运维工具单向认证的功能；
内置配电终端信息安全芯片，对主站支持双通信，与配电终端单元采用串口或以太网口方式通信。

(5)配有硬件看门狗，可实时监控程序运行状态，异常时自动复位，同时具备通信
中断自动重连功能。

(6)支持《国网配电终端证书管理工具应用方案》相关操作。

(7)对设备CPU、内存、存储空间等系统资源使用状态及主要功能模块运行状态进
行监测。

(8)具有一定的监测攻击事件的能力。

2.2访问控制
根据配置主站IP、终端IP、端口等策略信息，控制网络访问权限，过滤非法IP。

2.3状态监视
(1)具有电源指示灯和设备运行工况指示灯；
(2)具有通信连接状态监视功能，具备通信状态指示灯；
(3)具备通信通道监视功能，可监视网口，串口上下行数据；
(4)具备通信协议监控功能，满足101、104通信规约识别与控制。

2.4程序升级
(1)模块可通过运维串口进行程序升级。

升级时模块采用基于数字证书的单向身份
认证技术对升级设备进行认证；
(2)模块支持对要升级的程序进行合法性验证（验证程序检测机构的签名正确性），
验证正确后，才可以进行程序包升级；
2.5日志功能
加密模块支持运行状态日志记录及循环存储（≥256条）功能，日志信息类型
包含装置上电/重启记录、与主站和配电终端的连接建立与断开记录、通信确认超时/报文错误等通信过程异常记录、加密模块内部自检记录、装置参数修改记录、软件版本升级记录等。

2.6无线通信功能
模块内置4G全网通通讯模块（7模），支持移动、联通、电信的2G/3G/4G全频段无线通信，可实现终端与主站之间无线数据通信。

3 技术参数
3.1 ISU-208N技术参数
3.2 ISU-208G技术参数
4结构形式及接口说明
4.1外形结构与尺寸
ISU-208N（小型）采用小巧设计思路，方便安装于空间有限的应用场景中，具有电源以及若干个通信状态指示灯、2*RJ45以太网接口、3.81MM串口接口端子、1*RJ45维护调试口、工作电源接口等。

外形结构尺寸如下图所示：
ISU-208N 外形结构尺寸图
ISU-208G 采用小巧裸板式设计思路，方便安装于罩式FTU中，具有电源以及若干个通信状态指示灯、8P接口插座等。

外形结构尺寸如下图所示：
ISU-208G 外形结构尺寸图
ISU-208G 外形结构尺寸图
4.2指示灯与接口定义
4.2.1 指示灯定义说明
单元指示灯定义分别如表4.2.1、4.2.2。

表4.2.1 ISU-208N指示灯定义
表4.2.2 ISU-208G 指示灯定义
4.2.2 接口定义说明
单元接口定义分别如表4.2.3、4.2.4。

表4.2.3 ISU-208N接口定义
表4.2.4 ISU-208G接口定义
5管理维护工具
ISU-208N/G在正常使用前，需要进行一系列的参数的配置，以满足不同应用场景的需要。

参数配置可通过上位机进行操作。

当您获取到管理工具的软件包之后，按照正常的应用安装方式进行安装即可。

具体软件的使用详见《加密单元管理维护工具使用手册V1.0》。