CN113746795B - 一种稳控系统站间数据安全交互系统和方法 - Google Patents

一种稳控系统站间数据安全交互系统和方法 Download PDF

Info

Publication number
CN113746795B
CN113746795B CN202011363057.XA CN202011363057A CN113746795B CN 113746795 B CN113746795 B CN 113746795B CN 202011363057 A CN202011363057 A CN 202011363057A CN 113746795 B CN113746795 B CN 113746795B
Authority
CN
China
Prior art keywords
message
module
application message
data
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011363057.XA
Other languages
English (en)
Other versions
CN113746795A (zh
Inventor
徐光虎
李龙龙
邱建
任祖怡
李鹏
夏尚学
张建新
王鹏翔
杨欢欢
王君超
赵含祺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
NR Engineering Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
NR Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd, NR Engineering Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202011363057.XA priority Critical patent/CN113746795B/zh
Publication of CN113746795A publication Critical patent/CN113746795A/zh
Application granted granted Critical
Publication of CN113746795B publication Critical patent/CN113746795B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Communication Control (AREA)

Abstract

本发明公开了一种稳控系统站间数据安全交互系统和方法,所述系统包括应用报文防误处理模块、加密模块、解密模块和应用报文校验模块。本发明对稳控系统站间交互数据进行了多重校验,并通过数据加密,使窃听者难于理解数据代表的物理含义和原始报文的校验机制,有效提高了数据交互的安全性。

Description

一种稳控系统站间数据安全交互系统和方法
技术领域
本发明属于电力系统自动化领域,特别涉及了稳控系统站间数据安全交互技术。
背景技术
稳控系统作为保护电力系统安全运行的第二道防线,可在电网遭遇单一严重故障情况下,通过站内装置及不同站间装置配合,采取切机、切负荷以及直流功率紧急调制等一系列紧急控制措施确保电网的安全稳定和避免事故规模的扩大。稳控系统一般是通过两个或两个以上变电站内的稳控装置相互配合以完成特定的策略功能,因此站间数据的安全交互是保证稳控系统可靠性的重要环节。但是,由于稳控站间传输所用的HDLC协议采用明文传输,未对帧内应用数据进行加密处理,仍存在站间交互的应用数据被窃听、篡改或仿造的风险,故研究一种稳控系统站间数据安全交互方法显得十分有意义。
发明内容
为了解决上述背景技术提到的技术问题,本发明提出了一种稳控系统站间数据安全交互系统和方法,有效提高稳控站间数据交互的安全性。
为了实现上述技术目的,本发明的技术方案为:
一种稳控系统站间数据安全交互系统,包括:
应用报文防误处理模块,用于接收稳控逻辑处理模块发来的应用报文,在其中增加用于对侧接收防误校验的字段,再发送至加密模块;
加密模块,用于接收应用报文防误处理模块发来的明文报文,将其加密转为密文,再发送至HDLC封装模块;
解密模块,用于接收HDLC解析模块发来的密文报文,将其解密转为明文,再发送至应用报文校验模块;
应用报文校验模块,用于接收解密模块发来的应用报文,对报文进行多重校验,将校验通过的数据发送至稳控逻辑处理模块,并统计应用报文未通过校验的数量和原因。
进一步地,所述用于对侧接收防误校验的字段包括应用报文头特征字0x5500/9900、本侧地址Addr_own、对侧地址Addr_oth、应用数据长度Length、报文校验和0xFFFF、报文序号Index。
进一步地,应用报文校验模块对解密模块发来的应用报文进行多重校验包括:
(1)校验应用报文头是否为0x5500/9900;
(2)校验应用报文中的本侧地址Addr_own和对侧地址Addr_oth是否与整定定值匹配;
(3)校验应用报文长度Length是否与约定长度一致;
(4)校验应用报文校验和是否为0xFFFF;
(5)校验应用报文中序号Index是否连续。
进一步地,当所述应用报文校验模块统计应用报文未通过校验的数量超过设定阈值时,系统告警提醒运维人员进行异常排查。
进一步地,所述加密模块将明文报文通过双方约定的秘钥和加密函数转为密文报文;设应用报文明文数据为An,约定两个关键字Key1、Key2,则加密后的密文数据Bn
Bn=(An+Key1)^Key2
其中,^表示异或运算。
进一步地,所述解密模块将HDLC解析模块解析出的密文报文通过双方约定的秘钥和解密函数转为明文:
An=Bn^Key2-Key1
一种稳控系统站间数据安全交互系统,包括以下步骤:
步骤1:应用报文防误处理模块接收稳控逻辑处理模块发来的应用报文,在其中增加用于对侧接收防误校验的字段,再发送至加密模块;
步骤2:加密模块接收应用报文防误处理模块发来的明文报文,将其加密转为密文,再发送至HDLC封装模块;HDLC封装模块将数据封装后经电力传输网传输至对侧稳控装置;
步骤3:解密模块接收HDLC解析模块发来的密文报文,将其解密转为明文,再发送至应用报文校验模块;
步骤4:应用报文校验模块接收解密模块发来的报文,对报文进行多重校验,将校验通过的数据发送至稳控逻辑处理模块,并统计应用报文未通过校验的数量和原因。
采用上述技术方案带来的有益效果:
本发明经过了多重校验和数据加密,使窃听者难于理解数据代表的物理含义和原始报文的校验机制,篡改或仿造报文的难度显著加大,有效提高稳控站间数据交互的安全性。
附图说明
图1是稳控系统典型通道架构示意图;
图2是稳控系统站间数据安全交互方法流程示意图。
具体实施方式
以下将结合附图,对本发明的技术方案进行详细说明。
如图1所示,稳控系统一般是为了解决区域电网的稳定问题,由安装在两个或两个以上变电站内的稳控装置相互配合而组成的系统。
本发明设计了一种稳控系统站间数据安全交互系统,如图2所示,包括:
应用报文防误处理模块,用于接收稳控逻辑处理模块发来的应用报文,在其中增加用于对侧接收防误校验的字段,再发送至加密模块;
加密模块,用于接收应用报文防误处理模块发来的明文报文,将其加密转为密文,再发送至HDLC封装模块;
解密模块,用于接收HDLC解析模块发来的密文报文,将其解密转为明文,再发送至应用报文校验模块;
应用报文校验模块,用于接收解密模块发来的应用报文,对报文进行多重校验,将校验通过的数据发送至稳控逻辑处理模块,并统计应用报文未通过校验的数量和原因。
在本实施例中,优选地,所述用于对侧接收防误校验的字段包括应用报文头特征字0x5500/9900、本侧地址Addr_own、对侧地址Addr_oth、应用数据长度Length、报文校验和0xFFFF、报文序号Index。
在本实施例中,优选地,所述加密模块将明文报文通过双方约定的秘钥和加密函数转为密文报文;设应用报文明文数据为An,约定两个关键字Key1、Key2,则加密后的密文数据Bn
Bn=(An+Key1)^Key2
其中,^表示异或运算。
举例说明,双方约定Key1=100,Key2=0x5555,则稳控站A向站B发送的应用报文加密前后的数据如下表所示:
在本实施例中,优选地,所述解密模块将HDLC解析模块解析出的密文报文通过双方约定的秘钥和解密函数转为明文:An=Bn^Key2-Key1
稳控站B接收到站A发来的应用报文解密前后的数据如下表所示:
序号 站B接收(原始) 站B接收(解密)
0 0x9D 0x55+100(报文头+对侧地址)
1 21625 200(本侧地址)
2 43834 65035(命令1)
3 20761 1000(命令2)
4 43310 64535(命令3)
5 20965 1100(数据1)
6 23977 2200(数据2)
7 22557 3300(数据3)
8 17601 4400(数据4)
9 16565 5500(数据5)
10 20345 6600(数据6)
11 0x04A4 0x518D(校验和)
在本实施例中,优选地,应用报文校验模块对解密模块发来的应用报文进行多重校验包括:
(1)校验应用报文头是否为0x5500/9900;
(2)校验应用报文中的本侧地址Addr_own和对侧地址Addr_oth是否与整定定值匹配;
(3)校验应用报文长度Length是否与约定长度一致;
(4)校验应用报文校验和是否为0xFFFF;
(5)校验应用报文中序号Index是否连续。
在本实施例中,优选地,当所述应用报文校验模块统计应用报文未通过校验的数量超过设定阈值时,系统告警提醒运维人员进行异常排查。
实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。

Claims (3)

1.一种稳控系统站间数据安全交互系统,其特征在于,包括:
应用报文防误处理模块,用于接收稳控逻辑处理模块发来的应用报文,在其中增加用于对侧接收防误校验的字段,再发送至加密模块;
加密模块,用于接收应用报文防误处理模块发来的明文报文,将其加密转为密文,再发送至HDLC封装模块;
解密模块,用于接收HDLC解析模块发来的密文报文,将其解密转为明文,再发送至应用报文校验模块;
应用报文校验模块,用于接收解密模块发来的应用报文,对报文进行多重校验,将校验通过的数据发送至稳控逻辑处理模块,并统计应用报文未通过校验的数量和原因;
所述用于对侧接收防误校验的字段包括应用报文头特征字0x5500/9900、本侧地址Addr_own、对侧地址Addr_oth、应用数据长度Length、报文校验和0xFFFF、报文序号Index;
应用报文校验模块对解密模块发来的应用报文进行多重校验包括:
(1)校验应用报文头是否为0x5500/9900;
(2)校验应用报文中的本侧地址Addr_own和对侧地址Addr_oth是否与整定定值匹配;
(3)校验应用报文长度Length是否与约定长度一致;
(4)校验应用报文校验和是否为0xFFFF;
(5)校验应用报文中序号Index是否连续;
所述加密模块将明文报文通过双方约定的秘钥和加密函数转为密文报文;设应用报文明文数据为An,约定两个关键字Key1、Key2,则加密后的密文数据Bn为:
Bn=(An+Key1)^Key2
其中,^表示异或运算。
2.根据权利要求1所述稳控系统站间数据安全交互系统,其特征在于,当所述应用报文校验模块统计应用报文未通过校验的数量超过设定阈值时,系统告警提醒运维人员进行异常排查。
3.根据权利要求1所述稳控系统站间数据安全交互系统,其特征在于,所述解密模块将HDLC解析模块解析出的密文报文通过双方约定的秘钥和解密函数转为明文:
An=Bn^Key2-Key1
CN202011363057.XA 2020-11-28 2020-11-28 一种稳控系统站间数据安全交互系统和方法 Active CN113746795B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011363057.XA CN113746795B (zh) 2020-11-28 2020-11-28 一种稳控系统站间数据安全交互系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011363057.XA CN113746795B (zh) 2020-11-28 2020-11-28 一种稳控系统站间数据安全交互系统和方法

Publications (2)

Publication Number Publication Date
CN113746795A CN113746795A (zh) 2021-12-03
CN113746795B true CN113746795B (zh) 2023-08-08

Family

ID=78728132

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011363057.XA Active CN113746795B (zh) 2020-11-28 2020-11-28 一种稳控系统站间数据安全交互系统和方法

Country Status (1)

Country Link
CN (1) CN113746795B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111273A (zh) * 2010-12-30 2011-06-29 中国电力科学研究院 一种基于预共享的电力负荷管理系统数据安全传输方法
CN107483444A (zh) * 2017-08-22 2017-12-15 北京邮电大学 一种智能电网信息传输安全防护装置及安全防护方法
CN107835196A (zh) * 2017-12-13 2018-03-23 成都长城开发科技有限公司 一种基于hdlc的安全通信方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9100457B2 (en) * 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111273A (zh) * 2010-12-30 2011-06-29 中国电力科学研究院 一种基于预共享的电力负荷管理系统数据安全传输方法
CN107483444A (zh) * 2017-08-22 2017-12-15 北京邮电大学 一种智能电网信息传输安全防护装置及安全防护方法
CN107835196A (zh) * 2017-12-13 2018-03-23 成都长城开发科技有限公司 一种基于hdlc的安全通信方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
安全稳定控制系统在应用中相关问题的探讨;陈茂英;《继电器》;20071201;第35卷;第427页第2.3节 *

Also Published As

Publication number Publication date
CN113746795A (zh) 2021-12-03

Similar Documents

Publication Publication Date Title
Majdalawieh et al. DNPSec: Distributed network protocol version 3 (DNP3) security framework
CN107483444B (zh) 一种智能电网信息传输安全防护装置及安全防护方法
Wright et al. Low-latency cryptographic protection for SCADA communications
CN106789015B (zh) 一种智能配电网通信安全系统
CN106898065A (zh) 一种智能门锁的开锁方法
US20110162081A1 (en) Method and device for protecting the integrity of data transmitted over a network
CN106656510A (zh) 一种加密密钥获取方法及系统
MX2007013862A (es) Sistema y metodo para convertir datos seriales en paquetes de datos seguros, configurados para transmision inalambrica en un sistema de energia.
CN104811427B (zh) 一种安全的工业控制系统通信方法
CN103885853B (zh) 基于双cpu的轨道交通同步数据表决系统及方法
CN106549502B (zh) 一种配电安全防护监控系统
CN101986726A (zh) 一种基于wapi的管理帧保护方法
Chothia et al. An attack against message authentication in the ERTMS train to trackside communication protocols
CN111147257A (zh) 身份认证和信息保密的方法、监控中心和远程终端单元
Kent Encryption-based protection for interactive user/computer communication
CN113746795B (zh) 一种稳控系统站间数据安全交互系统和方法
CN113472520A (zh) 一种ModbusTCP协议安全增强方法及系统
CN106603499A (zh) 一种配电终端的安全通信改造方法及系统
CN103517162B (zh) 一种基于xpon的通信系统及方法
CN111541699B (zh) 一种基于iec102通信规约安全传输数据的方法
CN111935112B (zh) 一种基于串行的跨网数据安全摆渡设备和方法
CN110795754B (zh) 一种基于fpga的维护信息安全方法
CN116319365A (zh) 一种设备监控信息跨安全区传输及自动建模系统
CN104363098B (zh) 一种基于数字加密的分布式监控终端信息安全防护方法
CN104247326A (zh) 现场总线数据传输

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant