CN101807818B - 基于id的配电网自动化通信系统的设备接入认证方法 - Google Patents
基于id的配电网自动化通信系统的设备接入认证方法 Download PDFInfo
- Publication number
- CN101807818B CN101807818B CN201010114733XA CN201010114733A CN101807818B CN 101807818 B CN101807818 B CN 101807818B CN 201010114733X A CN201010114733X A CN 201010114733XA CN 201010114733 A CN201010114733 A CN 201010114733A CN 101807818 B CN101807818 B CN 101807818B
- Authority
- CN
- China
- Prior art keywords
- work station
- key
- distribution
- information
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了属于配电网自动化通信系统范围的一种基于ID的配电网自动化通信设备接入认证方法。配电自动化控制中心、区域工作站和配电终端单元,建立一个集中控制模式的配电自动化通信网络;配电自动化控制管理中心的密钥管理服务器进行密钥分配,区域工作站和配电终端单元比较解密数据是否一致而实现接入认证,从而实现任何装配到配电网自动化通信系统中的设备必须获得密钥管理服务器颁发的密钥,才能装配到系统之中的功能。本发明适合大规模的配电网络应用,并且简化了密钥的管理,利用了区域工作站的通信和计算处理能力,解决了配电终端单元计算和通信能力有限的问题。实现设备的双向认证,使得安全性增加,提高配电网络设备接入的安全性。
Description
技术领域
本发明涉及配电网自动化领域,尤其是一种配电网自动化通信系统的设备接入认证方法。
技术背景
近年来,计算机技术、信息处理技术和通信技术的迅速发展,对电力系统产生了巨大的影响:一方面,开放、互连和标准化已成为电力工业中信息系统的一种发展趋势,另一方面,有关数字化电力系统、智能电网等各种新概念不断被提出,并已成为输配电网应用技术中令人关注的热点。数字化时代的电力系统,电力网承载电能流和信息流,信息流导引电能流,电能流依附信息流。未来电力系统的安全运行将建立在设备的安全运行和信息的安全维护基础上,而且信息的安全性在很大程度上意味着电网控制系统的安全性。如何有效保障电力系统及其网络的信息安全已成为一项非常紧迫的任务。
密码技术是保障电力系统信息安全的核心技术。IEC组织TC57技术委员会第15工作组制定的IEC62361安全国际标准就是在通信的多个层次上利用密码技术进行认证或加密。然而IEC62361并未给出一套具体且完整的实现方案。
配电网是电力系统发电、输电和配电三大系统之一。配电网信息数据在建设数字化电网中的重要性日渐显露,并且在未来将日益突出。
目前一般网络中存在的安全威胁同样存在于电力通信系统中。配电网自动化通信系统存在着信息数据被截获、伪造、篡改等诸多问题,导致系统的可控性、可测性、机密性、完整性等产生了新的变数,需要采取相应的措施加以解决。在解决网络信息安全问题的所有机制与方案中,合法使用的设备通常又是保证系统安全的最基本的一步。配电自动化通信系统具有网络结构相对简单、设备之间的拓扑关系相对固定以及电力自动化系统严格的集中化管理等特点,使得其安全问题又有其独特之处。若采用基于对称密码算法的预共享密钥管理方法,由于预共享密钥不便于管理,一般不适合于规模较大的配电网络。若采用基于PKI的密钥管理方法,则需要配电终端单元具备具有较强的计算及通信能力。而目前的配电终端单元许多都不具备这种能力。
1984年,Shamir提出了基于身份加密的密码体制,其优点是避免了传统基于证书的PKI系统使用证书带来的维护成本高、证书链处理过于繁琐等弊点,而利用椭圆曲线中的Weil对或Tate对构造双线性对为基于身份的密码体制实用化奠定了基础。基于此,本发明提供一种基于ID的配电网自动化通信系统的设备接入认证方法。
发明内容
本发明的目的是提供一种基于ID的配电网自动化通信系统的设备接入认证方法,其特征在于,该方法包括以下步骤:
1)密钥分配
①密钥服务器根据接入设备的ID信息为注册的区域工作站设备生成公私钥对,并将生成的公私钥对注入该区域工作站;在基于ID的密码体制中,基于ID的私钥等于主密钥和基于ID的公钥的标量乘;
②密钥服务器根据接入设备的ID信息为注册的终端设备-配电终端单元计算基于ID的私钥,利用双线性配对的双线性性质,根据该终端设备所属区域工作站的公钥及为该终端设备生成的私钥计算出认证密钥k并注入终端设备;
③密钥服务器将注册的终端设备的ID信息发送给所属区域工作站,区域工作站将终端设备的ID信息存入存储列表;
④密钥服务器将撤消的终端设备的ID信息发送给所属区域工作站,区域工作站删除存储列表中该终端设备的ID信息;
2)设备认证
①终端设备向区域工作站发送连接请求消息,该消息包含终端设备的ID信息;
②区域工作站接收终端设备的连接请求消息,并查询终端设备存储列表中该终端设备的ID信息是否存在,若存在则继续下一步骤,否则终止该认证过程;
③区域工作站根据所收到的终端设备的ID信息和自己的私钥,利用双线性性质计算出与终端设备的共享的认证密钥k;
④区域工作站产生一随机数ni,并用认证密钥k加密,得到密文Ek(ni),发送Ek(ni)给终端设备;
⑤终端设备利用自己的认证密钥k解密Ek(ni),获得随机数ni,同时终端设备生成一随机数nj,用自己的认证密钥k加密nj得到密文Ek(nj),并发送密文Ek(nj)和随机数ni给区域工作站;
⑥区域工作站首先比较收到的ni与自己先前产生的随机数是否相同,若相同,该终端设备身份的合法性得到确认,区域工作站利用认证密钥k解密出随机数nj,并将nj返回给配电终端单元;
⑦配电终端单元比较收到的nj与自己先前产生的随机数是否相同,若相同,则区域工作站身份的合法性得到确认。
所述步骤2)设备认证中步骤⑤的认证密钥k与步骤③、④的认证密钥k根据双线性对的性质是相等的。
所述步骤2)设备认证中④、⑤、⑥步骤中的加解密算法采用的是对称密码体制。
所述区域工作站和终端设备分别包括随机数生成单元,用于生成和发送随机数。
所述终端设备存储列表存储终端设备的ID信息。
本发明的有益效果是适合大规模的配电网络应用,并且简化了密钥的管理,利用了区域工作站的通信和计算处理能力,解决了配电终端单元计算和通信能力有限的问题。本发明的优点如下:
第一,使用了密钥管理服务器,密钥集中管理,方便维护,密钥管理服务器可以安置在可信任机构,适合配电网络的应用环境;
第二,区域工作站和配电终端单元使用双向认证,而且认证使用的密钥与设备的ID信息有关,既保证了合法区域工作站的服务不被窃取,也能保证合法客户终端得到需要的服务,不会被伪装。
第三,实现双向认证,使得安全性增加,提高了配电网络设备接入的安全性。
第四,利用区域工作站存储的设备ID信息存储列表,确定配电终端单元的有效性。
附图说明
图1为典型的馈线自动化系统图;
图2为密钥分配图;
图3为设备认证的方法流程图。
具体实施方式
下面将结合附图对本发明的具体实施方式作进一步详细的说明:
图1所示是一个馈线自动化系统,属于配电网自动化的一个典型应用。图1中,配电自动化控制中心的密钥管理服务器通过通讯线与各区域工作站通讯,区域工作站连接本区域内的各配电终端单元,一个配电终端单元用于控制一个分段开关或联络开关。配电自动化控制中心作为主站,和区域工作站以及各配电终端单元通过通信链路构成了配电网二次系统;馈线、分段开关和联络开关构成了配电网一次系统;其中区域工作站和配电终端单元各自包括随机数生成单元,用于生成和发送随机数。
图2所示为密钥分配图,为了实现区域工作站和配电终端单元设备的双向认证,需要为区域工作站和配电终端单元分配基于ID信息的密钥,本发明的协议工作流程如下:
1)密钥管理服务器根据区域工作站和配电终端单元的ID信息生成区域工作站和配电终端单元的公私钥对;
2)密钥管理服务器预先注入公私钥对到区域工作站中;
3)密钥管理服务器根据区域工作站的公钥以及配电终端单元的私钥进行计算得到认证密钥k并注入到配电终端单元中;
4)密钥管理服务器将注册的配电终端单元ID信息发送给所属区域工作站。
图3所示为设备认证的方法流程图,在符合配电自动化系统标准的通信协议的前提下,实现区域工作站的设备和配电终端单元的设备合法性的双向认证,禁止非法区域工作站或配电终端单元接入到馈线自动化系统中。具体认证流程为:
1)配电终端单元向区域工作站发送连接请求消息,该消息包含其ID信息。
2)区域工作站接收终端设备的连接请求消息,并查询终端设备存储列表中该终端设备的ID信息是否存在。若存在,区域工作站根据所收到的配电终端单元的ID信息和自己的私钥,利用双线性性质计算出与配电终端单元的共享的认证密钥k;否则终止该认证过程。
3)区域工作站产生一随机数ni,用认证密钥k加密得到密文Ek(ni),并发送Ek(ni)给配电终端单元。
4)配电终端单元利用自己的认证密钥k(注:根据双线性对的性质,步骤4)的认证密钥k与步骤2)、3)的认证密钥k是相等的)解密Ek(ni)获得随机数ni,同时配电终端单元也生成一随机数nj,用自己的认证密钥k加密nj得到密文Ek(nj),并发送密文Ek(nj)和随机数ni给区域工作站;
5)区域工作站首先比较收到的ni与自己产生的随机数是否相同,若相同,该配电终端单元身份的合法性得到确认;区域工作站利用认证密钥k解密出随机数nj,并将nj返回给配电终端单元;
6)配电终端单元比较收到的nj与自己产生的随机数是否相同,若相同,所属区域工作站身份的合法性得到确认。
相关技术术语的名词解释
区域工作站是指配电自动化通信系统中的配电子站,实际上是一个通道集中器和转发装置,它将众多分散的采集单元集中起来和配电自动化控制中心联系,还可以接受控制中心下达的命令进行远方操作,将终端信息传至控制中心。
配电终端单元是指配电自动化通信系统中用户端的设备装置,如RTU、FTU,将采集到的信息由通信网络发给远方的配电自动化控制中心。
密钥管理服务器是对各种密钥、数字证书等信息进行授权、管理、注销的一个数据库系统。
双线性配对指具有密码学意义的双线性对。
Claims (1)
1.一种基于ID的配电网自动化通信系统的设备接入认证方法,其特征在于,该方法包括以下步骤:
1)密钥分配
①密钥服务器根据接入设备的ID信息为注册的区域工作站设备生成公私钥对,并将生成的公私钥对注入该区域工作站;在基于ID的密码体制中,基于ID的私钥等于主密钥和基于ID的公钥的标量乘;
②密钥服务器根据接入设备的ID信息为注册的终端设备-配电终端单元计算基于ID的私钥,利用双线性配对的双线性性质,根据该终端设备所属区域工作站的公钥及为该终端设备生成的私钥计算出认证密钥k并注入终端设备;
③密钥服务器将注册的终端设备的ID信息发送给所属区域工作站,区域工作站将终端设备的ID信息存入存储列表;
④密钥服务器将撤消的终端设备的ID信息发送给所属区域工作站,区域工作站删除存储列表中该终端设备的ID信息;
2)设备认证
①终端设备向区域工作站发送连接请求消息,该消息包含终端设备的ID信息;
②区域工作站接收终端设备的连接请求消息,并查询终端设备存储列表中该终端设备的ID信息是否存在,若存在则继续下一步骤,否则终止该认证过程;
③区域工作站根据所收到的终端设备的ID信息和自己的私钥,利用双线性性质计算出与终端设备的共享的认证密钥k;
④区域工作站产生一随机数ni,并用认证密钥k加密,得到密文Ek(ni),发送Ek(ni)给终端设备;
⑤终端设备利用自己的认证密钥k解密Ek(ni),获得随机数ni,同时终端设备生成一随机数nj,用自己的认证密钥k加密nj得到密文Ek(nj),并发送密文Ek(nj)和随机数ni给区域工作站;
⑥区域工作站首先比较收到的ni与自己先前产生的随机数是否相同,若相同,该配电终端单元身份的合法性得到确认;区域工作站利用认证密钥k解密出随机数nj,并将nj返回给配电终端单元;
⑦配电终端单元比较收到的nj与自己先前产生的随机数是否相同,若相同,则区域工作站身份的合法性得到确认。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010114733XA CN101807818B (zh) | 2010-02-25 | 2010-02-25 | 基于id的配电网自动化通信系统的设备接入认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010114733XA CN101807818B (zh) | 2010-02-25 | 2010-02-25 | 基于id的配电网自动化通信系统的设备接入认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101807818A CN101807818A (zh) | 2010-08-18 |
| CN101807818B true CN101807818B (zh) | 2012-07-04 |
Family
ID=42609473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010114733XA Expired - Fee Related CN101807818B (zh) | 2010-02-25 | 2010-02-25 | 基于id的配电网自动化通信系统的设备接入认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101807818B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281136B (zh) * | 2011-07-28 | 2015-04-29 | 中国电力科学研究院 | 用于电动汽车智能充电网络安全通信的量子密钥分配系统 |
| CN102722797B (zh) * | 2012-06-12 | 2015-09-16 | 国家电网公司 | 基于责任区的电力调度自动化系统信息分层方法 |
| CN102916809B (zh) * | 2012-10-29 | 2014-11-05 | 西安交通大学 | 基于状态估计的智能电网控制命令动态认证方法 |
| CN103023644A (zh) * | 2012-11-23 | 2013-04-03 | 山东电力集团公司 | 一种配电终端身份识别方法 |
| CN103236931B (zh) * | 2013-05-02 | 2016-08-03 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于tpm的身份验证方法及系统以及相关设备 |
| CN103888292A (zh) * | 2014-02-25 | 2014-06-25 | 北京科东电力控制系统有限责任公司 | 一种用于配电终端的运维工具及运维方法 |
| CN104065167B (zh) * | 2014-06-26 | 2016-05-25 | 国家电网公司 | 一种智能配电终端自动注册的实现方法 |
| CN104902469B (zh) * | 2015-04-17 | 2019-01-25 | 国家电网公司 | 一种面向输电线路无线通信网络的安全通信方法 |
| CN105577757B (zh) * | 2015-12-15 | 2020-03-06 | 国网智能电网研究院 | 基于负载均衡的智能电力终端的多级管理系统及认证方法 |
| CN105871837A (zh) * | 2016-03-30 | 2016-08-17 | 安徽工程大学 | 一种用于智能电网的数据传输系统 |
| EP3337119B1 (en) | 2016-12-13 | 2019-09-11 | Nxp B.V. | Updating and distributing secret keys in a distributed network |
| EP3337120B1 (en) | 2016-12-14 | 2021-04-21 | Nxp B.V. | Network message authentication and verification |
| EP3337039B1 (en) | 2016-12-14 | 2020-07-22 | Nxp B.V. | Monotonic counter and method of operating a monotonic counter |
| CN106789015B (zh) * | 2016-12-22 | 2020-05-01 | 贵州电网有限责任公司电力科学研究院 | 一种智能配电网通信安全系统 |
| EP3355545B1 (en) | 2017-01-30 | 2020-09-23 | Nxp B.V. | Apparatus and method for verifying secret keys |
| CN107682155A (zh) * | 2017-11-15 | 2018-02-09 | 浙江神州量子通信技术有限公司 | 电力配电终端通信接入网中量子密钥的应用系统 |
| CN108712399B (zh) * | 2018-04-28 | 2021-10-15 | 孔福根 | 配网主站及其通讯方法、通讯转换装置及其通讯方法 |
| CN113556355B (zh) * | 2021-07-30 | 2023-04-28 | 广东电网有限责任公司 | 配电网智能设备的密钥处理系统及方法 |
| CN114268643B (zh) * | 2021-11-26 | 2024-04-16 | 许继集团有限公司 | 一种基于主动标识技术的配电物联终端及管理方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101198148A (zh) * | 2006-12-06 | 2008-06-11 | 中兴通讯股份有限公司 | 一种对移动终端进行信息分发的方法 |
-
2010
- 2010-02-25 CN CN201010114733XA patent/CN101807818B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101198148A (zh) * | 2006-12-06 | 2008-06-11 | 中兴通讯股份有限公司 | 一种对移动终端进行信息分发的方法 |
Non-Patent Citations (3)
| Title |
|---|
| JP特开2006-270312A 2006.10.05 |
| Zhongwei Sun等.Key Management for Feeder Automation Systems with Centralized Mode.《2009 International Conference on Information Management, Innovation Management and Industrial Engineering》.2009,第4卷 * |
| Zhongwei Sun等.Security Mechanism for Distribution Automation Using EPON.《Network Infrastructure and Digital Content,2009》.2009, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101807818A (zh) | 2010-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101807818B (zh) | 基于id的配电网自动化通信系统的设备接入认证方法 | |
| CN110138538B (zh) | 基于雾计算的智能电网安全与隐私保护数据聚合方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN102946603B (zh) | 电力云系统中基于社交特性的统一身份认证方法 | |
| He et al. | Secure service provision in smart grid communications | |
| CN102983965B (zh) | 变电站量子通信模型、量子密钥分发中心及模型实现方法 | |
| Kim et al. | A secure smart-metering protocol over power-line communication | |
| Iyer | Cyber security for smart grid, cryptography, and privacy | |
| CN103618610A (zh) | 一种基于智能电网中能量信息网关的信息安全算法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN103716167A (zh) | 一种安全采集和分发传输密钥的方法及装置 | |
| Baza et al. | An efficient distributed approach for key management in microgrids | |
| CN113079215B (zh) | 一种基于区块链的配电物联网无线安全接入方法 | |
| CN106685650A (zh) | 一种基于量子通信技术的电力广域工业控制网通信方法 | |
| CN115001717B (zh) | 一种基于标识公钥的终端设备认证方法及系统 | |
| CN112134849B (zh) | 一种智能变电站的动态可信加密通信方法及系统 | |
| CN111770060A (zh) | 一种电力物联网数据传输方法及电力物联网 | |
| CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
| Abdallah et al. | Security and privacy in smart grid | |
| CN104717211A (zh) | 一种基于加密通信的共享密钥管理的变电站报文分析方法 | |
| CN103763095B (zh) | 一种智能变电站密钥管理方法 | |
| Menon et al. | Design of a secure architecture for last mile communication in smart grid systems | |
| Choi et al. | An efficient message authentication for non-repudiation of the smart metering service | |
| CN112311553A (zh) | 一种基于挑战应答的设备认证方法 | |
| Zhang et al. | Design and implementation of IEC61850 communication security protection scheme for smart substation based on bilinear function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20140225 |