CN103763095A

CN103763095A - 一种智能变电站密钥管理方法

Info

Publication number: CN103763095A
Application number: CN201410005965.XA
Authority: CN
Inventors: 王智东; 王钢; 马新华; 陈俊威; 林跃欢; 黎永昌; 胡慧贞
Original assignee: South China University of Technology SCUT
Current assignee: South China University of Technology SCUT
Priority date: 2014-01-06
Filing date: 2014-01-06
Publication date: 2014-04-30
Anticipated expiration: 2034-01-06
Also published as: CN103763095B

Abstract

本发明公开了一种智能变电站密钥管理方法，其以变电站为核心，采用控制中心‐变电站‐IED三级分层的结构，包括：S1、变电站和IED协调完成站内通信的会话密钥和IED身份密钥的生成、分配、更新、储存和销毁；S2、控制中心与变电站协调完成双方通信的会话密钥和变电站身份密钥的生成、分配、更新、储存和销毁；S3、控制中心、变电站和IED三方协调完成站间通信的会话密钥的生成、分配、更新、储存和销毁。本发明针对变电站信息关联密切程度，采用分层的密钥分配方法，在保证符合电力信息系统密钥安全性的前提下，优化电力通信系统模型，减少控制中心、变电站和智能电子设备在密钥管理中所需的通信和运算负荷。

Description

一种智能变电站密钥管理方法

技术领域

本发明涉及电力系统信息安全技术领域，具体涉及一种智能变电站密钥管理方法。

背景技术

变电站是电力系统中能源输送和转换的重要组成部分，是电力系统的枢纽，当前变电站正朝着智能变电站的方向发展。智能变电站具有全站信息数字化、通信平台网络化、信息共享标准化等特点。网络通信技术是智能变电站的核心之一，为智能变电站信息交换和互操作等提供了基础支持。智能变电站的可靠、平稳运行依赖于高安全性的通信网络。尤其对于电力通信网络，一旦发生恶意攻击等安全事故，就可能造成信息泄露甚至信息遭到恶意篡改，就从而引起电网保护、控制等决策混乱，导致电网运行异常甚至崩溃。

电力通信报文的安全性依赖于密码学技术，在现代密码学中，密钥管理是其核心和难点之一。按双方收发的密钥是否相同的标准可以划分为两大类：一种是常规算法（也叫私钥加密算法或对称加密算法），其特征是收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的，对称加密算法的优势是运算量小、处理速度快；另一种是公钥加密算法（也叫非对称加密算法），其特征是收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥，但公钥加密算法存在运算量大、耗时的缺点。

如何实现密钥管理是密码学的关键技术之一，电力信息系统信息交换具有实时性、报文信息复杂性和网络拓扑多样性等特点，使得如何在有限网络带宽和设备支持下实现满足电力信息系统的密钥管理成为难点，尤其考虑到智能电子设备（IED）受限于存储和运算能力而难以支持复杂的密钥管理方法。因此，一种安全、高效的密钥管理方法对电力信息系统的安全至关重要。为了叙述方便，考虑到变电站中以IED为主，故统称为IED，合并单元、智能开关和变电站各种功能系统等也适用本方法。

目前电力信息系统密钥管理的研究主要集中在电力数据采集与监视控制系统（SCADA）领域和智能电表领域，而在以IEC61850协议为基础的变电站领域，还缺乏针对智能变电站IED（尤其当IED同时涉及变电站内和跨变电站信息安全交换时）的高效、实用的密钥管理方法。

发明内容

本发明的目的在于克服上述缺陷，提供一种能高效、安全、可靠地实现变电站密钥的生成、分配、更新、储存和销毁等功能的智能变电站密钥管理方法。

为了达到上述目的，本发明采用的技术方案是，一种智能变电站密钥管理方法，以变电站为核心，采用控制中心‐变电站‐IED三级分层的结构，包括：

S1、变电站和IED协调完成站内通信的会话密钥和IED身份密钥的生成、分配、更新、储存和销毁；

S2、控制中心与变电站协调完成双方通信的会话密钥和变电站身份密钥的生成、分配、更新、储存和销毁；

S3、控制中心、变电站和IED三方协调完成站间通信的会话密钥的生成、分配、更新、储存和销毁。

更具体的，S1中所述身份密钥是每个IED在投入使用时，变电站根据该IED的初始信息通过安全渠道为其生成的一个与其身份唯一对应的身份密钥，该密钥用作识别该IED身份，在IED初次分配会话密钥和因故障丢失会话密钥而联系变电站获得会话密钥的情况下使用；所述会话密钥是正常工作过程中变电站和IED用来加密、解密报文的密钥，变电站为同一组播内的所有IED分配统一的会话密钥。考虑智能变电站内GOOSE和SV等核心报文采用组播方式，所以采用以对称加密算法为主的密钥技术，同一组播内的多个IED分配一个会话密钥。

更具体的，S1中所述密钥的更新是所述会话密钥的更新，包括定期更新、新IED投入时的更新和IED退出时的更新。密钥定期更新是防止密钥被恶意猜测或攻击的有效方法，会话密钥使用一段时间后，定期更新会话密钥能减少遍历密钥猜测的攻击；当有新IED投入时，为了防止信息的前溯破解，与新IED共享密钥的相关IED进行密钥更新；当有IED退出时，为了防止退出IED的会话密钥泄露造成系统通信信息泄露，也要及时更新会话密钥。

更具体的，S1中所述密钥的储存是变电站储存有站内所有IED的身份密钥和站内通信会话密钥，各IED只储存自己的身份密钥和参与的站内通信的会话密钥。

更具体的，S1中所述密钥的销毁是变电站和所有IED销毁各自储存的失效的会话密钥。

更具体的，S2中所述身份密钥是每个变电站投入运行时，控制中心根据该变电站的初始信息通过安全渠道为其生成一个与其身份唯一对应的身份密钥，该密钥用作识别变电站身份；所述会话密钥是正常工作过程中控制中心与变电站用来加密、解密报文的密钥。

更具体的，S2中所述密钥的更新是所述会话密钥的更新，包括定期更新、新变电站投入时的更新和变电站退出时的更新。

更具体的，S2中所述密钥的储存是控制中心储存有所有变电站的身份密钥和双方通信会话密钥，各变电站只储存自己的身份密钥和参与的双方通信的会话密钥。

更具体的，S2中所述密钥的销毁是所有变电站销毁各自储存的失效的会话密钥；控制中心则不销毁失效的会话密钥，当需要时用其来解密之前的报文。

更具体的，S3中所述会话密钥是正常工作过程中通过变电站，控制中心与参与站间通信的各个IED用来加密、解密报文的密钥。

更具体的，S3中所述会话密钥的更新，包括定期更新、新设备投入时的更新和设备退出时的更新。

更具体的，S3中所述会话密钥的储存是控制中心储存有参与站间通信的所有IED的站间通信的会话密钥；各变电站储存该站内所有IED参与的站间通信的会话密钥；各IED只储存自己参与的站间通信的会话密钥。

更具体的，S3中所述会话密钥的销毁是所有IED销毁各自储存的失效的站间通信的会话密钥；各变电站销毁该站内储存的所有IED参与的失效的站间通信的会话密钥；控制中心则不销毁失效的站间通信的会话密钥，当需要时用其来解密之前的报文。

相对于现有技术，本发明的有益效果是：

（1）本发明针对变电站信息关联密切程度，采用分层的密钥分配方法，在保证符合电力信息系统密钥安全性的前提下，优化电力通信系统模型，减少控制中心、变电站和智能电子设备在密钥管理中所需的通信和运算负荷。

（2）本发明基于智能变电站内GOOSE和SV等核心报文的组播方式，采用以对称加密算法为主的密钥技术，同一组播内的多个IED只分配一个会话密钥，减少加解密的运算量，提高了报文的处理速度。

附图说明

图1为本发明密钥管理方法的三级分层结构图。

具体实施方式

下面结合附图和实施例进一步说明本发明，但本发明要求保护的范围并不限于实施例表述的范围。对本领域的技术人员在不背离本发明的精神及保护范围的情况下做出的其它的变化和修改，仍包括在权利要求书保护的范围内。

实施例

本实施例，一种智能变电站密钥管理方法，以变电站为核心，采用控制中心‐变电站‐IED三级分层的结构，结构图如图1所示（其中，n和m都是正整数，分别代表变电站和IED的数量），包括：

S1、变电站和IED协调完成站内通信密钥的生成、分配、更新、储存和销毁；

S2、控制中心与变电站协调完成双方通信密钥的生成、分配、更新、储存和销毁；

S3、控制中心、变电站和IED三方协调完成站间通信密钥的生成、分配、更新、储存和销毁。

下面分成密钥的生成和分配、密钥的更新、密钥的储存以及密钥的销毁等四个部分具体说明：

一、密钥的生成和分配

1、站内通信密钥生成和分配

站内通信密钥由变电站协调IED完成，其包含两种密钥：身份密钥和会话密钥。身份密钥是设备在投入使用时，变电站根据设备的初始信息通过安全渠道为每个IED生成一个与每个IED身份唯一对应的身份密钥，该密钥用作识别设备身份；在初次分配会话密钥和设备因故障丢失会话密钥联系变电站获得会话密钥的情况下使用。会话密钥是正常工作过程中变电站和IED用来加密、解密报文的密钥，变电站为同一组播内的所有IED分配统一的会话密钥。具体生成和分配过程如下：

（1）身份密钥的生成和分配：当IED投入变电站运行，变电站参与SCL文件配置，人工分配一个临时密钥，临时密钥只有变电站和该IED获知，该密钥受严格的时间约束，在有限的约定时间内有效且在第一次用完后便失效。IED在获得临时密钥后，向变电站发送用临时密钥加密的报文，报文中包含该IED身份和随机数N，随机数起到保证此次通信的唯一性防止报文重攻击的作用；变电站收到报文后，向IED发送用临时密钥加密的报文，报文中包含IED身份、随机数N和与该IED唯一对应的身份密钥Key_ID。IED用临时密钥解密报文获得身份密钥，向变电站发送用身份密钥加密的报文，用于向变电站确认已收到身份密钥，报文中包含有该IED身份、随机数N和确认信息；变电站收到报文确认后销毁该临时密钥并启用身份密钥，整个身份密钥的分配过程完成。

（2）会话密钥的生成和分配：变电站向同一组播内的IED发送用各自身份密钥加密的报文，报文中包含有随机数N和会话密钥；IED用身份密钥解密报文获得会话密钥，向变电站发送用身份密钥加密的确认报文，报文中包含有该IED的身份、随机数N和确认信息；变电站确认各IED发送的确认获得会话密钥报文后，向该组内IED用组播方式发送启用会话密钥的命令，至此会话密钥分配过程完成。

2、控制中心与变电站通信密钥的生成和分配

（1）身份密钥的生成和分配：视变电站为一个IED，当变电站投入运行，控制中心参与SCL文件配置，人工为变电站分配一个临时密钥。变电站在获得临时密钥后，向控制中心发送用临时密钥加密的报文，报文中包含该变电站设备身份和随机数N；控制中心收到报文后，向变电站发送用临时密钥加密的报文，报文中包含变电站设备身份、随机数N和与该变电站唯一对应的身份密钥Key_{ID_S}（为与普通IED的身份密钥区别命名为Key_{ID_S}）。变电站用临时密钥解密报文获得身份密钥，向控制中心发送用身份密钥加密的报文，用于向控制中心确认已收到身份密钥，报文中包含有该变电站设备身份、随机数N和确认信息；控制中心收到报文确认后销毁该临时密钥，整个身份密钥的分配过程完成。

（2）会话密钥的生成和分配：控制中心向变电站发送用各自身份密钥加密的报文，报文中包含有随机数N和会话密钥；变电站用身份密钥解密报文获得会话密钥，向控制中心发送用身份密钥加密的确认报文，报文中包含有该变电站的身份、随机数N和确认信息；控制中心确认收到各变电站发送的确认报文后，向变电站发送启用会话密钥的命令，至此会话密钥分配过程完成。

3、站间通信会话密钥生成和分配过程具体如下：

站间通信会话密钥的生成和分配由控制中心、变电站和IED三方协调完成，涉及跨站信息交换用到的会话密钥由控制中心生成和分配。当变电站完成为IED分配身份密钥后，变电站向控制中心发送获取参与站间通信IED的跨站会话密钥的请求报文，该报文包含该IED的ID和随机数N，控制中心收到请求后向相关的变电站发送包含该IED的跨站会话密钥和随机数N的加密报文；变电站解密该报文获得站内参与站间通信IED的跨站会话密钥，向参与站间通信的IED发送用身份密钥加密的报文，报文包含该IED的跨站会话密钥和随机数N；相关IED用身份密钥解密获得跨站会话密钥后，便向变电站发送用跨站会话密钥加密的报文，告知其已获得跨站会话密钥；变电站确认相关IED获得跨站会话密钥后向控制中心发送用跨站会话密钥加密的报文告知相关IED获得跨站会话密钥的确认信息；最后控制中心向变电站发送启用跨站会话密钥的命令，变电站收到后向相关IED发送启用跨站会话密钥的命令，至此站间通信的跨站会话密钥分配过程完成。当IED涉及多个不同的跨站信息交换时，也采用相同的方法。

二、密钥的更新

密钥定期更新是防止密钥被恶意猜测或攻击的有效方法，会话密钥使用一段时间后，定期更新会话密钥能减少遍历密钥猜测的攻击；当有新设备投入时，为了防止信息的前溯破解，与新设备共享密钥的相关IED进行密钥更新；当有设备退出时，为了防止退出设备的会话密钥泄露造成系统通信信息泄露，也要及时更新会话密钥。同样的密钥更新也分为站内通信会话密钥、控制中心与变电站通信会话密钥和站间通信跨站会话密钥的更新。

1、站内通信会话密钥的更新

（1）会话密钥的定期更新：变电站向同一组播内的IED发送用当前使用会话密钥加密的报文，报文中包含有新的会话密钥和随机数N；各个IED通过当前使用的会话密钥解密报文获得新的会话密钥，然后向变电站发送用新会话密钥加密的报文，报文中包含有获得的随机数N和该IED的ID号码；变电站确认所有的相关IED都收到新的会话密钥后，便向各相关IED发送启用新会话密钥的命令，至此会话密钥的更新过程完成。

（2）新设备投入时会话密钥更新：变电站给新设备分配一个身份密钥，然后将会话密钥用新设备的身份密钥加密后发送给新设备，新设备通过身份密钥解密报文获得会话密钥；对于组播内其他的IED，变电站向同一组播内的IED发送用当前会话密钥加密的报文，报文中包含有新的会话密钥和随机数N；IED通过当前会话密钥解密报文获得新的会话密钥，然后向变电站发送用新的会话密钥加密的报文，报文中包含有随机数N和该IED的ID号码；变电站确认收到各IED发送的报文后发送启用新会话密钥的命令，至此会话密钥的更新过程完成。

（3）设备退出时会话密钥更新：当有IED退出运行时，变电站向退出设备退出所在组播内的其他IED（不包括退出IED），分别发送用该IED对应的身份密钥加密的报文，报文中包含新的会话密钥和随机数N；该组播内的每个IED通过各自的身份密钥解密报文获得新的会话密钥，然后向变电站发送用新会话密钥加密的报文，报文中包含IED身份、已收到新会话密钥的确认信息和随机数；变电站确认收到各IED发送的报文后发送启用新会话密钥的命令，至此会话密钥的更新过程完成。

2、控制中心与变电站通信会话密钥的更新

控制中心与变电站通信会话密钥的更新过程与站内通信会话密钥的更新过程相似，也分为三种情况，因此这里只简单介绍。

（1）会话密钥的定期更新：控制中心向变电站发送用当前使用会话密钥加密的报文，报文中包含有新的会话密钥和随机数N；各变电站通过当前使用的会话密钥解密报文获得新的会话密钥，然后向控制中心发送确认报文；控制中心确认所有变电站都收到新的会话密钥后，便向变电站发送启用新会话密钥的命令，至此会话密钥的更新过程完成。

（2）新变电站投入时会话密钥更新：当有新变电站投入时，控制中心首先给变电站人工分配一个临时密钥，通过临时密钥给新变电站分配身份密钥。控制中心然后将新会话密钥用变电站的身份密钥加密后发送给新变电站，新变电站通过身份密钥解密报文获得会话密钥；对于其他的变电站，控制中心将包含有新会话密钥的报文用当前会话密钥加密发送给各变电站；变电站通过当前会话密钥解密报文获得新会话密钥，然后向控制中心发送确认报文；控制中心确认各变电站获得新会话密钥后发送启用新会话密钥的命令，至此会话密钥的更新过程完成。

（3）变电站退出时会话密钥更新：当有变电站设备退出运行时，控制中心将新会话密钥用各变电站身份密钥加密发送给其他变电站（不包括退出变电站）；各变电站通过身份密钥解密报文获得新的会话密钥，然后向控制中心发送用新会话密钥加密的确认报文；控制中心确认各变电站获得新会话密钥后发送启用新会话密钥的命令，至此会话密钥的更新过程完成。

3、站间通信会话密钥的更新

站间通信会话密钥的更新与站内会话密钥的更新相似，区别在于会话密钥的更新由控制中心发起。

（1）会话密钥的定期更新：控制中心将新会话密钥用当前会话密钥加密后发送给变电站；变电站通过当前会话密钥解密报文获得新的会话密钥，然后将新会话密钥用当前会话密钥加密后发送给IED；IED用当前会话密钥解密报文获得新的会话密钥后向变电站发送用新会话密钥加密的确认报文；变电站确认IED获得新会话密钥后向控制中心发送用新会话密钥加密的报文；控制中心在确认会话密钥更新完成后向各变电站发送启用新会话密钥的命令，变电站在收到启用命令后向IED发送启用新会话密钥的命令，至此会话密钥的更新过程完成。

（2）新IED投入时会话密钥更新：当有新IED投入时，IED所在的变电站首先给IED人工分配一个临时密钥，通过临时密钥给新IED分配身份密钥。该IED所在变电站向控制中心发送更新会话密钥的请求，控制中心然后将新会话密钥用当前会话密钥加密后发送给各变电站，新IED所在变电站将新会话密钥用身份密钥加密后发给新IED；对于其他同组内的IED，各变电站将新会话密钥用当前会话密钥加密后发送给各IED；IED用当前会话密钥解密获得新会话密钥后向变电站发送确认报文，变电站确认站内IED获得新会话密钥后向控制中心发送确认报文，控制中心确认后向各变电站发送启用命令，变电站收到启用命令后向IED发送启用命令至此会话密钥的更新过程完成。

（3）IED退出时会话密钥更新：当有IED退出运行时，该IED所在变电站向控制中心发送更新会话密钥的请求，控制中心将新会话密钥用当前会话密钥加密后发送变电站；变电站解密获得新会话密钥后将新会话密钥用变电站内参与该组通信IED的身份密钥加密发送给各IED，IED用身份密钥解密获得新会话密钥后向变电站发送用新会话密钥加密的确认报文，变电站确认后向控制中心发送确认报文；控制中心确认后向变电站发送启用命令，变电站收到启用命令后向IED发送启用命令，至此会话密钥的更新过程完成。

三、密钥的储存

根据变电站在物理分布和电气逻辑上分层，密钥采用分层分配的方法，考虑到硬件存储设备的限制，相应的密钥也采用分层存储方法。

1、控制中心位于三级分层结构的顶端，负责与变电站通信和分配站间通信会话密钥，控制中心需要储存各变电站的身份密钥、会话密钥和变电站站间通信的会话密钥。控制中心为每个变电站分配一个唯一对应的身份标识，身份标识对应一块储存空间，该空间内储存控制中心与变电站通信的身份密钥、会话密钥和该变电站涉及的站间通信会话密钥；

2、变电站负责站内通信及站内所有IED参与的站间通信，所以变电站储存有站内所有IED的身份密钥、站内通信会话密钥和站间通信密钥。此外，变电站还要和控制中心通信，所以还储存有控制中心为其分配的身份密钥和会话密钥。变电站为每个IED分配一个唯一对应的身份密钥，每个身份密钥对应一块储存空间，该空间内储存该IED所参与的所有站内通信和站间通信的会话密钥；

3、IED不直接与除本变电站外的密钥管理机构联系，所以所有IED只需要储存自己的身份密钥和参与的站内和站间通信的会话密钥。

四、密钥的销毁

会话密钥不断进行更新，考虑到控制中心、变电站和IED存储空间和通信安全，旧的会话密钥就必须销毁。在每次会话密钥更新成功后，原来的会话密钥就认为是失效的会话密钥。控制中心定期向变电站和IED发送报文，令变电站和IED销毁失效的会话密钥，而控制中心则不销毁失效密钥，当需要时用其来解密之前的报文。控制中心向变电站发送用会话密钥加密的报文，报文中包含有销毁失效密钥命令和随机数N，变电站解密控制中心发送的销毁命令报文后向站内所有IED发送含有销毁命令的报文；IED销毁失效会话密钥，向变电站发送报文，报文中包含随机数N和完成信息，变电站销毁失效会话密钥后向控制中心发送用会话密钥加密的报文；控制中心确认收到各变电站发送的报文后，发送完成密钥销毁的信息，至此失效会话密钥的销毁过程完成。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

1.一种智能变电站密钥管理方法，其特征在于：以变电站为核心，采用控制中心‐变电站‐IED三级分层的结构，包括：

2.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S1中所述身份密钥是每个IED在投入使用时，变电站根据该IED的初始信息通过安全渠道为其生成的一个与其身份唯一对应的身份密钥；所述会话密钥是正常工作过程中变电站和IED用来加密、解密报文的密钥，变电站为同一组播内的所有IED分配统一的会话密钥。

3.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S1中所述密钥的更新是所述会话密钥的更新，包括定期更新、新IED投入时的更新和IED退出时的更新。

4.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S1中所述密钥的储存是变电站储存有站内所有IED的身份密钥和站内通信会话密钥，各IED只储存自己的身份密钥和参与的站内通信的会话密钥。

5.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S1中所述密钥的销毁是变电站和所有IED销毁各自储存的失效的会话密钥。

6.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S2中所述密钥的更新是所述会话密钥的更新，包括定期更新、新变电站投入时的更新和变电站退出时的更新。

7.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S2中所述密钥的储存是控制中心储存有所有变电站的身份密钥和双方通信会话密钥，各变电站只储存自己的身份密钥和参与的双方通信的会话密钥。

8.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S2中所述密钥的销毁是所有变电站销毁各自储存的失效的会话密钥；控制中心则不销毁失效的会话密钥，当需要时用其来解密之前的报文。

9.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S3中所述会话密钥的更新，包括定期更新、新设备投入时的更新和设备退出时的更新。

10.根据权利要求1所述的一种智能变电站密钥管理方法，其特征在于：S3中所述会话密钥的销毁是所有IED销毁各自储存的失效的站间通信的会话密钥；各变电站销毁该站内储存的所有IED参与的失效的站间通信的会话密钥；控制中心则不销毁失效的站间通信的会话密钥，当需要时用其来解密之前的报文。