CN106603499A - 一种配电终端的安全通信改造方法及系统 - Google Patents
一种配电终端的安全通信改造方法及系统 Download PDFInfo
- Publication number
- CN106603499A CN106603499A CN201611033562.1A CN201611033562A CN106603499A CN 106603499 A CN106603499 A CN 106603499A CN 201611033562 A CN201611033562 A CN 201611033562A CN 106603499 A CN106603499 A CN 106603499A
- Authority
- CN
- China
- Prior art keywords
- secure communication
- distribution terminal
- communication hardware
- hardware system
- network interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
本发明涉及一种配电终端的安全通信改造方法及系统,所述系统包括:配电终端、安全通信硬件系统、安全加密协处理器;所述安全通信硬件系统通过串口/网口与所述配电终端建立连接,其中,所述配电终端通过串口/网口将原始数据传入安全通信硬件系统中,所述安全通信硬件系统通过调用安全加密协处理器对原始数据进行IP层加密保护,所述安全加密协处理器采用国家商用密码算法;本发明提供的方法及系统可对配电终端业务通信进行安全加密保护,在不改造原有配电终端的基础上,解决终端明文通信存在的安全隐患。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种配电终端的安全通信改造方法及系统。
背景技术
随着配电自动化技术的快速发展,配电终端作为新型智能终端设备在配电生产中的应用日益广泛,给自动化配电带来极大便利的基础上,也由于终端智能化程度越来越高,且部分带有控制功能,引入了更多的安全风险。配电终端多数建于户外环境,无人随时值守,其与配电主站通过电力专网/无线公网进行通信,尤其是在无线公网通信条件下,配电终端到主站系统的上行数据以及主站系统到配电终端的下行指令都有可能被窃取甚至篡改,引发信息泄漏或造成生产事故,因此,需要在终端与主站的通信链路上进行安全通信改造。
发明内容
针对现有技术的不足,本发明提供一种配电终端的安全通信改造方法及系统,可对配电终端进行外置的安全通信改造。
本发明的目的是采用下述技术方案实现的:
一种配电终端的安全通信改造方法及系统,其特征在于,所述系统包括:配电终端、安全通信硬件系统、安全加密协处理器;
所述安全通信硬件系统通过串口/网口与所述配电终端建立连接,其中,所述配电终端通过串口/网口将原始数据传入安全通信硬件系统中,所述安全通信硬件系统通过调用安全加密协处理器对原始数据进行IP层加密保护,所述安全加密协处理器采用国家商用密码算法。
优选的,所述安全通信硬件系统可以通过串口与所述配电终端串口建立连接,用于将所述配电终端通过串口将原始数据传入安全通信硬件系统中,所述原始数据为配电终端101通信规约或其他串口通信规约格式的数据。
进一步的,所述通过串口传入安全通信硬件系统中的原始数据需要通过安全通信硬件系统中的两个硬件TCP/IP协议栈芯片封装成IP报文使其可以被配电自动化主站系统识别。
优选的,所述安全通信硬件系统可以通过网口与所述配电终端网口建立连接,用于将所述配电终端通过网口将原始数据传入安全通信硬件系统中,所述原始数据为配电终端104通信规约或其他网口通信规约格式IP报文。
进一步的,所述配电终端的网口IP与所述配电终端接入的配电自动化主站系统IP在同一网段时,所述安全通信硬件系统作为局域网ARP代理反馈所述配电终端向所述配电自动化主站系统发起的ARP查询报文。
优选的,所述安全通信硬件系统通过调用安全加密协处理器对所述IP报文提供网络层加密保护,所述安全加密协处理器采用国家商用密码算法。
进一步的,所述安全通信硬件系统需调用安全加密协处理器中SM3算法对IP报文进行散列运算,所述安全通信硬件系统需调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密。
进一步的,所述安全通信硬件系统调用的安全加密协处理器中的SM1算法,其对称密钥由所述安全通信硬件系统调用的安全加密协处理器中的SM2算法进行定时通信协商。所述安全通信硬件系统调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密的密文数据通过安全通信硬件系统的网口/GPRS传出。
与最接近的现有技术相比,本发明具有的有益效果:
本发明提供的一种配电终端的安全通信改造方法及系统,能够解决不易进行硬件改造的配电终端与主站之间双向通信的安全增强。本发明提供的安全通信改造方法支持籍由串口、网口两种类型与外界通信的配电终端;可以自动识别并处理终端网络地址与主站在同一网段时报文的安全反馈,防止由于IP冲突导致通信断路;采用序列号与数据段综合散列再加密的方法识别数据来源的可靠性及数据段完整性,所有加密、协商采用的算法均为国家商用密码管理局颁布认可的国产商用加密算法,在适应性、时效性、安全性上较现有国内外类似技术均有提升和创新。
附图说明
图1是本发明提供的一种双网口配电终端的安全通信改造方法及系统实施流程图;
图2是本发明提供的一种双串口配电终端的安全通信改造方法及系统实施流程图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的详细说明。
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提供了一种双网口配电终端的安全通信改造方法及系统,如图1所示,所述系统包括:配电终端、双网口安全通信硬件系统、安全加密协处理器;所述安全通信硬件系统通过网口与所述配电终端建立连接,其中,所述配电终端通过网口将原始数据传入安全通信硬件系统中,所述安全通信硬件系统通过调用安全加密协处理器对原始数据进行IP层加密保护。具体的,所述安全通信硬件系统需调用安全加密协处理器中SM3算法对IP报文进行散列运算,所述安全通信硬件系统需调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密。加密完成数据通过所述安全通信硬件系统的网口传出。
本发明提供了一种双串口配电终端的安全通信改造方法及系统,如图2所示,所述系统包括:配电终端、双串口安全通信硬件系统(含2颗硬件TCP/IP协议栈芯片)、安全加密协处理器;所述安全通信硬件系统通过串口与所述配电终端建立连接,其中,所述配电终端通过串口将原始数据传入安全通信硬件系统中,所述原始数据为配电终端101通信规约或其他串口通信规约格式的数据,所述通过串口传入安全通信硬件系统中的原始数据需要通过安全通信硬件系统中的两个硬件TCP/IP协议栈芯片封装成IP报文,所述安全通信硬件系统通过调用安全加密协处理器采用国家商用密码算法对IP报文进行加密。具体的,所述安全通信硬件系统需调用安全加密协处理器中SM3算法对IP报文进行散列运算,所述安全通信硬件系统需调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密。加密完成数据通过所述安全通信硬件系统的串口传出。
本发明利用安全通信硬件系统及其安全加密协处理器构成的一种安全通信系统对配电终端进行了无需硬件更改的外置安全通信增强方法,并提出了具体的实施方案和流程,解决了配电终端自身硬件无法更改情况下的传输数据安全加密的问题。使用本发明所述安全通信系统,能够根据配电终端运行环境和通信接口的差异进行匹配,无需人为干预就可自动完成对原始数据的加密以及适合与主站通信的IP报文的转化。所述安全通信改造方法及系统在适应性、时效性、安全性上较现有国内外类似技术均有提升和创新。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (9)
1.一种配电终端的安全通信改造方法及系统,其特征在于,所述系统包括:配电终端、安全通信硬件系统、安全加密协处理器;
所述安全通信硬件系统通过串口/网口与所述配电终端建立连接,其中,所述配电终端通过串口/网口将原始数据传入安全通信硬件系统中,所述安全通信硬件系统通过调用安全加密协处理器对原始数据进行IP层加密保护,所述安全加密协处理器采用国家商用密码算法。
2.如权利要求1所述的系统,其特征在于,所述安全通信硬件系统可以通过串口与所述配电终端串口建立连接,用于将所述配电终端通过串口将原始数据传入安全通信硬件系统中,所述原始数据为配电终端101通信规约或其他串口通信规约格式的数据。
3.如权利要求1所述的系统,其特征在于,所述安全通信硬件系统可以通过网口与所述配电终端网口建立连接,用于将所述配电终端通过网口将原始数据传入安全通信硬件系统中,所述原始数据为配电终端104通信规约或其他网口通信规约格式IP报文。
4.如权利要求2所述的系统,其特征在于,所述通过串口传入安全通信硬件系统中的原始数据需要通过安全通信硬件系统中的两个硬件TCP/IP协议栈芯片封装成IP报文使其可以被配电自动化主站系统识别。
5.如权利要求1所述的系统,其特征在于,所述安全通信硬件系统通过调用安全加密协处理器对所述IP报文提供网络层加密保护,所述安全加密协处理器采用国家商用密码算法。
6.如权利要求3所述的系统,其特征在于,所述配电终端的网口IP与所述配电终端接入的配电自动化主站系统IP在同一网段时,所述安全通信硬件系统作为局域网ARP代理反馈所述配电终端向所述配电自动化主站系统发起的ARP查询报文。
7.如权利要求5所述的系统,其特征在于,所述安全通信硬件系统需调用安全加密协处理器中SM3算法对IP报文进行散列运算,所述安全通信硬件系统需调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密。
8.如权利要求7所述的系统,其特征在于,所述安全通信硬件系统调用的安全加密协处理器中的SM1算法,其对称密钥由所述安全通信硬件系统调用的安全加密协处理器中的SM2算法进行定时通信协商。
9.如权利要求7所述的系统,其特征在于,所述安全通信硬件系统调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密的密文数据通过安全通信硬件系统的网口/GPRS传出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611033562.1A CN106603499A (zh) | 2016-11-18 | 2016-11-18 | 一种配电终端的安全通信改造方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611033562.1A CN106603499A (zh) | 2016-11-18 | 2016-11-18 | 一种配电终端的安全通信改造方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603499A true CN106603499A (zh) | 2017-04-26 |
Family
ID=58592522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611033562.1A Pending CN106603499A (zh) | 2016-11-18 | 2016-11-18 | 一种配电终端的安全通信改造方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603499A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194490A (zh) * | 2018-09-21 | 2019-01-11 | 南京蓝途电力自动化有限公司 | 一种配电网通信安全认证系统及方法 |
| CN110224898A (zh) * | 2019-06-26 | 2019-09-10 | 南方电网科学研究院有限责任公司 | 配电终端的规约加密测试方法、装置、设备及存储介质 |
| CN110493247A (zh) * | 2019-08-29 | 2019-11-22 | 南方电网科学研究院有限责任公司 | 一种配电终端通信检测方法、系统、设备及计算机介质 |
| CN112953937A (zh) * | 2021-02-20 | 2021-06-11 | 云南电网有限责任公司电力科学研究院 | 一种电力可信计算平台通信端到端安全通信系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255885A (zh) * | 2011-04-02 | 2011-11-23 | 珠海市鸿瑞软件技术有限公司 | 能耗采集终端 |
| CN103441849A (zh) * | 2013-08-22 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统及其工作方法 |
| CN103441850A (zh) * | 2013-08-22 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统及其工作方法 |
| CN203434997U (zh) * | 2013-08-22 | 2014-02-12 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统 |
| CN203434998U (zh) * | 2013-08-22 | 2014-02-12 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统 |
| CN105871873A (zh) * | 2016-04-29 | 2016-08-17 | 国家电网公司 | 一种用于配电终端通信的安全加密认证模块及其方法 |
-
2016
- 2016-11-18 CN CN201611033562.1A patent/CN106603499A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255885A (zh) * | 2011-04-02 | 2011-11-23 | 珠海市鸿瑞软件技术有限公司 | 能耗采集终端 |
| CN103441849A (zh) * | 2013-08-22 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统及其工作方法 |
| CN103441850A (zh) * | 2013-08-22 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统及其工作方法 |
| CN203434997U (zh) * | 2013-08-22 | 2014-02-12 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统 |
| CN203434998U (zh) * | 2013-08-22 | 2014-02-12 | 成都卫士通信息产业股份有限公司 | 无线安全路由器、配电网数据传输系统 |
| CN105871873A (zh) * | 2016-04-29 | 2016-08-17 | 国家电网公司 | 一种用于配电终端通信的安全加密认证模块及其方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194490A (zh) * | 2018-09-21 | 2019-01-11 | 南京蓝途电力自动化有限公司 | 一种配电网通信安全认证系统及方法 |
| CN109194490B (zh) * | 2018-09-21 | 2021-09-03 | 南京蓝途电力自动化有限公司 | 一种配电网通信安全认证系统及方法 |
| CN110224898A (zh) * | 2019-06-26 | 2019-09-10 | 南方电网科学研究院有限责任公司 | 配电终端的规约加密测试方法、装置、设备及存储介质 |
| CN110493247A (zh) * | 2019-08-29 | 2019-11-22 | 南方电网科学研究院有限责任公司 | 一种配电终端通信检测方法、系统、设备及计算机介质 |
| CN112953937A (zh) * | 2021-02-20 | 2021-06-11 | 云南电网有限责任公司电力科学研究院 | 一种电力可信计算平台通信端到端安全通信系统 |
| CN112953937B (zh) * | 2021-02-20 | 2023-06-06 | 云南电网有限责任公司电力科学研究院 | 一种电力可信计算平台通信端到端安全通信系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
| CN106603499A (zh) | 一种配电终端的安全通信改造方法及系统 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| CN106330869A (zh) | 一种基于云应用的数据安全保护系统和方法 | |
| CN107094138B (zh) | 一种智能家居安全通信系统及通信方法 | |
| CN107094137B (zh) | 一种vpn安全网关 | |
| CN107181716A (zh) | 一种基于国家商用密码算法的网络安全通信系统及方法 | |
| CN101707767B (zh) | 一种数据传输方法及设备 | |
| CN106549502B (zh) | 一种配电安全防护监控系统 | |
| CN104811427A (zh) | 一种安全的工业控制系统通信方法 | |
| CN108900540A (zh) | 一种基于双重加密的配电终端的业务数据处理方法 | |
| EP3713147B1 (en) | Railway signal security encryption method and system | |
| CN102882850A (zh) | 一种采用非网络方式隔离数据的密码装置及其方法 | |
| CN103763301B (zh) | 一种采用ppp协议封装IPsec框架结构的系统及方法 | |
| CN103458401B (zh) | 一种语音加密通信系统及通信方法 | |
| CN113472520B (zh) | 一种ModbusTCP协议安全增强方法及系统 | |
| CN112565260B (zh) | 基于边缘计算网关的上下行数据安全隔离系统及方法 | |
| CN103167489B (zh) | 电力系统中带安全防护的无线公网通讯方法 | |
| CN111541663A (zh) | 一种基于国家密码标准的链路交换加密系统 | |
| CN110266652A (zh) | 一种智能家居安全系统 | |
| CN106685896A (zh) | 一种ssh协议多层通道内的明文数据采集方法及系统 | |
| CN108737414A (zh) | 一种互联网数据安全传输方法及其安全传输装置及其实现方法 | |
| CN107995086A (zh) | 一种基于vpdn和ipsec的智能制造物联中业务数据加密传输的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |