CN111711625A - 一种基于配电终端的电力系统信息安全加密系统 - Google Patents
一种基于配电终端的电力系统信息安全加密系统 Download PDFInfo
- Publication number
- CN111711625A CN111711625A CN202010543783.3A CN202010543783A CN111711625A CN 111711625 A CN111711625 A CN 111711625A CN 202010543783 A CN202010543783 A CN 202010543783A CN 111711625 A CN111711625 A CN 111711625A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- encryption
- encryption device
- integrated terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000009826 distribution Methods 0.000 title claims abstract description 38
- 238000004891 communication Methods 0.000 claims abstract description 50
- 238000012795 verification Methods 0.000 claims abstract description 14
- 230000005540 biological transmission Effects 0.000 claims abstract description 7
- 238000004422 calculation algorithm Methods 0.000 claims description 32
- 239000003999 initiator Substances 0.000 claims description 15
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 238000000034 method Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000002265 prevention Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00006—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00006—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
- H02J13/00028—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment involving the use of Internet protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E60/00—Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/12—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明公开了一种基于配电终端的电力系统信息安全加密系统,包括主站端和一体化终端,所述主站端和一体化终端之间设有安全加密装置,且主站端、一体化终端和安全加密装置之间通过传输通道实现通信;所述安全加密装置既能解析和验证主站端下发的密文,根据验证结果再决定是否将原始数据传送给一体化终端,也能够对一体化终端上传的数据进行加密,以密文的形式将数据传送给主站端,可实现一体化终端与主站之间的通信数据安全,满足配电自动化系统标准通信协议及信息安全防护要求。
Description
技术领域
本发明涉及安全加密技术领域,具体涉及一种基于配电终端的电力系统信息安全加密系统。
背景技术
随着大数据、云计算、物联网、移动互联网、宽带无线等信息通信技术的普遍应用,智能电网遭受病毒、木马、系统漏洞、拒绝服务等安全攻击的几率也随之上升,这也给传统以物理防护为主的电力信息安全防护体系带来了挑战。尤其是美国大面积网络瘫痪事件,为关键信息基础设施的安全防护提出了更高的要求。
随着分布式能源、电动汽车接入电网,以及通信技术的不断进步,对配电终端的安全、互动、智能等方面提出了新的要求。现有配电终端数量巨大,安全防范不足,并且由于生产企业较多,功能结构差异较大,新一代智能配电终端将提高终端自身的安全防护和数据方案,同时集成多种新型通信技术,使其具有良好的安全性、互动性、易用性、稳定性和可扩展性。
配电网是电力系统向用户供电的最后一个环节,覆盖范围广,涉及到千家万户的切身利益,其发生故障的概率也远高于高压输电网。配网自动化利用现代电子技术、通信技术和计算机网络技术将电力配电设备有机的结合在一起,有效地对配电网进行监测、保护、控制和管理,改进了电能质量,方便了电网公司的管理,获得了良好的经济效益。然而,目前配网自动化系统广泛使用的计算机网络存在许多不安全因素,网络安全防护设计薄弱,容易受到外部攻击。美国国家安全部情报显示,通过模拟攻击试验,配网自动化系统存在通过模拟RTU/FTU接入后发动攻击引起大面积停电的风险。因此,制定有力的措施,确保配电网的安全,保证用电客户的用电质量,降低停电所造成的损失是电网公司急需解决的问题。
国外一些公司的解决办法是社区用户先采用安全协议将自己的电力使用信息发送给社区网关,然后社区网关汇总所有用户的电力使用信息发送给电力公司(此过程中,社区网关无法获得每个用户的具体电力使用信息)。这样做的好处是,电力公司通过评估电网的电力使用情况来进行电力调控并不直接依赖于单个用户的实时用电情况,而是依赖于一定区域内用户的用电情况总和。此外,以汇总的形式汇报电力使用情况不仅方便对信息进行管理,隐藏单个用户信息,而且还能够节省通信带宽,降低电力公司对通信和数据的处理压力。
国内一些公司和学者已经针对智能电网终端的安全性能进行了相关的研究,有些公司从硬件角度进行研究,比如进行“配电网络安全防护密码芯片”的研究,将这些芯片应用在智能电网的各个子系统,预期能够在很大程度上防止未经许可的非法入侵行为。国家电力调度通信中心发布了国家电网[2011]168号文件《关于加强配电网自动化系统安全防护工作的通知》(简称168号文),要求配电网自动化系统采用基于调度证书的对称密钥算法实现控制命令以及参数设置指令的单项认证与报文完整性保护,非对称密钥算法选用椭圆曲线密码(elliptic curve cryptography,ECC)(160bit以上)或者RSA(1024比特以上)算法。同时,国家电力调度通信中心向配电终端厂家提供了基于各自硬件平台与软件运行环境的基于ECC体制下的SM2椭圆曲线公钥密码算法(简称SM2算法)运算库,供厂家对各自安装的设备实施安全防护改造升级。
发明内容
为了解决现有技术中的不足,本发明提出了一种基于配电终端的电力系统信息安全加密系统,可实现一体化终端与主站之间的通信数据安全,满足配电自动化系统标准通信协议及信息安全防护要求。
本发明所采用的技术方案如下:
一种基于配电终端的电力系统信息安全加密系统,包括主站端和一体化终端,所述主站端和一体化终端之间设有安全加密装置,且主站端、一体化终端和安全加密装置之间通过传输通道实现通信;所述安全加密装置既能解析和验证主站端下发的密文,根据验证结果再决定是否将原始数据传送给一体化终端,也能够对一体化终端上传的数据进行加密,以密文的形式将数据传送给主站端。
进一步,所述安全加密装置包括加密解密单元、身份认证单元和通讯模块,所述加密解密单元用于对上下行报文进行加密或解密处理,所述身份认证单元用于对主站端和一体化终端进行双向身份认证,所述通讯模块用于实现安全加密装置分别与主站端和一体化终端的通讯。
进一步,所述加密解密单元内置有集成加密算法,所述集成加密算法包括国密对称密码算法、非对称密码算法;
进一步,所述通讯模块包括网络通信单元和串口通信等单元,网络通信是采用以太网、4G的通讯方式;
进一步,所述安全加密装置包括外置式和内置式;所述外置式的安全加密装置通过网络通信分别与主站端和一体化终端进行通讯;所述内置式安全加密装置是内置于一体化终端的设备安全防控框架里,安全加密装置通过其自身的网络通信单元与主站端实现通讯,安全加密装置再利用串口通信与一体化终端实现通讯;
进一步,所述身份认证单元的双向身份认证的方法为:
步骤一,发起方首先发起身份认证的请求,然后接收方对身份进行验证,如果通过验证,则判定为合法请求者,接收方发送认证通过的信息给发起方;如果没有通过验证,接接收方告知发起方身份认证不成功,不接受发起方的数据访问请求,通过检查数字证书的合法性进一步实现身份认证;
步骤二,通过身份认证后,接收方和发起方建立通道,发起方制定好用于数据访问的密钥;
步骤三,发起方用制定好的密钥对数据进行加密,接收方收到加密的信息后再进行解密,并验证信息的完整性;
进一步,所述加密解密单元进行加密和解密的方法为:
步骤一,在网关处生成随机数r1,r1采用一体化终端的公钥和SM2椭圆曲线公钥密码算法进行加密,得到报文2;
步骤二,报文1和报文2进行连接,通过SM3国密算法实现对报文连接,进行hash计算,使用网关当中使用者私钥进行签名,为报文3,签名报文有64个字节,并将所有报文组合,形成密钥,向终端发出协商请求;
步骤三,终端收到信息后,通过网关密钥对报文3验签,如果通过验证,得到两个hash值,报文1和报文2通过SM3算法计算,得到hash2,然后和之前得到的值进行对比;
步骤四,对比的值如果不一致,则丢弃报文内容,如果对比的值一致,通过SM2算法继续对报文2加密,得到r1随机数,随机数r2通过终端形成,然后通过r1和r2的关系,得到DK的数值;
步骤五,如果报文的结构相似,可以对这些报文进行组合,一起形成密钥协商的回答,同报文一起发出;
步骤六,网关收到系统回复的报文后,采用国密算法进行验证,得到hash值,比较hash值,如果hash值相等则可以解取r2,操作随机数和DK,将确认信息发送给终端。
本发明的有益效果:
1、本发明所提出的一种基于配电终端的电力系统信息安全加密系统,基于主站端和一体化终端之间设置的安全加密装置,可以实现双向身份认证需求,同时对上下行报文进行数据加密保护,提高了终端设备与主站之间的上下行报文安全性。
2、本发明所设计的两种形式的安全加密装置,使用外置式的安全加密装置可以对旧的一体化终端设备进行改造,提高一体化终端设备的安全性;内置式的安全加密装置是内置于一体化终端内部。
3、安全加密装置是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为设备提供加密和安全认证服务,密钥被存储在硬件中,被窃的数据无法解密,从而保护数据安全。
附图说明
图1实施方案架构图;
图2外置安全加密模块;
图3内置安全加密模块;
图4安全加密芯片的终端设备加密装置;
图5配电网的安全架构;
图6加密通道的交互流程;
图7加解密流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。
由于一体化终端和主站端之间的数据通信需要考虑数据加密要求,因此在这些设备之间的数据传输,都要经过加密再解密的过程,实现对数据传输的安全防护。因此本申请提出了如图1所示的一种基于配电终端的电力系统信息安全加密系统,包括主站端和一体化终端,主站端和一体化终端之间设有安全加密装置,且主站端、一体化终端和安全加密装置之间通过传输通道实现通信;所述安全加密装置既能解析和验证主站端下发的密文,根据验证结果再决定是否将原始数据传送给一体化终端,也能够对一体化终端上传的数据进行加密,以密文的形式将数据传送给主站端。
安全加密装置包括加密解密单元、身份认证单元和通讯模块;其中,加密解密单元内置有集成加密算法具体包括国密对称密码算法、非对称密码算法,基于内置的集成加密算法,加密解密单元能够对解析和验证主站端下发的密文,也能够对一体化终端上传的数据进行加密。身份认证单元用于实现对主站端和一体化终端双向身份认证。安全加密装置的通讯模块包括网络通信单元和串口通信等单元,既可以通过网络通信分别连接主站端和一体化终端之间实现通信,也可通过串口通信实现通信;网络通信更具体的是采用以太网、4G等通讯方式。
本申请所设计的安全加密装置是可信任平台模块,其加密解密单元是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为设备提供加密和安全认证服务。用加密解密单元进行加密,密钥被存储在硬件中,被窃的数据无法解密,从而保护数据安全。基于安全加密芯片的终端设备加密装置,如图4所示。整个配电网的安全架构,如图5所示。
为了能够对现有的一体化终端实现改进,本发明设计了两种形式的安全加密装置分别如图2和3所示;图2所示的是一种外置式的安全加密装置,这种外置式的安全加密装置是通过其自身的网络通信单元采用以太网、4G等通讯方式分别与一体化终端和主站端之间的连接。这种外置式的安全加密装置适用于对现有一体化终端设备进行改造,满足不同场景的需求。
如图3所示的是一种内置式的安全加密装置,这种内置式的安全加密装置是内置于一体化终端的设备安全防控框架里,安全加密装置通过其自身的网络通信单元与主站端实现通讯,安全加密装置再利用串口通信与一体化终端实现通讯,具体安全加密装置串口通信采用RS485接口;
本安全加密装置的安全认证、对数据进行加密和解密的流程如下:
步骤一:发起方首先发起身份认证的请求,然后接收方对身份进行验证,如果通过验证,则判定为合法请求者,接收方发送认证通过的信息给发起方;如果没有通过验证,接接收方告知发起方身份认证不成功,不接受发起方的数据访问请求,通过检查数字证书的合法性进一步实现身份认证;
步骤二:通过身份认证后,接收方和发起方建立通道,发起方制定好用于数据访问的密钥;
步骤三:发起方用制定好的密钥对数据进行加密,接收方收到加密的信息后再进行解密,并验证信息的完整性。
在一体化终端与电力系统外网之间增加网关,形成加密信息传输的通道,加密通道的交互流程如图6所示,具体流程如下:
步骤一:在网关处生成随机数r1,r1采用一体化终端的公钥和SM2椭圆曲线公钥密码算法进行加密,得到报文2;
步骤二:报文1和报文2进行连接,通过SM3国密算法实现对报文连接,进行哈希(hash)计算,使用网关当中使用者私钥进行签名,为报文3,签名报文有64个字节,并将所有报文组合,形成密钥,向终端发出协商请求;
步骤三:终端收到信息后,通过网关密钥对报文3验签,如果通过验证,得到两个hash值,报文1和报文2通过SM3算法计算,得到hash2,然后和之前得到的值进行对比;
步骤四:对比的值如果不一致,则丢弃报文内容,如果对比的值一致,通过SM2算法继续对报文2加密,得到r1随机数,随机数r2通过终端形成,然后通过r1和r2的关系,得到DK的数值;
步骤五:如果报文的结构相似,可以对这些报文进行组合,一起形成密钥协商的回答,同报文一起发出;
步骤六:网关收到系统回复的报文后,采用国密算法进行验证,得到hash值,比较hash值,如果hash值相等则可以解取r2,操作随机数和DK,将确认信息发送给终端。
安全接入装置安装在配电箱中,一端通过APN方式接入安全接入区,另一端接到配电终端,配电主站通过正反向隔离连接到安全接入区。配电主站使用私钥对报文签名得到数字签名,然后使用密钥对报文进行加密,发给安全接入装置,验证数据完整性后,解密再把报文发给终端。
安全接入装置的加解密通过加密芯片的接口来完成,加解密流程如图7所示。
以上实施例仅用于说明本发明的设计思想和特点,其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施,本发明的保护范围不限于上述实施例。所以,凡依据本发明所揭示的原理、设计思路所作的等同变化或修饰,均在本发明的保护范围之内。
Claims (7)
1.一种基于配电终端的电力系统信息安全加密系统,其特征在于,包括主站端和一体化终端,所述主站端和一体化终端之间设有安全加密装置,且主站端、一体化终端和安全加密装置之间通过传输通道实现通信;所述安全加密装置既能解析和验证主站端下发的密文,根据验证结果再决定是否将原始数据传送给一体化终端,也能够对一体化终端上传的数据进行加密,以密文的形式将数据传送给主站端。
2.根据权利要求1所述的一种基于配电终端的电力系统信息安全加密系统,其特征在于,所述安全加密装置包括加密解密单元、身份认证单元和通讯模块,所述加密解密单元用于对上下行报文进行加密或解密处理,所述身份认证单元用于对主站端和一体化终端进行双向身份认证,所述通讯模块用于实现安全加密装置分别与主站端和一体化终端的通讯。
3.根据权利要求2所述的一种基于配电终端的电力系统信息安全加密系统,其特征在于,所述加密解密单元内置有集成加密算法,所述集成加密算法包括国密对称密码算法、非对称密码算法。
4.根据权利要求2所述的一种基于配电终端的电力系统信息安全加密系统,其特征在于,所述通讯模块包括网络通信单元和串口通信等单元,网络通信是采用以太网、4G的通讯方式。
5.根据权利要求4所述的一种基于配电终端的电力系统信息安全加密系统,其特征在于,所述安全加密装置包括外置式和内置式;所述外置式的安全加密装置通过网络通信分别与主站端和一体化终端进行通讯;所述内置式安全加密装置是内置于一体化终端的设备安全防控框架里,安全加密装置通过其自身的网络通信单元与主站端实现通讯,安全加密装置再利用串口通信与一体化终端实现通讯。
6.根据权利要求2-4中任意一项权利要求所述的一种基于配电终端的电力系统信息安全加密系统,其特征在于,所述身份认证单元的双向身份认证的方法为:
步骤一,发起方首先发起身份认证的请求,然后接收方对身份进行验证,如果通过验证,则判定为合法请求者,接收方发送认证通过的信息给发起方;如果没有通过验证,接接收方告知发起方身份认证不成功,不接受发起方的数据访问请求,通过检查数字证书的合法性进一步实现身份认证;
步骤二,通过身份认证后,接收方和发起方建立通道,发起方制定好用于数据访问的密钥;
步骤三,发起方用制定好的密钥对数据进行加密,接收方收到加密的信息后再进行解密,并验证信息的完整性。
7.根据权利要求6所述的一种基于配电终端的电力系统信息安全加密系统,其特征在于,步骤一,在网关处生成随机数r1,r1采用一体化终端的公钥和SM2椭圆曲线公钥密码算法进行加密,得到报文2;
步骤二,报文1和报文2进行连接,通过SM3国密算法实现对报文连接,进行hash计算,使用网关当中使用者私钥进行签名,为报文3,签名报文有64个字节,并将所有报文组合,形成密钥,向终端发出协商请求;
步骤三,终端收到信息后,通过网关密钥对报文3验签,如果通过验证,得到两个hash值,报文1和报文2通过SM3算法计算,得到hash2,然后和之前得到的值进行对比;
步骤四,对比的值如果不一致,则丢弃报文内容,如果对比的值一致,通过SM2算法继续对报文2加密,得到r1随机数,随机数r2通过终端形成,然后通过r1和r2的关系,得到DK的数值;
步骤五,如果报文的结构相似,可以对这些报文进行组合,一起形成密钥协商的回答,同报文一起发出;
步骤六,网关收到系统回复的报文后,采用国密算法进行验证,得到hash值,比较hash值,如果hash值相等则可以解取r2,操作随机数和DK,将确认信息发送给终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010543783.3A CN111711625A (zh) | 2020-06-15 | 2020-06-15 | 一种基于配电终端的电力系统信息安全加密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010543783.3A CN111711625A (zh) | 2020-06-15 | 2020-06-15 | 一种基于配电终端的电力系统信息安全加密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111711625A true CN111711625A (zh) | 2020-09-25 |
Family
ID=72540038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010543783.3A Pending CN111711625A (zh) | 2020-06-15 | 2020-06-15 | 一种基于配电终端的电力系统信息安全加密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111711625A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112270020A (zh) * | 2020-10-27 | 2021-01-26 | 江苏方天电力技术有限公司 | 一种基于安全芯片的终端设备安全加密装置 |
| CN112379870A (zh) * | 2020-11-16 | 2021-02-19 | 广东电网有限责任公司电力调度控制中心 | 一种智能终端软件架构及其控制方法 |
| CN112671710A (zh) * | 2020-11-26 | 2021-04-16 | 中国大唐集团科学技术研究院有限公司 | 一种基于国密算法的安全加密装置、双向认证及加密方法 |
| CN113093678A (zh) * | 2021-04-07 | 2021-07-09 | 国能(泉州)热电有限公司 | 一种电厂dcs系统数据处理方法 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
| CN113825135A (zh) * | 2021-09-18 | 2021-12-21 | 江苏亨鑫众联通信技术有限公司 | 微基站架构搭建认证方法、fpga及单元产品 |
| CN114697130A (zh) * | 2022-04-22 | 2022-07-01 | 国网安徽省电力有限公司信息通信分公司 | 一种电力系统智能移动终端信息安全加密方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015081788A1 (zh) * | 2013-12-02 | 2015-06-11 | 国家电网公司 | 一种两级集中部署的供电电压自动采集系统及其方法 |
| CN105871873A (zh) * | 2016-04-29 | 2016-08-17 | 国家电网公司 | 一种用于配电终端通信的安全加密认证模块及其方法 |
| CN108881224A (zh) * | 2018-06-19 | 2018-11-23 | 南方电网科学研究院有限责任公司 | 一种配电自动化系统的加密方法及相关装置 |
| CN109257327A (zh) * | 2017-07-14 | 2019-01-22 | 中国电力科学研究院 | 一种配电自动化系统的通信报文安全交互方法及装置 |
| CN109905371A (zh) * | 2019-01-24 | 2019-06-18 | 国网河南省电力公司电力科学研究院 | 双向加密认证系统及其应用方法 |
| CN110535653A (zh) * | 2019-07-15 | 2019-12-03 | 中国电力科学研究院有限公司 | 一种安全的配电终端及其通讯方法 |
-
2020
- 2020-06-15 CN CN202010543783.3A patent/CN111711625A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015081788A1 (zh) * | 2013-12-02 | 2015-06-11 | 国家电网公司 | 一种两级集中部署的供电电压自动采集系统及其方法 |
| CN105871873A (zh) * | 2016-04-29 | 2016-08-17 | 国家电网公司 | 一种用于配电终端通信的安全加密认证模块及其方法 |
| CN109257327A (zh) * | 2017-07-14 | 2019-01-22 | 中国电力科学研究院 | 一种配电自动化系统的通信报文安全交互方法及装置 |
| CN108881224A (zh) * | 2018-06-19 | 2018-11-23 | 南方电网科学研究院有限责任公司 | 一种配电自动化系统的加密方法及相关装置 |
| CN109905371A (zh) * | 2019-01-24 | 2019-06-18 | 国网河南省电力公司电力科学研究院 | 双向加密认证系统及其应用方法 |
| CN110535653A (zh) * | 2019-07-15 | 2019-12-03 | 中国电力科学研究院有限公司 | 一种安全的配电终端及其通讯方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张祥: "基于国密算法的安全芯片在电力系统网络数据安全中的应用", 《电子技术与软件工程》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112270020A (zh) * | 2020-10-27 | 2021-01-26 | 江苏方天电力技术有限公司 | 一种基于安全芯片的终端设备安全加密装置 |
| CN112270020B (zh) * | 2020-10-27 | 2022-06-21 | 江苏方天电力技术有限公司 | 一种基于安全芯片的终端设备安全加密装置 |
| CN112379870A (zh) * | 2020-11-16 | 2021-02-19 | 广东电网有限责任公司电力调度控制中心 | 一种智能终端软件架构及其控制方法 |
| CN112671710A (zh) * | 2020-11-26 | 2021-04-16 | 中国大唐集团科学技术研究院有限公司 | 一种基于国密算法的安全加密装置、双向认证及加密方法 |
| CN113093678A (zh) * | 2021-04-07 | 2021-07-09 | 国能(泉州)热电有限公司 | 一种电厂dcs系统数据处理方法 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
| CN113467311B (zh) * | 2021-07-08 | 2023-03-14 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
| CN113825135A (zh) * | 2021-09-18 | 2021-12-21 | 江苏亨鑫众联通信技术有限公司 | 微基站架构搭建认证方法、fpga及单元产品 |
| CN114697130A (zh) * | 2022-04-22 | 2022-07-01 | 国网安徽省电力有限公司信息通信分公司 | 一种电力系统智能移动终端信息安全加密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111711625A (zh) | 一种基于配电终端的电力系统信息安全加密系统 | |
| CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN103079200A (zh) | 一种无线接入的认证方法、系统及无线路由器 | |
| CN112270020B (zh) | 一种基于安全芯片的终端设备安全加密装置 | |
| CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
| Chan et al. | A secure, intelligent electric vehicle ecosystem for safe integration with the smart grid | |
| CN113726524A (zh) | 一种安全通信方法及通信系统 | |
| CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
| CN112311553B (zh) | 一种基于挑战应答的设备认证方法 | |
| CN114095168A (zh) | 一种基于量子密钥的通信方法及其加密通信终端 | |
| CN114070579A (zh) | 一种基于量子密钥的工控业务鉴权认证方法和系统 | |
| CN111541690B (zh) | 智能终端与服务端通信的安全防护方法 | |
| KR101491553B1 (ko) | 인증서 기반의 dms를 이용한 안전한 스마트그리드 통신 시스템 및 방법 | |
| CN111064752B (zh) | 一种基于公网的预置密钥共享系统及方法 | |
| Wu et al. | Efficient authentication for Internet of Things devices in information management systems | |
| CN105656623A (zh) | 一种增强智能变电站ied安全性的装置 | |
| CN113051548A (zh) | 一种轻量无扰式的工业安全控制系统 | |
| Liu et al. | A WPKI-based security mechanism for IEEE 802.16 e | |
| CN109450641B (zh) | 一种高端模具信息管理系统访问控制方法 | |
| CN115835194B (zh) | 一种nb-iot物联网终端安全接入系统及接入方法 | |
| Xie et al. | Research and Application of FTU Distribution Network Automation Security Protection Scheme Based on Embedded Security Chip | |
| Gong et al. | Cyber Security Protection of Distribution Automation System Based on Hybrid Encryption Algorithms | |
| CN113676468B (zh) | 一种基于消息验证技术的三方增强认证系统设计方法 | |
| CN116663075B (zh) | 一种基于国密算法的工控编程平台安全通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200925 |
|
| RJ01 | Rejection of invention patent application after publication |