CN111988328A - 一种新能源厂站发电单元采集终端数据安全保障方法及系统 - Google Patents

Abstract

本发明提供一种新能源厂站发电单元采集终端数据安全保障方法及系统，主要从采集终端接入安全、采集数据安全传输和站控层数据安全使用三方面考虑，针对数据采集、传输、使用三个环节增加安全防护措施，保障数据安全，形成一套完整的方法和系统。本发明通过对采集终端进行软硬件安全加固保障终端安全接入，通过合理利用基于数字证书技术的双向身份认证技术和基于SM2的ECDH安全密钥交换协议保障数据安全传输，同时通过利用数据过滤技术和网络隔离技术实现站控层数据的安全，形成一套完整的实现新能源厂站发电单元采集数据安全的方法及系统，对新能源厂站数据安全的防护具有普适性，具有广泛的应用前景。

Description

一种新能源厂站发电单元采集终端数据安全保障方法及系统

技术领域

本发明涉及新能源厂站发电单元的数据采集，具体为一种新能源厂站发电单元采集终端数据安全保障方法及系统。

背景技术

新能源是指传统能源之外的各种能源形势，主要包括风能、太阳能、生物质能等，是未来电网发展的大趋势。利用新能源逐步取代传统能源进行发电将是今后电力工业发展的趋势，新能源发电具有良好的发展前景和实用价值。以新能源为支点的能源转型成为当前我国能源发展的新趋势，国家战略明确提出大力发展新能源，并制定了阶段性发展目标。

随着越来越多的新能源厂站的建设和入网，新能源厂站的网络安全风险也日益突出。新能源厂站主要存在终端接入风险、远程运维风险、场站监控中心网络外连、物理安全风险、系统本体安全风险、人员安全管理风险等。终端接入风险主要是由于风电场覆盖面积大，一般相邻风机之间距离较远，风机之间组成多个局域环网与控制室总控和监控主机进行通信。风机之间通过光纤交换机互联，缺乏身份认证、数据加密、访问控制等必要的网络安全防护手段，存在假冒/非授权无线终端接入、无线通信被劫持、窃听，进而遭受指令篡改和网络侵入的隐患。远程运维风险是因为能源厂站数量众多、分布地域广泛、地理位置偏远等特点，运营方为降低成本，常采取租用公共网络进行远程运维管理，通过接入多个风电场生产控制大区对场站安全Ⅰ区的监控系统和安全Ⅱ区的功率预测系统进行远程监视控制。同时，场站监控中心网络未严格落实横向隔离措施，直接或间接与互联网连接。

新能源厂站的安全防护问题可能会对整个电网的安全造成威胁，一方面，来自新能源厂站端网络的攻击可能向上渗透，严重威胁整个电网端调度控制系统安全和稳定性，例如，如果新能源厂站受到网络攻击，将可能导致机组大规模脱网事故，最终影响电网系统电压和频率的稳定；另一方面，新能源厂站网络虽然具备防火墙、加密机、隔离装置等必要的安全防护能力，但其监控系统、控制系统和网络化信息系统也极有可能受到来自网络纵向边界的渗透和攻击，导致难以预料的双向安全后果。

随着新能源厂站规模的不断扩大，构造的复杂性日益增加，选址程度逐渐偏远，为了确保新能源厂站的安全稳定运行，实现对所有发电机组有效监控控制，目前主要采用厂站监控系统来对发电机组数据进行现场或远程监控控制，并通过发电机组采集单元来收集发电机组内部各组件的监控信息，从而具体分析新能源厂站运行情况和报告发电机组发电状况。

现有新能源厂站的风电数据采集主要分为升压站上送信息和风电场上送信息，如图1所示，升压站的信息由升压站传送，风电场信息由风电场传送，因此风电采集的数据范围包括升压站的数据信息和风电场的数据信息。风电场升压站计算机监控系统(或远动装置)直采信息传送包括遥测信息和遥信信息。数据采集应用通过网络传输负责采集子站系统的数据信息并进行规约处理，将实时数据提供给后台应用。数据采集应用系统由数据采集通信网关、数据采集子网段和数据采集接口设备组成。数据采集与交换系统构成独立的数据采集子网。数据采集通信网关的前端和连接采集通道的接口设备均连接到数据采集子网上，数据采集通信网关的后端连接到调度技术支持系统的主干网上。

现有的新能源厂站的安全防护要求主要包括生产控制大区与管理信息大区之间采用电力专用横向单向安全隔离装置，生产控制大区与电力调度数据网之间采用电力专用纵向加密认证装置，厂站域各系统之间设置防火墙，VLAN等，以及入侵检测、恶意代码防范等综合安全防护，实现厂站域的安全分区、横向隔离和网络专用，以及与电力调度网的纵向认证和边界防护。

现有的安全防护体系中未涉及新能源厂站站控层与发电单元采集终端的通信数据安全防护。由于新能源发电机组数量多、分布广，发电单元采集终端与站控层之间的远程通信中更容易受到数据泄露以及非法用户的攻击，使其成为现有新能源厂站安全防护体系当中的薄弱环节。同时，现有的安全防护体系也未涉及现有新能源厂站纵向网络边界的安全防护，因此，新能源厂站纵向网络边界的实时安全威胁检测和安全防护，是一项必然而且紧迫的需求。

发明内容

针对现有技术中存在的问题，本发明提供一种新能源厂站发电单元采集终端数据安全保障方法及系统，主要从采集终端接入安全、采集数据安全传输和站控层数据安全使用三方面考虑，针对数据采集、传输、使用三个环节增加安全防护措施，保障数据安全，形成一套完整的方法和系统。

本发明是通过以下技术方案来实现：

一种新能源厂站发电单元采集终端数据安全保障方法，从新能源厂站发电单元数据的采集、传输和使用流程，进行如下闭环的安全处理，

对采集终端进行安全加固处理，保障采集数据的接入安全；

对采集数据的传输采用安全协议，保障采集数据的传输安全；

对采集数据的存储采用安全过滤检测，交互采用安全交换，保障站控层数据的读写安全。

优选的，所述的安全加固处理包括软件和硬件安全加固；

所述的软件安全加固包括在采集终端内部采用行为控制技术和终端安全检查技术进行安全检查；

所述的硬件安全加固包括增加安全加密芯片、进行硬件安全裁剪、定制硬件模块实现硬件加固。

进一步，行为控制技术从系统行为的不同角度出发，监视终端主机中进程的各种行为，并根据系统内置的安全规则进行匹配，如果进程行为触发相应的系统规则，能够根据规则设定允许放行或禁止操作；

终端安全检查技术检查终端状态是否合乎安全要求，以及用户的行为是否合法；当采集终端在访问站控监控系统资源前，进行终端安全性检查，不符合安全检查策略的终端将被禁止访问系统资源。

进一步，在嵌入式终端设备内增加终端加密认证装置，通过终端加密认证装置中的安全加密芯片，为嵌入式终端设备提供身份认证和通信数据加密的安全功能；

在定制硬件模块的采集终端中，通过增加安全芯片实现终端安全增强、身份鉴别和数据加解密。

优选的，所述采用安全协议的具体方法包括，通信的双方首先根据身份认证协议互相验证对方的合法性，保证只有合法终端才能建立通信通道，在此基础上利用密钥交换协议生成一个安全的对称加密密钥并利用产生的密钥对传输通道进行加密。

进一步，通信的双方首先根据身份认证协议互相验证对方的合法性，采用基于数字证书的双向身份认证，通过在采集终端里添加终端身份认证模块，将由权威机构颁发的有效证书存放在终端身份认证模块里，当采集终端和安全接入系统建立TCP连接之后，终端通过安全协议上报自身信息，安全接入系统通过身份认证模块解析终端信息并对终端进行认证；

所述的密钥交换协议采用基于SM2的ECDH安全密钥交换协议。

优选的，所述的安全过滤是采用数据包过滤技术对流经该系统的每个数据包进行审查；所述的安全交换是通过隔离交换硬件进行非TCP/IP网络形式的数据安全交换。

进一步，数据包过滤技术是对数据包进行格式审查和保密性检测，通过系统接收到的规则表进行筛选，过滤器检查规则表中的每一条规则直至发现数据包中的信息与某规则相符；根据数据包的结构特点，数据包过滤通过分析IP头和TCP头的设定信息段进行；

所述的安全交换，通过采用网络隔离设备，在非TCP/IP网络形式的数据交换时，从物理层到应用层全部断开外网机到内网机的网络。

一种新能源厂站发电单元采集终端数据安全保障系统，包括，

用于对采集终端进行安全加固的安全加固模块；

用于对采集数据的传输进行安全协议加密的加密传输模块；

用于对采集数据的存储进行安全过滤检测和隔离交互的数据过滤隔离模块。

进一步，所述的安全加固模块包括设置在采集终端中的安全加密芯片和定制硬件；

所述的加密传输模块用于通过身份认证协议互相验证对方的合法性并建立通信通道，利用密钥交换协议生成一个安全的对称加密密钥并利用产生的密钥对传输通道进行加密；

所述的过滤隔离模块包括用于对数据包进行格式审查和保密性检测的过滤模块，以及用于控制高速存储硬件的隔离开关；所述的高速存储硬件分别连接外网机数据缓冲区和内网机数据缓冲区；隔离开关控制高速存储硬件与内网机数据缓冲区和外网机数据缓冲区中的一个连通，另一个断开。

与现有技术相比，本发明具有以下有益的技术效果：

本发明提出了一种新能源厂站发电单元采集终端数据安全保障方法及系统，涉及保障采集终端接入安全的方法、保障采集数据安全传输的方法和保障站控层数据安全的方法。通过对采集终端进行软硬件安全加固保障终端安全接入，通过合理利用基于数字证书技术的双向身份认证技术和基于SM2的ECDH安全密钥交换协议保障数据安全传输，同时通过利用数据过滤技术和网络隔离技术实现站控层数据的安全，形成一套完整的实现新能源厂站发电单元采集数据安全的方法及系统，对新能源厂站数据安全的防护具有普适性，具有广泛的应用前景。

附图说明

图1为现有的风电数据采集监控系统的框架结构图。

图2为本发明所述方法的总体流程框图。

图3为本发明实施例中所述的隔离交换模块架构图。

具体实施方式

下面结合具体的实施例对本发明做进一步的详细说明，所述是对本发明的解释而不是限定。

本发明通过从数据采集、传输、使用三个环节考虑，保障数据从发电单元采集终端到站控层的安全，其中采集终端安全接入从源头杜绝危险，为数据安全传输提供完整性保证，数据安全传输为实现站控层数据安全使用提供机密性和完整性保护，站控层数据安全使用实现采集终端采集数据的价值，实现保障关键数据的闭环安全，为站控层风电和光伏采集系统、在线监测等业务系统的安全运行提供有力支撑。

本发明一种新能源厂站发电单元采集终端数据安全保障方法，从新能源厂站发电单元数据的采集、传输和使用的流程，进行闭环的安全处理，总体流程如图2所示，具体包括如下能够形成闭环安全的步骤：

1)通过采集终端安全加固保障采集终端接入安全。对采集终端进行软件和硬件安全加固，增加符合国密标准的加密芯片或硬件加密模块，为终端提供身份认证、通信数据加密等安全功能。根据专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强，实现对目标采集终端的安全加固。其主要目的是：消除与降低安全隐患。

2)通过安全协议保障采集数据的安全传输。采用基于SM2的ECDH安全密钥交换协议以及基于数字证书技术的双向身份认证协议，防止数据在传输过程中被窃听、篡改、破坏、插入重放攻击，保证数据传输的安全。密钥交换协议是通信双方通过不安全的信道协商密钥，然后进行对称加密传输。数字证书技术是在互联网通讯中标志通讯各方身份信息的一个数字认证，用于在网上识别对方的身份。数字证书又称为数字标识，对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证信息和数据的完整性和安全性。身份认证技术也称为“身份验证技术”或“身份鉴别技术”，是指在网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

3)通过数据安全过滤和安全交换保障站控层数据安全。采用数据包过滤核心技术对流经该系统的每个数据包进行审查，通过隔离交换硬件进行非TCP/IP网络形式的数据安全交换。数据过滤技术是防火墙的基本技术，通过对数据包进行格式审查和保密性检测，根据服务器下发的白名单规则，如果所传输的数据与白名单内容不符，则抛弃当前传输包内容，同时抛弃之前已经传输完成的内容并停止传输之后将要传输的同一对话内容数据。网络隔离技术指两个或两个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享，也就是说，通过网络隔离技术既可以使两个网络实现物理上的隔离，又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内在进行安全交互。目前，一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。

其中，采集终端安全加固保障采集终端接入安全的方法，通过行为控制技术、终端安全检查技术等安全技术及在采集终端内部加装行为控制模块、安全检查模块、身份认证模块以及安全通信模块等软件加固方式保证终端自身安全，通过增加安全加密芯片、硬件安全裁剪、定制硬件加密模块等实现硬件加固。

本优选实例中，首先，增加终端加密认证装置用于嵌入式终端设备的安全改造，通过内嵌安全芯片，为终端提供身份认证、通信数据加密等安全功能；其次，对于新生产研发的终端，通过增加安全芯片实现终端安全增强、身份鉴别和数据加解密。其中加密认证装置对嵌入式终端设备的安全改造，通过内嵌安全芯片，为终端提供身份认证、通信数据加密等安全功能。支持采集业务终端接入。支持网口、RS485等多种数据传输协议；满足国密算法的要求，能提供SM1、SM2和SM3等多种商密算法。采集终端加密认证装置整体采用工业级设计，以满足客户现场恶劣环境需求。

行为控制技术的主要特征在于从系统行为的不同角度出发立体化保护终端主机的安全，监视终端主机中进程的各种行为，并根据系统内置的安全规则进行匹配，如果进程行为触发相应的系统规则，能够根据规则设定允许放行或禁止操作。

终端安全检查技术的主要特征是检查终端状态是否合乎安全要求、用户的行为是否合法。采集终端在访问站控监控系统资源前，需要进行安全性检查，不符合安全检查策略的终端将被禁止访问系统资源。

其中，保障采集数据安全传输的方法，包括，通信的双方首先根据身份认证协议互相验证对方的合法性，保证只有合法终端才能建立通信通道，在此基础上利用密钥交换协议生成一个安全的对称加密密钥并利用产生的密钥对传输通道进行加密，防止数据在传输过程中被窃听、篡改、破坏、插入重放攻击，保证数据传输的安全。

基于数字证书的双向身份认证主要特征是通过在终端里添加终端身份认证模块(硬件加密卡)，将由权威机构颁发的有效证书存放在终端身份认证模块里，当终端和安全接入系统建立TCP连接之后，终端通过安全协议上报自身信息，安全接入系统通过身份认证模块解析终端信息并对终端进行认证。

数字证书的主要特征是提供一种在线验证协商双方身份的方式，证书机构CA颁发给采集终端的电子身份证明，它数字证书是一个经证书机构CA中心的数字签名、包含公开密钥拥有者信息以及公开密钥的文件。

数字证书技术实现对传输报文的签名验签功能，保证接入终端的身份合法性。通过设计身份认证交换协议，通信双方分别对传入的对端证书进行验证。发起方利用自己的私钥对产生的随机数做SM2加密，能利用SM3算法使用自己的数字证书里的公钥做HASH运算，对运算结果使用自己的SM2私钥进行签名，然后将签名值以及数字证书发送到身份认证响应方，发起方的身份认证通信协议设计身份认证响应方接收到发起方的身份认证请求后，从报文中获取其数字证书，利用openssl的X509解析API取出数字证书中的公钥，利用公钥对发送的签名值进行验签，如果验签成功，说明响应方验证发起方身份成功，此时，响应方也应该将自己的数字证书发给发起方，保证双向身份认证成功，响应方的报文拼凑过程和发起方类似。

基于SM2的ECDH安全密钥交换协议主要特征是满足采集业务防护需求，解决了传统采集业务中终端的计算能力有限，在密钥交换过程中不会将所有信息相互传递的问题。进一步地，安全隧道建立的特征是需要通信双方首先完成身份认证以及密钥协商，只有完成了身份认证的终端，服务端才允许其进行下一步操作，对于不满足密钥协商规范或未完成身份认证的终端，服务端需将发送错误码到终端，加密认证装置重新进行身份认证。

其中，保障站控层数据安全的方法，包括，对采集数据进行安全过滤和转发，保证站控层数据的安全。

应用数据过滤技术主要特征是对数据包进行格式审查和保密性检测，通过系统接收到的规则表进行筛选，过滤器检查规则表中的每一条规则直至发现数据包中的信息与某规则相符。根据数据包的结构特点，数据包过滤功能主要通过分析IP头和TCP头的一些信息段来实现。

应用网络隔离技术主要特征在于网络之间通过非网络形式进行数据传输，联网基于TCP/IP协议，阻断外网网络攻击者与内网的网络连接，可以通过研发非TCP/IP隔离交换专用协议实现。非TCP/IP网络形式的数据交换，需要断开外网机到内网机的网络，选择从物理层到应用层全部断开，目前已经市场上的网络隔离设备，一般采用这种方法，它可以保证外网机、内网机之间不存在网络连接。

其隔离交换模块架构如图3所示。外网机数据缓冲区、内网机数据缓冲区分别为外网机、内网机的一块内存区域，高速存储硬件提供数据的高速读写，隔离开关由控制电路实现，控制高速存储硬件与内网机、高速存储硬件与外网机同一时刻只能有一对相连一对断开，以此来达到内网机与外网机隔离的效果。这种方式能有效解决网络隔离的问题，但是性能瓶颈表现在隔离交换硬件上，并且隔离开关硬件电路的实现，以及为保证数据交换的及时性而采用的分时调度、分片传输的数据交换策略进一步使这种设计的性能降低。

针对现有的安全防护体系中未涉及新能源厂站站控层与发电单元采集终端的通信数据安全防护，发电单元采集终端与站控层之间的远程通信中更容易受到数据泄露以及非法用户的攻击，本发明提出了一种新能源厂站发电单元采集终端数据安全保障方法，涉及保障采集终端接入安全的方法、保障采集数据安全传输的方法和保障站控层数据安全的方法。从数据采集、传输、使用三个环节考虑，保障数据从发电单元采集终端到站控层的闭环安全，避免了因为存在短板而产生的泄漏和受到非法用户的攻击，每个步骤都是以前一步骤的安全为基础进行实现的，而不是独立的分别进行各个环节的保证，通过相互之间的协同实现对采集终端数据的安全保障，从而可以实现对关键数据的有效防护，解决现有新能源厂站安全防护体系当中的薄弱环节，为整个电网的安全提供有力支撑。

Claims (10)

1.一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，从新能源厂站发电单元数据的采集、传输和使用流程，进行如下闭环的安全处理，

对采集终端进行安全加固处理，保障采集数据的接入安全；

对采集数据的传输采用安全协议，保障采集数据的传输安全；

对采集数据的存储采用安全过滤检测，交互采用安全交换，保障站控层数据的读写安全。

2.根据权利要求1所述的一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，所述的安全加固处理包括软件和硬件安全加固；

所述的软件安全加固包括在采集终端内部采用行为控制技术和终端安全检查技术进行安全检查；

所述的硬件安全加固包括增加安全加密芯片、进行硬件安全裁剪、定制硬件模块实现硬件加固。

3.根据权利要求2所述的一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，

行为控制技术从系统行为的不同角度出发，监视终端主机中进程的各种行为，并根据系统内置的安全规则进行匹配，如果进程行为触发相应的系统规则，能够根据规则设定允许放行或禁止操作；

终端安全检查技术检查终端状态是否合乎安全要求，以及用户的行为是否合法；当采集终端在访问站控监控系统资源前，进行终端安全性检查，不符合安全检查策略的终端将被禁止访问系统资源。

4.根据权利要求2所述的一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，

在嵌入式终端设备内增加终端加密认证装置，通过终端加密认证装置中的安全加密芯片，为嵌入式终端设备提供身份认证和通信数据加密的安全功能；

在定制硬件模块的采集终端中，通过增加安全芯片实现终端安全增强、身份鉴别和数据加解密。

5.根据权利要求1所述的一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，所述采用安全协议的具体方法包括，通信的双方首先根据身份认证协议互相验证对方的合法性，保证只有合法终端才能建立通信通道，在此基础上利用密钥交换协议生成一个安全的对称加密密钥并利用产生的密钥对传输通道进行加密。

6.根据权利要求5所述的一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，通信的双方首先根据身份认证协议互相验证对方的合法性，采用基于数字证书的双向身份认证，通过在采集终端里添加终端身份认证模块，将由权威机构颁发的有效证书存放在终端身份认证模块里，当采集终端和安全接入系统建立TCP连接之后，终端通过安全协议上报自身信息，安全接入系统通过身份认证模块解析终端信息并对终端进行认证；

所述的密钥交换协议采用基于SM2的ECDH安全密钥交换协议。

7.根据权利要求1所述的一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，所述的安全过滤是采用数据包过滤技术对流经该系统的每个数据包进行审查；所述的安全交换是通过隔离交换硬件进行非TCP/IP网络形式的数据安全交换。

8.根据权利要求1所述的一种新能源厂站发电单元采集终端数据安全保障方法，其特征在于，数据包过滤技术是对数据包进行格式审查和保密性检测，通过系统接收到的规则表进行筛选，过滤器检查规则表中的每一条规则直至发现数据包中的信息与某规则相符；根据数据包的结构特点，数据包过滤通过分析IP头和TCP头的设定信息段进行；

所述的安全交换，通过采用网络隔离设备，在非TCP/IP网络形式的数据交换时，从物理层到应用层全部断开外网机到内网机的网络。

9.一种新能源厂站发电单元采集终端数据安全保障系统，其特征在于，包括，

用于对采集终端进行安全加固的安全加固模块；

用于对采集数据的传输进行安全协议加密的加密传输模块；

用于对采集数据的存储进行安全过滤检测和隔离交互的数据过滤隔离模块。

10.根据权利要求9所述的一种新能源厂站发电单元采集终端数据安全保障系统，其特征在于，

所述的安全加固模块包括设置在采集终端中的安全加密芯片和定制硬件；

所述的加密传输模块用于通过身份认证协议互相验证对方的合法性并建立通信通道，利用密钥交换协议生成一个安全的对称加密密钥并利用产生的密钥对传输通道进行加密；

所述的过滤隔离模块包括用于对数据包进行格式审查和保密性检测的过滤模块，以及用于控制高速存储硬件的隔离开关；所述的高速存储硬件分别连接外网机数据缓冲区和内网机数据缓冲区；隔离开关控制高速存储硬件与内网机数据缓冲区和外网机数据缓冲区中的一个连通，另一个断开。

Images