CN115208696A - 一种变电站远动装置的远程通信方法及装置 - Google Patents
一种变电站远动装置的远程通信方法及装置 Download PDFInfo
- Publication number
- CN115208696A CN115208696A CN202211112386.6A CN202211112386A CN115208696A CN 115208696 A CN115208696 A CN 115208696A CN 202211112386 A CN202211112386 A CN 202211112386A CN 115208696 A CN115208696 A CN 115208696A
- Authority
- CN
- China
- Prior art keywords
- message
- data
- client software
- certificate
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00032—Systems characterised by the controlled or operated power network elements or equipment, the power network elements or equipment not otherwise provided for
- H02J13/00034—Systems characterised by the controlled or operated power network elements or equipment, the power network elements or equipment not otherwise provided for the elements or equipment being or involving an electric power substation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种变电站远动装置的远程通信方法及装置,属于电力系统自动化的网络安全的技术领域,其方法包括客户端软件与服务端装置分别解析对方的公钥文件获得公钥,及解析自身的私钥文件获得私钥;服务端装置启动tcp监听1900端口,客户端软件作为tcp客户端连接服务端装置的1900端口;判断tcp通信是否建立成功;若建立成功,跳转至下一步骤;进入应用层登录处理流程;在上一步骤中应用层登录成功后进入应用数据接收流程;在上一步骤进行搜帧,搜帧通过后进入应用数据处理流程。本发明适用于C/S架构的组态客户端软件本地或远程对变电站远动装置进行维护。
Description
技术领域
本发明涉及电力系统自动化的网络安全的技术领域,尤其涉及一种变电站远动装置的远程通信方法及装置。
背景技术
近年来随着信息化建设和IT技术的快速发展,网络技术的应用越来越广泛,但同时也出现了很多网络安全问题,网络安全已经成为各国关注的焦点。国际上网络安全事件频发,相继发生了乌克兰大面积停电事件、美国东部互联网服务瘫痪、勒索病毒全球爆发等网络安全事件。电力系统作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,电力系统的网络安全形势异常严峻。目前电力系统自动化系统通信中仍存在部分安全问题,如明文传输,对网络攻击报文篡改、重放、抵赖等无法抵御,数据安全性、完整性难以保证。
变电站远动装置作为变电站自动化系统中具有承上启下作用的装置,其重要性非常高。目前对于维护远动装置的方法,其采用的通信协议各异,有采用第三方协议如https、ssh协议来实现的,也有自行研发软件实现的,实现方式没有统一的标准,有基于C/S架构,也有B/S架构,通信流程各异,通信安全性难以保证。在不安全通信交互过程中,一些敏感数据有可能被未经授权的攻击者截获,从而攻击者可能以代理的方式侵入内部通信网络,就可以获取更多的敏感数据,从而威胁到本装置或者变电站自动化系统的稳定运行,进一步影响了整个电力系统的稳定可靠运行。如何解决对远动装置的安全维护,是亟待解决的问题。
发明内容
本发明针对现有技术存在的不足,提供一种变电站远动装置的远程通信方法及装置。
本发明解决上述技术问题的技术方案如下:
第一方面,本发明提供一种变电站远动装置的远程通信方法,包括:
S1:客户端软件与服务端装置分别解析对方的公钥文件public.cer获得公钥pubkey,及解析自身的私钥文件device.key获得私钥prvkey;
S2:服务端装置启动tcp监听1900端口,客户端软件作为tcp客户端连接服务端装置的1900端口;
S3:判断tcp通信是否建立成功;
若建立成功,跳转至S4;
S4:进入应用层登录处理流程;
S5:在S4中应用层登录成功后进入应用数据接收流程;
S6:在S5进行搜帧,搜帧通过后进入应用数据处理流程。
进一步的,在S1之前还包括证书配置,所述证书配置具体包括:
S11:生成本地秘钥;
S12:根据本地秘钥生成证书请求文件,导出证书请求文件,并发给证书签发机构,等待签回证书;
S13:导入本方证书;
S14:导出本方证书;
S15:导入根证书和对方证书。
进一步的,S4具体包括如下步骤:
S41:客户端软件在首次连接服务端装置时,第一次登陆时使用默认密码登陆,并强制修改;
S42:判断客户端软件运行的电脑是否插入满足安全权限的ukey;
若判断满足,则进入S43;
S43:连接维护服务端装置;
S44:校验服务端装置的唯一识别码,所述唯一识别码用于表示装置的身份;
S45:在客户端软件增加签名验签措施,所述签名验签措施为客户端软件主动发起签名认证命令,用自己的私钥prvkey对数据内容进行签名,并将结果值放在通信报文中,服务端装置收到请求命令后,用对方的公钥pubkey进行验签,如验证未通过则关闭连接,如验证通过,则向客户端发送验签通过报文,同时携带服务端的sm2签名结果值,客户端收到后进行验签,通过则发送确认报文进入下一流程,否则关闭连接。
进一步的,所述登录密码的指定复杂度要求大小写字母、数字、特殊字母至少包含三种,所述登录密码的长度不少于八位。
进一步的,S5具体包括如下步骤:
S51:校验通信报文的启动字符、校验码、结束符,不能通过校验的,则丢弃,识别出完整的报文;
S52:比较接收方接收报文的发送序号和本地记录的上一帧报文的接收序号是否一致,若接收方的发送序号小于或等于本地的接收序号,则判断此报文不安全,丢弃此报文,所述报文包含发送序号,每帧报文进行加1处理;
S53:生成令牌ID,所述令牌ID由发送方生成,每一帧报文中均包含令牌ID;
S54:接收方判断接收到的令牌ID是否合法;
如判断不合法则丢弃该帧报文;
S55:校验接收方收到的数据,并与发送方的校验值进行比较,该校验采用sm3校验;
若判断相等,则为正常报文。
进一步的,S6具体包括如下步骤:
S61:识别本帧报文的功能,进入相应的功能模块进行处理,并组织对应的响应数据报文,其中识别本帧报文的功能时通过功能码识别;
S62:发送端用对方的公钥pubkey对数据报文进行加密,增加令牌ID,增加发送序号txNo=oldtxNo+1,初始化oldtxNo为0,每发送一帧oldtxNo加1,接收方依据此txNo可以判断发送方的数据是否连续;
S63:将数据发送给对方,结束本回合的数据交互,服务端进入下一回合的数据接收流程,客户端软件处理服务端装置的响应数据,并进入下一回合的数据交互。
进一步的,所述方法通过虚拟的vpn网络进行。
进一步的,所述公钥和私钥包括线上和线下两种交互方式。
第二方面,本发明还提供一种变电站远动装置的远程通信装置,采用如下技术方案:
文件解析模块,用于解析客户端软件与服务端装置对方的公钥文件public.cer获得公钥pubkey,及解析自身的私钥文件device.key获得私钥prvkey;
端口连接模块,用于服务端装置启动tcp监听1900端口,客户端软件作为tcp客户端连接服务端装置的1900端口;
通信建立判断模块,用于判断tcp通信是否建立成功;
应用层登录处理模块,tcp通信建立成功后,用于对登陆者的信息进行处理;
应用数据接收模块,当应用层登录成功后,用于接收应用层的数据信息;
应用数据处理模块,用于处理应用层中接收到的数据信息。
综上所述,本发明的有益效果为:
(1)客户端软件和远程设备处均进行了安全加固处理,客户端软件增加了证书管理流程,可对本地及远端设备的证书进行配置与维护,为后续报文的加解密及签名验签提供操作手段;
(2)在客户端软件与远动装置建立连接时,增加对ip地址和mac地址的校验,对运行客户端软件的电脑的合法性进行验证,并增加了用户名密码及指纹的验证,对客户端软件的使用者进行了身份认证,并增加ukey的双确认认证机制,使用更安全;
(3)增加了服务端装置唯一识别码的校验,可确认远程装置的正确性,并增加了签名验签环节,在客户端软件中对通信双方的身份进一步认证,在每一帧通信报文中增加了帧发送序号和令牌ID,对每一帧报文的安全性做进一步验证;
(4)对每一帧通信报文均进行了满足国密要求的加密处理,大大增强了通信数据的机密性,防止被监听与攻击,同时在数据报文中增加sm3校验,可保证通信数据的完整性。
(5)此方法适用于本地运维,也适用于远程远维,也支持通过虚拟的vpn网络进行通信,大大提高了远程运维时的安全性,节约了装置维护的运维成本,保证了供电可靠性。
附图说明
图1为本发明实施例方法中的整体流程示意图;
图2为本发明实施例方法中的证书配置的流程示意图;
图3为本发明实施例方法中的应用层登录处理流程的流程示意图;
图4为本发明实施例方法中的应用数据接收流程的流程示意图;
图5为本发明实施例方法中的应用数据处理流程的流程示意图;
图6为本发明实施例装置中的整体结构框图;
图7为本发明实施例中的客户端软件和服务端装置的交互示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
第一方面,本发明实施例公开一种变电站远动装置的远程通信方法。
参照图1-图7,一种变电站远动装置的远程通信方法,适用于C/S架构的组态客户端软件本地或远程对变电站远动装置进行维护,具体采用如下技术方案:
S1:客户端软件与服务端装置分别解析对方的公钥文件public.cer获得公钥pubkey,及解析自身的私钥文件device.key获得私钥prvkey。
具体的,密钥文件均符合国密标准,支持PEM及DER格式。
进一步的,公钥和私钥包括线上和线下两种交互模式。
线下密钥交互模式,由于证书文件内容涉及编码签名等一系列问题,客户端软件提供了证书管理的接口,用户不需要关心证书的具体内容,也不需要记住复杂的证书管理操作命令,配置步骤如下:
S11:生成本地秘钥。
具体的,根据用户的命名规则,填写相关信息,确认之后,本地会随机生成一个sm2p256v1的密钥文件,该文件包含了一组对应的公钥和私钥信息,同时根据这个文件和参数设置生成一个证书请求文件。每次生成证书请求文件都会重新随机生成一个密钥文件,会修改本方使用的公钥和私钥信息。sm2p256v1指sm2标准中推荐的256比特的素数域椭圆曲线域参数。
S12:根据本地秘钥生成证书请求文件,导出证书请求文件,发给证书签发机构,等待签回证书。
具体的,把证书请求文件导出到客户端本地存储目录,线下发给证书签发机构,证书签发机构根据证书请求文件的内容,签发生成包含公钥信息的证书文件。
电力系统有自己独立的证书签发机构,根据用户提供的信息,把本地的证书请求文件线下发给证书签发机构,由证书签发机构签发出证书返回本地,以便本方用来与其他应用通信加密使用。
S13:导入本方证书。
具体的,把证书签发机构签发过的证书文件导入到本地,作为本机与对方通信的加密证书,同时把证书提供给要与本方通信的应用。
S14:导出本方证书。
具体的,如果有新的应用要与本方进行通信,可以导出证书文件,提供给要接入的新应用。
S15:导入根证书和对方证书。
具体的,把和本方通信的对方使用的根证书文件及证书文件导入到本方相应的证书访问目录,作为对端公钥使用。
对端公钥指:对方证书文件中的公钥数据。
利用非对称加密的原理,通信双方交换公钥,通信过程中,公钥加密,私钥解密:即数据发送之前,先把数据经过本地私钥的加密生成加密数据,通过网络发送加密后的数据,对方收到加密数据后,使用交换过来的公钥解密接收到的加密数据,之后再处理明文应用数据。
线上密钥交互模式,生成请求文件与线下方式过程相同。只是通过通信协议中的密钥交互功能,把自己的公钥文件以通信报文的形式发给对方,对方收到后直接使用,使用接口与线下交互方式相同。
S2:服务端装置启动tcp监听1900端口,客户端软件作为tcp客户端连接服务端装置的1900端口。
具体的,tcp三次握手成功后,服务端对客户端的ip地址进行校验,对于合法ip则接受其连接,如果不是识别的ip地址则关闭连接,对客户端mac地址进行校验,如果不是识别的mac地址则关闭连接,进一步提高安全性。
根据Tcp通信原理:服务端与客户端软件允许在不同的主机,服务端为运行服务程序的主机,客户端为运行客户程序的主机,服务程序监听服务主机的固定端口,客户程序连接到服务主机被监听的端口,才能建立tcp的网络连接,进行tcp数据通信。
客户端IP需要在服务程序的运行参数中进行配置,配置的IP为合法IP,未经过配置的IP为非法IP。服务端侧配置中的ip白名单配置,mac也有mac白名单配置。以此进行判断是否合法。
进一步的,服务端装置可以增加对客户端mac地址的校验,进一步提高安全性。
S3:判断tcp通信是否建立成功;
若建立成功,跳转至S4。
S4:进入应用层登录处理流程。
具体的,应用层登录处理流程具体包括:
S41:客户端软件在首次连接服务端装置时,第一次登陆时使用默认密码登陆,并强制修改。
具体的,服务端装置会在线进行用户名密码的验证,用户名和密码由客户端软件进行设置、修改和维护 ,交互过程中对用户名和密码进行了sm2加密处理。
密码必须使用强口令,指定复杂度的密码,密码复杂度要求大写字母、小写字母、数字、特殊字母至少包含其中3种,长度不少于8位。
S42:判断客户端软件运行的电脑是否插入满足安全权限的ukey;
若判断满足,则进入S43。
具体的,增加双确认机制,增加ukey的认证机制,对于客户端软件所运行的电脑必须插入满足安全权限的ukey,才允许连接维护服务端装置。
S43:连接维护服务端装置。
具体的,增加生物特征指纹的确认,对每一个用户注册时可以录入指纹,在用户登录前均需进行指纹的认证,认证通过后方可进行下一步操作,进一步提高安全性,多重身份验证,每一个身份验证都会提高远程维护的安全性。
S44:校验服务端装置的唯一识别码,所述唯一识别码用于表示装置的身份。
具体的,登录成功后,为保证远程维护的正确性,增加装置唯一识别码的校验,可唯一确认远程装置的正确性,远程装置每一台都有一个固定的唯一识别码,客户端软件需要将此唯一识别码发给服务端装置进行验证,验证通过方可进行下一步;唯一识别码在所有装置中是唯一的且不能被伪造,在系统中可以标识装置的身份。
S45:在客户端软件增加签名验签措施。
具体的,所述签名验签措施为客户端软件主动发起签名认证命令,用自己的私钥prvkey对数据内容进行签名,并将结果值放在通信报文中,服务端装置收到请求命令后,用对方的公钥pubkey进行验签,如验证未通过则关闭连接,如验证通过,则向客户端发送验签通过报文,同时携带服务端的sm2签名结果值,客户端收到后进行验签,通过则发送确认报文进入下一流程,否则关闭连接。此过程主要作用在于1)数据是由签名者发送;2)接收者接收到数据后,通过验签操作,可以确认数据从签发后到接收时未被修改过。这样就可用来防止通信数据被修改,此过过程具有不可抵赖性。
S5:在S4中应用层登录成功后进入应用数据接收流程。
具体的,应用数据接收流程具体包括:
S51:校验通信报文的启动字符、校验码、结束符,不能通过校验的,则丢弃,识别出完整的报文。
进一步的,增加对异常攻击报文的识别,增加异常报文长度值的判断,增加接收报文时间窗口的判断,以更快的识别出异常报文,提高通信效率,保证通信的安全性。
此过程可增大异常报文监测的覆盖面,又兼顾通信报文的处理效率,可提高协议的健壮性。
S52:比较接收方接收报文的发送序号和本地记录的上一帧报文的接收序号是否一致,若接收方的发送序号小于或等于本地的接收序号,则判断此报文不安全,丢弃此报文,所述每一帧报文均包含发送序号,每一帧报文进行加1处理。
具体的,在每一帧报文中增加帧发送序号,每一帧报文加1处理,接收方收到后与本地记录的上一帧报文的接收序号进行比较,发送序号必须连续,如果对方的发送序号小于或等于本地的接收序号,则认为此报文不安全,将此帧报文丢弃;此过程具有抗重放特性。
S53:生成令牌ID,所述令牌ID由发送方生成,每一帧报文中均包含令牌ID。
S54:接收方判断接收到的令牌ID是否合法;
如判断不合法则丢弃该帧报文。
S55:校验接收方收到的数据,并与发送方的校验值进行比较,该校验采用sm3校验;
若判断相等,则为正常报文。
具体的,应用层通信报文均进行国密sm2加密处理,发送端用对方的公钥对数据报文进行加密,接收端用自己的私钥对数据报文解密后,才能正确解析接收到的数据,此过程可保证通信数据的机密性。
此过程可以保证通信数据不被非授权单位非法获取并使用,对保护通信报文中的敏感数据,如用户名、密码、电力系统中的控制类命令、定值数据等有重要作用,增加数据的安全性,防止被监听与攻击。
更进一步的,发送方在数据报文中增加sm3校验,接收方收到数据后需要进行sm3校验,并与发送方的校验值比较,相等则认为是正常报文,此过程可保证通信数据的完整性。
S6:在S5进行搜帧,搜帧通过后进入应用数据处理流程。
具体的,应用数据处理流程具体包括如下步骤:
S61:识别本帧报文的功能,进入相应的功能模块进行处理,并组织对应的响应数据报文,其中识别本帧报文的功能时通过功能码识别。
具体的,功能码为通信协议中定义的代表特定功能的编码,如0x01代表用户登录,0x02代表签名验签,0x03代表实时数据读取等。
S62:发送端用对方的公钥pubkey对数据报文进行加密,增加令牌ID,增加发送序号txNo=oldtxNo+1,初始化oldtxNo为0,每发送一帧oldtxNo加1,接收方依据此txNo可以判断发送方的数据是否连续。
具体的,接收方依据此txNo可以判断发送方的数据是否连续,进一步提高通信安全性,具备了抗重放特性,增加帧头、校验码、帧尾。
S63:将数据发送给对方,结束本回合的数据交互。服务端进入下一回合的数据接收流程,客户端软件处理服务端装置的响应数据,并进入下一回合的数据交互。
进一步的,本过程适用于就地维护,也适用于远程维护,远程维护包括通过变电站内的数据网远程维护装置,包括通过纵向加密装置、交换机、防火墙等安全设备;
此过程也可通过虚拟的vpn网络,实现异地远程维护,有利于提高远程运维的便利性,同时也可以借用vpn自身的安全措施进一步提高远程网络维护安全性;
本方法在提供远程维护功能的同时,可有效防御常见的网络攻击,如篡改、重放、抵赖等,并支持密文传输,能有效保证数据传输的机密性、完整性;
本发明提供一种客户端软件远程维护远动装置的安全通信方法,该方法在客户端软件和远程设备处均进行了安全加固处理。其目的是在远方或就地维护远动装置时,可以通过更安全的方法和流程,使得在维护过程中防止有网络安全事件发生,保证变电站和电力系统的稳定运行。
第二方面,本发明实施例还公开一种变电站远动装置的远程通信装置,包括:
文件解析模块,用于解析客户端软件与服务端装置对方的公钥文件public.cer获得公钥pubkey,及解析自身的私钥文件device.key获得私钥prvkey;
端口连接模块,用于服务端装置启动tcp监听1900端口,客户端软件作为tcp客户端连接服务端装置的1900端口;
通信建立判断模块,用于判断tcp通信是否建立成功;
应用层登录处理模块,tcp通信建立成功后,用于对登陆者的信息进行处理;
应用数据接收模块,当应用层登录成功后,用于接收应用层的数据信息;
应用数据处理模块,用于处理应用层中接收到的数据信息。
本发明中使用到的加密算法说明:
本发明中使用的加密算法是国家商用密码算法,简称国密算法,是由国家密码管理局认定和公布的密码算法标准及其应用规范,sm系列密码是指用于商业的、不涉及国家秘密的密码技术。而且国密算法的开源实现项目GmSSL采用对商业应用友好的类BSD开源许可证,可以放心使用,不必担心授权问题。本发明中只用到了sm2和sm3算法。
sm2是一种非对称加密算法,是基于椭圆曲线密码的公钥密码算法标准,采用的是ECC256位的一种,其安全强度比RSA2048位高,且运算速度快于RSA,可以满足电子认证服务系统等应用的需求。
sm3是一种密码杂凑算法,是在SHA-256基础上改进实现的一种算法,采用Merkel-Damgard结构,适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成,可以满足电子认证服务系统等应用需求。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种变电站远动装置的远程通信方法,其特征在于,包括:
S1:客户端软件与服务端装置分别解析对方的公钥文件public.cer获得公钥pubkey,及解析自身的私钥文件device.key获得私钥prvkey;
S2:服务端装置启动tcp监听1900端口,客户端软件作为tcp客户端连接服务端装置的1900端口;
S3:判断tcp通信是否建立成功;
若建立成功,跳转至S4;
S4:进入应用层登录处理流程;
S5:在S4中应用层登录成功后进入应用数据接收流程;
S6:在S5进行搜帧,搜帧通过后进入应用数据处理流程。
2.根据权利要求1所述的一种变电站远动装置的远程通信方法,其特征在于,在S1之前还包括证书配置,所述证书配置具体包括:
S11:生成本地秘钥;
S12:根据本地秘钥生成证书请求文件,导出证书请求文件,并发给证书签发机构,等待签回证书;
S13:导入本方证书;
S14:导出本方证书;
S15:导入根证书和对方证书。
3.根据权利要求1所述的一种变电站远动装置的远程通信方法,其特征在于,S4具体包括如下步骤:
S41:客户端软件在首次连接服务端装置时,第一次登录时使用默认密码登录,并强制修改密码,作为登录密码使用;
S42:判断客户端软件运行的电脑是否插入满足安全权限的ukey;
若判断满足,则进入S43;
S43:连接维护服务端装置;
S44:校验服务端装置的唯一识别码,所述唯一识别码用于表示装置的身份;
S45:在客户端软件增加签名验签措施,所述签名验签措施为客户端软件主动发起签名认证命令,用自己的私钥prvkey对数据内容进行签名,并将结果值放在通信报文中,服务端装置收到请求命令后,用对方的公钥pubkey进行验签,如验证未通过则关闭连接,如验证通过,则向客户端发送验签通过报文,同时携带服务端的sm2签名结果值,客户端收到后进行验签,通过则发送确认报文进入下一流程,否则关闭连接。
4.根据权利要求3所述的一种变电站远动装置的远程通信方法,其特征在于,所述登录密码的指定复杂度要求大小写字母、数字、特殊字母至少包含三种,所述登录密码的长度不少于八位。
5.根据权利要求1所述的一种变电站远动装置的远程通信方法,其特征在于,S5具体包括如下步骤:
S51:校验通信报文的启动字符、校验码、结束符,不能通过校验的,则丢弃,识别出完整的报文;
S52:比较接收方接收报文的发送序号和本地记录的上一帧报文的接收序号是否一致,若接收方的发送序号小于或等于本地的接收序号,则判断此报文不安全,丢弃此报文,所述报文包含发送序号,每一帧报文进行加1处理;
S53:生成令牌ID,所述令牌ID由发送方生成,每一帧报文中均包含令牌ID;
S54:接收方判断接收到的令牌ID是否合法;
如判断不合法则丢弃该帧报文;
S55:校验接收方收到的数据,并与发送方的校验值进行比较,该校验采用sm3校验;
S56:若判断相等,则为正常报文。
6.根据权利要求1所述的一种变电站远动装置的远程通信方法,其特征在于,S6具体包括如下步骤:
S61:识别本帧报文的功能,进入相应的功能模块进行处理,并组织对应的响应数据报文,其中识别本帧报文的功能时通过功能码识别;
S62:发送端用对方的公钥pubkey对数据报文进行加密,增加令牌ID,增加发送序号txNo=oldtxNo+1,初始化oldtxNo为0,每发送一帧oldtxNo加1,接收方依据此txNo可以判断发送方的数据是否连续;
S63:将数据发送给对方,结束本回合的数据交互,服务端进入下一回合的数据接收流程,客户端软件处理服务端装置的响应数据,并进入下一回合的数据交互。
7.根据权利要求1所述的一种变电站远动装置的远程通信方法,其特征在于:所述方法通过虚拟的vpn网络进行。
8.根据权利要求1所述的一种变电站远动装置的远程通信方法,其特征在于:所述公钥和私钥包括线上和线下两种交互方式。
9.一种变电站远动装置的远程通信装置,包括:
文件解析模块,用于解析客户端软件与服务端装置对方的公钥文件public.cer获得公钥pubkey,及解析自身的私钥文件device.key获得私钥prvkey;
端口连接模块,用于服务端装置启动tcp监听1900端口,客户端软件作为tcp客户端连接服务端装置的1900端口;
通信建立判断模块,用于判断tcp通信是否建立成功;
应用层登录处理模块,tcp通信建立成功后,用于对登陆者的信息进行处理;
应用数据接收模块,当应用层登录成功后,用于接收应用层的数据信息;
应用数据处理模块,用于处理应用层中接收到的数据信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211112386.6A CN115208696B (zh) | 2022-09-14 | 2022-09-14 | 一种变电站远动装置的远程通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211112386.6A CN115208696B (zh) | 2022-09-14 | 2022-09-14 | 一种变电站远动装置的远程通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208696A true CN115208696A (zh) | 2022-10-18 |
| CN115208696B CN115208696B (zh) | 2022-12-06 |
Family
ID=83573764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211112386.6A Active CN115208696B (zh) | 2022-09-14 | 2022-09-14 | 一种变电站远动装置的远程通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208696B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188193A1 (en) * | 2004-02-20 | 2005-08-25 | Microsoft Corporation | Secure network channel |
| US20080016336A1 (en) * | 2006-07-17 | 2008-01-17 | Nokia Corporation | Generic public key infrastructure architecture |
| US20100217975A1 (en) * | 2009-02-25 | 2010-08-26 | Garret Grajek | Method and system for secure online transactions with message-level validation |
| CN105915342A (zh) * | 2016-07-01 | 2016-08-31 | 广州爱九游信息技术有限公司 | 一种应用程序通信处理系统、设备、装置及方法 |
| CN111740844A (zh) * | 2020-06-24 | 2020-10-02 | 上海缔安科技股份有限公司 | 基于硬件的国密算法的ssl通信方法及装置 |
| US20210344690A1 (en) * | 2020-05-01 | 2021-11-04 | Amazon Technologies, Inc. | Distributed threat sensor analysis and correlation |
| CN113824705A (zh) * | 2021-09-10 | 2021-12-21 | 浙江大学 | 一种Modbus TCP协议的安全加固方法 |
| CN114268655A (zh) * | 2021-12-20 | 2022-04-01 | 山东浪潮通软信息科技有限公司 | socket通信方法和系统 |
-
2022
- 2022-09-14 CN CN202211112386.6A patent/CN115208696B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188193A1 (en) * | 2004-02-20 | 2005-08-25 | Microsoft Corporation | Secure network channel |
| US20080016336A1 (en) * | 2006-07-17 | 2008-01-17 | Nokia Corporation | Generic public key infrastructure architecture |
| US20100217975A1 (en) * | 2009-02-25 | 2010-08-26 | Garret Grajek | Method and system for secure online transactions with message-level validation |
| CN105915342A (zh) * | 2016-07-01 | 2016-08-31 | 广州爱九游信息技术有限公司 | 一种应用程序通信处理系统、设备、装置及方法 |
| US20210344690A1 (en) * | 2020-05-01 | 2021-11-04 | Amazon Technologies, Inc. | Distributed threat sensor analysis and correlation |
| CN111740844A (zh) * | 2020-06-24 | 2020-10-02 | 上海缔安科技股份有限公司 | 基于硬件的国密算法的ssl通信方法及装置 |
| CN113824705A (zh) * | 2021-09-10 | 2021-12-21 | 浙江大学 | 一种Modbus TCP协议的安全加固方法 |
| CN114268655A (zh) * | 2021-12-20 | 2022-04-01 | 山东浪潮通软信息科技有限公司 | socket通信方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陈亮: "《基于双因素认证的虚拟云桌面访问控制系统设计与实现》", 《CNKI优秀硕士学位论文全文库》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208696B (zh) | 2022-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020087805A1 (zh) | 基于双密值和混沌加密的可信测控网络认证方法 | |
| CN111435913B (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
| CN111740844A (zh) | 基于硬件的国密算法的ssl通信方法及装置 | |
| CN113225352B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
| CN111181723B (zh) | 物联网设备间离线安全认证的方法和装置 | |
| CN111918284B (zh) | 一种基于安全通信模组的安全通信方法及系统 | |
| CN111224784B (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| CN113572740A (zh) | 一种基于国密的云管理平台认证加密方法 | |
| WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
| CN113918967A (zh) | 基于安全校验的数据传输方法、系统、计算机设备、介质 | |
| CN116633530A (zh) | 量子密钥传输方法、装置及系统 | |
| Han et al. | A survey on MITM and its countermeasures in the TLS handshake protocol | |
| CN112583807A (zh) | 一种验证方法、装置、电子设备及存储介质 | |
| CN116743470A (zh) | 业务数据加密处理方法及装置 | |
| CN113992411A (zh) | 一种基于可信设备的用户身份认证方法和装置 | |
| CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
| CN107104888B (zh) | 一种安全的即时通信方法 | |
| CN117354032A (zh) | 一种基于代码服务器的多重认证方法 | |
| CN115208696B (zh) | 一种变电站远动装置的远程通信方法及装置 | |
| CN112995140B (zh) | 安全管理系统及方法 | |
| CN113347004A (zh) | 一种电力行业加密方法 | |
| Bozkurt et al. | Exploring the Vulnerabilities and Countermeasures of SSL/TLS Protocols in Secure Data Transmission Over Computer Networks | |
| CN110855444A (zh) | 一种基于可信第三方的纯软件cava身份认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |