CN117857076A - 一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术 - Google Patents
一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术 Download PDFInfo
- Publication number
- CN117857076A CN117857076A CN202311495817.6A CN202311495817A CN117857076A CN 117857076 A CN117857076 A CN 117857076A CN 202311495817 A CN202311495817 A CN 202311495817A CN 117857076 A CN117857076 A CN 117857076A
- Authority
- CN
- China
- Prior art keywords
- public building
- large public
- terminal
- access
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 7
- 238000012550 audit Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 238000011217 control strategy Methods 0.000 claims description 3
- 238000013461 design Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000006243 chemical reaction Methods 0.000 claims description 2
- 238000004140 cleaning Methods 0.000 claims description 2
- 230000010354 integration Effects 0.000 claims description 2
- 238000010248 power generation Methods 0.000 claims description 2
- 230000002787 reinforcement Effects 0.000 claims description 2
- 238000011160 research Methods 0.000 claims description 2
- 230000004927 fusion Effects 0.000 claims 1
- 238000012423 maintenance Methods 0.000 claims 1
- 238000004458 analytical method Methods 0.000 abstract description 4
- 238000012546 transfer Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000007634 remodeling Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,该技术通过对基于高安全分布式属性的大型公共建筑电力系统终端接入的管控网络进行深入分析,构建基于大型公共建筑电力系统区块链的认证模型,确定该认证模型的可行性和实施措施,然后进一步优化基于大型公共建筑电力系统属性的访问控制模型,提出大型公共建筑电力系统终端接入方案,解决大型公共建筑电力系统的终端安全接入的集中式风险。
Description
技术领域
本项目涉及大型公共建筑的分布式新能源网络、网络安全、物联网技术领域,特别是一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术。
技术背景
大型公共建筑设施覆盖范围较广,实际距离也较远,相互间利用局域环网及总控、主机传递数据。由于是使用交换机实现连接,未能有效布置身份验证及信息加密等防护措施,同时大型公共建筑电力系统采用无线形式与主机关联,未根据有关标准设置安全接入区以及访问认证加密等,这就给无授权接入、破坏等行为创造了可乘之机。采集系统在终端接入方面尚未形成规范化标准,因此存在一定的安全风险。部分大型公共建筑电力系统甚至把前置设备、控制终端与站控层直接相连,这种网络系统结构下,若控制终端遭到入侵,就会通过连接线路进入站内的各个系统;此外,大型公共建筑电力系统端利用无线网进行数据传输,若数据在传送过程中被截获,也会引发安全问题。
传统的安全方案存在严重的中心化风险,目前集中式的PKI系统存在3大安全问题:单点失效、证书颁发机构易受攻击、中心渎职问题。在访问控制方面,传统的访问控制机制存在策略决策中心化和访问控制单点化的问题,这些问题会导致中心化的安全方案成为分布式新能源网络结构的安全突破口,一旦安全中心被突破,终端接入的安全基石将不复存在。因此,急需研究一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,解决终端安全接入的集中式风险。
发明内容
为克服上述现有技术的不足,本发明提供了一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术。包括:
基于高安全分布式属性的大型公共建筑电力系统终端接入的管控网络:在大规模分布式新能源场站并网的情况下,构建分布式的PKI体系,实现更加健壮的身份认证和访问控制服务;
基于大型公共建筑电力系统区块链的认证模型:利用区块链技术实现分布式的公共账本,将用户身份和证书公钥关联,构建去中心化的PKI系统;
基于大型公共建筑电力系统属性的访问控制模型:对该访问模型进行了拓展,用区块链交易的形式对访问控制策略进行管理;
一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术路线为:首先对大型公共建筑电力系统安全模型进行深入分析,提出基于区块链构建身份认证和访问控制服务的可行性和实施方法,进而结合实际应用场景设计了身份认证模型和访问控制模型,通过分析大型公共建筑电力系统数据信息与区块链技术特征,对大型公共建筑电力系统数据管理平台进行了架构上的重塑,然后将区块联盟链技术内嵌在大型公共建筑电力系统数据管理框架中,并利用区块链技术的分布式存储、非对称加密、共识机制、智能合约等特点解决大型公共建筑电力系统数据存储、传输、应用、共享等问题,实现大型公共建筑电力系统网络安全运行。
步骤一:构建分布式的PKI体系。在大规模分布式新能源场站并网的情况下,设计PKI的整体架构,建立终端安全接入的信任契约,实现跨域分 布式的身份认证和访问控制,解决中心化带来的安全风险。
提出的安全服务模型分为2个维度:一是跨域终端接入安全,重点解决不同大型公共建筑电力系统与调度中心、发电集团集控中心、第三方运维中心之间的终端安全接入问题;二是站内终端安全接入安全,解决场站内部的终端安全接入问题。区别于传统集中式的安全防护措施,提出的安全服务模型基于2个能够跨链互连的区块链系统,身份认证链和访问控制链。
步骤二:基于大型公共建筑电力系统区块链的认证模型。该模型描述分为2个层次:一是基础服务层,二是协议流程层。基础服务层维护基础的区块链数据结构,各数据区块以哈希链的方式前后相连。数据区块分为区块头和区块体,其中区块头存储上一区块的哈希值,并记录该区块的哈希树根,这样就形成了不可篡改的数据记录。
区块体是交易集合,在应用于身份认证场景是,通常包括身份编号(identity,ID),公钥(public key,PK)和状态(用于说 明该公钥是否有效)。在提出的大型公共建筑电力系统区块链认证模型中,利用区块链技术实现分布式的公共账本,将用户身份和证书公钥关联,构建去中心化的PKI系统。由于任何用户都可以查看证书的签发过程,解决了传统PKI体系面临的CA单点化问题和证书不透明的问题。
步骤三:对大型公共建筑电力系统属性的访问控制模型进行拓展。用区块链交易的形式对访问控制策略进行管理,其中交易类型包括2种:一种是策略创建交易(policycreation transaction, PCT),用于实现策略的创建、更新和撤销;另一种是权限转移交易(right transfer transaction,RTT),用于实现用户之间的权限转移。
基于区块链进行权限和策略的交易能够形成分布式不可篡改的日志审计功能,有效对抗各参与者的欺诈行为。最后,在上述设计模型的基础上提出基于区块链的终端安全接入方案,对大型公共建筑电力系统终端的跨域和站内互联接入行为进行高效可靠的管控。
附图说明
图1为安全服务模型图。
图2为基于区块链的认证模型图。
图3为大型公共建筑电力系统终端接入方案过程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术包括以下步骤:
步骤一:构建分布式的PKI体系。
需求分析:首先,明确定义PKI体系的需求,包括身份验证、数据加密、数字签名等方面的需求。
体系结构设计:设计PKI的整体架构,确定根证书机构(Root CA)和中间证书机构(Intermediate CA)的关系,以及如何处理证书更新和吊销等事务。
网络拓扑规划:决定PKI在组织或网络中的分布方式,包括PKI服务器和CA的位置,网络接入方式,以及通信协议。
根证书机构:创建根CA,它是整个PKI体系的根源。根CA的私钥必须高度保护,通常是离线存储的。
中间证书机构:创建一个或多个中间CA,用于签发终端实体的证书。中间CA的私钥也需要保护。
证书颁发:设置CA服务器并配置它们以签发证书。确保证书颁发过程满足组织的安全政策。
证书存储和检索:建立有效的证书存储和检索系统,使终端实体能够获取和验证证书。
密钥生成:生成和存储密钥,确保密钥生成过程安全。
密钥分发:安全地将密钥传送给相关实体。
密钥轮换:定期轮换密钥以增加安全性。
制定安全策略:定义PKI的安全政策,包括证书有效期、密钥长度、访问控制等方面。
监控和审计:实施监控措施,以检测异常活动,并记录审计数据以进行后续分析。
集成到应用程序:确保应用程序能够使用PKI证书进行身份验证和数据加密。
自动化流程:自动化证书颁发和更新的流程,以减轻管理负担。
步骤二:提出基于大型公共建筑电力系统区块链的认证模型。首先将大型公共建筑电力系统数据以非中心化的方式安全存储以及共享,解决数据集中式传输存储的潜在安全风险。利用区块技术对不同类型数据进行分析处理,通过集成、清洗、转换等措施对数据进行处理,以消除大型公共建筑电力系统数据的多源异构性并使大型公共建筑电力系统数据信息达到融合的目的,提高电网数据计算的效率以及传输速度,最后利用加密技术实现多个大型公共建筑电力系统数据的安全流通。
步骤三:对大型公共建筑电力系统属性的访问控制模型进行拓展。在大型公共建筑电力系统中引入多层次的访问控制,确保不同级别的用户和管理员仅能访问其所需的功能和数据,例如用区块链交易的形式对访问控制策略进行管理,其中策略创建交易用于实现策略的创建、更新和撤销;权限转移交易用于实现用户之间的权限转移。
步骤四:基于上述模型的基础上提出大型公共建筑电力系统终端接入方案。为防止大型公共建筑电力系统的终端调度侧出现的隐患风险利用连接通道延伸到调度控制机构,需要在调度侧增加部署相应的技术防护能力。具体操作是把调度数据网中的所有VPN(包括实时与非实时)各自划分出相应的电厂VPN,且确保路由器构成“点对点”的部署结构。
大型公共建筑电力系统数据信息需经过纵向加密验证,与主站分离出的前置机连接,数据经过防火墙认证方可与内部系统完成通信。网络安全技术管控中,通过在调度侧增加接入管控构建止大型公共建筑电力系统的VPN,能对止大型公共建筑侧发生的风险问题进行隔离控制,防止其对整个止大型公共建筑电力系统的运行构成安全威胁。在实际的安全接入管控建设中,除对调度侧进行安全加固外,还可在各个就地终端处安装微型加密认证设备,实现对终端接入以及与主机网络连接的安全防护保障。
此外,由于一些止大型公共建筑电力系统在短期内尚不具备安装相应设备的条件,则需根据通信连接形式选择相应的处理方式:采用有线连接的,应选择绑定MAC地址或者关闭未使用的接入端口等处理方法;采用无线模式的,则应当增设安全接入区,加强横向安全防护,做好系统隔离。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (9)
1.一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,包括:
基于高安全分布式属性的大型公共建筑电力系统终端接入的管控网络:在大规模分布式新能源场站并网的情况下,构建分布式的PKI体系,实现更加健壮的身份认证和访问控制服务;
基于大型公共建筑电力系统区块链的认证模型:利用区块链技术实现分布式的公共账本,将用户身份和证书公钥关联,构建去中心化的PKI系统;
基于大型公共建筑电力系统属性的访问控制模型:对该访问模型进行了拓展,用区块链交易的形式对访问控制策略进行管理;
大型公共建筑的分布式新能源网络通常需要进行远程监控和运维,这种协同工作需要安全的终端接入,以确保系统之间的通信和数据传输安全,实现更智能的建筑管理。
2.根据权利要求1所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,提出的安全服务模型分为2个维度:一是跨域终端接入安全,重点解决不同大型公共建筑与调度中心、发电集团集控中心、第三方运维中心之间的终端安全接入问题;二是站内终端安全接入安全,解决场站内部的终端安全接入问题。
3.根据权利要求2所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,建立终端安全接入的信任契约,实现跨域分布式的身份认证和访问控制,解决中心化带来的安全风险,针对分布式能源网络的特点,结合现有的研究成果,区别于传统集中式的安全防护措施,提出的安全服务模型基于2个能够跨链互连的区块链系统,身份认证链和访问控制链。
4.根据权利要求2所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,面向大型公共建筑的电力系统的终端安全接入技术分为3个防护维度:站控层的安全,需要在该层面部署各种安全系统为大型公共建筑的电网系统的终端连接提供各种安全服务,如身份认证系统,数据交换系统,集中监管系统等;通道安全,解决终端接入过程的信道安全,采用身份认证、访问控制、加密隧道等技术;终端层的安全,安全采集终端,采用加固技术、安全芯片、安全协议等措施。
5.根据权利要求1所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,通过建立基于大型公共建筑的区块链技术的智慧能源系统的数据融合共享平台,先将数据以非中心化的方式安全存储以及共享,解决数据集中式传输存储的潜在安全风险,再利用区块技术对不同类型数据进行分析处理,通过集成、清洗、转换等措施对数据进行处理,以消除电网数据的多源异构性并使电网数据信息达到融合的目的,提高电网数据计算的效率以及传输速度,最后利用加密技术实现多个大型公共建筑电力系统数据的安全流通。
6.根据权利要求5所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,提出基于大型公共建筑电力系统区块链的认证模型分为2个层次:基础服务层,维护基础的区块链数据结构,各数据区块以哈希链的方式前后相连,区块头存储上一区块的哈希值,并记录该区块的哈希树根,这样就形成了不可篡改的数据记录;协议流程层。
7.根据权利要求5所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,利用区块链技术实现大型公共建筑电力系统分布式的公共账本,将用户身份和证书公钥关联,构建去中心化的PKI系统,由于任何用户都可以查看证书的签发过程,解决了传统PKI体系面临的CA单点化问题和证书不透明的问题。
8.根据权利要求5所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,基于区块链进行权限和策略的交易能够形成大型公共建筑电力系统分布式不可篡改的日志审计功能,有效对抗各参与者的欺诈行为。
9.根据权利要求5所述一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术,其特征在于,在上述设计模型的基础上提出基于区块链的终端安全接入方案,对大型公共建筑电力系统终端的跨域和站内互联接入行为进行高效可靠的管控。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311495817.6A CN117857076A (zh) | 2023-11-10 | 2023-11-10 | 一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311495817.6A CN117857076A (zh) | 2023-11-10 | 2023-11-10 | 一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117857076A true CN117857076A (zh) | 2024-04-09 |
Family
ID=90543921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311495817.6A Pending CN117857076A (zh) | 2023-11-10 | 2023-11-10 | 一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117857076A (zh) |
-
2023
- 2023-11-10 CN CN202311495817.6A patent/CN117857076A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445827B (zh) | 基于分布式账本技术的传感网的安全管理方法及安全系统 | |
CN101247391B (zh) | Opc安全代理系统及其代理方法 | |
CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
US9325698B2 (en) | Method and apparatus for on-site authorisation | |
US10652031B2 (en) | Using PKI for security and authentication of control devices and their data | |
CN111415157A (zh) | 一种基于区块链的数据资产安全流通方法 | |
CN109190384B (zh) | 一种多中心区块链熔断保护系统及方法 | |
CN113079215B (zh) | 一种基于区块链的配电物联网无线安全接入方法 | |
CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
CN108881327A (zh) | 一种基于云计算的计算机互联网信息安全控制系统 | |
CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
CN111447283A (zh) | 一种用于实现配电站房系统信息安全的方法 | |
CN109951340A (zh) | 一种运用区块链进行服务调用存证的系统及方法 | |
CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
Xue et al. | Research on key technologies of software-defined network based on blockchain | |
CN114866346B (zh) | 一种基于分散式的密码服务平台 | |
Qiang et al. | Mine consortium blockchain: the application research of coal mine safety production based on blockchain | |
CN110945833B (zh) | 一种用于多模标识网络隐私保护与身份管理的方法及系统 | |
WO2023108396A1 (zh) | 一种电网智能量测方法 | |
CN117857076A (zh) | 一种应用于大型公共建筑的分布式新能源网络的终端安全接入技术 | |
Falk et al. | Using managed certificate whitelisting as a basis for internet of things security in industrial automation applications | |
Zhang et al. | Design and implementation of IEC61850 communication security protection scheme for smart substation based on bilinear function | |
CN109120619A (zh) | 一种计算机网络通信系统 | |
CN110995562B (zh) | 一种分散式风电场无线组网系统 | |
CN114422189A (zh) | 一种基于区块链技术的园区安防管理系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |