CN206283529U - 一种配电网实时数据通信安全防护装置 - Google Patents
一种配电网实时数据通信安全防护装置 Download PDFInfo
- Publication number
- CN206283529U CN206283529U CN201621418355.3U CN201621418355U CN206283529U CN 206283529 U CN206283529 U CN 206283529U CN 201621418355 U CN201621418355 U CN 201621418355U CN 206283529 U CN206283529 U CN 206283529U
- Authority
- CN
- China
- Prior art keywords
- end processor
- main website
- secondary terminal
- terminal
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Selective Calling Equipment (AREA)
Abstract
本实用新型公开了一种配电网实时数据通信安全防护装置,包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。本实用新型的自动化系统主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。
Description
技术领域
本实用新型涉及一种配电网实时数据通信安全防护装置。
背景技术
配电自动化系统主站与子站及终端的通信方式原则上以电力光纤通信为主,主站与主干配电网开闭所的通信应当采用电力光纤。对于不具备电力光纤通信条件的末梢配电终端,采用无线通信方式。无论采用哪种通信方式,都应对控制指令使用基于非对称密钥的单向认证加密技术进行安全防护。
当配电自动化系统采用EPON、GPON或光以太网络等技术时应使用独立纤芯或波长;配电网监控专用通信网络应能与调度数据网络相联,并纳入统一安全管理。
当采用无线公网通信方式时,优先选用TD-SCDMA,且采取(APN+VPN) 逻辑隔离、访问控制、认证加密等安全措施。
按照典型的自动化系统的结构,安全防护分为以下四个部分:
(1)主站的安全防护(PI1);
无论采用何种通信方式,自动化系统主站前置机应采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施;
在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。对于采用公网作为通信信道的前置机,公网前置机属于安全接入区,必须采用电力专用的正反向隔离装置与自动化系统进行隔离;
(2)子站终端的安全防护(PI2);
在子站终端设备上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施,以防范冒充主站对子站终端进行攻击,恶意操作电气设备。为增加安全性,对重要子站及终端可以配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。
可以在子站终端设备上配置启动和停止远程命令执行的硬压板和软压板。硬压板是物理开关,打开后仅允许当地手动控制,闭合后可以接受远方控制;软压板是终端系统内的逻辑控制开关,在硬压板闭合状态下,主站通过一对一下发报文启动和停止远程控制命令的处理和执行。
子站终端设备不得采用手持终端控制方式。带手持终端控制方式的自动化开关,应将手持终端控制功能屏蔽。
(3)纵向通信的安全防护(PI3);
配网监控专用通信网络应采用纵向加密认证装置或模块实现纵向通信安全防护。
当采用GPRS/CDMA等公共无线网络时,应启用公网自身提供的安全措施,包括:1)采用APN+VPN或VPDN技术实现无线虚拟专有通道;2)通过认证服务器对接入终端进行身份认证和地址分配;3)在主站系统和公共网络采用有线专线+GRE等手段。
(4)横向边界的安全防护(PI4)。
配电自动化系统主站与管理信息大区进行互联时,应采用经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部安全区之间应当采用安全可控的防火墙或者相当功能的防护设施,实现逻辑隔离。
与其他各生产系统不互联,为单一配电自动化系统时,可不考虑横向边界的安全防护。
实用新型内容
本实用新型所要解决的技术问题是提供一种主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。
本实用新型是通过以下技术方案来实现的:一种配电网实时数据通信安全防护装置,包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。
作为优选的技术方案,所述子站终端上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施。
作为优选的技术方案,对重要子站及终端配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。
作为优选的技术方案,子站终端设备上配置启动和停止远程命令执行的硬压板和软压板。
作为优选的技术方案,所述硬压板是物理开关,打开后仅允许当地手动控制,闭合后可以接受远方控制;软压板是终端系统内的逻辑控制开关,在硬压板闭合状态下,主站通过一对一下发报文启动和停止远程控制命令的处理和执行。
本实用新型的有益效果是:本实用新型的自动化系统主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。
附图说明
为了更清楚地说明本实用新型实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实用新型的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本实用新型的系统方框图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
如图1所示,包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。
子站终端上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施。
对重要子站及终端配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。
子站终端设备上配置启动和停止远程命令执行的硬压板和软压板,硬压板是物理开关,打开后仅允许当地手动控制,闭合后可以接受远方控制;软压板是终端系统内的逻辑控制开关,在硬压板闭合状态下,主站通过一对一下发报文启动和停止远程控制命令的处理和执行。
本实施例中,配网监控专用通信网络应采用纵向加密认证装置或模块实现纵向通信安全防护。
当采用GPRS/CDMA等公共无线网络时,应启用公网自身提供的安全措施,包括:1)采用APN+VPN或VPDN技术实现无线虚拟专有通道;2)通过认证服务器对接入终端进行身份认证和地址分配;3)在主站系统和公共网络采用有线专线+GRE等手段。
配电自动化系统主站与管理信息大区进行互联时,应采用经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部安全区之间应当采用安全可控的防火墙或者相当功能的防护设施,实现逻辑隔离。
与其他各生产系统不互联,为单一配电自动化系统时,可不考虑横向边界的安全防护。
本实用新型的有益效果是:本实用新型的自动化系统主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。
以上所述,仅为本实用新型的具体实施方式,但本实用新型的保护范围并不局限于此,任何不经过创造性劳动想到的变化或替换,都应涵盖在本实用新型的保护范围之内。因此,本实用新型的保护范围应该以权利要求书所限定的保护范围为准。
Claims (5)
1.一种配电网实时数据通信安全防护装置,其特征在于:包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。
2.如权利要求1所述的配电网实时数据通信安全防护装置,其特征在于:所述子站终端上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施。
3.如权利要求1所述的配电网实时数据通信安全防护装置,其特征在于:对重要子站及终端配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。
4.如权利要求1所述的配电网实时数据通信安全防护装置,其特征在于:子站终端设备上配置启动和停止远程命令执行的硬压板和软压板。
5.如权利要求4所述的配电网实时数据通信安全防护装置,其特征在于:所述硬压板是物理开关,打开后仅允许当地手动控制,闭合后可以接受远方控制;软压板是终端系统内的逻辑控制开关,在硬压板闭合状态下,主站通过一对一下发报文启动和停止远程控制命令的处理和执行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201621418355.3U CN206283529U (zh) | 2016-12-22 | 2016-12-22 | 一种配电网实时数据通信安全防护装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201621418355.3U CN206283529U (zh) | 2016-12-22 | 2016-12-22 | 一种配电网实时数据通信安全防护装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN206283529U true CN206283529U (zh) | 2017-06-27 |
Family
ID=59072730
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201621418355.3U Active CN206283529U (zh) | 2016-12-22 | 2016-12-22 | 一种配电网实时数据通信安全防护装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN206283529U (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111654497A (zh) * | 2020-06-03 | 2020-09-11 | 广东电网有限责任公司电力科学研究院 | 一种增强电力监控系统终端接入安全性的方法及装置 |
-
2016
- 2016-12-22 CN CN201621418355.3U patent/CN206283529U/zh active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111654497A (zh) * | 2020-06-03 | 2020-09-11 | 广东电网有限责任公司电力科学研究院 | 一种增强电力监控系统终端接入安全性的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104639624B (zh) | 一种实现移动终端远程控制门禁的方法和装置 | |
CN103269332B (zh) | 面向电力二次系统的安全防护系统 | |
CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
CN102750760B (zh) | 门禁系统的信息传输方法和门禁系统 | |
CN204833393U (zh) | 整合蓝牙及nfc具影像传输的门禁管理系统 | |
CN104504796A (zh) | 一种基于无线网络的机房智能门禁开启方法及开启系统 | |
CN109905869A (zh) | 一种充电设备与智能设备间数据传输方法 | |
CN104394513A (zh) | 一种移动终端连接无线网络的控制方法和装置 | |
CN206283529U (zh) | 一种配电网实时数据通信安全防护装置 | |
CN103200562A (zh) | 通信终端锁定方法及通信终端 | |
CN105262653A (zh) | 安全接入平台 | |
CN103532236B (zh) | 电力自动化系统可移动式安全应急通道装置 | |
WO2023108396A1 (zh) | 一种电网智能量测方法 | |
CN208939584U (zh) | 一种新型智能配电网终端安全接入系统 | |
CN202713377U (zh) | 一种用于电力信息采集系统的无线通信网络 | |
CN205429891U (zh) | 配置加密通信模块的配网柱上开关ftu控制器 | |
CN210864848U (zh) | 一种电箱的蓝牙智能锁装置及系统 | |
CN207200738U (zh) | 面向多业务承载的公共通信接入装置 | |
CN208707655U (zh) | 一种配电自动化密钥协商系统 | |
CN206533391U (zh) | 主站型专线加密认证装置 | |
CN105023576A (zh) | 一种基于语音的门通道开启方法及系统 | |
CN109362072A (zh) | 一种分布式新能源并网数据无线安全接入的方法 | |
CN205068537U (zh) | 一种基于手机控制的户外机柜门禁系统 | |
CN206533393U (zh) | 专线加密认证系统 | |
CN203491795U (zh) | 电力自动化系统可移动式安全应急通道装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |