一种智能变电站计量数据的安全采集方法技术

本发明专利技术提供一种智能变电站计量数据的安全采集方法，该方法在采集系统分别针对计量系统中数据产生环节，合并环节，计量环节和采集环节的特点，采用对称密钥和非对称密钥实现了MAC保护，加密保护和签名保护。本发明专利技术提出的方法能够保证新一代智能变电站计量系统数据的真实性，完整性和机密性，对提高变电站系统的总体安全防护能力，确保系统安全稳定运行，确保业务数据安全可靠，实现智能变电站应用系统安全防护水平的整体提升有着及其重要的意义；提高了智能变电站中计量系统网络数据的安全性。

【技术实现步骤摘要】

本专利技术涉及智能变电站安全领域，具体涉及一种智能变电站计量数据的安全采集方法。
技术介绍
目前，智能变电站及其计量系统均依据IEC61850标准建立。IEC61850标准是由国际电工委员会制定的关于变电站的标准，该标准定义了变电站各个方面的内容，包括变电站基本结构、体系网络、相关协议配置等，但并未涉及变电站信息安全的问题。随着电力体系网络中安全问题的日益凸显，智能变电站对于系统安全性也提出了更高的要求。为解决电力通讯领域的数据和通讯安全问题，国际电工委员会针对现有的变电站通信标准拟定了相应的安全规范IEC62351。IEC62351为IEC60570-5系列、IEC60870-6系列、IEC61970系列和IEC61968系列等电力通讯规约提供了安全保护机制。IEC62351提出的安全技术包括数据加密、完整性检验、数字签名，主要预防的攻击包括：窃听、篡改、重放、欺骗以及某种程度的入侵检测。电力系统作为国家基础设施中的关键一环，电力控制系统和数据网络系统的安全已经成为一个非常紧迫的问题，得到国家有关部门的高度重视。作为智能变电站的重要组成部分，智能变电站计量系统承载了变电站设备参数监测、电能量数据、变电站实时运行数据及相关信息的采集和传输等任务。它采用先进的智能设备和通信技术，自动完成信息采集、保护、计量和监测等基本功能，为智能变电站的安全稳定运行及电网的实时自动控制、智能调节、在线分析决策、协同互动提供了重要的数据分析基础。随着智能计量终端在智能变电站中的逐步推广应用，智能变电站计量系统的安全问题日益凸显，任何错误的数据都可能导致智能变电站乃至整个智能电网系统的崩溃，甚至带来财产损失和人员伤亡，迫切需要有效的安全防护手段保证计量系统的安全性，确保智能变电站计量系统具有一定的抗攻击能力，防止智能变电站系统被恶意控制，防止关键业务数据和信息被篡改和窃取，确保电力信息网络安全和智能电网业务系统稳定运行。因此，智能变电站计量系统信息安全问题是智能变电站安全稳定运行的核心问题，对智能变电站计量系统进行全面、系统的安全防护，利用有效的信息安全防护方法和策略消除安全隐患，合理规避信息安全风险，是保证智能变电站乃至智能电网安全稳定运行的关键问题之一。
技术实现思路
有鉴于此，本专利技术提供的一种智能变电站计量数据的安全采集方法，该方法能够保证新一代智能变电站计量系统数据的真实性，完整性和机密性，对提高变电站系统的总体安全防护能力，确保系统安全稳定运行，确保业务数据安全可靠，实现智能变电站应用系统安全防护水平的整体提升有着及其重要的意义。本专利技术的目的是通过以下技术方案实现的：一种智能变电站计量数据的安全采集方法，所述方法在采集系统中实现；所述采集系统包括电子式互感器、合并单元、数字电能表及采集终端；所述智能变电站的计量数据从所述电子式互感器中产生，在所述合并单元中合并、并用所述数字电能表计量后，由所述采集终端采集；所述方法包括如下步骤：步骤1.所述电子式互感器将所述计量数据加密，得到一次加密报文；并将所述一次加密报文发送至所述合并单元；步骤2.所述合并单元接收、验正、合并所述一次加密报文后，再次加密得到二次加密报文；所述合并单元将所述二次加密报文发送至所述数字电能表；步骤3.所述数字电能表接收、验收、解密并计量所述二次加密报文，得到所述计量数据中的电能量数据，并对所述电能量数据进行加密及签名，得到三次加密报文；所述数字电能表将所述三次加密报文发送至所述采集终端；步骤4.所述采集终端接收、验收、解密并采集所述三次加密报文，完成所述计量数据的安全采集。优选的，所述步骤1包括：1-1.所述电子式互感器对设置在其安全模块内部的组密钥GK进行MAC计算，得到MAC计算结果；1-2.所述电子式互感器将所述MAC计算结果添加在所述计量数据的后面，组成一次加密报文；1-3.所述电子式互感器发送所述一次加密报文至所述合并单元。优选的，所述1-1中的所述MAC计算采用分组密码算法，分组长度为128位；其包括：a.取8字节随机数，在8字节随机数后加8字节随机数的按位取反后的取反值，组成16字节的初始数据；b.将所述计量数据分成的数据块，所述数据块的分组长度为16字节；表示为块1、块2、…、块N；c.在所述数据块中的最后一个末尾加入16进制数‘80’，如果此时达到分组长度，则转到步骤d；否则在其后加入16进制数‘00’直到长度达到所述分组长度；d.将所述数据块进行异或处理后，分配到指定密钥进行SM1算法加密；e.将128位运算结果按4字节做异或运算，结果作为MAC计算结果。优选的，所述步骤2，包括：2-1.所述合并单元接收所述一次加密报文；2-2.所述合并单元根据其安全模块内部的组密钥GK验证所述一次加密报文是否正确；其中，每个所述合并单元的组密钥GK均与所述电子式互感器中的一个组密钥GK相对应；若是，则所述合并单元保存所述报文至存量上限后，进入2-3；若否，则所述合并单元生成错误文件，并上传所述错误文件及所述报文；2-3.所述合并单元合并所述一次加密报文，直到所述一次加密报文达到存量上限；2-4.所述合并单元对到达所述存量上限的全部所述一次加密报文添加时间标；2-5.所述合并单元根据其安全模块内部的密钥EMK对全部所述报文进行MAC计算并加密，得到二次加密报文及MAC计算结果；其中，所述合并单元的密钥EMK与所述数字电能表中的密钥EMK相对应；2-6.所述合并单元将所述二次加密报文发送至所述数字电能表。优选的，所述2-5中的对全部所述报文进行加密，包括：设分组密码SM1-ECB加密及解密算法为E，密钥为k，n是分组密码的分组长度，则将t位的明文以n为单位进行分组，共分成u＝[t/n]个分组，这u个分组分别记为p1，p2，...，pu；则加密或解密过程为：Ci＝Ek(pi)；其中，i＝1、2…u；Ci为第i个分组加密后的数据；Ek为对密钥k进行加密或解密算法。优选的，所述步骤3，包括：3-1.所述数字电能表接收所述二次加密报文及MAC计算结果；3-2.所述数字电能表验证所述MAC计算结果是否正确；若是，则所述数字电能表用所述密钥EMK对所述二次加密报文解密，并记录所述计量数据中的电能量；进入3-3；若否，则所述数字电能表生成错误文件，并上传所述错误文件及所述二次加密报文；3-3.所述数字电能表用其内部的密钥TK及签名证书将电能量数据进行加密，得到密文+签名形式的三次加密报文；3-4.所述数字电能表将所述三次加密报文发送至所述采集终端。优选的，所述步骤4，包括：4-1.所述采集终端接收所述三次加密报文；4-2.所述采集终端用其内部的签名证书验证所述三次加密报文的签名是否正确；其中，所述采集终端的签名证书与所述数字电能表的签名证书相对应；若是，则所述采集终端用其中的密钥TK对所述三次加密报文解密，得到所述电能量数据，完成所述计量数据的安全采集；若否，则所述采集终端生成错误文件，并上传所述错误文件及三次加密报文。从上述的技术方案可以看出，本专利技术提供了一种智能变电站计量数据的安全采集方法，该方法在采集系统分别针对计量系统中数据产生环节，合并环节，计量环节和采集环节的特点，采用对称密钥和非对称密钥实现了MAC保护，加密保护和签名保护。本专利技术提出本文档来自技高网...

【技术保护点】
一种智能变电站计量数据的安全采集方法，所述方法在采集系统中实现；所述采集系统包括电子式互感器、合并单元、数字电能表及采集终端；所述智能变电站的计量数据从所述电子式互感器中产生，在所述合并单元中合并、并用所述数字电能表计量后，由所述采集终端采集；其特征在于，所述方法包括如下步骤：步骤1.所述电子式互感器将所述计量数据加密，得到一次加密报文；并将所述一次加密报文发送至所述合并单元；步骤2.所述合并单元接收、验正、合并所述一次加密报文后，再次加密得到二次加密报文；所述合并单元将所述二次加密报文发送至所述数字电能表；步骤3.所述数字电能表接收、验收、解密并计量所述二次加密报文，得到所述计量数据中的电能量数据，并对所述电能量数据进行加密及签名，得到三次加密报文；所述数字电能表将所述三次加密报文发送至所述采集终端；步骤4.所述采集终端接收、验收、解密并采集所述三次加密报文，完成所述计量数据的安全采集。

【技术特征摘要】
1.一种智能变电站计量数据的安全采集方法，所述方法在采集系统中实现；所述采集系统包括电子式互感器、合并单元、数字电能表及采集终端；所述智能变电站的计量数据从所述电子式互感器中产生，在所述合并单元中合并、并用所述数字电能表计量后，由所述采集终端采集；其特征在于，所述方法包括如下步骤：步骤1.所述电子式互感器将所述计量数据加密，得到一次加密报文；并将所述一次加密报文发送至所述合并单元；步骤2.所述合并单元接收、验正、合并所述一次加密报文后，再次加密得到二次加密报文；所述合并单元将所述二次加密报文发送至所述数字电能表；步骤3.所述数字电能表接收、验收、解密并计量所述二次加密报文，得到所述计量数据中的电能量数据，并对所述电能量数据进行加密及签名，得到三次加密报文；所述数字电能表将所述三次加密报文发送至所述采集终端；步骤4.所述采集终端接收、验收、解密并采集所述三次加密报文，完成所述计量数据的安全采集。2.如权利要求1所述的方法，其特征在于，所述步骤1包括：1-1.所述电子式互感器对设置在其安全模块内部的组密钥GK进行MAC计算，得到MAC计算结果；1-2.所述电子式互感器将所述MAC计算结果添加在所述计量数据的后面，组成一次加密报文；1-3.所述电子式互感器发送所述一次加密报文至所述合并单元。3.如权利要求2所述的方法，其特征在于，所述1-1中的所述MAC计算采用分组密码算法，分组长度为128位；其包括：a.取8字节随机数，在8字节随机数后加8字节随机数的按位取反后的取反值，组成16字节的初始数据；b.将所述计量数据分成的数据块，所述数据块的分组长度为16字节；表示为块1、块2、…、块N；c.在所述数据块中的最后一个末尾加入16进制数‘80’，如果此时达到分组长度，则转到步骤d；否则在其后加入16进制数‘00’直到长度达到所述分组长度；d.将所述数据块进行异或处理后，分配到指定密钥进行SM1算法加密；e.将128位运算结果按4字节做异或运算，结果作为MAC计算结果。4.如权利要求3所述的方法，其特征在于，所述步骤2，包括：2-1.所述合并单元接收所述一次加密报文；2-2.所述合并单元根据其安全模块内部的组密钥GK验证所述一次加密报文是否正确；其中，每个所述合并单元的组密钥GK...

【专利技术属性】
技术研发人员：曹永峰，赵兵，翟峰，刘鹰，付义伦，吕英杰，李保丰，孙志强，梁晓兵，岑炜，徐文静，许斌，韩文博，孔令达，卢艳，袁泉，冯占成，张庚，任博，杨全萍，
申请(专利权)人：中国电力科学研究院，国家电网公司，
类型：发明
国别省市：北京;11