本实用新型专利技术公开了一种配电网实时数据通信安全防护装置,包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。本实用新型专利技术的自动化系统主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。
【技术实现步骤摘要】
一种配电网实时数据通信安全防护装置
本技术涉及一种配电网实时数据通信安全防护装置。
技术介绍
配电自动化系统主站与子站及终端的通信方式原则上以电力光纤通信为主,主站与主干配电网开闭所的通信应当采用电力光纤。对于不具备电力光纤通信条件的末梢配电终端,采用无线通信方式。无论采用哪种通信方式,都应对控制指令使用基于非对称密钥的单向认证加密技术进行安全防护。当配电自动化系统采用EPON、GPON或光以太网络等技术时应使用独立纤芯或波长;配电网监控专用通信网络应能与调度数据网络相联,并纳入统一安全管理。当采用无线公网通信方式时,优先选用TD-SCDMA,且采取(APN+VPN)逻辑隔离、访问控制、认证加密等安全措施。按照典型的自动化系统的结构,安全防护分为以下四个部分:(1)主站的安全防护(PI1);无论采用何种通信方式,自动化系统主站前置机应采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施;在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。对于采用公网作为通信信道的前置机,公网前置机属于安全接入区,必须采用电力专用的正反向隔离装置与自动化系统进行隔离;(2)子站终端的安全防护(PI2);在子站终端设备上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施,以防范冒充主站对子站终端进行攻击,恶意操作电气设备。为增加安全性,对重要子站及终端可以配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。可以在子站终端设备上配置启动和停止远程命令执行的硬压板和软压板。硬压板是物理开关,打开后仅允许当地手动控制,闭合后可以接受远方控制;软压板是终端系统内的逻辑控制开关,在硬压板闭合状态下,主站通过一对一下发报文启动和停止远程控制命令的处理和执行。子站终端设备不得采用手持终端控制方式。带手持终端控制方式的自动化开关,应将手持终端控制功能屏蔽。(3)纵向通信的安全防护(PI3);配网监控专用通信网络应采用纵向加密认证装置或模块实现纵向通信安全防护。当采用GPRS/CDMA等公共无线网络时,应启用公网自身提供的安全措施,包括:1)采用APN+VPN或VPDN技术实现无线虚拟专有通道;2)通过认证服务器对接入终端进行身份认证和地址分配;3)在主站系统和公共网络采用有线专线+GRE等手段。(4)横向边界的安全防护(PI4)。配电自动化系统主站与管理信息大区进行互联时,应采用经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部安全区之间应当采用安全可控的防火墙或者相当功能的防护设施,实现逻辑隔离。与其他各生产系统不互联,为单一配电自动化系统时,可不考虑横向边界的安全防护。
技术实现思路
本技术所要解决的技术问题是提供一种主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。本技术是通过以下技术方案来实现的:一种配电网实时数据通信安全防护装置,包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。作为优选的技术方案,所述子站终端上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施。作为优选的技术方案,对重要子站及终端配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。作为优选的技术方案,子站终端设备上配置启动和停止远程命令执行的硬压板和软压板。作为优选的技术方案,所述硬压板是物理开关,打开后仅允许当地手动控制,闭合后可以接受远方控制;软压板是终端系统内的逻辑控制开关,在硬压板闭合状态下,主站通过一对一下发报文启动和停止远程控制命令的处理和执行。本技术的有益效果是:本技术的自动化系统主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全模块,对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可以采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。附图说明为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本技术的系统方框图。具体实施方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。如图1所示,包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。子站终端上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施。对重要子站及终端配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。子站终端设备上配置启动和停止远程命令执行的硬压板和软压板,硬压板是物理开关,打开后仅允许当地手动控制,闭合后可以接受远方控制;软压板是终端系统内的逻辑控制开关,在硬压板闭合状态下,主站通过一对一下发报文启动和停止远程控制命令的处理和执行。本实施例中,配网监控专用通信网络应采用纵向加密认证装置或模块实现纵向通信安全防护。当采用GPRS/CDMA等公共无线网络时,应启用公网自身提供的安全措施,包括:1)采用APN+VPN或VPDN技术实现无线虚拟专有通道;2)通过认证服务器对接入终端进行身份认证和地址分配;3)在主站系统和公共网络采用有线专线+GRE等手段。配电自动化系统主站与管理信息大区进行互联时,应采用经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部安全区之间应当采用安全可控的防火墙或者相当功能的防护设施,实现逻辑隔离。与其他各生产系统不互联,为单一配电自动化系统时,可不考虑横向边界的安全防护。本技术的有益效果是:本技术的自动化系统主站前置机采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施在前置机应当配置安全本文档来自技高网...
【技术保护点】
一种配电网实时数据通信安全防护装置,其特征在于:包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。
【技术特征摘要】
1.一种配电网实时数据通信安全防护装置,其特征在于:包括主站,主站包括前置机以及公网前置机,前置机通过专用通信连接子站终端,公网前置机通过无线通信网关连接子站终端,子站终端上传摇信、遥测数据至公网前置机,前置机与子站终端之间针对控制命令采用基于非对称密钥技术的单向认证。2.如权利要求1所述的配电网实时数据通信安全防护装置,其特征在于:所述子站终端上配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施。3.如权利要求1所述的配电网实时数据通信安全防护装...
【专利技术属性】
技术研发人员:肖小兵,文忠进,徐长宝,林呈辉,桂军国,何肖蒙,姜浩,高吉普,王宇,潘旭辉,岑正军,王伟,马朋,刘斌,鲁彩江,范强,文蕾,
申请(专利权)人:贵州电网有限责任公司电力科学研究院,
类型:新型
国别省市:贵州,52
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。