本发明专利技术涉及一种配电终端通信安全防护方法及系统,避免配电自动化系统主站和配电终端受到网络攻击,从而确保配电系统的安全可靠供电。所述方法包括以下步骤:A、在配电主站和配电终端之间提供前置服务器,使配电主站通过前置服务器与配电终端进行安全通信对接;B、前置服务器与配电终端通信连接建立后,首先发起双向身份认证,通信双方身份认证成功后,进入到密钥协商;C、如果密钥协商通过,则使配电主站和配电终端之间进入正常的业务通信环节。
【技术实现步骤摘要】
一种配电终端通信安全防护方法及系统
本专利技术涉及一种配电终端通信安全防护方法及系统,属于电力设备安全
技术介绍
电力系统安全防护规定,为了加强配电自动化系统安全防护,保障电力监控系统的安全,配电自动化系统主站与配电终端通信必须具备安全防护措施。现场配电终端主要通过光纤、无线网络等通信方式接入配电自动化系统,由于目前安全防护措施相对薄弱以及黑客攻击手段的增强,致使点多面广、分布广泛的配电自动化系统面临来自公网或专网的网络攻击风险,进而影响配电系统对用户的安全可靠供电,同时,当前国际安全形势出现了新的变化,攻击者存在通过配电终端误报故障信息等方式迂回攻击主站,进而造成更大范围的安全威胁。此外,如图1所示,目前市场上,配电自动化系统终端通信安全防护措施仅针对配电主站与配电终端之间通信通道的加密,即通过在通信通道两端安装安全装置的方式实现对通道的安全保护,不能完全避免配电主站和配电终端受到网络攻击。通信通道加密技术的不足在于:通信通道加密技术起到对应用数据的保密作用,可以防止有用数据信息泄露被利用,但是该技术不能保证应用数据的完整性;现有技术通信双方无法互相识别对方的合法身份信息;通信通道加密技术无法选择性的对应用数据加密,灵活性不足,效率低;通信通道加密技术不能解决配电终端与终端侧安全装置、配电主站与主站侧安全装置之间的链路安全问题。
技术实现思路
本专利技术提供一种配电终端通信安全防护方法及系统,避免配电自动化系统主站和配电终端受到网络攻击,从而确保配电系统的安全可靠供电。本专利技术的技术方案第一方面为一种配电终端通信安全防护方法,所述方法包括以下步骤:A、在配电主站和配电终端之间提供前置服务器,使配电主站通过前置服务器与配电终端进行安全通信对接;B、前置服务器与配电终端通信连接建立后,首先发起双向身份认证,通信双方身份认证成功后,进入到密钥协商;C、如果密钥协商通过,则使配电主站和配电终端之间进入正常的业务通信环节。进一步,所述步骤A包括对前置服务器配置:对称加解密算法、非对称加解密算法、摘要算法或签名验签算法;数据库中的合法配电终端的密钥管理和数字证书管理;与配电终端的链路建立后的双向身份认证、应用报文协议扩展、密钥和证书管理报文通信、应用报文加解密处理、应用报文签名验签处理。进一步,所述步骤A包括对对每个配电终端或每组配电终端配置:对称加解密算法、非对称加解密算法、摘要算法或签名验签算法;与本配电终端的物理信息关联的密钥交互特征和数字证书交互特征;与前置服务器的链路建立后的双向身份认证、应用报文协议扩展、密钥和证书管理报文通信、应用报文加解密处理、应用报文签名验签处理。进一步,所述步骤B包括:根据各个配电终端的权限或安全级别的优先级,筛选与配电终端的认证数,并且根据安全级别的低到高,选择加密程度更高的加密算法和认证方式。进一步,所述步骤C包括:在业务通信过程中,识别应用报文类型,选择性的对应用数据进行加密/解密、摘要处理、签名/验签处理、时间戳识别。本专利技术的技术方案第二方面为一种配电终端通信安全防护系统,包括设置在配电主站和配电终端之间的前置服务器,该前置服务器包括加密算法实现模块,用于提供对称加解密算法、非对称加解密算法、摘要算法或签名验签算法;密钥证书管理模块,用于管理整配电主站和所有配电终端的密钥和数字证书;应用协议扩展模块,用于与配电终端的链路建立后的双向身份认证、应用报文协议扩展、密钥和证书管理报文通信、应用报文加解密处理、应用报文签名验签处理。进一步,所述配电终端设置有对应的加密算法实现模块、密钥证书交互模块和应用协议扩展模块,分别用于:对称加解密算法、非对称加解密算法、摘要算法或签名验签算法;与本配电终端的物理信息关联的密钥交互特征和数字证书交互特征;与前置服务器的链路建立后的双向身份认证、应用报文协议扩展、密钥和证书管理报文通信、应用报文加解密处理、应用报文签名验签处理。本专利技术的技术方案第三方面为一种计算机系统,包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的方法。本专利技术的技术方案第四方面为一种计算机可读存储介质,其上储存有计算机程序,所述计算机程序被处理器执行时实现上述的方法。本专利技术的有益效果为:1)安全防护措施深入到配电主站和配电终端内部,防护范围全方位覆盖,无安全死角;2)具备双向身份认证机制,有效预防黑客伪装冒名攻击;3)可灵活选择加密策略,确保重要数据隐私情况下提高了通信效率;4)通过数字签名对重要数据进行二次身份合法性识别,保证重要指令的身份安全;5)通信应用报文附带时间戳标识,可有效防范重放攻击。附图说明图1所示为现有技术中的通道加密的方式。图2所示为根据本专利技术的方案的示意图。图3所示为根据本专利技术的方法的流程简图。具体实施方式以下将结合实施例和附图对本专利技术的构思、具体结构及产生的技术效果进行清楚、完整的描述,以充分地理解本专利技术的目的、方案和效果。需要说明的是,如无特殊说明,当某一特征被称为“固定”、“连接”在另一个特征,它可以直接固定、连接在另一个特征上,也可以间接地固定、连接在另一个特征上。本文所提供的任何以及所有实例或示例性语言(“例如”、“如”等)的使用仅意图更好地说明本专利技术的实施例,并且除非另外要求,否则不会对本专利技术的范围施加限制。参考图2,根据本专利技术的配电终端安全防护系统包括配电主站、配电终端以及它们之间的通信通道,采用应用层加密防护技术,需要对配电主站、配电终端、通信机制进行改造。对于配电主站,由前置服务器负责与配电终端的数据通信,因此终端通信层面的安全防护由前置服务器内部的软件功能模块来实现,主要新增3个功能模块,分别是加密算法实现模块、密钥证书管理模块、应用协议扩展模块。加密算法实现模块提供各种对称加解密算法、非对称加解密算法、摘要算法、签名验签算法等;密钥证书管理模块负责整配电主站和所有配电终端的密钥管理和数字证书管理,包括密钥对生成、密钥更新和恢复、数字证书生成及发布;应用协议扩展模块是核心模块,主要负责链路建立后的双向身份认证、应用报文协议扩展、密钥和证书管理报文通信、应用报文加解密处理、应用报文签名验签处理。配电终端也通过新增3个功能模块实现,分别是加密算法实现模块、密钥证书交互模块、应用协议扩展模块。其实现功能与配电主站相似。前置服务器与配电终端通信连接建立后,首先发起双向身份认证,通信双方身份认证成功后,进入到密钥协商,密钥协商完成后即可进入正常的业务通信环节。在业务通信过程中,应用协议扩展模块自动识别应用报文类型,选择性的对应用数据进行加密/解密、摘要处理、签名/验签处理、时间戳识别等一系列处理。在上述方案中,应用层加密防护技术方案包括以下特点:1)安全防护深入到配电主站和配电终端内部,通过拓展应用层协议方式实现应用数据安全;2)通信链路建立后会话开始前,配电主站与配电终端进行双向身份认证识别;3)灵活选择加密策略对应用数据选择性加密,确保重要数据隐私;4)采用数字签名技术,对应用数据选择性进行数字签名,保证重要指令的身份合法性识别;5)通信应用报文附带时间戳标识,防重放攻击;6)密钥和证书管理机制、安全防护策略由用户灵活定制,确保密钥安全,证书管理方便。参照图3,根据本专利技术的本文档来自技高网...
【技术保护点】
1.一种配电终端通信安全防护方法,其特征在于,所述方法包括以下步骤:A、在配电主站和配电终端之间提供前置服务器,使配电主站通过前置服务器与配电终端进行安全通信对接;B、前置服务器与配电终端通信连接建立后,首先发起双向身份认证,通信双方身份认证成功后,进入到密钥协商;C、如果密钥协商通过,则使配电主站和配电终端之间进入正常的业务通信环节。
【技术特征摘要】
1.一种配电终端通信安全防护方法,其特征在于,所述方法包括以下步骤:A、在配电主站和配电终端之间提供前置服务器,使配电主站通过前置服务器与配电终端进行安全通信对接;B、前置服务器与配电终端通信连接建立后,首先发起双向身份认证,通信双方身份认证成功后,进入到密钥协商;C、如果密钥协商通过,则使配电主站和配电终端之间进入正常的业务通信环节。2.根据权利要求1所述的方法,其特征在于,所述步骤A包括对前置服务器配置:对称加解密算法、非对称加解密算法、摘要算法或签名验签算法;数据库中的合法配电终端的密钥管理和数字证书管理;与配电终端的链路建立后的双向身份认证、应用报文协议扩展、密钥和证书管理报文通信、应用报文加解密处理、应用报文签名验签处理。3.根据权利要求1或2所述的方法,其特征在于,所述步骤A包括对对每个配电终端或每组配电终端配置:对称加解密算法、非对称加解密算法、摘要算法或签名验签算法;与本配电终端的物理信息关联的密钥交互特征和数字证书交互特征;与前置服务器的链路建立后的双向身份认证、应用报文协议扩展、密钥和证书管理报文通信、应用报文加解密处理、应用报文签名验签处理。4.根据权利要求1所述的方法,其特征在于,所述步骤B包括:根据各个配电终端的权限或安全级别的优先级,筛选与配电终端的认证数,并且根据安全级别的低到高,选择加密程度更高的加密算法和认证方式。5.根据权利要求1所述的方法,其特征在于,所述...
【专利技术属性】
技术研发人员:徐俊,许光,杨乔,秦卫东,胡波,
申请(专利权)人:珠海许继芝电网自动化有限公司,珠海许继电气有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。