本发明专利技术提供了一种配电安全认证装置及其方法。该配电安全认证装置包括通信管理模块、规约解析模块、安全认证模块、文件管理模块、证书验证模块以及主控模块;通信模块接收报文发送至规约解析模块进行规约解析;解析后的报文经加密解密模块的解密处理交由安全认证模块;安全认证模块根据对解密后的报文进行安全认证:若配电安全管理报文调用证书验证模块对证书进行有效性验证;若为遥控报文进行有效性验证后,主控模块根据的认证结果返回应答信息。本发明专利技术中集成配电安全认证加密协议,实现了证书的解析和有效性验证,为配电终端提供了统一、简单、易用、高效、可靠的配电安全认证服务。
【技术实现步骤摘要】
一种配电安全认证装置及其方法
本专利技术涉及一种配电安全认证装置,同时还涉及一种基于该装置的配电安全认证方法,属于配电自动化
技术介绍
2011年初,国家电网公司为了保障配电网安全稳定运行,对《电力二次系统安全防护总体方案》中的《配电二次系统安全防护方案》(电监安全〔2006〕34号)进一步细化与补充,制定并发布了《中低压配电自动化系统安全防护补充规定》(国家电网调〔2011〕168号),通知明确了配电自动化系统主站与子站发往配电终端的下行控制指令应使用基于非对称密钥的单向认证加密技术进行安全防护。由于非对称数字签名算法安全性高,非对称数字签名方式在现在的现有的配电自动化系统已经应用,且非对称数字签名算法的安全认证方案对于智能配电终端有着重要的意义。然而现有的配电自动化终端设备使用的配电安全认证加密功能均基于非对称密码算法的软实现,存在性能效率低下、延迟率高、可靠性差等缺陷,无法满足配电终端安全服务的实时、快速、高可靠性的需求;且由于配电终端生产厂家欠缺安全防护的相关经验,在开发设计实现难度上存在较大的安全隐患。目前,电力企业中使用的大多数业务系统使用了国密局专用的密码算法。现有的配电安全认证装置大多基于裸公钥,SM2证书的有效性和安全性未经过验证,同时对于密钥安全管理存在重要的安全隐患。在公开号为103368742A的中国专利技术申请中,公开了一种基于非对称数字签名认证的智能配电终端安全防护方法,根据智能配电终端的实际特点,在配电终端上实现非对称数字签名的认证,现有配电自动化系统在已有的通信规约上进行较小的改动就能实现对数字签名技术的认证,而无需重新定义新的通信规约,即在原有标准规约通信报文段的基础上,附加发送方的数字签名段及时间戳安全信息段,即可实现,保证对改造之前规约的兼容性,改造成本低,在工程项目实施中容易实现,从而减少配电自动化系统来自公共网络攻击的风险,保障配电自动化系统的操作安全。
技术实现思路
针对现有技术的不足,本专利技术所要解决的首要技术问题在于提供一种配电安全认证装置。本专利技术所要解决的另一技术问题在于提供一种基于上述配电安全认证装置的配电安全认证方法。为实现上述的专利技术目的,本专利技术采用下述的技术方案:一种配电安全认证装置,用于配电终端中,包括通信管理模块、规约解析模块、安全认证模块、文件管理模块、证书验证模块以及主控模块;所述主控模块控制所述通信管理模块、所述规约解析模块、所述安全认证模块、所述文件管理模块和所述证书验证模块进行信息交互;所述通信模块接收报文发送至所述规约解析模块进行规约解析;解析后的报文经加密解密模块的解密处理交由所述安全认证模块;所述安全认证模块根据对解密后的报文进行安全认证:若配电安全管理报文调用所述证书验证模块对证书进行有效性验证;若为遥控报文进行有效性验证后,主控模块根据的认证结果返回应答信息。其中较优地,所述加密解密模块包括密码协处理器以及随机数发生器。其中较优地,所述通信管理模块用于实现所述配电安全认证设备与配电终端处理器之间的通信,包括USB和SPI通信接口。其中较优地,所述规约解析模块包括101/104规约解析以及配电安全认证协议解析。一种基于上述配电安全认证装置的配电安全认证方法,包括如下步骤:步骤1:对传入的报文进行解析,并判断是否遥控报文或配电安全认证管理报文;若是,则执行步骤2;否则无需处理并返回;步骤2:对报文执行对称算法解密;步骤3:对解密后的报文进行安全认证;若认证成功,执行步骤4;否则放弃;步骤4:执行应答过程,并返回认证结果。其中较优地,所述安全认证包括对解密后报文的数据认证以及证书的认证。其中较优地,对解密后的报文进行安全认证的过程包括如下步骤:从解密后数据中提取携带的时间信息、长度信息、校验和信息、终端地址信息;与已配置的时间信息、长度信息、终端地址信息进行匹配校验;对数据按字节进行指定运算并计算校验和,并判断与提取信息的校验和是否匹配;若匹配,则调用主站公钥对数据签名进行验证;否则丢弃该数据。其中较优地,所述证书的认证步骤如下:按照ANS1格式提取证书域信息;通过域信息匹配证书有效期、颁发者等内容判断证书是否合法;若合法,则携带的公钥信息;若不合法,则判定为非法操作,不予导入。其中较优地,所述证书为SM2证书。本专利技术所提供的配电安全认证装置采用智能卡安全芯片,集成配电安全认证加密协议,实现了SM2证书的解析和有效性验证,为配电终端提供了统一、简单、易用、高效、可靠的配电安全认证服务,弥补了现有配电安全防护中的不足之处。附图说明图1为配电安全认证装置与配电终端处理器的接口通信示意图;图2为本专利技术所提供的配电安全认证装置的内部结构示意图;图3为基于本配电安全认证装置的配电安全认证方法流程图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步的详细说明。参见图1,本专利技术所提供的配电安全认证装置位于配电终端的内部,采用基于非对称密钥的单向认证加密技术,实现对主站下发配电终端的遥控报文进行安全认证,对检查公钥报文进行安全认证、检查及生成上行应答报文。参见图2,该配电安全认证装置优选采用智能卡安全芯片,包括通信管理模块、规约解析模块、加密解密模块、安全认证模块、文件管理模块、证书验证模块以及主控模块;主控模块分别与通信管理模块、规约解析模块、加密解密模块、安全认证模块、文件管理模块、证书验证模块相连接;通信模块接收报文发送至规约解析模块进行规约解析;解析后的报文经加密解密模块的解密处理交由安全认证模块;安全认证模块根据对解密后的报文进行安全认证:若配电安全管理报文调用证书验证模块对证书进行有效性验证;若为遥控报文进行有效性验证后,主控模块根据的认证结果返回应答信息。下面对各个模块进行详细介绍。主控模块集成本配电安全认证装置所要运行的主程序,用于控制其他各个模块之间的信息交互,实现报文的安全认证以及报文应答。由于主程序采取烧写方式,因此外部装置无法由读取或复制,保障了程序自身的安全。通信管理模块用于使配电安全认证装置与配电终端的业务处理器进行信息交互,本专利技术中为确保配电安全认证装置与配电终端通信接口的可靠性,支持USB、SPI(高速全双工同步串行通信总线接口)等多种常用通信接口。本专利技术中采用SPI接口,其适应了配电终端体积小的特点,以最少的连接线、最小的引脚占用、最简洁的封装提供了高速可靠地通信接口。本专利技术中通信接口的多样化,可以有效避免因通信接口单一造成配电终端通信故障。规约解析模块用于对报文进行101/104规约解析和配电安全认证协议解析。在规约解析过程中,规约解析模块会根据101/104规约与配电安全认证协议的标志位进行匹配;如果当前报文是否符合101/104规约,进行需判断是否携带安全认证管理报文;如果携带,则进行加密解密处理;如果输入数据不是101/104规约报文,根据配电安全认证协议标志位等信息判断该数据是否为安全认证管理报文,再进行安全认证处理。对于不符合101/104规约解析和配电安全认证协议两项的数据,规约解析模块则丢弃该报文。101/104规约信息包括应用规约控制信息和应用数据服务单元;其中应用数据服务单元则用于识别数据类型和数据长度。当识别数据的类型为非控制类型,则判定为合法;当识别数据类型为控制类类型,则本文档来自技高网...
【技术保护点】
一种配电安全认证装置,用于配电终端中,其特征在于包括通信管理模块、规约解析模块、安全认证模块、文件管理模块、证书验证模块以及主控模块;所述主控模块控制所述通信管理模块、所述规约解析模块、所述安全认证模块、所述文件管理模块和所述证书验证模块进行信息交互;所述通信模块接收报文发送至所述规约解析模块进行规约解析;解析后的报文经加密解密模块的解密处理交由所述安全认证模块;所述安全认证模块根据对解密后的报文进行安全认证:若配电安全管理报文调用所述证书验证模块对证书进行有效性验证;若为遥控报文进行有效性验证后,主控模块根据的认证结果返回应答信息。
【技术特征摘要】
1.一种配电安全认证装置,用于配电终端中,其特征在于包括通信管理模块、规约解析模块、加密解密模块、安全认证模块、文件管理模块、证书验证模块以及主控模块;所述主控模块控制所述通信管理模块、所述规约解析模块、所述加密解密模块、所述安全认证模块、所述文件管理模块和所述证书验证模块进行信息交互;所述通信管理模块将接收的报文发送至所述规约解析模块进行规约解析;解析后的报文经所述加密解密模块的解密处理交由所述安全认证模块,所述安全认证模块对解密处理后的报文进行安全认证;所述配电安全认证装置采用基于非对称密钥的单向认证加密技术,对主站下发配电终端的遥控报文进行安全认证,其中所述遥控报文为主站与配电终端之间的控制信息;所述配电安全认证装置对所述遥控报文的安全认证是对遥控报文中的数据进行有效性验证,包括时间校验、长度校验以及签名验证;若当前遥控报文的数据有效性验证通过,则继续处理下一帧遥控报文,否则丢弃当前遥控报文。2.如权利要求1所述的配电安全认证装置,其特征在于:所述加密解密模块包括密码协处理器以及随机数发生器。3.如权利要求1所述的配电安全认证装置,其特征在于:所述通信管理模块用于实现所述配电安全认证设备与配电终端处理器之间的通信,包括USB和SPI通信接口。4.如权利要求1所述的配电安全认证装置,其特征在于:所述规约解析模块实现101/10...
【专利技术属性】
技术研发人员:林昌年,马力,冯斌,张鹏,章健,李钊,魏明达,张毅,马晓伟,
申请(专利权)人:北京科东电力控制系统有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。