本发明专利技术目的在于为了保证站控层通信的安全性,克服现有技术中存在的不足,本发明专利技术提供一种动态加载于智能变电站通讯管理机的安全加固机制模块的配置方法,采用本发明专利技术的方法配置的安全加固机制的智能变电站通讯管理装置的系统能够针对智能站中的通讯管理机,解决过站控层通信传输规约的安全问题。一种动态加载于智能变电站通讯管理机的安全加固机制模块的配置方法,包括如下过程:硬件配置、传输安全加固和数据安全配置。
【技术实现步骤摘要】
本专利技术涉及电力信息安全领域,具体是设计一种适用于智能变电站站内二次系统传输规约加密传输的通信管理机的模块。
技术介绍
智能电网极大的促进了电力公司信息化业务的发展,随之而来的是信息安全问题的日益突出。随着电网终端设备智能化的浪潮,基于TCP/IP协议的电力标准传输规约在电力系统中得到广泛应用,这些技术的应用,一方面实现了设备运行的网络化和自动化,大大提高了设备的互操作性,另一方面,传输规约的开放性和标准性也带来很多信息安全问题。其原因在于,在传输规约设计之初,设计者很少考虑任何信息安全防护措施;同时,通过TCP/IP网络的数据通信也面临着传统TCP/IP网络的安全风险与隐患。传输规约安全性的缺失使得攻击者一旦利用安全漏洞,就可直接通过传输规约实现对电网系统和设备的控制。
技术实现思路
本专利技术为了克服现有技术中存在的不足,针对智能站中的通讯管理机提供,解决过站控层通信传输规约的安全问题。为实现上述目的,本专利技术采用如下技术方案:,包括如下过程:硬件配置、传输安全加固和数据安全配置;所述硬件配置的具体内容包括:首先,将多块CPU板挂接到虚拟网络总线上,为该(PU板及其接口板进行编号,编号按照离电源板最近的第一块CPU板编号为I依次递增的顺序为原则;其次,针对网络总线板对通讯口进行挂接处理,标识出通讯口具体隶属于哪块(PU板,在通讯口挂接站内二次保护及测控装置,并为该站内二次保护及测控装置配置通讯规约;最后配置网络安全参数。所述配置网络安全参数是针对每台站内二次保护及测控装置进行配置作为服务器端还是客户端的角色,依据角色不同配置独立的安全证书、TLS重协商周期、字节数以及秘钥更换周期,或者根据每台站内二次保护及测控装置实际情况独立配置。所述安全传输加固过程采用安全传输层协议TLS,该安全传输层协议TLS用于在两个通信应用程序之间提供保密性和数据完整性。该安全传输层协议TLS协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake);具体的安全传输加固过程如下:首先利用TLS握手协议处理对等用户的认证信息,在TLS握手协议处理过程中使用了通过配置获取的公共密钥和证书,并协商算法和加密实际数据传输的密钥,该TLS握手协议处理过程在TLS记录协议之前进行;所述握手协议处理过程中,客户端和服务器端利用这TLS握手协议提供的10种消息相互认证,协商哈希函数和加密算法并相互提供产生加密密钥的机密数据。接着,在通讯过程建立后利用TLS记录协议处理数据的加密,即记录协议得到要发送的消息之后,将消息分成易于处理的数据分组,计算数据分组的消息认证码,并加密消息再发送该加密的消息;接收到加密后的消息后,首先加密消息被解密,然后校验认证码值,解压缩,重组,最后传递给协议的高层客户。所述加密解密时均使用对称算法。所述数据安全配置过程包括以下步骤:(I)配置通讯管理装置的系统的硬件参数:配置CPU板个数、板件通讯口的挂接关系;(2)配置通讯管理装置的规约参数:配置通讯口与变电站二次保护和测控装置的挂接关系、通讯管理装置使用的通讯协议以及是否使用安全认证;(3)配置证书:本地证书文件路径、CA证书文件路径,如果是服务端且只允许指定的客户端证书接入,则配置“添加对端证书”来接入;(4)置TLS参数:配置TLS重协商所需的固定时间大小、配置TLS重协商的总字节数、配置秘钥更新周期、TLS报文生存周期。有益效果:本专利技术的安全加固机制的智能变电站通讯管理装置的系统能够保证站控层通信的安全性。【附图说明】图1装置硬件结构示意图;图2通讯交互过程图。【具体实施方式】下面结合实施例和附图对本专利技术作更进一步的说明。在智能变电站自动化系统工程实施过程中,配置工程师首先需要根据全站的安全需求以及网络拓扑来对通讯机进行合理配置。本专利技术即提供,包括如下内容:硬件配置、传输安全加固和数据安全配置;所述硬件配置的具体内容包括:如图1所示,首先,为了将多块CPU板挂接到虚拟网络总线上,为该CPU板及其接口板进行编号,编号按照离电源板最近的第一块CPU板编号为I依次递增的顺序为原则,最大支持5块。其次,针对网络总线板对通讯口进行挂接处理,标识出通讯口具体隶属于哪块CPU板,在通讯口挂接站内二次保护及测控装置,并为该站内二次保护及测控装置配置通讯规约。最后配置网络安全参数,所述网络安全参数是针对每台站内二次保护及测控装置进行配置作为服务器端还是客户端的角色,依据角色不同配置独立的安全证书、TLS重协商周期、字节数以及秘钥更换周期,也可根据每台站内二次保护及测控装置实际情况独立配置。所述安全传输加固采用安全传输层协议TLS,该安全传输层协议TLS用于在两个通信应用程序之间提供保密性和数据完整性。该安全传输层协议TLS协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。首先利用TLS握手协议处理对等用户的认证信息(对等用户指采用分散管理的方式,网络中的每个用户既作为客户端又可作为服务器来工作),装置内部软件也分处理数据单元和数据加密、解密单元是多个软件模块组成的,这里指在通讯管理装置内部软件并不区分服务器还是客户端,这两个角色都可以胜任。变电站二次保护及测控装置是指客观上在变电站中起实际应用作用的装置,客户端和服务器端是通讯上的概念意在指明双方(通讯机与二次保护、测控装置之间)沟通时的角色、对等用户是指在同一交换机上的所有成员(包括通讯机、变电站二次保护及测控装置),之所以如此写是为了更好的区分在不同层面(实际作用,还是通讯过程,异或是网络层面)。在TLS握手协议处理过程中使用了通过配置获取的公共密钥和证书,并协商算法和加密实际数据传输的密钥,该TLS握手协议处理过程在TLS记录协议之前进行。握手时,客户端和服务器端利用这TLS握手协议提供的10种消息相互认证,协商哈希函数和加密算法并相互提供产生加密密钥的机密数据。通讯过当前第1页1 2 本文档来自技高网...
【技术保护点】
一种动态加载于智能变电站通讯管理机的安全加固机制模块的配置方法,其特征在于包括如下过程:硬件配置、传输安全加固和数据安全配置;所述硬件配置的具体内容包括:首先,将多块CPU板挂接到虚拟网络总线上,为该CPU板及其接口板进行编号;其次,针对网络总线板对通讯口进行挂接处理,标识出通讯口具体隶属于哪块CPU板,在通讯口挂接站内二次保护及测控装置,并为该站内二次保护及测控装置配置通讯规约;最后配置网络安全参数;所述安全传输加固过程采用安全传输层协议TLS,该安全传输层协议TLS协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake);具体的安全传输加固过程如下:首先利用TLS握手协议处理对等用户的认证信息;接着,在通讯过程建立后利用TLS记录协议处理数据的加密;接收到加密后的消息后,首先加密消息被解密,然后校验认证码值,解压缩,重组,最后传递给协议的高层客户;所述数据安全配置过程包括以下步骤:(1)配置通讯管理装置的系统的硬件参数:配置CPU板个数、板件通讯口的挂接关系;(2)配置通讯管理装置的规约参数:配置通讯口与变电站二次保护和测控装置的挂接关系、通讯管理装置使用的通讯协议以及是否使用安全认证;(3)配置证书:本地证书文件路径、CA证书文件路径,如果是服务端且只允许指定的客户端证书接入,则配置“添加对端证书”来接入;(4)置TLS参数:配置TLS重协商所需的固定时间大小、配置TLS重协商的总字节数、配置秘钥更新周期、TLS报文生存周期。...
【技术特征摘要】
【专利技术属性】
技术研发人员:陶文伟,李金,张喜铭,胡荣,樊腾飞,
申请(专利权)人:中国南方电网有限责任公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。