一种用于智能变电站自动化的信息安全方法及系统技术方案

本发明专利技术涉及一种用于智能变电站自动化的信息安全方法及系统，其方法包括步骤：(1)基于PKI体系的设备鉴别方法，对服务器和客户端的硬件设备进行鉴别，以拒绝非法设备的业务请求；(2)基于USB Key的用户登录身份认证方法，对在客户端登录的用户进行身份认证，确保用户合法性、安全性；同时对客户端与服务器之间的通信进行加密处理，以防信息被截取。为智能变电站自动化系统提供了有效的设备鉴别、身份认证及抗抵赖机制，对重要的通信数据采用1024位RSA算法加密处理，确保了智能变电站自动化系统运行的安全、可靠，采用设备鉴别和用户登录认证的双因素验证方式，能确保系统业务仅在合法的设备上由合法的用户进行操作。

【技术实现步骤摘要】

本专利技术涉及智能变电站的信息安全控制领域，具体是一种用于智能变电站自动化的信息安全方法及系统。
技术介绍
智能变电站是采用先进、可靠、集成和环保的智能设备，以全站信息数字化、通信平台网络化、信息共享标准化为基本要求，自动完成信息采集、测量、控制、保护、计量和检测等基本功能，同时，具备支持电网实时自动控制、智能调节、在线分析决策和协同互动等高级功能的变电站。随着通信技术、电子互感器和网络技术的发展，以信息化、数字化、自动化、互动化为主要特征的智能化变电站日益依赖信息交互来运行系统。智能变电站系统的数字化、信息化以及通信协议的标准化,使得智能变电站更容易受到攻击，其系统安全性面临新的挑战。目前在智能变电站自动化系统应用中，服务器与客户端之间的通信缺乏可靠的安全防护措施。比如在各客户端业务用户登录服务器仅通过简单的静态密码验证、服务器与客户端的硬件设备未经过安全鉴别，客户端与服务器之间的通信使用明文等，这就给黑客入侵系统提供了可乘之机,黑客可能对静态密码进行暴力破解、携带非法设备充当客户端来操控服务器、通过通讯窃取保密数据等，这对电力控制系统和数据网络的安全性、可靠性提出了新的挑战。如图1所示，目前智能变电站自动化系统多采用“三层两网”结构，三层指站控层、间隔层、过程层。站控层实现面向全站一次设备的测量和控制功能。站控层设备包括：数据服务器、监控工作站、操作员工作站、保护工程师站、维护工程师站等。间隔层设备实现采集一个间隔的数据并且作用于该间隔一次设备的功能，即与各种远方输入/输出、智能传感器和控制器通信。过程层包含由一次设备和智能组件构成的智能设备、合并单元和智能终端，完成变电站电能分配、变换、传输及其测量、控制、保护、计量、状态监测等相关功能。在智能变电站的建设和运行过程中，网络的稳定可靠运行和IED设备之间准确无误的通信过程已经成为智能变电站成功的关键。这就要求智能变电站不但能够对网络运行状况和IED设备之间通信过程的实时分析、监测、管理以及预测，而且要保证智能变电站网络信号的正确无误的传输，这是智能变电站安全运行的迫切而必须的要求。因为电网的安全运行保障着国家的正常生产、生活秩序，一旦智能变电站出现安全问题，轻则将会导致智能电网中重要设备的损坏，重则将会对国家的正常生产生活造成重大伤害，其损失甚至不亚于发生一场战争。然而，正是由于对网络信号的规范化传输和智能化控制，智能变电站才更容易受到黑客攻击，因此，如何能够对智能变电站的信息安全进行有效控制已经成为箭在弦上的有关国家根本利益的重要研究课题。但是，目前为止，在我国的智能变电站建设过程中还未充分意识到这个问题。
技术实现思路
本专利技术所要解决的技术问题是提供一种用于智能变电站自动化的信息安全方法及系统，保障智能变电站自动化系统的信息安全，提高电网运行的安全性、可靠性，本专利技术提出一种信息安全通信方法及其系统，实现对服务器和客户端设备的鉴别、对客户端登录业务用户的身份认证，同时对客户端与服务器的通信信息进行高强度的加密处理。本专利技术解决上述技术问题的技术方案如下：一种用于智能变电站自动化的信息安全方法，包括步骤：(1)基于PKI体系的设备鉴别方法，对服务器和客户端的硬件设备进行鉴别，以拒绝非法设备的业务请求；(2)基于USBKey的用户登录身份认证方法，对在客户端登录的用户进行身份认证，确保用户合法性、安全性；同时对客户端与服务器之间的通信进行加密处理，以防信息被截取。本专利技术的有益效果是：为智能变电站自动化系统提供了有效的设备鉴别、身份认证及抗抵赖机制，对重要的通信数据采用1024位RSA算法加密处理，确保了智能变电站自动化系统运行的安全、可靠，采用设备鉴别和用户登录认证的双因素验证方式，能确保系统业务仅在合法的设备上由合法的用户进行操作。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步，所述步骤(1)包括步骤：(11)由CA服务器生成客户端的公、私钥对，将各客户端公钥同时存储于服务器，私钥以加密形式存储在本地客户端；由CA服务器生成服务器的公、私钥对，将服务器公钥同时存储于客户端，私钥以加密形式存储在本地服务器；(12)客户端向服务器发起业务请求时，先使用SHA256算法对业务请求报文生成摘要，再使用客户端私钥通过1024位的RSA算法对摘要进行数字签名后发送到服务器；(13)服务器收到客户端发送的业务请求报文后，使用相同的SHA256算法计算出报文摘要A,再使用客户端的公钥对数字签名解密得到摘要B，(14)若摘要A与摘要B相同则验签成功，说明业务请求确实由合法客户端设备发起，且报文内容未经过篡改，若否，则客户端设备鉴别失败；(15)服务器验签成功后，发送业务请求回应，业务请求回应报文也先经过SHA256算法生成摘要，再使用服务器私钥通过1024位的RSA算法对摘要进行数字签名后发送；(16)客户端收到服务器发送的业务请求回应报文后使用服务器的公钥验签，并进行摘要运算；(17)摘要运算后比较，确认链接请求是否为服务器发送；若是，则服务器、客户端设备双向鉴别成功，若否，则服务器设备鉴别失败。采用上述进一步方案的有益效果是，保证服务器与各客户端设备的硬件合法性，避免入侵者使用自己携带的非法设备接入本系统来获取信息或执行危害性的指令。进一步，(21)用户在客户端登录时，输入USBKey的PIN号，通过USBKey应用接口进行验证；(22)验证正确后读取USBKey的唯一序列号，将此序列号通过服务器的RSA公钥加密后发送到服务器；(23)服务器用自己的RSA私钥解密后查询本地数据库确认该序列号是否合法及与登录用户信息是否匹配；若确认无误后服务器向客户端发送随机数，否则，则发送用户登录失败；(24)将随机数存储在在本地服务器，该随机数与用户信息一起进行MD5单向散列运算；(25)客户端收到随机数后通过USBKey应用接口将随机数与用户信息一起进行MD5运算，并将运算结果发回到服务器；(26)服务器比较本地运算的结果与客户端发回的结果是否相同，如相同，则用户登录成功，若不相同，则失败。采用上述进一步方案的有益效果是，将系统业务用户与唯一的USBKey绑定，使系统的安全性得到了有效的保障，而且极大提升了系统用户管理的效率。本专利技术还提供了另一种方案：一种用于智能变电站自动化的信息安全系统，包括硬件鉴别子系统和身份认证子系统；所述硬件鉴别子系统，用于客户端需要向服务器发起业务请求时，对服务器和客户端的硬件设备进行鉴别，以拒绝非法设备的业务请求；所述身份认证子系统，用于对在客户端登录的用户进行身份认证，确保用户合法性、安全性；同时对客户端与服务器之间的通信进行加密处理，以防信息被截取。进一步，所述硬件鉴别子系统包括密钥产生模块、正向签名发送模块、正向签名接收模块、第一验签模块、反向签名发送模块、反向签名接收模块以及第二验签模块；所述密钥产生模块，用于由CA服务器生成各客户端的公、私钥对，将各客户端公钥同时存储于服务器，私钥以加密形式存储在本地各客户端；由CA服务器生成服务器的公、私钥对，将服务器公钥同时存储于客户端，私钥以加密形式存储在本地服务器；所述正向签名发送模块，用于客户端向服务器发起业务请求时，先使用SHA256算法对业务请求报文生成摘要，再使用客户本文档来自技高网...

【技术保护点】
一种用于智能变电站自动化的信息安全方法，其特征在于，包括步骤：(1)基于PKI体系的设备鉴别方法，对服务器和客户端的硬件设备进行鉴别，以拒绝非法设备的业务请求；(2)基于USB Key的用户登录身份认证方法，对在客户端登录的用户进行身份认证，确保用户合法性、安全性；同时对客户端与服务器之间的通信进行加密处理，以防信息被截取。

【技术特征摘要】
1.一种用于智能变电站自动化的信息安全方法，其特征在于，包括步骤：(1)基于PKI体系的设备鉴别方法，对服务器和客户端的硬件设备进行鉴别，以拒绝非法设备的业务请求；(2)基于USBKey的用户登录身份认证方法，对在客户端登录的用户进行身份认证，确保用户合法性、安全性；同时对客户端与服务器之间的通信进行加密处理，以防信息被截取。2.根据权利要求1所述的用于智能变电站自动化的信息安全方法，其特征在于，所述步骤(1)包括步骤：(11)由CA服务器生成各客户端的公、私钥对，将各客户端公钥同时存储于服务器，私钥以加密形式存储在本地客户端；由CA服务器生成服务器的公、私钥对，将服务器公钥同时存储于客户端，私钥以加密形式存储在本地服务器；(12)客户端向服务器发起业务请求时，先使用SHA256算法对业务请求报文生成摘要，再使用客户端私钥通过1024位的RSA算法对摘要进行数字签名后发送到服务器；(13)服务器收到客户端发送的业务请求报文后，使用相同的SHA256算法计算出摘要A,再使用客户端的公钥对数字签名解密得到摘要B；(14)若摘要A与摘要B相同则验签成功，说明业务请求确实由合法客户端设备发起，且报文内容未经过篡改，若否，则客户端设备鉴别失败；(15)服务器验签成功后，发送业务请求回应，业务请求回应报文也先经过SHA256算法生成摘要，再使用服务器私钥通过1024位的RSA算法对摘要进行数字签名后发送；(16)客户端收到服务器发送的业务请求回应报文后使用服务器的公钥验签，并进行摘要运算；(17)摘要运算后比较，确认链接请求是否为服务器发送；若是，则服务器、客户端设备双向鉴别成功，若否，则服务器设备鉴别失败。3.根据权利要求1所述的用于智能变电站自动化的信息安全方法，其特征在于，所述步骤(2)包括步骤：(21)用户在客户端登录时，输入USBKey的PIN号，通过USBKey应用接口进行验证；(22)验证正确后读取USBKey的唯一序列号，将此序列号通过服务器的RSA公钥加密后发送到服务器；(23)服务器用RSA私钥解密后查询本地数据库确认该序列号是否合法及与登录用户信息是否匹配；若确认无误后服务器向客户端发送随机数，否则，则发送用户登录失败信息；(24)将随机数存储在在本地服务器，该随机数与用户信息一起进行MD5单向散列运算；(25)客户端收到随机数后通过USBKey应用接口将随机数与用户信息一起进行MD5运算，并将运算结果发回到服务器；(26)服务器比较本地运算的结果与客户端发回的结果是否相同，如相同，则用户登录成功，若不相同，则失败。4.一种用于智能变电站自动化的信息安全系统，其特征在于，包括硬件鉴别子系统和身份认证子系统；所述硬件鉴别子系统，用于各客户端需要向服务器发起业务请求时，对服务器和客户端的硬件设备进行鉴别，以拒绝非法设备的业务请求；所述身份认证子系统，用于对在各客...

【专利技术属性】
技术研发人员：张鹏，刘频，陈辉，刘川云，
申请(专利权)人：成都智达电力自动控制有限公司，
类型：发明
国别省市：四川;51