一种智能网荷互动终端信息安全防护认证加密方法技术

本发明专利技术公开了一种智能网荷互动终端信息安全防护认证加密方法，从系统主站防护、采集信道防护、采集设备防护三个层面，采取协调统一的安全防护技术和安全管理办法，对认证加密系统进行安全设计。其中，系统主站防护模块通过制定主站的安全防护措施和设定网络边界安全防护，从而保证系统主站的安全；采集信道防护模块采用GPRS接入网防护、电力信息内网防护、光纤专网防护、电力线载波防护，实现了智能网荷互动终端系统的信道安全；采集设备防护模块从技术手段上保障采集设备的安全，采用身份认证机制与数据加密措施，提高采集设备的安全防护能力。本发明专利技术构建了一个动态可持续的整体安全防护方案，为智能网荷互动终端信息提供更加可靠的防护服务。

An information security authentication encryption method for intelligent network load interactive terminal

The invention discloses an intelligent net charge interactive encryption method terminal information security certification, from the master station system protection, acquisition channel protection, three aspects of collection equipment protection, coordinated and unified security protection technology and safety management, system safety design of authentication and encryption. The system master station protection module through the safety protection measures and setting the network border security setting station, so as to ensure the safety of the master station system; acquisition channel protection module uses GPRS access network protection, power information network protection, optical fiber network protection, power line protection, realizes the intelligent network security channel charge interactive terminal system; data acquisition equipment acquisition equipment safety protection module security from the technical means, the identity authentication and data encryption, to enhance the ability of security protection equipment acquisition. The invention constructs a dynamic and sustainable overall security protection scheme to provide more reliable protection services for the intelligent network load interactive terminal information.

【技术实现步骤摘要】
一种智能网荷互动终端信息安全防护认证加密方法
本专利技术属于智能配电网
，具体涉及一种智能网荷互动终端信息安全防护认证加密方法。
技术介绍
智能网荷互动终端的信息系统是电力系统信息化的重要组成部分，迫切需要对其进行安全风险评估分析，研究制定满足其安全性需要的安全防护认证加密方案，设计适用的认证密钥协商协议，提高用电信息采集系统的安全防护水平。而伴随着智能电网的推进，信息技术在电力行业广泛应用，智能网荷互动终端信息系统由于引入了大量的信息网络新技术，使得在智能化处理信息的同时，安全问题变得更加复杂、更加紧迫。重点分析和评估互动终端信息采集系统各环节存在的安全问题和潜在的安全隐患，研究安全防护策略，提出有效的安全防护方案目前尚未开展，因此设计一个智能网荷互动终端综合安全防护认证加密方案显得尤为重要。
技术实现思路
目的：为了克服现有技术中存在的不足，本专利技术提供一种智能网荷互动终端信息安全防护认证加密方法。技术方案：为解决上述技术问题，本专利技术采用的技术方案为：一种智能网荷互动终端信息安全防护认证加密方法，包括系统主站层、远程信道层和采集设备层，分别对应设置系统主站防护模块、采集信道防护模块和采集设备防护模块；系统主站防护模块需要应对的智能网荷互动终端信息采集系统潜在的安全风险，包含物理层面、网络层面、主机层面、应用层面和数据层面五个方面；采集信道防护模块包括远程信道防护模块和本地信道防护模块；采集设备防护模块在管理上加强对采集设备的安全监管，同时从技术手段上保障采集设备的安全，采用身份认证机制与数据加密措施，提高采集设备的安全防护能力。系统主站层中，系统主站运行在专用网络上，并做好网络路由防护、网络边界防护、网络设备安全配置。远程信道层中，远程采集信道的接入采取防火墙安全措施，当采用公用通信网络时，禁止其直接与系统内网互联，加装专用的公网接入隔离装置，保证网络故障和安全事件限制在局部区域之内；远程信道和本地信道的通信数据釆用认证加密机制，在通信两端加装数据认证加密装置，保证数据的机密性、完整性和可用性。采集设备层中，采集设备采用身份认证机制与数据加密措施。系统主站防护模块，具体包含主站的安全防护措施和网络边界安全防护，安全防护措施包括主机放置位置，制定统一策略区分用户和信息的访问者，为之分配不同的访问信息以及处理权限，数据库服务器有入侵检测能力和抗病毒能力，采用可靠的安全措施进行隔离；网络边界安全防护包括与营销业务应用系统接口和其它相关系统接口的安全防护，制定相应安全措施，以规范和指导用电信息采集系统与其它系统通过网络进行数据交换的安全要求。远程信道防护模块包括GPRS接入网防护和光纤专网防护；GPRS接入网防护具体包含：步骤一：接入VPN防火墙；步骤二：配置路由器；步骤三：配置RADIUS服务器；步骤四：配置DHCP服务器；步骤五：配备入侵检测系统；步骤六：做好安全配置文件的备份。所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：本地信道防护模块包括电力信息内网防护和电力线载波防护。电力信息内网防护具体包含：步骤一：配置强逻辑隔离装置：在电力信息内网边界加装强逻辑隔离装置，有效控制和管理接入网与电力信息内网间的数据访问安全；步骤二：严格按分层分域管理：电力信息内网内部，必须严格按照分层分域要求，划分独立的专用局域网络，通过网络层之间的路由器，保证域间访问安全；步骤三：配备入侵检测系统：在网络中部署入侵检测系统对经网络传输的数据进行检测，根据网络所传输的终端地址定制入侵检测系统规则，并做好安全策略的相关配置文件的备份，以备恢复之用。电力线载波防护则通过规范电力线载波通讯规约，采用先进的电力载波技术解决载波信号跨台变串扰问题，进行数据釆集过程中的安全控制，加强台区管理。采集设备防护模块包括身份认证机制和数据加密措施，在采集终端和电能表侧加装采集专用安全认证加密芯片，在系统主站侧配合采集设备加装采集专用安全认证加密模块，通过硬件方式实现采集终端和电能表的安全认证机制，并对访问数据实现透明的加密和解密处理；认证加密模块的工作流程如下：步骤一：发起端发出身份认证请求，接收端对其进行身份进行验证，验证通过则表明发起端为合法请求者，接收端回复身份认证通过的信息；否则，接收端告知身份认证失败，不接受发起端的数据访问请求；身份认证时通过检查数字证书的合法性来实现；步骤二：发起端与接收端身份认证通过后，双方建立了互信通道并协商好进行数据访问的工作密钥；步骤三：发起端与接收端利用协商的工作密钥对访问的重要报文进行加密，双方对收到的加密信息进行的解密和完整性验证，实现对重要信息的安全防护。数据加密措施，釆集专用安全认证加密芯片和加密模块由专门机构管理、制作和发放，完全受控，并采用经过国家密码局批准的加密算法进行加密等安全防护操作。有益效果：本专利技术提供的一种智能网荷互动终端信息安全防护认证加密方法，构建了一个动态可持续的整体安全防护方案，为智能网荷互动终端信息提供更加可靠的防护服务，提出有效的安全防护方案，提高智能网荷互动终端的总体安全防护能力，确保智能电网系统安全稳定运行。附图说明图1是本专利技术安全防护认证加密系统总体框架示意图；图2是本专利技术的GPRS无线公网接入安全防护示意图；图3是本专利技术的主站和专家终端加密工作示意图；图4是本专利技术的主站-集中器-载波表加密工作示意图；图5是本专利技术的主站-集中器-采集器-电能表加密工作示意图。具体实施方式下面结合附图和具体实施例对本专利技术作更进一步的说明。以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。如图1所示，一种智能网荷互动终端信息安全防护认证加密方法，所设计的信息安全防护系统包含主站层、远程信道层和采集设备层。所研究的系统可分为系统主站防护模块、采集信道防护模块和采集设备防护模块。系统主站防护模块需要应对的智能网荷互动终端信息采集系统潜在的安全风险主要包含物理层面、网络层面、主机层面、应用层面和数据层面等五个方面；采集信道防护模块包含了远程信道防护和本地信道防护；采集设备防护模块除了在管理上加强对采集设备的安全监管外，更需要从技术手段上保障采集设备的安全，主要采用身份认证机制与数据加密措施，提高采集设备的安全防护能力。本专利技术中系统主站防护模块的安全防护措施部分主要包括以下几方面：（1）主机应放置在具有抗震、防水、防尘、防静电等条件的专用机房，主机房与操作间分开，避免无关人员操作主站设备；机房温、湿度要满足主机运行的技术要求，主机可靠接地，配有供电电源，电池容量满足系统安全要求；（2）制定机房安全管理办法。在用户身份验证和授权控制机制的基础上制定统一策略区分用户和信息的访问者，为之分配不同的访问信息以及处理权限。（3）数据库服务器有入侵检测能力和抗病毒能力，数据库的数据要每天自动定时进行数据冗余备份，并具备异地容灾的能力；对于数据库中敏感的核心数据，要考虑采用数据加密的措施；对数据库的访问要有严格的验证和审核机制，并记录好操作日志。（4）服务器和工作站要设置了防火墙、防病毒软件，并及时更新补丁和病毒库，并对服务器和工作站的软件安装和使用进行必要的监控，防止有意无意地安装一些存在安全隐患的软件。（5）交换机、服务器、操作站、前置机等核心设本文档来自技高网...

【技术保护点】
一种智能网荷互动终端信息安全防护认证加密方法，包括系统主站层、远程信道层和采集设备层，分别对应设置系统主站防护模块、采集信道防护模块和采集设备防护模块；系统主站防护模块需要应对的智能网荷互动终端信息采集系统潜在的安全风险，包含物理层面、网络层面、主机层面、应用层面和数据层面五个方面；采集信道防护模块包括远程信道防护模块和本地信道防护模块；采集设备防护模块在管理上加强对采集设备的安全监管，同时从技术手段上保障采集设备的安全，采用身份认证机制与数据加密措施，提高采集设备的安全防护能力。

【技术特征摘要】
1.一种智能网荷互动终端信息安全防护认证加密方法，包括系统主站层、远程信道层和采集设备层，分别对应设置系统主站防护模块、采集信道防护模块和采集设备防护模块；系统主站防护模块需要应对的智能网荷互动终端信息采集系统潜在的安全风险，包含物理层面、网络层面、主机层面、应用层面和数据层面五个方面；采集信道防护模块包括远程信道防护模块和本地信道防护模块；采集设备防护模块在管理上加强对采集设备的安全监管，同时从技术手段上保障采集设备的安全，采用身份认证机制与数据加密措施，提高采集设备的安全防护能力。2.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：系统主站层中，系统主站运行在专用网络上，并做好网络路由防护、网络边界防护、网络设备安全配置。3.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：远程信道层中，远程采集信道的接入采取防火墙安全措施，当采用公用通信网络时，禁止其直接与系统内网互联，加装专用的公网接入隔离装置，保证网络故障和安全事件限制在局部区域之内；远程信道和本地信道的通信数据釆用认证加密机制，在通信两端加装数据认证加密装置，保证数据的机密性、完整性和可用性。4.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：采集设备层中，采集设备采用身份认证机制与数据加密措施。5.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：系统主站防护模块，具体包含主站的安全防护措施和网络边界安全防护，安全防护措施包括主机放置位置，制定统一策略区分用户和信息的访问者，为之分配不同的访问信息以及处理权限，数据库服务器有入侵检测能力和抗病毒能力，采用可靠的安全措施进行隔离；网络边界安全防护包括与营销业务应用系统接口和其它相关系统接口的安全防护，制定相应安全措施，以规范和指导用电信息采集系统与其它系统通过网络进行数据交换的安全要求。6.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：远程信道防护模块包括GPRS接入网防护和光纤专网防护；GPRS接入网防护具体包含：步骤一：接入VPN防火墙；步...

【专利技术属性】
技术研发人员：许道强，陈霄，霍尧，郑红娟，朱庆，朱玮珂，杨奕彬，王德峰，黄苏文，
申请(专利权)人：国电南瑞科技股份有限公司，国网江苏省电力有限公司，国家电网公司，国电南瑞南京控制系统有限公司，
类型：发明
国别省市：江苏,32