一种配电网通信安全认证系统及方法技术方案

本发明专利技术公开了一种配电网通信安全认证系统及方法，所述方法根据配网主站和配电终端连接方式的不同给出不同的安全认证方式；对于通过串口传输的报文，若为硬件报文，则通过安全认证芯片进行解密；若为软件报文，则通过软件解密库进行解密；将解密后获取的明文通过串口转发至配电终端；对于通过网口传输的报文，首先应对报文进行乱序传输、重复传输进行检验，将检验通过的报文按照串口所传输报文的解密方式进行解密，对于解密后获取的明文通过网口转发至配电终端。本发明专利技术集成了配电网软件报文和硬件报文的安全认证，能够满足现有电网安全防护要求，且无需用户配置，能够避免配电终端侵入配网主站，实现了配电网数据的安全有效传输。

A Communication Security Authentication System and Method for Distribution Network

The invention discloses a security authentication system and method for distribution network communication, which gives different security authentication modes according to the different connection modes of distribution network master station and distribution terminal; decrypts messages transmitted through serial port by security authentication chip if they are hardware messages; decrypts software messages by software decryption library; and obtains them after decryption. The plaintext is forwarded to the distribution terminal through the serial port. For the message transmitted through the network port, the chaotic transmission and repetitive transmission of the message should be checked first. The message passed through the examination should be decrypted according to the decryption mode of the message transmitted through the serial port, and the decrypted plaintext obtained after the decryption should be forwarded to the distribution terminal through the network port. The invention integrates the security authentication of software message and hardware message of distribution network, meets the security protection requirements of existing power network, and does not need user configuration, avoids the invasion of distribution terminal into the main station of distribution network, and achieves the safe and effective transmission of distribution network data.

【技术实现步骤摘要】
一种配电网通信安全认证系统及方法
本专利技术属于配电网
，尤其涉及一种配电网通信安全认证系统及方法。
技术介绍
目前配电网采用的主要通信方式有：光纤通信、无线公网通信、配电线载波通信和现场总线等。种类繁多的通信方式带来了通信安全的问题，尤其是无线公网，面临着公共网络攻击的风险，影响对用户的安全可靠供电，同时存在通过配电终端入侵配网主站，造成更大范围的安全风险。目前在配电网中广泛应用的通信规约是101规约和104规约，其中101规约通过串口进行数据传输，104规约通过网口进行数据传输。目前配电终端和配网主站直接通过101/104规约进行数据传输，没有安全防护，不符合电网的安全稳定运行要求。
技术实现思路
本专利技术的目的在于克服现有技术中的不足，提供一种配电网通信安全认证系统及方法，能够实现配电网数据的安全有效传输。为达到上述目的，本专利技术是采用如下技术方案实现的：一方面，本专利技术提供了一种配电网通信安全认证系统，包括安全认证装置，所述安全认证装置包括：以太网数据收发模块、串口数据收发模块和安全认证芯片；安全认证芯片：用于对配网主站发出的硬件加密报文进行加密和解密；软件解密库：用于对配网主站发出的软件加密报文进行加密和解密；以太网数据收发模块：用于将配网主站发出的104报文传输至安全认证装置并用于将安全认证装置输出的解密104报文转发至配电终端；串口数据收发模块：用于将配网主站发出的101报文传输至安全认证装置并用于将安全认证装置输出的解密101报文转发至配电终端。进一步的，所述系统还包括维护接口：用于对所述系统进行参数配置和或升级。另一方面，本专利技术还提供了一种配电网通信安全认证方法，所述方法包括：步骤A：判断报文的传送端口：若传送报文的端口为串口，则进入步骤B；若传送报文的端口为网口，则对报文进行传输检验，将传输正确的报文拷贝至前一报文的尾部，再进入步骤B；步骤B：对所接收的报文进行种类判别：若报文为软件报文，则待接收到完整的一帧软件报文后，将该软件报文传递给软件解密库函数进行解密，获取软件报文的明文；若报文为硬件报文，则进一步判断硬件报文是否为加密报文：若硬件报文不是加密报文，则成功获取硬件报文的明文后进入步骤C；若硬件报文是加密报文，则待接收到完整的一帧硬件报文后，将该硬件报文通过安全认证芯片进行解密，以获取硬件报文的明文；步骤C：对于步骤B输出的明文，若其对应的报文来自于串口，则通过另一串口将该明文转发至配电终端；若其对应的报文来自于网口，则通过另一网口将该明文转发至配电终端。进一步的，根据所接收报文的前两个字节进行报文种类判别：若报文的前两个字节为0X68，0X68，则判定报文为软件报文；否则，判定报文为硬件报文。进一步的，根据硬件报文的特征字判断硬件报文是否为加密报文：若硬件报文的特征字第4位为1，则表示该硬件报文为加密报文，若硬件报文的特征字第4位为0，则表示该硬件报文为非加密报文。进一步的，对报文进行传输检验的方法包括：获取当前报文的Seq值和长度，将当前报文的长度加上前一报文的Seq值，记为shouldSeq；将当前报文的Seq值与shouldSeq相比较：若当前报文的Seq值＞shouldSeq，认为当前报文发生了乱序传输；若当前报文的Seq值＜shouldSeq，认为当前报文发生了重复传输；若当前报文的Seq值＝shouldSeq，认为当前报文传输正确。进一步的，步骤B中对硬件报文进行解密前，还应当判断硬件报文是否经过配网主站与配电终端的双向身份认证；对于已经认证的硬件报文进行解密；对于未经认证的硬件报文进行丢弃处理。进一步的，步骤C中将明文转发至配电终端之前还应当对报文进行验证，具体包括：若报文中包含配网主站下发的随机数，则对配网主站下发的随机数与配电终端返回的随机数进行一致性检验；若报文中包含配网主站下发的限定时间信息，则将配网主站下发的限定时间信息与安全认证芯片的自身时间信息相比较，进行命令超时检验；若上述检验不通过，则丢弃本帧报文，若上述检验全部通过，则将明文转发至配电终端。进一步的，若传送报文的端口为网口，则当网口驱动层接收到报文后，便对报文进行传输检验。进一步的，对报文进行传输检验之前应检测网口所接收的报文是否为TCP/IP协议报文，若不是，则采用透明转发方式直接经另一网口转发至配电终端；若是，则对报文进行传输检验。因此，本专利技术所提供的配电网通信安全认证系统及方法，集成了配电网软件报文和硬件报文的安全认证，能够满足现有电网安全防护要求，且无需用户配置，能够避免配电终端侵入配网主站，实现了配电网数据的安全有效传输；在数据链路层对报文进行乱序传输、重复传输及传输正确性验证，操作简单、可靠。附图说明图1是本专利技术实施例提供的配电网通信安全认证系统的示意性框图；图2是本专利技术实施例提供的安全认证装置的示意性框图；图3是本专利技术实施例提供的配电网通信安全认证方法的示意性流程图；图4是本专利技术实施例提供的报文确认机制的示意性流程图。具体实施方式下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。如图1、图2所示，本专利技术实施例提供的配电网通信安全认证系统，包括：安全认证装置，配网主站通过安全认证装置实现与配电终端的通信互联。所述安全认证装置包括：安全认证芯片：用于对配网主站发出的硬件加密报文进行加密和解密；存储设备：用于存储软件解密库及其他控制指令，软件解密库：用于对配网主站发出的软件加密报文进行加密和解密；控制模块：用于加载并执行存储设备中的控制指令；以太网数据收发模块：包括以太网数据接收模块和以太网数据发送模块。所述以太网数据接收模块用于将配网主站发出的104报文传输至安全认证装置；所述以太网数据发送模块用于将安全认证装置输出的解密104报文转发至配电终端；串口数据收发模块：包括串口数据接收模块和串口数据发送模块。所述串口数据接收模块用于将配网主站发出的101报文传输至安全认证装置；所述串口数据发送模块用于将安全认证装置输出的解密101报文转发至配电终端；维护接口：用于对所述系统进行参数配置和或升级；电源模块(图中未示出)：用于为上述各用电模块供电。安全认证装置与配电终端有串口和网口两种连接方式，根据连接方式的不同，安全认证装置的处理方式也不同。本专利技术实施例提供的配电网通信安全认证方法根据配网主站和配电终端连接方式的不同给出不同的安全认证方式：对于通过串口传输的报文，若为硬件报文，则通过安全认证芯片进行解密；若为软件报文，则通过软件解密库进行解密；将解密后获取的明文通过串口转发至配电终端；对于通过网口传输的报文，首先应对报文进行乱序传输、重复传输进行检验，将检验通过的报文按照串口所传输报文的解密方式进行解密，对于解密后获取的明文通过网口转发至配电终端。图3示出了本专利技术实施例提供的配电网通信安全认证方法的示意性流程图，该方法可以采用上述配电网通信安全认证系统实现。下面对串口数据的安全认证方式作进一步详细描述，以安全认证装置接收配网主站数据为例，安全认证方法包括：步骤(101)根据所接收报文的前两个字节进行报文种类判别：若报文的前两个字节为0X68，0X68，则判定报文为软件报文；否则，判定报文为硬件报文。步骤(102)如为本文档来自技高网...

【技术保护点】
1.一种配电网通信安全认证系统，其特征在于，包括安全认证装置，所述安全认证装置包括：以太网数据收发模块、串口数据收发模块和安全认证芯片；安全认证芯片：用于对配网主站发出的硬件加密报文进行加密和解密；软件解密库：用于对配网主站发出的软件加密报文进行加密和解密；以太网数据收发模块：用于将配网主站发出的104报文传输至安全认证装置并用于将安全认证装置输出的解密104报文转发至配电终端；串口数据收发模块：用于将配网主站发出的101报文传输至安全认证装置并用于将安全认证装置输出的解密101报文转发至配电终端。

【技术特征摘要】
1.一种配电网通信安全认证系统，其特征在于，包括安全认证装置，所述安全认证装置包括：以太网数据收发模块、串口数据收发模块和安全认证芯片；安全认证芯片：用于对配网主站发出的硬件加密报文进行加密和解密；软件解密库：用于对配网主站发出的软件加密报文进行加密和解密；以太网数据收发模块：用于将配网主站发出的104报文传输至安全认证装置并用于将安全认证装置输出的解密104报文转发至配电终端；串口数据收发模块：用于将配网主站发出的101报文传输至安全认证装置并用于将安全认证装置输出的解密101报文转发至配电终端。2.根据权利要求1所述的配电网通信安全认证系统，其特征在于，所述系统还包括维护接口：用于对所述系统进行参数配置和或升级。3.一种配电网通信安全认证方法，其特征在于，所述方法包括：步骤A：判断报文的传送端口：若传送报文的端口为串口，则进入步骤B；若传送报文的端口为网口，则对报文进行传输检验，将传输正确的报文拷贝至前一报文的尾部，再进入步骤B；步骤B：对所接收的报文进行种类判别：若报文为软件报文，则待接收到完整的一帧软件报文后，将该软件报文传递给软件解密库函数进行解密，获取软件报文的明文；若报文为硬件报文，则进一步判断硬件报文是否为加密报文：若硬件报文不是加密报文，则成功获取硬件报文的明文后进入步骤C；若硬件报文是加密报文，则待接收到完整的一帧硬件报文后，将该硬件报文通过安全认证芯片进行解密，以获取硬件报文的明文；步骤C：对于步骤B输出的明文，若其对应的报文来自于串口，则通过另一串口将该明文转发至配电终端；若其对应的报文来自于网口，则通过另一网口将该明文转发至配电终端。4.根据权利要求3所述的配电网通信安全认证方法，其特征在于，根据所接收报文的前两个字节进行报文种类判别：若报文的前两个字节为0X68，0X68，则判定报文为软件报文；否则，判定报文为硬件报文。5.根据权利要求3所述的配电网通信安全认...

【专利技术属性】
技术研发人员：刘朝辉，倪健，戴胜，董辉，
申请(专利权)人：南京蓝途电力自动化有限公司，
类型：发明
国别省市：江苏,32