本发明专利技术提供一种智能配网安全接入平台及其实现方法,所述平台包括配电主站、配电安全接入网关、数据隔离组件和配电终端;所述配电终端内嵌安全芯片;所述配电主站、数据隔离组件、配电安全接入网关和配电终端依次通信连接;所述配电主站通过数据隔离组件向采集服务器发起连接请求,所述采集服务器通过配电安全接入网关将连接请求发送至配电终端,所述配电安全接入网关与配电终端建立连接并进行安全协商。本发明专利技术采有利于加快配电自动化业务系统建设和安全防护进程,有利于新旧配电主站及终端平稳过渡,在满足信息安全防护要求的基础上,保持公司生产管理大区和管理信息大区信息安全防护水平,保障配电自动化系统安全。
A secure access platform for intelligent distribution network and its implementation
【技术实现步骤摘要】
一种智能配网安全接入平台及其实现方法
本专利技术涉及配网安全管理
,具体涉及一种智能配网安全接入平台及其实现方法。
技术介绍
相关技术中,配电主站部署在生产控制大区,防护措施包括横向单向安全隔离装置(与管理信息大区和安全接入区之间)、防火墙(与主网调度自动化系统之间)、配电加密认证装置、恶意代码防护系统、前置机采用经国家指定部门认证的安全加固操作系统、2013年以后实现设备国产化等,采用基于非对称密码算法的单向认证措施防止控制命令、参数设置指令被篡改或伪造。配电终端采用软件包或安全芯片形式实现对配电主站下发的控制命令、参数设置指令的安全鉴别和数据完整性验证,采购的各类型终端均通过国家及公司认可检测机构的安全性测试。但现有技术中,存在以下不足,基于非对称密码算法的单向认证措施不能防范非法终端接入。上行数据明文传输存在泄露或被篡改风险。通过光纤等有线专网接入的配电终端分布广泛,其物理安全防护等级远低于配电主站;在配电主站边界处防护措施薄弱,缺少接入控制和隔离措施。
技术实现思路
为至少在一定程度上克服相关技术中存在的问题,本申请提供一种智能配网安全接入平台及其实现方法。本专利技术的目的是采用下述技术方案实现的:一种智能配网安全接入平台,其改进之处在于,所述平台包括配电主站、配电安全接入网关、数据隔离组件和配电终端;所述配电终端内嵌安全芯片;所述配电主站、数据隔离组件、配电安全接入网关和配电终端依次通信连接;所述配电主站通过数据隔离组件向采集服务器发起连接请求,所述采集服务器通过配电安全接入网关将连接请求发送至配电终端,所述配电安全接入网关与配电终端建立连接并进行安全协商。进一步地,所述配电安全接入网关与所述配电主站之间设有采集服务器;所述采集服务器用于配电安全接入网关与所述配电主站之间的交互。进一步地,所述服务器上设有静态路由,所述静态路由用于将采集服务器的数据流定向发送至配电接入网关上。进一步地,所述安全芯片采用的是SPI接口,用于配电终端的操作系统对通过SPI接口对安全芯片进行读写操作。进一步地,所述数据隔离组件包括正反向隔离,提供访问控制、数据内容过滤,实现边界安全隔离,防止非法链接直接进行访问。进一步地,所述平台还包括采取访问控制措施,对应用层数据流进行有效的监视和控制的防火墙;和远程参数设置、远程升级信息采用非对称国密算法进行签名操作,实现配电终端对配电主站的身份鉴别与报文完整性保护的配电加密认证装置。本专利技术还提供一种智能配网安全接入实现方法,其改进之处在于,所述方法包括(1)配电主站发起配电业务数据采集的请求;(2)采集服务器设置静态路由,将采集服务器的数据流定向路由到配电接入网关上;(3)配电终端与配电安全接入网关进行密钥协商认证建立安全通道后进行数据交互;(4)数据交互后配电主站断开与配电终端连接。进一步地,所述步骤(4)包括如配电主站需要再次采集数据,配电终端需要重新和安全接入网关进行安全密钥协商。进一步地,所述配电终端和安全接入网关的数据加解密算法采用国密算法。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。与最接近的现有技术相比,本专利技术提供的技术方案具有的优异效果是:本专利技术采用配电加密认证装置为配电业务提供数字签名功能,提供业务数据完整性保护,杜绝伪造配电主站的风险。配电主站和配电终端不对业务数据进行应用层加密,可减少前置机、配电终端和安全芯片的计算负载。本专利技术采用配电安全接入网关为终端提供身份认证、通道数据加密、终端状态监控等功能,数据隔离组件可提供网络边界隔离功能,提高总体安全防护能力,确保配电业务系统安全防护强度达到公司要求。本专利技术采用配电自动化系统信息安全防护方案满足国家及公司信息安全防护要求、不降低安全标准、最小化对业务性能的影响、减少业务系统的改造开发工作量,有利于加快配电自动化业务系统建设和安全防护进程,有利于新旧配电主站及终端平稳过渡,在满足信息安全防护要求的基础上,保持公司生产管理大区和管理信息大区信息安全防护水平,保障配电自动化系统安全。为了上述以及相关的目的,下面的说明以及附图详细说明某些示例性方面,并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显,所公开的实施例是要包括所有这些方面以及它们的等同。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。图1是本专利技术提供的一种智能配网安全接入平台结构示意图;图2是本专利技术提供的一种智能配网安全接入实现方法流程图;图3是本专利技术提供的一种智能配网安全接入实现方法中密钥协商流程图。具体实施方式下面结合附图对本专利技术的具体实施方式作进一步的详细说明。以下描述和附图充分地示出本专利技术的具体实施方案,以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的组件和功能是可选的,并且操作的顺序可以变化。实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本专利技术的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,本专利技术的这些实施方案可以被单独地或总地用术语“专利技术”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的专利技术,不是要自动地限制该应用的范围为任何单个专利技术或专利技术构思。如图1所示,本专利技术提供一种智能配网安全接入平台,所述平台包括配电主站、配电安全接入网关、数据隔离组件和配电终端;所述配电终端内嵌安全芯片;所述配电主站、数据隔离组件、配电安全接入网关和配电终端依次通信连接;所述配电主站通过数据隔离组件向采集服务器发起连接请求,所述采集服务器通过配电安全接入网关将连接请求发送至配电终端,所述配电安全接入网关与配电终端建立连接并进行安全协商。其中,配电终端提供配电终端操作系统软件编译环境,并协助安装配电安全接入网关客户端程序,并且保证配电安全接入网关客户端程序能够开机自启动和异常恢复(硬件watchdog)。上述技术方案中,配电主站与配电终端的通信方式以电力光纤或无线公网通信为主,对于不具备电力光纤通信条件的末梢配电终端,采用无线专网通信方式;无论采用哪种通信方式,都应采用基于数字证书的认证技术及基于国产商用密码算法的加密技术进行安全防护。上述技术方案中,平台采用安全加固的操作系统;采用用户名/强口令、动态口令、生物识别、数字证书等1种或以上用户身份认证方式。上述技术方案中,本专利技术可采用配电安全接入网关和数据隔离来实现安本文档来自技高网...
【技术保护点】
1.一种智能配网安全接入平台,其特征在于,所述平台包括配电主站、配电安全接入网关、数据隔离组件和配电终端;所述配电终端内嵌安全芯片;所述配电主站、数据隔离组件、配电安全接入网关和配电终端依次通信连接;/n所述配电主站通过数据隔离组件向采集服务器发起连接请求,所述采集服务器通过配电安全接入网关将连接请求发送至配电终端,所述配电安全接入网关与配电终端建立连接并进行安全协商。/n
【技术特征摘要】
1.一种智能配网安全接入平台,其特征在于,所述平台包括配电主站、配电安全接入网关、数据隔离组件和配电终端;所述配电终端内嵌安全芯片;所述配电主站、数据隔离组件、配电安全接入网关和配电终端依次通信连接;
所述配电主站通过数据隔离组件向采集服务器发起连接请求,所述采集服务器通过配电安全接入网关将连接请求发送至配电终端,所述配电安全接入网关与配电终端建立连接并进行安全协商。
2.如权利要求1所述的一种智能配网安全接入平台,其特征在于,所述配电安全接入网关与所述配电主站之间设有采集服务器;所述采集服务器用于配电安全接入网关与所述配电主站之间的交互。
3.如权利要求1所述的一种智能配网安全接入平台,其特征在于,所述服务器上设有静态路由,所述静态路由用于将采集服务器的数据流定向发送至配电接入网关上。
4.如权利要求1所述的一种智能配网安全接入平台,其特征在于,所述安全芯片采用的是SPI接口,用于配电终端的操作系统对通过SPI接口对安全芯片进行读写操作。
5.如权利要求1所述的一种智能配网安全接入平台,其特征在于,所述数据隔离组件包括正反向隔离,提供访...
【专利技术属性】
技术研发人员:许勇刚,林亮成,张崇超,刘增明,马靖,姜帆,刘伟,
申请(专利权)人:国家电网公司,国网信息通信产业集团有限公司,国网思极网安科技北京有限公司,国网山东省电力公司电力科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。