【技术实现步骤摘要】
一种基于IEC61850可信链模型的变电站数字证书管理方法
[0001]本专利技术属于电力系统的通信安全领域,涉及变电站内加密、认证密钥的管理领域,具体地说是一种基于IEC61850可信链模型的变电站数字证书管理方法。
技术介绍
[0002]随着网络与通信技术的广泛应用,电力系统的网络安全风险日益增加,而应用加密、认证技术是应对网络安全风险的常用技术手段。在变电站通信中应用加密、认证手段来提升网络系统的安全性,密钥分发的安全性与便捷性密钥管理的重要工作。
[0003]为解决变电站的密钥安全分发管理问题,通常需要部署PKI系统;一方面PKI系统需要权限访问控制来保障密钥分发的受控性,一方面也需要与变电站设备建立密钥分发的通信通道。PKI系统是变电站的辅助应用系统,其访问权限的管理通常与应用业务的管理有区别;而为了保障密钥分发的安全性,变电站设备需要对PKI系统的访问进行身份识别与验证;常见的账户口令相结合的身份认证方式,需要变电站设备预设PKI系统的访问账号与口令并定期管理更新,这不仅增加了账户管理的复杂度,也使PKI系统与变电站设备在权限管理上产生了耦合。
[0004]PKI系统与变电站设备常采用两种通信方式,一种是专用的OCSP、EST、SCEP协议,这些协议对于嵌入式设备过于复杂;一种是通用的SSH、SFTP等协议,而大部分这些通用协议又因安全风险原因,被电网公司严格限制应用;另外,无论专用还是通用协议,任何新增通信协议都会增加变电站通信架构与运行维护的复杂度。
技术实现思路
[0 ...
【技术保护点】
【技术特征摘要】
1.一种基于IEC61850可信链模型的变电站数字证书管理方法,其特征在于,数字证书管理模块与变电站设备应用带有证书管理角色定义数字证书实现IEC61850通信链接的身份认证,并应用通信角色的权限访问控制功能验证与限定对变电站设备的通信服务功能,建立数字证书管理模块与变电站设备的可信链模型,实现变电站数字证书的可信管理功能;在正式管理前,数字证书管理模块预先配置具有证书管理角色的数字证书Cert和可信链证书TrustChain;变电站设备预先配置CA根证书,在IEC61850文件中建立控制模型,用于控制密钥对与证书请求文件的生成,且该控制模型仅允许拥有证书管理角色的通信链接进行控制;上述变电站数字证书管理方法的具体步骤为:步骤1:数字证书管理模块向变电站设备发起IEC61850通信链接请求,在链接请求报文中包含完整的数字证书Cert和可信链证书TrustChain,发起链接请求的当前时间信息T,和应用数字证书管理模块私钥对时间信息T的签名值Sign;步骤2:变电站设备应用预设CA根证书对链接请求和身份信息的合法性进行验证;通过验证后,允许数字证书管理模块创建IEC61850通信链接,并标记该链接为证书管理角色的通信链接;步骤3:数字证书管理模块通过IEC61850控制服务操作变电站设备的控制模型,控制变电站设备生成新的密钥对与证书请求文件;步骤4:变电站设备实时检测对控制模型的操作,若有操作请求发生且通信链接为证书管理角色的通信链接,则开放控制功能并生成新的密钥对与证书请求文件;若成功生成秘钥对与证书请求文件,则返回控制成功;否则,返回控制失败;步骤5:数字证书管理模块通过IEC61850文件读服务获取变电站设备的证书请求文件并进行安全验证;验证通过后,签发数字证书并应用IEC61850文件写服务将数字证书下发给变电站设备;步骤6:变电站设备成功接收到数字证书后,以密钥对与证书请求文件为输入验证数字证书中公钥内容的正确性,并以预设的CA根证书验证数字证书的签名值;若数字证书的签名与公钥均通过验证,变电站设备则应用该密钥对与数字证书。2.根据权利要求1所述的一种基于IEC61850可信链模型的变电站数字证书管理方法,其特征在于,步骤1中所述的数字证书Cert为具有证书管理角色的X509数字证书,证书中包含一个用于描述证书角色属性的扩展项,且该扩展项的属性值为证书管理角色属性值,且证书角色属性扩展项信息包含在数字证书的签名信息中;具有证书管理角色的数字证书至少拥有通过IEC61850通信对变电站设备进行控制、文件读写服务的操作权限。3.根据权利要求1...
【专利技术属性】
技术研发人员:阮黎翔,李广华,王松,戚宣威,李响,丁峰,罗华峰,周强,方芳,沈奕菲,孙文文,王自成,陈明,陶士全,曹文斌,顾浩,李心宇,周进,
申请(专利权)人:南京南瑞继保工程技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。