一种基于数字认证技术的变电站安全通信方法及系统技术方案

一种基于数字认证技术的变电站安全通信方法及系统，方法包括：基于国密算法和调度数字证书，根据公钥基础设施进行变电站设备间通信的双向身份认证；基于双向身份认证中的公钥数字签名算法与公钥加密算法，通过计算得到相同的随机数作为变电站设备间通信的加密会话密钥，即实现密钥协商；应用加密会话密钥与国密算法对业务数据进行加解密操作。本发明专利技术在协议的应用层实现基于国密算法与调度证书的双向身份认证；在传输层实现基于国密算法与调度证书的全链路加密与认证，确保传输数据报文防伪造、防抵赖与防窃取，保护数据报文的机密性和完整性。和完整性。和完整性。

【技术实现步骤摘要】
一种基于数字认证技术的变电站安全通信方法及系统


[0001]本专利技术属于电力监控与调度自动化系统安全防护
，具体地，涉及一种基于数字认证技术的变电站安全通信方法及系统。

技术介绍

[0002]随着信息技术的快速发展，我国电力信息系统网络安全在取得一定成就的同时，在网络安全领域中也暴露出一些安全隐患。近期，国家电网公司相继提出了自主可控新一代变电站二次系统安全防护措拖，主要解决变电站内二次设备软硬件国产化替代，尽早摆脱在关键软硬技术、产品方面依赖国外的现状。
[0003]现有技术中，“一种电力异构设备控制指令动态执行方法及系统”(CN113285806B)针对如何提高第三方异构设备渗透下电力系统运行的安全性，建立了第三方异构设备数字证书认证模型，为第三方异构设备及其用户提供数字证书；扩充第三方异构设备的控制指令报文内容，增加时间戳、用户数字认证反馈信息、数字签名、随机数，构建第三方异构设备通信安全防御方法；建立用户信用管理动态循环评估模型，根据异构设备异常操作次数以及用户总操作次数，计算用户时刻t的动态信用评估值；建立第三方异构设备的关联电力功率模型，计算用户时刻t远距离操控的关联电力功率；根据动态信用评估值和关联电力功率，建立第三方控制指令的信用延时响应模型，确定时刻t控制指令响应设备。智能变电站大多基于IEC61850的标准建设，IEC61850标准在大力服务于变电站建设、应用方面体现出极大的优越性。由于变电站内智能设备的广泛应用以及站内的信息大都通过TCP/IP协议进行网络传输，变电站通信系统将面临着极大的安全风险与隐患。ISO/IEC 9506标准所定义的MMS协议是用于工业自动化系统的应用层通信协议，是IEC61850标准中的站控层与间隔层之间的通信映射规范，其在工程应用过程中也发现了一些弊端与安全隐患，包括：MMS协议复杂难懂，实现难度大，对资源要求高，并非变电站最优的通信协议实现方案；MMS协议非国产化标准；MMS协议的底层核心动态库，国内厂商一直采用的是在国外底层库上进行二次开发，不仅版权费用昂贵，同时也隐藏了一些安全漏洞和版权风险；MMS协议本身架构庞大冗余，实际的通信效率低下。基于以上原因，国内智能变电站迫切需要可替代MMS的服务化通信协议，达到IEC61850完全自主实现的目标，本专利技术方法可解决上述出现的问题。

技术实现思路

[0004]为解决现有技术中存在的不足，本专利技术的目的在于，提供一种基于数字认证技术变电站安全通信方法及系统，适用于电力监控系统、调度自动化系统等场景，用国产密码算法SM2与SM4与调度数字证书技术实现变电站内IED设备间通信的双向身份认证及数据加密传输，综合应用加解密算法与签名算法完成通信双方的身份鉴别、密钥协商及数据加解密功能，保证了传输链路具有加密与认证，确保传输数据报文防伪造、防抵赖与防窃取，保护数据报文的机密性，提高电力监控系统运行数据的机密性、完整性及可靠性。
[0005]本专利技术采用如下的技术方案。
[0006]本专利技术一方面提出了一种基于数字认证技术的变电站安全通信方法，包括：
[0007]步骤1，采用国密算法和调度数字证书，基于公钥基础设施进行变电站设备间通信的双向身份认证；双向身份认证时，应用客户端调度数字证书的私钥通过国密算法签名Utc time以生成第一签名值，应用客户端调度数字证书的公钥通过国密算法验证第一签名值，应用服务端调度数字证书的私钥通过国密算法签名Utc time以生成第二签名值，应用服务端调度数字证书的公钥通过国密算法验证第二签名值；若双向身份认证通过则进入步骤2，否则重复步骤1；
[0008]步骤2，在双向身份认证基础上，客户端生成随机数并通过调度数字证书对随机数加密，当服务端通过调度数字证书解密得到相同的随机数时，以随机数作为变电站设备间通信的加密会话密钥；
[0009]步骤3，应用加密会话密钥与国密算法对变电站设备间通信的业务数据进行加解密操作。
[0010]优选地，步骤1中使用的国密算法包括SM2；步骤3中使用的国密算法包括SM4。
[0011]优选地，步骤1包括：
[0012]步骤1.1，变电站设备间通信的客户端和服务端完成TCP连接；
[0013]步骤1.2，客户端准备请求报文和组织认证参数；客户端对调度数字证书和签名时间Utc time进行编码，并应用客户端调度数字证书的私钥通过国密算法签名Utc time，以生成第一签名值c_signValue；向服务端发送带第一签名值c_signValue的请求报文；
[0014]步骤1.3，服务端收到请求报文后，采用根证书验证客户端调度数字证书的合法性，并应用客户端调度数字证书的公钥通过国密算法验证第一签名值c_signValue；若第一签名值c_signValue验证通过，则进入步骤1.4，否则返回步骤1.2；
[0015]其中，根证书签发生成客户端调度数字证书和服务端调度数字证书；
[0016]步骤1.4，服务端组织响应报文，应用服务端调度数字证书的私钥通过国密算法签名Utc time，以生成第二签名值s_signValue；向客户端发送带第二签名值s_signValue的响应报文；
[0017]步骤1.5，客户端收到响应报文后，采用根证书验证服务端调度数字证书的合法性，并应用服务端调度数字证书的公钥通过国密算法验证第二签名值s_signValue；若第二签名值s_signValue验证通过，则双向身份认证通过，否则返回步骤1.2。
[0018]优选地，安全通信时，认证参数中携带签名后的调度数字证书。
[0019]优选地，步骤1中，客户端将客户端签名赋值到调度数字证书中，服务端在验证客户端调度数字证书的合法性后，将服务端签名赋值到调度数字证书中。
[0020]优选地，签名时间Utc Time是认证参数生成的，签名时间的精度小于1秒。
[0021]优选地，服务端对第一签名值验证或客户端对第二签名值验证时，只对签名时间进行签名。
[0022]优选地，步骤2包括：
[0023]步骤2.1，客户端生成随机数R1，并通过服务端调度数字证书加密生成密文Cr1，再用客户端调度数字证书的私钥对Cr1签名生成SCr1，将Cr1与SCr1拼接后发到服务端；
[0024]步骤2.2，服务端收到Cr1与SCr1拼接的数据后，用客户端调度数字证书验证Cr3与SCr3拼接的数据；验证通过后，再用服务端调度数字证书的私钥解密Cr1得R1，返回确认信
息；
[0025]步骤2.3，客户端的服务端应用R1作为变电站设备间通信的加密会话密钥。
[0026]优选地，随机数R1为16字节的数字。
[0027]本专利技术另一方面还提出了一种基于数字认证技术的变电站安全通信系统，用于实现基于数字认证技术的变电站安全通信方法，系统包括：安全身份认证模块，密钥协商模块，数据加密模块；
[0028]安全身份认证模块，用于采用国密算法和调度数字证书，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于数字认证技术的变电站安全通信方法，其特征在于，所述方法包括：步骤1，采用国密算法和调度数字证书，基于公钥基础设施进行变电站设备间通信的双向身份认证；双向身份认证时，应用客户端调度数字证书的私钥通过国密算法签名Utc time以生成第一签名值，应用客户端调度数字证书的公钥通过国密算法验证第一签名值，应用服务端调度数字证书的私钥通过国密算法签名Utc time以生成第二签名值，应用服务端调度数字证书的公钥通过国密算法验证第二签名值；若双向身份认证通过则进入步骤2，否则重复步骤1；步骤2，在双向身份认证基础上，客户端生成随机数并通过调度数字证书对随机数加密，当服务端通过调度数字证书解密得到相同的随机数时，以随机数作为变电站设备间通信的加密会话密钥；步骤3，应用加密会话密钥与国密算法对变电站设备间通信的业务数据进行加解密操作。2.根据权利要1所述的基于数字认证技术的变电站安全通信方法，其特征在于，步骤1中使用的国密算法包括SM2；步骤3中使用的国密算法包括SM4。3.根据权利要2所示的基于数字认证技术的变电站安全通信方法，其特征在于，步骤1包括：步骤1.1，变电站设备间通信的客户端和服务端完成TCP连接；步骤1.2，客户端准备请求报文和组织认证参数；客户端对调度数字证书和签名时间Utc time进行编码，并应用客户端调度数字证书的私钥通过国密算法签名Utc time，以生成第一签名值c_signValue；向服务端发送带第一签名值c_signValue的请求报文；步骤1.3，服务端收到请求报文后，采用根证书验证客户端调度数字证书的合法性，并应用客户端调度数字证书的公钥通过国密算法验证第一签名值c_signValue；若第一签名值c_signValue验证通过，则进入步骤1.4，否则返回步骤1.2；其中，根证书签发生成客户端调度数字证书和服务端调度数字证书；步骤1.4，服务端组织响应报文，应用服务端调度数字证书的私钥通过国密算法签名Utc time，以生成第二签名值s_signValue；向客户端发送带第二签名值s_signValue的响应报文；步骤1.5，客户端收到响应报文后，采用根证书验证服务端调度数字证书的合法性，并应用服务端调度数字证书的公钥通过国密算法验证第二签名值s_signValue；若第二签名值s_signValue验证通过，则双向身份认证通过，否则返回步骤1.2。4.根据权利要3所述的基于数字认证技术的变电站安全通信方法，其特征在于，安全通信时，认...

【专利技术属性】
技术研发人员：郑茂然，丁晓兵，余江，许艾，高宏慧，蒋纬纬，史泽兵，徐延明，张静伟，李维，陈朝辉，徐锐，彭业，武芳瑛，田得良，张福雪，贺红资，黄浩，黄智华，
申请(专利权)人：中国南方电网有限责任公司，
类型：发明
国别省市：