面向智能化配电终端的安全防护系统和方法技术方案

本申请公开了面向智能化配电终端的安全防护系统和方法，所述系统包括终端身份认证模块，用于进行配电二次系统轻量级身份管理与认证；报文快速加解密模块，用于进行智能化配电终端报文加解密；智能化终端本地运维模块，用于进行智能化配电终端的安全本地运维；终端容器安全模块，用于进行终端多角度容器资源综合隔离，保证配电智能化终端的安全防护。本发明专利技术可基于区块链技术实现智能化配电终端身份认证，基于国产高强度商用密码算法实现智能化配电终端报文快速加解密，可实现支撑RFID、蓝牙等近距离通信方式的智能化配电终端本地运维安全防护，以及实现配电终端内核级的容器资源隔离防护。隔离防护。隔离防护。

【技术实现步骤摘要】
面向智能化配电终端的安全防护系统和方法


[0001]本专利技术属于电力物联网安全防护
，涉及面向智能化配电终端的安全防护系统和方法。

技术介绍

[0002]随着电力物联网的建设和发展，配电主站、配电终端、运维技术都将向智能化、互联化发展，各环节业务模式、功能定位以及工作方式相比传统配电监控系统“主站
‑
通信网
‑
终端”架构，变得更加灵活、开放、高效，例如：配电终端升级边缘计算功能、低压设备广泛接入、边边设备通信交互、主站系统云化部署等。当前配电自动化系统的安全防护体系以“安全分区、网络专用、横向隔离、纵向认证”为原则，形成了横跨生产控制大区与管理信息大区、覆盖主站、通信、终端、边界等层面的纵深防御体系，但是网络安全的防御重心主要在边界防护，针对配电业务云化部署、终端智能化的安全防护体系尚不完善，难以有效应对各类越来越复杂和智能化的渗透式网络入侵。
[0003]其中，随着智能物联终端“硬件平台化、软件APP化”发展，其作为应用软件运行载体的容器新技术大规模应用，引入了新的安全风险。一方面“硬件平台本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.面向智能化配电终端的安全防护系统，包括终端身份认证模块、报文快速加解密模块、智能化终端本地运维模块和终端容器安全模块，其特征在于：所述终端身份认证模块，用于基于国密算法的轻量级区块链分布式终端身份管理机制，进行配电二次系统轻量级身份管理与认证；所述报文快速加解密模块，用于基于自动适配的报文加解密机制，结合椭圆曲线运算和双线性对运算，进行智能化配电终端报文加解密；所述智能化终端本地运维模块，用于针对配电终端近场运维需求以及安全风险管控要素，建立智能配电终端近场安全运维策略，基于安全加固和数据加密算法以及安全运维流量审计算法，进行智能化配电终端的安全本地运维；所述终端容器安全模块，用于基于配电终端内核级访问控制和系统调用限制机制，建立容器内部文件访问控制、容器间资源隔离和容器与内核间资源调用限制策略，进行终端多角度容器资源综合隔离，保证配电智能化终端的安全防护。2.根据权利要求1所述的面向智能化配电终端的安全防护系统，其特征在于：所述终端身份认证模块中，搭建以云主站为管理节点、智能化终端为记账和背书节点的联盟链，采用轻量级RAFT共识算法和轻量级密码算法实现交易的快速处理，形成终端自组认证网络，并基于终端自组认证网络进行终端身份管理与认证。3.根据权利要求2所述的面向智能化配电终端的安全防护系统，其特征在于：所述终端身份认证模块包括身份管理单元和身份认证单元；所述身份管理单元中，采用Diffie
‑
Hellman密钥交换、SM2密钥交换协议，建立配电终端间一对一的身份认证协议，实现现有终端网络结构中的安全通信；基于椭圆曲线和双线性对密码原语的群组密钥协商协议，建立配电终端间一对多的身份认证协议，实现系统中配电终端间的离线安全交互；以SM9国密算法为基础，建立基于身份的密码体制下轻量级认证协议，构建终端设备身份信息与公钥天然绑定的无证书信任体系，采用区块链技术和零知识证明、承诺协议密码工具，基于系统的身份管理需求，进行分布式证书颁发与管理。4.根据权利要求3所述的面向智能化配电终端的安全防护系统，其特征在于：所述身份认证单元中，采用终端设备指纹提取技术，将终端设备指纹信息、访问控制信息和电气拓扑图存储在区块链上，实现高效快速的智能化终端接入以及实时网络行为认证。5.根据权利要求1所述的面向智能化配电终端的安全防护系统，其特征在于：所述报文快速加解密模块中，针对分布式馈线自动化无回话模式和差动保护常会话模式下智能化配电终端报文协议特性、传输模式、实时性要求，建立短报文、分段长报文类型的智能化配电终端报文加解密策略，并根据纵向、横向业务特性，进行业务密钥安全存储和密钥索引；通过分析报文协议标识、字段标识、算法标识，自动适配报文加解密策略，进行不同业务报文的加解密。6.根据权利要求5所述的面向智能化配电终端的安全防护系统，其特征在于：所述智能化配电终端报文加解密策略，对于短报文，通过数学理论推导和代码逻辑分析，将密钥扩展轮运算和块加密轮运算进行逻辑融合，进行轮密钥扩展与轮运算融合的协
调运行；对于长报文，考虑单密钥使用频率和密文关联性，建立适用于长报文持续性加解密的上下文结构，动态存储扩展密钥、初始向量、认证变量，进行密钥初始化+循环加解密+数据认证三段式报文加解密。7.根据权利要求5所述的面向智能化配电终端的安全防护系统，其特征在于：所述报文快速加解密模块中，采用资源共享的对称算法建立短报文、分段长报文的智能化配电终端报文加解密策略，并根据纵向、横向业务特性，进行业务密钥安全存储和密钥索引，具体的：首先，建立智能化配电终端的密钥层级保护体系，划分设备、应用、人员密钥类型，明确各密钥职责和使用范围，实现终端内的密钥密态存储；其次，基于对称密码算法的运算逻辑，融合非线性变换和线性变换构造查找表，并根据硬件平台特性和加解密工作模式并行性，使用轮内流水和分块并行优化技术分别实现细粒度和粗粒度的并行控制；最后，构建安全芯片内的密钥防护体系和索引机制，采用白盒化、抗侧信道攻击技术，保障业务密钥生成、存储和使用环节安全。8.根据权...

【专利技术属性】
技术研发人员：陈岑，郭志民，吕卓，李暖暖，杨文，狄立，张铮，蔡军飞，李鸣岩，常昊，田杨阳，王倩，
申请(专利权)人：国网河南省电力公司电力科学研究院，
类型：发明
国别省市：