用于智能变电站信息安全控制的签名、认证方法及其装置制造方法及图纸

本发明专利技术提供一种用于智能变电站信息安全控制的签名、认证方法及其装置，采用演化环签名方法识别智能变电站中的虚假四遥报文，解决可能存在的通过伪造报文控制整个智能变电站的潜在重大安全隐患，保证智能变电站网络控制信息报文发送的完整性和不可抵赖性。本发明专利技术将智能变电站中属同一个VLAN的节点划分为一个环，针对在每个环中传输的MMS/GOOSE/SV报文，分别利用演化环签名方法对其进行签名和认证，保证报文在传输过程中不被篡改。该演化环签名方法全方位确保报文传送过程中的完整性和不可抵赖性，保证智能变电站信息的安全。

【技术实现步骤摘要】
本专利技术涉及智能变电站的信息安全控制领域，具体是一种用于智能变电站信息安全控制的签名、认证方法及其装置。
技术介绍
随着智能变电站相关技术的日益完善，智能变电站逐步进入大规模实用阶段。电力控制系统和信息系统应用越来越多，电力系统通信协议的标准化，使得信息通信更容易受到“黑客”攻击，这对电力控制系统和数据网络的安全性、可靠性提出了新的挑战。目前，在智能变电站中，存在三种报文具有安全隐患，一种是GOOSE (Generic Object Oriented Substation Event,面向通用对象的变电站事件)报文，一种是SV(Sampled Value,采样 值)报文，一种是 MMS (Manufactoring Message Specif ication,制造报文规范)报文。 智能变电站采用国际标准IEC61850协议作为通信标准，保证四遥信号按照通信规范在网络中传输，进而实现智能变电站的智能化控制。这种通信机制可以满足变电站自动化系统快速报文需求的机制，已经成功的应用于传送实时跳闸信号、间隔逻辑闭锁、检同期等。基于网络传输的数字化保护测试设备也逐步完善。变电站配置一套技术先进和功能完善的计算机监控系统，承担运行人员正常控制、监视、信号、测量以及数据统计分析等各方面的功能，监控系统采用IEC61850通信标准，利用快速以太网特性，通过GOOSE(面向对象变电站通用事件)实现保护之间信息交换和监控间隔联闭锁功能，与保护系统统一建模、统一组网，共享统一的信息平台，提高二次系统的安全性、可靠性；IEC61850的应用，节省了规约转换设备，取消了前置等中间通信环节，减少运行、检修、维护工作量，节省重复的二次设备以达到节省成本的目的。在智能变电站的建设和运行过程中，网络的稳定可靠运行和IED设备之间准确无误的通信过程已经成为智能变电站成功的关键。这就要求智能变电站不但能够对网络运行状况和IED设备之间通信过程的实时分析、监测、管理以及预测，而且要保证智能变电站网络信号的正确无误的传输，这是智能变电站安全运行的迫切而必须的要求。因为电网的安全运行保障着国家的正常生产、生活秩序，一旦智能变电站出现安全问题，轻则将会导致智能电网中重要设备的损坏，重则将会对国家的正常生产生活造成重大伤害，其损失甚至不亚于发生一场战争。然而，正是由于对网络信号的规范化传输和智能化控制，智能变电站才更容易受到黑客攻击，因此，如何能够对智能变电站的信息安全进行有效控制已经成为箭在弦上的有关国家根本利益的重要研究课题。但是，目前为止，在我国的智能变电站建设过程中还未充分意识到这个问题。出于对智能电网安全、国民经济生活等国家根本利益的关切，本专利技术提供一种用于智能变电站信息安全控制的签名、认证方法及其装置，采用演化环签名方法识别智能变电站中的虚假四遥报文，解决可能存在的通过伪造报文控制整个智能变电站的潜在重大安全隐患，保证智能变电站网络控制信息报文发送的完整性和不可抵赖性，保证报文在传输过程中不被篡改。本专利技术提供的演化环签名方法及装置能够全方位确保报文传送过程中的完整性和不可抵赖性，保证智能变电站信息的安全。
技术实现思路
本专利技术提供一种用于智能变电站信息安全控制的签名、认证方法及其装置，采用演化环签名方法识别智能变电站中的虚假控制报文，解决可能存在的通过伪造报文控制整个智能变电站的潜在重大安全隐患，保证智能变电站网络控制信息报文发送的完整性和不可抵赖性，保证报文在传输过程中不被篡改，保证智能变电站信息的安全。—种用于智能变电站信息安全控制的签名装置，包括基密钥演化单元、报文信息采集单元、签名用户密钥演化单元、签名信息写入单元、可信报文校验单元；所述基密钥演化单元，用于存储基密钥演化算法，并根据所述基密钥演化算法生成基密钥和随机签名因子； 所述报文信息采集单元，用于分别根据不同的报文信息采集相应报文数据区的数据集合和报文时序状态，以及接收基地发送过来的基密钥和随机签名因子；所述签名用户密钥演化单元，用于根据基地发送过来的基密钥，利用签名用户密钥演化算法生成签名用户密钥，利用指纹函数对所述数据集合生成信息摘要，根据所述随机签名因子取得所述信息摘要的子集，并利用所述签名用户密钥和报文时序状态对所述信息摘要的子集进行数字签名生成演化环签名信息；所述签名信息写入单元，用于将所述演化环签名信息写入相应报文的保留字段中；所述可信报文校验单元，用于对报文进行验证，以确定接收到的报文是否是可信报文。一种用于智能变电站信息安全控制的签名方法，应用上述签名装置作为报文签名端，包括如下步骤步骤一、报文签名端的报文信息采集单元根据不同的报文信息采集相应报文数据区的数据集合和报文时序状态，并接收基地发送过来的基密钥和随机签名因子；步骤二、签名用户密钥演化单元根据所述基密钥利用签名用户密钥演化算法生成签名用户密钥；利用指纹函数对所述数据集合生成信息摘要，根据所述随机签名因子取得所述信息摘要的子集，并利用所述签名用户密钥和报文时序状态对所述信息摘要的子集进行数字签名生成演化环签名信息；步骤三、所述签名信息写入单元将所述演化环签名信息写入相应报文的保留字段中。一种用于智能变电站信息安全控制的签名认证方法，应用上述签名装置作为报文认证端，包括如下步骤步骤一、报文认证端的报文信息采集单元根据不同的报文信息采集报文签名端发送的相应报文数据区的数据集合、报文时序状态和演化环签名信息，并接收基地发送过来的基密钥和随机签名因子；步骤二、报文认证端的签名用户密钥演化单元根据所述基密钥利用签名用户密钥演化算法生成签名用户密钥；利用指纹函数对所述数据集合生成信息摘要，根据所述随机签名因子取得所述信息摘要的子集，并利用所述签名用户密钥和报文时序状态对所述信息摘要的子集进行数字签名生成演化环签名信息；步骤三、报文认证端的可信报文校验单元取得签名端发送过来的演化环签名信息，将报文认证端的签名用户密钥演化单元生成的演化环签名信息与可信报文校验单元取得的签名端发送过来的演化环签名信息比较，根据比对结果判别接收的签名报文是否为可信报文。本专利技术实施例提供的一种用于智能变电站信息安全控制的签名、认证方法及其装置，能够识别智能变电站中的虚假四遥报文，解决可能存在的通过伪造报文控制整个智能变电站的潜在重大安全隐患，保证智能变电站网络控制信息报文发送的完整性和不可抵赖性。附图说明图I是本专利技术提供的用于智能变电站信息安全控制的签名装置的结构示意图；图2是本专利技术提供的用于智能变电站信息安全控制的签名、认证方法及其装置的签名-认证流程示意图；图3是本专利技术基地产生流程及基地动作示意图；图4是本专利技术签名端的流程示意图； 图5是本专利技术认证端的流程示意图；图6是本专利技术以智能变电站不同电压等级设备划分的VLAN结构示意图。具体实施例方式下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述。图I所示为本专利技术用于智能变电站信息安全控制的环签名装置100的结构示意图，所述环签名装置100包括基于可变时间窗的基地投票单元101、基密钥演化单元102、报文信息采集单元103、签名用户密钥演化单元104、签名信息写入单元105、可信报文校验单元 106。所述基于可变时间窗的基地投票单元101，用于每隔一段可变时间(该时间窗本文档来自技高网...

【技术保护点】
一种用于智能变电站信息安全控制的签名装置，其特征在于：包括基密钥演化单元(102)、报文信息采集单元(103)、签名用户密钥演化单元(104)、签名信息写入单元(105)、可信报文校验单元(106)；所述基密钥演化单元(102)，用于存储基密钥演化算法，并根据所述基密钥演化算法生成基密钥和随机签名因子；所述报文信息采集单元(103)，用于分别根据不同的报文信息采集相应报文数据区的数据集合和报文时序状态，以及接收基地发送过来的基密钥和随机签名因子；所述签名用户密钥演化单元(104)，用于根据基地发送过来的基密钥，利用签名用户密钥演化算法生成签名用户密钥，利用指纹函数对所述数据集合生成信息摘要，根据所述随机签名因子取得所述信息摘要的子集，并利用所述签名用户密钥和报文时序状态对所述信息摘要的子集进行数字签名生成演化环签名信息；所述签名信息写入单元(105)，用于将所述演化环签名信息写入相应报文的保留字段中；所述可信报文校验单元(106)，用于对报文进行验证，以确定接收到的报文是否是可信报文。

【技术特征摘要】
1.一种用于智能变电站信息安全控制的签名装置，其特征在于包括基密钥演化单元(102)、报文信息采集单元(103)、签名用户密钥演化单元(104)、签名信息写入单元(105)、可信报文校验单元(106)； 所述基密钥演化单元(102)，用于存储基密钥演化算法，并根据所述基密钥演化算法生成基密钥和随机签名因子； 所述报文信息采集单元(103)，用于分别根据不同的报文信息采集相应报文数据区的数据集合和报文时序状态，以及接收基地发送过来的基密钥和随机签名因子； 所述签名用户密钥演化单元(104)，用于根据基地发送过来的基密钥，利用签名用户密钥演化算法生成签名用户密钥，利用指纹函数对所述数据集合生成信息摘要，根据所述随机签名因子取得所述信息摘要的子集，并利用所述签名用户密钥和报文时序状态对所述信息摘要的子集进行数字签名生成演化环签名信息； 所述签名信息写入单元(105)，用于将所述演化环签名信息写入相应报文的保留字段中； 所述可信报文校验单元(106)，用于对报文进行验证，以确定接收到的报文是否是可信报文。2.如权利要求I所述的用于智能变电站信息安全控制的签名装置，其特征在于还包括基于可变时间窗的基地投票单元(101)，用于每隔一段可变时间向基地投票，决定下一时间段作为基地的节点，投票产生基地的过程为 以智能变电站不同电压等级设备划分的VLAN，将智能变电站网络划分为不同的环Ri, i=1，2，...，S，其中S是VLAN的数目； 设每个环Ri及其环内节点Ni,,, k = 1，2，· · ·，M，其中M是环Ri内的节点数目，设环Ri的可变时间窗口 Wi ； 对于环Ri,每隔一段时间Wi,由环内各个节点Ni,k根据投票机制选举其中一个节点作为环民的基地3.如权利要求2所述的用于智能变电站信息安全控制的签名装置，其特征在于所述签名装置作为报文签名端或报文认证端使用。4.如权利要求I所述的用于智能变电站信息安全控制的签名装置，其特征在于签名信息写入单元(105)，用于将所述演化环签名信息写入相应报文的保留字段中具体为对于GOOSE/SV报文，将生成的演化环签名信息写入IEC61850报文reservedl、reserved2字段中；对于丽S报文，将生成的演化环签名信息写入Ostring字段中。5.一种用于智能变电站信息安全控制的签名方法，应用权利要求I所述的签名装置作为报文签名端，其特征在于包括如下步骤 步骤一、报文签名端的报文信息采集单元(103)根据不同的报文信息采集相应报文数据区的数据集合和报文时序状态，并接收基地发送过来的基密钥和随机签名因子； 步骤二、签名用户密钥演化单元(104)根据所述基密钥利用签名用户密钥演化算法生成签名用户密钥；利用指纹函数对所述数据集合生成信息摘要，根据所述随机签名因子取得所述信...

【专利技术属性】
技术研发人员：王晋，陶骞，胡刚，夏勇军，
申请(专利权)人：湖北省电力公司电力科学研究院，国家电网公司，
类型：发明
国别省市：