本发明专利技术公开了一种实现配电自动化遥控命令加密认证的方法,由如下步骤组成:(1)对遥控报文进行数字签名由主站生成密钥对;(2)主站存储私钥并下发公钥给配电终端;(3)配电终端存储公钥;(4)主站用私钥签名;(5)配电终端用公钥验签;(6)配电终端向开关发出动作信号。所述方法为主站使用非对称加密算法,定时或人工触发随机生成密钥对,将私钥存储在本地,将公钥通过公网发送给配电终端,配电终端将接收到的公钥存储在本地;主站对配电终端发送遥控命令时,先用私钥对遥控报文生成签名,并将签名附在遥控报文尾部;终端接收到遥控命令时,用公钥对遥控报文进行验签,验签成功以后再执行开关动作,如果验签失败则拒绝动作。该方法实用性强,增加了遥控的可靠性和安全性。
【技术实现步骤摘要】
一种实现配电自动化遥控命令加密认证的方法
本专利技术属于电气工程
,具体指一种实现配电自动化遥控命令加密认证的方法。
技术介绍
配电自动化系统的终端数量庞大,分布范围广,难以全部通过电力光纤技术接入,广泛了采用公网技术(如TD-SCDMA、GPRS、CDMA)。由于公网为电力、银行等各行业和用户共享的公共网络,因此给配电自动化系统带来了一定安全风险。为此国家电网公司于2011年2月份下发了国家电网调〔2011〕168号文件《关于加强配电网自动化系统安全防护工作的通知》和《中低压配电网自动化系统安全防护补充规定(试行)》,本专利技术主要是针对这些文件要求,实现了配电自动化系统遥控加密安全认证,并充分考虑了系统的长期运行维护问题,实现了密匙从配电主站向配电终端的自动下发。
技术实现思路
本专利技术要解决的技术问题是:针对配电自动化系统公网通信的安全防护方案过于依赖通信运营商的状况,提供一种配电自动化主站系统主动采用“不对称加密算法”对遥控报文进行数字签名,以防止网络攻击、实现配电自动化遥控命令加密认证的方法。本专利技术的技术解决方案是:实现配电自动化遥控命令加密认证的方法由如下步骤组成;(1)对遥控报文进行数字签名由主站生成密钥对;(2)主站存储私钥并下发公钥给配电终端;(3)配电终端存储公钥;(4)主站用私钥签名;(5)配电终端用公钥验签;(6)配电终端向开关发出动作信号。由于主站使用非对称加密算法(如1024bit的RSA、256bit的ECC),定时或人工触发随机生成密钥对,将私钥存储在本地,将公钥通过公网发送给配电终端,配电终端将接收到的公钥存储在本地;主站对配电终端发送遥控命令时,先用私钥对遥控报文生成签名,并将签名附在遥控报文尾部;配电终端接收到遥控命令时,用公钥对遥控报文进行验签,验签成功以后再执行开关动作,如果验签失败则拒绝动作。本专利技术的有益效果是:1.对遥控报文进行了签名,有效的阻止了黑客的网络攻击;2.配电终端数量庞大,采用非对称加密技术,密钥分发和管理方便;3.主站定时更新密钥,增强了密钥安全性。4.验签失败时重新发送公钥信息,避免了公钥信息丢失导致遥控失败,增加了遥控的可靠性。附图说明图1为遥控命令加密认证流程图。图2为单向认证整个报文的格式图。图3为公钥信息(ECC方式为公钥文件,RSA方式为公钥)的报文格式图。图4为模数的报文格式图。具体实施方式参考图1—图4,实现配电自动化遥控命令加密认证的方法由如下步骤组成:(1)对遥控报文进行数字签名由主站生成密钥对;(2)主站存储私钥并下发公钥给配电终端;(3)配电终端存储公钥;(4)主站用私钥签名;(5)配电终端用公钥验签;(6)配电终端向开关发出动作信号。配网主站关于数字签名的流程如下:主站发送链路启动报文,配电终端回复链路启动确认报文,主站根据配电终端使用加密方式,下发公钥文件(ECC方式),或者公钥和模数(RSA方式),配电终端回复接收确认。配电终端将接收的公钥信息保存为本地文件,等待接收遥控命令后,验证签名的时候使用。配网主站接收到界面发送要的遥控命令请求后,按照正常遥控命令打包,在正常遥控命令后,添加单向认证报文头,取当前时间,填入时间戳。填写安全标签。使用与终端约定的算法,对遥控命令第七个字节开始到安全标签进行数字签名,将签名结果附加到安全标签之后。配电终端接收到主站下发的遥控报文后,使用本地公钥文件对签名报文进行验签,如果验签成功,则按照正常遥控流程回复,如果验签失败,则返回原因码为48.主站接收到原因码为48的反校报文后,主动下发公钥信息。配电终端使用主站下发的公钥信息同步本地公钥文件。在104规约中扩展命令类型,采用与总召唤一致的报文格式,增加公钥下发命令,在运行过程中可以对终端的公钥文件进行更新,在现有总召唤的命令下修改,针对ECC加密方式,扩展类型108为公钥文件下发命令类型,针对RSA加密方式,扩展类型108为公钥下发命令类型,扩展类型109为模数下发命令类型。为防止公钥信息大于一帧104规约所能传输信息的上限,定义下发公钥信息前的报文部分中倒数第三个字节为总帧数,倒数第二个字节为当前帧数,只有当前帧数和总帧数相等,公钥信息才算发送完毕。对于遥控命令,扩展原因码48.当配电终端验签失败后,原因码上送48,当主站收到原因码为48的遥控反校命令后,主动下发公钥(对于ECC算法,下发公钥文件;对于RSA算法,下发公钥和模数参数)信息,防止因为公钥信息损坏导致遥控失败。配网主站使用私钥对整个控制命令和时间戳进行签名,将数字签名尾随在原控制命令报文后形成符合命令报文并发送。单向认证报文分为以下几个部分:(1)报文头(2)时间戳(3)安全标签(4)数字签名。对于单项认证报文的详细说明如下:(1)报文头共四个字节:第一个字节为加密类型22,第二个字节为报文长度(包含从此长度字节后开始到单项认证报文结尾的字节数),对于RSA加密算法,签名出的结果为固定长度,故此处在进行数字签名前即可填好;对于ECC加密算法,签名出的结果长度不固定,故此处在签名前填写0,在签名结束后,再把实际长度填写;第三个字节为控制位,第四个字节为预留位,暂时都设置为0。(2)时间戳共四字节,为从1970年1月1日到现在的秒值,为格林威治时间。(3)安全标签现做保留,共16个字节,全为0;(4)数字签名即为使用加密算法签名出的结果。本方法适用于配电自动化主站系统以公网技术与配电终端通信,主站下发的遥控命令带有基于调度证书的数字签名,配电终端在确认遥控命令中数字签名的合法性后,再执行命令。“公网”是指除了“电力通信专网”以外的所有通信网络。本文档来自技高网...
【技术保护点】
一种实现配电自动化遥控命令加密认证的方法,其特征在于由如下步骤组成:(1)对遥控报文进行数字签名由主站生成密钥对;(2)主站存储私钥并下发公钥给配电终端;(3)配电终端存储公钥;(4)主站用私钥签名;(5)配电终端用公钥验签;(6)配电终端向开关发出动作信号。
【技术特征摘要】
1.一种实现配电自动化遥控命令加密认证的方法,其特征在于,由如下步骤组成:(1)对遥控报文进行数字签名由主站生成密钥对;所述数字签名的流程如下:主站发送链路启动报文,配电终端回复链路启动确认报文,主站根据配电终端使用加密方式,下发公钥文件ECC方式,或者公钥和模数RSA方式,配电终端回复接收确认;配电终端将接收的公钥信息保存为本地文件,等待接收遥控命令后,验证签名的时候使用;配网主站接收到界面要发送的遥控命令请求后,按照正常遥控命令打包,在正常遥控命令后,添加单向认证报文头,取当前时间,填入时间戳;填写安全标签;使用与终端约定的算法,对遥控命令第七个字节开始到安全标签进行数字签名,将签名结果附加到安全标签之后;(2)主站存储私钥并下发公钥给配电终端;配电终端接收到主站下发的遥控报文后,使用本地公钥文件对签名报文进行验签,如果验签成功,则按照正常遥控流程回复,如果验签失败,则返回原因码为48;主站接收到原因码为48的返校报文后,主动下发公钥信息;配电终端使用主站下发的公钥...
【专利技术属性】
技术研发人员:漆铭均,洪文国,孙志云,其他发明人请求不公开姓名,
申请(专利权)人:湖南省电力勘测设计院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。