【技术实现步骤摘要】
一种智能变电站密钥管理方法
本专利技术涉及电力系统信息安全
,具体涉及一种智能变电站密钥管理方法。
技术介绍
变电站是电力系统中能源输送和转换的重要组成部分,是电力系统的枢纽,当前变电站正朝着智能变电站的方向发展。智能变电站具有全站信息数字化、通信平台网络化、信息共享标准化等特点。网络通信技术是智能变电站的核心之一,为智能变电站信息交换和互操作等提供了基础支持。智能变电站的可靠、平稳运行依赖于高安全性的通信网络。尤其对于电力通信网络,一旦发生恶意攻击等安全事故,就可能造成信息泄露甚至信息遭到恶意篡改,就从而引起电网保护、控制等决策混乱,导致电网运行异常甚至崩溃。电力通信报文的安全性依赖于密码学技术,在现代密码学中,密钥管理是其核心和难点之一。按双方收发的密钥是否相同的标准可以划分为两大类:一种是常规算法(也叫私钥加密算法或对称加密算法),其特征是收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的,对称加密算法的优势是运算量小、处理速度快;另一种是公钥加密算法(也叫非对称加密算法),其特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥,但公钥加密算法存在运算量大、耗时的缺点。如何实现密钥管理是密码学的关键技术之一,电力信息系统信息交换具有实时性、报文信息复杂性和网络拓扑多样性等特点,使得如何在有限网络带宽和设备支持下实现满足电力信息系统的密钥管理成为难点,尤其考虑到智能电子设备(IED)受限于存储和运算能力而难以支持复杂的密钥管理方法。因此,一种安全、高效的密钥管理方法对电力信息系统的安全至关重要。为了叙述方便, ...
【技术保护点】
【技术特征摘要】
1.一种智能变电站密钥管理方法,其特征在于:以变电站为核心,采用控制中心‐变电站‐IED三级分层的结构,包括:S1、变电站和IED协调完成站内通信的会话密钥和IED身份密钥的生成、分配、更新、储存和销毁;所述身份密钥的生成和分配:当IED投入变电站运行,变电站参与SCL文件配置,人工分配一个临时密钥,临时密钥只有变电站和该IED获知,该密钥受严格的时间约束,在有限的约定时间内有效且在第一次用完后便失效;IED在获得临时密钥后,向变电站发送用临时密钥加密的报文,报文中包含该IED身份和随机数N,随机数起到保证此次通信的唯一性防止报文重攻击的作用;变电站收到报文后,向IED发送用临时密钥加密的报文,报文中包含IED身份、随机数N和与该IED唯一对应的身份密钥KeyID;IED用临时密钥解密报文获得身份密钥,向变电站发送用身份密钥加密的报文,用于向变电站确认已收到身份密钥,报文中包含有该IED身份、随机数N和确认信息;变电站收到报文确认后销毁该临时密钥并启用身份密钥,整个身份密钥的分配过程完成;会话密钥的生成和分配:变电站向同一组播内的IED发送用各自身份密钥加密的报文,报文中包含有随机数N和会话密钥;IED用身份密钥解密报文获得会话密钥,向变电站发送用身份密钥加密的确认报文,报文中包含有该IED的身份、随机数N和确认信息;变电站确认各IED发送的确认获得会话密钥报文后,向该组内IED用组播方式发送启用会话密钥的命令,至此会话密钥分配过程完成;S2、控制中心与变电站协调完成双方通信的会话密钥和变电站身份密钥的生成、分配、更新、储存和销毁;身份密钥的生成和分配:视变电站为一个IED,当变电站投入运行,控制中心参与SCL文件配置,人工为变电站分配一个临时密钥;变电站在获得临时密钥后,向控制中心发送用临时密钥加密的报文,报文中包含该变电站设备身份和随机数N;控制中心收到报文后,向变电站发送用临时密钥加密的报文,报文中包含变电站设备身份、随机数N和与该变电站唯一对应的身份密钥KeyID_S,变电站用临时密钥解密报文获得身份密钥,向控制中心发送用身份密钥加密的报文,用于向控制中心确认已收到身份密钥,报文中包含有该变电站设备身份、随机数N和确认信息;控制中心收到报文确认后销毁该临时密钥,整个身份密钥的分配过程完成;会话密钥的生成和分配:控制中心向变电站发送用各自身份密钥加密的报文,报文中包含有随机数N和会话密钥;变电站用身份密钥解密报文获得会话密钥,向控制中心发送用身份密钥加密的确认报文,报文中包含有该变电站的身份、随机数N和确认信息;控制中心确认收到各变电站发送的确认报文后,向变电站发送启用会话密钥的命令,至此会话密钥分配过程完成;S3、控制中心、变电站和IED三方协调完成站间通信的会话密钥的生成、分配、更新、储存和销毁;当变电站完成为IED分配身份密钥后,变电站向控制中心发送获取参与站间通信IED的跨站会话密钥的请求报文,该报文包含该IED的ID和随机数N,控制中心收到请求后向相关的变电站发送包含该IED的跨站会话密钥和随机数N的加密报文;变电站解密该报文获得站内参与站间通信IED的跨站会话密钥,向参与站间通信的IED发送用身份密钥加密的报文,报文包含该IED的跨站会话密钥和随机数N;相关IED用身份密钥解密获得跨站会话密钥后,便向变电站发送用跨站会话密钥加密的报文,告知其已获得跨站会话密钥;变电站确认相关IED获得跨站会话密钥后向控制中心发送用跨站会话密钥加密的报文告知相关IED获得跨站会话密钥的确认信息;最后控制中心向变电站发送启用跨站会话密钥的命令,变电站收到后向相关IED发送启用跨站会话密钥的命令,至此站间通信的跨站会话密钥分配过程完成,当IED涉及多个不同的跨站信息交换时,也采用相同的方法。2.根据权利要求1所述的一种智能变电站密钥管理方法,其特征在于:S1中所述身份密钥是每个IED在投入使用时,变电站根据该IED的初始信息通过安全渠道为其生成的一个与其身份唯一对应的身份密钥;所述会话密钥是正常工作过程中变电站和IED用来加密、解密报文的密钥,变电站为同一组播内的所有IED分配统一的会话密钥。3.根据权利要求1所述的一种智能变电站密钥管理方法,其特征在于:S1中所述密钥的更新是所述会话密钥的更新,包括定期更新、新IED投入时的更新和IED退出时的更新,(1)会话密钥的定期更新:变电站向同一组播内的IED发送用当前使用会话密钥加密的报文,报文中包含有新的会话密钥和随机数N;各个IED通过当前使用的会话密钥解密报文获得新的会话密钥,然后向变电站发送用新会话密钥加密的报文,报文中包含有获得的随机数N和该IED的ID号码;变电站确认所有的相关IED都收到新的会话密钥后,便向各相关IED发送启用新会话密钥的命令,至此会话密钥的更新过程完成;(2)新设备投入时会话密钥更新:变电站给新设备分配一个身份密钥,然后将会话密钥用新设备的身份密钥加密后发送给新设备,新设备通过身份密钥解密报文获得会话密钥;对于组播内其他的IED,变电站向同一组播内的IED发送用当前会话密钥加密的报文,报文中包含有新的会话密钥和随机数N;IED通过当前会话密钥解密报文获得新的会话密钥,然后向变电站发送用新的会话密钥加密的报文,报文中包含有随机数N和该IED的ID号码;变电站确认收到各IED发送的报文后发送...
【专利技术属性】
技术研发人员:王智东,王钢,马新华,陈俊威,林跃欢,黎永昌,胡慧贞,
申请(专利权)人:华南理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。