一種實現配電自動化遙控命令加密認證的方法
2023-05-26 06:05:16 1
專利名稱:一種實現配電自動化遙控命令加密認證的方法
技術領域:
本發明屬於電氣工程技術領域,具體指一種實現配電自動化遙控命令加密認證的方法。
背景技術:
配電自動化系統的終端數量龐大,分布範圍廣,難以全部通過電力光纖技術接入,廣泛了採用公網技術(如TD-SCDMA、GPRS、CDMA)。由於公網為電力、銀行等各行業和用戶共享的公共網絡,因此給配電自動化系統帶來了一定安全風險。為此國家電網公司於2011年2月份下發了國家電網調〔2011〕168號文件《關於加強配電網自動化系統安全防護工作的通知》和《中低壓配電網自動化系統安全防護補充規定(試行)》,本發明主要是針對這些文件要求,實現了配電自動化系統遙控加密安全認證,並充分考慮了系統的長期運行維護問題,實現了密匙從配電主站向配電終端的自動下發。
發明內容
本發明要解決的技術問題是:針對配電自動化系統公網通信的安全防護方案過於依賴通信運營商的狀況,提供一種配電自動化主站系統主動採用「不對稱加密算法」對遙控報文進行數字籤名,以防止網絡攻擊、實現配電自動化遙控命令加密認證的方法。本發明的技術解決方案是:實現配電自動化遙控命令加密認證的方法由如下步驟組成;(I)對遙控報文進行數字籤名由主站生成密鑰對;(2)主站存儲私鑰並下發公鑰給配電終端;(3)配電終端存儲公鑰;(4)主站用私鑰籤名;(5)配電終端用公鑰驗籤;(6)配電終端向開關發出動作信號。由於主站使用非對稱加密算法(如1024bit的RSA、256bit的ECC),定時或人工觸發隨機生成密鑰對,將私鑰存儲在本地,將公鑰通過公網發送給配電終端,配電終端將接收到的公鑰存儲在本地;主站對配電終端發送遙控命令時,先用私鑰對遙控報文生成籤名,並將籤名附在遙控報文尾部;配電終端接收到遙控命令時,用公鑰對遙控報文進行驗籤,驗籤成功以後再執行開關動作,如果驗籤失敗則拒絕動作。本發明的有益效果是:
1.對遙控報文進行了籤名,有效的阻止了黑客的網絡攻擊;
2.配電終端數量龐大,採用非對稱加密技術,密鑰分發和管理方便;
3.主站定時更新密鑰,增強了密鑰安全性。4.驗籤失敗時重新發送公鑰信息,避免了公鑰信息丟失導致遙控失敗,增加了遙控的可靠性。
圖1為遙控命令加密認證流程圖。圖2為單向認證整個報文的格式圖。
圖3為公鑰信息(ECC方式為公鑰文件,RSA方式為公鑰)的報文格式圖。圖4為模數的報文格式圖。
具體實施例方式參考圖1一圖4,實現配電自動化遙控命令加密認證的方法由如下步驟組成:(I)對遙控報文進行數字籤名由主站生成密鑰對;(2)主站存儲私鑰並下發公鑰給配電終端;
(3)配電終端存儲公鑰;(4)主站用私鑰籤名;(5)配電終端用公鑰驗籤;(6)配電終端向開關發出動作信號。配網主站關於數字籤名的流程如下:主站發送鏈路啟動報文,配電終端回復鏈路啟動確認報文,主站根據配電終端使用加密方式,下發公鑰文件(ECC方式),或者公鑰和模數(RSA方式),配電終端回復接收確認。配電終端將接收的公鑰信息保存為本地文件,等待接收遙控命令後,驗證籤名的時候使用。配網主站接收到界面發送要的遙控命令請求後,按照正常遙控命令打包,在正常遙控命令後,添加單向認證報文頭,取當前時間,填入時間戳。填寫安全標籤。使用與終端約定的算法,對遙控命令第七個字節開始到安全標籤進行數字籤名,將籤名結果附加到安全標籤之後。配電終端接收到主站下發的遙控報文後,使用本地公鑰文件對籤名報文進行驗籤,如果驗籤成功,則按照正常遙控流程回復,如果驗籤失敗,則返回原因碼為48.主站接收到原因碼為48的反校報文後,主動下發公鑰信息。配電終端使用主站下發的公鑰信息同步本地公鑰文件。在104規約中擴展命令類型,採用與總召喚一致的報文格式,增加公鑰下發命令,在運行過程中可以對終端的公鑰文件進行更新,在現有總召喚的命令下修改,針對ECC加密方式,擴展類型108為公鑰文件下發命令類型,針對RSA加密方式,擴展類型108為公鑰下發命令類型,擴展類型109為模數下發命令類型。為防止公鑰信息大於一幀104規約所能傳輸信息的上限,定義下發公鑰信息前的報文部分中倒數第三個字節為總幀數,倒數第二個字節為當前幀數,只有當前幀數和總幀數相等,公鑰信息才算發送完畢。對於遙控命令,擴展原因碼48.當配電終端驗籤失敗後,原因碼上送48,當主站收到原因碼為48的遙控反校命令後,主動下發公鑰(對於ECC算法,下發公鑰文件;對於RSA算法,下發公鑰和模數參數)信息,防止因為公鑰信息損壞導致遙控失敗。配網主站使用私鑰對整個控制命令和時間戳進行籤名,將數字籤名尾隨在原控制命令報文後形成符合命令報文並發送。單向認證報文分為以下幾個部分:(1)報文頭(2)時間戳(3 )安全標籤(4 )數字籤名。對於單項認證報文的詳細說明如下:
(I)報文頭共四個字節:第一個字節為加密類型22,第二個字節為報文長度(包含從此長度字節後開始到單項認證報文結尾的字節數),對於RSA加密算法,籤名出的結果為固定長度,故此處在進行數字籤名前即可填好;對於ECC加密算法,籤名出的結果長度不固定,故此處在籤名前填寫0,在籤名結束後,再把實際長度填寫;第三個字節為控制位,第四個字節為預留位,暫時都設置為O。(2)時間戳共四字節,為從1970年I月I日到現在的秒值,為格林威治時間。(3)安全標籤現做保留,共16個字節,全為O ; (4)數字籤名即為使用加密算法籤名出的結果。本方法適用於配電自動化主站系統以公網技術與配電終端通信,主站下發的遙控命令帶有基於調度證書的數字籤名,配電終端在確認遙控命令中數字籤名的合法性後,再執行命令。「公網」是指除了「電力通信專網」以外的所有通信網絡。
權利要求
1.一種實現配電自動化遙控命令加密認證的方法,其特徵在於由如下步驟組成:(1)對遙控報文進行數字籤名由主站生成密鑰對;(2)主站存儲私鑰並下發公鑰給配電終端;(3)配電終端存儲公鑰;(4)主站用私鑰籤名;(5)配電終端用公鑰驗籤;(6)配電終端向開關發出動作信號。
2.根據權利要求1所述的實現配電自動化遙控命令加密認證的方法,其特徵在於,主站採用定期自動或人工觸發方式,選擇指定的非對稱加密算法,生成密鑰。
3.根據權利要求1所述的實現配電自動化遙控命令加密認證的方法,其特徵在於,對電力通信規約的遙控報文進行擴展,增加了公鑰下發類型的報文、公鑰下發確認報文。
4.根據權利要求1所述的實現配電自動化遙控命令加密認證的方法,其特徵在於,對電力通信規約的遙控報文進行擴展,為遙控報文增加了籤名數據區,增加了驗籤失敗響應報文。
全文摘要
本發明公開了一種實現配電自動化遙控命令加密認證的方法,由如下步驟組成:(1)對遙控報文進行數字籤名由主站生成密鑰對;(2)主站存儲私鑰並下發公鑰給配電終端;(3)配電終端存儲公鑰;(4)主站用私鑰籤名;(5)配電終端用公鑰驗籤;(6)配電終端向開關發出動作信號。所述方法為主站使用非對稱加密算法,定時或人工觸發隨機生成密鑰對,將私鑰存儲在本地,將公鑰通過公網發送給配電終端,配電終端將接收到的公鑰存儲在本地;主站對配電終端發送遙控命令時,先用私鑰對遙控報文生成籤名,並將籤名附在遙控報文尾部;終端接收到遙控命令時,用公鑰對遙控報文進行驗籤,驗籤成功以後再執行開關動作,如果驗籤失敗則拒絕動作。該方法實用性強,增加了遙控的可靠性和安全性。
文檔編號H04L29/06GK103178956SQ20111043843
公開日2013年6月26日 申請日期2011年12月24日 優先權日2011年12月24日
發明者漆銘均, 洪文國, 孫志雲, 其他發明人請求不公開姓名 申請人:湖南省電力勘測設計院