一种广域保护系统数据通信网络实时加密的方法及装置制造方法

一种广域保护系统数据通信网络实时加密的方法及装置制造方法
【专利摘要】本发明涉及一种广域保护系统数据通信网络实时加密的方法及装置，其特征在于：设置发送通信设备A、接收通信设备B，发送通信设备A具有实时加密功能及结构，接收通信设备B具有实时解密功能及结构；发送通信设备A用于数据网络设备物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏，对发送数据加密；对于千兆通信端口，采用DES加密算法，算法秘钥长度64位，其中有效位为56位；发送通信设备A采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加密；或者对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据“0”变成“1”，原数据“1”变成“0”。本发明具有使外界利用遍历尝试难以攻破的有益效果，或者具有无法读出报文的有益效果。
【专利说明】一种广域保护系统数据通信网络实时加密的方法及装置

【技术领域】
[0001] 本发明涉及一种广域保护系统数据通信网络实时加密的方法及装置。属于电力通 信【技术领域】。

【背景技术】
[0002] 广域保护系统是指将紧密关联的若干变电站作为一个区域，区域内的各保护装置 通过光纤互联，通过信息共享，根据网络拓扑结构，快速定位故障点，对区域电网进行保护 与控制。
[0003] 广域保护控制定义为依赖电力系统多点的信息，对故障进行快速、可靠、精确的 切除，同时分析故障切除对系统安全稳定运行的影响，并采取相应的控制措施，可提高输 电线可用容量或系统可靠性，同时实现继电保护和自动控制功能的系统。
[0004] 广域保护系统可以分为二类：一类是利用广域信息，实现安全监视、控制、稳定边 界计算及状态估计等功能，其侧重点在广域信息的利用和安全功能的实现。另一类是利 用广域信息，完成继电保护功能，在故障条件下实时获得故障线路的电流，根据电网运行 方式自动计算实时分支系数和距离保护的整定值。广域保护控制系统定位于常规保护及 SCADA/EMS之间的系统保护。
[0005] 广域保护系统安全性要求高，既要对通信数据报文进行安全防护，又要对逻辑通 道进行安全防护。
[0006] 广域保护系统数据通信网络常用技术为以太网技术、PTN技术裸光纤组网。由于 都是基于以太报文交互，通过普通数据仪表检测裸光纤可以抓取到链路上相关报文（包括 业务报文以及相关协议报文），并能解析出MAC地址、VLAN号、Tunnel号、PW号等基本信 息，如果对这些报文进行修改，例如修改VLAN号，会造成业务隔离失效，不正确的数据报文 串入其他信道，干扰广域保护装置的正常工作。特别如果恶意攻击者篡改报文数据内容，可 以影响广域保护系统的正常通信数据，造成电网误动、误控制，造成电网事故。因此，需要对 广域保护系统数据通信网络实现加密。
[0007] 现有技术中，一般是采用对称加密算法对广域保护系统数据通信网络进行加密， 其特点是算法公开、计算量小、加密速度快、加密效率高。但存在如下缺点：（1)收发双方都 使用同样的固定钥匙，安全性得不到保证。（2)如何管理分发动态秘钥是加密的难点，对于 高速通信接口来说，实施加密算法难度较大。


【发明内容】

[0008] 本发明的目的之一，是为了解决现有技术固定密钥不安全及管理分发动态秘钥的 问题，提供一种广域保护系统数据通信网络实时加密的方法。所述广域保护系统数据通信 网络实时加密方法能够对广域保护系统数据通信网络物理链路进行实时加密，包括加密和 解密功能单元，起到保护业务报文数据和通信逻辑通道的作用。
[0009] 本发明的目的之二，是为了提供一种广域保护系统数据通信网络实时加密的装 置。
[0010] 本发明的目的之一可以通过采取如下技术方案达到：
[0011] 一种广域保护系统数据通信网络实时加密的方法，其特征在于：
[0012] 1)设置发送通信设备A、接收通信设备B，发送通信设备A具有实时加密功能及结 构，接收通信设备B具有实时解密功能及结构；
[0013] 2)发送通信设备A中设有实时加密单元和数据通信接口单元，用于数据网络设备 物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏，对发 送数据加密；对于千兆通信端口，采用DES加密算法，算法秘钥长度64位，其中有效位为56 位；发送通信设备A采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行 加密；或者对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据"0"变成"1"， 原数据"1"变成"〇" ；
[0014] 3)接收通信设备B中设有实时解密单元和数据通信接口单元，用于数据网络设备 物理链路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原，对接 由数据解密，采用DES解密算法，通信设备采用输入的时间同步信号实时换算成56位秘钥， 对通信链路数据进行解密，还原明文数据；或者采用反码解密，即原数据" 〇 "变成" 1"，原数 据"1"变成"0"，还原明文数据。
[0015] 本发明的目的之一还可以通过采取如下技术方案达到：
[0016] 进一步地，对于千兆通信端口采用DES加密算法，算法秘钥长度64位，其中有效位 为56位，通信设备采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加 密，加密秘钥根据时间信号不断变化而变化，使得加密秘钥不断变化，使外界利用遍历尝试 难以攻破。
[0017] 进一步地，对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据"0" 变成" 1"，原数据" 1"变成" 0 ";由于数据反码，外界采用普通抓包设备无法识别正常的数据 帧格式，无法读出报文。
[0018] 本发明的目的之二可以通过如下技术方案达到：
[0019] 一种广域保护系统数据通信网络实时加密的装置，其结构特点在于：
[0020] 1)包括发送通信设备A和接收通信设备B ;
[0021] 2)发送通信设备A内设有发送数据通信接口单元、实时加密单元和发送时间参数 生成秘钥单元，发送时间参数生成秘钥单元的信号输入端为时间同步信号输入端，发送时 间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时加密单元的加密 信号输入端，发送数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元 根据加密秘钥对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端；
[0022] 3)接收通信设备B内设有接收数据通信接口单元、实时解密单元之一、实时解密 单元之二和接收时间参数生成秘钥单元，接收时间参数生成秘钥单元的信号输入端为时间 同步信号输入端，接收时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送 到实时解密单元之一和实时解密单元之二的加密信号输入端，接收数据通信接口单元的输 入端连接实时解密单元的输出端，实时解密单元之一根据加密秘钥对信息解密后，从输出 端之一输出正常解密数据输送到接收数据通信接口单元的输入端、从输出端之二输出非正 常解密数据至输送到实时解密单元之二的输入端，实时解密单元之二根据加密秘钥对不正 常解密的加密信息解密后输送到接收数据通信接口单元的输入端。
[0023] 本发明的目的之二还可以通过如下技术方案达到：
[0024] 进一步地，发送通信设备A内设有发送数据通信接口单元和实时加密单元，发送 数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元对信息加密后从输 出端通过加密通信链路输送到接收通信设备B的输入端，形成对万兆通信数据加密；接收 通信设备B内设有接收数据通信接口单元、实时解密单元，接收数据通信接口单元的输入 端连接实时解密单元的输出端，实时解密单元对信息解密后，从输出端输出解密数据输送 到接收数据通信接口单元的输入端，形成对万兆通信数据解密。
[0025] 本发明具有如下突出的有益效果：
[0026] 1、本发明由于在发送通信设备中设有实时加密单元和数据通信接口单元，用于数 据网络设备物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息 隐藏，采用DES加密算法或者采用反码加密对信息加密，具有加密秘钥根据时间信号不断 变化而变化，使得加密秘钥不断变化，使外界利用遍历尝试难以攻破的有益效果，或者具有 外界采用普通抓包设备无法识别正常的数据帧格式，无法读出报文的有益效果。
[0027] 2、本发明涉及广域保护通信领域，特别是涉及专利内容包括广域保护系统数据通 信设备通信接口实时加密功能、实时解密功能、网管配置功能，这些功能的组合共同完成了 广域保护系统数据通信网络实时加密功能；本发明具有突出实时性特点，起到对通信链路 加密作用；应用本发明实现了数据网络链路的加密，保障广域保护系统的通信数据安全。
[0028] 3、本发明具有广域保护系统数据通信网络物理链路实时加密的特点，实现了数据 网络链路的加密，保障广域保护系统的通信数据安全。

【专利附图】

【附图说明】
[0029] 图1为本发明涉及的广域保护系统数据通信网络千兆实时链路加密装置的结构 示意图。
[0030] 图2为本发明涉及的广域保护系统数据通信网络千兆实时链路的时间参数生成 密钥方框图。
[0031] 图3为本发明涉及的广域保护系统数据通信网络千兆实时链路的实时加密方框 图。
[0032] 图4为本发明涉及的广域保护系统数据通信网络万兆实时链路加密装置的结构 示意图。
[0033] 图5为本发明涉及的广域保护系统数据通信网络万兆实时链路的实时加密方框 图。
[0034] 具体实现方式
[0035] 下面结合附图对本发明作进一步详细说明。
[0036] 具体实施例1 :
[0037] 参照图1-图3,本实施例1涉及的广域保护系统数据通信网络实时加密的装置， 包括发送通信设备A和接收通信设备B ;发送通信设备A内设有发送数据通信接口单元、实 时加密单元和发送时间参数生成秘钥单元，发送时间参数生成秘钥单元的信号输入端为时 间同步信号输入端，发送时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输 送到实时加密单元的加密信号输入端，发送数据通信接口单元的输出端连接实时加密单元 的输入端，实时加密单元根据加密秘钥对信息加密后从输出端通过加密通信链路输送到接 收通信设备B的输入端；接收通信设备B内设有接收数据通信接口单元、实时解密单元之 一、实时解密单元之二和接收时间参数生成秘钥单元，接收时间参数生成秘钥单元的信号 输入端为时间同步信号输入端，接收时间参数生成秘钥单元根据输入的时间同步信号产生 加密秘钥输送到实时解密单元之一和实时解密单元之二的加密信号输入端，接收数据通信 接口单元的输入端连接实时解密单元的输出端，实时解密单元之一根据加密秘钥对信息解 密后，从输出端之一输出正常解密数据输送到接收数据通信接口单元的输入端、从输出端 之二输出非正常解密数据至输送到实时解密单元之二的输入端，实时解密单元之二根据加 密秘钥对不正常解密的加密信息解密后输送到接收数据通信接口单元的输入端。
[0038] 本实施例中：
[0039] 参照图1，发送通信设备A中设有实时加密单元和数据通信接口单元，用于数据 网络设备物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐 藏，对发送数据加密；对于千兆通信端口，采用DES加密算法，算法秘钥长度64位，其中有效 位为56位；发送通信设备A采用输入的时间同步信号实时换算成56位秘钥，对通信链路数 据进行加密；或者对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据"〇"变 成"1"，原数据"1"变成"〇"；
[0040] 接收通信设备B中设有实时解密单元和数据通信接口单元，用于数据网络设备物 理链路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原，对接由 数据解密，采用DES解密算法，通信设备采用输入的时间同步信号实时换算成56位秘钥，对 通信链路数据进行解密，还原明文数据；或者采用反码解密，即原数据" 〇 "变成" 1"，原数据 " 1"变成"〇"，还原明文数据。
[0041] 参照图2,时间参数生成密钥主要由硬件产生，当接收到时间同步信号后，在物理 层将进行密钥处理。
[0042] 参照图3,对于ΕΤΗ通信端口采用DES解密算法，通信设备采用输入的时间同步信 号实时换算成56位秘钥，对通信链路数据进行解密，还原明文数据。由于时间信号不断变 化，使得解密秘钥不断变化，并且与加密秘钥一致。在时间参数跳变边沿的秘钥，如解密不 通过，需要利用相邻时间参数再次解密，避免由于时间存在误差双方秘钥不一致。
[0043] 发送通信设备Α和接收通信设备Β为常规技术的通信设备和接收通信设备。发送 通信设备A内设置的发送数据通信接口单元、实时加密单元和发送时间参数生成秘钥单元 具有常规技术电路结构，其连接方式及使用方法为常规技术。接收通信设备B内设有的接 收数据通信接口单元、实时解密单元之一、实时解密单元之二和接收时间参数生成秘钥单 元具有常规技术电路结构，其连接方式及使用方法为常规技术。
[0044] 本实施例1涉及的一种广域保护系统数据通信网络实时加密的方法，其特征在 于：
[0045] 1)设置发送通信设备A、接收通信设备B，发送通信设备A具有实时加密功能及结 构，接收通信设备B具有实时解密功能及结构；
[0046] 2)发送通信设备A中设有实时加密单元和数据通信接口单元，用于数据网络设备 物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏；对发 送数据加密，采用DES加密算法，算法秘钥长度64位，其中有效位为56位；发送通信设备A 采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加密；对于万兆通信 端口考虑到加密计算量大，或者采用反码加密，即原数据"0"变成" 1"，原数据" 1"变成"0"；
[0047] 3)接收通信设备B中设有实时解密单元和数据通信接口单元，用于数据网络设备 物理链路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原，对接 由数据解密，采用DES解密算法，通信设备采用输入的时间同步信号实时换算成56位秘钥， 对通信链路数据进行解密，还原明文数据；或者采用反码解密，即原数据" 〇 "变成" 1"，原数 据"1"变成"0"，还原明文数据。
[0048] 进一步地，对于千兆通信端口采用DES加密算法，算法秘钥长度64位，其中有效位 为56位，通信设备采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加 密，加密秘钥根据时间信号不断变化而变化，使得加密秘钥不断变化，使外界利用遍历尝试 难以攻破。
[0049] 具体实施例2 :
[0050] 参照图4-图5,本实施例2涉及的广域保护系统数据通信网络实时加密的装置，发 送通信设备A内设有发送数据通信接口单元和实时加密单元，发送数据通信接口单元的输 出端连接实时加密单元的输入端,实时加密单元对信息加密后从输出端通过加密通信链路 输送到接收通信设备B的输入端，形成对万兆通信数据加密；接收通信设备B内设有接收数 据通信接口单元、实时解密单元，接收数据通信接口单元的输入端连接实时解密单元的输 出端，实时解密单元对信息解密后，从输出端输出解密数据输送到接收数据通信接口单元 的输入端，形成对万兆通信数据解密。
[0051] 本实施例2涉及的一种广域保护系统数据通信网络实时加密的方法，对于万兆通 信端口考虑到加密计算量大，采用反码加密，即原数据"〇"变成"1"，原数据" 1"变成"〇" ； 由于数据反码，外界采用普通抓包设备无法识别正常的数据帧格式，无法读出报文。
[0052] 参照图5,对于万兆链路，为了提高加密的效率，可以在PHY芯片和激光器之间增 加一个取反的芯片，对发送和接收到的数据都进行按位取反，实现方案简单，实现效率高， 对时延影响小。
[0053] 本发明涉及的数据网络设备物理链路发送数据的加密，提供广域保护系统通信数 据报文与逻辑通道的信息隐藏。
[0054] 本发明涉及的通信设备接口解密功能单元与解密算法，用于数据网络设备物理链 路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原。
[0055] 以上所述实施例仅表达了本发明的几种实现方式，其描述较为具体和详细，但并 不能因此而理解为对本发明专利范围的限制。
【权利要求】
1. 一种广域保护系统数据通信网络实时加密的方法，其特征在于： 1) 设置发送通信设备A、接收通信设备B，发送通信设备A具有实时加密功能及结构，接 收通信设备B具有实时解密功能及结构； 2) 发送通信设备A中设有实时加密单元和数据通信接口单元，用于数据网络设备物理 链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏，对发送数 据加密；对于千兆通信端口，采用DES加密算法，算法秘钥长度64位，其中有效位为56位； 发送通信设备A采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加 密；或者对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据"〇"变成" 1"，原 数据"1"变成"〇"； 3) 接收通信设备B中设有实时解密单元和数据通信接口单元，用于数据网络设备物理 链路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原，对接由数 据解密，采用DES解密算法，通信设备采用输入的时间同步信号实时换算成56位秘钥，对 通信链路数据进行解密，还原明文数据；或者采用反码解密，即原数据" 〇 "变成" 1"，原数据 " 1"变成"〇"，还原明文数据。
2. 根据权利要求1所述的一种广域保护系统数据通信网络实时加密的方法，其特征在 于：对于千兆通信端口采用DES加密算法，算法秘钥长度64位，其中有效位为56位，通信设 备采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加密，加密秘钥根 据时间信号不断变化而变化，使得加密秘钥不断变化，使外界利用遍历尝试难以攻破。
3. 根据权利要求1所述的一种广域保护系统数据通信网络实时加密的方法，其特征在 于：对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据"〇"变成"1"，原数据 " 1"变成由于数据反码，外界采用普通抓包设备无法识别正常的数据帧格式，无法读出 报文。
4. 一种广域保护系统数据通信网络实时加密的装置，其特征在于： 1) 包括发送通信设备A和接收通信设备B ; 2) 发送通信设备A内设有发送数据通信接口单元、实时加密单元和发送时间参数生成 秘钥单元，发送时间参数生成秘钥单元的信号输入端为时间同步信号输入端，发送时间参 数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时加密单元的加密信号 输入端，发送数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元根据 加密秘钥对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端； 3) 接收通信设备B内设有接收数据通信接口单元、实时解密单元之一、实时解密单元 之二和接收时间参数生成秘钥单元，接收时间参数生成秘钥单元的信号输入端为时间同步 信号输入端，接收时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实 时解密单元之一和实时解密单元之二的加密信号输入端，接收数据通信接口单元的输入端 连接实时解密单元的输出端，实时解密单元之一根据加密秘钥对信息解密后，从输出端之 一输出正常解密数据输送到接收数据通信接口单元的输入端、从输出端之二输出非正常解 密数据至输送到实时解密单元之二的输入端，实时解密单元之二根据加密秘钥对不正常解 密的加密信息解密后输送到接收数据通信接口单元的输入端。
5. 根据权利要求4所述的一种广域保护系统数据通信网络实时加密的装置，其特征在 于：发送通信设备A内设有发送数据通信接口单元和实时加密单元，发送数据通信接口单 元的输出端连接实时加密单元的输入端，实时加密单元对信息加密后从输出端通过加密通 信链路输送到接收通信设备B的输入端，形成对万兆通信数据加密；接收通信设备B内设有 接收数据通信接口单元、实时解密单元，接收数据通信接口单元的输入端连接实时解密单 元的输出端，实时解密单元对信息解密后，从输出端输出解密数据输送到接收数据通信接 口单元的输入端，形成对万兆通信数据解密。
【文档编号】H04L9/32GK104219057SQ201410475556
【公开日】2014年12月17日 申请日期:2014年9月17日 优先权日:2014年9月17日
【发明者】黄盛 , 金鑫, 魏承志, 文安, 赵曼勇, 张思拓, 黄维芳, 杨颖安, 刘年, 卓越 申请人:中国能源建设集团广东省电力设计研究院, 中国南方电网有限责任公司