本发明涉及一种电力报文安全加固技术,尤其涉及一种基于通信连接属性的电力报文加固方法。
背景技术:
电网智能化是当下电力系统的发展趋势,各种智能电子设备的运用给电力系统的控制与状态检测带来了便利,但也存在一定的通信与信息安全隐患。国际电工委员会提出了iec62351标准,对电力系统的数据与通信安全提供了整体思路。国家电力监管委员会发布《电力二次系统安全防护规定》,规范了包括智能变电站在内的各电力企业二次系统的安全防护工作,提出“安全分区、网络专用、横向隔离、纵向认证”的原则。电力报文是电力系统通信的重要组成部分,电力报文的安全加固主要实现发送端设备的信源身份认证与完整性认证。
当下的电力报文安全加固措施缺乏,并且在安全加固过程中不考虑通信连接属性,这种粗略的安全加固方式在密钥管理方面复杂度较高,效率较低。例如,mms报文为双边关联报文,即为一对一通信的报文,假设其报文数量为ns;goose、sv报文为多播关联类型的报文,即为一对多通信的报文,假设其报文数量为nd,多播关联类型的平均接收端设备数量为nj(nj>=2),当对其都采用单一的hmac方式加固时,所需的安全密钥数量为ns+nd*nj,基于通信类型改进后的安全加固方案所需安全密钥数量为ns+nd,从而所需的安全密钥数量显著减少。由此我们需要一种针对电力报文不同连接属性而采取相应加固方式的电力报文加固方法。
技术实现要素:
发明目的:本发明提供一种针对连接属性不同,从而采用不同安全认证方式的电力报文加固方法,旨在改善电力报文的综合安全加固效果,提高电力系统安全密钥管理的效率。
技术方案:本发明所述的一种基于通信连接属性的电力报文加固方法,包括以下步骤:
(1)对电力报文的通信连接属性进行判断;
(2)针对通信连接不同的电力报文采用不同的加固方法。
步骤(1)所述电力报文的通信连接,主要有双边关联类型与多播关联类型。
所述步骤(2)包括以下步骤:
(21)对双边关联类型的报文采用hmac安全认证方式;
(22)对多播关联类型的报文采用数字签名安全认证方式。
所述步骤(21)包括以下步骤:
(211)在发送端对要发送的电力报文运用密钥a进行hmac运算;
(212)hmac运算得到的摘要值定义为v1,附在原始的电力报文末端进行发送,接收端设备收到后,对收到的原始报文部分运用同样的密钥a进行hmac运算,得到摘要值v2;
(213)比较v1与v2,若相等,则安全验证通过;若不相等,则报文异常。
所述步骤(22)包括以下步骤:
(221)在发送端对原始报文进行消息摘要运算;
(222)用私钥对摘要值进行加密,加密后的值附加在原始报文末端进行发送,接收端设备收到后,对电力报文进行hash运算,得到摘要值h1(m),然后对加密后的摘要值运用公钥进行解密运算,得到h2(m);
(223)比较h1(m)与h2(m),若相等,则安全验证通过;若不相等,则报文异常。
有益效果:与现有技术相比,本发明的有益效果:1、根据通信连接属性进行安全加固方式的综合配置有利于实现安全性与实时性的优化及平衡,并且在电力系统密钥管理方面具有显著的优势,改善了安全加固的效果;2、在安全密钥管理方面,hmac在每两个ied之间的通讯均需要一个密钥,在一对多通讯时,密钥数量显著增加,密钥管理难度加大;数字签名技术由于采用非对称加密,在一对多通讯时只需要一对公私钥,所需的密钥数量更少,因此基于通信连接属性进行电力报文的安全加固可以有效减少所需的安全密钥数量,降低密钥管理的复杂度,提高了安全密钥管理效率。
附图说明
图1为本发明流程框图;
图2为双边关联类型通信连接示意图;
图3为多播关联类型通信连接示意图;
图4为双边关联报文的hmac安全认证的流程图;
图5为多播关联报文的数字签名安全认证的流程图。
具体实施方式
下面结合附图对本发明作进一步详细描述。
图1为本发明流程图,首先,对电力系统常用报文的通信连接属性进行判断,其次针对不同连接属性的电力报文采用不同的安全认证方式。电力报文是电力系统中各种信息通信的主要形式,包括状态信息、控制信息、文件日志等各种情况。根据报文发送端与接收端的数量,即电力报文的通信连接属性,可以分为双边关联类型与多播关联类型两种。双边关联类型通信连接情况如图2所示,双边关联类型中,电力报文的目的地址为单一目标,每次只有两个实体相互通信,发送端和接收端都是唯一确定的;这种通信连接方式中,发送端与接收端之间的通信过程较为准确,主要用于智能变电站的站控层与间隔层之间的报文通信过程,实现站控服务器或主机与间隔层智能设备之间的信息传递。多播关联类型通信连接情况如图3所示,多播关联类型中,报文的发送者为一个电力设备,但是报文的接受者为多个电力设备;多播关联类型的报文效率较高,实际中常采用基于端口的虚拟局域网进行报文传播范围的限制,降低对其他网络的影响。
对双边关联类型的报文采用hmac安全认证方式,对多播关联类型的报文采用数字签名安全认证方式,hmac与数字签名均可实现电力报文真实性与完整性的认证。
双边关联类型电力报文的hmac安全认证过程:hmac过程发送端与接收端使用同一个密钥,与双边关联类型报文的通信特点一致。双边关联类型电力报文的hmac安全认证过程如图4所示,首先在发送端对要发送的电力报文运用密钥a进行hmac运算,hmac运算中的hash过程可采用md5算法或sm3算法,hmac运算得到的摘要值定义为v1,附在原始的电力报文末端进行发送,接收端设备收到后,对原始报文部分运用同样的密钥a进行hamc运算,得到摘要值v2;比较v1与v2,若相等,则安全验证通过,实现了电力报文的发送端设备的识别认证,且电力报文在通信传输过程中未被修改;若v1与v2不相等,则电力报文存在问题,可能在通信过程中被修改。
多播关联类型电力报文的数字签名安全认证过程:数字签名安全认证方式采用公私钥的方式,适合多播关联类型的通信过程,发送端设备采用私钥,接收端设备虽然有多个,但只需采用一个公钥,可以显著提高电力系统安全密钥的管理效率。多播关联类型电力报文的数字签名安全认证过程如图5所示,首先在发送端对原始报文进行消息摘要(hash)运算,然后用私钥对摘要值进行加密,加密后的值附加在原始报文末端进行发送,接收端设备收到后,对电力报文进行hash运算,得到摘要值h1(m),然后对加密后的摘要值运用公钥进行解密运算,得到h2(m);比较h1(m)与h2(m),若相等,则安全验证通过;若不相等,则报文异常。