一种基于电力生产控制与监测数据的安全加密系统的制作方法

本发明涉及信息加密技术领域，更具体涉及一种基于电力生产控制与监测数据的安全加密系统。

背景技术：

风电的开发为国家工业生产以及当地的经济发展作出了巨大的贡献，而风电厂的电力监控系统极大提高了风电厂的自动化水平和生产效率，但是随着物联网技术的发展，工业控制系统由原来相对封闭、稳定的环境变得开放和多变，而伊朗核设施的“震网”事件、乌克兰电网事件后，世界各国逐步认识到黑客攻击、网络病毒对工业控制系统以及国家关键基础设施带来的危害。国家发改委2014年发布的14号令《电力监控系统安全防护规定》，明确要求加强电力监控系统的信息安全管理，防范黑客机恶意代码等对电力监控系统的攻击及侵害，保障电力系统的安全稳定运行。随着国家《网络安全法》的实施，更是明确了主负责单位应尽的责任和义务。因此，风电企业如何有效满足合规要求保护自身电力监控系统的安全以应对日益复杂的网络安全环境成为当前各风电企业安全工作的重中之重。

现有技术中，在电力监控系统中，只是针对电力控制中心的室内的数据进行加密，而电力系统的现场控制的数据到监控中心的户外数据在传输时数据并没有进行加密，从而并没有很好的保证在电力系统安全i区通信线路上传输的电力生产信息和控制指令的机密性和完整性。

技术实现要素：

本发明的目的是要解决电力生产控制与监测系统的数据传输的安全问题，提供了一种基于电力生产控制与监测数据的安全加密系统。

本发明是通过以下技术方案解决上述技术问题的，具体技术方案如下：

提供一种基于电力生产控制与监测数据的安全加密系统，包括：

核心处理模块、电平转换模块、存储模块、物理噪音模块、读卡器、密码销毁模块、电源模块、时钟模块、usb接口；所述电平转换模块、所述存储模块、所述物理噪音模块、所述读卡器、所述密码销毁模块、所述电源模块、所述时钟模块、所述usb接口都与所述核心处理模块进行链接，组成一体式的嵌入式系统。

优选的，所述电平转换模块、所述存储模块、所述物理噪音模块、所述密码销毁模块、所述电源模块、所述时钟模块都与所述核心处理模块通过gpio进行链接；所述读卡器与所述核心处理模块通过uart接口进行连接。

优选的，所述核心处理模块包括处理子模块和密码算法存储子模块，核心处理模块采用的是集成arm+fpga的处理器，所述处理器选用的是xc7z020芯片。

优选的，所述处理子模块包括工控协议前向解析单元、密码服务单元、工控协议逆向解析单元。

优选的，所述密码算法存储子模块里所存储的算法是国家商用密码体系密码算法，所示密码算法包括sm2非对称密码算法、sm3杂凑密码算法和sm4对称密码算法。

优选的，所述电平转换模块用于将现场rs485/rs422总线信号转换为ttl信号或者将ttl信号转换为现场rs485/rs422总线信号。

优选的，所述密码销毁模块包括密钥紧急销毁按钮，所述密码销毁模块用于密码机安全状态出现告警时，触发密钥紧急销毁按钮实现紧急密钥销毁。

优选的，所述读卡器用于读取专用ic卡，实现设备开机的身份认证。

优选的，所述信息加密方法：

经过所述电平转换模块，将现场rs485/rs422总线信号转换为ttl信号，并将所述ttl信号发送到核心处理模块，所述核心处理模块包括处理子模块和密码算法存储子模块,所述处理子模块包括密码服务单元、工控协议逆向解析单元、工控协议逆向解析单元，所述密码算法存储子模块中的密码算法包括sm2非对称密码算法、sm3杂凑密码算法和sm4对称密码算法；

经过所述核心处理模块中的所述工控协议前向解析单元对协议进行解析后，获得需要加密的信息；

从所述核心处理模块中的所述密码算法存储子模块中获取密码算法；

根据所述密码算法，利用所述核心处理模块中的所述密码服务单元对所述需要加密的信息进行加密后，获得加密信息；

利用所述核心处理模块中的所述工控协议逆向解析单元将所述加密信息按照原有的工业协议进行还原，并对所述工控协议进行封装；

根据电平转换模块，将所述ttl信号转换为rs485/rs422总线信号，所述加密信息在工控网络的rs485/rs422总线上进行传输。

优选的，所述信息解密方法：

经过所述转换模块，将现场rs485/rs422总线上的信号转换为ttl信号，并将所述ttl信号发送到核心处理模块，所述核心处理模块包括处理子模块和密码算法存储子模块,所述处理子模块包括密码服务单元、工控协议逆向解析单元、工控协议逆向解析单元，所述密码算法存储子模块中的密码算法包括sm2非对称密码算法、sm3杂凑密码算法和sm4对称密码算法；

经过所述核心处理模块中的所述工控协议前向解析单元进行解析后，获得需要解密的信息；

从所述核心处理模块中的所述密码算法存储子模块中获取密码算法；

根据所述密码算法，利用所述核心处理模块中的所述密码服务单元对所述需要解密的信息进行解密后，获得解密信息；

利用所述核心处理模块中的所述工控协议逆向解析单元将所述解密信息按照原有的工业协议进行还原，并对所述工控协议进行封装；

根据电平转换模块，将所述ttl信号转换为rs485/rs422总线信号，所述解密信息传输到远程监测控制端。

可见，本发明公开了一种基于电力生产控制与监测数据的安全加密系统，系统包括电平转换模块、核心处理模块、存储模块、物理噪音模块、读卡器、密码销毁模块、电源模块、时钟模块；所述电平转换模块、所述存储模块、所述物理噪音模块、所述读卡器、所述密码销毁模块、所述电源模块、所述时钟模块都与所述核心处理模块进行链接，组成一体式的嵌入式系统。

基于本方案，本发明的优点在于：该系统在风机控制端对采集数据进行加密，然后在监控中心端解密，或者在监控中心端对发出的控制指令进行加密，在风机控制端对控制指令进行解密，保证通信线路上传输的数据信息和控制指令都是密文，确保传输数据的安全性。该系统采用的是一体式的嵌入式系统的硬件结构，串连于原工控网络中，采取点对点方式部署在风机控制端和远程监测端，为工业控制现场数据提供数据加密、数据解密和数据完整性校验功能，有效的保证了电力系统安全i区通信线路上所传输的电力生产信息和控制指令的机密性和完整性，使得该系统具有很高的稳定性和可靠性。

附图说明

图1是本发明实施例的一种基于电力生产控制与监测数据的安全加密系统的结构示意图；

图2是本发明实施例安全加密系统框图；

图3是本发明实施例风机控制端数据加密过程示意图；

图4是本发明实施例远程监控中心数据解密过程示意图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

如图1所示，核心处理模块、电平转换模块、存储模块、物理噪音模块、读卡器、密码销毁模块、电源模块、时钟模块；电平转换模块、存储模块、物理噪音模块、读卡器、密码销毁模块、电源模块、时钟模块、usb接口都与核心处理模块进行链接，组成一体式的嵌入式系统。电平转换模块、存储模块、物理噪音模块、密码销毁模块、电源模块、时钟模块都与核心处理模块通过gpio进行链接，读卡器与核心处理模块通过uart接口进行连接。该系统实现在风机控制端对采集数据进行加密，然后在监控中心端解密，或者在监控中心端对发出的控制指令进行加密，在风机控制端对控制指令进行解密，保证通信线路上传输的数据信息和控制指令都是密文，确保传输数据的安全性。

具体的，核心处理模块包括处理子模块和密码算法存储子模块，核心处理模块采用的是集成arm+fpga的处理器，处理器选用的是xc7z020芯片。xc7z020芯片是xilinx公司的arm和fpga进行集成的处理器，arm集成2个内核arm-a9，单核工作主频886mhz，集成1路ddr3控制器，支持两路rgmii和usb2.0。

具体的，核心处理模块中处理子模块的工作主要通过核心处理器的arm进行处理，处理子模块包括工控协议前向解析单元、密码服务单元、工控协议逆向解析单元。其中，工控协议前向解析单元主要负责对工控协议进行前向解析，目前可解析的协议包括：modbusplus、modbustcp/ip协议、opc协议、dnp3协议、profibus协议、ethernet/ip协议和ethercat协议；密码服务单元主要负责对所解析的协议的信息进行加密或者解密，实现将协议所负载的信息进行加密；工控协议逆向解析单元主要负责对加密数据进行工控协议的逆向解析，目前可解析的协议包括：modbusplus、modbustcp/ip协议、opc协议、dnp3协议、profibus协议、ethernet/ip协议和ethercat协议。其中，所加密和解密的信息可以是所采集的数据或者控制指令。

具体的，该核心处理模块中密码算法存储子模块的工作主要通过核心处理器的fpga进行处理，密码算法存储子模块里所存储的算法是国家商用密码体系密码算法，密码算法包括sm2非对称密码算法、sm3杂凑密码算法和sm4对称密码算法,其中，sm2算法用于设备身份认证和密钥传输保护，sm3算法用于保证数据的完整性，sm4算法用于对数据或指令进行加解密。

具体的，电平转换模块用于将现场rs485/rs422总线上的信号转换为ttl信号或者将ttl信号转换为现场rs485/rs422总线信号。

具体的，存储模块主要包括数据存储和程序存储。

具体的，物理噪音模块选用的是wng8噪音发生器。

具体的，读卡器用于读取专用ic卡，实现设备开机的身份认证。

具体的，密码销毁模块包括密钥紧急销毁按钮，所述密码销毁模块用于密码机安全状态出现告警时，触发密钥紧急销毁按钮实现紧急密钥销毁。

如图2所示，该系统包括硬件部分和软件部分。硬件部分包括核心处理器、存储器、读卡器、i/o口、wng8、fpga、5v电源、密码销毁；软件部分包括工控协议前向解析栈、工控协议逆向解析栈、数据封装、设备认证、密码服务模块；其中，该系统所选用的系统是嵌入式linux操作系统，通过嵌入式linux操作系统以及国家商用密码体系密码算法库将硬件部分和软件部分进行结合。风机现场控制模块/远程监控终端与该系统进行连接，将所传输信息在该系统上进行加密或者解密，通过电源给该系统进行供电。

如图3所示，本发明的一种基于电力生产控制与监测数据的安全加密系统部署在风机现场一侧，与风电控制装置可无缝连接。首先通过电平转换模块，将现场rs485/rs422总线信号转换为ttl信号；通过工控协议前向解析栈单元对协议进行解析。获得解析的协议后，保留原协议头，对载荷部分进行加密服务(依实际需求及数据流向而定，对发送数据加密)，其中，密码服务单元利用国家商用密码算法对所解析的信息进行加密；然后利用工控协议逆向解析栈单元对加密后的数据按原有工控协议进行还原，并进行封装；最后将ttl电平信号转换为rs485/rs422总线信号，在工控网络上传输所加密的数据。

如图4所示，本发明的一种基于电力生产控制与监测数据的安全加密系统部署在远程监控中心，与远程监控终端设备可无缝连接。首先通过电平转换模块，将现场rs485/rs422总线信号转换为ttl信号；接着通过工控协议前向解析栈单元对协议进行解析；获得解析的协议后，保留原协议头，对载荷部分进行加密服务(依实际需求及数据流向而定，对发送数据解密)，其中，密码服务单元利用国家商用密码算法对所解析的信息进行解密；然后利用工控协议逆向解析栈单元对解密后的数据按原有工控协议进行还原，并进行封装；最后将ttl电平信号转换为rs485/rs422总线信号，将所解密的数据传送到远程监测控制终端。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。