本发明涉及配电网自动化系统通信领域,特别涉及一种配电自动化主站与配电自动化终端之间的通信方法。
背景技术:
2015年12月乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电,这次停电不是因为电力短缺,而是遭到了黑客攻击。乌克兰电力被黑客攻击的这起事件吸引了全球电力公司的眼球,同时出现这样的事件让电力公司的工作人员刻骨铭心,让人类也提心吊胆。
同时伴随着国家智能电网技术的大力发展,配电网自动化系统的规模也日益扩大,多种通信方式并存及所有报文均采用明文传输的通信方式导致系统受到各种网络攻击的风险较大。特别是在使用标准规约通信时,如:DL/T634.5101、DL/T634.5.104等,报文的格式都是预定义好的,只需要按照规约的流程进行通信即可。如当链路建立完好的情况下,下发控制终端的报文格式基本都是一样的,这样可以通过数据试探的方式来攻击电网的通信,让黑客有机可乘。
因而现有技术还有待改进和提高。
技术实现要素:
鉴于上述现有技术的不足之处,本发明的目的在于提供一种配电自动化主站与配电自动化终端之间的通信方法,旨在解决现有技术中的配电自动化主站与配电自动化终端之间在通信过程中特别是使用明文传输时带来的安全性的问题。
为了达到上述目的,本发明采取了以下技术方案:
一种配电自动化主站与配电自动化终端之间的通信方法,其中,包括如下步骤:
A、生成一组保存在配电自动化主站的私钥和保存在配电自动化终端的公钥;
B、配电自动化主站采用私钥对打包好的报文进行加密,配电自动化终端采用公钥对打包好的报文进行加密;
C、配电自动化主站采用私钥对加密的报文进行解密,配电自动化终端采用公钥对加密的报文进行解密。
优选地,所述的配电自动化主站与配电自动化终端之间的通信方法,其中,所述步骤B具体包括:
B1、获取打包好的报文;
B2、判断所述报文是否遥控报文,如果是遥控报文则使用MD5算法进行加密,否则不需要使用MD5算法进行加密;
B3、获取Unix时间戳,并将所述Unix时间戳添加到步骤B2中的报文末端;
B4、采用RSA算法对步骤B3中的报文进行加密。
优选地,所述的配电自动化主站与配电自动化终端之间的通信方法,其中,所述步骤C具体包括:
C1、获取到网络传输的加密报文;
C2、使用RSA算法对加密的报文进行解密;
C3、获取报文的Unix时间戳并判断所述Unix时间戳是否在允许的范围内,如果超出允许的范围内,则抛弃此帧报文,判断此帧报文是否遥控报文,如果不是遥控报文,则进行其它报文格式判断,如果格式符合相应的要求,将进行相应的应答和操作,如果不符合将抛弃此帧报文;
C4、如果步骤C3中的报文是遥控报文,并在散列值表中没有查询到相应的遥控指令,则认为此帧报文无效,并丢弃此帧报文,如果在散列值表中能够查询到相应的遥控指令,则进行相应的操作。
优选地,所述的配电自动化主站与配电自动化终端之间的通信方法,其中,所述配电自动化主站与配电自动化终端之间的通信遵循DL/T634.5104规约。
优选地,所述的配电自动化主站与配电自动化终端之间的通信方法,其中,所述Unix时间戳采用低前高后的方式传输,Unix时间戳占用4个字节。
优选地,所述的配电自动化主站与配电自动化终端之间的通信方法,其中,所述遥控报文是指在除去Unix时间戳之后,遥控报文的长度是固定的。
相较于现有技术,本发明提供的配电自动化主站与配电自动化终端之间的通信方法,所述通信方法包括:A、生成一组保存在配电自动化主站的私钥和保存在配电自动化终端的公钥;B、配电自动化主站采用私钥对打包好的报文进行加密,配电自动化终端采用公钥对打包好的报文进行加密;C、配电自动化主站采用私钥对加密的报文进行解密,配电自动化终端采用公钥对加密的报文进行解密,使得非法人员无法窃取通信过程中的数据,大大提升了配电网自动化系统通信的安全性能,保障了人民的财产安全。
附图说明
图1为本发明提供的配电自动化主站与配电自动化终端之间的通信方法较佳实施例的流程图。
具体实施方式
本发明提供一种配电自动化主站与配电自动化终端之间的通信方法,为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
配网自动化系统中的配电自动化主站与配电自动化终端在使用DL/T634.5104规约进行通信时,由于在通信过程中使用明文传输,从而使得黑客有机可乘,给配网自动化系统带来的安全性问题。本发明主要是通过制作RSA算法的公钥和私钥;安全验证的加密步骤及安全验证的解密步骤来实现配电自动化主站与配电自动化终端之间的通信。
请参阅图1,一种配电自动化主站与配电自动化终端之间的通信方法,包括如下步骤:S100、生成一组保存在配电自动化主站的私钥和保存在配电自动化终端的公钥;S200、配电自动化主站采用私钥对打包好的报文进行加密,配电自动化终端采用公钥对打包好的报文进行加密;S300、配电自动化主站采用私钥对加密的报文进行解密,配电自动化终端采用公钥对加密的报文进行解密。
通过第三方软件生成RSA算法所需要的一组公钥和私钥,公钥是公开的,而私钥是保密的。
本发明进一步较佳实施例中,所述步骤S200具体包括:S201、获取打包好的报文;S202、判断所述报文是否遥控报文,如果是遥控报文则使用MD5算法进行加密,否则不需要使用MD5算法进行加密;S203、获取Unix时间戳,并将所述Unix时间戳添加到步骤S102中的报文末端;S204、采用RSA算法对步骤S103中的报文进行加密。
具体实施时,所述报文是指DL/T634.5104通信约规下的报文
Unix时间戳(Unix Time Stamp),或称Unix时间(Unix Time)、POSIX时间(POSIX Time),是一种时间表示方式,定义为从格林威治时间1970年01月01日00时00分00秒起至现在的总秒数。Unix时间戳不仅被使用在Unix系统、类Unix系统中,也在许多其它场合中被广泛使用。目前基本是使用32位二进制(4字节)数字表示时间。
RSA是公钥加密算法的一种,也是非对称加密算法的代表之一。毫不夸张的说:“只要有计算机网络的地方,就有RSA算法”。它是目前最有影响力和最常用的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。
非对称加密算法需要两个密钥:公开密钥(Public Key)和私有密钥(Private Key),公开密钥与私有密钥是一对的,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密,因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
MD5(中文名为消息摘要算法第五版)是一个安全的散列算法,输入两个不同的明文不会得到相同的输出值,根据这些输出值,不能得到原始的明文,即其过程不可逆;所以要解密MD5没有现成的算法,只能用穷举法,把可能出现的明文用MD5算法散列之后,把得到的散列值和原始的数据形成一个一对一的映射表,通过对比在表中比破解密码的MD5算法散列值,通过匹配从映射表中找出破解密码所对应的原始明文。
MD5算法具有以下特点:一是压缩性:任意长度的数据,算出的MD5值长度都是固定的;二是容易计算:从原数据计算出MD5值很容易;三是抗修改性:对原数据进行任何改动,哪怕只修改1个字节,所得到的MD5值都有很大区别;四是强抗碰撞:已知原数据和其MD5值,想找到一个具有相同MD5值的数据(即伪造数据)是非常困难的。
本发明进一步较佳实施例中,所述步骤S300具体包括:S301、获取到网络传输的加密报文;S302、使用RSA算法对加密的报文进行解密;S303、获取报文的Unix时间戳并判断所述Unix时间戳是否在允许的范围内,如果超出允许的范围内,则抛弃此帧报文,判断此帧报文是否遥控报文,如果不是遥控报文,则进行其它报文格式判断,如果格式符合相应的要求,将进行相应的应答和操作,如果不符合将抛弃此帧报文;S304、如果步骤S303中的报文是遥控报文,并在散列值表中没有查询到相应的遥控指令,则认为此帧报文无效,并丢弃此帧报文,如果在散列值表中能够查询到相应的遥控指令,则进行相应的操作。
本发明进一步较佳实施例中,所述配电自动化主站与配电自动化终端之间的通信遵循DL/T634.5104规约。
本发明进一步较佳实施例中,所述Unix时间戳采用低前高后的方式传输,Unix时间戳占用4个字节。
本发明进一步较佳实施例中,所述遥控报文是指在除去Unix时间戳之后,遥控报文的长度是固定的。
通过对配电自动化主站与配电自动化终端采用DL/T634.5104规约通信时的明文数据,采用发送方加密后再进行数据传输,接收方采用相应的解密方法的原则。即使黑客可以通过互联网的网络漏洞窃取到通信过程中的数据,也无法模仿配电自动化主站与配电自动化终端进行通信。这是因为黑客获取到的数据就像随机数一样,几乎没有规律可言,而解密这堆随机数字需要大量的人力和物力,甚至是无法解密的。这样会给配电网自动化系统通信的安全性能大大的提升,对电力攻击的黑客也是望而止步,人民的财产安全也得到相应的保障。
综上所述,本发明提供的配电自动化主站与配电自动化终端之间的通信方法,所述通信方法包括:A、生成一组保存在配电自动化主站的私钥和保存在配电自动化终端的公钥;B、配电自动化主站采用私钥对打包好的报文进行加密,配电自动化终端采用公钥对打包好的报文进行加密;C、配电自动化主站采用私钥对加密的报文进行解密,配电自动化终端采用公钥对加密的报文进行解密,使得非法人员无法窃取通信过程中的数据,大大提升了配电网自动化系统通信的安全性能,保障了人民的财产安全。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。