一种适应于分布式电源场站侧的数据指令安全传输方法及介质与流程

本发明涉及分布式电源领域，更具体的，涉及一种适应于分布式电源场站侧的数据指令安全传输方法及介质。

背景技术：

1、近年来，能源需求和环境保护促进了分布式电源的发展。分布式电源(distributed resources，dr)是指位于负荷附近，装机规模较小，就近接入中低压配电网的电源，包括分布式发电(distributed generation，dg)和储能(energy storage，es)。根据一次能源的利用形式划分，dr主要分为燃气轮机、内燃机等利用清洁能源发电的单元和光伏、风电、水电、生物质能等利用可再生能源发电的单元。

2、分布式电源并网过程中进行的通信业务主要为配电自动化、营销业务，包括电能质量监测、分布式电源监控、计量信息等不同类型。10kv分布式电源终端通常对单点接入流量要求较高，380/220v分布式电源对单点接入流量的要求则相对较低。此外，在10kv、35kv分布式电源的接入过程中，对通信通道的信息安全性、可靠性、时延要求较高，而380/220v分布式电源接入过程对信息安全性和可靠性的要求能够等同于用电信息采集系统。

3、目前，不同电压等级的分布式电源并网时采用的通信业务入网方式各有不同。背景技术文献：面向电力物联网新业务的电力通信网需求及发展趋势，刘林等，《电网技术》2020年8月，第44卷，第8期。其中提及“10kv电力通信接入网采用光纤通信、plc通信、无线通信等多种技术混合组网。0.4kv远程信道可选择无线公网、无线专网、光纤专网等，不同地区根据实际情况合理选择。本地信道采用低压plc、rs-485、无线专网、微功率无线等技术”。此外，35kv分布式电源的通信方式通常按照小型电厂接入骨干网。380v/220v电压等级并网的分布式电源则采取通过电力系统中的营销、配电系统转发方式接入调度主站侧。并且，在10kv及以下的分布式电源并网过程中，通常设立安全接入区来确保位于生产控制大区内的业务系统与并网点上各类电源终端之间的数据通信。

4、在现有技术中，为了确保调度主站与各类电源终端之间通信的安全性，数据传输过程通常采用国密sm1/sm2/sm3/sm4算法进行数据加密处理。此外，分布式电源终端并网时，需要通过公开密钥基础设施(public key infrastructure，pki)技术实现安全认证，获取调度主站侧提供的设备安全证书，并在通信过程中使用安全证书来实现身份认证。在目前的电力系统中，数字证书只部署在电力调度生产控制大区的i区和ii区中，服务于控制大区中的关键网络设备和服务器，以为各个区域内的反向各类装置、纵向加密装置等装置中的身份认证服务提供支持。

5、分布式电源场站侧向调度主站传输数据时，其数据具有点多面广、规模大、私密性强的特点，因此对于数据安全的需求性很高。现有的以数据加密技术为基础的传输技术虽然取得了一定的应用效果，但加密后的信息由于传输双方的认证异常，可能导致信息出现传输错误。此外，电力机密数据需要充分防止被窃取和被篡改。

6、为此，亟需一种更为安全的适应于分布式电源场站侧的数据指令安全传输方法及介质。

技术实现思路

1、为解决现有技术中存在的不足，本发明提供一种适应于分布式电源场站侧的数据指令安全传输方法及介质，涉及基于国密算法的数据安全传输过程，发送端与接收端之间通过身份认证、数据加密等方式建立可靠传输通道，保障分布式电源场站侧终端上送或接收数据传输过程中数据的安全。

2、本发明采用如下的技术方案。

3、本发明第一方面，涉及一种适应于分布式电源场站侧的数据安全传输方法，方法包括以下步骤：步骤1，在分布式电源并网时，通过分布式电源终端与调度主机实现通信连接，并通过所述分布式电源终端采集业务数据；步骤2，利用所述分布式电源终端将所述业务数据进行签名和加密后，发送至所述调度主机；签名还包括计算数字签名和签名后的数据信息；步骤3，通过所述调度主机从接收到的所述签名后的数据信息中解析出密钥分配参数，并恢复出所述电源终端的验证签名，从而接收来自所述分布式电源终端的所述业务数据。

4、本发明第二方面，涉及一种适应于分布式电源场站侧的指令安全传输方法，方法采用本发明第一方面中一种适应于分布式电源场站侧的数据安全传输方法实现，并且，方法还用于：步骤1，在分布式电源并网时，通过分布式电源终端与调度主机实现通信连接，并通过所述调度主机生成调度控制指令；步骤2，利用所述调度主机将所述调度控制指令进行签名和加密后，发送至所述分布式电源终端；签名还包括计算主机的数字签名和签名后的数据信息；步骤3，通过所述分布式电源终端从接收到的所述签名后的数据信息中解析出密钥分配参数，并恢复出所述电源终端的验证签名，从而接收来自所述调度主机的所述调度控制指令。

5、优选的，计算数字签名，还包括：利用所述分布式电源终端中所述业务数据的传输长度计算所述数字签名，并获得所述数字签名的长度。

6、优选的，计算所述签名后的数据信息，还包括：利用所述业务数据的单向散列函数值、所述分布式电源终端的私钥、所述数字签名和所述数字签名的长度计算出所述签名后的数据信息。

7、优选的，分布式电源终端计算并生成私钥后，将所述私钥从本地存储单元中删除，并将所述私钥拆分成第一分段和第二分段；并且，所述第一分段存储于所述电源终端内置的安全模块中，所述第二分段以混淆加密的方式存储于部署在所述分布式电源场站侧的密码服务器中。

8、优选的，利用所述分布式电源终端的私钥计算出所述签名后的数据信息，还包括：从所述电源终端内置的安全模块中提取所述分布式电源终端的所述第一分段；从所述分布式电源场站侧的密码服务器中提取所述分布式电源终端的混淆加密后的所述第二分段，并查询查找表，恢复出所述第二分段；将所述第一分段与所述第二分段联接，以确保所述分布式电源终端获得所述分布式电源终端的私钥。

9、优选的，通过所述调度主机从接收到的所述签名后的数据信息中解析出密钥分配参数，还包括：从所述签名后的数据信息中剔除所述数字签名的长度的影响，以获取到所述密钥分配参数。

10、优选的，恢复出所述电源终端的验证签名，还包括：利用所述密钥分配参数的正交特征从所述密钥分配参数中分别提取出第一转换参数和第二转换参数；其中，第一转换参数基于所述业务数据的单向散列函数值提取，第二转换参数基于所述数字签名提取；利用提取出的所述第一转换参数和所述第二转换参数，与所述电源终端的公钥、所述数字签名的长度构建组合式，以计算出所述电源终端的验证签名。

11、优选的，接收来自所述分布式电源终端的所述业务数据，还包括：验证所述电源终端的验证签名与数字签名之间的一致性；并且，若一致，则通过验证并确认所述调度主机接收来自所述电源终端的所述业务数据；若不一致，则不通过验证并拒绝所述调度主机接收来自所述电源终端的所述业务数据。

12、优选的，通过所述分布式电源终端采集业务数据，还包括：所述业务数据中包括来自分布式电源场站的设备所获取的网络安全信息；所述设备上设置有sim卡，且传输的所述网络安全信息中包含对应于所述设备的sim卡标识信息。

13、优选的，调度主机中预先部署有所述来自分布式电源场站的设备的绑定信息；当所述调度主机接收到所述业务数据后，提取所述设备的sim卡标识信息，若所述设备的sim卡标识信息无法匹配至所述绑定信息时，发出告警并断开所述调度主机与所述分布式电源终端的通信连接。

14、本发明第三方面，涉及一种适应于分布式电源场站侧的数据或指令安全传输虚拟介质，介质部署于调度主机中，其上存储有计算机程序，计算机程序用于实现本发明第一方面、第二方面的一种适应于分布式电源场站侧的数据或指令安全传输方法中调度主机的执行步骤。

15、本发明第四方面，涉及一种分布式电源终端，包括处理器及存储介质；存储介质用于存储指令；处理器用于根据所述指令进行操作以执行根据权利要求本发明第一方面的方法中所述分布式电源终端的执行步骤。

16、本发明第五方面，涉及计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现本发明第一方面方法中所述分布式电源终端的执行步骤。

17、本发明的有益效果在于，与现有技术相比，本发明中的一种适应于分布式电源场站侧的数据指令安全传输方法、系统、分布式电源终端和计算机可读存储介质，涉及基于国密算法的数据安全传输过程，发送端与接收端之间通过身份认证、数据加密等方式建立可靠传输通道，保障分布式电源场站侧终端上送或接收数据传输过程中数据的安全。同时，方法在传输过程采取了攻击监测、病毒防护等安全防护措施，防止数据在网络传输中遇到窃取攻击。

18、本发明的有益效果还包括：

19、1、方法综合采用了终端身份认证、攻击监测、加密与签名等方式对传输数据的各协议层安全性进行了全面的增强，从而充分保障了分布式电源设备、分布式电源终端与调度主站侧之间全过程的通信安全。

20、2、方法在安全防护过程中，将预先生成的电源终端的私钥分开存储在不同的服务器中，并通过再次的加密方式确保了私钥信息的充分安全。

21、3、方法在电源终端生成业务数据的过程中，将sim卡标识信息从采集过程中单独提取出来，并以固定的格式记录在报文的特定位置，通过这种方式，方法确保了主机能够以最少的计算和解析代价获得sim卡标识信息的内容，并及时查阅预存的sim卡绑定信息，确保了终端采集的各类设备数据的安全。