[发明专利]一种配电安全认证装置及其方法

说明书

本发明提供了一种配电安全认证装置及其方法。该配电安全认证装置包括通信管理模块、规约解析模块、安全认证模块、文件管理模块、证书验证模块以及主控模块；通信模块接收报文发送至规约解析模块进行规约解析；解析后的报文经加密解密模块的解密处理交由安全认证模块；安全认证模块根据对解密后的报文进行安全认证：若配电安全管理报文调用证书验证模块对证书进行有效性验证；若为遥控报文进行有效性验证后，主控模块根据的认证结果返回应答信息。本发明中集成配电安全认证加密协议，实现了证书的解析和有效性验证，为配电终端提供了统一、简单、易用、高效、可靠的配电安全认证服务。

技术领域

本发明涉及一种配电安全认证装置，同时还涉及一种基于该装置的配电安全认证方法，属于配电自动化技术领域。

背景技术

2011年初，国家电网公司为了保障配电网安全稳定运行，对《电力二次系统安全防护总体方案》中的《配电二次系统安全防护方案》（电监安全〔2006〕34号）进一步细化与补充，制定并发布了《中低压配电自动化系统安全防护补充规定》（国家电网调〔2011〕168号），通知明确了配电自动化系统主站与子站发往配电终端的下行控制指令应使用基于非对称密钥的单向认证加密技术进行安全防护。

由于非对称数字签名算法安全性高，非对称数字签名方式在现在的现有的配电自动化系统已经应用，且非对称数字签名算法的安全认证方案对于智能配电终端有着重要的意义。然而现有的配电自动化终端设备使用的配电安全认证加密功能均基于非对称密码算法的软实现，存在性能效率低下、延迟率高、可靠性差等缺陷，无法满足配电终端安全服务的实时、快速、高可靠性的需求；且由于配电终端生产厂家欠缺安全防护的相关经验，在开发设计实现难度上存在较大的安全隐患。目前，电力企业中使用的大多数业务系统使用了国密局专用的密码算法。现有的配电安全认证装置大多基于裸公钥，SM2证书的有效性和安全性未经过验证，同时对于密钥安全管理存在重要的安全隐患。

在公开号为103368742A的中国发明申请中，公开了一种基于非对称数字签名认证的智能配电终端安全防护方法，根据智能配电终端的实际特点，在配电终端上实现非对称数字签名的认证，现有配电自动化系统在已有的通信规约上进行较小的改动就能实现对数字签名技术的认证，而无需重新定义新的通信规约，即在原有标准规约通信报文段的基础上，附加发送方的数字签名段及时间戳安全信息段，即可实现，保证对改造之前规约的兼容性，改造成本低，在工程项目实施中容易实现，从而减少配电自动化系统来自公共网络攻击的风险，保障配电自动化系统的操作安全。

发明内容

针对现有技术的不足，本发明所要解决的首要技术问题在于提供一种配电安全认证装置。

本发明所要解决的另一技术问题在于提供一种基于上述配电安全认证装置的配电安全认证方法。

为实现上述的发明目的，本发明采用下述的技术方案：

一种配电安全认证装置，用于配电终端中，包括通信管理模块、规约解析模块、安全认证模块、文件管理模块、证书验证模块以及主控模块；所述主控模块控制所述通信管理模块、所述规约解析模块、所述安全认证模块、所述文件管理模块和所述证书验证模块进行信息交互；

所述通信模块接收报文发送至所述规约解析模块进行规约解析；解析后的报文经加密解密模块的解密处理交由所述安全认证模块；

所述安全认证模块根据对解密后的报文进行安全认证：

若配电安全管理报文调用所述证书验证模块对证书进行有效性验证；若为遥控报文进行有效性验证后，主控模块根据的认证结果返回应答信息。

其中较优地，所述加密解密模块包括密码协处理器以及随机数发生器。

其中较优地，所述通信管理模块用于实现所述配电安全认证设备与配电终端处理器之间的通信，包括USB和SPI通信接口。