[发明专利]一种配电终端的安全通信改造方法及系统

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种配电终端的安全通信改造方法及系统。

背景技术

随着配电自动化技术的快速发展，配电终端作为新型智能终端设备在配电生产中的应用日益广泛，给自动化配电带来极大便利的基础上，也由于终端智能化程度越来越高，且部分带有控制功能，引入了更多的安全风险。配电终端多数建于户外环境，无人随时值守，其与配电主站通过电力专网/无线公网进行通信，尤其是在无线公网通信条件下，配电终端到主站系统的上行数据以及主站系统到配电终端的下行指令都有可能被窃取甚至篡改，引发信息泄漏或造成生产事故，因此，需要在终端与主站的通信链路上进行安全通信改造。

发明内容

针对现有技术的不足，本发明提供一种配电终端的安全通信改造方法及系统，可对配电终端进行外置的安全通信改造。

本发明的目的是采用下述技术方案实现的：

一种配电终端的安全通信改造方法及系统，其特征在于，所述系统包括：配电终端、安全通信硬件系统、安全加密协处理器；

所述安全通信硬件系统通过串口/网口与所述配电终端建立连接，其中，所述配电终端通过串口/网口将原始数据传入安全通信硬件系统中，所述安全通信硬件系统通过调用安全加密协处理器对原始数据进行IP层加密保护，所述安全加密协处理器采用国家商用密码算法。

优选的，所述安全通信硬件系统可以通过串口与所述配电终端串口建立连接，用于将所述配电终端通过串口将原始数据传入安全通信硬件系统中，所述原始数据为配电终端101通信规约或其他串口通信规约格式的数据。

进一步的，所述通过串口传入安全通信硬件系统中的原始数据需要通过安全通信硬件系统中的两个硬件TCP/IP协议栈芯片封装成IP报文使其可以被配电自动化主站系统识别。

优选的，所述安全通信硬件系统可以通过网口与所述配电终端网口建立连接，用于将所述配电终端通过网口将原始数据传入安全通信硬件系统中，所述原始数据为配电终端104通信规约或其他网口通信规约格式IP报文。

进一步的，所述配电终端的网口IP与所述配电终端接入的配电自动化主站系统IP在同一网段时，所述安全通信硬件系统作为局域网ARP代理反馈所述配电终端向所述配电自动化主站系统发起的ARP查询报文。

优选的，所述安全通信硬件系统通过调用安全加密协处理器对所述IP报文提供网络层加密保护，所述安全加密协处理器采用国家商用密码算法。

进一步的，所述安全通信硬件系统需调用安全加密协处理器中SM3算法对IP报文进行散列运算，所述安全通信硬件系统需调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密。

进一步的，所述安全通信硬件系统调用的安全加密协处理器中的SM1算法，其对称密钥由所述安全通信硬件系统调用的安全加密协处理器中的SM2算法进行定时通信协商。所述安全通信硬件系统调用安全加密协处理器中的SM1算法对IP报文及所述散列运算结果进行对称加密的密文数据通过安全通信硬件系统的网口/GPRS传出。

与最接近的现有技术相比，本发明具有的有益效果：

本发明提供的一种配电终端的安全通信改造方法及系统，能够解决不易进行硬件改造的配电终端与主站之间双向通信的安全增强。本发明提供的安全通信改造方法支持籍由串口、网口两种类型与外界通信的配电终端；可以自动识别并处理终端网络地址与主站在同一网段时报文的安全反馈，防止由于IP冲突导致通信断路；采用序列号与数据段综合散列再加密的方法识别数据来源的可靠性及数据段完整性，所有加密、协商采用的算法均为国家商用密码管理局颁布认可的国产商用加密算法，在适应性、时效性、安全性上较现有国内外类似技术均有提升和创新。

附图说明

图1是本发明提供的一种双网口配电终端的安全通信改造方法及系统实施流程图；

图2是本发明提供的一种双串口配电终端的安全通信改造方法及系统实施流程图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的详细说明。

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。