[发明专利]一种电力二次系统设备核查方法

说明书

技术领域

本发明涉及一种电力二次系统设备核查方法。

背景技术

电力二次系统的设备是重要资产，其设备运行状态的好坏直接关系着电力系统是否能正常运行，并且随着网络攻击技术的发展，各种形式的网络攻击有从广域网向电力专网蔓延的趋势，所以电力二次系统急需一种将所有设备统一管理和监测的手段。

现有的电力二次系统设备核查方法主要有两种：第一种是人工核查的方法，即手动录入电力二次系统中所有设备的信息，形成一个设备的表单，定期人工核对现场装置和表单的一致性，这种核查方法消耗人力资源大、耗时长、错误率高且实时性低；第二种基于特定网络协议，如snmp、syslog等，这种方法依赖于各个设备对该协议的支持，以及协议的实现方式，其灵活性差、兼容性低、获取的数据有限，而且snmp v1、snmp v2、syslog均不支持加密传输，也没有手段保证数据的完整性。

发明内容

针对上述问题，本发明提供一种电力二次系统设备核查方法，解决人工核查方式消耗人力资源大、耗时长、错误率高、实时性低的问题，以及解决基于特定网络协议核查方式灵活性差、兼容性低、获取的数据有限、防窃听、防篡改能力有限的问题。

为实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

一种电力二次系统设备核查方法，包括如下步骤：

步骤1、电力二次系统所有设备均部署终端代理，终端代理主动与服务端建立TCP连接，连接成功后进入步骤2；

步骤2、终端代理与服务端交互公钥与对称密钥；

步骤3、终端代理使用指定的用户名和密码登录服务端，若用户名和密码错误，则返回步骤1，若用户名和密码正确，则进入步骤4；

步骤4、终端代理与服务端交互版本信息，若版本不兼容，则进入步骤5，若版本兼容，则进入步骤6；

步骤5、终端代理从服务端下载兼容的终端代理版本，覆盖当前版本后断开TCP连接，并返回步骤1；

步骤6、终端代理从服务端获取核查配置文件；

步骤7、终端代理根据核查配置文件获取终端的设备信息；

步骤8、终端代理将收集的设备信息发送给服务端，服务端接收完毕后结束。

优选，终端代理的数量≥1个，服务端的数量≥1个。

优选，电力二次系统采用多网冗余结构，多个网络同时建立TCP连接，并选择任意一个成功建立TCP连接的网络进行交互。

优选，选择最先成功建立TCP连接的网络进行交互。

优选，步骤3至步骤8中，采用一份相同数据多网同时发送的方式，接收方仅处理其中一份数据，忽略其余的数据。

优选，步骤3至步骤8中，交互报文采用对称密钥加密，对原始报文hash后，使用非对称私钥对hash值签名，以及采用公钥验签的方式。

优选，当服务端和终端代理任何一方判断版本不兼容时，均认为版本不兼容。

本发明的有益效果是：

（1）电力二次系统所有设备都部署了终端代理后，终端代理将会自动与指定服务端交互，自动获取核查配置文件、自动获取最新程序版本、自动上传设备信息，自动化程度高，节省了大量人力资源。

（2）终端代理可以与多个服务端连接，而且支持多网冗余结构，当一个服务器瘫痪时不会影响其他服务器，一个网络瘫痪时不会影响其他网络，只要有一个服务器和一个网络正常工作，整个系统就能正常运行，错误率低、容错率高。

（3）终端代理与设备本身的程序和业务解耦，不影响设备原有业务功能，不需要设备供应商参与，灵活性高、兼容性高。

（4）终端代理与服务端使用对称密钥加密，对原始报文hash后，使用非对称私钥对hash值签名、公钥验签的方式，并且在终端代理连接服务端时还需要输入用户名和密码，安全性高，可以防窃听和防篡改。

附图说明

图1是本发明终端代理的工作流程图；

图2是本发明服务端的工作流程图；

图3是本发明终端代理与服务端交互对称密钥和非对称公钥的流程图；

图4是本发明交互过程所用报文的一个典型格式示意图。

具体实施方式

下面结合附图和具体的实施例对本发明技术方案作进一步的详细描述，以使本领域的技术人员可以更好的理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

如图1-4所示，一种电力二次系统设备核查方法，包括如下步骤：