[发明专利]一种智能变电站的动态可信加密通信方法及系统

说明书

本发明公开了一种智能变电站的动态可信加密通信方法及系统，所述通信方法包括建立与对端的动态可信连接；基于预设的动态加密通信规则，与对端进行动态加密通信，完成智能变电站动态可信加密通信。本发明能够覆盖智能变电站内的站控层网络和过程层网络，保证了整个智能变电站网络上业务数据的安全可靠传输。

技术领域

本发明属于智能变电站技术领域，具体涉及一种智能变电站的动态可信加密通信方法及系统。

背景技术

智能变电站是采用先进、可靠、集成和环保的智能设备，以全站信息数字化、通信平台网络化、信息共享标准化为基本要求，自动完成信息采集、测量、控制、保护、计量和检测等基本功能，同时，具备支持电网实时自动控制、智能调节、在线分析决策和协同互动等高级功能的变电站。随着我国电网建设的快速发展，智能变电站的规模也越来越大。

目前智能变电站多采用三层两网的结构，如图1所示，站控层网络采用MMS、103通信协议，过程层网络采用GOOSE、SV协议。鉴于智能变电站内监控设备及二次设备性能和实时性要求，站控层网络和过程层网络的数据报文交互多采用明文方式，存在信息安全风险。目前在互联网通信中，为了解决信息安全问题，提出了签名认证、对称及非对称加密、摘要比对、生物识别等一系列安全防控技术手段，但这些技术及相关机制多以高性能的大型服务器为前提，不适合智能变电站内嵌入式二次设备的硬件能力。

目前在智能变电站的安全防护上，大多通过增加安全监控装置对智能变电站内设备运行情况进行监控告警，或在局部网络上使用加密或签名技术来增强局部网络的安全性。公开号为CN106296927A的中国发明专利申请中，公开了一种智能变电站安全防护系统，通过在智能变电站内增加智能门禁单元、电子围栏单元、视频监控单元和中心监控平台等设备，达到对智能变电站进行监控，阻止非法进入，及时告警的效果，该技术是从管理上加强了智能变电站的安全防护，没有对站内网络空间的信息安全进行防护。

现有公开的文献，如结合域含义的GOOSE报文加解密方法(记载于华南理工大学学报：自然科学版,2016(04):63-70)、智能变电站GOOSE报文数字签名实现(记载于南京工程学院学报:自然科学版,2019(03):38-44)、基于GOOSE报文特征的电力通信安全优化研究(记载于电工技术,2018(11):1-3)均是通过对GOOSE报文的分析，分别提出了GOOSE报文加密和签名认证机制，提高了GOOSE协议网络的安全性，但没有对站控层网络和过程层SV协议网络提出安全通信机制，且该方法只针对GOOSE协议网络，不具备通用性。

发明内容

针对上述问题，本发明提出一种智能变电站的通信方法及系统，能够解决智能变电站内站控层网络和过程层网络的安全通信问题。

为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

第一方面，本发明提供了一种智能变电站动态可信加密通信方法，包括：

建立与对端的动态可信连接；

基于预设的动态加密通信规则，与对端进行动态加密通信，完成智能变电站动态可信加密通信。

可选地，所述建立与对端的动态可信连接，包括以下步骤：

响应与对端完成基础连接建立的信号，向授权机发送申请证书请求；

接收授权机反馈的证书和授权机的公钥，所述证书是授权机完成身份验证后使用自己的私钥制作而成；

接收对端发送的由授权机反馈的证书，利用接收到的授权机的公钥对对端的证书进行第一验证，获得第一验证结果；

将从授权机处获得的证书发送至对端，供对端基于其接收到的授权机公钥对从本端处获得的证书进行第二验证，并获得对端反馈的第二验证结果；

基于第一验证结果和第二验证结果，建立与对端的动态可信连接。