[发明专利]一种电力二次设备板卡间加密认证装置、系统及方法

权利要求书

1.一种电力二次设备板卡间加密认证装置，其特征在于：包括有主控板卡、GOOSE板卡、SV板卡、开入板卡和开出板卡；所述主控板卡包括有CPU和DSP，所述CPU与DSP通过内部总线进行数据交互；

所述主控板卡上CPU与GOOSE板卡、SV板卡、开入板卡和开出板卡通过CpuCan总线进行数据交互；

所述主控板卡上DSP与GOOSE板卡、SV板卡、开入板卡、开出板卡间通过DspCan总线进行数据交互；

所述电力二次设备板卡间加密认证的具体步骤为：

S1：设置在GOOSE板卡、SV板卡、开入板卡和开出板卡上的从节点与设置在主控板卡上的主控节点使用节点标识作为验证因子进行双向身份认证，并与预先存储在从节点白名单以及主控节点白名单内的信息进行二次认证；完成二次双向身份认证后，从节点与主控节点基于节点标识进行共享密钥协商，协商成功后将板卡地址、节点标识与协商密钥相关联存储至白名单列表中；

S2：完成从节点与主控节点的二次双向身份认证与共享密钥协商后，从节点与主控节点间进行分级数据传输，其中从节点与主控CPU节点间的非实时数据传输完成后通过SM3杂凑算法校验传输的数据是否合法；从节点与主控DSP节点间的实时数据传输完成后通过协商密钥计算MAC消息验证码来校验传输的数据是否合法。

2.一种电力二次设备板卡间加密认证系统，其特征在于：包括有CpuCan总线、DspCan总线、主控节点、GOOSE节点、SV节点、开入节点、开出节点；

所述主控节点设置在主控板卡上；所述GOOSE节点设置在GOOSE板卡上；所述SV节点设置在SV板卡上；所述开入节点设置在开入板卡上；所述开出节点设置在开出板卡上；

所述主控节点包括主控CPU节点和主控DSP节点，主控节点记录主控节点白名单列表；所述主控节点白名单列表包括GOOSE节点信息、SV节点信息、开入节点信息、开出节点信息；

所述CpuCan总线连接主控节点、GOOSE节点、SV节点、开入节点和开出节点，用于身份认证、非实时数据、长报文传输；

所述GOOSE节点、SV节点、开入节点和开出节点为从节点，从节点记录从节点白名单列表；所述从节点白名单列表包括主控CPU节点信息；

所述DspCan总线连接主控节点、GOOSE节点、SV节点、开入节点和开出节点，用于实时数据、短报文传输；

所述加密认证系统的认证过程为：

S1：从节点与主控节点使用节点标识作为验证因子进行双向身份认证，并与预先存储在从节点白名单以及主控节点白名单内的信息进行二次认证；完成二次双向身份认证后，从节点与主控节点基于节点标识进行共享密钥协商，协商成功后将板卡地址、节点标识与协商密钥相关联存储至白名单列表中；

S2：完成从节点与主控节点的二次双向身份认证与共享密钥协商后，从节点与主控节点间进行分级数据传输，其中从节点与主控CPU节点间的非实时数据传输完成后通过SM3杂凑算法校验传输的数据是否合法；从节点与主控DSP节点间的实时数据传输完成后通过协商密钥计算MAC消息验证码来校验传输的数据是否合法。

3.根据权利要求2所述的一种电力二次设备板卡间加密认证系统，其特征在于：所述节点信息包含节点板卡地址、节点标识与协商密钥；所述板卡地址用于区分报文的来源；所述节点标识为对应节点的唯一ID号，标志该节点的身份；所述协商密钥用于对传输报文加解密。