[发明专利]一种变电站设备安全通信系统

权利要求书

1.一种变电站设备安全通信系统，其特征在于，包括：

第一报文生成模块，用于根据接入设备发送的协议生成请求，生成接入设备协议报文，并将所述接入设备协议报文发送至第一安全认证模块；

第一安全认证模块，用于根据响应设备发送的协议验证请求，对所述接入设备协议报文进行解析和验证；若验证通过，向所述响应设备反馈验证通过消息；

第二报文生成模块，用于根据所述响应设备发送的协议生成请求，生成响应设备协议报文，并将所述响应设备协议报文发送至第二安全认证模块；

第二安全认证模块，用于对所述响应设备协议报文进行解析和验证；若验证通过，向所述接入设备发送验证通过消息；

权限保护模块，用于在发送所述接入设备协议报文或发送所述响应设备协议报文过程中，采用多层攻防博弈对外来的权限攻击进行持续预测和防御，直到所述接入设备协议报文或所述响应设备协议报文发送完成；

数据保护模块，用于在所述待接入设备与所述响应设备进行数据交互过程中，采用基于ACK报文同步方法和D-H密钥交换算法，对外来的数据攻击进行持续防御，直到数据交互完成。

2.根据权利要求1所述的一种变电站设备安全通信系统，其特征在于，

所述第一报文生成模块包括：

请求报文生成单元，用于生成所述接入设备的接入请求报文；

认证参数生成单元，用于生成所述接入设备的签名证书、签名时间和签名值；

第一数据集成单元，用于将所述接入请求报文、所述签名证书、所述签名时间和所述签名值进行汇总，生成所述接入设备协议报文。

所述第一安全认证模块包括：

请求报文接收单元，用于接收所述接入设备协议报文；

第一报文解析单元，用于从所述接入设备协议报文中解析出签名证书、签名时间和签名值；

第一验证单元，用于根据解析出的签名证书的公钥，采用国密算法对解析出的签名值进行验证。

3.根据权利要求2所述的一种变电站设备安全通信系统，其特征在于，

所述第二报文生成模块包括：

认证参数编辑单元，用于将所述响应设备的签名数据复制到所述第一安全认证模块的签名证书中，并生成所述响应设备的签名时间和签名值；

第二数据集成单元，用于将包含所述签名数据的签名证书、所述响应设备的签名时间和所述响应设备的签名值进行汇总，生成所述响应设备协议报文；

所述第二安全认证模块包括：

第二报文解析单元，用于从所述响应设备协议报文中解析出所述响应设备的签名证书、所述响应设备的签名时间和所述响应设备的签名值；

第二验证单元，用于根据所述响应设备的签名证书的公钥，采用国密算法验证所述响应设备的签名值。

4.根据权利要求1所述的一种变电站设备安全通信系统，其特征在于，所述权限保护模块包括：

攻击行为空间构建单元，用于采集本变电站通信网络受到的所有历史攻击行为和其余变电站通信网络受到的多个历史攻击行为，将采集到的所有历史攻击行为汇总，得到攻击行为空间，并为所述攻击行为空间中的每一个攻击行为建立对应的攻击行为特征表；

防御行为空间构建单元，用于生成与所述攻击行为空间中的每一个攻击行为对应的防御行为，得到防御行为空间，并为所述防御行为空间中的每一个防御行为建立对应的防御行为特征表；

通信网络状态监测单元，用于监测变电站通信网络的当前状态；

攻击行为捕获单元，用于捕获当前状态下变电站通信网络受到的攻击行为；

攻防博弈树生成单元，用于根据所述变电站通信网络的当前状态、捕获的所有攻击行为、所述攻击行为特征表和所述防御行为特征表，生成攻防博弈树；

收益函数构建单元，用于构建多层博弈中攻击行为的收益函数和防御行为的收益函数；

攻防行为量化单元，用于生成攻击行为量化表和防御行为量化表；

纳什均衡计算单元，用于根据所述攻击行为量化表、所述防御行为量化表、所述攻击行为的收益函数和所述防御行为的收益函数，计算所述攻防博弈树的纳什均衡，得到当前变电站通信网络的权限保护策略；

权限保护单元，用于根据所述权限保护策略对当前进入变电站通信网络的攻击行为进行阻断。