[发明专利]一种广域保护系统数据通信网络实时加密的方法及装置

说明书

技术领域

本发明涉及一种广域保护系统数据通信网络实时加密的方法及装置。属于电力通信技术领域。

背景技术

广域保护系统是指将紧密关联的若干变电站作为一个区域，区域内的各保护装置通过光纤互联，通过信息共享，根据网络拓扑结构，快速定位故障点，对区域电网进行保护与控制。

广域保护控制定义为依赖电力系统多点的信息,对故障进行快速、可靠、精确的切除,同时分析故障切除对系统安全稳定运行的影响,并采取相应的控制措施,可提高输电线可用容量或系统可靠性,同时实现继电保护和自动控制功能的系统。

广域保护系统可以分为二类:一类是利用广域信息,实现安全监视、控制、稳定边界计算及状态估计等功能,其侧重点在广域信息的利用和安全功能的实现。另一类是利用广域信息,完成继电保护功能，在故障条件下实时获得故障线路的电流,根据电网运行方式自动计算实时分支系数和距离保护的整定值。广域保护控制系统定位于常规保护及SCADA/EMS之间的系统保护。

广域保护系统安全性要求高，既要对通信数据报文进行安全防护，又要对逻辑通道进行安全防护。

广域保护系统数据通信网络常用技术为以太网技术、PTN技术裸光纤组网。由于都是基于以太报文交互，通过普通数据仪表检测裸光纤可以抓取到链路上相关报文(包括业务报文以及相关协议报文)，并能解析出MAC地址、VLAN号、Tunnel号、PW号等基本信息，如果对这些报文进行修改，例如修改VLAN号，会造成业务隔离失效，不正确的数据报文串入其他信道，干扰广域保护装置的正常工作。特别如果恶意攻击者篡改报文数据内容，可以影响广域保护系统的正常通信数据，造成电网误动、误控制，造成电网事故。因此，需要对广域保护系统数据通信网络实现加密。

现有技术中，一般是采用对称加密算法对广域保护系统数据通信网络进行加密，其特点是算法公开、计算量小、加密速度快、加密效率高。但存在如下缺点：(1)收发双方都使用同样的固定钥匙，安全性得不到保证。(2)如何管理分发动态秘钥是加密的难点，对于高速通信接口来说，实施加密算法难度较大。

发明内容

本发明的目的之一，是为了解决现有技术固定密钥不安全及管理分发动态秘钥的问题，提供一种广域保护系统数据通信网络实时加密的方法。所述广域保护系统数据通信网络实时加密方法能够对广域保护系统数据通信网络物理链路进行实时加密，包括加密和解密功能单元，起到保护业务报文数据和通信逻辑通道的作用。

本发明的目的之二，是为了提供一种广域保护系统数据通信网络实时加密的装置。

本发明的目的之一可以通过采取如下技术方案达到：

一种广域保护系统数据通信网络实时加密的方法，其特征在于：

1)设置发送通信设备A、接收通信设备B，发送通信设备A具有实时加密功能及结构，接收通信设备B具有实时解密功能及结构；

2)发送通信设备A中设有实时加密单元和数据通信接口单元，用于数据网络设备物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏，对发送数据加密；对于千兆通信端口，采用DES加密算法，算法秘钥长度64位，其中有效位为56位；发送通信设备A采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加密；或者对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据“0”变成“1”，原数据“1”变成“0”；

3)接收通信设备B中设有实时解密单元和数据通信接口单元，用于数据网络设备物理链路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原，对接由数据解密，采用DES解密算法，通信设备采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行解密，还原明文数据；或者采用反码解密，即原数据“0”变成“1”，原数据“1”变成“0”，还原明文数据。

本发明的目的之一还可以通过采取如下技术方案达到：

进一步地，对于千兆通信端口采用DES加密算法，算法秘钥长度64位，其中有效位为56位，通信设备采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加密，加密秘钥根据时间信号不断变化而变化，使得加密秘钥不断变化，使外界利用遍历尝试难以攻破。

进一步地，对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据“0”变成“1”，原数据“1”变成“0”；由于数据反码，外界采用普通抓包设备无法识别正常的数据帧格式，无法读出报文。

本发明的目的之二可以通过如下技术方案达到：