[发明专利]一种增强智能变电站IED安全性的装置

说明书

技术领域

本发明涉及一种增强智能变电站IED安全性的装置。

背景技术

智能电子设备（IED）的应用能够显著提高变电站的智能化程度，明显减少敷设电缆和辅助装置的数量，降低成本，提高整个变电站的运行和维护水平，因此IED越来越多地应用于变电站中的保护、控制和测量领域。

以太网经过多年的发展，已大量应用到工业、控制领域，以太网有足够的带宽，完全能够满足电力系统中实时性的要求，目前以太网已成为实现IEC61850标准的主流网络，底层通信协议选用广泛使用的TCP/IP协议栈。但是不仅IEC61850中不包含任何安全措施，TCP/IP协议本身也存在安全漏洞。

IEC62351——电力系统管理及其信息交换数据和通信安全标准规定了使用传输层安全协议TLS为包括TCP/IP的任何协议集提供安全。TLS一般用于Internet的安全交互，包括认证、机密性和完整性。

IEC61850——变电站通信网络和系统规定了智能变电站的分层结构，其中，过程层IED快速传送包含电流、电压模拟量的采样值报文（SMV）给间隔层的IED，间隔层之间、间隔层与变电站层、间隔层与过程层之间的IED快速传输通用面向对象变电站事件（GOOSE）报文，用于实现紧急跳闸、启动故障录波、启动闭锁解锁等，所以SMV/GOOSE报文对实时性、可靠性和安全性的要求很高。

目前电力系统中大多使用公钥加密算法RSA作为密钥交换算法或数字签名算法，考虑到随着分解大整数方法的进步及完善、计算机速度的提高以及并行计算技术的发展，为了保证安全性，RSA所需用的密钥越来越长，加密耗时已经不能忍受，而椭圆曲线密码算法ECC能以更小的密钥长度来产生与其他公钥密码算法相同等级的安全性，即ECC能够提供比RSA更高的安全性而耗时更小。

国密算法是在我国境内通用的商用密码算法，由国家密码管理局编制并公开，其中包括基于椭圆曲线ECC的非对称机密算法SM2、数据摘要算法SM3、对称加密算法SM4等。

因此，需要一种增强智能变电站IED安全性的装置以解决上述问题。

发明内容

发明目的：本发明针对现有技术的缺陷，提供一种的增强智能变电站IED安全性的装置。

技术方案：为解决上述技术问题，本发明的增强智能变电站IED安全性的装置采用如下技术方案：

一种增强智能变电站IED安全性的装置，变电站IED包括发送端IED和接收端IED，包括TLS安全通道、数字签名模块和验证数字签名模块，所述的TLS安全通道包括TLS模块，利用所述TLS模块建立所述TLS安全通道，所述发送端IED和接收端IED均通过所述TLS安全通道连接变电站站控计算机；所述发送端IED通过所述数字签名模块对GOOSE/SMV报文计算消息摘要，将所述消息摘要加密后作为扩展字段增加到GOOSE/SMV报文的后端，得到扩展的GOOSE/SMV报文；接收端IED收到扩展的GOOSE/SMV报文后，所述验证数字签名模块将所述扩展的GOOSE/SMV报文分为原始GOOSE/SMV报文和数字签名，利用原始GOOSE/SMV报文和数字签名分别计算得到报文摘要M1和报文摘要M2，比较报文摘要M1和报文摘要M2，如果不一致则为不安全的IED发送来的报文，抛弃这段报文并告警变电站站控计算机处理；如果一致则报文是由可信IED发出，接收端IED根据报文内容执行报文命令。

更进一步的，所述数字签名模块包括SM3报文摘要计算单元A、SM3报文摘要生成单元A、SM2私钥加密单元、数字签名生成单元、扩展的GODSE/SMV报文生成单元和传输单元A，所述SM3算法对GOOSE/SMV报文进行消息摘要计算，所述SM3报文摘要生成单元A用于生成128位的SM3消息摘要，所述SM2私钥加密单元使用发送端IED的SM2私钥对所述SM3消息摘要进行加密，所述数字签名生成单元中生成数字签名，所述扩展的GOOSE/SMV报文生成单元将数字签名作为扩展字段增加到GOOSE/SMV报文的后端，得到扩展的GOOSE/SMV报文，所述传输单元A将所述扩展的GOOSE/SMV报文发送给接收端IED。