[发明专利]一种基于通信连接属性的电力报文加固方法

说明书

本发明公开了一种基于通信连接属性的电力报文加固方法，首先对各种电力报文的通信连接属性进行判断，主要分为双边关联以及多播关联两种情形，对双边关联类型的报文进行HMAC运算，对多播关联类型的报文进行数字签名安全加固。HMAC与数字签名方式均能实现信源身份认证以及消息的防篡改认证，这种综合优化方案有利于较好地平衡安全性与实时性，改善安全加固效果，并且在电力系统安全密钥管理方面具有明显的优势。

技术领域

本发明涉及一种电力报文安全加固技术，尤其涉及一种基于通信连接属性的电力报文加固方法。

背景技术

电网智能化是当下电力系统的发展趋势，各种智能电子设备的运用给电力系统的控制与状态检测带来了便利，但也存在一定的通信与信息安全隐患。国际电工委员会提出了IEC 62351标准，对电力系统的数据与通信安全提供了整体思路。国家电力监管委员会发布《电力二次系统安全防护规定》，规范了包括智能变电站在内的各电力企业二次系统的安全防护工作，提出“安全分区、网络专用、横向隔离、纵向认证”的原则。电力报文是电力系统通信的重要组成部分，电力报文的安全加固主要实现发送端设备的信源身份认证与完整性认证。

当下的电力报文安全加固措施缺乏，并且在安全加固过程中不考虑通信连接属性，这种粗略的安全加固方式在密钥管理方面复杂度较高，效率较低。例如，MMS报文为双边关联报文，即为一对一通信的报文，假设其报文数量为NS；GOOSE、SV报文为多播关联类型的报文，即为一对多通信的报文，假设其报文数量为ND，多播关联类型的平均接收端设备数量为NJ(NJ>＝2)，当对其都采用单一的HMAC方式加固时，所需的安全密钥数量为NS+ND*NJ，基于通信类型改进后的安全加固方案所需安全密钥数量为NS+ND，从而所需的安全密钥数量显著减少。由此我们需要一种针对电力报文不同连接属性而采取相应加固方式的电力报文加固方法。

发明内容

发明目的：本发明提供一种针对连接属性不同，从而采用不同安全认证方式的电力报文加固方法，旨在改善电力报文的综合安全加固效果，提高电力系统安全密钥管理的效率。

技术方案：本发明所述的一种基于通信连接属性的电力报文加固方法，包括以下步骤：

(1)对电力报文的通信连接属性进行判断；

(2)针对通信连接不同的电力报文采用不同的加固方法。

步骤(1)所述电力报文的通信连接，主要有双边关联类型与多播关联类型。

所述步骤(2)包括以下步骤：

(21)对双边关联类型的报文采用HMAC安全认证方式；

(22)对多播关联类型的报文采用数字签名安全认证方式。

所述步骤(21)包括以下步骤：

(211)在发送端对要发送的电力报文运用密钥A进行HMAC运算；

(212)HMAC运算得到的摘要值定义为V1，附在原始的电力报文末端进行发送，接收端设备收到后，对收到的原始报文部分运用同样的密钥A进行HMAC运算，得到摘要值V2；

(213)比较V1与V2，若相等，则安全验证通过；若不相等，则报文异常。

所述步骤(22)包括以下步骤：

(221)在发送端对原始报文进行消息摘要运算；

(222)用私钥对摘要值进行加密，加密后的值附加在原始报文末端进行发送，接收端设备收到后，对电力报文进行Hash运算，得到摘要值H1(M)，然后对加密后的摘要值运用公钥进行解密运算，得到H2(M)；

(223)比较H1(M)与H2(M)，若相等，则安全验证通过；若不相等，则报文异常。