[发明专利]一种配电终端运维工具安全防护方法

说明书

本发明涉及一种配电终端运维工具安全防护方法，该方法以提高配电终端运维工具安全防护水平为目标，基于USB Key，从身份认证、数据加密和自身防护等三个方面提出配电终端运维工具安全防护架构和方法，并提出了运维工具生成终端证书请求文件、导入导出证书、恢复终端对称密钥的安全实施流程。加强配电终端的安全管控，杜绝因配电终端运维工具装置和管理漏洞引起的网络安全事件的发生，进一步提高系统先进性、实用性、可靠性和安全性，全面支撑现代配电网精益化管理。

技术领域

本发明属于配电自动化技术领域，涉及一种配电终端运维工具安全防护方法，尤其涉及一种基于USB Key的配电终端运维工具安全防护实施方法。

背景技术

在智能电网的发展过程中，信息技术作为支撑技术在智能电网的建设、运行与管理中具有重要作用，电力网络和通信网络的紧密联系不仅带来电力业务系统的技术革新，同时也为电力网络安全带来了极大挑战。

配电自动化作为电力系统的未来发展趋势具有广阔的前景。配电自动化系统主要是以现在电子信息技术为手段，将配电网的在线、离线数据以及用户和电网数据进行集成，实现配电系统正常运行，而这些都依靠配电终端进行数据的监测、保护和控制等。

然而，在配电终端现场运维过程中，运维人员通常采用便携式设备对终端进行运行状态巡视和软件功能维护，然而配电终端的本地运维工具目前还没有任何安全措施与防护机制，运维软件极易被侵入篡改甚至复制模拟，形成安全防护漏洞。

发明内容

为了解决现有技术中的上述问题，本发明提供了一种配电终端运维工具安全防护方法，以提高配电终端运维工具安全防护水平为目标，基于USB Key，从身份认证、数据加密和自身防护等三个方面提出配电终端运维工具安全防护架构和方法，并提出了运维工具生成终端证书请求文件、导入导出证书、恢复终端对称密钥的安全实施流程。加强配电终端的安全管控，杜绝因配电终端运维工具装置和管理漏洞引起的网络安全事件的发生，进一步提高系统先进性、实用性、可靠性和安全性，全面支撑现代配电网精益化管理。

本发明采用的技术方案具体如下：

一种配电终端运维工具安全防护方法，基于USB Key为运维工具提供安全防护，所述USB Key中存储了配电应用CA证书、运维工具证书及相应私钥、现场运维上行密钥和现场运维下行密钥；

所述方法包括配电终端与运维工具之间的身份认证、配电终端与运维工具间的数据加解密、生成配电终端的证书请求文件、恢复配电终端对称密钥；

其中，所述配电终端与运维工具之间的身份认证包括以下步骤：

(1)运维工具向配电终端发送认证申请，所述认证申请中包括了运维工具证书和运维工具ID；

(2)配电终端验证所述运维工具证书的合法性，如果不合法，则认证失败，配电终端拒绝所述运维工具的操作，如果合法，则继续后续步骤；

(3)所述配电终端生成一个随机数R发送给所述运维工具，所述运维工具通过所述USBKey对该随机数R进行签名，并将签名结果发送给所述配电终端；

(4)所述配电终端验证所述签名结果，如果验证不通过，则认证失败，配电终端拒绝所述运维工具的操作，如果验证通过，则完成对运维工具的身份认证并向运维工具返回验证通过消息；

(5)在身份认证通过后，所述配电终端监控所述运维工具与配电终端之间的数据交互，如果在预定义的时间长度内，所述运维工具与配电终端之间没有数据交互，则所述配电终端自动撤销对所述运维工具的身份认证。

进一步地，所述配电终端与运维工具间的数据加解密包括：