[发明专利]一种智能网荷互动终端信息安全防护认证加密方法

说明书

技术领域

本发明属于智能配电网技术领域，具体涉及一种智能网荷互动终端信息安全防护认证加密方法。

背景技术

智能网荷互动终端的信息系统是电力系统信息化的重要组成部分，迫切需要对其进行安全风险评估分析，研究制定满足其安全性需要的安全防护认证加密方案，设计适用的认证密钥协商协议，提高用电信息采集系统的安全防护水平。而伴随着智能电网的推进，信息技术在电力行业广泛应用，智能网荷互动终端信息系统由于引入了大量的信息网络新技术，使得在智能化处理信息的同时，安全问题变得更加复杂、更加紧迫。重点分析和评估互动终端信息采集系统各环节存在的安全问题和潜在的安全隐患，研究安全防护策略，提出有效的安全防护方案目前尚未开展，因此设计一个智能网荷互动终端综合安全防护认证加密方案显得尤为重要。

发明内容

目的：为了克服现有技术中存在的不足，本发明提供一种智能网荷互动终端信息安全防护认证加密方法。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

一种智能网荷互动终端信息安全防护认证加密方法，包括系统主站层、远程信道层和采集设备层，分别对应设置系统主站防护模块、采集信道防护模块和采集设备防护模块；

系统主站防护模块需要应对的智能网荷互动终端信息采集系统潜在的安全风险，包含物理层面、网络层面、主机层面、应用层面和数据层面五个方面；

采集信道防护模块包括远程信道防护模块和本地信道防护模块；

采集设备防护模块在管理上加强对采集设备的安全监管，同时从技术手段上保障采集设备的安全，采用身份认证机制与数据加密措施，提高采集设备的安全防护能力。

系统主站层中，系统主站运行在专用网络上，并做好网络路由防护、网络边界防护、网络设备安全配置。

远程信道层中，远程采集信道的接入采取防火墙安全措施，当采用公用通信网络时，禁止其直接与系统内网互联，加装专用的公网接入隔离装置，保证网络故障和安全事件限制在局部区域之内；远程信道和本地信道的通信数据釆用认证加密机制，在通信两端加装数据认证加密装置，保证数据的机密性、完整性和可用性。

采集设备层中，采集设备采用身份认证机制与数据加密措施。

系统主站防护模块，具体包含主站的安全防护措施和网络边界安全防护，安全防护措施包括主机放置位置，制定统一策略区分用户和信息的访问者，为之分配不同的访问信息以及处理权限，数据库服务器有入侵检测能力和抗病毒能力，采用可靠的安全措施进行隔离；网络边界安全防护包括与营销业务应用系统接口和其它相关系统接口的安全防护，制定相应安全措施，以规范和指导用电信息采集系统与其它系统通过网络进行数据交换的安全要求。

远程信道防护模块包括GPRS接入网防护和光纤专网防护；GPRS接入网防护具体包含：

步骤一：接入VPN防火墙；

步骤二：配置路由器；

步骤三：配置RADIUS服务器；

步骤四：配置DHCP服务器；

步骤五：配备入侵检测系统；

步骤六：做好安全配置文件的备份。

所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：本地信道防护模块包括电力信息内网防护和电力线载波防护。

电力信息内网防护具体包含：

步骤一：配置强逻辑隔离装置：在电力信息内网边界加装强逻辑隔离装置，有效控制和管理接入网与电力信息内网间的数据访问安全；

步骤二：严格按分层分域管理：电力信息内网内部，必须严格按照分层分域要求，划分独立的专用局域网络，通过网络层之间的路由器，保证域间访问安全；

步骤三：配备入侵检测系统：在网络中部署入侵检测系统对经网络传输的数据进行检测，根据网络所传输的终端地址定制入侵检测系统规则，并做好安全策略的相关配置文件的备份，以备恢复之用。

电力线载波防护则通过规范电力线载波通讯规约，采用先进的电力载波技术解决载波信号跨台变串扰问题，进行数据釆集过程中的安全控制，加强台区管理。

采集设备防护模块包括身份认证机制和数据加密措施，在采集终端和电能表侧加装采集专用安全认证加密芯片，在系统主站侧配合采集设备加装采集专用安全认证加密模块，通过硬件方式实现采集终端和电能表的安全认证机制，并对访问数据实现透明的加密和解密处理；认证加密模块的工作流程如下：