[发明专利]一种基于可信计算模块的电力可信安全通信系统

说明书

技术领域

本发明属于网络信息安全领域，具体涉及一种基于可信计算模块的电力可信安全通信系统。

背景技术

电力系统工控系统中应用的大量控制终端都采用嵌入式系统设计，嵌入式系统存在低功耗、适应恶劣的工作环境等特点，但是也限制了网络安全技术在电力终端中的应用。当前应用的许多电力终端没有网络安全防护措施，或者只采用了简单的安全防护措施。随着针对工控系统的攻击的增加，需要采用新的技术提高电力工控系统的面对安全风险的防御能力。

大部分的电力控制终端都部署于野外的电线杆塔上或者变电站内，这些电力控制终端都处于有物理保护的环境下，因此攻击者不大可能通过物理方式攻击电力控制终端，相反会采用网络的方式尝试攻击。现在很多的电力控制终端都通过网络方式与主站连接，因此网络成为攻击电力控制终端的重点。

电力工控系统中的控制终端通常使用网络方式与主站系统连接，如图1所示，因此在网络通信过程中极易受到网络攻击的干扰，甚至控制终端被攻击后被植入恶意控制程序，从而对整个电力工控系统产生破坏。

当前有很多安全防护技术都可以实现对网络及主站的保护，但是对于电力嵌入式的控制终端，还缺乏保护手段。由于电力嵌入式控制终端受制于终端的处理性能、功耗要求、硬件资源等条件约束，很多安全防护手段都无法使用，因此目前对于控制终端的安全防护还显得很薄弱。

目前可信计算的思想已经在信息安全领域得到认可，许多网络设备都具有可信计算的功能，但是由于电力嵌入式控制终端在原理和设计上千差万别，很难统一标准，针对每种控制终端都单独研发可信计算功能又不现实，因此影响了可信计算在电力嵌入式控制终端中的普及应用。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于可信计算模块的电力可信安全通信系统，将可信计算原理及相关安全防护技术用于电力安全通信方面，主要解决各类电力嵌入式终端通过电力可信安全通信模块的保护实现可信接入，防止非法网络攻击，保护电力嵌入式终端的信息安全，属于网络信息安全领域。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于可信计算模块的电力可信安全通信系统，所述系统包括嵌入式控制器、存储模块、可信计算模块、本地通信接口和无线网络接口；所述存储模块、可信计算模块、本地通信接口和无线网络接口分别与嵌入式控制器双向连接。

所述嵌入式控制器采用ARM处理器，嵌入式控制器通过存储总线接口与存储模块连接，通过USB接口与可信计算模块连接，并通过专用网络接口与本地通信接口和无线通信接口分别通信。

所述存储模块包括内存器和FLASH存储器；内存器采用高速RAM存储器，用于实现嵌入式控制器的高速数据处理，所述FLASH存储器用于长期存储数据。

所述可信计算模块采用符合国家标准的可信芯片，符合国家密码管理局可信计算密码算法标准，采用高性能32位处理器，为所述系统提供可信计算功能，可以实现对系统安全可信状态的度量，并且为无线网络通信提供加密保护。

所述本地通信接口包括以太网络接口和串行通信接口；所述系统通过本地通信接口与工控终端连接。

所述工控终端包括变电站工控终端、线路工控终端、运检工控终端和仓储工控终端。

所述无线网络接口包括GPRS/3G/4G模块和WIFI模块；所述系统通过无线网络连接主站。

与现有技术相比，本发明的有益效果在于：

本发明提出提供的基于可信计算模块的电力可信安全通信系统，基于可信计算技术，可以实现对电力可信安全通信系统的可信保护，并可以实现对无线网络通信的加密保护。同时，该电力可信安全通信系统支持通过本地网络通信方式与电力工控终端连接提高传输安全性，支持通过GPRS/3G/4G和WIFI等无线网络方式与主站连接，方便工控终端与主站的采用多种方式连接，提高了便利性。

附图说明

图1是现有技术中电力工控系统中的控制终端通常使用网络方式与主站连接结构图；

图2是本发明实施例中基于可信计算模块的电力可信安全通信系统结构图；

图3是本发明实施例中电力可信安全通信系统与主站和工控终端通信示意图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

如图2，本发明提供一种基于可信计算模块的电力可信安全通信系统，所述系统包括嵌入式控制器、存储模块、可信计算模块、本地通信接口和无线网络接口；所述存储模块、可信计算模块、本地通信接口和无线网络接口分别与嵌入式控制器双向连接。