[发明专利]一种实现交直流控制保护系统网络数据安全的方法

说明书

本发明公开了一种实现交直流控制保护系统网络数据安全的方法，该方法利用预设的置换算法对产生的密钥按比特位置进行位置置换，并利用置换后的密钥和预设的加密算法对报文的负载和签名加密并组成密文；接收端收到报文通过预设的逆置换算法对动态密钥进行还原，然后利用还原后的密钥和预设的加密算法对密文进行解密，得到报文负载和签名；对接收的报文进行验证签名时，利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证。本发明方法控制保护系统内的网络报文实现了加密传输，系统外的装置截获报文后不能够解析内容，也不能够伪造报文注入到系统内，保证了系统内网络数据的安全。

技术领域

本发明属于电力继电保护领域，特别涉及一种实现交直流控制保护系统网络数据安全的方法。

背景技术

以太网是一种局域网技术。IEEE组织的IEEE 802.3协议制定了以太网的技术标准。以太网是目前应用最普及的局域网技术，从运行的速率可以分为快速以太网、千兆以太网和万兆以太网。在以太网链路上的数据包称作以太帧。以太帧起始部分由前导码和帧开始符组成。后面紧跟着一个以太网报头，以MAC地址说明目的地址和源地址。帧的中部是该帧负载的包含其他协议报头的数据包(例如IP协议)。以太帧由一个32位冗余校验码结尾。它用于检验数据传输是否出现损坏。

直流换流站与交流变电站控制保护系统中，大量使用以太网作为通信手段，各种核心业务，如GOOSE、SMV以及直流主机间，系统间，极点通信等，均采用明文通信方式。虽然直流换流站和交流变电站采用网络隔离的方法把站内的局域网与外界的网络划分为独立的网络，保证内外网之间没有物理连接，这样的组网能够保证内网的信息安全。但简单的物理隔离仍然存在很大的漏洞和缺陷。例如入侵者可以将便携式计算机等设备接入到内网与其它网络设备通讯，截获、窃取保密资料。简单的明文通信容易被拦截，识别和破解，有明显的安全隐患。

发明内容

本发明的目的，在于提供一种实现交直流控制保护系统网络数据安全的方法，能够实现网络报文的加密传输，系统外的装置截获报文后不能够解析内容，也不能够伪造报文注入到系统内，保证了系统内网络数据的安全。

为了达成上述目的，本发明公开了一种实现交直流控制保护系统网络数据安全的方法，其特征在于，包括以下步骤：

系统中装置在链路层对网络报文进行签名、加密和位置置换后发送；装置接收网络报文后，在链路层对报文进行位置置换提取密钥、解密和验证签名后再使用。

发送装置针对发送的每帧报文产生密钥，并利用置换算法对密钥按比特位置进行位置置换；

发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名，利用预设的加密算法对报文负载和签名加密，将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置；

接收装置利用预设的置换算法对密钥进行还原，利用还原后的密钥和预设的加密算法对密文进行解密，得到报文负载和签名；

接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证，通过验证，则报文安全。

进一步地，系统中装置针对发送的每帧报文产生不同动态密钥,装置通过定时器的输出来产生动态密钥，所采用的密钥生成算法为：

FrameKey_N＝K(Timer_N)

其中，FrameKey_N为每帧报文的密钥，Timer_N为N位定时器的实时值，K为产生密钥的函数。

本发明的有益效果：

1、本发明实现网络报文的加密传输，系统外的装置截获报文后不能够解析内容，也不能够伪造报文注入到系统内，保证了系统内网络数据的安全；本发明通过采用置换算法将产生的密钥进行按位置换产生了随机的密钥；增加了对报文解析的难度；