[发明专利]一种用于继电保护设备的认证加密方法及模块

说明书

本发明公开了一种用于继电保护设备的认证加密方法及模块，包括：安全芯片读取存储单元中继电保护设备的核心应用程序的版本信息，并基于所述版本信息按照约定的可信度量规则进行校验，以获取校验结果；当所述校验结果指示所述核心应用程序的版本信息通过校验后，选通芯片控制所述继电保护设备CPU与所述存储单元建立通信连接，以使得所述继电保护设备CPU能够从所述存储单元中加载所述核心应用程序，同时断开所述安全芯片与存储单元之间的通信连接；所述安全芯片在所述继电保护设备CPU启动后，与所述继电保护设备CPU进行通信；安全芯片读取所述继电保护设备的认证证书和和业务数据，并根据所述认证证书进行身份认证以及对所述业务数据进行加密。

技术领域

本发明涉及电力系统继电保护技术领域，并且更具体地，涉及一种用于继电保护设备的认证加密方法及模块。

背景技术

近年来，随着我国智能电网的建设，信息安全问题越来越突出，在整个智能电网发电、输电、变电、配电、用电等各个领域均可能面临信息安全的威胁，信息安全已成为智能电网安全稳定运行和对社会可靠供电的重要基础，是电力企业生产、经营和管理的重要组成部分。为了提升变电站二次系统的内生安全，除了边界安全防护外，有必要对站内保护及测控等二次设备提出更高的安全防护要求。

《国家电网公司网络与信息系统安全管理办法》中提出“具有控制功能的系统或模块，控制类信息必须通过生产控制大区网络或专线传输，严格遵守电力二次系统安全防护方案，实现系统主站与终端间基于国家认可密码算法的加密通信，基于数字证书体系的身份认证，对主站的控制命令和参数设置指令须采取强身份认证及数据完整性验证等安全防护措施。”同时要求“对涉及的信息安全软硬件产品和密码产品要坚持国产化原则，信息安全核心防护产品以自主研发为主。”

为了降低智能电网变电站二次设备信息被截获后的破译风险，提升设备的安全性，减少被攻击或篡改的风险，需要构建二次设备接入系统的安全防护体系，对二次设备接入进行身份认证，对二次设备控制类命令等重要信息进行安全加密，对二次设备软件代码等核心内容进行可信度量，不断提升二次设备的本质安全水平。

发明内容

本发明提出一种用于继电保护设备的认证加密方法及模块，以解决如何有效地对继电保护设备进行安全保护的问题。

为了解决上述问题，根据本发明的一个方面，提供了一种用于继电保护设备的认证加密方法，所述方法包括：

安全芯片读取存储单元中继电保护设备的核心应用程序的版本信息，并基于所述版本信息按照约定的可信度量规则进行校验，以获取校验结果；

当所述校验结果指示所述核心应用程序的版本信息通过校验后，选通芯片控制所述继电保护设备CPU与所述存储单元建立通信连接，以使得所述继电保护设备CPU能够从所述存储单元中加载所述核心应用程序，同时断开所述安全芯片与存储单元之间的通信连接；

所述安全芯片在所述继电保护设备CPU启动后，与所述继电保护设备CPU进行通信；

安全芯片读取所述继电保护设备的认证证书和和业务数据，并根据所述认证证书进行身份认证以及对所述业务数据进行加密。

优选地，其中所述安全芯片读取存储单元中继电保护设备的核心应用程序的版本信息，并基于所述版本信息按照约定的可信度量规则进行校验，以获取校验结果，包括：

安全芯片读取存储单元中继电保护设备的核心应用程序的版本信息，根据写入的密钥对所述版本信息进行加密计算，以获取第一MAC值；

安全芯片读取存储单元中写入的第二MAC值；

安全芯片对所述第一MAC值和第二MAC值进行一致性比对校验，以获取校验结果；