电力专用加密通信安全模块制造技术

本发明专利技术旨在提供一种满足配电网终端、小水电发电数据采集、营销智能电表数据采集需求，以安全模块的方式直接嵌入各类终端及仪表，满足各类型的应用需求的电力专用加密通信安全模块。该安全模块包括采用SOC架构的安全加密CPU，安全加密CPU通过总线及串口资源扩展有若干接口，若干接口包括与外部电源连接的电源接口、外接存储设备的存储接口、输入接口及输出接口，输入接口为串口或网络接口，输出接口为网络接口或GPRS接口，网络接口和/或GPRS接口设置有网络隔离变压器，串口设置有带隔离的RS232转换芯片，电源接口设置有EMC电路及防反接电路，输入接口和输出接口均设置有抗DOS攻击模块。本发明专利技术可应用于安全通信领域。

Encryption module for power communication security

The invention aims to provide a special encrypted communication security module for electric power, which meets the data acquisition requirements of distribution network terminals, small hydropower generation and marketing intelligent ammeters, and directly embeds various terminals and meters in the way of security module to meet various application requirements. The security module includes a secure encrypted CPU with SOC architecture. The security encrypted CPU has several interfaces through bus and serial port resources. Some interfaces include power interface connected with external power, storage interface of external storage device, input interface and output interface, input interface is serial port or network interface, and output interface. For the network interface or GPRS interface, the network interface and/or GPRS interface are equipped with network isolation transformer, the serial port with isolation RS232 conversion chip, the power interface with EMC circuit and anti-inversion circuit, the input interface and output interface are equipped with anti-DOS attack module. The invention can be applied to the field of safety communication.

【技术实现步骤摘要】
电力专用加密通信安全模块
本专利技术涉及安全通信领域，尤其涉及一种电力专用加密通信安全模块。
技术介绍
由于电力系统通信应用存在采用公共网络通信情况，同时应用的采集点多，如配电网终端数据采集，智能电表数据采集，小水电发电数据采集等。由于众多的采集点，分布广泛，许多采集点并没有物理线路到达，为了成本节约，电力部门通常是通过租用公网网络通信的方式去实现数据采集。但这会引发公网通信对数据的危害。目前市面上存在各种针对公网的通信防护装置，但应用存在局限性，实现方式也各异，成本居高不下，很难实现真正的网络防护安全。
技术实现思路
本专利技术所要解决的技术问题是克服现有技术的不足，提供一种低功耗、满足配电网终端、小水电发电数据采集、营销智能电表数据采集需求，以安全模块的方式直接嵌入各类终端及仪表，满足各类型的应用需求的电力专用加密通信安全模块。本专利技术所采用的技术方案是：本专利技术包括采用SOC架构的安全加密CPU，所述安全加密CPU通过总线及串口资源扩展有若干接口，若干所述接口包括但不限于与外部电源连接的电源接口、外接存储设备的存储接口、输入接口及输出接口，所述输入接口为串口或网络接口，所述输出接口为网络接口或GPRS接口，所述网络接口和/或所述GPRS接口设置有网络隔离变压器，所述串口设置有带隔离的RS232转换芯片，所述电源接口设置有EMC电路及防反接电路，所述输入接口和所述输出接口均设置有抗DOS攻击模块。进一步地，所述电力专用加密通信安全模块所产生的密匙全部封装于所述安全加密CPU内。再进一步地，所述电力专用加密通信安全模块支持电力104规约的数据格式审查。更进一步地，所述电力专用加密通信安全模块为无操作系统模块。又进一步地，所述安全加密CPU为清华同方的TF32A9FAL1芯片。又再进一步地，整个所述电力专用加密通信安全模块的表面通过SMT表面贴装有防静电层。再更进一步地，整个所述电力专用加密通信安全模块的功耗低于5W。此外，所述输入接口还包括USB接口，所述输出接口还包括LED灯接口。本专利技术的有益效果是：本专利技术在网络接口和/或所述GPRS接口设置有网络隔离变压器，通过网络隔离变压器对网络接口和GPRS接口进行隔离保护；所述串口设置有带隔离的RS232转换芯片，在串口数据通信时对串口接口进行隔离保护；此外，所述电源接口设置有EMC电路及防反接电路，同样起到隔离保护的作用；所述输入接口和所述输出接口均设置有抗DOS攻击模块，通过抗DOS攻击模块的设置，能够过滤掉DOS攻击，避免所述安全加密CPU受到攻击；此外，安全加密CPU为无操作系统设计，大大提高了安全模块的安全性；通过密匙安全封装设计，安全模块所有产生的密匙均封装于安全芯片内，密匙不流出安全芯片，且密匙都是协商生成，不存在外部可调用的接口读取密匙，进一步提高了安全模块的安全性；最后，该模块支持电力104规约的数据格式审查，能够拦截任何其他格式的数据包，极好地保护了内网主机的安全，同时又满足电力配网的通信要求，另外，通过对整体布局的设计，大大地降低了整个模块的功耗，进而具有较好的节能作用。附图说明图1是本专利技术系统的简易结构框图；图2是本专利技术静电隔离保护的简易结构框图。具体实施方式如图1至图2所示，本专利技术包括采用SOC架构的安全加密CPU1，所述安全加密CPU1通过总线及串口资源扩展有若干接口，若干所述接口包括但不限于与外部电源连接的电源接口2、外接存储设备的存储接口3、输入接口及输出接口，所述输入接口为串口或网络接口，所述输出接口为网络接口或GPRS接口，所述网络接口和/或所述GPRS接口设置有网络隔离变压器，所述串口设置有带隔离的RS232转换芯片，所述电源接口设置有EMC电路及防反接电路，所述输入接口和所述输出接口均设置有抗DOS攻击模块。所述电力专用加密通信安全模块所产生的密匙全部封装于所述安全加密CPU1内。所述电力专用加密通信安全模块支持电力104规约的数据格式审查。所述电力专用加密通信安全模块为无操作系统模块。所述安全加密CPU1为清华同方的TF32A9FAL1芯片。整个所述电力专用加密通信安全模块的表面通过SMT表面贴装有防静电层。整个所述电力专用加密通信安全模块的功耗低于5W。所述输入接口还包括USB接口，所述输出接口还包括LED灯接口。加密通信安全模块采用SOC架构的安全加密芯片，再利用安全加密芯片总线及串口资源实现扩展接口，再增加外扩的内存处理资源，解决由于安全芯片内存不足的问题。使整体电路设计主要围绕安全芯片，减少外部处理器。极大简化电路设计的复杂度。通过最基本的元器件，及紧密的合理的线路布局，实现最小化的安全模块尺寸设计。由于不存在外部处理器，及其他的元器件消耗，本专利技术加密通信安全模块实际供电消耗控制在3W内，满足应用低功耗的应用需求。此外，采用SMT表面贴装和涂敷工艺，加上完善的软件抗干扰措施。在网络接口增加网络隔离变压器对网络接口进行隔离保护。在串口数据通信上增加带隔离的RS232转换芯片对串口接口进行隔离保护。电源输入部分加入含TVS管、PTC、压敏电阻、共模电感的EMC电路及防反接电路。进一步地，本专利技术所述安全模块采用SOC架构加密芯片、系统存储空间缺乏，但其32位的MISC指令集可以满足VPN软件的编程要求，故将其设计成无操作系统的一个VPN实现，软件运行模式类似于单片机。既然是无操作系统，系统中就没有多余的功能、函数接口、用户命令等，大大提高了安全模块自身的安全性。来自公网的攻击手段繁多，如针对TCP/IP协议自身的基本攻击（PingOfdeath等），这些攻击的防御方法已经很成熟了，产品都已经正确实现；最难处理的是针对指定服务的拒绝服务（DOS）攻击。本专利技术中，所述输入接口和所述输出接口均设置有抗DOS攻击模块，其过程如下。本专利技术的的DOS攻击就是对IKE密钥协商的攻击，通过发送大量的虚假协商请求，容易导致CPU/内存耗尽，从而达到攻击目的。“国密IPSEC-VPN技术规范”并没有这方面的防护要求，由此，产品引入标准IPSEC(RFC4306IKEv2)的相关防御技术：以无资源消耗的方式确认源IP地址存在、密钥协商包的“COOKIE”符合指定生成规则，创建足够大的散列查找表等。通信过程描述如下：1、在产品已创建超过5万个VPN连接后，若再接收到新的VPN连接请求，主站不马上分配资源创建连接，只返回一个带COOKIE通知载荷的数据包,通知载荷带有一个由本方计算生成的Cookie。计算公式为：Cookie=HASH(right_IP|icookie|secret)“密钥”secret为一个随机数，周期变化，防止黑客破解。2、发起方收到返回的通知载荷后，重新发送新的VPN连接请求，这个新的请求时根据收到的COOKIE通知载荷重新组包的，并在IKE消息头部后复制响应方生成的COOKIE通知载荷，以表明已收到该通知，自身真实存在。3、主站网关(响应方)再次收到重新发送来的VPN连接建立请求时，判断是否有COOKIE通知载荷，并计算该载荷的Cookie是否是自身生成的，由于该Cookie由本方使用“密钥”计算生成，第三方无法生成，可确定连接对方真实存在，并创建VPN连接。若Cookie不是自身生成的，则直接丢弃。本专利技术采用密钥安本文档来自技高网...

【技术保护点】
1.一种电力专用加密通信安全模块，其特征在于：该安全模块包括采用SOC架构的安全加密CPU（1），所述安全加密CPU（1）通过总线及串口资源扩展有若干接口，若干所述接口包括但不限于与外部电源连接的电源接口（2）、外接存储设备的存储接口（3）、输入接口及输出接口，所述输入接口为串口或网络接口，所述输出接口为网络接口或GPRS接口，所述网络接口和/或所述GPRS接口设置有网络隔离变压器，所述串口设置有带隔离的RS232转换芯片，所述电源接口设置有EMC电路及防反接电路，所述输入接口和所述输出接口均设置有抗DOS攻击模块。

【技术特征摘要】
1.一种电力专用加密通信安全模块，其特征在于：该安全模块包括采用SOC架构的安全加密CPU（1），所述安全加密CPU（1）通过总线及串口资源扩展有若干接口，若干所述接口包括但不限于与外部电源连接的电源接口（2）、外接存储设备的存储接口（3）、输入接口及输出接口，所述输入接口为串口或网络接口，所述输出接口为网络接口或GPRS接口，所述网络接口和/或所述GPRS接口设置有网络隔离变压器，所述串口设置有带隔离的RS232转换芯片，所述电源接口设置有EMC电路及防反接电路，所述输入接口和所述输出接口均设置有抗DOS攻击模块。2.根据权利要求1所述的电力专用加密通信安全模块，其特征在于：所述电力专用加密通信安全模块所产生的密匙全部封装于所述安全加密CPU（1）内。3.根据权利要求1所述的电力...

【专利技术属性】
技术研发人员：赵明，陈飞，蒋亚坤，赵川，王国平，丁士明，陈敏超，
申请(专利权)人：云南电网有限责任公司，珠海市鸿瑞信息技术股份有限公司，
类型：发明
国别省市：云南,53