一种电力系统网络安全通信方法技术方案

本发明专利技术公开一种电力系统网络安全通信方法，涉及电力系统网络安全通信技术领域

【技术实现步骤摘要】
一种电力系统网络安全通信方法


[0001]本专利技术涉及电力系统网络安全通信
，特别是涉及一种电力系统网络安全通信方法
。

技术介绍

[0002]电力系统作为现代社会不可或缺的基础设施，其稳定运行和安全性至关重要
。
随着信息技术的快速发展和智能化的推进，电力系统逐渐向数字化
、
自动化方向发展，网络通信在电力系统中的重要性日益突显
。
然而，与通信技术的进步相比，电力系统网络安全防护技术的发展滞后，导致电力系统面临越来越严重的网络安全威胁
。
[0003]目前电力系统网络安全防护面临诸多挑战
。
传统的通信协议如
Modbus
通信协议，由于其简单和开放性，容易受到未经授权的访问
、
数据截取和篡改
。
电力系统中广泛使用的通信协议缺乏足够的安全措施，无法满足现代网络环境下对通信数据机密性
、
完整性和身份认证的要求
。
攻击者可以通过网络攻击手段，入侵电力系统网络，窃取敏感信息
、
破坏控制指令，造成重大的安全事故和经济损失
。
[0004]为了应对日益严峻的电力系统网络安全威胁，学术界和工业界都在积极研究和实践电力系统网络安全防护技术
。
现有的解决方案主要包括基于网络防火墙的安全策略
、
入侵检测系统
(IDS)、
虚拟专用网络
(VPN)
等
。
然而，这些现有技术在保护电力系统网络安全方面仍然存在一些局限性
。
防火墙虽然可以对网络流量进行监控和控制，但无法深入分析通信数据内容
。IDS
虽然可以检测异常流量和攻击行为，但对于新型的未知攻击可能无法及时识别
。
而
VPN
虽然可以提供加密隧道，但对于
Modbus
等通信协议的特殊需求并未专门优化
。
[0005]因此，迫切需要一种新型的电力系统网络安全通信方法，为电力系统网络通信的安全保护开辟一条创新的道路，为电力系统的稳定运行和安全发展做出积极贡献
。
该方法应综合考虑电力系统通信的全面安全需求
。
其次，该方法应当能够有效地解决
Modbus
通信协议在网络安全方面的局限性，并对通信数据进行全面保护
。
同时，该方法应具有灵活性和可扩展性，适应未来电力系统网络的快速发展和技术升级
。

技术实现思路

[0006]本专利技术的目的是提供一种电力系统网络安全通信方法，以保障电力系统通信的安全性
。
[0007]为实现上述目的，本专利技术提供了如下方案：
[0008]一种电力系统网络安全通信方法，所述电力系统网络安全通信方法基于
Modbus
通信协议，在
Modbus
通信数据包中引入安全认证头部和安全数据字段；所述电力系统网络安全通信方法包括：
[0009]主站与从站基于安全认证头部进行身份认证验证；所述主站为电力系统中的控制中心或监控中心；所述从站为电力系统中的设备或节点；
[0010]若身份认证验证失败，主站与从站拒绝通信，并采取安全异常处理措施；
[0011]若身份认证验证成功，主站与从站进行安全协商过程，确定密钥；所述密钥包括：共享密钥
、
主站的私钥和公钥以及从站的私钥和公钥；其中，主站与从站分别拥有共享密钥
、
自己的私钥和对方的公钥；
[0012]主站与从站基于所述密钥和安全数据字段进行数据加密传输和数据完整性验证
。
[0013]可选地，主站与从站基于所述密钥和安全数据字段进行数据加密传输和数据完整性验证，具体包括：
[0014]主站采用主站的私钥对通信数据进行签名，得到数字签名，采用从站的公钥或共享密钥对通信数据进行加密，得到密文数据，并将密文数据存放在安全数据字段中与数字签名打包发送给从站；
[0015]从站将密文数据从安全数据字段中取出，并采用从站的私钥或共享密钥对密文数据进行解密，得到通信数据，采用主站的公钥进行数字签名验证；
[0016]若数字签名验证失败，表示通信数据已被篡改或伪造，从站拒绝接收到的通信数据并采取安全异常处理措施；
[0017]若数字签名验证成功，表示通信数据的完整性和来源可信，从站继续处理接收到的通信数据
。
[0018]可选地，主站采用共享密钥，基于
AES
‑
256
对称加密算法对通信数据进行加密，得到密文数据
。
[0019]可选地，主站基于
SHA
‑
256
加密算法对通信数据进行加密，得到哈希值，并采用主站的私钥，基于
ECDSA
椭圆曲线数字签名算法对哈希值进行加密，得到数字签名
。
[0020]可选地，所述电力系统网络安全通信方法还包括：
[0021]采用硬件安全模块进行密钥安全管理；所述密钥安全管理包括：安全物理保护
、
安全启动与认证
、
私钥存储与管理
、
安全操作和访问控制以及密钥安全审计
。
[0022]可选地，所述电力系统网络安全通信方法还包括：
[0023]对主站与从站的通信过程进行安全日志记录；所述安全日志记录包括：通信活动记录
、
安全协商记录
、
认证信息记录
、
异常事件记录
、
日志保护以及日志安全审计
。
[0024]可选地，所述电力系统网络安全通信方法还包括：
[0025]对主站与从站的通信过程进行协议优化；所述协议优化包括：通信带宽优化
、
实时性优化
、
分级认证与授权以及分布式通信优化
。
[0026]可选地，所述安全认证头部包括：设备类型
、
设备
ID、
时间戳
、
数字证书和安全密钥标识
。
[0027]可选地，所述安全异常处理措施包括：拒绝通信
、
设备隔离
、
权限限制
、
事件告警
、
安全恢复程序和安全策略自进化
。
[0028]根据本专利技术提供的具体实施例，本专利技术公开了以下技术效果：
[0029]本专利技术提供的电力系统网络安全通信方法基于
Modbus
通信协议，在
Modbus
通信数据包中引入安全认证头部和安全数据字段
。
其中，安全认证头部用于携带设备的数字证书和安全密钥标识，实现通信前的身份认证
。
安全本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种电力系统网络安全通信方法，其特征在于，所述电力系统网络安全通信方法基于
Modbus
通信协议，在
Modbus
通信数据包中引入安全认证头部和安全数据字段；所述电力系统网络安全通信方法包括：主站与从站基于安全认证头部进行身份认证验证；所述主站为电力系统中的控制中心或监控中心；所述从站为电力系统中的设备或节点；若身份认证验证失败，主站与从站拒绝通信，并采取安全异常处理措施；若身份认证验证成功，主站与从站进行安全协商过程，确定密钥；所述密钥包括：共享密钥
、
主站的私钥和公钥以及从站的私钥和公钥；其中，主站与从站分别拥有共享密钥
、
自己的私钥和对方的公钥；主站与从站基于所述密钥和安全数据字段进行数据加密传输和数据完整性验证
。2.
根据权利要求1所述的电力系统网络安全通信方法，其特征在于，主站与从站基于所述密钥和安全数据字段进行数据加密传输和数据完整性验证，具体包括：主站采用主站的私钥对通信数据进行签名，得到数字签名，采用从站的公钥或共享密钥对通信数据进行加密，得到密文数据，并将密文数据存放在安全数据字段中与数字签名打包发送给从站；从站将密文数据从安全数据字段中取出，并采用从站的私钥或共享密钥对密文数据进行解密，得到通信数据，采用主站的公钥进行数字签名验证；若数字签名验证失败，表示通信数据已被篡改或伪造，从站拒绝接收到的通信数据并采取安全异常处理措施；若数字签名验证成功，表示通信数据的完整性和来源可信，从站继续处理接收到的通信数据
。3.
根据权利要求2所述的电力系统网络安全通信方法，其特征在于，主站采用共享密钥，基于
AES
‑
256
对称加密算法对通信数据进行加密，得到密文数据
。4.
根据权利要求2所述的电力系统网络安全通信方法，其特征在于，主站基于
SHA
‑
256<...

【专利技术属性】
技术研发人员：杨祎巍，李攀登，梁志宏，李杨，赵佳宁，洪超，张宇南，关泽武，冯海瑜，
申请(专利权)人：南方电网科学研究院有限责任公司，
类型：发明
国别省市：