技術領域

本發明涉及一種廣域保護系統數據通信網絡實時加密的方法及裝置。屬于電力通信技術領域。

背景技術

廣域保護系統是指將緊密關聯的若干變電站作為一個區域，區域內的各保護裝置通過光纖互聯，通過信息共享，根據網絡拓撲結構，快速定位故障點，對區域電網進行保護與控制。

廣域保護控制定義為依賴電力系統多點的信息,對故障進行快速、可靠、精確的切除,同時分析故障切除對系統安全穩定運行的影響,并采取相應的控制措施,可提高輸電線可用容量或系統可靠性,同時實現繼電保護和自動控制功能的系統。

廣域保護系統可以分為二類:一類是利用廣域信息,實現安全監視、控制、穩定邊界計算及狀態估計等功能,其側重點在廣域信息的利用和安全功能的實現。另一類是利用廣域信息,完成繼電保護功能，在故障條件下實時獲得故障線路的電流,根據電網運行方式自動計算實時分支系數和距離保護的整定值。廣域保護控制系統定位于常規保護及SCADA/EMS之間的系統保護。

廣域保護系統安全性要求高，既要對通信數據報文進行安全防護，又要對邏輯通道進行安全防護。

廣域保護系統數據通信網絡常用技術為以太網技術、PTN技術裸光纖組網。由于都是基于以太報文交互，通過普通數據儀表檢測裸光纖可以抓取到鏈路上相關報文(包括業務報文以及相關協議報文)，并能解析出MAC地址、VLAN號、Tunnel號、PW號等基本信息，如果對這些報文進行修改，例如修改VLAN號，會造成業務隔離失效，不正確的數據報文串入其他信道，干擾廣域保護裝置的正常工作。特別如果惡意攻擊者篡改報文數據內容，可以影響廣域保護系統的正常通信數據，造成電網誤動、誤控制，造成電網事故。因此，需要對廣域保護系統數據通信網絡實現加密。

現有技術中，一般是采用對稱加密算法對廣域保護系統數據通信網絡進行加密，其特點是算法公開、計算量小、加密速度快、加密效率高。但存在如下缺點：(1)收發雙方都使用同樣的固定鑰匙，安全性得不到保證。(2)如何管理分發動態秘鑰是加密的難點，對于高速通信接口來說，實施加密算法難度較大。

發明內容

本發明的目的之一，是為了解決現有技術固定密鑰不安全及管理分發動態秘鑰的問題，提供一種廣域保護系統數據通信網絡實時加密的方法。所述廣域保護系統數據通信網絡實時加密方法能夠對廣域保護系統數據通信網絡物理鏈路進行實時加密，包括加密和解密功能單元，起到保護業務報文數據和通信邏輯通道的作用。

本發明的目的之二，是為了提供一種廣域保護系統數據通信網絡實時加密的裝置。

本發明的目的之一可以通過采取如下技術方案達到：

一種廣域保護系統數據通信網絡實時加密的方法，其特征在于：

1)設置發送通信設備A、接收通信設備B，發送通信設備A具有實時加密功能及結構，接收通信設備B具有實時解密功能及結構；

2)發送通信設備A中設有實時加密單元和數據通信接口單元，用于數據網絡設備物理鏈路發送數據的加密，提供廣域保護系統通信數據報文與邏輯通道的信息隱藏，對發送數據加密；對于千兆通信端口，采用DES加密算法，算法秘鑰長度64位，其中有效位為56位；發送通信設備A采用輸入的時間同步信號實時換算成56位秘鑰，對通信鏈路數據進行加密；或者對于萬兆通信端口考慮到加密計算量大，采用反碼加密，即原數據“0”變成“1”，原數據“1”變成“0”；

3)接收通信設備B中設有實時解密單元和數據通信接口單元，用于數據網絡設備物理鏈路接收數據的解密，提供廣域保護系統通信數據報文與邏輯通道的信息還原，對接由數據解密，采用DES解密算法，通信設備采用輸入的時間同步信號實時換算成56位秘鑰，對通信鏈路數據進行解密，還原明文數據；或者采用反碼解密，即原數據“0”變成“1”，原數據“1”變成“0”，還原明文數據。

本發明的目的之一還可以通過采取如下技術方案達到：

進一步地，對于千兆通信端口采用DES加密算法，算法秘鑰長度64位，其中有效位為56位，通信設備采用輸入的時間同步信號實時換算成56位秘鑰，對通信鏈路數據進行加密，加密秘鑰根據時間信號不斷變化而變化，使得加密秘鑰不斷變化，使外界利用遍歷嘗試難以攻破。

進一步地，對于萬兆通信端口考慮到加密計算量大，采用反碼加密，即原數據“0”變成“1”，原數據“1”變成“0”；由于數據反碼，外界采用普通抓包設備無法識別正常的數據幀格式，無法讀出報文。

本發明的目的之二可以通過如下技術方案達到：