一种智能变电站密钥管理方法

摘要

本发明公开了一种智能变电站密钥管理方法，其以变电站为核心，采用控制中心‐变电站‐IED三级分层的结构，包括：S1、变电站和IED协调完成站内通信的会话密钥和IED身份密钥的生成、分配、更新、储存和销毁；S2、控制中心与变电站协调完成双方通信的会话密钥和变电站身份密钥的生成、分配、更新、储存和销毁；S3、控制中心、变电站和IED三方协调完成站间通信的会话密钥的生成、分配、更新、储存和销毁。本发明针对变电站信息关联密切程度，采用分层的密钥分配方法，在保证符合电力信息系统密钥安全性的前提下，优化电力通信系统模型，减少控制中心、变电站和智能电子设备在密钥管理中所需的通信和运算负荷。

主权项

一种智能变电站密钥管理方法，其特征在于：以变电站为核心，采用控制中心‐变电站‐IED三级分层的结构，包括：S1、变电站和IED协调完成站内通信的会话密钥和IED身份密钥的生成、分配、更新、储存和销毁；所述身份密钥的生成和分配：当IED投入变电站运行，变电站参与SCL文件配置，人工分配一个临时密钥，临时密钥只有变电站和该IED获知，该密钥受严格的时间约束，在有限的约定时间内有效且在第一次用完后便失效；IED在获得临时密钥后，向变电站发送用临时密钥加密的报文，报文中包含该IED身份和随机数N，随机数起到保证此次通信的唯一性防止报文重攻击的作用；变电站收到报文后，向IED发送用临时密钥加密的报文，报文中包含IED身份、随机数N和与该IED唯一对应的身份密钥Key_ID；IED用临时密钥解密报文获得身份密钥，向变电站发送用身份密钥加密的报文，用于向变电站确认已收到身份密钥，报文中包含有该IED身份、随机数N和确认信息；变电站收到报文确认后销毁该临时密钥并启用身份密钥，整个身份密钥的分配过程完成；会话密钥的生成和分配：变电站向同一组播内的IED发送用各自身份密钥加密的报文，报文中包含有随机数N和会话密钥；IED用身份密钥解密报文获得会话密钥，向变电站发送用身份密钥加密的确认报文，报文中包含有该IED的身份、随机数N和确认信息；变电站确认各IED发送的确认获得会话密钥报文后，向该组内IED用组播方式发送启用会话密钥的命令，至此会话密钥分配过程完成；S2、控制中心与变电站协调完成双方通信的会话密钥和变电站身份密钥的生成、分配、更新、储存和销毁；身份密钥的生成和分配：视变电站为一个IED，当变电站投入运行，控制中心参与SCL文件配置，人工为变电站分配一个临时密钥；变电站在获得临时密钥后，向控制中心发送用临时密钥加密的报文，报文中包含该变电站设备身份和随机数N；控制中心收到报文后，向变电站发送用临时密钥加密的报文，报文中包含变电站设备身份、随机数N和与该变电站唯一对应的身份密钥Key_{ID_S}，变电站用临时密钥解密报文获得身份密钥，向控制中心发送用身份密钥加密的报文，用于向控制中心确认已收到身份密钥，报文中包含有该变电站设备身份、随机数N和确认信息；控制中心收到报文确认后销毁该临时密钥，整个身份密钥的分配过程完成；会话密钥的生成和分配：控制中心向变电站发送用各自身份密钥加密的报文，报文中包含有随机数N和会话密钥；变电站用身份密钥解密报文获得会话密钥，向控制中心发送用身份密钥加密的确认报文，报文中包含有该变电站的身份、随机数N和确认信息；控制中心确认收到各变电站发送的确认报文后，向变电站发送启用会话密钥的命令，至此会话密钥分配过程完成；S3、控制中心、变电站和IED三方协调完成站间通信的会话密钥的生成、分配、更新、储存和销毁；当变电站完成为IED分配身份密钥后，变电站向控制中心发送获取参与站间通信IED的跨站会话密钥的请求报文，该报文包含该IED的ID和随机数N，控制中心收到请求后向相关的变电站发送包含该IED的跨站会话密钥和随机数N的加密报文；变电站解密该报文获得站内参与站间通信IED的跨站会话密钥，向参与站间通信的IED发送用身份密钥加密的报文，报文包含该IED的跨站会话密钥和随机数N；相关IED用身份密钥解密获得跨站会话密钥后，便向变电站发送用跨站会话密钥加密的报文，告知其已获得跨站会话密钥；变电站确认相关IED获得跨站会话密钥后向控制中心发送用跨站会话密钥加密的报文告知相关IED获得跨站会话密钥的确认信息；最后控制中心向变电站发送启用跨站会话密钥的命令，变电站收到后向相关IED发送启用跨站会话密钥的命令，至此站间通信的跨站会话密钥分配过程完成，当IED涉及多个不同的跨站信息交换时，也采用相同的方法。