一种广域保护系统数据通信网络实时加密的装置制造方法

一种广域保护系统数据通信网络实时加密的装置制造方法
【专利摘要】本实用新型涉及一种广域保护系统数据通信网络实时加密的装置，其特征在于：包括发送通信设备A和接收通信设备B；发送通信设备A内设有发送数据通信接口单元、实时加密单元和发送时间参数生成秘钥单元，接收通信设备B内设有接收数据通信接口单元、实时解密单元之一、实时解密单元之二和接收时间参数生成秘钥单元。本实用新型在发送通信设备中设有实时加密单元和数据通信接口单元，提供广域保护系统通信数据报文与逻辑通道的信息隐藏，采用DES加密算法或者采用反码加密对信息加密，具有加密秘钥根据时间信号不断变化而变化，使得加密秘钥不断变化，使外界利用遍历尝试难以攻破的有益效果，或者具有外界采用普通抓包设备无法识别正常的数据帧格式，无法读出报文的有益效果。
【专利说明】一种广域保护系统数据通信网络实时加密的装置

【技术领域】
[0001]本实用新型涉及一种广域保护系统数据通信网络实时加密的装置。属于电力通信【技术领域】。

【背景技术】
[0002]广域保护系统是指将紧密关联的若干变电站作为一个区域，区域内的各保护装置通过光纤互联，通过信息共享，根据网络拓扑结构，快速定位故障点，对区域电网进行保护与控制。
[0003]广域保护控制定义为依赖电力系统多点的信息，对故障进行快速、可靠、精确的切除，同时分析故障切除对系统安全稳定运行的影响，并采取相应的控制措施，可提高输电线可用容量或系统可靠性，同时实现继电保护和自动控制功能的系统。
[0004]广域保护系统可以分为二类:一类是利用广域信息，实现安全监视、控制、稳定边界计算及状态估计等功能，其侧重点在广域信息的利用和安全功能的实现。另一类是利用广域信息，完成继电保护功能，在故障条件下实时获得故障线路的电流，根据电网运行方式自动计算实时分支系数和距离保护的整定值。广域保护控制系统定位于常规保护及SCADA/EMS之间的系统保护。
[0005]广域保护系统安全性要求高，既要对通信数据报文进行安全防护，又要对逻辑通道进行安全防护。
[0006]广域保护系统数据通信网络常用技术为以太网技术、PTN技术裸光纤组网。由于都是基于以太报文交互，通过普通数据仪表检测裸光纤可以抓取到链路上相关报文(包括业务报文以及相关协议报文)，并能解析出MAC地址、VLAN号、Tunnel号、Pff号等基本信息，如果对这些报文进行修改，例如修改VLAN号，会造成业务隔离失效，不正确的数据报文串入其他信道，干扰广域保护装置的正常工作。特别如果恶意攻击者篡改报文数据内容，可以影响广域保护系统的正常通信数据，造成电网误动、误控制，造成电网事故。因此，需要对广域保护系统数据通信网络实现加密。
[0007]现有技术中，一般是采用对称加密算法对广域保护系统数据通信网络进行加密，其特点是算法公开、计算量小、加密速度快、加密效率高。但存在如下缺点:(I)收发双方都使用同样的固定钥匙，安全性得不到保证。(2)如何管理分发动态秘钥是加密的难点，对于高速通信接口来说，实施加密算法难度较大。
实用新型内容
[0008]本实用新型的目的，是为了解决现有技术固定密钥不安全及管理分发动态秘钥的问题，提供一种广域保护系统数据通信网络实时加密的装置。所述广域保护系统数据通信网络实时加密装置能够对广域保护系统数据通信网络物理链路进行实时加密，包括加密和解密功能单元，起到保护业务报文数据和通信逻辑通道的作用。
[0009]本实用新型的目的可以通过如下技术方案达到:
[0010]一种广域保护系统数据通信网络实时加密的装置，其结构特点在于:
[0011 ] I)包括发送通信设备A和接收通信设备B ；
[0012]2)发送通信设备A内设有发送数据通信接口单元、实时加密单元和发送时间参数生成秘钥单元，发送时间参数生成秘钥单元的信号输入端为时间同步信号输入端，发送时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时加密单元的加密信号输入端，发送数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元根据加密秘钥对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端；
[0013]3)接收通信设备B内设有接收数据通信接口单元、实时解密单元之一、实时解密单元之二和接收时间参数生成秘钥单元，接收时间参数生成秘钥单元的信号输入端为时间同步信号输入端，接收时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时解密单元之一和实时解密单元之二的加密信号输入端，接收数据通信接口单元的输入端连接实时解密单元的输出端，实时解密单元之一根据加密秘钥对信息解密后，从输出端之一输出正常解密数据输送到接收数据通信接口单元的输入端、从输出端之二输出非正常解密数据至输送到实时解密单元之二的输入端，实时解密单元之二根据加密秘钥对不正常解密的加密信息解密后输送到接收数据通信接口单元的输入端。
[0014]本实用新型的目的还可以通过如下技术方案达到:
[0015]进一步地，发送通信设备A内设有发送数据通信接口单元和实时加密单元，发送数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端，形成对万兆通信数据加密；接收通信设备B内设有接收数据通信接口单元、实时解密单元，接收数据通信接口单元的输入端连接实时解密单元的输出端，实时解密单元对信息解密后，从输出端输出解密数据输送到接收数据通信接口单元的输入端，形成对万兆通信数据解密。
[0016]本实用新型具有如下突出的有益效果:
[0017]1、本实用新型由于在发送通信设备中设有实时加密单元和数据通信接口单元，用于数据网络设备物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏，采用DES加密算法或者采用反码加密对信息加密，具有加密秘钥根据时间信号不断变化而变化，使得加密秘钥不断变化，使外界利用遍历尝试难以攻破的有益效果，或者具有外界采用普通抓包设备无法识别正常的数据帧格式，无法读出报文的有益效果。
[0018]2、本实用新型涉及广域保护通信领域，特别是涉及专利内容包括广域保护系统数据通信设备通信接口实时加密功能、实时解密功能、网管配置功能，这些功能的组合共同完成了广域保护系统数据通信网络实时加密功能；本实用新型具有突出实时性特点，起到对通信链路加密作用；应用本实用新型实现了数据网络链路的加密，保障广域保护系统的通信数据安全。
[0019]3、本实用新型具有广域保护系统数据通信网络物理链路实时加密的特点，实现了数据网络链路的加密，保障广域保护系统的通信数据安全。

【专利附图】

【附图说明】
[0020]图1为本实用新型涉及的广域保护系统数据通信网络千兆实时链路加密装置的结构示意图。
[0021]图2为本实用新型涉及的广域保护系统数据通信网络千兆实时链路的时间参数生成密钥方框图。
[0022]图3为本实用新型涉及的广域保护系统数据通信网络千兆实时链路的实时加密方框图。
[0023]图4为本实用新型涉及的广域保护系统数据通信网络万兆实时链路加密装置的结构示意图。
[0024]图5为本实用新型涉及的广域保护系统数据通信网络万兆实时链路的实时加密方框图。
[0025]

【具体实施方式】
[0026]下面结合附图对本实用新型作进一步详细说明。
[0027]具体实施例1:
[0028]参照图1-图3，本实施例1包括发送通信设备A和接收通信设备B ;发送通信设备A内设有发送数据通信接口单元、实时加密单元和发送时间参数生成秘钥单元，发送时间参数生成秘钥单元的信号输入端为时间同步信号输入端，发送时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时加密单元的加密信号输入端，发送数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元根据加密秘钥对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端；接收通信设备B内设有接收数据通信接口单元、实时解密单元之一、实时解密单元之二和接收时间参数生成秘钥单元，接收时间参数生成秘钥单元的信号输入端为时间同步信号输入端，接收时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时解密单元之一和实时解密单元之二的加密信号输入端，接收数据通信接口单元的输入端连接实时解密单元的输出端，实时解密单元之一根据加密秘钥对信息解密后，从输出端之一输出正常解密数据输送到接收数据通信接口单元的输入端、从输出端之二输出非正常解密数据至输送到实时解密单元之二的输入端，实时解密单元之二根据加密秘钥对不正常解密的加密信息解密后输送到接收数据通信接口单元的输入端。
[0029]本实施例中:
[0030]参照图1，发送通信设备A中设有实时加密单元和数据通信接口单元，用于数据网络设备物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏；对发送数据加密，采用DES加密算法，算法秘钥长度64位，其中有效位为56位；发送通信设备A采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行加密；对于万兆通信端口考虑到加密计算量大，或者采用反码加密，即原数据“O”变成“ 1”，原数据“ I”变成“O”；
[0031]接收通信设备B中设有实时解密单元和数据通信接口单元，用于数据网络设备物理链路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原，对接由数据解密，采用DES解密算法，通信设备采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行解密，还原明文数据；或者采用反码解密，即原数据“O”变成“1”，原数据“ I”变成“O”，还原明文数据。
[0032]参照图2，时间参数生成密钥主要由硬件产生，当接收到时间同步信号后，在物理层将进行密钥处理。
[0033]参照图3，对于ETH通信端口采用DES解密算法，通信设备采用输入的时间同步信号实时换算成56位秘钥，对通信链路数据进行解密，还原明文数据。由于时间信号不断变化，使得解密秘钥不断变化，并且与加密秘钥一致。在时间参数跳变边沿的秘钥，如解密不通过，需要利用相邻时间参数再次解密，避免由于时间存在误差双方秘钥不一致。
[0034]发送通信设备A和接收通信设备B为常规技术的通信设备和接收通信设备。发送通信设备A内设置的发送数据通信接口单元、实时加密单元和发送时间参数生成秘钥单元具有常规技术电路结构，其连接方式及使用方法为常规技术。接收通信设备B内设有的接收数据通信接口单元、实时解密单元之一、实时解密单元之二和接收时间参数生成秘钥单元具有常规技术电路结构，其连接方式及使用方法为常规技术。
[0035]具体实施例2:
[0036]参照图4-图5，本实施例2涉及的广域保护系统数据通信网络实时加密的装置，发送通信设备A内设有发送数据通信接口单元和实时加密单元，发送数据通信接口单元的输出端连接实时加密单元的输入端,实时加密单元对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端，形成对万兆通信数据加密；接收通信设备B内设有接收数据通信接口单元、实时解密单元，接收数据通信接口单元的输入端连接实时解密单元的输出端，实时解密单元对信息解密后，从输出端输出解密数据输送到接收数据通信接口单元的输入端，形成对万兆通信数据解密。
[0037]本实施例2对于万兆通信端口考虑到加密计算量大，采用反码加密，即原数据“O”变成“ I ”，原数据“ I ”变成“O”;由于数据反码，外界采用普通抓包设备无法识别正常的数据帧格式，无法读出报文。
[0038]参照图5，对于万兆链路，为了提高加密的效率，可以在PHY芯片和激光器之间增加一个取反的芯片，对发送和接收到的数据都进行按位取反，实现方案简单，实现效率高，对时延影响小。
[0039]本实用新型涉及的数据网络设备物理链路发送数据的加密，提供广域保护系统通信数据报文与逻辑通道的信息隐藏。
[0040]本实用新型涉及的通信设备接口解密功能单元与解密算法，用于数据网络设备物理链路接收数据的解密，提供广域保护系统通信数据报文与逻辑通道的信息还原。
[0041]以上所述实施例仅表达了本实用新型的几种实现方式，其描述较为具体和详细，但并不能因此而理解为对本实用新型专利范围的限制。
【权利要求】
1.一种广域保护系统数据通信网络实时加密的装置，其特征在于: 1)包括发送通信设备A和接收通信设备B； 2)发送通信设备A内设有发送数据通信接口单元、实时加密单元和发送时间参数生成秘钥单元，发送时间参数生成秘钥单元的信号输入端为时间同步信号输入端，发送时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时加密单元的加密信号输入端，发送数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元根据加密秘钥对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端； 3)接收通信设备B内设有接收数据通信接口单元、实时解密单元之一、实时解密单元之二和接收时间参数生成秘钥单元，接收时间参数生成秘钥单元的信号输入端为时间同步信号输入端，接收时间参数生成秘钥单元根据输入的时间同步信号产生加密秘钥输送到实时解密单元之一和实时解密单元之二的加密信号输入端，接收数据通信接口单元的输入端连接实时解密单元的输出端，实时解密单元之一根据加密秘钥对信息解密后，从输出端之一输出正常解密数据输送到接收数据通信接口单元的输入端、从输出端之二输出非正常解密数据至输送到实时解密单元之二的输入端，实时解密单元之二根据加密秘钥对不正常解密的加密信息解密后输送到接收数据通信接口单元的输入端。
2.根据权利要求1所述的一种广域保护系统数据通信网络实时加密的装置，其特征在于:发送通信设备A内设有发送数据通信接口单元和实时加密单元，发送数据通信接口单元的输出端连接实时加密单元的输入端，实时加密单元对信息加密后从输出端通过加密通信链路输送到接收通信设备B的输入端，形成对万兆通信数据加密；接收通信设备B内设有接收数据通信接口单元、实时解密单元，接收数据通信接口单元的输入端连接实时解密单元的输出端，实时解密单元对信息解密后，从输出端输出解密数据输送到接收数据通信接口单元的输入端，形成对万兆通信数据解密。
【文档编号】H04L9/32GK204119252SQ201420535486
【公开日】2015年1月21日 申请日期:2014年9月17日 优先权日:2014年9月17日
【发明者】黄盛 , 金鑫, 魏承志, 文安, 赵曼勇, 张思拓, 黄维芳, 杨颖安, 刘年, 卓越 申请人:中国能源建设集团广东省电力设计研究院, 中国南方电网有限责任公司