本发明属于电力控制系统技术领域,特别涉及一种差动保护组内差动单元之间加密密钥协同系统及方法。
背景技术:
差动保护是输入ct(电流互感器)的两端电流矢量差,当达到设定的动作值时启动动作元件。保护范围在输入ct的两端之间的设备(可以是线路、发电机、电动机、变压器等电气设备)。
差动保护元器组之间通常在125us之间进行一次数据包传递,每次传递250字节的数据帧。同一差动保护单元组内多个差动元件之间通过广播方式传播,通常采用光纤来满足业务数据传输。
差动元件组之间的数据同步,保证电力控制系统能够实时感知电力系统的运行状态,并实时对电力线路进行动作,保障电力系统的安全、稳定运行。
差动元件组内差动元件信息传统通常采用明文方式进行传送,存在一定的安全风险。
技术实现要素:
针对差动保护组信息传递存在的安全风险,本发明提出了一种差动保护组内差动单元之间加密密钥协同系统及方法,采用基于密码方式在差动保护组内差动单元之间进行加密信息传输。
为解决上述技术问题,本发明采用以下的技术方案:
本发明提供了一种差动保护组内差动单元之间加密密钥协同系统,包括:
密钥协同服务模块,用于生成密钥协同信息;
以及多个差动密码模块,属于同一个差动保护组,每个差动密码模块包括随机数据源池和密钥处理模块,所述随机数据源池包含用于生成会话密钥的随机数,所述密钥处理模块用于依据密钥协同服务模块提供的密钥协同信息生成会话密钥,并更新随机数据源池。
进一步地,该系统还包括密钥管理中心,所述密钥管理中心用于获取密钥材料的同步信息,并返回密钥协同服务模块。
本发明还提供了一种上述的差动保护组内差动单元之间加密密钥协同系统的协同方法,该方法包含以下步骤:
差动密码模块向密钥协同服务模块发出密钥协同请求;
密钥协同服务模块向密钥管理中心发送获取密钥字典请求;
密钥管理中心获取密钥材料的同步信息,并返回密钥协同服务模块;
密钥协同服务模块生成密钥协同信息,并将密钥协同信息发送给差动密码模块以及同一个差动保护组的其它差动密码模块;
每个差动密码模块的密钥处理模块依据密钥协同信息计算会话密钥,并更新随机数据源池;
多个差动密码模块之间依据密码算法和会话密钥进行业务通讯。
进一步地,所述密钥处理模块与密钥协同服务模块采用在线或者离线方式传输密钥协同信息。
进一步地,所述密钥协同信息包括随机数据源池内随机数的唯一标识和单项函数唯一标识。
进一步地,所述密钥协同信息还包括随机数以及单项函数生成机制、会话密钥逾期方式和会话密钥逾期阈值确定性标识。
进一步地,所述密钥协同请求包含差动密码模块的身份信息,用于密钥管理中心获取密钥材料的同步信息。
进一步地,所述密钥材料的同步信息包括随机数据源池随机数数量阈值、单项函数数量阈值和差动密码模块关联信息。
进一步地,所述密钥处理模块依据密钥协同信息计算会话密钥,并更新随机数据源池包括:
依据随机数的唯一标识从随机数据源池内获取随机数,通过单项函数唯一标识获取单项函数,依据单项函数和随机数计算会话密钥;将会话密钥替换随机数据源池内的随机数。
进一步地,所述密钥处理模块依据会话密钥逾期方式对会话密钥调用次数或加密数据量进行累计,当累计次数超过密钥逾期阈值时,进行密钥协商。
与现有技术相比,本发明具有以下优点:
针对目前差动保护组内差动元件信息传递采用明文方式存在的安全风险,本发明提出了一种差动保护组内差动单元之间加密密钥协同系统,该系统包括密钥协同服务模块和多个差动密码模块,其中密钥协同服务模块为差动单元提供一种通讯机制,实现差动单元双方、多方之间的密钥信息同步,依据密钥协同信息计算出的会话密钥实现了差动单元间的加密传输,保证数据传输的安全性,防止数据泄露。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的差动保护组内差动单元之间加密密钥协同系统的结构框图;
图2是本发明实施例的差动保护组内差动单元之间加密密钥协同方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例的差动保护组内差动单元之间加密密钥协同系统的结构框图,该系统包括密钥协同服务模块和多个差动密码模块;所述密钥协同服务模块用于生成密钥协同信息,密钥协同服务模块为差动单元提供一种通讯机制,实现差动单元双方、多方之间的密钥信息同步;所述多个差动密码模块属于同一个差动保护组,每个差动密码模块包括随机数据源池和密钥处理模块,随机数据源池包含用于生成会话密钥的随机数,密钥处理模块用于依据密钥协同服务模块提供的密钥协同信息生成会话密钥,并更新随机数据源池,保证随机数据源池不会发生熵减。
该系统还包括密钥管理中心,密钥管理中心用于获取密钥材料的同步数据,该同步数据包括随机数据源池随机数数量阈值、单项函数数量阈值和差动密码模块关联信息等,并返回密钥协同服务模块。
请参考图2,图2为本发明实施例的差动保护组内差动单元之间加密密钥协同方法的流程图,以两个差动单元之间的加密信息传输为例,差动密码模块a和差动密码模块b属于同一个差动保护组,具有相同的随机数据源池和密码处理模块,该方法包含以下步骤:
步骤s21,差动密码模块b向密钥协同服务模块发出密钥协同请求。
其中密钥协同请求包含差动密码模块的身份信息(id身份),用于密钥管理中心获取密钥材料的同步信息(随机数据源池随机数数量阈值、单项函数数量阈值和差动密码模块关联信息等)。
步骤s22,密钥协同服务模块向密钥管理中心(kmc)发送获取密钥字典请求。
步骤s23,密钥管理中心(kmc)依据差动密码模块b的id身份,获取随机数据源池随机数数量阈值、单项函数数量阈值和差动密码模块关联信息等相关信息,并返回密钥协同服务模块,其中差动密码模块关联信息用于返回给同组差动密码模块的密钥协同信息。
步骤s24,密钥协同服务模块依据自身随机算法,生成密钥协同信息。
密钥协同信息包含但不限定以下信息:随机数据源池内随机数的唯一标识,可以但不限定随机数序号id;单项函数唯一标识,可以但不限定单项函数序号id或者单项函数名称。可选的信息,密钥生成其他材料信息,可以是随机数以及单项函数生成机制,可以但不限定为单项函数组合方式;可选的信息,会话密钥逾期方式,可以但不限定是时间、次数;可选的信息,会话密钥逾期阈值确定性标识,可以但不限定是数字。
步骤s25,密钥协同服务模块将密钥协同信息发送给差动密码模块b的密钥处理模块。
步骤s26,密钥协同服务模块将密钥协同信息发送给差动密码模块b的同组差动密码模块a的密钥处理模块。
密钥处理模块与密钥协同服务模块通讯方式不限定,可采用在线或者离线方式传输密钥协同信息。
步骤s27,差动密码模块b的密钥处理模块依据密钥协同信息,选取单项函数和随机数,计算会话密钥,并更新随机数据源池。
步骤s28,差动密码模块a的密钥处理模块依据密钥协同信息,选取单项函数和随机数,计算会话密钥,并更新随机数据源池。
依据随机数的唯一标识(id)从随机数据源池内获取随机数ran[id],通过单项函数唯一标识(id)获取单项函数f[id]。依据获取的单项函数和随机数,计算会话密钥。将会话密钥替换随机数据源池内ran[id]的随机数,减少随机数据源池的熵减。
步骤s29,差动密码模块b与差动密码模块a进行依据密钥材料约定的密码算法和生成的会话密钥进行业务通讯。
作为优选的,差动密码模块调用密钥处理模块,密钥处理模块依据会话密钥逾期方式对会话密钥调用次数或加密数据量大小进行累计,当累计次数超过密钥逾期阈值时,进行密钥协商。
当然,密钥处理模块可随时发起密钥同步,进行会话密钥更新。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
1.一种差动保护组内差动单元之间加密密钥协同系统,其特征在于,包括:
密钥协同服务模块,用于生成密钥协同信息;
以及多个差动密码模块,属于同一个差动保护组,每个差动密码模块包括随机数据源池和密钥处理模块,所述随机数据源池包含用于生成会话密钥的随机数,所述密钥处理模块用于依据密钥协同服务模块提供的密钥协同信息生成会话密钥,并更新随机数据源池。
2.根据权利要求1所述的差动保护组内差动单元之间加密密钥协同系统,其特征在于,该系统还包括密钥管理中心,所述密钥管理中心用于获取密钥材料的同步信息,并返回密钥协同服务模块。
3.一种权利要求1或者2所述的差动保护组内差动单元之间加密密钥协同系统的协同方法,其特征在于,该方法包含以下步骤:
差动密码模块向密钥协同服务模块发出密钥协同请求;
密钥协同服务模块向密钥管理中心发送获取密钥字典请求;
密钥管理中心获取密钥材料的同步信息,并返回密钥协同服务模块;
密钥协同服务模块生成密钥协同信息,并将密钥协同信息发送给差动密码模块以及同一个差动保护组的其它差动密码模块;
每个差动密码模块的密钥处理模块依据密钥协同信息计算会话密钥,并更新随机数据源池;
多个差动密码模块之间依据密码算法和会话密钥进行业务通讯。
4.根据权利要求3所述的差动保护组内差动单元之间加密密钥协同方法,其特征在于,所述密钥处理模块与密钥协同服务模块采用在线或者离线方式传输密钥协同信息。
5.根据权利要求3所述的差动保护组内差动单元之间加密密钥协同方法,其特征在于,所述密钥协同信息包括随机数据源池内随机数的唯一标识和单项函数唯一标识。
6.根据权利要求5所述的差动保护组内差动单元之间加密密钥协同方法,其特征在于,所述密钥协同信息还包括随机数以及单项函数生成机制、会话密钥逾期方式和会话密钥逾期阈值确定性标识。
7.根据权利要求3所述的差动保护组内差动单元之间加密密钥协同方法,其特征在于,所述密钥协同请求包含差动密码模块的身份信息,用于密钥管理中心获取密钥材料的同步信息。
8.根据权利要求7所述的差动保护组内差动单元之间加密密钥协同方法,其特征在于,所述密钥材料的同步信息包括随机数据源池随机数数量阈值、单项函数数量阈值和差动密码模块关联信息。
9.根据权利要求5所述的差动保护组内差动单元之间加密密钥协同方法,其特征在于,所述密钥处理模块依据密钥协同信息计算会话密钥,并更新随机数据源池包括:
依据随机数的唯一标识从随机数据源池内获取随机数,通过单项函数唯一标识获取单项函数,依据单项函数和随机数计算会话密钥;将会话密钥替换随机数据源池内的随机数。
10.根据权利要求6所述的差动保护组内差动单元之间加密密钥协同方法,其特征在于,所述密钥处理模块依据会话密钥逾期方式对会话密钥调用次数或加密数据量进行累计,当累计次数超过密钥逾期阈值时,进行密钥协商。
技术总结