一种分布式光伏物联网网络安全管理方法及系统与流程

本发明涉及电力通信的，更具体地，涉及一种分布式光伏物联网网络安全管理方法及系统。

背景技术：

1、智能配用电网是智能电网运行的最后一个环节，同时也是一个关键的环节，而配用电通信网则是配用电网的重要组成部分，是建设智能电网的基础设施。配用电通信网连接终端电力用户、各类配电设备及用电设备等，是保障供电可靠性、提高电网运行效率和优质服务用户的关键环节。由于社会发展、历史渊源等原因，我国配电自动化发展程度相比发达国家明显偏低，在供电质量上与国际先进水平还存在一定的差距。有关调查显示，近五年95％以上的停电事故都是由于配电网故障未能及时解决引起的，由此造成的电力损耗几乎将近一半。因此，要实现建设＂坚强＂智能电网的目标，必须要高度重视对配用电网的建设，尤其是要注重对作为配用电网基础保障的配用电通信网的建设。

2、当前，信息技术在电力系统中应用已经取得了巨大的成就，基于网络的各种业务应用，如电力调度自动化、电量计量自动化、电力企业信息化、电力资产管理、配电自动化都日渐成熟，电力营销和电力市场业务也得到广泛的开展。电力业务与网络的紧密耦合必将带来严重的信息安全问题。应该说过去电力信息技术的发展主要致力于实现互联，未来电力信息技术的发展必然要侧重于安全防护。与其他领域相比，电力系统安全意识相对较强，同时在电力二次系统的安全防护方面做了很多的工作，采用了＂安全分区、网络专用、横向隔离、纵向加密＂的防护原则。信息通信网络在给电力行业带来各种优越性的同时，也为智能电网的运行安全带来诸多隐患。一方面，信息技术发展十分迅速，许多技术发展过程中遗留的安全漏洞并没有得到有效解决，甚至还有不少尚未发现的安全隐患，近年来发生的利用信息网络攻击工业系统的重大事件更是引发了广泛的关注和担忧；另一方面，信息网和电力网相互影响和作用的机理目前尚不明确，针对二者构成的相互依存复合网络脆弱性的恶意攻击很有可能造成大范围的连锁停电事故。因此，在智能电网的研究中，根据智能电网通信和控制系统独特的功能要求，设计基于智能电网保护控制系统的通信安全机制对于智能电网的发展有着积极的推动作用和现实意义。

3、随着配电自动化覆盖率的提升，配电台区将接入大量智能配电终端设备，由于分布式光伏设备厂家多、没有统一的信息模型，而且模型标准组织发布机构实施标准缺失以及对数据治理困难估计不足，使得在配网信息化系统建设和数据维护中存在诸多问题，难以实现信息的高效准确接入。

4、目前，配电台区通信条件较差，并且分布式光伏等设备的信息计算能力较低，相关维护成本较高，台区分布式光伏信息存在的潜在数据泄露风险一直难以解决，同时需要考虑到加密算法处理器占用率、算法运算时间、存储空间使用量、算法安全强度等性能指标，导致对物联网的网络安全管理困难。

技术实现思路

1、为解决现有技术中存在的不足，本发明提供一种分布式光伏物联网网络安全管理方法，能够解决现有技术中对于分布式光伏物联网网络安全管理困难的问题。

2、本发明采用如下的技术方案。

3、一种分布式光伏物联网网络安全管理方法，包括：

4、步骤一：分布式光伏信息接入技术；分析融合终端、台区可控资源设备即分布式光伏属性以及它们的属性所代表的信息，基于互操作、自描述和面向对象的思想，基于物联终端统一建模规范，结合分布式光伏设备的特点，建立配电台区分布式光伏的信息模型，并与自注册信息交互机制结合，采用hplc、lora分布式光伏接入配电信息系统的通信技术方案；

5、步骤二：安全管理系统的分布式光伏设备注册与应答；基于分布式光伏信息接入配电网的通信方式和架构，基于窄带宽物联网半双工条件下分布式光伏信息安全接入的自注册通信机制，实现分布式光伏设备预注册、设备入网查询、设备信息注册以及双向信息交互方式，并将上述结果返回实现融合终端中对分布式光伏进行入网识别、查询设备信息，完成设备入网认证，实现分布式光伏设备自注册过程；

6、步骤三：安全管理系统的分布式光伏设备交互信息加密；基于分布式光伏信息在台区物联网的接入、注册、数据传输阶段的信息安全需求，在分布式光伏通信设备接入台区物联网阶段，基于非对称加密算法的密钥交互过程，实现台区物联网设备信息加密交互；在分布式光伏通信设备注册阶段，基于公钥基础设施的身份识别技术，实现光伏通信设备的快速可信身份识别；在分布式光伏信息数据传输阶段，基于时频的入网认证技术，实现光伏通信设备的可信入网。

7、优选地，所述分布式光伏信息接入技术具体包括：

8、通过构建分布式光伏信息模型，构建的分布式光伏信息模型具备光伏的全部重要信息，分布式光伏和融合终端之间传输的数据具备自描述的特性且具有互操作的能力。

9、优选地，所述分布式光伏设备的接入方法具体包括：

10、(1)获取分布式光伏终端的模型属性；包括对分布式光伏设备的静态属性、动态属性、消息以及服务主题进行设计规范，从命名、描述、访问模式、数据类型、调用方式方面进行约束，构建信息模型的整体架构；

11、(2)采用json文件格式对信息模型进行统一描述，构建分布式光伏终端设备的信息模型；

12、(3)以modbus通信协议实现分布式光伏与配电网的信息交互与指令下达：以modbus通信协议为基础，基于自注册信息交互机制，制定信息模型到标准通信协议的映射机制，实现分布式光伏与配电网的信息交互与指令下达；

13、(4)通过hplc/lora与融合终端的通信模组进行连接；包括选取hplc、lora配电物联网通信协议，基于融合终端的配电台区通信组网架构，以分布式光伏作为端设备，完成分布式光伏到边节点的通信接入，实现分布式光伏组网后的信息采集功能。

14、优选地，分布式光伏设备接入配电网后，采取信息安全接入技术，将不同的通信介质转换为相同的通信介质与融合终端进行连接交互，将不同的通信协议信息通过定义的规范点表与融合终端进行交互，融合终端中的信息采集app会根据规范点表信息实现端设备的接入过程，并采集端设备的组网信息，实现端设备的通信组网过程。

15、优选地，所述分布式光伏设备注册具体包括：

16、设备信息注册以及双向信息交互方式，通过设备注册、设备状态加密、融合终端认证，完成设备注册。在融合终端正常情况下，即设备都注册完成之后，每次间隔t1取轮询，获取业务状态。

17、优选地，分布式光伏设备的注册与应答具体包括以下步骤：

18、(1)组织报文：分布式光伏设备状态为上电状态时，组织设备信息，包含串号、session_id，公钥和设备状态；

19、(2)进行设备注册：根据设备串号，查询本地是否有该设备，存在则用；否则去云端查询是否为合法设备，并且加密返回注册结果；

20、(3)获取设备注册结果：解密报文，确认是否存在。若勋在，分布式注册结果成功，设备状态为完成注册状态，等待请求；

21、(4)融合终端认证结果：设置设备状态为注册成功或相关错误；若成功，则表示能够正常进行业务流程，若失败则不进入下一步；

22、(5)请求与应答：设备全部注册完成之后，融合终端主动请求，分布式光伏设备被动应答，每次间隔自定义定时长取轮询获取业务状态。

23、优选地，通过开发融合终端app，用于分布式光伏设备的注册认证，具体包括：

24、在通信连接阶段，信息安全接入模块通过hplc/lora与融合终端的通信模组进行连接；

25、在设备预注册阶段，融合终端中的app将分布式光伏的允许入网范围下发至融合终端通信模组；

26、在设备申报入网阶段，信息安全接入模块向融合终端通信模组申报接入的分布式光伏设备；

27、在设备入网查询阶段app向通信模组查询已经申报入网的分布式光伏设备；

28、在返回设备列表阶段，通信模组向app返回在线的分布式光伏设备。

29、优选地，融合终端中的app从设备列表中识别新入网的设备，查询接入分布式光伏设备信息，并接受返回的信息，从而完成对分布式光伏进行量测数据、指令控制的信息交互过程。

30、优选地，采用对称加密和非对称加密相结合的轻量化加密算法，对分布式光伏设备交互信息进行加密，具体包括：

31、(1)组织设备报文：

32、分布式光伏设备生成一个随机数1，根据非对称加密算法(rsa)生成公钥和私钥，生成一随机数session id；分布式光伏设备将串号、seesion id与公钥共同组织成报文，发送给融合终端，进行设备注册；

33、(2)设备注册阶段：融合终端生成随机数2，基于获取的session_id和随机数根据对称加密算法生成密钥，使用获取的非对称加密的公钥对对称加密的密钥加密，并生成数字签名；

34、(3)得到设备注册结果阶段：分布式光伏设备使用私钥解密，得到数据交互阶段的对称加密的密钥；用私钥解密融合终端的数字签名，并对其认证得到认证结果；使用私钥加密认证的结果，返回给融合终端；

35、(4)融合终端认证结果阶段：融合终端使用获取的公钥解密认证结果，完成设备注册所有的步骤；

36、(5)数据交互阶段：分布式光伏设备和融合终端使用对称加密对交互数据进行加密。

37、优选地，所述设备注册阶段具体包括：

38、(2.1)获取分布式光伏设备的串号、session id和公钥；

39、(2.2)重新生成一个随机数2，用session id和随机数生成一个对称加密算法的密钥，并用获取的公钥加密；

40、(2.3)融合终端用公钥生成数字签名；

41、(2.4)设备状态用获取的公钥加密；

42、(2.5)融合终端发送设备状态密文和数字签名给分布式光伏设备。

43、一种分布式光伏物联网网络安全管理系统，利用所述分布式光伏物联网网络安全管理方法，包括：模型构建模块、设备接入模块、设备注册模块和信息加密模块；

44、模型构建模块基于物联终端统一建模规范，建立配电台区分布式光伏设备的信息模型；

45、设备接入模块采用hplc、lora分布式光伏接入配电信息系统的通信技术方案将分布式光伏设备接入信息模型；

46、设备注册模块基于窄带宽物联网半双工条件下分布式光伏信息安全接入的自注册通信机制，实现分布式光伏设备的注册；

47、信息加密模块用于在分布式光伏设备的接入阶段基于非对称加密算法的密钥交互过程，实现台区物联网设备信息加密交互；在分布式光伏设备的注册阶段基于公钥基础设施的身份识别技术，实现光伏通信设备的快速可信身份识别；在在分布式光伏信息数据传输阶段，基于时频的入网认证技术，实现光伏通信设备的可信入网。

48、本发明还提出了一种终端，包括处理器及存储介质；

49、所述存储介质用于存储指令；

50、所述处理器用于根据所述指令进行操作以执行所述分布式光伏物联网网络安全管理方法的步骤。

51、本发明还提出了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述分布式光伏物联网网络安全管理方法的步骤。

52、本发明的有益效果在于，与现有技术相比，本发明提供了一种分布式光伏信息接入台区物联网的网络安全管理系统及方法，构建具有互操作能力的分布式光伏信息模型并实现高效的信息接入，设计设备注册请求、应答的消息交互流程，对数据设计符合分布式光伏的轻量化加密算法，实现数据的安全高效接入、注册及交互管理。本发明至少具备如下的有益效果：

53、1、本发明根据智能电网通信和控制系统独特的功能要求，设计基于智能电网保护控制系统的通信安全机制，明确了信息网和电力网相互影响和作用的机理，能够全面发现并排查安全隐患；通过分布式光伏设备接入时的身份识别和入网认证，以及信息交互机制中的密钥交互和传输加密方案，可以识别设备是否为合法的安全设备，避免非法设备接入造成安全隐患。

54、2、本发明通过构建具有互操作能力的分布式光伏信息模型，使得在配网信息化系统建设和数据维护中实现信息的高效准确接入；根据分布式光伏设备自身属性、光伏特性，构建具有互操作性的分布式光伏信息模型，可以实现分布式光伏信息的高效准确接入。

55、3、本发明能够提升分布式光伏等设备的信息计算能力，降低维护成本，减少台区分布式光伏信息存在的潜在数据泄露风险；在对称加密对交互信息加密阶段，通过aes加密算法的轻量化设计，在保证数据安全的同时，可以有效提高加密效率，节约计算资源。