一种虚拟电厂调峰指令安全认证方法与流程

1.本发明涉及虚拟电厂系统安全技术领域，特别涉及一种用于虚拟电厂通过运营商公网或第三方网络对用户侧等调峰资源进行调峰指令的安全认证方法。


背景技术：

2.虚拟电厂通过先进的控制、计量、通信等技术聚合分布式电源、可控负荷、储能系统、电动汽车等不同类型的分布式电源资源(der)，在更高层面的软件构架实现多个分布式能源的协调优化运行，使其能够参与电力市场和辅助服务市场运营，实现实时电能交易。虚拟电厂接收到电网调度的调峰指令后，对调峰需求分解到der，然后，通过iec60870
‑5‑
104协议或mqtt物联网协议，将调峰指令下达到各个分布式电源的控制系统，最终实现协调控制。电网调度机构与虚拟电厂之间通常采用网络物理隔离技术保障电网调度通信网络区域的安全，虚拟电厂系统也大多采用防火墙、入侵监测、vpn接入等技术来确保网络安全。由于分布式电源、可控负荷、电动汽车等分布式电源往往归属不同的产权单位，大多采用运营商公网或第三方网络，进行数据通信，因此调峰指令的安全认证对系统安全运行具有意义。
3.由于der设备的多样性,需要支持iec60870
‑5‑
104、mqtt等多种协议，缺乏统一的身份认证手段，大多由应用层分别实现，管理复杂度高。iec60870
‑5‑
104协议是针对封闭网络环境的工业控制类协议，缺乏必要的指令认证手段，通常在tcp层面，采用tsl隧道等安全通信技术。mqtt是基于tcp的，默认情况通讯并不加密，在传输敏感信息或者对设备进行控制时，可使用tsl实现安全加密通信。x509同时提供了完善的加密和验证，但是x509证书的生命周期管理的代价要比用户名密码高，因此大多由应用层通过用户名密码方式解决。实际上，由于虚拟电厂der的分布性特点，受限于协议以上原因，缺乏低成本的指令数据认证手段对调峰指令的来源进行认证，分布式用户点多面广，一旦网络入侵或身份假冒，将威胁虚拟电厂用户资产的稳定运行，造成广泛范围的用户经济损失；进一步，导致虚拟电厂调峰能力受限，影响电网系统的安全运行。因此急需一种直接对调峰指令进行安全认证的方法。


技术实现要素：

4.为了解决背景技术提出的技术问题，本发明提供一种虚拟电厂调峰指令安全认证方法，在遵循iec60870
‑5‑
104或mqtt等通信协议规范情况，实现安全认证，在协议承载的数据内容中增加动态身份认证签名数据，在协议通信流程之外，增加认证流程，但不改变原有的数据传输机制，这种方法具有很强的适配性，同时实施方便的技术特点，满足虚拟电厂der多种终端及协议的应用场景。
5.为了达到上述目的，本发明采用以下技术方案实现：
6.一种虚拟电厂调峰指令安全认证方法，所述的方法为虚拟电厂主站系统与der响应子站系统之间采用扩展数据增强认证交互过程，完成对调峰指令的安全认证方法。
7.所述的扩展数据增强认证交互过程由密码中心、虚拟电厂主站加密认证模块、虚拟电厂主站数据库、der响应子站加密认证模块、der响应子站数据库五个单元协作完成。
8.所述的密码中心负责向虚拟电厂主站加密认证模块、der响应子站加密认证模块分发密钥，用于通信过程加密认证；
9.所述的虚拟电厂主站加密认证模块负责主站侧的密钥申请、身份认证签名数据生成、数据签名验签、验证未通过会话终止；
10.所述的der响应子站加密认证模块负责子站侧的密钥申请、身份认证签名数据生成、数据签名验签、验证未通过会话终止；
11.所述的虚拟电厂主站数据库负责虚拟电厂主站加密认证模块与原有数据传输间的数据交换,数据交换内容包括；
12.所述的der响应子站数据库负责der响应子站加密认证模块与原有数据传输间的数据交换。
13.进一步地，所述的扩展数据增强认证交互过程，具体包括以下步骤：
14.以下步骤中：xmain代表虚拟电厂主站加密认证模块；xsub代表der响应子站加密认证模块；ibc代表密码中心；dbmain代表虚拟电厂主站数据库；dbsub代表der响应子站数据库；
15.步骤一、xmain以人为参数设定系统标识为身份id，经过tsl加密保护的通道，向ibc申请密钥，并将身份id信息添加到xsub的可信主站列表；
16.步骤二、xsub读取硬件唯一id作为身份id，经过tsl加密保护的通道，向ibc申请密钥，将xsub身份id信息添加到xmain的可信子站列表；
17.步骤三、xmain从dbmain中获取调峰指令数据内容，使用主站密钥及随机数生成签名数据，将调峰指令签名数据存入dbmain；
18.步骤四、虚拟电厂主站系统将调峰指令数据、随机数及调峰指令签名数据，按照协议扩展约定的认证数据信息体地址或信息编码，按照协议规范封装后通过网络发送给der响应子站系统；
19.步骤五、der响应子站系统接收到调峰指令数据、随机数及调峰指令签名数据后，将数据保存到dbsub；
20.步骤六、xsub从dbsub中获取调峰指令数据内容、随机数及调峰指令签名数据，检查主站身份id是否在xsub的可信主站列表，若不存在直接得出验证不通过；若存在则使用主站id公钥对调峰指令数据内容、随机数及调峰指令签名数据进行验签，获得验证是否通过结果，验证结果存入dbsub；
21.步骤七、若验证未通过，xsub放弃此调峰指令，生成调峰指令验证未通过日志，否则，der响应子站系统正常业务功能。
22.与现有技术相比，本发明的有益效果是：
23.本发明的一种虚拟电厂调峰指令安全认证方法中，遵循iec60870
‑5‑
104或mqtt等通信协议规范，在正常协议报文中，插入认证签名信息，在保持协议标准的基础上，实现调峰指令数据的签名与认证。在虚拟电厂主站系统与der响应子站系统分别部署认证加密模块，仅对指令数据进行了签名认证，计算量小，减少加密认证对网络通信的时延的影响。
附图说明
24.图1是本发明的一种虚拟电厂调峰指令安全认证方法的交互过程示意图；
25.图2是本发明的一种虚拟电厂调峰指令安全认证方法的结构组成示意图；
26.图3是本发明的一种虚拟电厂调峰指令安全认证方法的流程图。
具体实施方式
27.以下结合附图对本发明提供的具体实施方式进行详细说明。
28.如图1所示，一种虚拟电厂调峰指令安全认证方法，为虚拟电厂主站系统与der响应子站系统之间，采用扩展数据增强认证交互过程，完成对调峰指令的安全认证方法。
29.如图2所示，所述的扩展数据增强认证交互过程由密码中心、虚拟电厂主站加密认证模块、虚拟电厂主站数据库、der响应子站加密认证模块、der响应子站数据库等五个单元来协作完成。
30.所述的密码中心负责向虚拟电厂主站加密认证模块、der响应子站加密认证模块分发密钥，用于通信过程加密认证。
31.所述的虚拟电厂主站加密认证模块负责主站侧的密钥申请、身份认证签名数据生成、数据签名验签、验证未通过会话终止。
32.所述的der响应子站加密认证模块负责子站侧的密钥申请、身份认证签名数据生成、数据签名验签、验证未通过会话终止。
33.所述的虚拟电厂主站数据库负责虚拟电厂主站加密认证模块与原有数据传输间的数据交换,数据交换内容包括。
34.所述的der响应子站数据库负责der响应子站加密认证模块与原有数据传输间的数据交换。
35.如图3所示，所述的扩展数据增强认证交互过程，具体包括以下步骤：
36.以下步骤中：xmain代表虚拟电厂主站加密认证模块；xsub代表der响应子站加密认证模块；ibc代表密码中心；dbmain代表虚拟电厂主站数据库；dbsub代表der响应子站数据库；
37.步骤一、xmain以人为参数设定系统标识为身份id，经过tsl加密保护的通道，向ibc申请密钥，并将身份id信息添加到xsub的可信主站列表；
38.步骤二、xsub读取硬件唯一id作为身份id，经过tsl加密保护的通道，向ibc申请密钥，将xsub身份id信息添加到xmain的可信子站列表；
39.步骤三、xmain从dbmain中获取调峰指令数据内容，使用主站密钥及随机数生成签名数据，将调峰指令签名数据存入dbmain；
40.步骤四、虚拟电厂主站系统将调峰指令数据、随机数及调峰指令签名数据，按照协议扩展约定的认证数据信息体地址或信息编码，按照协议规范封装后通过网络发送给der响应子站系统；
41.步骤五、der响应子站系统接收到调峰指令数据、随机数及调峰指令签名数据后，将数据保存到dbsub；
42.步骤六、xsub从dbsub中获取调峰指令数据内容、随机数及调峰指令签名数据，检查主站身份id是否在xsub的可信主站列表，若不存在直接得出验证不通过；若存在则使用主站id公钥对调峰指令数据内容、随机数及调峰指令签名数据进行验签，获得验证是否通过结果，验证结果存入dbsub；
43.步骤七、若验证未通过，xsub放弃此调峰指令，生成调峰指令验证未通过日志，否则，der响应子站系统正常业务功能。
44.上述方法根据虚拟电厂调峰指令特性，遵循iec60870
‑5‑
104或mqtt等通信协议规范，在正常协议报文中，插入认证签名信息，在保持协议标准的基础上，实现调峰指令数据的签名与认证。在虚拟电厂主站系统与der响应子站系统分别部署认证加密模块，仅对指令数据进行了签名认证，计算量小，减少加密认证对网络通信的时延的影响。
45.以上实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于上述的实施例。上述实施例中所用方法如无特别说明均为常规方法。