(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111340845.1 (22)申请日 2021.11.12 (71)申请人 南方电网海南数字电网研究院有限 公司 地址 570100 海南省海口市美兰区海 府路 32号 (72)发明人 石宏宇　高志越　方雪琴　符方权　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 代理人 颜希文 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/12(2022.01) (54)发明名称 一种主站下 行数据安全 验证方法 (57)摘要 本发明提供一种主站下行数据安全验证方 法， 应用于配电自动化系统， 所述配电自动化系 统包括配网主站服务器和配电终端， 所述配电终 端与配网主站服务器通过网络相连接， 所述方法 在配网主站服务器向配电终端发送下行数据报 文时， 对于重要性高的下行数据 报文预处理后进 行签名， 将签名后的下行数据报文封装并发送至 配电终端， 配电终端接收下行数据包后， 通过内 置的安全模块对 下行数据包的签名进行验证， 根 据验证结果处理下行数据报文， 从而验证数据报 文的真伪， 从而实现配网主站服务器到配电主站 之间端到端的业务信息防护， 构建基于通信安全 的业务安全， 维护电力系统的安全稳定运行。 权利要求书2页 说明书4页 附图4页 CN 114070605 A 2022.02.18 CN 114070605 A 1.一种主站下行数据安全验证方法， 其特征在于， 所述方法应用于配电自动 化系统， 所 述配电自动化系统包括配网主站 服务器和配电终端， 所述配电终端与配网主站 服务器通过 网络相连接， 所述方法包括以下步骤： S101、 配网主站服 务器产生下 行数据报文， 确定下 行数据报文的目标配电终端； S102、 配网主站服务器根据CRL列表判断目标配电终端对应的下行数据报文是否需要 签名， 对于需要签名的下行数据报文执行步骤S103， 对于无需签名的下行数据报文执行步 骤S104； S103、 对下行数据报文 进行预处理， 并对下 行数据报文 进行签名； S104、 将下 行数据报文封装为下 行数据包并发送至配电终端； S105、 配电终端接收下行数据包， 配电终端内置的安全模块验证下行数据包的签名， 根 据验证结果处 理下行数据报文。 2.根据权利要求1所述的一种主站下行数据安全验证方法， 其特征在于， 所述步骤S102 中， 对于需要签名的下行数据报文还判断其数据类型， 当下行数据报文属于遥控数据类型 时， 执行步骤S10 3； 当下行数据报文属于 遥测或遥信数据类型时， 执 行步骤S104。 3.根据权利要求1所述的一种主站下行数据安全验证方法， 其特征在于， 步骤S103中， 所述对下行数据报文进 行预处理， 具体为： 为下行数据报文 添加签名字段， 并在签名字段后 添加尾标识。 4.根据权利要求3所述的一种 主站下行数据安全验证方法， 其特征在于， 所述配电自动 化系统还包括应用层加密认证装置， 所述应用层加密认证装置与配网主站服务器相连接， 所述步骤S103中， 配网主站服务器在对下行数据报文进行预处理后， 将下行数据报文发送 至应用层加密认证装置， 所述应用层加密认证装置对签名字段进行签名后， 返回下行数据 报文至配网主站服 务器， 配网主站服 务器对下 行数据报文补充签名值。 5.根据权利要求1所述的一种 主站下行数据安全验证方法， 其特征在于， 所述系统还包 括配电加密认证网关， 所述配电终端与配电加密认证网关通过网络相连接， 所述配电加密 认证网关与配网主站服务器通过网络相连接， 步骤S104中， 配网主站服务器将下行数据报 文发送至配电加密认证网关进行封装。 6.根据权利要求5所述的一种主站下行数据安全验证方法， 其特征在于， 步骤S104中， 所述配电加密认证网关还 对下行数据报文 进行加密。 7.根据权利要求6所述的一种 主站下行数据安全验证方法， 其特征在于， 所述配电加密 认证网关对下 行数据报文 进行加密具体包括以下步骤： S201、 对下 行数据报文 进行加密； S202、 在加密后的下行数据报文数据字段前端添加封装数据保护前端信息， 在其后端 添加封装数据保护后端信息， 在封装数据保护后端信息后添加完整性检查信息； S203、 为步骤S202所 得到的数据添加数据帧信息和IP信息 。 8.根据权利要求7所述的一种主站下行数据安全验证方法， 其特征在于， 步骤S201中， 所述步骤S201具体包括以下步骤： S301、 配网主站服务器根据目标配电终端随机获取一历史轮次下行数据， 所述历史轮 次下行数据为配网主站服 务器在历史轮次中发送给目标配电终端的下 行数据包； S302、 将历史轮次下 行数据作为单向函数的输入， 获得输出 结果；权　利　要　求　书 1/2 页 2 CN 114070605 A 2S303、 将单向函数的输出结果作为密钥生成算法的输入， 输出密钥， 通过密钥 对经过签 名的下行数据报文 进行加密； S304、 将历史轮次信息添加到步骤S202所 得到的数据中。 9.根据权利要求3所述的一种主站下行数据安全验证方法， 其特征在于， 所述步骤S105 具体包括以下步骤： S401、 配电终端安全 模块解封下行数据包， 对下 行数据报文的尾标识进行验证； S402、 当尾标识验证通过时， 配电终端安全模块对签名进行验证， 若签名验证成功， 则 将下行数据报文发送至配电终端， 若签名验证失败， 则将下 行数据报文丢弃； S403、 当尾标识验证未通过时， 将下 行数据报文丢弃。权　利　要　求　书 2/2 页 3 CN 114070605 A 3