一种电网安全稳定控制系统通信业务拓扑认证系统及方法

本发明属于智能电网信息安全技术领域，涉及一种电网安全稳定控制系统通信业务拓扑认证系统及方法，尤其涉及一种基于区块链的电网安全稳定控制系统通信业务拓扑认证系统及方法。

安全稳定控制系统作为电力系统的第二道防线，承担着保障电网安全可靠运行的重要职责。在终端广泛互联、新能源分布接入等场景下，电网对安全稳定控制系统的可靠性和灵活性要求却越来越高，安全稳定控制系统的通信业务需求相应增加，对安全稳定控制终端通信安全提出了新的考验。目前的电网安全稳定控制过于依赖物理安全保障体系，恶意攻击者一旦接入内网与合法设备进行交互，将严重威胁电网安全稳定运行，因此建立稳控站点间的交互认证与信任机制具有紧迫性和必要性。

传统的终端身份认证方法，主要有基于物理唯一特征、对称共享密钥和基于PKI的数字证书认证机制三种方式。然而以上方法均存在认证中心化风险，且相关方案研究重点在设备实体认证与通信，额外开销较大，难以满足安稳控制系统终端认证低消耗和快速响应的需求。现有的基于区块链的身份认证方法也多数使用改进的数字证书身份认证机制，以区块链取代传统CA，但通信与认证开销较大的问题。针对电网安全稳定控制的轻量化身份认证方法有待提出。

电力稳控系统的通信业务拓扑信息涵盖了整个系统中节点的连接配置和业务数据流向信息，在稳定控制业务安全工作中意义重大。随着电网灵活性的增强，区域安全稳定控制系统间信息交互需求不断提升，使用业务拓扑等信息完成整体业务安全调控，实现业务操作信息和状态信息的追溯是可预见的发展方向。但目前尚未针对稳控系统的相关方案，电力稳控系统缺乏对整体通信业务拓扑的感知和运用能力。

综上所述，现有技术存在的问题是：

(1)在环境复杂、资源有限的安全稳定控制背景下构建传统的基于PKI的认证体系将产生较高时空代价，影响安全稳定控制终端间正常业务通信，且存在认证中心收到攻击导致认证系统瘫痪的风险。

(2)已有的基于区块链的认证方案解决了认证中心化的问题，但普遍具有资源消耗量高、响应时间长等局限性，难以直接应用于电网安稳控制系统。

(3)目前电力稳控系统缺乏对整体业务拓扑的感知和运用能力。随着电网灵活性的增强，区域安全稳定控制系统间信息交互需求不断提升，使用业务拓扑等信息完成整体业务安全调控，实现业务操作信息和状态信息的追溯是可预见的发展方向。

针对现有技术存在的问题，本发明提供了一种基于区块链的电网安全稳定控制系统通信业务拓扑认证系统及方法。

本发明的系统所采用的技术方案是：一种电网安全稳定控制系统通信业务拓扑认证系统，包括安全稳定控制终端和业务拓扑认证链两部分；

所述安全稳定控制终端，用于执行连接配置获取与发布、闭合验证、拓扑共识和拓扑管理，向系统内其他安全稳定控制终端广播各配置信息和认证申请，共同维护业务拓扑认证链；包含连接配置获取与发布模块、闭合验证模块、拓扑共识模块、拓扑管理模块；

所述业务拓扑认证链，由多个区块链接而成；各区块由各安全稳定控制终端基于业务拓扑闭合验证逻辑共识后统一生成和存储；区块的结构包括区块头和区块体两部分，区块头包含区块号、时间戳、父区块哈希值、本区块默克尔树根，区块体存储详细连接项内容；所述连接项结构包含通信双方所在厂站的站间关系、二者的IP、通信地址和端口信息、连接配置删除标记；

所述连接配置获取与发布模块，用于从安全稳定控制终端定值区和获取与通信相关的配置，并按照固定格式向安全稳定控制系统节点网络广播业务拓扑配置的新增、修改和删除项或连接申请，以供节点网络进行后续验证，包含以下子模块：配置获取子模块、配置发布子模块；其中配置获取子模块用于在装置启动时从安全稳定控制终端的系统配置中读取认证系统所需的信息，并将配置信息封装成固定的连接项格式；配置发布子模块用于将封装好的连接项向全网进行广播发布；

所述连接验证模块，用于接收节点网络内其他安全稳定控制终端所述连接配置获取与发布模块发布的配置或申请信息，对所有配置进行验证并发布验证结果或接受连接申请；包含以下子模块：连接确认子模块、闭合验证子模块和异常行为处理子模块；

所述连接确认子模块，用于接收连接配置并将其与现存的可信业务拓扑进行比对；若已存在内容一致的项且连接项删除标识无效，则确认连接成功；如果已存在内容一致的项且连接标识有效，或无内容一致的项且连接标识无效，则送入所述闭合验证子模块；其余情况下判断为异常，记录异常类型并送至所述异常行为处理子模块；

所述闭合验证子模块，用于分类和匹配一段时间内各个安全稳定控制终端广播的连接配置，寻对同一对连接关系进行描述的连接项，在确认这些由连接双方发布的连接配置未产生冲突时广播对完整连接项的确认信息；在产生字段冲突等异常时将其递交至所述异常行为处理子模块；

所述异常行为处理子模块，用于从所述连接确认子模块和所述闭合验证子模块接收异常项和异常类型，并按异常项内的身份标识信息和异常类型进行对应处理；

所述拓扑共识模块，用于完成安全稳定控制终端间基于PBFT机制的拓扑信息共识，并本地验证和保存新区块数据；包含以下子模块：区块提案子模块和共识确认子模块；所述区块提案子模块，用于收集节点网络上对闭合项的确认消息，并在某一项的确认数超过阈值时将其加入待打包序列，进一步在待打包序列内项的数目达到区块容量上限，或距离上一区块发布时间间隔超出阈值时打包成区块结构并发布到节点网络，以开启PBFT共识；所述共识确认子模块，用于接收主节点区块提案，与其他节点交换共识信息，完成PBFT核心共识过程；

所述拓扑管理模块，用于将新区块业务拓扑信息存储至业务拓扑认证链并更新对应的索引，为连接验证模块和拓扑共识模块分别提供业务拓扑认证链的查询和更新接口；包含以下子模块：拓扑更新子模块和拓扑查询子模块；所述拓扑更新子模块，用于从新区块中提取业务拓扑连接项并相应修改区块链账本文件和索引文件，实现业务拓扑的更新；所述拓扑查询子模块，用于在业务拓扑中根据输入的键值查询对应连接的最新状态。

本发明的方法所采用的技术方案是：一种电网安全稳定控制系统通信业务拓扑认证方法，包括以下步骤：

S1：安全稳定控制终端从系统配置信息中获取站间业务连接的相关配置，并按照固定格式向电网安全稳定控制系统节点网络广播配置，以供节点网络进行后续验证；

S2：安全稳定控制终端接收节点网络内其他安全稳定控制终端发布的配置或申请信息，对所有配置进行验证并广播验证结果或异常行为信息；

S3：安全稳定控制终端针对获取到的验证结果启动共识，针对确认闭合的配置项基于PBFT共识算法交换信息，交由主节点排序生成区块提案，获取已确认的区块；

S4：安全稳定控制终端对通过共识的区块中的业务拓扑信息进行存储，根据配置类型的不同完成对应的索引更新任务，为连接验证模块和拓扑共识模块分别提供业务拓扑状态的查询和更新接口。

本发明采用区块链技术实现电力系统中安全稳定控制终端间的通信认证，区块链的去中心化可信交互特性大大提高了电网安全稳定控制终端间的认证安全性，同时有效地避免了认证中心化问题。本发明将终端间的业务拓扑信息(稳控系统整体连接结构与业务流向)与认证相结合，认证资源消耗低、响应迅速，以较小的时空开销提升了电网安全稳定控制系统应对网络恶意攻击的能力，保障了系统终端间的业务通信安全。本发明可有效抵挡DoS攻击，降低DoS攻击对整个系统的影响。此外，本发明能防范内网恶意设备的非法业务连接。

图1是本发明实施例系统的结构示意图；

图中：10、连接配置获取与发布模块。101、配置获取子模块。102、配置发布子模块。20、连接验证模块。201、连接确认子模块。202、闭合验证子模块。203、异常行为处理子模块。30、拓扑共识模块。301、区块提案子模块。302、共识确认子模块。40、拓扑管理模块。401、拓扑更新子模块。402、拓扑查询子模块；

图2为本发明实施例的方法流程图。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种电网安全稳定控制系统通信业务拓扑认证系统，包括安全稳定控制终端(简称安控终端)和业务拓扑认证链两部分；

本实施例的业务拓扑认证链由多个区块链接而成。区块的结构包括区块头和区块体两部分，区块头包含区块号、时间戳、父区块哈希值、本区块默克尔树根，区块体存储详细连接项内容。

本实施例的连接项结构包含通信双方所在厂站的站间关系、二者的IP、通信地址和端口信息，此外连接项结构存在连接配置删除标记，区分新增项和删除项。

本实施例的安全稳定控制终端包括：连接配置获取与发布模块10、闭合验证模块20、拓扑共识模块30、拓扑管理模块40。

本实施例的连接配置获取与发布模块10，用于从安全稳定控制终端定值区和获取与通信相关的配置，并按照固定格式向稳控系统节点网络广播业务拓扑配置的新增、修改和删除项或连接申请，以供节点网络进行后续验证，包含以下子模块：配置获取子模块101、配置发布子模块102。

本实施例的连接验证模块20，用于接收网络内其他安全稳定控制终端所述连接配置获取与发布模块发布的配置或申请信息，对所有配置进行验证并发布验证结果或接受连接申请，包含以下子模块：连接确认子模块201、闭合验证子模块202和异常行为处理子模块203。

本实施例的拓扑共识模块30，用于完成终端间基于PBFT机制的拓扑信息共识，并本地验证和保存新区块数据，包含以下子模块：区块提案子模块301和共识确认子模块302。

本实施例的拓扑管理模块40，用于将新区块业务拓扑信息存储至业务拓扑认证链并更新对应的索引，为其他模块提供业务拓扑认证链的更新和查询接口，包含以下子模块：拓扑更新子模块401和拓扑查询子模块402。

本实施例的配置获取子模块101，用于在装置启动时从安全稳定控制终端的系统配置中读取认证系统所需的信息，并将配置信息封装成连接项格式。

本实施例的配置发布子模块102，用于将封装好的连接项向全网进行广播发布。

本实施例的连接确认子模块201，用于接收连接配置并将其与现存的可信业务拓扑进行比对。若已存在内容一致的项且连接项删除标识无效，则确认连接成功；如果已存在内容一致的项且连接标识有效，或无内容一致的项且连接标识无效，则送入所述闭合验证子模块；其余情况下判断为异常，记录异常类型并送至所述异常行为处理子模块；

本实施例的闭合验证子模块202，用于分类和匹配一段时间内各个终端广播的连接配置，寻对同一对连接关系进行描述的连接项，在确认这些由连接双方发布的连接配置未产生冲突时广播对完整连接项的确认信息；在产生字段冲突等异常时将其递交至所述异常行为处理子模块。

本实施例的异常行为处理子模块203，用于从所述连接确认子模块和所述闭合验证子模块接收异常项和异常类型，并按异常项内的身份标识信息和异常类型进行对应处理。

本实施例的区块提案子模块301，用于收集网络上对闭合项的确认消息，并在某一项的确认数超过阈值时将其加入待打包序列，进一步在待打包序列内项的数目达到区块容量上限，或距离上一区块发布时间间隔超出阈值时打包成区块结构并发布到节点网络，以开启PBFT共识。

本实施例的共识确认子模块302，用于接收主节点区块提案，与其他节点交换共识信息，完成PBFT核心共识过程。

本实施例的拓扑更新子模块401，用于从新区块中提取业务拓扑连接项并相应修改区块链账本文件和索引文件，实现业务拓扑的更新。

本实施例的拓扑查询子模块402，用于在业务拓扑中根据输入的键值查询对应连接的最新状态。

请见图2，本发明提供的一种电网安全稳定控制系统通信业务拓扑认证方法，包括以下步骤：

S1：安全稳定控制终端从系统配置信息中获取站间业务连接的相关配置，并按照固定格式向电网安全稳定控制系统节点网络广播配置，以供节点网络进行后续验证；

本实施例中，步骤S1的具体实现包括以下子步骤：

S101：设备投入使用前，安控运维人员预置安全稳定控制终端的连接配置信息，并保存在安全稳定控制终端的定值区和配置文件中；

本实施例中，连接配置信息，包括该安全稳定控制终端在调度数据网内的IP地址以及在区域安全稳定控制系统中的通信地址、与通信业务对端的站间关系类型(对端为同级设备时置为0，为上下级关系置为1)、各通信业务对端的IP地址和通信地址及对应的连接端口号。

S102：安全稳定控制终端启动运行，从安全稳定控制终端的连接配置信息中读取认证系统所需的信息；

S103：按照数据封装过程将步骤S102中的连接配置信息封装成连接项的格式；

S104：根据配置变更，将相应连接项广播至认证网络；

本实施例中，配置出现变化时，将根据连接项结构中删除标记的不同，发布新增、删除和修改项三种不同的项；发布新增项时，将直接发布删除标识无效的原连接项；发布删除项时，将原有连接项的删除标识置为有效并发布；发布修改项时，首先发布对原连接项的删除项，接着在短时间内根据变更后的配置发布新增项。

S105：发送完成后，或配置本身未发生更改时，广播现有配置作为连接认证申请信息。

S2：安全稳定控制终端接收节点网络内其他安全稳定控制终端发布的配置或申请信息，对所有配置进行验证并广播验证结果或异常行为信息；

本实施例中，步骤S2的具体实现包括以下子步骤：

S201：收到连接配置广播后，安全稳定控制终端进入步骤S4，将其与现有可信业务拓扑进行比对，等待返回结果；

如果返回结果显示已存在内容一致的项且连接项删除标识无效，则进入步骤S202；

如果返回结果显示已存在内容一致的项且连接标识有效，或无内容一致的项且连接标识无效，则进入步骤S203；

返回结果为其余情况时判断为异常，记录异常类型并进入步骤S204；

S202：该项为有效的连接申请，记录相关信息，连接认证成功；

S203：安全稳定控制终端对该项进行闭合验证；若闭合验证通过，该安全稳定控制终端广播确认消息，进入步骤S3；若产生冲突或超时，进入步骤S204；

本实施例中安全稳定控制终端对该项进行闭合验证，从步骤S201中接收到连接项后，追加一个时间戳，将其加入缓冲区；安全稳定控制终端遍历缓冲区内的连接项，对于加入时间与当前时间差大于超时阈值的项，闭合验证失败，异常类型为验证超时；对于未超时的项，组合其IP形成键值，将该项加入验证集合中此键值对应位置；遍历验证集合，对未形成连接项组合的，即尚未闭合的项不进行处理；对于集合中包含了一组连接项的，匹配其站间关系、通信地址等字段；出现了字段冲突时，将其从缓冲区清除，闭合验证失败，异常类型为冲突；匹配成功时，将二者的端口信息互补，形成完整的连接项，判断闭合验证通过，并从缓冲区清除此组连接项。

S204：对于字段冲突、格式错误、验证超时和进行无效删除的项，进行异常行为处理。

本实施例中进行异常行为处理，对于格式错误、验证超时和进行无效删除的项，本地报告异常类型、异常发生时间等信息；对于在步骤S201和S203中与账本或闭合验证逻辑产生冲突的项，本地报告异常类型、内容和异常发生时间，同时广播异常项中包含身份标识信息和异常发生时间。

S3：安全稳定控制终端针对获取到的验证结果启动共识，针对确认闭合的配置项基于PBFT共识算法交换信息，交由主节点排序生成区块提案，获取已确认的区块；

步骤S3的具体实现包括以下子步骤：

S301：各安全稳定控制终端根据时间片轮询机制交替担任主节点，当前安全稳定控制终端为主节点时执行步骤S302；否则进入步骤S303；

S302：安全稳定控制终端收集节点网络上发布的对通过闭合验证的项的确认，在对某一项的确认数超过阈值时将该项加入待打包序列；当待打包序列内项的数目达到单个区块容量上限，或距离上一区块发布时间间隔超出阈值时打包序列中的项形成区块结构并发布到节点网络，以开启PBFT共识机制的三阶段共识过程；

S303：安全稳定控制终端接收当前主节点发来的区块提案，与节点网络内的其他节点交换PBFT共识过程信息，完成PBFT核心共识过程，获取已达成共识的新区块，进入步骤S4。

S4：安全稳定控制终端对通过共识的区块中的业务拓扑信息进行存储，根据配置类型的不同完成对应的索引更新任务，为连接验证模块和拓扑共识模块分别提供业务拓扑状态的查询和更新接口。

本实施例中，步骤S4的具体实现包括以下子步骤：

S401：判断待进行的操作，需要更新拓扑信息时进入步骤S402，需要查询拓扑信息时进入步骤S403；

S402：进行拓扑更新流程，从新区块中提取业务拓扑连接项并相应修改区块链账本文件和索引文件；

拓扑更新，将接受到的区块追加至账本文件中，实现对业务拓扑及其信息的完整储存，对于块中的每一项，执行以下步骤：提取其身份标识字段结合形成索引键；如果此项内的删除标识为有效，则在最新状态索引数据库中置空该项的索引键对应的值，实现对连接的删除；如果此项内的删除标识为无效，则计算此项在账本文件中的储存位置并在最新状态索引中更新位置，进而实现原有连接状态的新增或修改；

S403：基于状态索引，在业务拓扑中根据输入的键值查询对应连接的最新状态，返回结果，退回至步骤201。

本实施例提供的系统将终端间的业务拓扑信息与基于区块链的认证相结合，认证资源消耗低、响应迅速，以较小的时空开销提升了电网安全稳定控制系统应对网络恶意攻击的能力，保障了系统终端间的业务通信安全。

本实施例用连接项来表示业务拓扑中的每个连接关系，区块链账本存储连接项。安全稳定控制系统通信业务有限且明确，一个认证系统内的节点数目在100以内，每个节点的邻居节点数目普遍不超过10个，节点生命周期内拓扑变化次数普遍低于10。系统在一个终端的生命周期内需要存储的连接项数目低于5000项。本系统区块链账本中的区块大小平均值为150Byte，因此在一个终端的生命周期中区块链账本的储存空间占用低于0.8M，符合安全稳定控制终端的低资源消耗需求。

本系统未注重使用传统的密码学算法进行认证，对计算资源的消耗量较低。测试中使节点不断完成拓扑修改操作，内存占用和CPU消耗结果统计结果表明，在节点网络每秒处理10个连接项的情况下，内存占用动态维持在9MB，CPU占用率平均为1.5个百分点。考虑到安全稳定控制系统实际运行中认证和业务拓扑更改频率更低，系统认证的平均消耗将低于本次测试的计算资源消耗，因此从计算资源角度考虑，本发明的认证方案在实际应用时不会影响安全稳定控制系统的业务性能。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。