本发明涉及泛在电力物联网中配电物联网技术领域,具体涉及一种边缘物联代理、接入网关和物联管理平台及安全防护方法。
背景技术
随着能源互联网的推进,配电物联网作为泛在电力物联网在配电网的应用落地,是传统电力工业技术与物联网技术深度融合产生的一种新型电力网络运行形态。通过赋予配电网设备灵敏准确的感知能力及设备间互联、互通、互操作功能,构建基于软件定义的高度灵活和分布式智能协作的配电网络体系,满足配电网精益化管理需求,支撑能源互联网快速发展。在能源互联网快速发展的过程中,进行互联网的安全防护是重中之重,在中国2019年5月,国家市场监督管理总局和中国国家标准化管理委员会联合发布了《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),将云计算安全、物联网安全防护以及主动防御技术纳入第三级系统的扩展要求。
如图1所示的配电物联网架构中可以看出,边缘物联代理一方面将自身采集的信息通过标准化手段上传至物联管理平台,另一方面成为本地计算“大脑”,对来感知层物联网终端上送的信息起到汇聚、分析、决策作用。按照估算,物联网场景下,每个省的边缘物联代理数量将达到几十万台甚至上百万,而边缘物联代理通常放置在台区变电箱内,物理防护措施薄弱,且通过无线公网与物联管理平台通信。若缺乏有效的安全防护措施,可能面临被植入木马/病毒以及中间人攻击、拒绝服务攻击等风险,进一步被当作跳板攻击物联管理平台。
因此,需在边缘物联代理与物联管理平台之间提供安全防护措施,保证边缘物联代理的接入安全。
技术实现要素:
为了解决现有技术中所存在的上述不足,本发明提供了一种边缘物联代理,其特征在于,所述边缘物联代理用于安全防护装置,且分别与用于安全防护装置的接入网关和物联管理平台通讯连接,所述边缘物联代理包括:第一验证模块和第二验证模块;
所述第一验证模块,用于与所述接入网关进行双向身份认证和密钥协商;
所述第二验证模块,用于在与所述接入网关进行的双向身份认证和密钥协商成功之后,与物联管理平台进行双向身份认证,通过认证后与物联管理平台进行业务数据传输。
优选的,所述第一验证模块,包括:
会话申请子模块,用于将边缘物联代理设备证书封装成会话申请报文,并发送给接入网关;
网关身份认证子模块,用于接收接入网关基于所述会话申请报文发送的密钥协商请求报文,并基于预置的接入网关证书中的公钥对所述密钥协商请求报文进行验证,当通过验证时则调用密钥协商响应子模块,否则向接入网关返回接入网关的身份认证失败;
所述密钥协商响应子模块,用于生成边缘物联代理的随机数,并对所述密钥协商请求报文和边缘物联代理的随机数进行计算,得到密钥、第一代理校验值和第二代理校验值,同时将包含所述边缘物联代理的随机数和所述第二代理校验值的密钥协商素材封装成密钥协商响应报文发送给接入网关;
会话确认子模块,用于接收接入网关基于密钥协商响应报文发送的会话确认报文,并解析所述会话确认报文提取验证码,当验证码错误时,则与接入网关的协商失败;当验证码正确时,将验证码中的第一网关校验值与所述第一代理校验值进行对比,如果相同则将当前密钥作为传输密文时的会话密钥,否则密钥协商失败。
优选的,所述密钥协商响应子模块,包括:
密钥协商素材获取单元,用于从密钥协商请求报文中获取密钥协商素材;
边缘物联代理密钥生成单元,用于生成边缘物联代理的随机数,并基于所述边缘物联代理的随机数、边缘物联代理ID、边缘物联代理的私钥和接入网关的公钥与所述密钥协商请求报文中的密钥协商素材进行计算,得到密钥及第一代理校验值和第二代理校验值;
边缘物联代理签名及封装单元,用于采用边缘物联代理的私钥对包含边缘物联代理生成的随机数、边缘物联代理ID、会话的可辨别标识和第二代理校验值的密钥协商素材进行签名,生成签名值,同时将所述签名值和密钥协商素材封装成密钥协商响应报文发送给接入网关。
优选的,所述第二验证模块,包括:
发送认证申请报文单元,用于向物联管理平台发送认证申请报文;
确认并发起认证单元,用于接收物联管理平台基于所述认证申请报文发送的认证请求,保存所述认证请求中物联管理平台的随机数;还用于生成边缘物联代理的随机数,并将所述物联管理平台的随机数和边缘物联代理的随机数签名后生成验证报文发送给物联管理平台;
返回认证结果单元,用于接收物联管理平台基于所述验证报文发送的响应认证报文,并基于所述响应认证报文对物联管理平台的身份进行认证,当通过认证后,与物联管理平台进行业务数据传输。
基于同一发明构思,本发明提供了一种配电物联网的安全防护方法,包括:
边缘物联代理与接入网关之间进行双向身份认证和密钥协商;
当所述边缘物联代理与接入网关进行的双向身份认证和密钥协商成功之后,所述边缘物联代理与物联管理平台进行双向身份认证,通过认证后与物联管理平台进行业务数据传输。
优选的,所述边缘物联代理与接入网关之间进行双向身份认证和密钥协商,包括:
边缘物联代理将边缘物联代理设备证书封装成会话申请报文,并发送给接入网关;
所述边缘物联代理接收接入网关基于所述会话申请报文发送的密钥协商请求报文,并基于预置的接入网关证书中的公钥对所述密钥协商请求报文进行验证,当未通过验证时则向接入网关返回接入网关的身份认证失败,否则执行:
生成边缘物联代理的随机数,并对所述密钥协商请求报文和边缘物联代理的随机数进行计算,得到密钥、第一代理校验值和第二代理校验值,同时将包含所述边缘物联代理的随机数和所述第二代理校验值的密钥协商素材封装成密钥协商响应报文发送给接入网关;
所述边缘物联代理接收接入网关基于密钥协商响应报文发送的会话确认报文,并解析所述会话确认报文提取验证码,当验证码错误时,则与接入网关的协商失败;当验证码正确时,将验证码中的第一网关校验值与所述第一代理校验值进行对比,如果相同则将当前密钥作为传输密文时的会话密钥,否则密钥协商失败。
优选的,所述生成边缘物联代理的随机数,并对所述密钥协商请求报文和边缘物联代理的随机数进行计算,得到密钥、第一代理校验值和第二代理校验值,同时将所述边缘物联代理的随机数和所述第二代理校验值封装成密钥协商响应报文发送给接入网关,包括:
从密钥协商请求报文中获取密钥协商素材;
生成边缘物联代理的随机数,并基于所述边缘物联代理的随机数、边缘物联代理ID、边缘物联代理的私钥和接入网关的公钥与所述密钥协商请求报文中的密钥协商素材进行计算,得到密钥及第一代理校验值和第二代理校验值;
采用边缘物联代理的私钥对包含边缘物联代理生成的随机数、边缘物联代理ID、会话的可辨别标识和第二代理校验值的密钥协商素材进行签名,生成签名值,同时将所述签名值和密钥协商素材封装成密钥协商响应报文并发送给接入网关。
优选的,所述边缘物联代理与物联管理平台进行双向身份认证,通过认证后与物联管理平台进行业务数据传输,包括:
所述边缘物联代理向物联管理平台发送认证申请报文;
接收物联管理平台基于所述认证申请报文发送的认证请求,保存所述认证请求中物联管理平台的随机数;
生成边缘物联代理的随机数,并将所述物联管理平台的随机数和边缘物联代理的随机数签名后生成验证报文发送给物联管理平台;
接收物联管理平台基于所述验证报文发送的响应认证报文,并基于所述响应认证报文对物联管理平台的身份进行认证,当通过认证后,与物联管理平台进行业务数据传输。
基于同一发明构思,本发明还提供了一种接入网关,所述接入网关用于安全防护装置,包括:
网关与边缘物联代理的验证模块,所述网关与边缘物联代理的验证模块与用于安全防护装置的边缘物联代理通信连接,用于与所述边缘物联代理进行双向身份认证和密钥协商。
优选的,所述网关与边缘物联代理的验证模块,包括:
边缘物联代理的身份认证子模块,用于接收边缘物联代理发送的会话申请报文,解析所述会话申请报文获取边缘物联代理设备证书并进行验证,通过验证后提取出边缘物联代理的签名公钥;
密钥协商请求子模块,用于生成接入网关的随机数,并基于所述接入网关的随机数生成密钥协商请求报文发送给边缘物联代理;
密钥协商确认子模块,用于接收边缘物联代理基于所述密钥协商请求报文发送的密钥协商响应报文,并基于所述边缘物联代理的签名公钥验证所述密钥协商响应报文,通过验证后提取所述密钥协商响应报文中的密钥协商素材;还用于对所述接入网关的随机数和所述密钥协商素材进行计算得到密钥、第一网关校验值和第二网关校验值,当所述第二代理校验值和所述密钥协商素材中的第二网关校验值一致时,将所述第一网关校验值生成会话确认报文发送给边缘物联代理。
优选的,所述密钥协商请求子模块,包括:
随机数生成单元,用于生成接入网关的随机数;
生成密钥协商请求报文单元,用于采用接入网关的私钥对包含接入网关的随机数、会话的可辨别标识和接入网关ID的密钥协商素材进行签名,将所述签名值和密钥协商素材封装成密钥协商请求报文发送给边缘物联代理。
优选的,所述密钥协商确认子模块,包括:
网关验证报文签名值单元,用于接收边缘物联代理基于所述密钥协商请求报文发送的密钥协商响应报文,并基于所述边缘物联代理的签名公钥验证密钥协商响应报文的签名值,验证通过后获取所述密钥协商响应报文的密钥协商素材,所述密钥协商素材包括第二代理校验值;
网关密钥生成单元,用于基于所述密钥协商响应报文中除所述第二代理校验值外的密钥协商素材、接入网关的随机数、接入网关ID、边缘物联代理的公钥和接入网关的私钥进行计算,得到密钥及第一网关校验值和第二网关校验值;
会话确认报文生成单元,用于将所述第二网关校验值与所述第二代理校验值做比较,若相等则将第一网关校验值封装成会话确认报文发送给边缘物联代理;若不相等则将错误码封装成会话确认报文发送给边缘物联代理。
基于同一发明构思,本发明还提供了一种配电物联网的安全防护方法,包括:
接入网关与边缘物联代理进行双向身份认证和密钥协商。
优选的,所述接入网关与边缘物联代理进行双向身份认证和密钥协商,包括:
接入网关接收边缘物联代理发送的会话申请报文,解析所述会话申请报文获取边缘物联代理设备证书并进行验证,通过验证后提取出边缘物联代理的签名公钥;
生成接入网关的随机数,并基于所述接入网关的随机数生成密钥协商请求报文发送给边缘物联代理;
接收边缘物联代理基于所述密钥协商请求报文发送的密钥协商响应报文,并基于所述边缘物联代理的签名公钥验证所述密钥协商响应报文,通过验证后提取所述密钥协商响应报文中的密钥协商素材;
对所述接入网关的随机数和所述密钥协商素材进行计算得到密钥、第一网关校验值和第二网关校验值,当所述第二代理校验值和所述密钥协商素材中的第二网关校验值一致时,将所述第一网关校验值生成会话确认报文发送给边缘物联代理。
优选的,所述基于所述接入网关的随机数生成密钥协商请求报文发送给边缘物联代理,包括:
采用接入网关的私钥对包含接入网关的随机数、会话的可辨别标识和接入网关ID的密钥协商素材进行签名,将所述签名值和密钥协商素材封装成密钥协商请求报文发送给边缘物联代理。
优选的,所述对所述接入网关的随机数和所述密钥协商素材进行计算得到密钥、第一网关校验值和第二网关校验值,当所述第二代理校验值和所述密钥协商素材中的第二网关校验值一致时,将所述第一网关校验值生成会话确认报文发送给边缘物联代理,包括:
基于密钥协商响应报文中除第二代理校验值外的密钥协商素材、接入网关的随机数、接入网关ID、边缘物联代理的公钥和接入网关的私钥进行计算,得到密钥及第一网关校验值和第二网关校验值;
将所述第二网关校验值与所述密钥协商素材中的第二代理校验值做比较,若相等则将第一网关校验值封装成会话确认报文发送给边缘物联代理;若不相等则将错误码封装成会话确认报文发送给边缘物联代理。
基于同一发明构思,本发明还提供了一种物联管理平台,所述物联管理平台用于安全防护装置,包括:平台与边缘物联代理的验证模块;
所述平台与边缘物联代理的验证模块与用于安全防护装置的边缘物联代理通信连接;
所述平台与边缘物联代理的验证模块,用于与边缘物联代理进行双向身份认证,认证通过后与边缘物联代理进行业务数据传输。
优选的,所述平台与边缘物联代理的验证模块,包括:
发起认证请求单元,用于接收边缘物联代理发送的认证申请报文,并生成物联管理平台的随机数,还用于将物联管理平台的随机数封装成认证请求,发送给边缘物联代理发;
认证请求响应单元,用于接收边缘物联代理基于所述认证请求发送的验证报文,利用边缘物联代理证书对所述验证报文进行验证,通过验证后对边缘物联代理发送的随机数签名生成响应认证报文发送给边缘物联代理。
基于同一发明构思,本发明还提供了一种配电物联网的安全防护方法,包括:
物联管理平台与边缘物联代理进行双向身份认证,认证通过后与边缘物联代理进行业务数据传输。
优选的,所述物联管理平台与边缘物联代理进行双向身份认证,认证通过后与边缘物联代理进行业务数据传输,包括:
物联管理平台接收边缘物联代理发送的认证申请报文,并生成物联管理平台的随机数;
将物联管理平台的随机数封装成认证请求,发送给边缘物联代理发;
接收边缘物联代理基于所述认证请求发送的验证报文,利用边缘物联代理证书对所述验证报文进行验证,通过验证后对边缘物联代理发送的随机数签名生成响应认证报文发送给边缘物联代理。
本发明提供的技术方案具有以下有益效果:
本发明提供的用于安全防护装置的边缘物联代理,将边缘物联代理分别与用于安全防护装置的接入网关和物联管理平台通讯连接,边缘物联代理中的第一验证模块用于与所述接入网关进行双向身份认证和密钥协商;有效避免了伪造边缘物联代理的接入及边缘物联代理与接入网关交互数据时发生泄露等风险;同时边缘物联代理中的第二验证模块用于在与所述接入网关进行的双向身份认证和密钥协商成功之后,与物联管理平台进行双向身份认证,通过认证后与物联管理平台进行业务数据传输,确保了大规模数量的边缘物联代理安全接入物联管理平台,并与物联管理平台进行业务数据交互时的数据安全,保障配电物联网的安全稳定运行。
本发明提供的用于安全防护装置的接入网关,网关与边缘物联代理的验证模块和用于安全防护装置的边缘物联代理通信连接,用于与所述边缘物联代理进行双向身份认证和密钥协商,实现对大量边缘物联代理的管理,避免伪造边缘物联代理的接入,同时提高了与边缘物联代理交互数据时的安全性。
本发明提供的用于安全防护装置的物联管理平台,物联管理平台与边缘物联代理的验证模块与用于安全防护装置的边缘物联代理通信连接,用于与边缘物联代理进行双向身份认证,认证通过后与边缘物联代理进行业务数据传输,实现了物联管理平台与边缘物联代理进行业务数据交互时的数据安全,保障配电物联网的安全稳定运行。
附图说明
图1为现有技术中配电物联网架构示意图;
图2为本发明中一种用于安全防护装置的边缘物联代理示意图;
图3为本发明中第一验证模块的示意图;
图4为本发明中一种用于安全防护装置的接入网关示意图;
图5为本发明中网关与边缘物联代理的验证模块示意图;
图6为本发明中密钥协商确认子模块的示意图;
图7为本发明中一种用于安全防护装置的物联管理平台示意图;
图8为本发明中平台与边缘物联代理的验证模块示意图;
图9为本发明中边缘物联网代理安全接入物联管理平台示意图;
图10为本发明中边缘物联代理与接入网关的认证及密钥协商流程图;
图11为本发明中边缘物联代理与物联管理平台的认证流程图。
具体实施方式
为了更好地理解本发明,下面结合说明书附图和实例对本发明的内容做进一步的说明。
实施例1:如图2所示,本发明提供了一种边缘物联代理,所述边缘物联代理用于安全防护装置,且分别与用于安全防护装置的接入网关和物联管理平台通讯连接,所述边缘物联代理包括:第一验证模块和第二验证模块;
所述第一验证模块,用于与所述接入网关进行双向身份认证和密钥协商;
所述第二验证模块,用于在与所述接入网关进行的双向身份认证和密钥协商成功之后,与物联管理平台进行双向身份认证,通过认证后与物联管理平台进行业务数据传输。
本发明有效避免了伪造边缘物联代理的接入及边缘物联代理与接入网关交互数据时发生泄露等风险;确保了大规模数量的边缘物联代理安全接入物联管理平台,并与物联管理平台进行业务数据交互时的数据安全,保障配电物联网的安全稳定运行。
实施例中,如图3所示所述第一验证模块,包括:
会话申请子模块,用于将边缘物联代理设备证书封装成会话申请报文,并发送给接入网关;
网关身份认证子模块,用于接收接入网关基于所述会话申请报文发送的密钥协商请求报文,并基于预置的接入网关证书中的公钥对所述密钥协商请求报文进行验证,当通过验证时则调用密钥协商响应子模块,否则向接入网关返回接入网关的身份认证失败;
所述密钥协商响应子模块,用于生成边缘物联代理的随机数,并对所述密钥协商请求报文和边缘物联代理的随机数进行计算,得到密钥、第一代理校验值和第二代理校验值,同时将包含所述边缘物联代理的随机数和所述第二代理校验值的密钥协商素材封装成密钥协商响应报文发送给接入网关;
会话确认子模块,用于接收接入网关基于密钥协商响应报文发送的会话确认报文,并解析所述会话确认报文提取验证码,当验证码错误时,则与接入网关的协商失败;当验证码正确时,将验证码中的第一网关校验值与所述第一代理校验值进行对比,如果相同则将当前密钥作为传输密文时的会话密钥,否则密钥协商失败。
其中,所述密钥协商响应子模块,包括:
密钥协商素材获取单元,用于从密钥协商请求报文中获取密钥协商素材;
边缘物联代理密钥生成单元,用于生成边缘物联代理的随机数,并基于所述边缘物联代理的随机数、边缘物联代理ID、边缘物联代理的私钥和接入网关的公钥与所述密钥协商请求报文中的密钥协商素材进行计算,得到密钥及第一代理校验值和第二代理校验值;
边缘物联代理签名及封装单元,用于采用边缘物联代理的私钥对包含边缘物联代理生成的随机数、边缘物联代理ID、会话的可辨别标识和第二代理校验值的密钥协商素材进行签名,生成签名值,同时将所述签名值和密钥协商素材封装成密钥协商响应报文发送给接入网关。
本实施例中的所述第二验证模块,包括:
发送认证申请报文单元,用于向物联管理平台发送认证申请报文;
确认并发起认证单元,用于接收物联管理平台基于所述认证申请报文发送的认证请求,保存所述认证请求中物联管理平台的随机数;还用于生成边缘物联代理的随机数,并将所述物联管理平台的随机数和边缘物联代理的随机数签名后生成验证报文发送给物联管理平台;
返回认证结果单元,用于接收物联管理平台基于所述验证报文发送的响应认证报文,并基于所述响应认证报文对物联管理平台的身份进行认证,当通过认证后,与物联管理平台进行业务数据传输。
基于同一发明构思,本发明还提供了一种配电物联网的安全防护方法,包括:
边缘物联代理与接入网关之间进行双向身份认证和密钥协商;
当所述边缘物联代理与接入网关进行的双向身份认证和密钥协商成功之后,所述边缘物联代理与物联管理平台进行双向身份认证,通过认证后与物联管理平台进行业务数据传输。
所述边缘物联代理与接入网关之间进行双向身份认证和密钥协商,包括:
边缘物联代理将边缘物联代理设备证书封装成会话申请报文,并发送给接入网关;
所述边缘物联代理接收接入网关基于所述会话申请报文发送的密钥协商请求报文,并基于预置的接入网关证书中的公钥对所述密钥协商请求报文进行验证,当未通过验证时则向接入网关返回接入网关的身份认证失败,否则执行:
生成边缘物联代理的随机数,并对所述密钥协商请求报文和边缘物联代理的随机数进行计算,得到密钥、第一代理校验值和第二代理校验值,同时将包含所述边缘物联代理的随机数和所述第二代理校验值的密钥协商素材封装成密钥协商响应报文发送给接入网关;
所述边缘物联代理接收接入网关基于密钥协商响应报文发送的会话确认报文,并解析所述会话确认报文提取验证码,当验证码错误时,则与接入网关的协商失败;当验证码正确时,将验证码中的第一网关校验值与所述第一代理校验值进行对比,如果相同则将当前密钥作为传输密文时的会话密钥,否则密钥协商失败。
所述生成边缘物联代理的随机数,并对所述密钥协商请求报文和边缘物联代理的随机数进行计算,得到密钥、第一代理校验值和第二代理校验值,同时将所述边缘物联代理的随机数和所述第二代理校验值封装成密钥协商响应报文发送给接入网关,包括:
从密钥协商请求报文中获取密钥协商素材;
生成边缘物联代理的随机数,并基于所述边缘物联代理的随机数、边缘物联代理ID、边缘物联代理的私钥和接入网关的公钥与所述密钥协商请求报文中的密钥协商素材进行计算,得到密钥及第一代理校验值和第二代理校验值;
采用边缘物联代理的私钥对包含边缘物联代理生成的随机数、边缘物联代理ID、会话的可辨别标识和第二代理校验值的密钥协商素材进行签名,生成签名值,同时将所述签名值和密钥协商素材封装成密钥协商响应报文并发送给接入网关。
所述边缘物联代理与物联管理平台进行双向身份认证,通过认证后与物联管理平台进行业务数据传输,包括:
所述边缘物联代理向物联管理平台发送认证申请报文;
接收物联管理平台基于所述认证申请报文发送的认证请求,保存所述认证请求中物联管理平台的随机数;
生成边缘物联代理的随机数,并将所述物联管理平台的随机数和边缘物联代理的随机数签名后生成验证报文发送给物联管理平台;
接收物联管理平台基于所述验证报文发送的响应认证报文,并基于所述响应认证报文对物联管理平台的身份进行认证,当通过认证后,与物联管理平台进行业务数据传输。
实施例2:如图4所示,本发明还提供了一种接入网关,所述接入网关用于安全防护装置,包括:
网关与边缘物联代理的验证模块,所述网关与边缘物联代理的验证模块与用于安全防护装置的边缘物联代理通信连接,用于与所述边缘物联代理进行双向身份认证和密钥协商。
如图5所示,本实施例中所述网关与边缘物联代理的验证模块,包括:
边缘物联代理的身份认证子模块,用于接收边缘物联代理发送的会话申请报文,解析所述会话申请报文获取边缘物联代理设备证书并进行验证,通过验证后提取出边缘物联代理的签名公钥;
密钥协商请求子模块,用于生成接入网关的随机数,并基于所述接入网关的随机数生成密钥协商请求报文发送给边缘物联代理;
密钥协商确认子模块,用于接收边缘物联代理基于所述密钥协商请求报文发送的密钥协商响应报文,并基于所述边缘物联代理的签名公钥验证所述密钥协商响应报文,通过验证后提取所述密钥协商响应报文中的密钥协商素材;还用于对所述接入网关的随机数和所述密钥协商素材进行计算得到密钥、第一网关校验值和第二网关校验值,当所述第二代理校验值和所述密钥协商素材中的第二网关校验值一致时,将所述第一网关校验值生成会话确认报文发送给边缘物联代理。
其中,所述密钥协商请求子模块,包括:
随机数生成单元,用于生成接入网关的随机数;
生成密钥协商请求报文单元,用于采用接入网关的私钥对包含接入网关的随机数、会话的可辨别标识和接入网关ID的密钥协商素材进行签名,将所述签名值和密钥协商素材封装成密钥协商请求报文发送给边缘物联代理。
如图6所示,所述密钥协商确认子模块,包括:
网关验证报文签名值单元,用于接收边缘物联代理基于所述密钥协商请求报文发送的密钥协商响应报文,并基于所述边缘物联代理的签名公钥验证密钥协商响应报文的签名值,验证通过后获取所述密钥协商响应报文的密钥协商素材,所述密钥协商素材包括第二代理校验值;
网关密钥生成单元,用于基于所述密钥协商响应报文中除所述第二代理校验值外的密钥协商素材、接入网关的随机数、接入网关ID、边缘物联代理的公钥和接入网关的私钥进行计算,得到密钥及第一网关校验值和第二网关校验值;
会话确认报文生成单元,用于将所述第二网关校验值与所述第二代理校验值做比较,若相等则将第一网关校验值封装成会话确认报文发送给边缘物联代理;若不相等则将错误码封装成会话确认报文发送给边缘物联代理。
基于同一发明构思,本发明还提供了一种配电物联网的安全防护方法,包括:
接入网关与边缘物联代理进行双向身份认证和密钥协商。
实施例中,所述接入网关与边缘物联代理进行双向身份认证和密钥协商,包括:
接入网关接收边缘物联代理发送的会话申请报文,解析所述会话申请报文获取边缘物联代理设备证书并进行验证,通过验证后提取出边缘物联代理的签名公钥;
生成接入网关的随机数,并基于所述接入网关的随机数生成密钥协商请求报文发送给边缘物联代理;
接收边缘物联代理基于所述密钥协商请求报文发送的密钥协商响应报文,并基于所述边缘物联代理的签名公钥验证所述密钥协商响应报文,通过验证后提取所述密钥协商响应报文中的密钥协商素材;
对所述接入网关的随机数和所述密钥协商素材进行计算得到密钥、第一网关校验值和第二网关校验值,当所述第二代理校验值和所述密钥协商素材中的第二网关校验值一致时,将所述第一网关校验值生成会话确认报文发送给边缘物联代理。
实施例中,所述基于所述接入网关的随机数生成密钥协商请求报文发送给边缘物联代理,包括:
采用接入网关的私钥对包含接入网关的随机数、会话的可辨别标识和接入网关ID的密钥协商素材进行签名,将所述签名值和密钥协商素材封装成密钥协商请求报文发送给边缘物联代理。
实施例中,所述对所述接入网关的随机数和所述密钥协商素材进行计算得到密钥、第一网关校验值和第二网关校验值,当所述第二代理校验值和所述密钥协商素材中的第二网关校验值一致时,将所述第一网关校验值生成会话确认报文发送给边缘物联代理,包括:
基于密钥协商响应报文中除第二代理校验值外的密钥协商素材、接入网关的随机数、接入网关ID、边缘物联代理的公钥和接入网关的私钥进行计算,得到密钥及第一网关校验值和第二网关校验值;
将所述第二网关校验值与所述密钥协商素材中的第二代理校验值做比较,若相等则将第一网关校验值封装成会话确认报文发送给边缘物联代理;若不相等则将错误码封装成会话确认报文发送给边缘物联代理。
实施例3:如图7所示,本发明还提供了一种用于安全防护装置的物联管理平台,包括:平台与边缘物联代理的验证模块;
所述平台与边缘物联代理的验证模块与用于安全防护装置的边缘物联代理通信连接;
所述平台与边缘物联代理的验证模块,用于与边缘物联代理进行双向身份认证,认证通过后与边缘物联代理进行业务数据传输。
如图8所示,所述平台与边缘物联代理的验证模块,包括:
发起认证请求单元,用于接收边缘物联代理发送的认证申请报文,并生成物联管理平台的随机数,还用于将物联管理平台的随机数封装成认证请求,发送给边缘物联代理发;
认证请求响应单元,用于接收边缘物联代理基于所述认证请求发送的验证报文,利用边缘物联代理证书对所述验证报文进行验证,通过验证后对边缘物联代理发送的随机数签名生成响应认证报文发送给边缘物联代理。
基于同一发明构思,本发明还提供了一种配电物联网的安全防护方法,包括:
物联管理平台与边缘物联代理进行双向身份认证,认证通过后与边缘物联代理进行业务数据传输。
实施例中,所述物联管理平台与边缘物联代理进行双向身份认证,认证通过后与边缘物联代理进行业务数据传输,包括:
物联管理平台接收边缘物联代理发送的认证申请报文,并生成物联管理平台的随机数;
将物联管理平台的随机数封装成认证请求,发送给边缘物联代理发;
接收边缘物联代理基于所述认证请求发送的验证报文,利用边缘物联代理证书对所述验证报文进行验证,通过验证后对边缘物联代理发送的随机数签名生成响应认证报文发送给边缘物联代理。
实施例4:如图9所示,边缘物联代理在接入物联管理平台时,要先经过接入网关(以下简称“网关”),完成与网关的身份互认及会话密钥协商后,方可接入物联管理平台。本发明通过对边缘物联代理接入物联管理平台的身份进行合法性管控,并通过协商方式生成用于业务交互数据保护的会话密钥,保证边缘物联代理的接入安全。
(1)边缘物联代理与网关的身份认证及密钥协商
边缘物联代理与网关进行密钥协商过程中,同时完成边缘物联代理与网关的接入认证,接入认证采用的方式为:边缘物联代理出厂初始化时预置网关证书,首先将边缘物联代理证书发给网关,网关通过验证边缘物联代理证书的方式确定其合法性;边缘物联代理应用预置的网关证书,采用SM2签名算法验证网关发送的协商报文签名值,确定网关的合法性,从而完成网关和边缘物联代理的双向身份认证。
边缘物联代理与网关之间传递设备ID、随机数、签名值等密钥协商素材,并使用SM2签名算法对密钥协商素材进行签名保护,通过会话申请、密钥协商请求、密钥协商响应、会话确认等流程,完成边缘物联代理与网关的密钥协商,协商出来的密钥用于边缘物联代理与网关交互数据的加解密操作。
(2)边缘物联代理与物联管理平台的身份认证
边缘物联代理与网关完成身份认证与密钥协商后,在与物联管理平台进行业务数据交互前,需进行边缘物联代理与物联管理平台的双向身份认证。物联管理平台与边缘物联代理之间建立网络连接后,边缘物联代理向物联管理平台发送认证申请报文,物联管理平台产生随机数R1发送给边缘物联代理,边缘物联代理从安全芯片取随机数R2,将R1 R2签名后发送给物联管理平台。物联管理平台用边缘物联代理证书验证签名有效性,验证通过完成物联管理平台对边缘物联代理的身份认证。然后物联管理平台对边缘物联代理随机数R2签名并将签名结果发送边缘物联代理,边缘物联代理验证物联管理平台签名的正确性,验证通过完成边缘物联代理对物联管理平台的身份认证。
边缘物联代理与物联管理平台业务数据交互前,采用基于数字证书的身份认证技术,实现物联管理平台与边缘物联代理的双向身份鉴别,同时防火墙、数据隔离组件也提供相应访问控制措施,有效避免伪造边缘物联代理接入威胁配电物联网系统运行安全。
本实施例根据附图对边缘物联代理的安全接入方法进行具体描述:
(1)如图10所示,边缘物联代理与网关的身份认证及密钥协商流程,包括:
1)会话申请
边缘物联代理与网关建立TCP链路后,边缘物联代理向网关发送“会话申请”报文,报文包括边缘物联代理设备证书信息。
2)密钥协商请求
网关收到“会话申请”报文后,首先通过解析报文获取边缘物联代理的身份证书,对身份证书的有效性进行验证,并在验证成功后提取出边缘物联代理的签名公钥。
然后产生随机数Ra,与会话可辨别标识Se等一起作为密钥协商素材,用网关身份密钥对其进行签名,生成签名数据,将以上信息封装成“密钥协商请求”报文发送给边缘物联代理。
3)密钥协商响应
边缘物联代理收到“密钥协商请求”报文后,首先用预置的网关证书验证协商报文的签名值,再获取到网关产生的随机数Ra、会话可辨别标识Se等信息。
然后边缘物联代理产生随机数Rb,与Ra、Se、网关ID、边缘物联代理ID、网关公钥、边缘物联代理私钥等一起计算出key及校验值Sb2和Sb3。
最后用边缘物联代理身份密钥对Rb、Se、边缘物联代理ID和Sb3一起进行签名,生成签名数据。将以上信息封装成“密钥协商响应”报文发送给网关。
4)会话确认
网关收到“密钥协商响应”报文后,首先验证签名值,验证通过后,获取Rb、Se、边缘物联代理ID以及Sb3。
然后与网关随机数Ra、Se、网关ID、边缘物联代理ID、边缘物联代理公钥、网关私钥一起计算出key及校验值Sa2、Sa3;
再将生成的Sa3与响应报文中的Sb3做比较;
若相等,则将Sa2封装成“会话确认”报文发送给边缘物联代理;
若不等,则将错误码封装成“会话确认”报文发送给边缘物联代理。
5)边缘物联代理验证
边缘物联代理收到“会话确认”报文后,首先根据错误码识别认证结果,若错误码不为0,则表示网关验证失败;若错误码为0,获取Sa2与边缘物联代理的Sb2进行对比,一致则协商完成。
至此,边缘物联代理与网关的身份认证与密钥协商流程完成。
(2)如图11所示,边缘物联代理与物联管理平台的身份认证流程,包括:
1)边缘物联代理向物联管理平台发起认证申请报文;
2)物联管理平台从配电加密认证装置取随机数R1,发送给边缘物联代理;
3)边缘物联代理从安全芯片取随机数R2,将R1 R2签名后发送给物联管理平台,同时边缘物联代理保存R1;
4)物联管理平台用边缘物联代理证书验证边缘物联代理签名有效性,验证通过完成物联管理平台对边缘物联代理的身份,之后物联管理平台对边缘物联代理随机数R2签名,将结果发送边缘物联代理;
5)边缘物联代理验证物联管理平台签名的正确性,验证通过完成边缘物联代理对物联管理平台的身份认证并返回认证确认信息。
本发明设计了边缘物联代理接入网关的身份认证、密钥协商流程,以及与物联管理平台的身份认证方法,有效避免伪造边缘物联代理的接入及边缘物联代理与网关交互数据泄露等风险,确保大规模数量边缘物联代理的安全接入及交互数据安全,保障配电物联网的安全稳定运行。
对本发明图1中缩写进行解释:
FTU(Feeder Terminal Unit):馈线开关监控终端是装设在10KV断路器、负荷开关的开关监控装置。主要作用是采集各开关所在线路的电气参数,并将这些信息向上级系统传输;监视线路运行状况,当线路故障时及时上报,等待上级系统发来的指令进行开关开/合控制,执行主站遥控命令。
DTU(Distribution Terminal Unit):是安装在常规开闭站(所)、户外小型开闭所、环网柜、小型变电站、箱式变电站等处的数据采集与监控终端装置。它的作用是完成对开闭所等组成开关设备的位置信号,执行主站遥控命令,对开关进行分、合闸操作。
TTU(Transformer Terminal Unit):是装设在配电变压器、箱变等变压器设备旁,监测变压器运行状况的终端装置。TTU的主要作用是采集并处理配电变压器低压侧的各种电量等参数,并将这些参数向上级传输,监视变压器运行状况,当变压器发生故障时及时上报,还可增加对电容器组实现就地和远程集中无功自动补偿及其他控制功能。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
