一种电力专用CPU芯片网络层数据隧道建立方法与流程

一种电力专用cpu芯片网络层数据隧道建立方法
技术领域
1.本发明属于电力技术领域，尤其涉及一种电力专用cpu芯片网络层数据隧道建立方法。


背景技术：

2.电力专用cpu芯片由安全子系统、应用子系统、核间通信模块组成。应用子系统包括带ipsec的tcp/ip网络协议栈、cos、通信模块、密码算法模块、底层驱动，安全子系统包括安全密码算法模块、cos、底层驱动。带ipsec的网络协议栈模块负责网络报文的处理、ipsec网络安全传输。
3.ipsec协议不是一个单独的协议，它给出了应用于ip层上网络数据安全的一整套体系结构，提供了认证和加密两种安全机制。认证机制使ip通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。
4.ipsec包括网络认证协议esp（encapsulating security payload，封装安全载荷）、ike（internet key exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，ah协议和esp协议用于提供安全服务，ike协议用于密钥交换。
5.ike由internet 安全联盟（sa）和密钥管理协议（isakmp）这两种密钥交换协议组成。ike不是在网络上直接传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三者截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。
6.系统主站与电力终端使用应用层加密认证、ipsec安全芯片进行认证、业务操作，在主站与终端交互之前，需要保证数据传输的安全。因此，需要一种电力专用cpu芯片网络层数据隧道建立方法。


技术实现要素：

7.本发明的目的在于提供一种电力专用cpu芯片网络层数据隧道建立方法，从而解决了现有系统主站与电力终端之间的数据传输不够安全的缺点。
8.为实现上述目的，本发明提供了一种电力专用cpu芯片网络层数据隧道建立方法，包括：利用ipsec系统在电力终端与加密认证网关之间建立专用ipsec隧道，通过所述ipsec隧道进行网络层数据安全传输，ipsec隧道建立包括以下步骤：电力终端发送建议的安全联盟载荷至加密认证网关；当加密认证网关确认所述安全联盟载荷后，返回接受的安全联盟载荷建议和网关证书至电力终端；在所述电力终端接收到安全联盟载荷建议和网关证书后，生成第一阶段秘钥，并发送至加密认证网关；所述加密认证网关接收到到第一阶段秘钥后，生成第二阶段秘钥，并发送至电力
终端；验证生成两个阶段的秘钥中的数据的哈希值，通过所述哈希值的验证过程完成数据的交换，完成入向流量和出向流量的会话密钥生成；电力终端和加密认证网关使用所述会话密钥建立esp隧道，通过所述esp隧道进行通信。
9.优选地，所述电力终端接收到安全联盟载荷建议和网关证书后，生成第一阶段秘钥，并发送至加密认证网关，具体包括：在所述电力终端接收到安全联盟载荷建议和网关证书后，电力终端将终端身份信息和终端随机数使用终端临时秘钥加密得到终端身份信息密文和终端随机数密文，将所述终端临时密钥通过所述网关证书中的公钥加密得到临时秘钥密文，将所述终端身份信息密文、终端随机数密文以及临时终端秘钥密文一并进行数字签名后发送给加密认证网关。
10.优选地，所述加密认证网关接收到到第一阶段秘钥后，生成第二阶段秘钥，并发送至电力终端，具体包括：所述加密认证网关接收到到第一阶段秘钥后，验证接收数据中的数字签名，当签名正确后解密数据，将网关身份信息和网关随机数使用网关临时密钥加密得到网关身份密文和网关随机数密文，将所述网关临时密钥使用终端证书中的公钥加密得到临时网关秘钥密文，将所述网关身份密文、网关随机数密文以及临时网关秘钥密文一并进行数字签名后发送给电力终端。
11.优选地，验证生成两个阶段的秘钥中的数据的哈希值，通过所述哈希值的验证过程完成数据的交换，完成入向流量和出向流量的会话密钥生成，具体包括：所述电力终端验证第一阶段秘钥数据的哈希值，并加密发送至加密认证网关；所述加密认证网关验证第二阶段秘钥的哈希值，并加密发送至电力终端；所述电力终端验证两个所述哈希值，并计算新的哈希值并加密后发送给加密认证网关。
12.优选地，所述电力终端验证第一阶段秘钥数据的哈希值，并加密发送至加密认证网关，具体包括：所述电力终端使用伪随机函数对认证密钥、随机数、sa、终端id计算新的哈希值并加密后发送给加密认证网关。
13.优选地，所述加密认证网关验证第二阶段秘钥的哈希值，并加密发送至电力终端，具体包括：所述加密认证网关使用伪随机函数对认证密钥、随机数、sa、网关id计算新的哈希值并加密后发送给电力终端。
14.优选地，所述电力终端验证两个所述哈希值，并计算新的哈希值并加密后发送给加密认证网关，具体包括：所述电力终端验证两个所述哈希值，使用伪随机函数对认证密钥、随机数、终端id计算新的哈希值并加密后发送给加密认证网关。
15.优选地，在主站与电力终端交互之前，通过所述ipsec隧道进行加密认证网关与电力终端的双向身份认证与数据传输安全加固。
16.与现有的技术相比，本发明具有如下有益效果：
本发明所提供的电力专用cpu芯片网络层数据隧道建立方法，利用ipsec系统在电力终端与加密认证网关之间建立专用ipsec隧道，通过所述ipsec隧道进行网络层数据安全传输，ipsec隧道建立包括：电力终端发送建议的安全联盟载荷至加密认证网关；当加密认证网关确认所述安全联盟载荷后，返回接受的安全联盟载荷建议和网关证书至电力终端；在所述电力终端接收到安全联盟载荷建议和网关证书后，生成第一阶段秘钥，并发送至加密认证网关；所述加密认证网关接收到到第一阶段秘钥后，生成第二阶段秘钥，并发送至电力终端；验证生成两个阶段的秘钥中的数据的哈希值，通过所述哈希值的验证过程完成数据的交换，完成入向流量和出向流量的会话密钥生成；电力终端和加密认证网关使用所述会话密钥建立esp隧道，通过所述esp隧道进行通信，从而使得主站与电力终端交互之前，可以通过esp隧道对加密认证网关与电力终端进行双向身份认证与数据传输安全加固，从而解决了现有系统主站与电力终端之间的数据传输不够安全的缺点。
附图说明
17.为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一个实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1是本发明一种电力专用cpu芯片网络层数据隧道建立方法的流程图。
具体实施方式
19.下面结合本发明实施例中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.如图1所示，本发明所提供的电力专用cpu芯片网络层数据隧道建立方法包括：利用ipsec系统在电力终端与加密认证网关之间建立专用ipsec隧道，通过所述ipsec隧道进行网络层数据安全传输，ipsec隧道（tunnel）模式指用户的整个ip数据包被用来计算ah或esp头，ah或esp头以及esp加密的用户数据被封装在一个新的ip数据包中。ipsec隧道建立包括以下步骤：s1、电力终端发送建议的安全联盟载荷至加密认证网关。
21.s2、当加密认证网关确认所述安全联盟载荷后，返回接受的安全联盟载荷建议和网关证书至电力终端。
22.s3、在所述电力终端接收到安全联盟载荷建议和网关证书后，生成第一阶段秘钥，并发送至加密认证网关；具体包括：在所述电力终端接收到安全联盟载荷建议和网关证书后，电力终端将终端身份信息和终端随机数使用终端临时秘钥加密得到终端身份信息密文和终端随机数密文，将所述终端临时密钥通过所述网关证书中的公钥加密得到临时秘钥密文，将所述终端身份信息密文、终端随机数密文以及临时终端秘钥密文一并进行数字签名后发送给加密认证网关。
23.s4、所述加密认证网关接收到到第一阶段秘钥后，生成第二阶段秘钥，并发送至电力终端；具体包括：
所述加密认证网关接收到到第一阶段秘钥后，即加密认证网关接收所述终端身份信息密文、终端随机数密文以及临时终端秘钥密文后，验证接收数据中的数字签名，当签名正确后解密数据，将网关身份信息和网关随机数使用网关临时密钥加密得到网关身份密文和网关随机数密文，将所述网关临时密钥使用终端证书中的公钥加密得到临时网关秘钥密文，将所述网关身份密文、网关随机数密文以及临时网关秘钥密文一并进行数字签名后发送给电力终端。
24.s5、验证生成两个阶段的秘钥中的数据的哈希值，通过所述哈希值的验证过程完成数据的交换，完成入向流量和出向流量的会话密钥生成；具体包括：s51、所述电力终端验证第一阶段秘钥数据的哈希值，并加密发送至加密认证网关；具体包括：所述电力终端使用伪随机函数对认证密钥、随机数、sa、终端id等数据计算新的哈希值并加密后发送给加密认证网关。
25.s52、所述加密认证网关验证第二阶段秘钥的哈希值，并加密发送至电力终端；具体包括：所述加密认证网关使用伪随机函数对认证密钥、随机数、sa、网关id等数据计算新的哈希值并加密后发送给电力终端。具体包括：所述电力终端验证两个所述哈希值，使用伪随机函数对认证密钥、随机数、终端id等数据计算新的哈希值并加密后发送给加密认证网关。
26.s53、所述电力终端验证两个所述哈希值，并计算新的哈希值并加密后发送给加密认证网关。
27.s6、电力终端和加密认证网关使用所述会话密钥建立esp隧道，通过所述esp隧道进行通信。
28.主站与电力终端通过inse cos提供的安全认证机制进行身份认证。身份认证由主站发起，终端被动响应，一方对另一方认证失败，返回认证失败信息，不响应对方数据。而在主站与电力终端交互之前，需要通过所述ipsec隧道进行加密认证网关与电力终端的双向身份认证与数据传输安全加固。
29.综上，本发明一种电力专用cpu芯片网络层数据隧道建立方法，利用ipsec系统在电力终端与加密认证网关之间建立专用ipsec隧道，通过所述ipsec隧道进行网络层数据安全传输，ipsec隧道建立包括：电力终端发送建议的安全联盟载荷至加密认证网关；当加密认证网关确认所述安全联盟载荷后，返回接受的安全联盟载荷建议和网关证书至电力终端；在所述电力终端接收到安全联盟载荷建议和网关证书后，生成第一阶段秘钥，并发送至加密认证网关；所述加密认证网关接收到到第一阶段秘钥后，生成第二阶段秘钥，并发送至电力终端；验证生成两个阶段的秘钥中的数据的哈希值，通过所述哈希值的验证过程完成数据的交换，完成入向流量和出向流量的会话密钥生成；电力终端和加密认证网关使用所述会话密钥建立esp隧道，通过所述esp隧道进行通信，从而使得主站与电力终端交互之前，可以通过esp隧道对加密认证网关与电力终端进行双向身份认证与数据传输安全加固，从而解决了现有系统主站与电力终端之间的数据传输不够安全的缺点。
30.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟
以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
31.以上所揭露的仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或变型，都应涵盖在本发明的保护范围之内。