一种基于SSAL/SSL协议的高性能安全接入方法及装置与流程

一种基于ssal/ssl协议的高性能安全接入方法及装置
技术领域
1.本发明涉及一种基于ssal/ssl协议的高性能安全接入方法及装置，属于 技术领域。


背景技术：

2.当前电力行业的安全接入主要采用多种网关，比如视频接入时使用视频专 用网关，输电线路采集业务使用采集专用网关及手持终端业务使用的安全接入 网关，其中视频专用网关采用视频控制信令加密、视频流数据不加密的方式实 现视频流数据的高效传输。视频终端必须在硬件上集成特定安全加密芯片，软 件上遵循视频专用网关特定的安全协议进行协商、认证、加密传输。
3.采集专用网关主要用于输电供电线路电压采集等业务场景，同样是需要在 采集终端集成安全加密芯片，软件上使用类似视频专用网关的协议进行认证和 加密传输。
4.以上两种网关支持的协议单一，并且协议与业务绑定较强，终端接入时还 需要进行硬件改造，接入难度较大。
5.安全接入网关主要用于现场人员的手持终端接入等，同时也可接入视频终 端等设备。安全接入网关实现安全接入与业务协议的完全解耦，业务不再关心 安全接入的具体细节，并且可采用安全tf卡(通用接口)方式接入，终端硬件 无需改动，降低终端设备安全接入的复杂度。正由于安全接入网关不关心应用 层协议，因此亦可采用安全网关进行视频传输。但是，安全接入网关在进行视 频传输时，对视频流数据也进行了加密传输，视频流数据的加密占用了终端大 量的资源，降低了数据传输效率，且限制了安全接入网关接入终端的数量。 综上，现有技术不能有效解决海量终端，大流量，多种业务的安全接入问题， 分析现有的安全接入方式，我们发现了现有技术的一些短板：
6.(1)接入终端种类和业务单一，不能支持物联网的万物互联，单一种类网关只 能支持一种终端。
7.(2)终端接入改造周期长，难度大，需要进行硬件适配和改造，同时可能需要 修改原有的业务协议以接入新的网关。
8.(3)面对海量终端和大流量业务时，由于设计容量不足，导致需要多台网关进 行并行处理，在设备部署和故障排查方面造成了较大的困难。


技术实现要素：

9.本发明的目的在于克服现有技术中的不足，提供一种基于ssal/ssl协议 的高性能安全接入方法及装置，在协商，认证，加解密过程中选择使用硬件密 码卡对关检数据的保护，保证数据的完整性和安全性。
10.为达到上述目的，本发明是采用下述技术方案实现的：
11.第一方面，本发明提供了一种基于ssal/ssl协议的高性能安全接入方法， 包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接 入网关，所述方法应
用于电力物联网安全接入网关，包括：
12.接收终端发送的数据包请求，其中，所述数据包包括终端的签名证书及加 密证书；
13.对所述签名证书及加密证书进行认证，认证成功之后通过加密签名运算生 成“密钥协商请求”发送给终端；
14.接收终端发送的“密钥协商响应”进行验证和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认”发送给终端，
15.其中，所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密， 然后产生再通过加密和签名运算产生，
16.其中，所述终端对“密钥协商确认”进行验签和解密，并对比解密后的明 文，确认无误则协商完成；
17.使用会话密钥和初始iv对通信数据解密后去掉ssal协议外壳，把原始数 据发送给业务服务器，
18.其中，终端使用会话密钥和初始iv对通信数据加密后发送给电力物联网安 全接入网关，
19.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
20.根据记录的链路信息找到终端的信息，使用与终端协商的会话密钥及初始 iv对响应数据加密后发送给终端。
21.进一步的，还包括：将终端通过ssl协议接入电力物联网安全接入网关， 通过端口代理模式和隧道模式两种模式进行业务数据传输。
22.进一步的，所述终端以端口代理模式的接入时，终端向电力物联网安全接 入网关发起代理请求时，通过报文通知电力物联网安全接入网关需要代理的服 务地址和端口，电力物联网安全接入网关根据终端信息查询对应的访问控制列 表，如果符合则终端启动对应的代理规则，在客户端访问对应的代理端口时， 向电力物联网安全接入网关发送代理请求，电力物联网安全接入网关成功连接 服务器之后，向终端发送代理响应，终端即可通过电力物联网安全接入网关与 服务器通信。
23.进一步的，所述终端以隧道模式接入时，终端支持虚拟网卡技术，电力物 联网安全接入网关在对终端认证完成后，向终端分配虚拟局域网地址和路由， 终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中，可 以互相直接访问，终端向服务器发送的ip层数据会经sdk程序加密后发送到电 力物联网安全接入网关，电力物联网安全接入网关收到加密的ip层数据后解密， 再发送给服务器，实现虚拟局域网。
24.第二方面，本发明提供一种基于ssal/ssl协议的高性能安全接入方法， 包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接 入网关，所述方法应用于终端，包括：
25.发送数据包请求至电力物联网安全接入网关，其中，所述数据包包括终端 的签名证书及加密证书，
26.其中，电力物联网安全接入网关对所述签名证书及加密证书进行认证，认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；
27.对“密钥协商请求”进行验证和解密，然后产生再通过加密和签名等运算 产生“密钥协商响应”发送给电力物联网安全接入网关，
28.其中，电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商 确认”发送给终端；
29.对“密钥协商确认”进行验签和解密，并对比解密后的明文，确认无误则 协商完成；
30.使用会话密钥和初始iv对通信数据加密后发送给电力物联网安全接入网关，
31.其中，电力物联网安全接入网关使用会话密钥和初始iv对通信数据解密后 去掉ssal协议外壳，把原始数据发送给业务服务器，
32.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
33.其中，电力物联网安全接入网关根据记录的链路信息找到终端的信息，使 用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。
34.进一步的，还包括：将终端通过ssl协议接入电力物联网安全接入网关， 通过端口代理模式和隧道模式两种模式进行业务数据传输。
35.进一步的，所述终端以端口代理模式的接入时，终端向电力物联网安全接 入网关发起代理请求时，通过报文通知电力物联网安全接入网关需要代理的服 务地址和端口，电力物联网安全接入网关根据终端信息查询对应的访问控制列 表，如果符合则终端启动对应的代理规则，在客户端访问对应的代理端口时， 向电力物联网安全接入网关发送代理请求，电力物联网安全接入网关成功连接 服务器之后，向终端发送代理响应，终端即可通过电力物联网安全接入网关与 服务器通信。
36.进一步的，所述终端以隧道模式接入时，终端支持虚拟网卡技术，电力物 联网安全接入网关在对终端认证完成后，向终端分配虚拟局域网地址和路由， 终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中，可 以互相直接访问，终端向服务器发送的ip层数据会经sdk程序加密后发送到电 力物联网安全接入网关，电力物联网安全接入网关收到加密的ip层数据后解密， 再发送给服务器，实现虚拟局域网。
37.第三方面，本发明提供一种基于ssal/ssl协议的高性能安全接入装置， 包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接 入网关，所述装置应用于电力物联网安全接入网关，包括：
38.数据包接收单元，用于接收终端发送的数据包请求，其中，所述数据包包 括终端的签名证书及加密证书；
39.认证单元，用于对所述签名证书及加密证书进行认证，认证成功之后通过 加密签名运算生成“密钥协商请求”发送给终端；
40.验证解密单元，用于接收终端发送的“密钥协商响应”进行验证和解密， 得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认”发 送给终端，
41.其中，所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密， 然后产生再通过加密和签名运算产生，
42.其中，所述终端对“密钥协商确认”进行验签和解密，并对比解密后的明 文，确认无误则协商完成；
43.解密单元，用于使用会话密钥和初始iv对通信数据解密后去掉ssal协议 外壳，把原始数据发送给业务服务器，
44.其中，终端使用会话密钥和初始iv对通信数据加密后发送给电力物联网安 全接入网关，
45.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
46.加密单元，用于根据记录的链路信息找到终端的信息，使用与终端协商的 会话密钥及初始iv对响应数据加密后发送给终端。
47.第四方面，本发明提供一种基于ssal/ssl协议的高性能安全接入装置， 包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接 入网关，所述装置应用于终端，包括：
48.数据包发送单元，用于发送数据包请求至电力物联网安全接入网关，其中， 所述数据包包括终端的签名证书及加密证书，
49.其中，电力物联网安全接入网关对所述签名证书及加密证书进行认证，认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；
50.第一验证解密单元，用于对“密钥协商请求”进行验证和解密，然后产生 再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网 关，
51.其中，电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商 确认”发送给终端；
52.第二验证解密单元，对“密钥协商确认”进行验签和解密，并对比解密后 的明文，确认无误则协商完成；
53.加密单元，用于使用会话密钥和初始iv对通信数据加密后发送给电力物联 网安全接入网关，
54.其中，电力物联网安全接入网关使用会话密钥和初始iv对通信数据解密后 去掉ssal协议外壳，把原始数据发送给业务服务器，
55.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
56.其中，电力物联网安全接入网关根据记录的链路信息找到终端的信息，使 用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。
57.与现有技术相比，本发明所达到的有益效果：
58.本发明基于自主可控算法国密算法的ssl协议，在协商，认证，加解密过 程中选择使用硬件密码卡对关检数据的保护，保证数据的完整性和安全性，使 用ssl和ssal协议，两种协议都可以与业务解耦，承载多种业务，接入多种终 端，同时端口代理模式和透明代理模式，可理论上可承载ip层之上的所有协议。
附图说明
59.图1是本发明实施例提供的一种基于ssal/ssl协议的高性能安全接入方 法的流程图；
60.图2是本发明实施例提供的终端以端口代理模式接入时的方法流程图；
61.图3是本发明实施例提供的终端以隧道模式接入时的方法流程图。
具体实施方式
62.下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明 本发明的技术方案，而不能以此来限制本发明的保护范围。
63.实施例1
64.如图1所示，本实施例介绍一种基于ssal/ssl协议的高性能安全接入方 法，包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安 全接入网关，所述方法应用于电力物联网安全接入网关，包括：
65.接收终端发送的数据包请求，其中，所述数据包包括终端的签名证书及加 密证书；
66.对所述签名证书及加密证书进行认证，认证成功之后通过加密签名运算生 成“密钥协商请求”发送给终端；
67.接收终端发送的“密钥协商响应”进行验证和解密，得到会话密钥和初始 iv，然后使用会话密钥和初始iv产生“密钥协商确认”发送给终端，
68.其中，所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密， 然后产生再通过加密和签名运算产生，
69.其中，所述终端对“密钥协商确认”进行验签和解密，并对比解密后的明 文，确认无误则协商完成；
70.使用会话密钥和初始iv对通信数据解密后去掉ssal协议外壳，把原始数 据发送给业务服务器，
71.其中，终端使用会话密钥和初始iv对通信数据加密后发送给电力物联网安 全接入网关，
72.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
73.根据记录的链路信息找到终端的信息，使用与终端协商的会话密钥及初始 iv对响应数据加密后发送给终端。
74.本实施例分为ssal协议接入和ssl协议接入两种协议，其中ssl协议接入 还区分端口代理模式和透明代理模式两种不同的实现方式。
75.(1)ssal协议
76.ssal协议全称《ssal国家电网公司安全应用层协议》，为规范国家电网公 司信息网络边界专用安全防护设备的功能和性能，落实《国家电网公司关于印 发《新一代信息网络安全接入网关与信息网络安全隔离装置应用指导意见》的 通知》(国家电网信通﹝2018﹞289号)要求，制定本技术协议规范。
77.(2)ssl协议
78.ssl协议即安全套接字协议，使用ssl协议的终端接入过程为国密ssl标准 流程。
79.(3)终端接入电力物联网安全接入网关的协商，如图1至如图3所示，认 证及业务流程如下：
80.一.ssal协议接入
81.1.终端向网关发送接入请求，数据包内容为终端的签名证书及加密证书
82.2.电力物联网安全接入网关对终端的证书进行认证，认证成功之后通过加 密签名等运算生成“密钥协商请求”发送给终端
83.3.终端对“密钥协商请求”进行验证和解密，然后产生再通过加密和签名 等运算产生“密钥协商响应”发送给电力物联网安全接入网关
84.4.电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证和解 密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认
”ꢀ
发送给终端
85.5.终端对“密钥协商确认”进行验签和解密，并对比解密后的明文，确认 无误则协商完成
86.6.终端和电力物联网安全接入网关在之后的通信中，使用会话密钥和初始 iv对通信数据加解密，终端将数据加密后发送给电力物联网安全接入网关，网 关解密后去掉ssal协议外壳，把原始数据发送给业务服务器。
87.7.业务服务器收到网关的原始数据后，对数据进行处理，将响应发给网关， 网关根据记录的链路信息找到终端的信息，使用与终端协商的会话密钥及初始 iv对响应数据加密后发送给终端。
88.二.ssl接入
89.ssl协议的终端认证流程为国密标准流程，终端通过ssl协议接入网关后， 分两种模式进行业务数据传输，详细说明如下：
90.1.端口代理模式
91.端口代理模式与ssal协议接入的方式类似，终端向网关发起代理请求时， 通过报文通知网关需要代理的服务地址和端口，网关根据终端信息查询对应的 访问控制列表，如果符合则终端启动对应的代理规则，在客户端访问对应的代 理端口时，向网关发送代理请求，网关成功连接服务器之后，向终端发送代理 响应，终端即可通过网关与服务器通信。
92.2.隧道模式
93.终端以隧道模式接入时，需要终端支持虚拟网卡技术(tun/tap)，网关在对 终端认证完成后，向终端分配虚拟局域网地址和路由，终端和服务器就处在以 网关为中心的虚拟局域网络中，可以互相直接访问。终端向服务器发送的ip层 数据会经sdk程序加密后发送到网关，网关收到加密的ip层数据后解密，再发 送给服务器这样就实现了虚拟局域网。
94.(4)电力物联网安全接入网关支持国密ssl协议或者ssal协议接入，在 使用国密的sm2/3/4以及部分终端使用的硬件sm1算法经过加解密，签名验签 等步骤后终端与网关完成相互认证，并且协商出一套用来加密业务数据的会话 密钥。之后的业务都使用这一套密钥进行加密。会话密钥可以设置不超过24小 时的有效期，到期后自动协商，避免长时间使用相同的密钥。
95.(5)ssal协议和ssl协议接入都支持端口代理模式，ssal协议使用通信 前置等装置进行链路聚合，在一条tcp连接上承载多个终端的业务数据，因此 可以接入数十万终端同时上线和收发数据。
96.(6)ssl协议还可以使用透明代理模式接入，将ip层数据打包至ssl的数 据域，建立起“终端
←→
网关
←→
业务服务器”之间的虚拟网络连接，可以承 载包括tcp和udp协议在内的所有工作于ip层的协议。
97.本实施例还使用多线程技术，相比于上述其他网关，采集网关和视频网关 的多线程技术每个线程只完成交互的部分任务，然后切换到另一个线程完成之 后的任务，在频繁的切换线程造成了巨大的资源开销，降低了cpu缓存的命中， 而安全接入网关使用单线程，虽然避免了频繁的切换线程，但是无法发挥硬件 的全部性能，同样造成了硬件资源的浪费。本发明的每个线程都与cpu的核心 进行绑定，每个终端在网关上线到断开连接都是在同一个线程内，减少了在单 次业务交互过程中的线程切换。在每个线程使用了异步io模型，每个线程内虽 然有多个终端在同时进行业务交互，但是异步io使网关不需要等待业务的响应 即可进行下一个终端的业务处理。较少大量的等待时间也是网关性能和吞吐量 提高的主要原因。
98.因为在一个终端从上线到断开连接都是在一个线程内完成，所以本发明在 开发时还使用了无锁编程技术，当一个数据在多个线程被使用使，需要加锁防 止数据在使用时被其他线程修改而导致不可预知的错误，但是在同一线程内， 就不需要加锁，在处理业务时也就不需要等待获取锁，在终端业务量很大时， 减少的每次获取和释放锁的时间大约0.4微秒，网关的峰值性能每秒数据包转 发量为100w，计算可知，在峰值性能工况下，无锁编程可至少提高40％的性能。
99.本实施例的关键点：
100.1、使用自主可控的国密ssl协议进行通信
101.本实施例基于自主可控算法国密算法的ssl协议，在协商，认证，加解密 过程中选择使用硬件密码卡对关检数据的保护，保证数据的完整性和安全性。
102.2、使用自主可控的ssal协议进行通信
103.本实施例基于ssal协议，在安全可靠的基础上，使用链路复用等技术，使 单台装置可接入的终端数量极大增加，配合高性能软硬件结合，可处理海量终 端，大流量业务数据，保证业务的安全性，可靠性和实时性。
104.3、使用多线程异步io模型
105.使用异步io模型后，每一个线程几乎同时处理多个终端的业务，也就是在 等待一个终端响应的同时处理下一个终端的业务，减少了线程等待的时间
106.4、使用无锁编程技术
107.使用无锁编程后，网关在终端的业务过程中不需要等待获取锁资源，也不 需要对资源加锁，相对于加锁的业务，至少可以提高40％的峰值性能，也可以降 低业务的延时。
108.本实施例的有益效果如下：
109.(1)使用ssal协议所以终端可以自主选择通信时使用的加密模式，因此终 端可以使用硬件加密芯片或者使用软加密接入物联网安全接入网关
110.(2)使用ssl和ssal协议，两种协议都可以与业务解耦，承载多种业务， 接入多种终端
111.(3)同时端口代理模式和透明代理模式，可理论上可承载ip层之上的所有 协议
112.(4)ssal协议可配合采集前置和通信前置等设备同时接入超过60万台终 端同时在线和收发业务数据。
113.(5)电力物联网安全接入网关使用高性能硬件和万兆网卡，可达到4gbps 以上的吞吐量，支持大流量业务。
114.(6)开放sdk，终端厂家可按需求和技术难度选择使用集成sdk或者独立进 程接入物联网安全接入网关。
115.(7)使用多线程技术，提高了cpu使用率，使终端业务均匀分布在每个cpu 核心，在单cpu核心的处理量不变的情况下，总业务处理量加倍
116.(8)使用异步io模型，每个终端的业务无须等待业务的响应即可处理下一 个终端，省去等待时间，每个线程可以处理更多的终端业务
117.(9)使用无锁编程，处理终端业务时无需等待资源锁的加锁和释放，可提 高处理业务的峰值性能的同时降低业务延时。
118.实施例2
119.本实施例提供一种基于ssal/ssl协议的高性能安全接入方法，包括电力 物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接入网关， 所述方法应用于终端，包括：
120.发送数据包请求至电力物联网安全接入网关，其中，所述数据包包括终端 的签名证书及加密证书，
121.其中，电力物联网安全接入网关对所述签名证书及加密证书进行认证，认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；
122.对“密钥协商请求”进行验证和解密，然后产生再通过加密和签名等运算 产生“密钥协商响应”发送给电力物联网安全接入网关，
123.其中，电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商 确认”发送给终端；
124.对“密钥协商确认”进行验签和解密，并对比解密后的明文，确认无误则 协商完成；
125.使用会话密钥和初始iv对通信数据加密后发送给电力物联网安全接入网关，
126.其中，电力物联网安全接入网关使用会话密钥和初始iv对通信数据解密后 去掉ssal协议外壳，把原始数据发送给业务服务器，
127.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
128.其中，电力物联网安全接入网关根据记录的链路信息找到终端的信息，使 用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。
129.进一步的，还包括：将终端通过ssl协议接入电力物联网安全接入网关， 通过端口代理模式和隧道模式两种模式进行业务数据传输。
130.进一步的，所述终端以端口代理模式的接入时，终端向电力物联网安全接 入网关发起代理请求时，通过报文通知电力物联网安全接入网关需要代理的服 务地址和端口，电力物联网安全接入网关根据终端信息查询对应的访问控制列 表，如果符合则终端启动对应的代理规则，在客户端访问对应的代理端口时， 向电力物联网安全接入网关发送代理请求，电力物联网安全接入网关成功连接 服务器之后，向终端发送代理响应，终端即可通过电力物联网安全接入网关与 服务器通信。
131.进一步的，所述终端以隧道模式接入时，终端支持虚拟网卡技术，电力物 联网安全接入网关在对终端认证完成后，向终端分配虚拟局域网地址和路由， 终端和服务器就处
在以电力物联网安全接入网关为中心的虚拟局域网络中，可 以互相直接访问，终端向服务器发送的ip层数据会经sdk程序加密后发送到电 力物联网安全接入网关，电力物联网安全接入网关收到加密的ip层数据后解密， 再发送给服务器，实现虚拟局域网。
132.实施例3
133.本实施例提供一种基于ssal/ssl协议的高性能安全接入装置，包括电力 物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接入网关， 所述装置应用于电力物联网安全接入网关，包括：
134.数据包接收单元，用于接收终端发送的数据包请求，其中，所述数据包包 括终端的签名证书及加密证书；
135.认证单元，用于对所述签名证书及加密证书进行认证，认证成功之后通过 加密签名运算生成“密钥协商请求”发送给终端；
136.验证解密单元，用于接收终端发送的“密钥协商响应”进行验证和解密， 得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认”发 送给终端，
137.其中，所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密， 然后产生再通过加密和签名运算产生，
138.其中，所述终端对“密钥协商确认”进行验签和解密，并对比解密后的明 文，确认无误则协商完成；
139.解密单元，用于使用会话密钥和初始iv对通信数据解密后去掉ssal协议 外壳，把原始数据发送给业务服务器，
140.其中，终端使用会话密钥和初始iv对通信数据加密后发送给电力物联网安 全接入网关，
141.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
142.加密单元，用于根据记录的链路信息找到终端的信息，使用与终端协商的 会话密钥及初始iv对响应数据加密后发送给终端。
143.实施例4
144.本实施例提供一种基于ssal/ssl协议的高性能安全接入装置，包括电力 物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接入网关， 所述装置应用于终端，包括：
145.数据包发送单元，用于发送数据包请求至电力物联网安全接入网关，其中， 所述数据包包括终端的签名证书及加密证书，
146.其中，电力物联网安全接入网关对所述签名证书及加密证书进行认证，认 证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；
147.第一验证解密单元，用于对“密钥协商请求”进行验证和解密，然后产生 再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网 关，
148.其中，电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证 和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商 确认”发送给终端；
149.第二验证解密单元，对“密钥协商确认”进行验签和解密，并对比解密后 的明文，确认无误则协商完成；
150.加密单元，用于使用会话密钥和初始iv对通信数据加密后发送给电力物联 网安全接入网关，
151.其中，电力物联网安全接入网关使用会话密钥和初始iv对通信数据解密后 去掉ssal协议外壳，把原始数据发送给业务服务器，
152.其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进 行处理，将响应发给电力物联网安全接入网关；
153.其中，电力物联网安全接入网关根据记录的链路信息找到终端的信息，使 用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。
154.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通 技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变 形，这些改进和变形也应视为本发明的保护范围。