一种基于SSAL/SSL协议的高性能安全接入方法及装置与流程

技术特征：
1.一种基于ssal/ssl协议的高性能安全接入方法，其特征在于，包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接入网关，所述方法应用于电力物联网安全接入网关，包括：接收终端发送的数据包请求，其中，所述数据包包括终端的签名证书及加密证书；对所述签名证书及加密证书进行认证，认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；接收终端发送的“密钥协商响应”进行验证和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认”发送给终端，其中，所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密，然后产生再通过加密和签名运算产生，其中，所述终端对“密钥协商确认”进行验签和解密，并对比解密后的明文，确认无误则协商完成；使用会话密钥和初始iv对通信数据解密后去掉ssal协议外壳，把原始数据发送给业务服务器，其中，终端使用会话密钥和初始iv对通信数据加密后发送给电力物联网安全接入网关，其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进行处理，将响应发给电力物联网安全接入网关；根据记录的链路信息找到终端的信息，使用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。2.根据权利要求1所述的基于ssal/ssl协议的高性能安全接入方法，其特征在于，还包括：将终端通过ssl协议接入电力物联网安全接入网关，通过端口代理模式和隧道模式两种模式进行业务数据传输。3.根据权利要求2所述的基于ssal/ssl协议的高性能安全接入方法，其特征在于，所述终端以端口代理模式的接入时，终端向电力物联网安全接入网关发起代理请求时，通过报文通知电力物联网安全接入网关需要代理的服务地址和端口，电力物联网安全接入网关根据终端信息查询对应的访问控制列表，如果符合则终端启动对应的代理规则，在客户端访问对应的代理端口时，向电力物联网安全接入网关发送代理请求，电力物联网安全接入网关成功连接服务器之后，向终端发送代理响应，终端即可通过电力物联网安全接入网关与服务器通信。4.根据权利要求2所述的基于ssal/ssl协议的高性能安全接入方法，其特征在于，所述终端以隧道模式接入时，终端支持虚拟网卡技术，电力物联网安全接入网关在对终端认证完成后，向终端分配虚拟局域网地址和路由，终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中，可以互相直接访问，终端向服务器发送的ip层数据会经sdk程序加密后发送到电力物联网安全接入网关，电力物联网安全接入网关收到加密的ip层数据后解密，再发送给服务器，实现虚拟局域网。5.一种基于ssal/ssl协议的高性能安全接入方法，其特征在于，包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接入网关，所述方法应用于终端，包括：
发送数据包请求至电力物联网安全接入网关，其中，所述数据包包括终端的签名证书及加密证书，其中，电力物联网安全接入网关对所述签名证书及加密证书进行认证，认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；对“密钥协商请求”进行验证和解密，然后产生再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网关，其中，电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认”发送给终端；对“密钥协商确认”进行验签和解密，并对比解密后的明文，确认无误则协商完成；使用会话密钥和初始iv对通信数据加密后发送给电力物联网安全接入网关，其中，电力物联网安全接入网关使用会话密钥和初始iv对通信数据解密后去掉ssal协议外壳，把原始数据发送给业务服务器，其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进行处理，将响应发给电力物联网安全接入网关；其中，电力物联网安全接入网关根据记录的链路信息找到终端的信息，使用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。6.根据权利要求5所述的基于ssal/ssl协议的高性能安全接入方法，其特征在于，还包括：将终端通过ssl协议接入电力物联网安全接入网关，通过端口代理模式和隧道模式两种模式进行业务数据传输。7.根据权利要求6所述的基于ssal/ssl协议的高性能安全接入方法，其特征在于，所述终端以端口代理模式的接入时，终端向电力物联网安全接入网关发起代理请求时，通过报文通知电力物联网安全接入网关需要代理的服务地址和端口，电力物联网安全接入网关根据终端信息查询对应的访问控制列表，如果符合则终端启动对应的代理规则，在客户端访问对应的代理端口时，向电力物联网安全接入网关发送代理请求，电力物联网安全接入网关成功连接服务器之后，向终端发送代理响应，终端即可通过电力物联网安全接入网关与服务器通信。8.根据权利要求6所述的基于ssal/ssl协议的高性能安全接入方法，其特征在于，所述终端以隧道模式接入时，终端支持虚拟网卡技术，电力物联网安全接入网关在对终端认证完成后，向终端分配虚拟局域网地址和路由，终端和服务器就处在以电力物联网安全接入网关为中心的虚拟局域网络中，可以互相直接访问，终端向服务器发送的ip层数据会经sdk程序加密后发送到电力物联网安全接入网关，电力物联网安全接入网关收到加密的ip层数据后解密，再发送给服务器，实现虚拟局域网。9.一种基于ssal/ssl协议的高性能安全接入装置，其特征在于，包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接入网关，所述装置应用于电力物联网安全接入网关，包括：数据包接收单元，用于接收终端发送的数据包请求，其中，所述数据包包括终端的签名证书及加密证书；认证单元，用于对所述签名证书及加密证书进行认证，认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；
验证解密单元，用于接收终端发送的“密钥协商响应”进行验证和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认”发送给终端，其中，所述“密钥协商响应”为终端对“密钥协商请求”进行验证和解密，然后产生再通过加密和签名运算产生，其中，所述终端对“密钥协商确认”进行验签和解密，并对比解密后的明文，确认无误则协商完成；解密单元，用于使用会话密钥和初始iv对通信数据解密后去掉ssal协议外壳，把原始数据发送给业务服务器，其中，终端使用会话密钥和初始iv对通信数据加密后发送给电力物联网安全接入网关，其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进行处理，将响应发给电力物联网安全接入网关；加密单元，用于根据记录的链路信息找到终端的信息，使用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。10.一种基于ssal/ssl协议的高性能安全接入装置，其特征在于，包括电力物联网安全接入网关和终端，终端通过ssal接入电力物联网安全接入网关，所述装置应用于终端，包括：数据包发送单元，用于发送数据包请求至电力物联网安全接入网关，其中，所述数据包包括终端的签名证书及加密证书，其中，电力物联网安全接入网关对所述签名证书及加密证书进行认证，认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；第一验证解密单元，用于对“密钥协商请求”进行验证和解密，然后产生再通过加密和签名等运算产生“密钥协商响应”发送给电力物联网安全接入网关，其中，电力物联网安全接入网关对终端发送的“密钥协商响应”进行验证和解密，得到会话密钥和初始iv，然后使用会话密钥和初始iv产生“密钥协商确认”发送给终端；第二验证解密单元，对“密钥协商确认”进行验签和解密，并对比解密后的明文，确认无误则协商完成；加密单元，用于使用会话密钥和初始iv对通信数据加密后发送给电力物联网安全接入网关，其中，电力物联网安全接入网关使用会话密钥和初始iv对通信数据解密后去掉ssal协议外壳，把原始数据发送给业务服务器，其中，业务服务器收到电力物联网安全接入网关的原始数据后，对数据进行处理，将响应发给电力物联网安全接入网关；其中，电力物联网安全接入网关根据记录的链路信息找到终端的信息，使用与终端协商的会话密钥及初始iv对响应数据加密后发送给终端。

技术总结
本发明公开了一种基于SSAL/SSL协议的高性能安全接入方法及装置，包括电力物联网安全接入网关和终端，终端通过SSAL接入电力物联网安全接入网关，所述方法应用于电力物联网安全接入网关，包括：接收终端发送的数据包请求，其中，所述数据包包括终端的签名证书及加密证书；对所述签名证书及加密证书进行认证，认证成功之后通过加密签名运算生成“密钥协商请求”发送给终端；接收终端发送的“密钥协商响应”进行验证和解密，得到会话密钥和初始IV，然后使用会话密钥和初始IV产生“密钥协商确认”发送给终端，本发明在协商，认证，加解密过程中选择使用硬件密码卡对关检数据的保护，保证数据的完整性和安全性。据的完整性和安全性。据的完整性和安全性。


技术研发人员：殷鑫鹏 王晔 邓进 韦小刚 金倩倩 鲍俊丞 张滔 张旭东 陆杰 王正琦 姜涛 田鹏飞
受保护的技术使用者：南京南瑞信息通信科技有限公司
技术研发日：2022.01.24
技术公布日：2022/4/29