CN105656633A - 一种智能电网ami体系安全认证的方法 - Google Patents

Abstract

本发明涉及一种智能电网AMI体系安全认证的方法，适用于智能电网AMI体系的基于SCEP扩展的IEEE？802.1x协议认证方法，采用SCEP协议作为智能电网终端接入AMI体系的认证方式，将其作为IEEE802.1x协议扩展认证方式，即，在IEEE？802.1x协议控制下，未通过认证的智能电网终端，只能经由IEEE802.1x协议非受控端口进行SCEP认证；通过认证的智能电网终端，则可以经由IEEE？802.1x协议受控端口接入AMI体系。本发明适用简单证书，并且保证在智能终端授权接入AMI体系前完全隔离AMI体系资源。

Description

一种智能电网AMI体系安全认证的方法

技术领域

本发明属于计算机网络安全技术领域，涉及一种网络安全认证方法，尤其涉及一种智能电网AMI体系中基于SCEP扩展的IEEE802.1x协议认证方法。

背景技术

智能电网是向着未来能源互联网迈进的第一步，是合理调配发电、配电与用户用电的关键。智能电网对于提高能源利用率、分布式能源并网、动态调整电网负荷、增强用户互动性等有着重要意义，是发展下一代能源互联网的关键部分。智能电网是电力网和信息网相互融合的产物，信息网为电力网中的每个组件相互通信调度提供了手段，使电力网的运行变得智能化。

支持双向通信的高级测量体系(AdvancedMeteringInfrastructure，AMI)在智能电网中扮演着重要角色，不仅为智能电网提供了通信及数据采集架构的基础设施，还提供了很多有价值应用，如自动抄表、配电自动化、用户用电数据分析、电价实时调整等。AMI体系是一个计算机网络，其赛博安全问题仍然存在。AMI体系在安全认证、秘钥管理、数据安全传输与存储、入侵检测等赛博安全方面同样具有挑战。

AMI体系在安全认证方面存在挑战。AMI体系的通信网带宽相对较低，传统复杂证书认证过程需要较宽的带宽支持，并不适合于AMI体系。智能电表、智能路由器等嵌入式终端的存储及计算能力有限，不能承担复杂的安全认证算法。随着智能电网终端向着移动化发展，如何支持移动终端临时充电及用户户外用电等问题，成为AMI体系认证安全需要考虑的新问题。

发明内容

本发明针对现有AMI体系在安全认证方面存在的问题和挑战，提出一种使用简单证书，并且保证在智能终端授权接入AMI体系前完全隔离AMI体系资源的智能电网AMI体系安全认证的方法。本发明的技术方案如下：

一种智能电网AMI体系安全认证的方法，适用于智能电网AMI体系的基于SCEP扩展的IEEE802.1x协议认证方法，采用SCEP协议作为智能电网终端接入AMI体系的认证方式，将其作为IEEE802.1x协议扩展认证方式，即，在IEEE802.1x协议控制下，未通过认证的智能电网终端，只能经由IEEE802.1x协议非受控端口进行SCEP认证；通过认证的智能电网终端，则可以经由IEEE802.1x协议受控端口接入AMI体系。

作为优选实施方式，在AMI体系中设立汇聚路由器作为IEEE802.1x协议中的AP路由，处理并转发智能电网终端在AMI中传输的所有数据包，步骤如下：

1)智能电网智能电网终端向汇聚路由器的非受控端口发起接入AMI体系请求；

2)汇聚路由器允许智能电网终端接入请求，并要求智能电网终端上传其ID和公钥。

3)智能电网终端发起SCEP证书颁发请求，并附上自己的ID和公钥以及根据ID和公钥产生的自签名证书SSC。

4)CA/RA服务器接收汇聚路由器转发的SCEP证书颁发请求，并生成用其中的公钥对智能电网终端的自签名证书SSC进行验证，若验证成功，则颁发SCEP证书；同时，用公钥对智能电网终端的SCEP证书中的ID和证书请求操作号进行加密，生成CA/RA密文，将密文再发送给智能电网终端。

5)智能电表收到汇聚路由器转发的CA/RA密文后，用本地私钥进行解密后给CA/RA服务器发送一个MD5指纹。

6)CA/RA服务器接收到MD5指纹后进行验证，若验证成功则证书颁发成功，若验证不成功则证书颁发失败。

7)若证书颁发成功，则认证成功，汇聚路由为智能电网终端开启受控端口，提供一个智能电网终端与AMI内部设备通信的逻辑通路。

本发明具有以下优点：

1)将IEEE802.1x接入AP设置为AMI体系中的汇聚路由器，使智能终端直接与汇聚路由器直接对接，提高了接入认证的效率和速度。

2)SCEP是一种存储开销小、功耗低的安全认证方式，认证过程简单，适用于智能终端等嵌入式设备。

3)适用于多种智能电网终端，尤其包含了智能电网移动终端，例如智能电动汽车等。可以为智能电动汽车临时充电计费的网络安全认证提供了解决方案。

4)可以隔离AMI体系的资源，只为通过认证的智能电网终端提供资源，而未认证的设备则不可以访问AMI体系中的任何资源。增加了AMI体系的安全性。

附图说明

图1是本发明的认证流程示意图。

具体实施方式

本发明是应用于AMI架构中。汇聚路由器负责使用非受控端口转发所有认证消息，若智能电网终端通过认证则开启受控端口。智能电网终端在接入智能电网前，要向汇聚路由器提出认证请求，在认证通过前，不能使用Mesh技术与其他智能电网终端进行组网，也不能访问智能电网中的其他资源。

认证过程中，智能电网终端向汇聚路由提出认证请求，在汇聚路由允许认证请求后，发送SCEP证书请求报文，汇聚路由器将其转发给RA。RA审核后通过防火墙过滤将SCEP报文转发给CA，经过CA验证和计算，CA按照原路将证书颁发给智能电网终端，这样就完成了认证过程。经过此步骤，汇聚路由器为该终端开启受控端口，建立逻辑通信信道，允许该终端与网内其他终端进行Mesh组网，以及与数据采集系统相连接等，如图1。

具体实施步骤如下所示。

1)智能电网终端(包括智能电表、智能家电、智能电动汽车等，以下简称终端)使用RSA算法产生公钥和私钥对，存储在本地，向汇聚路由器的非受控端口发起接入AMI体系请求。

2)汇聚路由器允许终端接入请求，并要求终端上传其ID和公钥。

3)终端发起SCEP证书颁发请求，并附上自己的ID和公钥以及根据ID和公钥产生的自签名证书(Self-SignedCertificate,SSC)。终端自签名证书是由终端用本地私钥对自己的subjectname和证书登记请求操作号进行数字签名得到的。

4)CA/RA服务器接收汇聚路由器转发的证书颁发请求，用公钥对终端SSC进行验证，从中提取出终端的公钥以及自签名证书。CA用终端的公钥对自签名证书进行验证，若验证成功，则向端实体颁发证书，并附上用公钥对终端自签名证书中的subjectname和证书登记请求操作号进行加密后的密文。

5)智能电表收到汇聚路由器转发的CA/RA密文后，用本地私钥进行对证书携带的密文进行解密。若解密成功则说明CA已经成功接收公钥，然后终端给CA/RA发送一个MD5指纹。

6)CA/RA接收到MD5指纹后进行验证，若验证成功则证书颁发成功，若验证不成功则证书颁发失败。

7)若证书颁发成功，则认证成功，汇聚路由为终端开启受控端口，提供一个终端与AMI内部设备通信的逻辑通路。

A.若终端是智能电表，则通过认证后，智能电表可以从汇聚路由器处获得接入智能电表Mesh网许可，可以与Mesh网内的智能电表进行通信，并作为其他智能电表的Mesh路由。智能电表才可以进行测量任务，向数据采集系统发送测量数据等。

B.若终端是智能家电，则通过认证后，智能家电与家庭中心路由器连接，构成星形Mesh网络，可以按照数据采集系统的需求传输智能家电运行数据。

C.若终端是智能电动汽车，则通过认证后，开启智能电动汽车充电计费，并打开充电接口的供电开关，以供智能电动汽车充电使用。

Claims (2)

1.一种智能电网AMI体系安全认证的方法，适用于智能电网AMI体系的基于SCEP扩展的IEEE802.1x协议认证方法，采用SCEP协议作为智能电网终端接入AMI体系的认证方式，将其作为IEEE802.1x协议扩展认证方式，即，在IEEE802.1x协议控制下，未通过认证的智能电网终端，只能经由IEEE802.1x协议非受控端口进行SCEP认证；通过认证的智能电网终端，则可以经由IEEE802.1x协议受控端口接入AMI体系。

2.根据权利要求1所述的智能电网AMI体系安全认证的方法，其特征在于，在AMI体系中设立汇聚路由器作为IEEE802.1x协议中的AP路由，处理并转发智能电网终端在AMI中传输的所有数据包，步骤如下：

1)智能电网智能电网终端向汇聚路由器的非受控端口发起接入AMI体系请求；

2)汇聚路由器允许智能电网终端接入请求，并要求智能电网终端上传其ID和公钥。

3)智能电网终端发起SCEP证书颁发请求，并附上自己的ID和公钥以及根据ID和公钥产生的自签名证书SSC。

4)CA/RA服务器接收汇聚路由器转发的SCEP证书颁发请求，并生成用其中的公钥对智能电网终端的自签名证书SSC进行验证，若验证成功，则颁发SCEP证书；同时，用公钥对智能电网终端的SCEP证书中的ID和证书请求操作号进行加密，生成CA/RA密文，将密文再发送给智能电网终端。

5)智能电表收到汇聚路由器转发的CA/RA密文后，用本地私钥进行解密后给CA/RA服务器发送一个MD5指纹。

6)CA/RA服务器接收到MD5指纹后进行验证，若验证成功则证书颁发成功，若验证不成功则证书颁发失败。

7)若证书颁发成功，则认证成功，汇聚路由为智能电网终端开启受控端口，提供一个智能电网终端与AMI内部设备通信的逻辑通路。