CN105656633A - 一种智能电网ami体系安全认证的方法 - Google Patents
一种智能电网ami体系安全认证的方法 Download PDFInfo
- Publication number
- CN105656633A CN105656633A CN201511031028.2A CN201511031028A CN105656633A CN 105656633 A CN105656633 A CN 105656633A CN 201511031028 A CN201511031028 A CN 201511031028A CN 105656633 A CN105656633 A CN 105656633A
- Authority
- CN
- China
- Prior art keywords
- intelligent grid
- grid terminal
- terminal
- scep
- ami system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种智能电网AMI体系安全认证的方法,适用于智能电网AMI体系的基于SCEP扩展的IEEE?802.1x协议认证方法,采用SCEP协议作为智能电网终端接入AMI体系的认证方式,将其作为IEEE802.1x协议扩展认证方式,即,在IEEE?802.1x协议控制下,未通过认证的智能电网终端,只能经由IEEE802.1x协议非受控端口进行SCEP认证;通过认证的智能电网终端,则可以经由IEEE?802.1x协议受控端口接入AMI体系。本发明适用简单证书,并且保证在智能终端授权接入AMI体系前完全隔离AMI体系资源。
Description
技术领域
本发明属于计算机网络安全技术领域,涉及一种网络安全认证方法,尤其涉及一种智能电网AMI体系中基于SCEP扩展的IEEE802.1x协议认证方法。
背景技术
智能电网是向着未来能源互联网迈进的第一步,是合理调配发电、配电与用户用电的关键。智能电网对于提高能源利用率、分布式能源并网、动态调整电网负荷、增强用户互动性等有着重要意义,是发展下一代能源互联网的关键部分。智能电网是电力网和信息网相互融合的产物,信息网为电力网中的每个组件相互通信调度提供了手段,使电力网的运行变得智能化。
支持双向通信的高级测量体系(AdvancedMeteringInfrastructure,AMI)在智能电网中扮演着重要角色,不仅为智能电网提供了通信及数据采集架构的基础设施,还提供了很多有价值应用,如自动抄表、配电自动化、用户用电数据分析、电价实时调整等。AMI体系是一个计算机网络,其赛博安全问题仍然存在。AMI体系在安全认证、秘钥管理、数据安全传输与存储、入侵检测等赛博安全方面同样具有挑战。
AMI体系在安全认证方面存在挑战。AMI体系的通信网带宽相对较低,传统复杂证书认证过程需要较宽的带宽支持,并不适合于AMI体系。智能电表、智能路由器等嵌入式终端的存储及计算能力有限,不能承担复杂的安全认证算法。随着智能电网终端向着移动化发展,如何支持移动终端临时充电及用户户外用电等问题,成为AMI体系认证安全需要考虑的新问题。
发明内容
本发明针对现有AMI体系在安全认证方面存在的问题和挑战,提出一种使用简单证书,并且保证在智能终端授权接入AMI体系前完全隔离AMI体系资源的智能电网AMI体系安全认证的方法。本发明的技术方案如下:
一种智能电网AMI体系安全认证的方法,适用于智能电网AMI体系的基于SCEP扩展的IEEE802.1x协议认证方法,采用SCEP协议作为智能电网终端接入AMI体系的认证方式,将其作为IEEE802.1x协议扩展认证方式,即,在IEEE802.1x协议控制下,未通过认证的智能电网终端,只能经由IEEE802.1x协议非受控端口进行SCEP认证;通过认证的智能电网终端,则可以经由IEEE802.1x协议受控端口接入AMI体系。
作为优选实施方式,在AMI体系中设立汇聚路由器作为IEEE802.1x协议中的AP路由,处理并转发智能电网终端在AMI中传输的所有数据包,步骤如下:
1)智能电网智能电网终端向汇聚路由器的非受控端口发起接入AMI体系请求;
2)汇聚路由器允许智能电网终端接入请求,并要求智能电网终端上传其ID和公钥。
3)智能电网终端发起SCEP证书颁发请求,并附上自己的ID和公钥以及根据ID和公钥产生的自签名证书SSC。
4)CA/RA服务器接收汇聚路由器转发的SCEP证书颁发请求,并生成用其中的公钥对智能电网终端的自签名证书SSC进行验证,若验证成功,则颁发SCEP证书;同时,用公钥对智能电网终端的SCEP证书中的ID和证书请求操作号进行加密,生成CA/RA密文,将密文再发送给智能电网终端。
5)智能电表收到汇聚路由器转发的CA/RA密文后,用本地私钥进行解密后给CA/RA服务器发送一个MD5指纹。
6)CA/RA服务器接收到MD5指纹后进行验证,若验证成功则证书颁发成功,若验证不成功则证书颁发失败。
7)若证书颁发成功,则认证成功,汇聚路由为智能电网终端开启受控端口,提供一个智能电网终端与AMI内部设备通信的逻辑通路。
本发明具有以下优点:
1)将IEEE802.1x接入AP设置为AMI体系中的汇聚路由器,使智能终端直接与汇聚路由器直接对接,提高了接入认证的效率和速度。
2)SCEP是一种存储开销小、功耗低的安全认证方式,认证过程简单,适用于智能终端等嵌入式设备。
3)适用于多种智能电网终端,尤其包含了智能电网移动终端,例如智能电动汽车等。可以为智能电动汽车临时充电计费的网络安全认证提供了解决方案。
4)可以隔离AMI体系的资源,只为通过认证的智能电网终端提供资源,而未认证的设备则不可以访问AMI体系中的任何资源。增加了AMI体系的安全性。
附图说明
图1是本发明的认证流程示意图。
具体实施方式
本发明是应用于AMI架构中。汇聚路由器负责使用非受控端口转发所有认证消息,若智能电网终端通过认证则开启受控端口。智能电网终端在接入智能电网前,要向汇聚路由器提出认证请求,在认证通过前,不能使用Mesh技术与其他智能电网终端进行组网,也不能访问智能电网中的其他资源。
认证过程中,智能电网终端向汇聚路由提出认证请求,在汇聚路由允许认证请求后,发送SCEP证书请求报文,汇聚路由器将其转发给RA。RA审核后通过防火墙过滤将SCEP报文转发给CA,经过CA验证和计算,CA按照原路将证书颁发给智能电网终端,这样就完成了认证过程。经过此步骤,汇聚路由器为该终端开启受控端口,建立逻辑通信信道,允许该终端与网内其他终端进行Mesh组网,以及与数据采集系统相连接等,如图1。
具体实施步骤如下所示。
1)智能电网终端(包括智能电表、智能家电、智能电动汽车等,以下简称终端)使用RSA算法产生公钥和私钥对,存储在本地,向汇聚路由器的非受控端口发起接入AMI体系请求。
2)汇聚路由器允许终端接入请求,并要求终端上传其ID和公钥。
3)终端发起SCEP证书颁发请求,并附上自己的ID和公钥以及根据ID和公钥产生的自签名证书(Self-SignedCertificate,SSC)。终端自签名证书是由终端用本地私钥对自己的subjectname和证书登记请求操作号进行数字签名得到的。
4)CA/RA服务器接收汇聚路由器转发的证书颁发请求,用公钥对终端SSC进行验证,从中提取出终端的公钥以及自签名证书。CA用终端的公钥对自签名证书进行验证,若验证成功,则向端实体颁发证书,并附上用公钥对终端自签名证书中的subjectname和证书登记请求操作号进行加密后的密文。
5)智能电表收到汇聚路由器转发的CA/RA密文后,用本地私钥进行对证书携带的密文进行解密。若解密成功则说明CA已经成功接收公钥,然后终端给CA/RA发送一个MD5指纹。
6)CA/RA接收到MD5指纹后进行验证,若验证成功则证书颁发成功,若验证不成功则证书颁发失败。
7)若证书颁发成功,则认证成功,汇聚路由为终端开启受控端口,提供一个终端与AMI内部设备通信的逻辑通路。
A.若终端是智能电表,则通过认证后,智能电表可以从汇聚路由器处获得接入智能电表Mesh网许可,可以与Mesh网内的智能电表进行通信,并作为其他智能电表的Mesh路由。智能电表才可以进行测量任务,向数据采集系统发送测量数据等。
B.若终端是智能家电,则通过认证后,智能家电与家庭中心路由器连接,构成星形Mesh网络,可以按照数据采集系统的需求传输智能家电运行数据。
C.若终端是智能电动汽车,则通过认证后,开启智能电动汽车充电计费,并打开充电接口的供电开关,以供智能电动汽车充电使用。
Claims (2)
1.一种智能电网AMI体系安全认证的方法,适用于智能电网AMI体系的基于SCEP扩展的IEEE802.1x协议认证方法,采用SCEP协议作为智能电网终端接入AMI体系的认证方式,将其作为IEEE802.1x协议扩展认证方式,即,在IEEE802.1x协议控制下,未通过认证的智能电网终端,只能经由IEEE802.1x协议非受控端口进行SCEP认证;通过认证的智能电网终端,则可以经由IEEE802.1x协议受控端口接入AMI体系。
2.根据权利要求1所述的智能电网AMI体系安全认证的方法,其特征在于,在AMI体系中设立汇聚路由器作为IEEE802.1x协议中的AP路由,处理并转发智能电网终端在AMI中传输的所有数据包,步骤如下:
1)智能电网智能电网终端向汇聚路由器的非受控端口发起接入AMI体系请求;
2)汇聚路由器允许智能电网终端接入请求,并要求智能电网终端上传其ID和公钥。
3)智能电网终端发起SCEP证书颁发请求,并附上自己的ID和公钥以及根据ID和公钥产生的自签名证书SSC。
4)CA/RA服务器接收汇聚路由器转发的SCEP证书颁发请求,并生成用其中的公钥对智能电网终端的自签名证书SSC进行验证,若验证成功,则颁发SCEP证书;同时,用公钥对智能电网终端的SCEP证书中的ID和证书请求操作号进行加密,生成CA/RA密文,将密文再发送给智能电网终端。
5)智能电表收到汇聚路由器转发的CA/RA密文后,用本地私钥进行解密后给CA/RA服务器发送一个MD5指纹。
6)CA/RA服务器接收到MD5指纹后进行验证,若验证成功则证书颁发成功,若验证不成功则证书颁发失败。
7)若证书颁发成功,则认证成功,汇聚路由为智能电网终端开启受控端口,提供一个智能电网终端与AMI内部设备通信的逻辑通路。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511031028.2A CN105656633A (zh) | 2015-12-30 | 2015-12-30 | 一种智能电网ami体系安全认证的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511031028.2A CN105656633A (zh) | 2015-12-30 | 2015-12-30 | 一种智能电网ami体系安全认证的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105656633A true CN105656633A (zh) | 2016-06-08 |
Family
ID=56491075
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201511031028.2A Pending CN105656633A (zh) | 2015-12-30 | 2015-12-30 | 一种智能电网ami体系安全认证的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105656633A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426724A (zh) * | 2017-08-09 | 2017-12-01 | 上海斐讯数据通信技术有限公司 | 智能家电接入无线网络的方法及系统及终端及认证服务器 |
CN109587186A (zh) * | 2017-09-28 | 2019-04-05 | 中兴通讯股份有限公司 | 一种通过ami平台管理集中器的方法和装置 |
CN112468445A (zh) * | 2020-10-29 | 2021-03-09 | 广西电网有限责任公司 | 一种面向电力物联网的ami轻量级数据隐私保护方法 |
WO2023159812A1 (zh) * | 2022-02-22 | 2023-08-31 | 长沙理工大学 | 一种ami网络入侵检测的方法、装置及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1141624A (zh) * | 1994-02-22 | 1997-01-29 | 花王株式会社 | 用于清洁剂组合物的牛磺酸衍生物 |
CN1501658A (zh) * | 2002-11-15 | 2004-06-02 | 华为技术有限公司 | 一种基于802.1x协议的客户端认证方法 |
-
2015
- 2015-12-30 CN CN201511031028.2A patent/CN105656633A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1141624A (zh) * | 1994-02-22 | 1997-01-29 | 花王株式会社 | 用于清洁剂组合物的牛磺酸衍生物 |
CN1501658A (zh) * | 2002-11-15 | 2004-06-02 | 华为技术有限公司 | 一种基于802.1x协议的客户端认证方法 |
Non-Patent Citations (3)
Title |
---|
刘洋洋: "智能电网需求响应与隐私保护相关技术研究", 《中国优秀硕士论文全文数据库》 * |
李兴瑜: "SCEP协议分析及其关键实现技术研究", 《计算机安全》 * |
林冬茂: "基于802.1协议与数字证书的网络安全方案", 《科技风》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107426724A (zh) * | 2017-08-09 | 2017-12-01 | 上海斐讯数据通信技术有限公司 | 智能家电接入无线网络的方法及系统及终端及认证服务器 |
CN109587186A (zh) * | 2017-09-28 | 2019-04-05 | 中兴通讯股份有限公司 | 一种通过ami平台管理集中器的方法和装置 |
CN112468445A (zh) * | 2020-10-29 | 2021-03-09 | 广西电网有限责任公司 | 一种面向电力物联网的ami轻量级数据隐私保护方法 |
WO2023159812A1 (zh) * | 2022-02-22 | 2023-08-31 | 长沙理工大学 | 一种ami网络入侵检测的方法、装置及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111478902B (zh) | 电力边缘网关设备及基于该设备的传感数据上链存储方法 | |
CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
CN109474610B (zh) | 基于智能电网的匿名可认证的密钥交换方法 | |
CN102448061B (zh) | 一种基于移动终端防钓鱼攻击的方法和系统 | |
CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
CN104219056A (zh) | 一种智能电网中具有隐私保护的实时电量收集方法 | |
WO2012047441A1 (en) | Utility device management | |
CN111372247A (zh) | 一种基于窄带物联网的终端安全接入方法及终端安全接入系统 | |
CN103095696A (zh) | 一种适用于用电信息采集系统的身份认证和密钥协商方法 | |
CN105978883B (zh) | 大规模车联网下安全的数据采集方法 | |
CN105656633A (zh) | 一种智能电网ami体系安全认证的方法 | |
Chan et al. | A secure, intelligent electric vehicle ecosystem for safe integration with the smart grid | |
CN103490899A (zh) | 一种基于第三方服务的应用云安全认证方法 | |
CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
CN113127914A (zh) | 一种电力物联网数据安全防护方法 | |
CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
CN108234119B (zh) | 一种数字证书管理方法和平台 | |
CN111447283A (zh) | 一种用于实现配电站房系统信息安全的方法 | |
CN103684793A (zh) | 一种基于可信计算增强配电网络通信安全的方法 | |
CN112733172A (zh) | 一种基于rsa与差分隐私的智能电网数据聚合方案 | |
CN103647788A (zh) | 一种智能电网中的节点安全认证方法 | |
WO2023108396A1 (zh) | 一种电网智能量测方法 | |
CN114070579A (zh) | 一种基于量子密钥的工控业务鉴权认证方法和系统 | |
Vaidya et al. | Efficient authentication mechanism for PEV charging infrastructure | |
Zhu et al. | Data security and encryption technology research on smart grid communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160608 |