CN112104604B - 基于电力物联管理平台的安全接入服务实现系统及方法 - Google Patents
基于电力物联管理平台的安全接入服务实现系统及方法 Download PDFInfo
- Publication number
- CN112104604B CN112104604B CN202010789138.XA CN202010789138A CN112104604B CN 112104604 B CN112104604 B CN 112104604B CN 202010789138 A CN202010789138 A CN 202010789138A CN 112104604 B CN112104604 B CN 112104604B
- Authority
- CN
- China
- Prior art keywords
- access service
- internet
- message
- mqtt
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000004891 communication Methods 0.000 claims abstract description 75
- 238000012795 verification Methods 0.000 claims description 43
- 238000012790 confirmation Methods 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 23
- 230000002457 bidirectional effect Effects 0.000 claims description 20
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000005336 cracking Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 101100366707 Arabidopsis thaliana SSL11 gene Proteins 0.000 description 2
- 101100366710 Arabidopsis thaliana SSL12 gene Proteins 0.000 description 2
- 101100366562 Panax ginseng SS12 gene Proteins 0.000 description 2
- 101100366563 Panax ginseng SS13 gene Proteins 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003628 erosive effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明公开基于电力物联管理平台的安全接入服务实现系统及方法,该系统包括:配电物联网终端、配电云主站;所述配电云主站包括电力物联管理平台、安全接入服务、配电加密认证装置,所述电力物联管理平台与所述安全接入服务通信连接,所述安全接入服务与所述配电加密认证装置通信连接,所述配电物联网终端与所述安全接入服务通信连接。本发明提供的基于电力物联管理平台的安全接入服务实现系统及方法,可以防止第三方通过无线网络窃取电力业务数据或对配电物联网终端进行非法操作导致的用户供电中断;同时防止攻击者通过无线网络和配电物联网终端入侵电力物联管理平台引起的更大范围的安全风险。
Description
技术领域
本发明涉及一种基于电力物联管理平台的安全接入服务实现系统及方法,属于泛在电力物联网技术领域。
背景技术
感知层数据通信传输是泛在电力物联网体系里十分重要的一环,物联网数据传输所使用的网络包含无线网络、3G、4G、LTE、电力载波等多种异构网络,其所面临的安全问题也很复杂,算法破解、协议破解、中间人攻击等诸多攻击方式正在逐渐侵蚀物联网体系;现在越来越多的黑客开始瞄准通信传输协议下手进行破解攻击,加强数据通信传输管道的安全性已经迫在眉睫。配电物联网终端在与电力物联管理平台进行信息通信互动传输过程中,容易遭受流量分析、窃取、嗅探等网络攻击,进而导致传输信息数据遭遇泄露、劫持、被篡改(干扰)、屏蔽等威胁,影响电力系统对用户的安全可靠供电。本发明旨在防止攻击者通过无线网络窃取电力业务数据或对配电物联网终端进行非法操作,导致用户供电中断;同时防止攻击者通过无线网络和配电物联网终端入侵电力物联管理平台,引起更大范围的安全风险。
发明内容
本发明的目的在于,克服现有技术存在的技术缺陷,提出基于电力物联管理平台的安全接入服务实现系统及方法,防止电力物联网在数据采集过程中遭遇电力业务数据泄露和网络攻击的风险,在电力物联管理平台前端部署安全接入服务。因此,安全接入服务如何保证电力物联网数据的保密性、完整性、不可篡改性是本发明要解决的技术问题。
本发明具体采用如下技术方案:基于电力物联管理平台的安全接入服务实现系统,包括:配电物联网终端、配电云主站;所述配电云主站包括电力物联管理平台、安全接入服务、配电加密认证装置,所述电力物联管理平台与所述安全接入服务通信连接,所述安全接入服务与所述配电加密认证装置通信连接,所述配电物联网终端与所述安全接入服务通信连接;所述配电物联网终端用于生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链接发送给安全接入服务;接收安全接入服务反馈的随机数和签名进行验签,若验签通过,双向认证过程结束;发送MQTT密文给安全接入服务,接收安全接入服务反馈的MQTT密文,接收安全接入服务发送的先签名后加密成的MQTT密文。
作为一种较佳的实施例,所述电力物联管理平台用于:接收安全接入服务发送的标准MQTT协议报文,生成MQTT连接确认报文反馈给安全接入服务;接收安全接入服务处理上行报文并解密之后转化成明文的MQTT报文。
作为一种较佳的实施例,所述配电加密认证装置用于:
接收安全接入服务发送的签名报文,对所述签名报文进行验签,将验签结果反馈给安全接入服务;接收安全接入服务发送的待签名数据,生成签名信息后反馈给安全接入服务;接收安全接入服务发送的明文,转换成密文后反馈给安全接入服务;接收安全接入服务发送密文,转换成明文后反馈给安全接入服务。
作为一种较佳的实施例,所述安全接入服务用于:响应于配电物联网终端发送的双向身份认证请求,验证配电物联网终端身份是否合法,若验证合法,则开通电力物联管理平台与配电物联网终端之间的TCP通信链接,否则拒绝配电物联网终端与电力物联管理平台之间的通信链接,并反馈验证结果给配电物联网终端;
向电力物联管理平台发送原始MQTT明文,接收电力物联管理平台的原始MQTT明文或者包含业务指令的MQTT明文,根据MQTT报文类型及报文中的topic的不同,直接生成MQTT密文或者先进行数字签名再加密生成MQTT密文,将所述MQTT密文发送给配电物联网终端。
本发明还提出基于电力物联管理平台的安全接入服务实现方法,由电力物联管理平台执行,其特征在于,所述方法包括:接收安全接入服务发送的标准MQTT协议报文,生成MQTT连接确认报文反馈给安全接入服务;接收安全接入服务处理上行报文并解密之后转化成明文的MQTT报文。
本发明还提出基于电力物联管理平台的安全接入服务实现方法,由安全接入服务执行,其特征在于,所述方法包括:
响应于配电物联网终端发送的双向身份认证请求,验证配电物联网终端身份是否合法,若验证合法,则开通电力物联管理平台与配电物联网终端之间的TCP通信链接,否则拒绝配电物联网终端与电力物联管理平台之间的通信链接,并反馈验证结果给配电物联网终端;
向电力物联管理平台发送原始MQTT明文,接收电力物联管理平台的原始MQTT明文或者包含业务指令的MQTT明文,根据MQTT报文类型及报文中的topic的不同,直接生成MQTT密文或者先进行数字签名再加密生成MQTT密文,将所述MQTT密文发送给配电物联网终端。
本发明还提出根据权利要求5所述的基于电力物联管理平台的安全接入服务实现方法,其特征在于,所述方法还包括:接收配电物联网终端发送的随机数及签名报文,并将所述随机数及签名报文发送给配电加密认证装置进行验签,并接收配电加密认证装置反馈的“验签成功,返回随机数及签名”或者“验签失败返回失败”的结果,对应验签成功,通过TCP通信链接发送返回的随机数和签名报文发送给配电物联网终端,对应验签失败,断开与配电物联网终端的TCP通信链接。
本发明还提出基于电力物联管理平台的安全接入服务实现方法,由配电加密认证装置执行,其特征在于,所述方法包括:接收安全接入服务发送的签名报文,对所述签名报文进行验签,将验签结果反馈给安全接入服务;接收安全接入服务发送的待签名数据,生成签名信息后反馈给安全接入服务;接收安全接入服务发送的明文,转换成密文后反馈给安全接入服务;接收安全接入服务发送密文,转换成明文后反馈给安全接入服务。
本发明还提出基于电力物联管理平台的安全接入服务实现方法,由配电物联网终端执行,其特征在于,所述方法包括:生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链接发送给安全接入服务;接收安全接入服务反馈的随机数和签名进行验签,若验签通过,双向认证过程结束;
发送MQTT密文给安全接入服务,接收安全接入服务反馈的MQTT密文,接收安全接入服务发送的先签名后加密成的MQTT密文。
本发明还提出基于电力物联管理平台的安全接入服务实现方法,其特征在于,包括如下步骤:
步骤SS1:安全接入服务与配电物联网终端之间进行双向身份认证,若安全接入服务验证配电物联网终端身份合法,开通电力物联管理平台与配电物联网终端之间的通信链接,否则拒绝配电物联网终端的通信链接;
步骤SS2:安全接入服务验证配电物联网终端的身份合法后,创建一条到电力物联管理平台的TCP通信链路,该TCP通信链路与接收到的配电物联网终端的TCP通信链路之间保持同步,同时通断;
步骤SS3:安全接入服务接收配电物联网终端的MQTT连接请求报文,解密之后转换成标准MQTT协议报文转发给电力物联管理平台;
步骤SS4:安全接入服务接收电力物联管理平台的MQTT连接确认报文,加密之后转发给配电物联网终端,电力物联管理平台与配电物联网终端的MQTT链路建立完成;
步骤SS5:安全接入服务处理下行报文,根据MQTT报文的不同类型及报文中topic的不同,采取不同的安全防护措施,以密文的形式转发给配电物联网终端;安全接入服务处理上行报文,解密之后转化成明文的MQTT报文发送给电力物联管理平台。
作为一种较佳的实施例,所述步骤SS1具体包括:
步骤SS11:配电物联网终端生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链路发送给安全接入服务。
步骤SS12:安全接入服务收到安全报文后,转发报文给配电加密认证装置,配电加密认证装置对随机数的数字签名进行验签。;
步骤SS13:若验签通过,配电加密认证装置通过安全接入服务获取报文中的随机数,对随机数进行签名,反馈给安全接入服务;若验签未通过,配电物联网终端主动断开与安全接入服务的TCP通信链接。
步骤SS14:安全接入服务接收到配电加密认证装置的安全报文,通过TCP通信链路发送给配电物联网终端;若收到的结果是验签失败,则断开对应的TCP通信链接。
步骤SS15:配电物联网终端对收到的随机数和签名进行验签,若验签通过,双向认证过程结束。
本发明所达到的有益效果:第一,本发明提供的一种基于物联管理平台的安全接入服务实现方法及系统,可以防御第三方通过无线网络窃取电力业务数据或对配电物联网终端进行非法操作导致的用户供电中断;同时防御攻击者通过无线网络和配电物联网终端入侵电力物联管理平台引起的更大范围的安全风险;第二,本发明的电力物联管理平台与配电物联网终端之间报文交互采用MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议)协议,MQTT协议基于发布/订阅消息模式,提供一对多的消息发布,主要承载设备管理、实时数据交互、应用管理等功能;第三,本发明的安全接入服务与配电物联终端之间进行双向身份认证时采用SM2国密算法,每个配电物联终端拥有自己独立的数字证书;数字证书与配电物联网终端的设备ID绑定,由统一的CA中心签发;数字证书由使用时间限制,过期将无法用于验签;第四,本发明的MQTT协议报文类型中的客户端请求连接报文、连接确认报文、客户端订阅请求报文、订阅请求确认报文、客户端取消订阅请求报文、取消订阅确认报文、心跳请求报文、心跳相应报文仅做加密处理;发布消息报文首先进行数字签名,然后对整个报文进行加密;第五,本发明的安全接入服务与电力物联物联管理平台之间的报文交互为标准的明文MQTT报文;安全接入服务与配电物联网终端之间的报文为加密过的MQTT的报文;第六,本发明的安全接入服务对电力物联管理平台透明,配电物联网终端发起TCP通信链接请求时,安全接入服务同时与电力物联管理平台创建一条新的TCP通信链路;当配电物联网终端释放TCP通信链接时,安全接入服务主动断开与电力物联管理平台的TCP通信链路。
附图说明
图1是本发明的基于电力物联管理平台的安全接入服务实现系统的拓扑示意图。
图2是本发明的基于电力物联管理平台的安全接入服务实现方法的双向认证拓扑示意图。
图3是本发明的基于电力物联管理平台的安全接入服务实现方法的报文处理拓扑示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例1:如图1所示,基于电力物联管理平台的安全接入服务实现系统,包括:配电物联网终端、配电云主站;所述配电云主站包括电力物联管理平台、安全接入服务、配电加密认证装置,所述电力物联管理平台与所述安全接入服务通信连接,所述安全接入服务与所述配电加密认证装置通信连接,所述配电物联网终端与所述安全接入服务通信连接;所述配电物联网终端用于生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链接发送给安全接入服务;接收安全接入服务反馈的随机数和签名进行验签,若验签通过,双向认证过程结束;发送MQTT密文给安全接入服务,接收安全接入服务反馈的MQTT密文,接收安全接入服务发送的先签名后加密成的MQTT密文。
可选的,所述电力物联管理平台用于:接收安全接入服务发送的标准MQTT协议报文,生成MQTT连接确认报文反馈给安全接入服务;接收安全接入服务处理上行报文并解密之后转化成明文的MQTT报文。
可选的,所述配电加密认证装置用于:
接收安全接入服务发送的签名报文,对所述签名报文进行验签,将验签结果反馈给安全接入服务;接收安全接入服务发送的待签名数据,生成签名信息后反馈给安全接入服务;接收安全接入服务发送的明文,转换成密文后反馈给安全接入服务;接收安全接入服务发送密文,转换成明文后反馈给安全接入服务。
可选的,所述安全接入服务用于:响应于配电物联网终端发送的双向身份认证请求,验证配电物联网终端身份是否合法,若验证合法,则开通电力物联管理平台与配电物联网终端之间的TCP通信链接,否则拒绝配电物联网终端与电力物联管理平台之间的通信链接,并反馈验证结果给配电物联网终端;
向电力物联管理平台发送原始MQTT明文,接收电力物联管理平台的原始MQTT明文或者包含业务指令的MQTT明文,根据MQTT报文类型及报文中的topic的不同,直接生成MQTT密文或者先进行数字签名再加密生成MQTT密文,将所述MQTT密文发送给配电物联网终端。
实施例2:本发明还提出基于电力物联管理平台的安全接入服务实现方法,由电力物联管理平台执行,其特征在于,所述方法包括:接收安全接入服务发送的标准MQTT协议报文,生成MQTT连接确认报文反馈给安全接入服务;接收安全接入服务处理上行报文并解密之后转化成明文的MQTT报文。
实施例3:如图3所示,本发明还提出基于电力物联管理平台的安全接入服务实现方法,由安全接入服务执行,其特征在于,所述方法包括:
响应于配电物联网终端发送的双向身份认证请求,验证配电物联网终端身份是否合法,若验证合法,则开通电力物联管理平台与配电物联网终端之间的TCP通信链接,否则拒绝配电物联网终端与电力物联管理平台之间的通信链接,并反馈验证结果给配电物联网终端;
向电力物联管理平台发送原始MQTT明文,接收电力物联管理平台的原始MQTT明文或者包含业务指令的MQTT明文,根据MQTT报文类型及报文中的topic的不同,直接生成MQTT密文或者先进行数字签名再加密生成MQTT密文,将所述MQTT密文发送给配电物联网终端。
可选的,如图2所示,所述方法还包括:接收配电物联网终端发送的随机数及签名报文,并将所述随机数及签名报文发送给配电加密认证装置进行验签,并接收配电加密认证装置反馈的“验签成功,返回随机数及签名”或者“验签失败返回失败”的结果,对应验签成功,通过TCP通信链接发送返回的随机数和签名报文发送给配电物联网终端,对应验签失败,断开与配电物联网终端的TCP通信链接。
实施例4:本发明还提出基于电力物联管理平台的安全接入服务实现方法,由配电加密认证装置执行,其特征在于,所述方法包括:
接收安全接入服务发送的签名报文,对所述签名报文进行验签,将验签结果反馈给安全接入服务;接收安全接入服务发送的待签名数据,生成签名信息后反馈给安全接入服务;接收安全接入服务发送的明文,转换成密文后反馈给安全接入服务;接收安全接入服务发送密文,转换成明文后反馈给安全接入服务。
实施例5:本发明还提出基于电力物联管理平台的安全接入服务实现方法,由配电物联网终端执行,其特征在于,所述方法包括:生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链接发送给安全接入服务;接收安全接入服务反馈的随机数和签名进行验签,若验签通过,双向认证过程结束;
发送MQTT密文给安全接入服务,接收安全接入服务反馈的MQTT密文,接收安全接入服务发送的先签名后加密成的MQTT密文。
实施例6:本发明还提出基于电力物联管理平台的安全接入服务实现方法,其特征在于,包括如下步骤:
步骤SS1:安全接入服务与配电物联网终端之间进行双向身份认证,若安全接入服务验证配电物联网终端身份合法,开通电力物联管理平台与配电物联网终端之间的通信链接,否则拒绝配电物联网终端的通信链接;
步骤SS2:安全接入服务验证配电物联网终端的身份合法后,创建一条到电力物联管理平台的TCP通信链路,该TCP通信链路与接收到的配电物联网终端的TCP通信链路之间保持同步,同时通断;
步骤SS3:安全接入服务接收配电物联网终端的MQTT连接请求报文,解密之后转换成标准MQTT协议报文转发给电力物联管理平台;
步骤SS4:安全接入服务接收电力物联管理平台的MQTT连接确认报文,加密之后转发给配电物联网终端,电力物联管理平台与配电物联网终端的MQTT链路建立完成;
步骤SS5:安全接入服务处理下行报文,根据MQTT报文的不同类型及报文中topic的不同,采取不同的安全防护措施,以密文的形式转发给配电物联网终端;安全接入服务处理上行报文,解密之后转化成明文的MQTT报文发送给电力物联管理平台。
可选的,如图2所示,所述步骤SS1具体包括:
步骤SS11:配电物联网终端生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链路发送给安全接入服务。
步骤SS12:安全接入服务收到安全报文后,转发报文给配电加密认证装置,配电加密认证装置对随机数的数字签名进行验签。;
步骤SS13:若验签通过,配电加密认证装置通过安全接入服务获取报文中的随机数,对随机数进行签名,反馈给安全接入服务;若验签未通过,配电物联网终端主动断开与安全接入服务的TCP通信链接。
步骤SS14:安全接入服务接收到配电加密认证装置的安全报文,通过TCP通信链路发送给配电物联网终端;若收到的结果是验签失败,则断开对应的TCP通信链接。
步骤SS15:配电物联网终端对收到的随机数和签名进行验签,若验签通过,双向认证过程结束。
可选的,如图3所示,1)安全接入服务接收到配电物联网终端的密文后,通过调用配电加密认证装置的解密函数,转成明文后分两种情况处理;其一若明文中不包含签名信息,直接取出原始的MQTT报文发送给电力物联管理平台;其二若明文中有签名,首先调用配电加密认证装置的验签函数,验签通过后转给电力物联管理平台,若验签失败,直接丢弃;2)安全接入服务接收到电力物联管理平台的MQTT报文后,若报文类型是客户端请求连接报文、连接确认报文、客户端订阅请求报文、订阅请求确认报文、客户端取消订阅请求报文、取消订阅确认报文、心跳请求报文、心跳响应报文中的一种,直接调用配电加密认证装置的加密函数,转成密文的安全报文发送给配电物联网终端;3)安全接入服务接收到电力物联管理平台的MQTT报文后,若报文类型是发布消息且topic中包含“operate”字段,首先应用Md5算法计算出整个MQTT消息的信息摘要,然后对摘要信息进行签名,最后将签名信息和原始的MQTT报文一起加密转换成安全报文发送给配电物联网终端。
需要说明的是:电力物联管理平台与配电物联网终端之间报文交互采用MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议)协议,MQTT协议基于发布/订阅消息模式,提供一对多的消息发布,主要承载设备管理、实时数据交互、应用管理等功能。MQTT协议在网络中定义了两种实体类型:一个消息代理和一些客户端。代理是一个服务器,它从客户端接收所有消息,然后将这些消息路由到相关的目标客户端。MQTT消息代理部署在电力物联管理平台。
安全接入服务与配电物联终端之间进行双向身份认证时采用SM2国密算法,每个配电物联终端拥有自己独立的数字证书;数字证书与配电物联网终端的设备ID绑定,由统一的CA中心签发;数字证书由使用时间限制,过期将无法用于验签。
MQTT协议报文类型中的客户端请求连接报文、连接确认报文、客户端订阅请求报文、订阅请求确认报文、客户端取消订阅请求报文、取消订阅确认报文、心跳请求报文、心跳相应报文仅做加密处理;发布消息报文首先进行数字签名,然后对整个报文进行加密。
安全接入服务与电力物联物联管理平台之间的报文交互为标准的明文MQTT报文;安全接入服务与配电物联网终端之间的报文为加密过的MQTT的报文。
安全接入服务对电力物联管理平台透明,配电物联网终端发起TCP通信链接请求时,安全接入服务同时与电力物联管理平台创建一条新的TCP通信链路;当配电物联网终端释放TCP通信链接时,安全接入服务主动断开与电力物联管理平台的TCP通信链路。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.基于电力物联管理平台的安全接入服务实现方法,其特征在于,所述方法包括如下步骤:
步骤SS1:安全接入服务与配电物联网终端之间进行双向身份认证,若安全接入服务验证配电物联网终端身份合法,开通电力物联管理平台与配电物联网终端之间的通信链接,否则拒绝配电物联网终端的通信链接;
步骤SS2:安全接入服务验证配电物联网终端的身份合法后,创建一条到电力物联管理平台的TCP通信链路,该TCP通信链路与接收到的配电物联网终端的TCP通信链路之间保持同步,同时通断;
步骤SS3:安全接入服务接收配电物联网终端的MQTT连接请求报文,解密之后转换成标准MQTT协议报文转发给电力物联管理平台;
步骤SS4:安全接入服务接收电力物联管理平台的MQTT连接确认报文,加密之后转发给配电物联网终端,电力物联管理平台与配电物联网终端的MQTT链路建立完成;
步骤SS5:安全接入服务处理下行报文,根据MQTT报文的不同类型及报文中topic的不同,采取不同的安全防护措施,以密文的形式转发给配电物联网终端;安全接入服务处理上行报文,解密之后转化成明文的MQTT报文发送给电力物联管理平台。
2.根据权利要求1所述的基于电力物联管理平台的安全接入服务实现方法,其特征在于,所述步骤SS1具体包括:
步骤SS11:配电物联网终端生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链路发送给安全接入服务;
步骤SS12:安全接入服务收到配电物联网终端签名报文后,转发签名数据给配电加密认证装置,配电加密认证装置对随机数的数字签名进行验签;
步骤SS13:若验签通过,配电加密认证装置通过安全接入服务获取报文中的随机数,对随机数进行签名,反馈给安全接入服务;若验签未通过,配电物联网终端主动断开与安全接入服务的TCP通信链接;
步骤SS14:安全接入服务接收到配电加密认证装置的签名报文,通过TCP通信链路发送给配电物联网终端;若收到的结果是验签失败,则断开对应的TCP通信链接;
步骤SS15:配电物联网终端对收到的随机数和签名进行验签,若验签通过,双向认证过程结束。
3.根据权利要求1或权利要求2所述基于电力物联管理平台的安全接入服务实现方法的应用系统,包括:配电物联网终端、配电云主站;所述配电云主站包括电力物联管理平台、安全接入服务、配电加密认证装置,所述电力物联管理平台与所述安全接入服务通信连接,所述安全接入服务与所述配电加密认证装置通信连接,所述配电物联网终端与所述安全接入服务通信连接;所述配电物联网终端用于生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链接发送给安全接入服务;接收安全接入服务反馈的随机数和签名进行验签,若验签通过,双向认证过程结束;发送MQTT密文给安全接入服务,接收安全接入服务反馈的MQTT密文,接收安全接入服务发送的先签名后加密成的MQTT密文。
4.根据权利要求3所述的应用系统,其特征在于,所述电力物联管理平台用于:接收安全接入服务发送的标准MQTT协议报文,生成MQTT连接确认报文反馈给安全接入服务;接收安全接入服务解密之后转化成明文的MQTT报文;所述配电加密认证装置用于:接收安全接入服务发送的签名报文,对所述签名报文进行验签,将验签结果反馈给安全接入服务;接收安全接入服务发送的待签名数据,生成签名信息后反馈给安全接入服务;接收安全接入服务发送的明文,转换成密文后反馈给安全接入服务;接收安全接入服务发送密文,转换成明文后反馈给安全接入服务。
5.根据权利要求3所述的应用系统,其特征在于,所述安全接入服务用于:响应配电物联网终端发送的身份认证请求,验证配电物联网终端身份是否合法,若验证合法,则开通电力物联管理平台与配电物联网终端之间的TCP通信链接,否则拒绝配电物联网终端与电力物联管理平台之间的通信链接,并反馈验证结果给配电物联网终端;
向电力物联管理平台发送原始MQTT明文,接收电力物联管理平台的原始MQTT明文或者包含业务指令的MQTT明文,根据MQTT报文类型及报文中的topic的不同,直接生成MQTT密文或者先进行数字签名再加密生成MQTT密文,将所述MQTT密文发送给配电物联网终端。
6.根据权利要求3至5任一项所述应用系统的安全接入服务实现方法,由电力物联管理平台执行,其特征在于,所述方法包括:接收安全接入服务发送的标准MQTT协议报文,生成MQTT连接确认报文反馈给安全接入服务;接收安全接入服务处理上行报文并解密之后转化成明文的MQTT报文。
7.根据权利要求3至5任一项所述应用系统的安全接入服务实现方法,由安全接入服务执行,其特征在于,所述方法包括:
响应于配电物联网终端发送的双向身份认证请求,验证配电物联网终端身份是否合法,若验证合法,则开通电力物联管理平台与配电物联网终端之间的TCP通信链接,否则拒绝配电物联网终端与电力物联管理平台之间的通信链接,并反馈验证结果给配电物联网终端;
向电力物联管理平台发送原始MQTT明文,接收电力物联管理平台的原始MQTT明文或者包含业务指令的MQTT明文,根据MQTT报文类型及报文中的topic的不同,直接生成MQTT密文或者先进行数字签名再加密生成MQTT密文,将所述MQTT密文发送给配电物联网终端。
8.根据权利要求7所述的安全接入服务实现方法,其特征在于,所述方法还包括:接收配电物联网终端发送的随机数及签名报文,并将所述随机数及签名报文发送给配电加密认证装置进行验签,并接收配电加密认证装置反馈的“验签成功,返回随机数及签名”或者“验签失败返回失败”的结果,对应验签成功,通过TCP通信链接发送返回的随机数和签名报文发送给配电物联网终端,对应验签失败,断开与配电物联网终端的TCP通信链接。
9.根据权利要求3至5任一项所述应用系统的安全接入服务实现方法,由配电加密认证装置执行,其特征在于,所述方法包括:接收安全接入服务发送的签名报文,对所述签名报文进行验签,将验签结果反馈给安全接入服务;接收安全接入服务发送的待签名数据,生成签名信息后反馈给安全接入服务;接收安全接入服务发送的明文,转换成密文后反馈给安全接入服务;接收安全接入服务发送密文,转换成明文后反馈给安全接入服务。
10.根据权利要求3至5任一项所述应用系统的安全接入服务实现方法,由配电物联网终端执行,其特征在于,所述方法包括:生成随机数,并对随机数进行数字签名,封装成安全报文后,通过TCP通信链接发送给安全接入服务;接收安全接入服务反馈的随机数和签名进行验签,若验签通过,双向认证过程结束;
发送MQTT密文给安全接入服务,接收安全接入服务反馈的MQTT密文,接收安全接入服务发送的先签名后加密成的MQTT密文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010789138.XA CN112104604B (zh) | 2020-08-07 | 2020-08-07 | 基于电力物联管理平台的安全接入服务实现系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010789138.XA CN112104604B (zh) | 2020-08-07 | 2020-08-07 | 基于电力物联管理平台的安全接入服务实现系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112104604A CN112104604A (zh) | 2020-12-18 |
| CN112104604B true CN112104604B (zh) | 2024-03-29 |
Family
ID=73752691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010789138.XA Active CN112104604B (zh) | 2020-08-07 | 2020-08-07 | 基于电力物联管理平台的安全接入服务实现系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104604B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112733062A (zh) * | 2021-01-14 | 2021-04-30 | 国网上海市电力公司 | 一种物联应用管理系统及方法 |
| CN112911004B (zh) * | 2021-02-03 | 2022-09-27 | 北京寄云鼎城科技有限公司 | 一种保证物联网系统安全运转的方法、装置和计算设备 |
| CN113054743A (zh) * | 2021-03-16 | 2021-06-29 | 国电南瑞科技股份有限公司 | 一种适用于配电云主站的物联终端数据接入系统及方法 |
| CN113395352A (zh) * | 2021-06-21 | 2021-09-14 | 国网上海能源互联网研究院有限公司 | 一种适用于配电物联网业务安全的检测方法及系统 |
| CN113613190A (zh) * | 2021-06-22 | 2021-11-05 | 国网思极网安科技(北京)有限公司 | 终端安全接入单元、系统及方法 |
| CN114189510B (zh) * | 2021-11-30 | 2023-07-25 | 国网四川省电力公司南充供电公司 | 一种基于apn的物联网数据采集系统及方法 |
| CN114374550A (zh) * | 2021-12-29 | 2022-04-19 | 南方电网海南数字电网研究院有限公司 | 一种具备高安全性的电力计量平台 |
| CN115314532A (zh) * | 2022-07-05 | 2022-11-08 | 国网上海能源互联网研究院有限公司 | 一种配电终端与物联网主站信息交互方法及装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003333035A (ja) * | 2002-05-09 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | 認証付暗号方法及び装置及び認証付暗号プログラム及び認証付暗号プログラムを格納した記憶媒体及び認証付復号方法及び装置及び認証付復号プログラム及び認証付復号プログラムを格納した記憶媒体及び否認性取り消し方法及び検証方法及び検証装置及び検証プログラム及び検証プログラムを格納した記憶媒体 |
| CN103888444A (zh) * | 2014-02-24 | 2014-06-25 | 北京科东电力控制系统有限责任公司 | 一种配电安全认证装置及其方法 |
| CN105099882A (zh) * | 2015-07-09 | 2015-11-25 | 杭州电子科技大学 | 一种基于mqtt的云推送方法和系统 |
| CN108322356A (zh) * | 2017-01-18 | 2018-07-24 | 重庆邮电大学 | 一种基于mqtt的工业网络网关兼容测试方法 |
| WO2018157916A1 (en) * | 2017-02-28 | 2018-09-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Publish-subscribe messaging systems, methods, apparatuses, computer programs and computer program products |
| CN108900540A (zh) * | 2018-08-10 | 2018-11-27 | 南方电网科学研究院有限责任公司 | 一种基于双重加密的配电终端的业务数据处理方法 |
| CN109088723A (zh) * | 2018-10-26 | 2018-12-25 | 四川长虹电器股份有限公司 | 一种基于mqtt协议的远程控制方法 |
| CN109150703A (zh) * | 2018-08-23 | 2019-01-04 | 北方工业大学 | 一种工业物联网智能云网关及其通信方法 |
| CN109450854A (zh) * | 2018-10-11 | 2019-03-08 | 珠海许继芝电网自动化有限公司 | 一种配电终端通信安全防护方法及系统 |
| CN109547400A (zh) * | 2017-09-22 | 2019-03-29 | 三星电子株式会社 | 通信方法、完整性验证方法和客户端的服务器注册方法 |
| KR20190034048A (ko) * | 2017-09-22 | 2019-04-01 | 삼성전자주식회사 | 암호화 보안 프로토콜 기반 통신을 이용한 클라이언트의 서버 등록 방법 및 암호화 보안 프로토콜 기반 통신을 이용한 클라이언트와 서버간 무결성 검증 방법 |
| GB201914444D0 (en) * | 2019-10-07 | 2019-11-20 | British Telecomm | Secure publish-subscribe communication methods and apparatus |
| WO2019246599A1 (en) * | 2018-06-21 | 2019-12-26 | Haibin Zhang | Systems and methods for permissioned blockchain infrastructure with fine-grained access control and confidentiality-preserving publish/subscribe messaging |
| CN111107085A (zh) * | 2019-12-18 | 2020-05-05 | 青岛联众智芯科技有限公司 | 一种基于发布订阅模式的安全通讯方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101746193B1 (ko) * | 2013-11-13 | 2017-06-20 | 한국전자통신연구원 | 보안 도우미 서비스 제공장치 및 서비스 제공방법 |
| CN104184735B (zh) * | 2014-08-26 | 2018-03-09 | 国网浙江省电力有限公司 | 电力营销移动应用安全防护系统 |
-
2020
- 2020-08-07 CN CN202010789138.XA patent/CN112104604B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003333035A (ja) * | 2002-05-09 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | 認証付暗号方法及び装置及び認証付暗号プログラム及び認証付暗号プログラムを格納した記憶媒体及び認証付復号方法及び装置及び認証付復号プログラム及び認証付復号プログラムを格納した記憶媒体及び否認性取り消し方法及び検証方法及び検証装置及び検証プログラム及び検証プログラムを格納した記憶媒体 |
| CN103888444A (zh) * | 2014-02-24 | 2014-06-25 | 北京科东电力控制系统有限责任公司 | 一种配电安全认证装置及其方法 |
| CN105099882A (zh) * | 2015-07-09 | 2015-11-25 | 杭州电子科技大学 | 一种基于mqtt的云推送方法和系统 |
| CN108322356A (zh) * | 2017-01-18 | 2018-07-24 | 重庆邮电大学 | 一种基于mqtt的工业网络网关兼容测试方法 |
| WO2018157916A1 (en) * | 2017-02-28 | 2018-09-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Publish-subscribe messaging systems, methods, apparatuses, computer programs and computer program products |
| CN109547400A (zh) * | 2017-09-22 | 2019-03-29 | 三星电子株式会社 | 通信方法、完整性验证方法和客户端的服务器注册方法 |
| KR20190034048A (ko) * | 2017-09-22 | 2019-04-01 | 삼성전자주식회사 | 암호화 보안 프로토콜 기반 통신을 이용한 클라이언트의 서버 등록 방법 및 암호화 보안 프로토콜 기반 통신을 이용한 클라이언트와 서버간 무결성 검증 방법 |
| WO2019246599A1 (en) * | 2018-06-21 | 2019-12-26 | Haibin Zhang | Systems and methods for permissioned blockchain infrastructure with fine-grained access control and confidentiality-preserving publish/subscribe messaging |
| CN108900540A (zh) * | 2018-08-10 | 2018-11-27 | 南方电网科学研究院有限责任公司 | 一种基于双重加密的配电终端的业务数据处理方法 |
| CN109150703A (zh) * | 2018-08-23 | 2019-01-04 | 北方工业大学 | 一种工业物联网智能云网关及其通信方法 |
| CN109450854A (zh) * | 2018-10-11 | 2019-03-08 | 珠海许继芝电网自动化有限公司 | 一种配电终端通信安全防护方法及系统 |
| CN109088723A (zh) * | 2018-10-26 | 2018-12-25 | 四川长虹电器股份有限公司 | 一种基于mqtt协议的远程控制方法 |
| GB201914444D0 (en) * | 2019-10-07 | 2019-11-20 | British Telecomm | Secure publish-subscribe communication methods and apparatus |
| CN111107085A (zh) * | 2019-12-18 | 2020-05-05 | 青岛联众智芯科技有限公司 | 一种基于发布订阅模式的安全通讯方法 |
Non-Patent Citations (4)
| Title |
|---|
| Georgios Vrettos ; Evangelos Logaras ; Emmanouil Kalligeros.Towards Standardization of MQTT-Alert-based Sensor Networks: Protocol Structures Formalization and Low-End Node Security.IEEE.2018,2150-3117. * |
| Suja P Mathews ; Raju R Gondkar.Protocol Recommendation for Message Encryption in MQTT.IEEE.2019,第二-四章. * |
| 云存储平台数据安全方案研究;平恩鹏;;现代信息科技(23);164-165 * |
| 电力物联网传感装置安全接入技术;任晓龙;韩大为;杨海文;;农村电气化;20190328(02);7-10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112104604A (zh) | 2020-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112104604B (zh) | 基于电力物联管理平台的安全接入服务实现系统及方法 | |
| CN101340443B (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
| EP3014802B1 (en) | Securing method for lawful interception | |
| CN107635227B (zh) | 一种群组消息加密方法及装置 | |
| CN102868531B (zh) | 一种网络交易认证系统和网络交易认证方法 | |
| CN105577639B (zh) | 可信装置控制消息 | |
| CN105792190B (zh) | 通信系统中的数据加解密和传输方法 | |
| US10021562B2 (en) | Mobile trusted module (MTM)-based short message service security system and method thereof | |
| CN101383698A (zh) | 会话密钥分发方法及系统 | |
| CN104753953A (zh) | 访问控制系统 | |
| CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| CN112491550B (zh) | 一种基于车联网的移动终端设备可信认证方法及系统 | |
| CN111914291A (zh) | 消息处理方法、装置、设备及存储介质 | |
| US11770247B2 (en) | Method for providing end-to-end security over signaling plane in mission critical data communication system | |
| CN103167494B (zh) | 信息发送方法和系统 | |
| WO2010025638A1 (zh) | 点对点直播流传递的方法、装置及系统 | |
| CN108141353B (zh) | 密码算法升级的方法及设备 | |
| CN109450627B (zh) | 一种将量子通信与无线通信相融合的移动设备通信网络及其通信方法 | |
| CN105187211A (zh) | 一种消息安全发送接收方法及发送接收装置 | |
| US20120099729A1 (en) | Method and system for delaying transmission of media information in internet protocol ( ip) multimedia subsystem | |
| CN105262759A (zh) | 一种加密通信的方法和系统 | |
| CN107104888A (zh) | 一种安全的即时通信方法 | |
| CN110855628A (zh) | 一种数据传输方法及系统 | |
| CN103414707A (zh) | 报文接入处理方法和装置 | |
| Samanta et al. | Secure short message peer-to-peer protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |