CN112787990B - 一种电力终端可信接入认证方法和系统 - Google Patents
一种电力终端可信接入认证方法和系统 Download PDFInfo
- Publication number
- CN112787990B CN112787990B CN202011171191.XA CN202011171191A CN112787990B CN 112787990 B CN112787990 B CN 112787990B CN 202011171191 A CN202011171191 A CN 202011171191A CN 112787990 B CN112787990 B CN 112787990B
- Authority
- CN
- China
- Prior art keywords
- authentication
- power distribution
- authentication center
- power terminal
- master station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种电力终端可信接入认证方法和系统。所述方法和系统通过安全通信协议分别在认证中心和电力终端,认证中心和配电主站之间建立安全加密连接,然后在建立加密连接后,在认证中心的协调下,完成电力终端与配电主站的身份认证。所述方法和系统在电力终端与配电主站之间引入认证中心,从传统的单向加密认证转变为双向认证,有效避免了数据流量被监听、窃取或篡改的风险,解决了电网终端的安全可信接入问题。
Description
技术领域
本发明涉及终端信息安全防护领域,并且更具体地,涉及一种电力终端 可信接入认证方法和系统。
背景技术
随着配电自动化建设进程加快,配电自动化覆盖率加大,配电终端分 布面日益广泛,攻击者可通过伪造终端身份、重放攻击等攻击形式对配电 主站进行恶意破坏、攻击及其他非法操作,致使配电自动化系统面临来自 公网或专网的网络攻击风险。传统的身份认证方式仅对配电主站与终端交 互的遥控指令、参数设置命令采取了签名操作,仅实现终端对主站的身份 鉴别,主站不具备鉴别终端真伪的功能,且主站与终端间交互的业务报文以明文方式传输,易被篡改,有可能导致配电主站发出“错误”的控制指 令,造成非故障区域停电事件的发生。不法分子可伪造终端设备的身份标 识与配电主站进行连接,进一步可能以电力终端为跳板进而非法入侵配电 主站。
发明内容
为了解决现有技术中配电终端接入配电主站时,攻击者易对配电主站 进行破坏、攻击的技术问题,本发明提供了一种电力终端可信接入认证方 法,所述方法包括:
认证中心接收电力终端发起的第一连接请求,并基于预先建立的数据 库对电力终端进行第一身份认证,以及在第一身份认证通过时,与电力终 端协商产生第一会话密钥,使电力终端和认证中心建立第一加密连接;
认证中心接收配电主站发起的第二连接请求,并基于预先建立的数据 库对配电主站进行第二身份认证,以及在第二身份认证通过时,与配电主 站协商产生第二会话密钥,使配电主站和认证中心建立第二加密连接;
认证中心与电力终端建立第一加密连接后,接收电力终端发起的认证 请求,生成认证响应后返回至电力终端,其中,所述认证请求和认证响应 采用第一会话密钥进行加密传输;
认证中心与配电主站建立第二加密连接后,接收配电主站发起的Token 请求,向配电主站返回根据认证响应生成的Token,其中,所述Token请 求和Token采用第二会话密钥进行加密传输;
电力终端和配电主站基于所述认证响应和Token进行双向身份认证, 当双向身份认证通过时,所述电力终端作为可信终端允许接入配电主站。
进一步地,在电力终端向认证中心发起第一连接请求之前还包括:
建立认证中心的数据库,所述数据库用于存储全部电力终端的MAC和 公钥信息,配电主站的MAC和公钥信息,以及配电主站的MAC与电力终端 的MAC之间的对应关系;
电力终端和配电主站根据认证中心公钥分别生成并存储表明各自身份 的证书,其中,所述电力终端证书包括电力终端mac地址,认证中心公钥, 电力终端私钥和公钥,所述配电主站证书包括配主站mac地址,认证中心 公钥,电力终端私钥和公钥。
进一步地,认证中心接收电力终端发起的第一连接请求,并基于预先 建立的数据库对电力终端进行第一身份认证,以及在第一身份认证通过时, 与电力终端协商产生第一会话密钥,使电力终端和认证中心建立第一加密 连接包括:
电力终端生成一个32位随机数RD,并使用电力终端私钥对RD进行加 密,得到长度为128字节的加密结果RDS后,将电力终端MAC和RDS拼接后 的数据作为第一连接请求发起至认证中心;
认证中心收到第一连接请求后,读取电力终端MAC,并从数据库中查 询所述电力终端MAC是否合法,若不合法,所述第一连接请求被舍弃,若 合法,则查询与所述电力终端MAC对应的电力终端公钥,使用所述电力终 端公钥解密第一连接请求中其余的加密数据,得到解密结果RD;认证中心 生成一个32位的随机数RP,拼接RD和RP并使用认证中心私钥加密,加密 结果记为(RD+RP)S,将(RD+RP)S作为第一连接响应发起给电力终端;
电力终端收到所述第一连接响应后,使用认证中心公钥对所述第一连 接响应进行解密,得到RD和RP的原始值,并使用RD和RP的异或构造出一个 128位的DES密钥,记为K1,以及使用K1加密一段问候语生成第一加密数 据,并将所述第一加密数据发起至认证中心;
认证中心接收所述第一加密数据,并使用RD和RP的异或构造出一个 128位的DES密钥解密所述第一加密数据,当解密成功时,认证中心和电 力终端使用DES密钥K1作为第一会话密钥进行加密数据通信。
进一步地,所述认证中心接收配电主站发起的第二连接请求,并基于 预先建立的数据库对配电主站进行第二身份认证,以及在第二身份认证通 过时,与配电主站协商产生第二会话密钥,使配电主站和认证中心建立第 二加密连接包括:
配电主站生成一个32位随机数RZ,并使用配电主站私钥对RZ进行加 密,得到长度为128字节的加密结果RZS后,将配电主站MAC和RZS拼接后 的数据作为第二连接请求发起至认证中心;
认证中心收到第二连接请求后,读取配电主站MAC,并从数据库中查 询所述配电主站MAC是否合法,若不合法,所述第二连接请求被舍弃,若 合法,则查询与所述配电主站MAC对应的配电主站公钥,使用所述配电主 站公钥解密第二连接请求中其余的加密数据,得到解密结果RZ;认证中心 生成一个32位的随机数RP,拼接RZ和RP并使用认证中心私钥加密,加密 结果记为(RZ+RP)S,将(RZ+RP)S作为第二连接响应发起给配电主站;
配电主站收到所述第二连接响应后,使用认证中心公钥对所述第二连 接响应进行解密,得到RZ和RP的原始值,并使用RZ和RP的异或构造出一个 128位的DES密钥,记为K2,以及使用K2加密一段问候语生成第二加密数 据,并将所述第二加密数据发起至认证中心;
认证中心接收所述第二加密数据,并使用RZ和RP的异或构造出一个128位的DES密钥解密所述第二加密数据,当解密成功时,认证中心和配 电主站使用DES密钥K2作为第二会话密钥进行加密数据通信。
进一步地,所述电力终端与认证中心之间,配电主站与认证中心之间 采用LSAP协议建立安全加密连接。
进一步地,所述认证中心与电力终端建立第一加密连接后,接收电力 终端发起的认证请求,生成认证响应后返回至电力终端包括:
认证中心与电力终端建立第一加密连接后,接收电力终端发起的认证 请求,所述认证请求通过第一会话密钥K1加密后传输;
认证中心接收所述认证请求后,采用第一会话密钥K1对所述认证请求 进行解密,生成一个随机的DES密钥作为Key,并保存所述Key与电力终端 的对应关系;
认证中心将Key作为认证响应,通过第一会话密钥K1加密后返回给电 力终端。
进一步地,所述认证中心与配电主站建立第二加密连接后,接收配电 主站发起的Token请求,向配电主站返回根据认证响应生成的Token包括:
认证中心与配电主站建立第二加密连接后,接收配电主站发起的Token 请求,所述Token请求中包含配电主站拟连接的电力终端MAC,且所述Token 请求采用第二会话密钥K2加密后传输;
认证中心接收Token请求后,采用第二会话密钥K2对所述Token请求 进行解密,判断所述Token请求中的电力终端MAC是否与配电主站存在对 应关系,若存在,认证中心生成一个32位随机数R1,并取出所述Key后, 使用Key加密R1,得到128位的R1S,以及将R1S和R1的Hash值作为Token, 和R1一起采用第二会话密钥K2加密后发送至配电主站。
进一步地,所述电力终端和配电主站基于所述认证响应和Token进行 双向身份认证,当双向身份认证通过时,所述电力终端作为可信终端允许 接入配电主站包括:
配电主站接收Token和R1后,保存R1,并把Token发送至电力终端;
电力终端收到Token后,利用Key对Token的前128位的R1S进行解密, 将解密结果的Hash值与Token中R1的Hash比较,若一致,则验证配电主 站身份合法;
验证配电主站合法后,电力终端生成一个32位随机数R2,并使用R1作 为DES密钥加密R2,得到128位的R2S,以及计算R2的64位Hash值R2Hash, 发送R2S和R2Hash给配电主站;
配电主站使用R1作为DES密钥解密R2S,并将解密结果与R2Hash作比 较,若一致,则验证电力终端身份合法;
所述电力终端与配电主站完成双向身份认证并确认R1与R2的值后,使 用R1与R2的异或值构造一个64位的DES密钥作为电力终端与配电主站的 会话密钥。
根据本发明的另一方面,本发明提供一种电力终端可信接入认证系统, 所述系统包括:
认证中心,其用于接收电力终端发起的第一连接请求,并基于预先建 立的数据库对电力终端进行第一身份认证,以及在第一身份认证通过时, 与电力终端协商产生第一会话密钥,使电力终端和认证中心建立第一加密 连接;接收配电主站发起的第二连接请求,并基于预先建立的数据库对配 电主站进行第二身份认证,以及在第二身份认证通过时,与配电主站协商 产生第二会话密钥,使配电主站和认证中心建立第二加密连接;在与电力终端建立第一加密连接后,接收电力终端发起的认证请求,生成认证响应 后返回至电力终端,在与配电主站建立第二加密连接后,接收配电主站发 起的Token请求,向配电主站返回根据认证响应生成的Token,其中,所 述认证请求和认证响应采用第一会话密钥进行加密传输;所述Token请求 和Token采用第二会话密钥进行加密传输;
电力终端,其用于向认证中心发起第一连接请求,并在认证中心对其 进行第一身份认证通过时,与认证中心协商产生第一会话密钥,建立第一 加密连接,并在与认证中心建立第一加密连接后,向认证中心发起认证请 求,以及接收认证中心返回的认证响应;以及基于所述认证响应和配主站 的Token进行其与配电主站的双向身份认证;
配电主站,其用于向认证中心发起第二连接请求,并在认证中心对其 进行第二身份认证通过时,与认证中心协商产生第二会话密钥,建立第二 加密连接,并在与认证中心建立第二加密连接后,向认证中心发起Token 请求,以及接收认证中心返回的根据电力终端的认证响应生成的Token, 基于所述Token和电力终端认证响应进行其与电力终端的双向身份认证。
进一步地,所述系统还包括:
数据库单元,其用于建立认证中心的数据库,所述数据库用于存储全 部电力终端的MAC和公钥信息,配电主站的MAC和公钥信息,以及配电主 站的MAC与电力终端的MAC之间的对应关系;
身份证书单元,其用于电力终端和配电主站根据认证中心公钥分别生 成并存储表明各自身份的证书,其中,所述电力终端证书包括电力终端mac 地址,认证中心公钥,电力终端私钥和公钥,所述配电主站证书包括配主 站mac地址,认证中心公钥,电力终端私钥和公钥。
本发明技术方案提供的电力终端可信接入认证方法和系统通过安全通 信协议分别在认证中心和电力终端,认证中心和配电主站之间建立安全加 密连接,然后在建立加密连接后,在认证中心的协调下,完成电力终端与 配电主站的身份认证。所述方法和系统在电力终端与配电主站之间引入谁 中心,从传统的单向加密认证转变为双向认证,有效避免了数据流量被监 听、窃取或篡改的风险,解决了电网终端的安全可信接入问题。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的电力终端可信接入认证方法的流程 图;
图2为根据本发明优选实施方式的认证中心对电力终端的握手请求进 行处理的流程图;
图3为根据本发明优选实施方式的在认证中心的协调下电力终端和配 电主站进行相互身份认证的示意图;
图4为根据本发明优选实施方式的电力终端可信接入认证系统的结构 示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许 多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例 是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分 传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是 对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的 技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典 限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应 该被理解为理想化的或过于正式的意义。
本发明提出一种基于双向认证的电力终端可信接入认证方法,用于保 证电力终端与配电主站的双向身份认证和数据加密。终端接入过程分为连 接和认证两个部分:连接过程是电力终端与认证中心之间、认证中心与配 电主站的参数协商、会话密钥协商,进而建立一条加密的数据连接;认证 过程是在认证中心的帮助和协调下,完成电力终端与配电主站的身份认证。
图1为根据本发明优选实施方式的电力终端可信接入认证方法的流程 图。如图1所示,本优选实施方式所述的电力终端可信接入认证方法100 从步骤101开始。
在步骤101,建立认证中心的数据库,所述数据库用于存储全部电力 终端的MAC和公钥信息,配电主站的MAC和公钥信息,以及配电主站的MAC 与电力终端的MAC之间的对应关系。
在步骤102,电力终端和配电主站根据认证中心公钥分别生成并存储 表明各自身份的证书,其中,所述电力终端证书包括电力终端mac地址, 认证中心公钥,电力终端私钥和公钥,所述配电主站证书包括配主站mac 地址,认证中心公钥,电力终端私钥和公钥。
电力终端需要有一个证书,用来完整记录和标识电力终端的身份,以 保证认证中心对终端身份认证的可靠性和准确性。电力终端证书的数据格 式如下:
①终端MAC:表示系统中某个独一无二的电力终端,认证中心通过终端MAC 来维护和管理整个系统中的电力终端。
②认证中心公钥:认证中心一端的加密方法采用1024位RSA加密,由于系 统中只存在一个认证中心,所以所有的电力终端保存的认证中心公钥是相 同的。
③终端公私钥对:终端的加密方法采用1024位RSA加密,每个终端在出厂 前都被赋予一对专有的公私钥对,供终端加解密使用,这对公私钥对在终 端整个生命周期内不可改变。相对应地,配电主站也具有相似的证书,此 处不再赘述。
认证中心的数据库中维护着系统中所有的电力终端的MAC和公钥信息, 以及配电主站的MAC和公钥信息,以帮助认证中心实现对系统里配电主站 和每一个电力终端的身份认证,这样可以使认证中心在配电评和电力终端 完整的生命周期中对其进行维护和管理,从源头上保证了配电主站和电力 终端身份信息的可靠性。
在步骤103,认证中心接收电力终端发起的第一连接请求,并基于建 立的数据库对电力终端进行第一身份认证,以及在第一身份认证通过时, 与电力终端协商产生第一会话密钥,使电力终端和认证中心建立第一加密 连接;
在步骤104,认证中心接收配电主站发起的第二连接请求,并基于建 立的数据库对配电主站进行第二身份认证,以及在第二身份认证通过时, 与配电主站协商产生第二会话密钥,使配电主站和认证中心建立第二加密 连接;
在步骤105,认证中心与电力终端建立第一加密连接后,接收电力终 端发起的认证请求,生成认证响应后返回至电力终端,其中,所述认证请 求和认证响应采用第一会话密钥进行加密传输;
在步骤106,认证中心与配电主站建立第二加密连接后,接收配电主 站发起的Token请求,向配电主站返回根据认证响应生成的Token,其中, 所述Token请求和Token采用第二会话密钥进行加密传输;
在步骤107,电力终端和配电主站基于所述认证响应和Token进行双 向身份认证,当双向身份认证通过时,所述电力终端作为可信终端允许接 入配电主站。
优选地,认证中心接收电力终端发起的第一连接请求,并基于预先建 立的数据库对电力终端进行第一身份认证,以及在第一身份认证通过时, 与电力终端协商产生第一会话密钥,使电力终端和认证中心建立第一加密 连接包括:
电力终端生成一个32位随机数RD,并使用电力终端私钥对RD进行加 密,得到长度为128字节的加密结果RDS后,将电力终端MAC和RDS拼接后 的数据作为第一连接请求发起至认证中心;
认证中心收到第一连接请求后,读取电力终端MAC,并从数据库中查 询所述电力终端MAC是否合法,若不合法,所述第一连接请求被舍弃,若 合法,则查询与所述电力终端MAC对应的电力终端公钥,使用所述电力终 端公钥解密第一连接请求中其余的加密数据,得到解密结果RD;认证中心 生成一个32位的随机数RP,拼接RD和RP并使用认证中心私钥加密,加密 结果记为(RD+RP)S,将(RD+RP)S作为第一连接响应发起给电力终端;
电力终端收到所述第一连接响应后,使用认证中心公钥对所述第一连 接响应进行解密,得到RD和RP的原始值,并使用RD和RP的异或构造出一个 128位的DES密钥,记为K1,以及使用K1加密一段问候语生成第一加密数 据,并将所述第一加密数据发起至认证中心;
认证中心接收所述第一加密数据,并使用RD和RP的异或构造出一个 128位的DES密钥解密所述第一加密数据,当解密成功时,认证中心和电 力终端使用DES密钥K1作为第一会话密钥进行加密数据通信。
优选地,所述认证中心接收配电主站发起的第二连接请求,并基于预 先建立的数据库对配电主站进行第二身份认证,以及在第二身份认证通过 时,与配电主站协商产生第二会话密钥,使配电主站和认证中心建立第二 加密连接包括:
配电主站生成一个32位随机数RZ,并使用配电主站私钥对RZ进行加 密,得到长度为128字节的加密结果RZS后,将配电主站MAC和RZS拼接后 的数据作为第二连接请求发起至认证中心;
认证中心收到第二连接请求后,读取配电主站MAC,并从数据库中查 询所述配电主站MAC是否合法,若不合法,所述第二连接请求被舍弃,若 合法,则查询与所述配电主站MAC对应的配电主站公钥,使用所述配电主 站公钥解密第二连接请求中其余的加密数据,得到解密结果RZ;认证中心 生成一个32位的随机数RP,拼接RZ和RP并使用认证中心私钥加密,加密 结果记为(RZ+RP)S,将(RZ+RP)S作为第二连接响应发起给配电主站;
配电主站收到所述第二连接响应后,使用认证中心公钥对所述第二连 接响应进行解密,得到RZ和RP的原始值,并使用RZ和RP的异或构造出一个 128位的DES密钥,记为K2,以及使用K2加密一段问候语生成第二加密数 据,并将所述第二加密数据发起至认证中心;
认证中心接收所述第二加密数据,并使用RZ和RP的异或构造出一个 128位的DES密钥解密所述第二加密数据,当解密成功时,认证中心和配 电主站使用DES密钥K2作为第二会话密钥进行加密数据通信。
优选地,所述电力终端与认证中心之间,配电主站与认证中心之间采 用LSAP协议建立安全加密连接。
在电力终端与认证中心之间,配电主站与认证中心之间采用LSAP协议 建立安全加密连接时,在底层使用TCp协议来保证数据的可靠传输,LSAP 握手协议报文定义了电力终端与认证中心,以及配电主站与认证中心进行 身份认证和密钥协商的数据格式,包含了下列几个元素:
①同步头(Token):标识了报文段的开始位置。
②报文类型(Type):分为请求、响应、完成确认、已建立连接、结束5 中类型。
③序列号(Cnt):包含了握手协议数据部分的序列号信息,用来保证接收 方所接受数据的完整性。
④数据长度(Length):数据报中报文的总数据长度。
⑤数据(Data):存放实际需要传输的数据。
⑥散列值(Hash):报文加密数据的单项散列值。
图2为根据本发明优选实施方式的认证中心对电力终端的握手请求进 行处理的流程图。如图2所示,当电力终端和认证中心采用LSAP握手协议 建立连接时,认证中心对电力终端发送的握手请求进行响应的过程为:认 证中心收到握手请求后,取出握手请求中的终端信息,读取所述终端信息 中的电力终端MAC,并从数据库中查询所述电力终端MAC是否合法,若不 合法,所述握手请求被舍弃,若合法,则查询与所述电力终端MAC对应的 电力终端公钥,使用所述电力终端公钥解密握手请求中后128字节数据, 得到解密结果RD;随后,认证中心生成一个32位的随机数RP,拼接RD和RP并使用认证中心私钥加密,得到加密结果(RD+RP)S,最后将(RD+RP)S作 为握手响应发送给电力终端。认证中心处理配电主站请求的原理相同,此 处不再赘述。
优选地,所述认证中心与电力终端建立第一加密连接后,接收电力终 端发起的认证请求,生成认证响应后返回至电力终端包括:
认证中心与电力终端建立第一加密连接后,接收电力终端发起的认证 请求,所述认证请求通过第一会话密钥K1加密后传输;
认证中心接收所述认证请求后,采用第一会话密钥K1对所述认证请求 进行解密,生成一个随机的DES密钥作为Key,并保存所述Key与电力终端 的对应关系;
认证中心将Key作为认证响应,通过第一会话密钥K1加密后返回给电 力终端。
优选地,所述认证中心与配电主站建立第二加密连接后,接收配电主 站发起的Token请求,向配电主站返回根据认证响应生成的Token包括:
认证中心与配电主站建立第二加密连接后,接收配电主站发起的Token 请求,所述Token请求中包含配电主站拟连接的电力终端MAC,且所述Token 请求采用第二会话密钥K2加密后传输;
认证中心接收Token请求后,采用第二会话密钥K2对所述Token请求 进行解密,判断所述Token请求中的电力终端MAC是否与配电主站存在对 应关系,若存在,认证中心生成一个32位随机数R1,并取出所述Key后, 使用Key加密R1,得到128位的R1S,以及将R1S和R1的Hash值作为Token, 和R1一起采用第二会话密钥K2加密后发送至配电主站。
优选地,所述电力终端和配电主站基于所述认证响应和Token进行双 向身份认证,当双向身份认证通过时,所述电力终端作为可信终端允许接 入配电主站包括:
配电主站接收Token和R1后,保存R1,并把Token发送至电力终端;
电力终端收到Token后,利用Key对Token的前128位的R1S进行解密, 将解密结果的Hash值与Token中R1的Hash比较,若一致,则证明电力终 端的Key与配电主站发来的Token存在对应关系,配电主站的身份是合法 的;
当验证配电主站合法后,电力终端生成一个32位随机数R2,并使用R1 作为DES密钥加密R2,得到128位的R2S,以及计算R2的64位Hash值R2Hash, 发送R2S和R2Hash给配电主站;
配电主站使用R1作为DES密钥解密R2S,并将解密结果与R2Hash作比 较,若一致,则证明所述Key能够正确地解密R1S,所述电力终端的身份是 合法的;
所述电力终端与配电主站完成双向身份认证并确认R1与R2的值后,使 用R1与R2的异或值构造一个64位的DES密钥作为电力终端与配电主站的 会话密钥。
图3为根据本发明优选实施方式的在认证中心的协调下电力终端和配 电主站进行相互身份认证的示意图。如图3所示,在电力终端和认证中心 之间,配电主站和认证中心之间通过LSAP握手协议建立连接后:①电力终 端向认证中心发送认证请求-key请求;②认证中心收到Key请求后,生成 Key,并保存所述Key与电力终端的对应关系后,向电力终端返回认证响应 -Key响应;另一方面,③配电主站向认证中心发送Token请求;④认证中 心收到Token请求,验证所述Token请求中的电力终端MAC与配电主站存 在对应关系后,认证中心生成一个32位随机数R1,并取出所述Key后, 使用Key加密R1,得到128位的R1S,以及将R1S和R1的Hash值作为Token, 和R1一起发送至配电主站;⑤配电主站接收Token和R1后,保存R1,并把 Token发送至电力终端;⑥电力终端收到Token,证明电力终端的Key与配 电主站发来的Token存在对应关系后,确认配电主站的身份是合法的;当 验证配电主站合法后,电力终端生成一个32位随机数R2,并使用R1作为 DES密钥加密R2,得到128位的R2S,以及计算R2的64位Hash值R2Hash, 发送R2S和R2Hash给配电主站;⑦配电主站解密R2S,并将解密结果与R2Hash作比较,当比较一致,确定电力终端的身份合法后,所述电力终端与配电 主站完成双向身份认证,使用R1与R2的异或值构造一个64位的DES密钥 作为电力终端与配电主站的会话密钥。
图4为根据本发明优选实施方式的电力终端可信接入认证系统的结构 示意图。如图4所示,本优选实施方式所述的电力终端可信接入认证系统 400包括:
数据库单元401,其用于建立认证中心的数据库,所述数据库用于存 储全部电力终端的MAC和公钥信息,配电主站的MAC和公钥信息,以及配 电主站的MAC与电力终端的MAC之间的对应关系;
身份证书单元402,其用于电力终端和配电主站根据认证中心公钥分 别生成并存储表明各自身份的证书,其中,所述电力终端证书包括电力终 端mac地址,认证中心公钥,电力终端私钥和公钥,所述配电主站证书包 括配主站mac地址,认证中心公钥,电力终端私钥和公钥。
认证中心403,其用于接收电力终端发起的第一连接请求,并基于预 先建立的数据库对电力终端进行第一身份认证,以及在第一身份认证通过 时,与电力终端协商产生第一会话密钥,使电力终端和认证中心建立第一 加密连接;接收配电主站发起的第二连接请求,并基于预先建立的数据库 对配电主站进行第二身份认证,以及在第二身份认证通过时,与配电主站 协商产生第二会话密钥,使配电主站和认证中心建立第二加密连接;在与电力终端建立第一加密连接后,接收电力终端发起的认证请求,生成认证 响应后返回至电力终端,在与配电主站建立第二加密连接后,接收配电主 站发起的Token请求,向配电主站返回根据认证响应生成的Token,其中, 所述认证请求和认证响应采用第一会话密钥进行加密传输;所述Token请 求和Token采用第二会话密钥进行加密传输;
电力终端404,其用于向认证中心发起第一连接请求,并在认证中心 对其进行第一身份认证通过时,与认证中心协商产生第一会话密钥,建立 第一加密连接,并在与认证中心建立第一加密连接后,向认证中心发起认 证请求,以及接收认证中心返回的认证响应;以及基于所述认证响应和配 主站的Token进行其与配电主站的双向身份认证;
配电主站405,其用于向认证中心发起第二连接请求,并在认证中心 对其进行第二身份认证通过时,与认证中心协商产生第二会话密钥,建立 第二加密连接,并在与认证中心建立第二加密连接后,向认证中心发起 Token请求,以及接收认证中心返回的根据电力终端的认证响应生成的 Token,基于所述Token和电力终端认证响应进行其与电力终端的双向身份 认证。
本发明所述电力终端可信接入认证系统通过引入认证中心,实现电力 终端与配电主站之间双向认证的步骤与本发明所述电力终端可信接入认证 步骤相同,并且达到的技术效果也相同,此处不再赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所 公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他 的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常 含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该 [装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例, 除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确 的顺序运行,除非明确地说明。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、 或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施 例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个 或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不 限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形 式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程 序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现 流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图 中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、 专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一 个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令 产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个 方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处 理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读 存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一 个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备 上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机 实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现 在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的 功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对 其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普 通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等 同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵 盖在本发明的权利要求保护范围之内。
Claims (8)
1.一种电力终端可信接入认证方法,其特征在于,所述方法包括:
认证中心接收电力终端发起的第一连接请求,并基于预先建立的数据库对电力终端进行第一身份认证,以及在第一身份认证通过时,与电力终端协商产生第一会话密钥,使电力终端和认证中心建立第一加密连接,包括:
电力终端生成一个32位随机数RD,并使用电力终端私钥对RD进行加密,得到长度为128字节的加密结果RDS后,将电力终端MAC和RDS拼接后的数据作为第一连接请求发起至认证中心;
认证中心收到第一连接请求后,读取电力终端MAC,并从数据库中查询所述电力终端MAC是否合法,若不合法,所述第一连接请求被舍弃,若合法,则查询与所述电力终端MAC对应的电力终端公钥,使用所述电力终端公钥解密第一连接请求中其余的加密数据,得到解密结果RD;认证中心生成一个32位的随机数RP,拼接RD和RP并使用认证中心私钥加密,加密结果记为(RD+RP)S,将(RD+RP)S作为第一连接响应发起给电力终端;
电力终端收到所述第一连接响应后,使用认证中心公钥对所述第一连接响应进行解密,得到RD和RP的原始值,并使用RD和RP的异或构造出一个128位的DES密钥,记为K1,以及使用K1加密一段问候语生成第一加密数据,并将所述第一加密数据发起至认证中心;
认证中心接收所述第一加密数据,并使用RD和RP的异或构造出一个128位的DES密钥解密所述第一加密数据,当解密成功时,认证中心和电力终端使用DES密钥K1作为第一会话密钥进行加密数据通信;
认证中心接收配电主站发起的第二连接请求,并基于预先建立的数据库对配电主站进行第二身份认证,以及在第二身份认证通过时,与配电主站协商产生第二会话密钥,使配电主站和认证中心建立第二加密连接,包括:
配电主站生成一个32位随机数RZ,并使用配电主站私钥对RZ进行加密,得到长度为128字节的加密结果RZS后,将配电主站MAC和RZS拼接后的数据作为第二连接请求发起至认证中心;
认证中心收到第二连接请求后,读取配电主站MAC,并从数据库中查询所述配电主站MAC是否合法,若不合法,所述第二连接请求被舍弃,若合法,则查询与所述配电主站MAC对应的配电主站公钥,使用所述配电主站公钥解密第二连接请求中其余的加密数据,得到解密结果RZ;认证中心生成一个32位的随机数RP,拼接RZ和RP并使用认证中心私钥加密,加密结果记为(RZ+RP)S,将(RZ+RP)S作为第二连接响应发起给配电主站;
配电主站收到所述第二连接响应后,使用认证中心公钥对所述第二连接响应进行解密,得到RZ和RP的原始值,并使用RZ和RP的异或构造出一个128位的DES密钥,记为K2,以及使用K2加密一段问候语生成第二加密数据,并将所述第二加密数据发起至认证中心;
认证中心接收所述第二加密数据,并使用RZ和RP的异或构造出一个128位的DES密钥解密所述第二加密数据,当解密成功时,认证中心和配电主站使用DES密钥K2作为第二会话密钥进行加密数据通信;
认证中心与电力终端建立第一加密连接后,接收电力终端发起的认证请求,生成认证响应后返回至电力终端,其中,所述认证请求和认证响应采用第一会话密钥进行加密传输;
认证中心与配电主站建立第二加密连接后,接收配电主站发起的Token请求,向配电主站返回根据认证响应生成的Token,其中,所述Token请求和Token采用第二会话密钥进行加密传输;
电力终端和配电主站基于所述认证响应和Token进行双向身份认证,当双向身份认证通过时,所述电力终端作为可信终端允许接入配电主站。
2.根据权利要求1所述的方法,其特征在于,在电力终端向认证中心发起第一连接请求之前还包括:
建立认证中心的数据库,所述数据库用于存储全部电力终端的MAC和公钥信息,配电主站的MAC和公钥信息,以及配电主站的MAC与电力终端的MAC之间的对应关系;
电力终端和配电主站根据认证中心公钥分别生成并存储表明各自身份的证书,其中,所述电力终端的证书包括电力终端mac地址,认证中心公钥,电力终端私钥和公钥,所述配电主站的证书包括配电主站mac地址,认证中心公钥,电力终端私钥和公钥。
3.根据权利要求1所述的方法,其特征在于,所述电力终端与认证中心之间,配电主站与认证中心之间采用LSAP协议建立安全加密连接。
4.根据权利要求1所述的方法,其特征在于,所述认证中心与电力终端建立第一加密连接后,接收电力终端发起的认证请求,生成认证响应后返回至电力终端包括:
认证中心与电力终端建立第一加密连接后,接收电力终端发起的认证请求,所述认证请求通过第一会话密钥K1加密后传输;
认证中心接收所述认证请求后,采用第一会话密钥K1对所述认证请求进行解密,生成一个随机的DES密钥作为Key,并保存所述Key与电力终端的对应关系;
认证中心将Key作为认证响应,通过第一会话密钥K1加密后返回给电力终端。
5.根据权利要求4所述的方法,其特征在于,所述认证中心与配电主站建立第二加密连接后,接收配电主站发起的Token请求,向配电主站返回根据认证响应生成的Token包括:
认证中心与配电主站建立第二加密连接后,接收配电主站发起的Token请求,所述Token请求中包含配电主站拟连接的电力终端MAC,且所述Token请求采用第二会话密钥K2加密后传输;
认证中心接收Token请求后,采用第二会话密钥K2对所述Token请求进行解密,判断所述Token请求中的电力终端MAC是否与配电主站存在对应关系,若存在,认证中心生成一个32位随机数R1,并取出所述Key后,使用Key加密R1,得到128位的R1S,以及将R1S和R1的Hash值作为Token,和R1一起采用第二会话密钥K2加密后发送至配电主站。
6.根据权利要求5所述的方法,其特征在于,所述电力终端和配电主站基于所述认证响应和Token进行双向身份认证,当双向身份认证通过时,所述电力终端作为可信终端允许接入配电主站包括:
配电主站接收Token和R1后,保存R1,并把Token发送至电力终端;
电力终端收到Token后,利用Key对Token的前128位的R1S进行解密,将解密结果的Hash值与Token中R1的Hash比较,若一致,则验证配电主站的身份合法;
验证配电主站身份合法后,电力终端生成一个32位随机数R2,并使用R1作为DES密钥加密R2,得到128位的R2S,以及计算R2的64位Hash值R2Hash,发送R2S和R2Hash给配电主站;
配电主站使用R1作为DES密钥解密R2S,并将解密结果与R2Hash作比较,若一致,则验证电力终端的身份合法;
所述电力终端与配电主站完成双向身份认证并确认R1与R2的值后,使用R1与R2的异或值构造一个64位的DES密钥作为电力终端与配电主站的会话密钥。
7.一种电力终端可信接入认证系统,其特征在于,所述系统包括:
认证中心,其用于接收电力终端发起的第一连接请求,并基于预先建立的数据库对电力终端进行第一身份认证,以及在第一身份认证通过时,与电力终端协商产生第一会话密钥,使电力终端和认证中心建立第一加密连接,包括:
电力终端生成一个32位随机数RD,并使用电力终端私钥对RD进行加密,得到长度为128字节的加密结果RDS后,将电力终端MAC和RDS拼接后的数据作为第一连接请求发起至认证中心;
认证中心收到第一连接请求后,读取电力终端MAC,并从数据库中查询所述电力终端MAC是否合法,若不合法,所述第一连接请求被舍弃,若合法,则查询与所述电力终端MAC对应的电力终端公钥,使用所述电力终端公钥解密第一连接请求中其余的加密数据,得到解密结果RD;认证中心生成一个32位的随机数RP,拼接RD和RP并使用认证中心私钥加密,加密结果记为(RD+RP)S,将(RD+RP)S作为第一连接响应发起给电力终端;
电力终端收到所述第一连接响应后,使用认证中心公钥对所述第一连接响应进行解密,得到RD和RP的原始值,并使用RD和RP的异或构造出一个128位的DES密钥,记为K1,以及使用K1加密一段问候语生成第一加密数据,并将所述第一加密数据发起至认证中心;
认证中心接收所述第一加密数据,并使用RD和RP的异或构造出一个128位的DES密钥解密所述第一加密数据,当解密成功时,认证中心和电力终端使用DES密钥K1作为第一会话密钥进行加密数据通信;
接收配电主站发起的第二连接请求,并基于预先建立的数据库对配电主站进行第二身份认证,以及在第二身份认证通过时,与配电主站协商产生第二会话密钥,使配电主站和认证中心建立第二加密连接,包括:
配电主站生成一个32位随机数RZ,并使用配电主站私钥对RZ进行加密,得到长度为128字节的加密结果RZS后,将配电主站MAC和RZS拼接后的数据作为第二连接请求发起至认证中心;
认证中心收到第二连接请求后,读取配电主站MAC,并从数据库中查询所述配电主站MAC是否合法,若不合法,所述第二连接请求被舍弃,若合法,则查询与所述配电主站MAC对应的配电主站公钥,使用所述配电主站公钥解密第二连接请求中其余的加密数据,得到解密结果RZ;认证中心生成一个32位的随机数RP,拼接RZ和RP并使用认证中心私钥加密,加密结果记为(RZ+RP)S,将(RZ+RP)S作为第二连接响应发起给配电主站;
配电主站收到所述第二连接响应后,使用认证中心公钥对所述第二连接响应进行解密,得到RZ和RP的原始值,并使用RZ和RP的异或构造出一个128位的DES密钥,记为K2,以及使用K2加密一段问候语生成第二加密数据,并将所述第二加密数据发起至认证中心;
认证中心接收所述第二加密数据,并使用RZ和RP的异或构造出一个128位的DES密钥解密所述第二加密数据,当解密成功时,认证中心和配电主站使用DES密钥K2作为第二会话密钥进行加密数据通信;
在与电力终端建立第一加密连接后,接收电力终端发起的认证请求,生成认证响应后返回至电力终端,在与配电主站建立第二加密连接后,接收配电主站发起的Token请求,向配电主站返回根据认证响应生成的Token,其中,所述认证请求和认证响应采用第一会话密钥进行加密传输;所述Token请求和Token采用第二会话密钥进行加密传输;
电力终端,其用于向认证中心发起第一连接请求,并在认证中心对其进行第一身份认证通过时,与认证中心协商产生第一会话密钥,建立第一加密连接,并在与认证中心建立第一加密连接后,向认证中心发起认证请求,以及接收认证中心返回的认证响应;以及基于所述认证响应和配主站的Token进行其与配电主站的双向身份认证;
配电主站,其用于向认证中心发起第二连接请求,并在认证中心对其进行第二身份认证通过时,与认证中心协商产生第二会话密钥,建立第二加密连接,并在与认证中心建立第二加密连接后,向认证中心发起Token请求,以及接收认证中心返回的根据电力终端的认证响应生成的Token,基于所述Token和电力终端认证响应进行其与电力终端的双向身份认证。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
数据库单元,其用于建立认证中心的数据库,所述数据库用于存储全部电力终端的MAC和公钥信息,配电主站的MAC和公钥信息,以及配电主站的MAC与电力终端的MAC之间的对应关系;
身份证书单元,其用于使电力终端和配电主站根据认证中心公钥分别生成并存储表明各自身份的证书,其中,所述电力终端的证书包括电力终端mac地址,认证中心公钥,电力终端私钥和公钥,所述配电主站的证书包括配电主站mac地址,认证中心公钥,电力终端私钥和公钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011171191.XA CN112787990B (zh) | 2020-10-28 | 2020-10-28 | 一种电力终端可信接入认证方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011171191.XA CN112787990B (zh) | 2020-10-28 | 2020-10-28 | 一种电力终端可信接入认证方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112787990A CN112787990A (zh) | 2021-05-11 |
CN112787990B true CN112787990B (zh) | 2023-01-31 |
Family
ID=75751083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011171191.XA Active CN112787990B (zh) | 2020-10-28 | 2020-10-28 | 一种电力终端可信接入认证方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112787990B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114268643B (zh) * | 2021-11-26 | 2024-04-16 | 许继集团有限公司 | 一种基于主动标识技术的配电物联终端及管理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881224A (zh) * | 2018-06-19 | 2018-11-23 | 南方电网科学研究院有限责任公司 | 一种配电自动化系统的加密方法及相关装置 |
CN111711686A (zh) * | 2020-06-15 | 2020-09-25 | 江苏方天电力技术有限公司 | 一种基于配电终端的安全防护方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102196438A (zh) * | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
-
2020
- 2020-10-28 CN CN202011171191.XA patent/CN112787990B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881224A (zh) * | 2018-06-19 | 2018-11-23 | 南方电网科学研究院有限责任公司 | 一种配电自动化系统的加密方法及相关装置 |
CN111711686A (zh) * | 2020-06-15 | 2020-09-25 | 江苏方天电力技术有限公司 | 一种基于配电终端的安全防护方法 |
Non-Patent Citations (5)
Title |
---|
"一种模糊用户身份的IMS网络安全接入算法研究";于浩,金鑫,姜元建,高亮,何晨;《计算机技术与发展》;20191218;第30卷(第4期);全文 * |
"基于授权令牌的宏电路网络接入认证方案";王军;《信息工程大学学报》;20141031;第15卷(第5期);全文 * |
"智能配网终端安全接入技术的研究与实现";李瑞;《中国优秀硕士学位论文全文数据库(电子期刊)工程科技Ⅱ辑》;20200115(第1期);全文 * |
基于自主安全芯片的配网自动化系统网络安全防护及硬件加速;倪伟东等;《电力科学与技术学报》;20200528(第03期);全文 * |
电网企业信息安全数据接入体系研究与应用;李志茹等;《电力信息与通信技术》;20150915(第09期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112787990A (zh) | 2021-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4617763B2 (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム | |
JP5845393B2 (ja) | 暗号通信装置および暗号通信システム | |
CN103532713B (zh) | 传感器认证和共享密钥产生方法和系统以及传感器 | |
CN109194656A (zh) | 一种配电无线终端安全接入的方法 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
WO2016058404A1 (zh) | 基于预共享密钥的实体鉴别方法及装置 | |
CN111614621B (zh) | 物联网通信方法和系统 | |
CN103338215A (zh) | 基于国密算法建立tls通道的方法 | |
CN101631305B (zh) | 一种加密方法及系统 | |
CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
CN109150526A (zh) | 密钥协商方法、设备、终端、存储介质以及系统 | |
CN107135070A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
CN112165386B (zh) | 一种基于ecdsa的数据加密方法及系统 | |
CN111130775A (zh) | 一种密钥协商方法、装置及设备 | |
KR102128244B1 (ko) | Ssl/tls 기반의 네트워크 보안 장치 및 방법 | |
CN114650173A (zh) | 一种加密通讯方法及系统 | |
CN114172740A (zh) | 一种基于配网证书验证的配电网安全接入方法 | |
CN109922022A (zh) | 物联网通信方法、平台、终端和系统 | |
CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
CN110266485A (zh) | 一种基于NB-IoT的物联网安全通信控制方法 | |
CN112787990B (zh) | 一种电力终端可信接入认证方法和系统 | |
CN114696999A (zh) | 一种身份鉴别方法和装置 | |
CN115549910B (zh) | 一种数据传输方法、设备以及存储介质 | |
CN104883260B (zh) | 证件信息处理和验证方法、处理终端及验证服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |