CN115021957B - 变电站网络设备接入认证方法及其系统、芯片、网络设备 - Google Patents

变电站网络设备接入认证方法及其系统、芯片、网络设备 Download PDF

Info

Publication number
CN115021957B
CN115021957B CN202210416687.1A CN202210416687A CN115021957B CN 115021957 B CN115021957 B CN 115021957B CN 202210416687 A CN202210416687 A CN 202210416687A CN 115021957 B CN115021957 B CN 115021957B
Authority
CN
China
Prior art keywords
management server
network
mac address
network management
local area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210416687.1A
Other languages
English (en)
Other versions
CN115021957A (zh
Inventor
王祥
付美明
李铮
刘庆扬
王康
杜明臣
那辰星
赵成文
逄林
徐波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Information and Telecommunication Co Ltd
China Gridcom Co Ltd
Shenzhen Zhixin Microelectronics Technology Co Ltd
Original Assignee
State Grid Information and Telecommunication Co Ltd
China Gridcom Co Ltd
Shenzhen Zhixin Microelectronics Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Information and Telecommunication Co Ltd, China Gridcom Co Ltd, Shenzhen Zhixin Microelectronics Technology Co Ltd filed Critical State Grid Information and Telecommunication Co Ltd
Priority to CN202210416687.1A priority Critical patent/CN115021957B/zh
Publication of CN115021957A publication Critical patent/CN115021957A/zh
Application granted granted Critical
Publication of CN115021957B publication Critical patent/CN115021957B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种变电站网络设备接入认证方法及其系统、芯片、网络设备,网络设备内置加密模块,方法包括:获取加密模块的序列号、网络设备的MAC地址;通过加密模块对其进行加密,获得加密密文;将加密密文发送至本地局域网管服务器,并通过本地局域网管服务器将加密密文发送至远程网管服务器,以使本地局域网管服务器对加密密文进行解密,并对解密得到的MAC地址进行验证,以及使远程网管服务器对加密密文进行解密,并对解密得到的序列号进行验证;当接收到本地局域网管服务器发送的第一确认帧时,接入变电站网络,确认帧由远程网管服务器在序列号验证通过时发送。该方法,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患。

Description

变电站网络设备接入认证方法及其系统、芯片、网络设备
技术领域
本发明涉及变电站网络通信技术领域,尤其涉及一种变电站网络设备接入认证方法、一种变电站网络设备接入认证系统、一种主控芯片和一种网络设备。
背景技术
目前,电力调度系统网络采用完全物理隔离的方式搭建独立的通信网络,在各网络接入关口设置隔离装置,各通信网络之间通过隔离装置、VPN实现完全网络隔离,公用网络无法访问电力调度局域网,必须具有内网接入权限的设备才可以在网络中正常使用,内网部署网络安全探测设备,可以探测内网设备接入外网,以此定位网络安全状态,发现安全泄密和入侵。
然而,在本地侧,变电站网络设备和具有网络通信能力的电力设备无安全认证机制,采用通用的网络设备和网络通信协议,可以和外网接入设备互联互通,存在信息泄露和被远程控制风险;在主站侧,虽然采用网络安全接入授权的方式接入网络,然而内部工作人员、外协技术人员很容易复制网卡地址和获取远程调度登录指令和密码,存在人体工程学泄密可能。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的第一个目的在于提出一种变电站网络设备接入认证方法,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患。
本发明的第二个目的在于提出一种变电站网络设备接入认证系统。
本发明的第三个目的在于提出一种主控芯片。
本发明的第四个目的在于提出一种网络设备。
为达到上述目的,本发明第一方面实施例提出了一种变电站网络设备接入认证方法,所述网络设备内置加密模块,所述方法包括以下步骤:获取所述加密模块的序列号、所述网络设备的MAC地址;通过所述加密模块对所述序列号、所述MAC地址进行加密,获得加密密文;将所述加密密文发送至本地局域网管服务器,并通过所述本地局域网管服务器将所述加密密文发送至远程网管服务器,以使本地局域网管服务器对所述加密密文进行解密,并对解密得到的MAC地址进行验证,以及使所述远程网管服务器对所述加密密文进行解密,并对解密得到的序列号进行验证,其中,所述本地局域网管服务器在所述MAC地址验证通过时,将所述加密密文发送至所述远程网管服务器;当接收到所述本地局域网管服务器发送的第一确认帧时,接入变电站网络,其中,所述第一确认帧由所述远程网管服务器在所述序列号验证通过时发送。
根据本发明实施例的变电站网络设备接入认证方法,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患。
为达到上述目的,本发明第二方面实施例提出了一种变电站网络设备接入认证系统,所述系统包括:网络设备,所述网络设备内置加密模块,所述网络设备用于获取所述加密模块的序列号、自身的MAC地址,并通过所述加密模块对所述序列号、所述MAC地址进行加密,获得加密密文,并将所述加密密文发送至本地局域网管服务器;所述本地局域网管服务器,用于对所述加密密文进行解密,获得所述MAC地址,并对所述MAC地址进行验证,以及在验证通过时,将所述加密密文发送至远程网管服务器;所述远程网管服务器,用于对所述加密密文进行解密,获得所述序列号,并对所述序列号进行验证,以及在所述序列号验证通过时,通过所述本地局域网管服务器向所述网络设备发送第一确认帧;所述网络设备,还用于在接收到所述第一确认帧时,接入变电站网络。
根据本发明实施例的变电站网络设备接入认证系统,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患。
为达到上述目的,本发明第三方面实施例提出了一种主控芯片,包括存储器、处理器和存储在所述存储器上的计算机程序,所述计算机程序被所述处理器执行时,实现所述的变电站网络设备接入认证方法。
为达到上述目的,本发明第四方面实施例提出了一种网络设备,包括加密模块和所述的主控芯片。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明一个实施例的变电站网络通信架构的示意图;
图2是本发明一个实施例的变电站网络设备接入认证方法的流程示意图;
图3是本发明一个实施例的在网络设备首次获取加密密文时,变电站网络设备接入认证方法的流程示意图;
图4是本发明一个实施例的网络设备非首次接入变电站网络时,变电站网络设备接入认证方法的流程示意图;
图5是本发明一个实施例的变电站网络设备接入认证系统的结构示意图;
图6是本发明一个实施例的网络设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图1-5描述本发明实施例的变电站网络设备接入认证方法及其系统、芯片、网络设备。
图1是本发明一个实施例的变电站网络通信架构的示意图,如图1所示,变电站一般采用两层架构,由过程层和站控层两级网络交换机组成。过程层交换机连接一、二次电力设备,连接方式有环型和星型两种形式。过程层交换机连接站控层交换机,站控层交换机连接本地局域网管服务器。变电站本地网络通过站控层交换机连接远程网管服务器,执行远程控制命令。本发明设计的变电站网络设备接入认证方法中,所有网络设备在接入网络执行数据操作前,需要经过认证。
图2是本发明一个实施例的变电站网络设备接入认证方法的流程示意图。如图2所示,变电站网络设备接入认证方法包括以下步骤:判断网络设备是否是首次接入变电站网络;其中,如果是首次接入,则执行获取加密模块的序列号、网络设备的MAC地址的步骤;如果是非首次接入,则执行获取加密模块存储的更新密文的步骤。
具体地,可根据网络设备首次获取加密密文,判断网络设备是否是首次接入变电站网络:如果网络设备首次获取加密密文,则判断网络设备是首次接入变电站网络,并执行获取加密模块的序列号、网络设备的MAC地址的步骤,即执行下述步骤S101;如果网络设备不是首次获取加密密文,则判断网络设备非首次接入变电站网络,并执行获取加密模块存储的更新密文的步骤,及执行下述步骤S201。
图3是本发明一个实施例的在网络设备首次获取加密密文时,变电站网络设备接入认证方法的流程示意图。如图3所示,在网络设备首次获取加密密文时,变电站网络设备接入认证方法包括以下步骤:
S101、获取加密模块的序列号、网络设备的MAC地址。
具体地,网络设备(如交换机、带网络通信功能的电力设备)获取加密模块的序列号、网络设备的MAC地址,其中,加密模块置于网络设备内,加密模块的序列号可通过远程网管服务器获得,网络设备的MAC地址可通过本地局域网管服务器获得。
S102、通过加密模块对序列号、MAC地址进行加密,获得加密密文。
具体地,加密模块按预设的加密算法对序列号、MAC地址进行加密,获得加密密文。
可选地,网络设备还可获取网络时钟,通过加密模块对序列号、MAC地址和网络时钟进行加密,获得加密密文。具体而言,加密模块按预设的加密算法对序列号、MAC地址和网络时钟进行加密,生成加密密文。
S103、将加密密文发送至本地局域网管服务器,并通过本地局域网管服务器将加密密文发送至远程网管服务器,以使本地局域网管服务器对加密密文进行解密,并对解密得到的MAC地址进行验证,以及使远程网管服务器对加密密文进行解密,并对解密得到的序列号进行验证,其中,本地局域网管服务器在MAC地址验证通过时,将加密密文发送至远程网管服务器。
其中,本地局域网管服务器利用在网络时钟之前录入的MAC地址对解密得到的MAC地址进行验证,远程网管服务器利用在网络时钟之前录入的序列号对解密得到的序列号进行验证。
具体地,网络设备在首次获取加密密文后,进行其他数据操作之前,需要将加密密文发送至本地局域网管服务器。本地局域网管服务器对收到的加密密文进行解密得到MAC地址,再利用在网络时钟之前录入的MAC地址对解密得到的MAC地址进行验证:如果解密得到的MAC地址没有通过验证,则将解密得到的MAC地址加入本地MAC地址黑名单,并在本地MAC地址黑名单更新时,将解密得到的MAC地址发送至本地局域网管服务器20所在本地局域网中的所有网络设备,以禁止该网络设备通过MAC地址进行数据操作。如果解密得到的MAC地址通过验证,则通过本地局域网管服务器将加密密文发送至远程网管服务器,远程网管服务器对收到的加密密文进行解密,再利用在网络时钟之前录入的序列号对解密得到的序列号进行验证:如果解密得到的序列号没有通过验证,则将解密得到的序列号加入序列号黑名单,并通过本地局域网管服务器向网络设备发送禁止接入变电站网络的反馈;如果验证解密得到的序列号通过验证,则通过本地局域网管服务器向网络设备发送第一确认帧。
由此,动态更新本地MAC地址黑名单和序列号黑名单,过滤掉没有通过验证的网络设备,避免数据泄露。
S104、当接收到本地局域网管服务器发送的第一确认帧时,接入变电站网络,其中,第一确认帧由远程网管服务器在序列号验证通过时发送。
具体地,第一确认帧为更新密文,更新密文由远程网管服务器在序列号验证通过时,对加密密文加密得到。当网络设备接收到本地局域网管服务器发送的更新密文(即第一确认帧)时,网络设备接入变电站网络。
需要说明的是,网络设备接入变电站网络后,还可将加密模块激活状态位设置为置位,并将更新密文存储至加密模块。
由此,本发明实施例的变电站网络设备接入认证方法,在网络设备首次获取加密密文时,通过本地局域网管服务器和远程网管服务器验证网络设备,使未经验证的网络设备无法进行数据通信,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患。
图4是本发明一个实施例的网络设备非首次接入变电站网络时,变电站网络设备接入认证方法的流程示意图。如图4所示,在网络设备非首次接入变电站网络时,可执行以下步骤:
S201、获取加密模块存储的更新密文。
具体地,网络设备获取加密模块存储的更新密文。
S202、将更新密文发送至本地局域网管服务器,以使本地局域网管服务器对更新密文进行解密,并对解密得到的MAC地址进行验证。
具体地,网络设备将更新密文发送至本地局域网管服务器,以使本地局域网管服务器对更新密文进行解密,并对解密得到的MAC地址进行验证,以及在MAC地址验证通过时,向网络设备发送第二确认帧,并将从更新密文中解密得到的MAC地址加入到本地MAC地址白名单,其中,更新密文包括远程网管服务器和网络设备发送的更新密文。
需要说明的是,本地局域网管服务器还用于在检测到网络设备与变电站网络之间的连接断开时,删除本地MAC地址白名单中网络设备的MAC地址。
S203、当接收到本地局域网管服务器发送的第二确认帧时,接入变电站网络,其中,第二确认帧由本地局域网管服务器在MAC地址验证通过时发送。
具体地,当网络设备接收到本地局域网管服务器发送的第二确认帧时,该网络设备接入变电站网络。
由此,本发明实施例的变电站网络设备接入认证方法,在网络设备与变电站网络之间的连接断开时,通过本地局域网管服务器验证网络设备,使网络设备重新加入变电站网络。
综上所述,该变电站网络设备接入认证方法,可在网络设备首次获取加密密文时,通过本地局域网管服务器和远程网管服务器共同验证网络设备,使未经验证的网络设备无法进行数据通信,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患;在网络设备与变电站网络之间的连接断开时,通过本地局域网管服务器验证网络设备,使网络设备重新加入变电站网络。
图5是本发明一个实施例的变电站网络设备接入认证系统的结构示意图。如图5所示,变电站网络设备接入认证系统100包括:网络设备10,本地局域网管服务器20和远程网管服务器30。
其中,网络设备10内置加密模块11,网络设备10用于获取加密模块11的序列号、自身的MAC地址,并通过加密模块11对序列号、MAC地址进行加密,获得加密密文,并将加密密文发送至本地局域网管服务器20。本地局域网管服务器20,用于对加密密文进行解密,获得MAC地址,并对MAC地址进行验证,以及在验证通过时,将加密密文发送至远程网管服务器30。远程网管服务器30,用于对加密密文进行解密,获得序列号,并对序列号进行验证,以及在序列号验证通过时,通过本地局域网管服务器40向网络设备10发送第一确认帧。网络设备10,还用于在接收到第一确认帧时,接入变电站网络。
需要说明的是,第一确认帧为更新密文,更新密文由远程网管服务器30在序列号验证通过时,对加密密文加密得到。
作为一种可能的实现方式,网络设备10还用于获取网络时钟,并通过加密模块11对序列号、MAC地址和网络时钟进行加密,获得加密密文;本地局域网管服务器20具体用于利用在网络时钟之前录入的MAC地址对解密得到的MAC地址进行验证,远程网管服务器30具体用于利用在网络时钟之前录入的序列号对解密得到的序列号进行验证。
作为一种可能的实现方式,远程网管服务器30还用于:在序列号验证不通过时,将序列号加入序列号黑名单,并通过本地局域网管服务器20向网络设备10发送禁止接入变电站网络的反馈。
作为一种可能的实现方式,网络设备10还用于:将加密模块11激活状态位设置为置位,并将更新密文存储至加密模块11。
作为一种可能的实现方式,网络设备10还用于获取加密模块11存储的更新密文,并将更新密文发送至本地局域网管服务器20;本地局域网管服务器20还用于对更新密文进行解密,并对解密得到的MAC地址进行验证,以及在MAC地址验证通过时,向网络设备10发送第二确认帧;网络设备10还用于在接收到第二确认帧时,接入变电站网络。
作为一种可能的实现方式,本地局域网管服务器20还用于:将从更新密文中解密得到的MAC地址加入到本地MAC地址白名单,其中,更新密文包括远程网管服务器30和网络设备10发送的更新密文;以及在检测到网络设备10与变电站网络之间的连接断开时,删除本地MAC地址白名单中网络设备10的MAC地址。
作为一种可能的实现方式,本地局域网管服务器20还用于:在MAC地址验证不通过时,将MAC地址加入到本地MAC地址黑名单,并将MAC地址黑名单发送至本地局域网管服务器20所在本地局域网中的所有网络设备10,以禁止网络设备10通过MAC地址进行数据操作。
需要说明的是,本发明实施例的变电站网络设备接入认证系统的其他具体实施方式可参见本发明上述实施例的变电站网络设备接入认证方法的具体实施方式。
综上所述,该变电站网络设备接入认证系统100,可在网络设备首次获取加密密文时,通过本地局域网管服务器和远程网管服务器共同验证网络设备,使未经验证的网络设备无法进行数据通信,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患;在网络设备与变电站网络之间的连接断开时,通过本地局域网管服务器验证网络设备,使网络设备重新加入变电站网络。
基于上述实施例的变电站网络设备接入认证方法,本发明还提出了一种主控芯片12,包括存储器、处理器和存储在存储器上的计算机程序,计算机程序被处理器执行时,实现上述的变电站网络设备接入认证方法。
本发明实施例的主控芯片,在其上存储的与上述的变电站网络设备接入认证方法对应的计算机程序被执行时,可在网络设备首次获取加密密文时,通过本地局域网管服务器和远程网管服务器共同验证网络设备,使未经验证的网络设备无法进行数据通信,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患;在网络设备与变电站网络之间的连接断开时,通过本地局域网管服务器验证网络设备,使网络设备重新加入变电站网络。
图6是本发明一个实施例的网络设备的结构示意图。如图6所示,基于上述实施例的变电站网络设备接入认证方法,本发明还提出了一种网络设备10。
本发明实施例的网络设备10包括加密模块11和上述的主控芯片12。加密模块11和主控芯片12之间的接口形式不限于PCIe(Peripheral Component Interconnect Express,高速串行计算机扩展总线标准)/USB(Universal Serial Bus,通用串行总线),可根据加解密速率选择对应的接口。
本发明实施例的网络设备,通过加密模块和主控芯片,可在网络设备首次获取加密密文时,通过本地局域网管服务器和远程网管服务器共同验证网络设备,使未经验证的网络设备无法进行数据通信,能够避免数据泄露和非法网络设备托管控制电力设备,消除电网安全隐患;在网络设备与变电站网络之间的连接断开时,通过本地局域网管服务器验证网络设备,使网络设备重新加入变电站网络。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (12)

1.一种变电站网络设备接入认证方法,其特征在于,所述网络设备内置加密模块,所述方法包括以下步骤:
获取远程网管服务器发送的所述加密模块的序列号、本地局域网管服务器发送的所述网络设备的MAC地址;
通过所述加密模块对所述序列号、所述MAC地址进行加密,获得加密密文;
将所述加密密文发送至本地局域网管服务器,并通过所述本地局域网管服务器将所述加密密文发送至远程网管服务器,以使本地局域网管服务器对所述加密密文进行解密,并对解密得到的MAC地址进行验证,以及使所述远程网管服务器对所述加密密文进行解密,并对解密得到的序列号进行验证,其中,所述本地局域网管服务器在所述MAC地址验证通过时,将所述加密密文发送至所述远程网管服务器;
当接收到所述本地局域网管服务器发送的第一确认帧时,接入变电站网络,其中,所述第一确认帧由所述远程网管服务器在所述序列号验证通过时发送;
所述方法还包括:
获取网络时钟;
通过所述加密模块对所述序列号、所述MAC地址和所述网络时钟进行加密,获得所述加密密文;
其中,所述本地局域网管服务器利用在所述网络时钟之前录入的MAC地址对解密得到的MAC地址进行验证,所述远程网管服务器利用在所述网络时钟之前录入的序列号对解密得到的序列号进行验证;
所述第一确认帧为更新密文,所述更新密文由所述远程网管服务器在所述序列号验证通过时,对所述加密密文加密得到。
2.如权利要求1所述的变电站网络设备接入认证方法,其特征在于,所述方法还包括:
将所述加密模块激活状态位设置为置位,并将所述更新密文存储至所述加密模块。
3.如权利要求2所述的变电站网络设备接入认证方法,其特征在于,所述方法还包括:
获取所述加密模块存储的更新密文;
将所述更新密文发送至所述本地局域网管服务器,以使所述本地局域网管服务器对所述更新密文进行解密,并对解密得到的MAC地址进行验证;
当接收到所述本地局域网管服务器发送的第二确认帧时,接入变电站网络,其中,所述第二确认帧由所述本地局域网管服务器在所述MAC地址验证通过时发送。
4.如权利要求3所述的变电站网络设备接入认证方法,其特征在于,所述方法还包括:
判断所述网络设备是否是首次接入所述变电站网络;
其中,如果是首次接入,则执行所述获取所述加密模块的序列号、所述网络设备的MAC地址的步骤;如果是非首次接入,则执行所述获取所述加密模块存储的更新密文的步骤。
5.一种变电站网络设备接入认证系统,其特征在于,所述系统包括:
网络设备,所述网络设备内置加密模块,所述网络设备用于获取远程网管服务器发送的所述加密模块的序列号、本地局域网管服务器发送的自身的MAC地址,并通过所述加密模块对所述序列号、所述MAC地址进行加密,获得加密密文,并将所述加密密文发送至本地局域网管服务器;
所述本地局域网管服务器,用于对所述加密密文进行解密,获得所述MAC地址,并对所述MAC地址进行验证,以及在验证通过时,将所述加密密文发送至远程网管服务器;
所述远程网管服务器,用于对所述加密密文进行解密,获得所述序列号,并对所述序列号进行验证,以及在所述序列号验证通过时,通过所述本地局域网管服务器向所述网络设备发送第一确认帧;
所述网络设备,还用于在接收到所述第一确认帧时,接入变电站网络;
所述网络设备还用于获取网络时钟,并通过所述加密模块对所述序列号、所述MAC地址和所述网络时钟进行加密,获得所述加密密文;
其中,所述本地局域网管服务器具体用于利用在所述网络时钟之前录入的MAC地址对解密得到的MAC地址进行验证,所述远程网管服务器具体用于利用在所述网络时钟之前录入的序列号对解密得到的序列号进行验证;
所述第一确认帧为更新密文,所述更新密文由所述远程网管服务器在所述序列号验证通过时,对所述加密密文加密得到。
6.如权利要求5所述的变电站网络设备接入认证系统,其特征在于,所述网络设备还用于:
将所述加密模块激活状态位设置为置位,并将所述更新密文存储至所述加密模块。
7.如权利要求6所述的变电站网络设备接入认证系统,其特征在于,
所述网络设备还用于获取所述加密模块存储的更新密文,并将所述更新密文发送至所述本地局域网管服务器;
所述本地局域网管服务器还用于对所述更新密文进行解密,并对解密得到的MAC地址进行验证,以及在所述MAC地址验证通过时,向所述网络设备发送第二确认帧;
所述网络设备还用于在接收到所述第二确认帧时,接入变电站网络。
8.如权利要求6所述的变电站网络设备接入认证系统,其特征在于,所述本地局域网管服务器还用于:
将从所述更新密文中解密得到的MAC地址加入到本地MAC地址白名单,其中,所述更新密文包括所述远程网管服务器和所述网络设备发送的更新密文;以及
在检测到所述网络设备与所述变电站网络之间的连接断开时,删除所述本地MAC地址白名单中所述网络设备的MAC地址。
9.如权利要求5所述的变电站网络设备接入认证系统,其特征在于,所述本地局域网管服务器还用于:
在所述MAC地址验证不通过时,将所述MAC地址加入到本地MAC地址黑名单,并将所述MAC地址黑名单发送至所述本地局域网管服务器所在本地局域网中的所有网络设备,以禁止所述网络设备通过所述MAC地址进行数据操作。
10.如权利要求5所述的变电站网络设备接入认证系统,其特征在于,所述远程网管服务器还用于:
在所述序列号验证不通过时,将所述序列号加入序列号黑名单,并通过所述本地局域网管服务器向所述网络设备发送禁止接入变电站网络的反馈。
11.一种主控芯片,包括存储器、处理器和存储在所述存储器上的计算机程序,其特征在于,所述计算机程序被所述处理器执行时,实现如权利要求1-4中任一项所述的变电站网络设备接入认证方法。
12.一种网络设备,其特征在于,包括加密模块和如权利要求11所述的主控芯片。
CN202210416687.1A 2022-04-20 2022-04-20 变电站网络设备接入认证方法及其系统、芯片、网络设备 Active CN115021957B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210416687.1A CN115021957B (zh) 2022-04-20 2022-04-20 变电站网络设备接入认证方法及其系统、芯片、网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210416687.1A CN115021957B (zh) 2022-04-20 2022-04-20 变电站网络设备接入认证方法及其系统、芯片、网络设备

Publications (2)

Publication Number Publication Date
CN115021957A CN115021957A (zh) 2022-09-06
CN115021957B true CN115021957B (zh) 2024-05-10

Family

ID=83066908

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210416687.1A Active CN115021957B (zh) 2022-04-20 2022-04-20 变电站网络设备接入认证方法及其系统、芯片、网络设备

Country Status (1)

Country Link
CN (1) CN115021957B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003682A (ja) * 2010-06-21 2012-01-05 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、アクセス制御方法、認証装置、認証システム
CN103326866A (zh) * 2013-06-29 2013-09-25 安科智慧城市技术(中国)有限公司 一种基于设备mac地址的认证方法及系统
CN105553666A (zh) * 2015-12-15 2016-05-04 国网智能电网研究院 一种智能电力终端安全认证系统及方法
WO2016153123A1 (ko) * 2015-03-24 2016-09-29 손태식 Mac 어드레스를 이용하여 인증을 수행하기 위한 시스템 및 그 방법
CN110401613A (zh) * 2018-04-24 2019-11-01 北京握奇智能科技有限公司 一种认证管理方法和相关设备
CN114172740A (zh) * 2021-12-16 2022-03-11 广州城市理工学院 一种基于配网证书验证的配电网安全接入方法
CN114244566A (zh) * 2021-11-17 2022-03-25 广东电网有限责任公司 基于ip地址的非法外联检测方法、装置、计算机设备
CN114374522A (zh) * 2022-03-22 2022-04-19 杭州美创科技有限公司 可信设备认证方法、装置、计算机设备及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003682A (ja) * 2010-06-21 2012-01-05 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、アクセス制御方法、認証装置、認証システム
CN103326866A (zh) * 2013-06-29 2013-09-25 安科智慧城市技术(中国)有限公司 一种基于设备mac地址的认证方法及系统
WO2016153123A1 (ko) * 2015-03-24 2016-09-29 손태식 Mac 어드레스를 이용하여 인증을 수행하기 위한 시스템 및 그 방법
CN105553666A (zh) * 2015-12-15 2016-05-04 国网智能电网研究院 一种智能电力终端安全认证系统及方法
CN110401613A (zh) * 2018-04-24 2019-11-01 北京握奇智能科技有限公司 一种认证管理方法和相关设备
CN114244566A (zh) * 2021-11-17 2022-03-25 广东电网有限责任公司 基于ip地址的非法外联检测方法、装置、计算机设备
CN114172740A (zh) * 2021-12-16 2022-03-11 广州城市理工学院 一种基于配网证书验证的配电网安全接入方法
CN114374522A (zh) * 2022-03-22 2022-04-19 杭州美创科技有限公司 可信设备认证方法、装置、计算机设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
EPON加密方案的实现;汤毅;;光通信技术(第03期);全文 *

Also Published As

Publication number Publication date
CN115021957A (zh) 2022-09-06

Similar Documents

Publication Publication Date Title
CN110035048B (zh) 用于控制对车载无线网络的访问的方法
JP2021121106A (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
CN109218263B (zh) 一种控制方法及装置
CN110708388B (zh) 用于提供安全服务的车身安全锚节点设备、方法以及网络系统
CN101926188B (zh) 对通信终端的安全策略分发
CN113596009B (zh) 零信任访问方法、系统、零信任安全代理、终端及介质
CN105472192A (zh) 实现控制安全授权和分享的智能设备、终端设备及方法
CN103221962A (zh) 外围设备认证
CN105471974A (zh) 实现远程控制的智能设备、终端设备及方法
KR101314751B1 (ko) 디알엠 설치 관리 방법 및 장치
EP3968596A1 (en) Control method, apparatus, and system
CN107135205A (zh) 一种网络接入方法和系统
CN112134694B (zh) 数据交互方法、主站、终端及计算机可读存储介质
CN106027473A (zh) 身份证读卡终端与云认证平台数据传输方法和系统
GB2432436A (en) Programmable logic controller peripheral device
US9178878B2 (en) Method for dynamically authorizing a mobile communications device
KR101675223B1 (ko) 워치독 장치, 워치독 보안 시스템 및 그 보안 방법
US20220182248A1 (en) Secure startup method, controller, and control system
CN115022850A (zh) 一种d2d通信的认证方法、装置、系统、电子设备及介质
CN115021957B (zh) 变电站网络设备接入认证方法及其系统、芯片、网络设备
CN114599030A (zh) 车辆及其远程控制方法和存储介质及终端设备
CN110138737A (zh) 权限控制方法、权限控制设备、用户设备及系统
CN115499199A (zh) 车辆的安全通信方法、装置、车辆及存储介质
CN105357670B (zh) 一种路由器
JP2006025236A (ja) コンテンツ管理利用方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant