CN115065469B - 一种电力物联网数据交互方法、装置及存储介质 - Google Patents
一种电力物联网数据交互方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115065469B CN115065469B CN202210923462.5A CN202210923462A CN115065469B CN 115065469 B CN115065469 B CN 115065469B CN 202210923462 A CN202210923462 A CN 202210923462A CN 115065469 B CN115065469 B CN 115065469B
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- edge
- agent
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000003993 interaction Effects 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000003860 storage Methods 0.000 title claims abstract description 50
- 230000005611 electricity Effects 0.000 claims abstract description 18
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 10
- 238000005516 engineering process Methods 0.000 claims abstract description 8
- 238000007726 management method Methods 0.000 claims description 98
- 238000012545 processing Methods 0.000 claims description 44
- 238000004364 calculation method Methods 0.000 claims description 24
- 238000012544 monitoring process Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 12
- 238000004422 calculation algorithm Methods 0.000 claims description 7
- 238000005070 sampling Methods 0.000 claims description 6
- 230000002452 interceptive effect Effects 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 claims description 3
- 230000006855 networking Effects 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 22
- 238000013523 data management Methods 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q9/00—Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Economics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Primary Health Care (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Water Supply & Treatment (AREA)
- Public Health (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种电力物联网数据交互方法、装置及存储介质,涉及可信数据交互技术领域,包括步骤:初始化接口协议信息;获取边缘物联代理发出的注册信息,完成注册;将用电信息数据发送至边缘物联代理;调用第一加密策略和第一解密策略进行安全加密;依照第二加密策略对互传数据进行加密;将边缘物联代理经过信息网络安全接入网关完成与网关的身份认证及会话密钥协商;基于认证技术,实现边缘物联代理与物联管理平台之间的双向身份认证;利用加密和校验后的数据实现平台之间的数据交互。在本方法中,通过对数据进行加密校验,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互,有效提高了电力物联网数据交互的安全性。
Description
技术领域
本发明涉及可信数据交互技术领域,尤其涉及一种电力物联网数据交互方法、装置及存储介质。
背景技术
电力物联网建设是充分利用人工智能,移动通信,物联网等信息技术,实现电力系统各个层互联,进而提升电力系统全面感知能力,建设智慧物联体系,更好的管理电力系统,更好的服务人民生活生产。
近年来,网络安全形势日益严峻,物联网及工控系统安全事件逐年增加(2016年美国DNS服务器攻击事件、2018年台积电中毒事件、中东石油天然气厂攻击事件、2019年委内瑞拉停电事件),新型网络病毒不断涌现(震网、火焰、永恒之蓝),导致电力物联网面临更加严峻的网络安全形势,同时承受来自物联网系统以及工控系统的双重安全风险。
边缘物联代理作为电力物联网感知层的核心设备,起到连接物联网终端与云端的作用,一方面,边缘物联代理与物联管理平台进行业务数据交互,将采集数据上送至物联管理平台,并执行其下发的指令;另一方面,边缘物联代理负责物联网终端现场多源数据的汇聚分析,对部分物联网终端进行操作指令下发。边缘物联代理如防护措施不到位,遭受入侵或被非法控制后,可能造成电网数据的泄露、篡改甚至以此为跳板对物联管理平台开展渗透攻击,导致整个系统瘫痪。
因此,为满足电力物联网技术发展的需求,如何提高物联管理平台间数据交互的安全性迫在眉睫。
发明内容
本发明的主要目的在于提供一种电力物联网数据交互方法及装置,旨在解决现有技术中数据管理平台间数据交互安全性低的技术问题。
为实现上述目的,本发明实施例提供了一种电力物联网数据交互方法,其包括:
步骤1、初始化电力物联网边缘侧的边缘物联代理和云端的物联网管理平台相关接口协议信息;
步骤2、获取接口协议信息初始化后的边缘物联代理发出的注册信息,根据注册信息完成边缘物联代理的注册;
步骤3、利用用户终端芯片的专用处理核处理采集到的用电信息数据,将用电信息数据按周期采样发送至边缘物联代理;
步骤4、调用第一加密策略和第一解密策略以实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密;
步骤5、依照第二加密策略对边缘物联代理与物联管理平台互传数据进行加密,并对数据完整性进行校验,将互传数据分为左右两部分,分别为L 0、R0,第二加密策略公式如下:Ti=F(Ri-1 xor L i-1,K i), L i=σ(L i-1 xor Ti), Ri= Ri-1 xor Ti,其中F表示轮函数,K i表示轮密钥,xor表示异或运算,σ表示置换;
步骤6、边缘物联代理经过信息网络安全接入网关完成与网关的身份认证及会话密钥协商,确定网关的合法性;
步骤7、采用基于数字证书的身份认证技术,实现边缘物联代理与物联管理平台之间的双向身份认证;
步骤8、认证通过后,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互;
其中,加密和解密处理在用户终端的安全处理核中执行;安全处理核包含安全存储区,加密处理时,将信息数据连同密钥一起发送给安全存储区;获取用于安全存储区加密数据的加密核函数,安全存储区根据加密核函数对信息数据进行加密计算并反馈加密计算的结果;在解密处理时,将加密数据连同密钥一起发送给安全存储区,获取用于安全存储区解密数据的解密核函数,安全存储区根据解密核函数对加密数据进行解密计算并反馈解密计算结果。
在本发明所述的电力物联网综合数据管理平台数据交互方法中,步骤1具体包括:
边缘物联代理与物联网管理平台交互采用发布订阅模式进行通信,订阅与发布基于主题。
在本发明所述的电力物联网综合数据管理平台数据交互方法中,步骤2具体包括:
边缘物联代理向物联网管理平台发起注册;物联网管理平台根据注册信息对边缘物联代理进行操作系统和软件组件的升级、远程配置、远程控制、设备状态监视和可信程度测评;设备状态包括配置信息、状态信息、事件信息。
在本发明所述的电力物联网综合数据管理平台间可信数据交互方法中,步骤4的第一加密策略包括如下步骤:
结合用电信息特征和用户信息特征生成密钥,其中,用电信息特征包括末端电表的电量、用电曲线的时域特征和用电曲线的频域特征,用户信息特征包括用户账户编号、联系电话、地址门牌编码。
在本发明所述的电力物联网综合数据管理平台间可信数据交互方法中,步骤5的第二加密策略包括如下步骤:
(1)明文输入128位比特串;
(2)采用密钥扩展算法生成轮密钥;
(3)对轮密钥执行多次轮函数迭代;
(4)反序变换输出128位的密文比特串。
在本发明所述的电力物联网综合数据管理平台间可信数据交互方法中,步骤6具体还包括:
边缘物联代理出厂时预置网关证书,首先将边缘物联代理证书发给网关,网关通过验证边缘物联代理证书的方式确定其合法性;边缘物联代理应用预置的网关证书,采用SM2签名算法验证网关发送的协商报文签名值,确定网关的合法性,从而完成网关和边缘物联代理的双向身份认证。
在本发明所述的电力物联网综合数据管理平台间可信数据交互方法中,步骤7具体还包括:
物联管理平台与边缘物联代理之间建立网络连接后,边缘物联代理向物联管理平台发送认证申请报文,
物联管理平台产生随机数R1发送给边缘物联代理,边缘物联代理从安全芯片取随机数R2,将R1+R2签名后发送给物联管理平台,物联管理平台用边缘物联代理证书验证签名有效性,验证通过完成物联管理平台对边缘物联代理的身份认证,然后物联管理平台对边缘物联代理随机数R2签名并将签名结果发送边缘物联代理,边缘物联代理验证物联管理平台签名的正确性,验证通过完成边缘物联代理对物联管理平台的身份认证。
本发明实施例还提供一种电力物联网数据交互装置,其包括:
初始化模块:用于初始化电力物联网边缘侧的边缘物联代理和云端的物联网管理平台相关接口协议信息;
获取模块:用于获取接口协议信息初始化后的边缘物联代理发出的注册信息,根据注册信息完成边缘物联代理的注册;
采集模块:用于利用用户终端芯片的专用处理核处理采集到的用电信息数据,将用电信息数据按周期采样发送至边缘物联代理;
第一加密模块:用于调用第一加密策略和第一解密策略以实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密;
第二加密模块:用于依照第二加密策略对边缘物联代理与物联管理平台互传数据进行加密,并对数据完整性进行校验,将互传数据分为左右两部分,分别为L 0、R0,第二加密策略公式如下:Ti=F(Ri-1 xor L i-1,K i), L i=σ(L i-1 xor Ti), Ri= Ri-1 xor Ti,其中F表示轮函数,K i表示轮密钥,xor表示异或运算,σ表示置换;
第一身份认证模块:用于将边缘物联代理经过信息网络安全接入网关完成与网关的身份认证及会话密钥协商,确定网关的合法性;
第二身份认证模块:采用基于数字证书的身份认证技术,实现边缘物联代理与物联管理平台之间的双向身份认证;
交互模块:用于认证通过后,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互;
加密和解密处理在用户终端的安全处理核中执行;安全处理核包含安全存储区,加密处理时,将信息数据连同密钥一起发送给安全存储区;获取用于安全存储区加密数据的加密核函数,安全存储区根据加密核函数对信息数据进行加密计算并反馈加密计算的结果;在解密处理时,将加密数据连同密钥一起发送给安全存储区,获取用于安全存储区解密数据的解密核函数,安全存储区根据解密核函数对加密数据进行解密计算并反馈解密计算结果。
本发明所述的电力物联网综合数据管理平台间可信数据交互装置中,第二身份认证模块还包括签名认证单元;
签名认证单元用于在物联管理平台与边缘物联代理之间建立网络连接后,边缘物联代理向物联管理平台发送认证申请报文,物联管理平台产生随机数R1发送给边缘物联代理,边缘物联代理从安全芯片取随机数R2,将R1+R2签名后发送给物联管理平台,物联管理平台用边缘物联代理证书验证签名有效性,验证通过完成物联管理平台对边缘物联代理的身份认证,然后物联管理平台对边缘物联代理随机数R2签名并将签名结果发送边缘物联代理,边缘物联代理验证物联管理平台签名的正确性,验证通过完成边缘物联代理对物联管理平台的身份认证。
本发明实施例还提供一种电子终端,其包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如上述电力物联网综合数据管理平台间可信数据交互方法的步骤。
本发明实施例还提供一种存储介质,其内存储有处理器可执行指令,所述指令由一个或一个以上处理器加载,以执行如上述电力物联网综合数据管理平台间可信数据交互方法。
本发明的电力物联网综合数据管理平台间可信数据交互方法,通过初始化边缘物联代理和云端的物联网管理平台相关接口协议信息,实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密,对边缘物联代理与物联管理平台互传数据进行加密校验,完成边缘物联代理与网关的身份认证以及边缘物联代理与物联网管理平台的身份认证,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互,利用终端芯片的安全处理核进行加密解密,结合用电信息特征和用户信息特征生成密钥,有效提高了电力物联网的物联管理平台间数据交互的安全性。
附图说明
图1是本发明实施例方案实施流程。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,图1为本发明一实施例流程示意图。本发明的电力物联网综合数据管理平台数据交互方法可以包括:
步骤1、初始化电力物联网边缘侧的边缘物联代理和云端的物联网管理平台相关接口协议信息。边缘物联代理与物联网管理平台交互采用发布订阅模式进行通信,订阅与发布基于主题。
步骤2、获取接口协议信息初始化后的边缘物联代理发出的注册信息,根据注册信息完成边缘物联代理的注册。边缘物联代理向物联网管理平台发起注册;物联网管理平台根据注册信息对边缘物联代理进行操作系统和软件组件的升级、远程配置、远程控制、设备状态监视和可信程度测评;设备状态包括配置信息、状态信息、事件信息。
步骤3、利用用户终端芯片的专用处理核处理采集到的用电信息数据,将用电信息数据按周期采样发送至边缘物联代理。
步骤4、调用第一加密策略和第一解密策略以实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密。
第一加密策略包括如下步骤:
结合用电信息特征和用户信息特征生成密钥,其中,用电信息特征包括末端电表的电量、用电曲线的时域特征和用电曲线的频域特征,用户信息特征包括用户账户编号、联系电话、地址门牌编码。
步骤5、依照第二加密策略对边缘物联代理与物联管理平台互传数据进行加密,并对数据完整性进行校验,将互传数据分为左右两部分,分别为L 0、R0,第二加密策略公式如下:Ti=F(Ri-1 xor L i-1,K i), L i=σ(L i-1 xor Ti), Ri= Ri-1 xor Ti,其中F表示轮函数,K i表示轮密钥,xor表示异或运算,σ表示置换。第二加密策略包括如下步骤:
(1)明文输入128位比特串;
(2)采用密钥扩展算法生成轮密钥;
(3)对轮密钥执行多次轮函数迭代;
(4)反序变换输出128位的密文比特串。
步骤6、边缘物联代理经过信息网络安全接入网关完成与网关的身份认证及会话密钥协商,确定网关的合法性。边缘物联代理与网关的身份认证及密钥协商。边缘物联代理与网关进行密钥协商过程中,
同时完成边缘物联代理与网关的身份认证。身份认证采用如下方式:边缘物联代理出厂时预置网关证书,首先将边缘物联代理证书发给网关,网关通过验证边缘物联代理证书的方式确定其合法性;边缘物联代理应用预置的网关证书,采用SM2签名算法验证网关发送的协商报文签名值,确定网关的合法性,从而完成网关和边缘物联代理的双向身份认证。边缘物联代理与网关之间传递设备ID、随机数、签名值等密钥协商素材,并使用SM2签名算法对密钥协商素材进行签名保护,通过会话申请、密钥协商请求、密钥协商响应、会话确认等流程,完成边缘物联代理与网关的密钥协商,协商出来的密钥用于边缘物联代理与网关交互数据的加解密操作。
步骤7、采用基于数字证书的身份认证技术,实现边缘物联代理与物联管理平台之间的双向身份认证。物联管理平台与边缘物联代理之间建立网络连接后,边缘物联代理向物联管理平台发送认证申请报文,物联管理平台产生随机数R1发送给边缘物联代理,边缘物联代理从安全芯片取随机数R2,将R1+R2签名后发送给物联管理平台,物联管理平台用边缘物联代理证书验证签名有效性,验证通过完成物联管理平台对边缘物联代理的身份认证,然后物联管理平台对边缘物联代理随机数R2签名并将签名结果发送边缘物联代理,边缘物联代理验证物联管理平台签名的正确性,验证通过完成边缘物联代理对物联管理平台的身份认证。
边缘物联代理易受外部攻击,加强对边缘物联代理层面的安全监测是提升现场安全能力的重要措施。边缘物联代理部署内部探针,对其自身系统数据、网络流量等进行实时采集,通过边缘侧的实时监控、告警分析,实现就地化智能决策分析,并将结果上传至物联管理平台。
安全监测主要包括以下几方面内容。1)自身监测:监测系统版本、补丁更新信息;监测运行状态信息,判断设备是否离线;监测日志,依据危险等级对日志数据分级,重点监测中高危日志;监测网络流量,判断流量增加是否正常。2)数据安全:根据边缘物联代理中数据的重要程度进行安全分类,监测数据存储安全及传输安全。3)应用安全:监测应用APP在安装、使用、版本升级、销毁的全生命周期过程。
步骤8、认证通过后,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互。其中,加密和解密处理在用户终端的安全处理核中执行;安全处理核包含安全存储区,加密处理时,将信息数据连同密钥一起发送给安全存储区;获取用于安全存储区加密数据的加密核函数,安全存储区根据加密核函数对信息数据进行加密计算并反馈加密计算的结果;在解密处理时,将加密数据连同密钥一起发送给安全存储区,获取用于安全存储区解密数据的解密核函数,安全存储区根据解密核函数对加密数据进行解密计算并反馈解密计算结果
此外,本发明还提供一种电力物联网数据交互装置。
其中,本发明的数据交互装置,其包括:
初始化模块:用于初始化电力物联网边缘侧的边缘物联代理和云端的物联网管理平台相关接口协议信息;
获取模块:用于获取接口协议信息初始化后的边缘物联代理发出的注册信息,根据注册信息完成边缘物联代理的注册;
采集模块:用于利用用户终端芯片的专用处理核处理采集到的用电信息数据,将用电信息数据按周期采样发送至边缘物联代理;
第一加密模块:用于调用第一加密策略和第一解密策略以实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密;
第二加密模块:用于依照第二加密策略对边缘物联代理与物联管理平台互传数据进行加密,并对数据完整性进行校验,将互传数据分为左右两部分,分别为L 0、R0,第二加密策略公式如下:Ti=F(Ri-1 xor L i-1,K i), L i=σ(L i-1 xor Ti), Ri= Ri-1 xor Ti,其中F表示轮函数,K i表示轮密钥,xor表示异或运算,σ表示置换;
第一身份认证模块:用于将边缘物联代理经过信息网络安全接入网关完成与网关的身份认证及会话密钥协商,确定网关的合法性;
第二身份认证模块:采用基于数字证书的身份认证技术,实现边缘物联代理与物联管理平台之间的双向身份认证;
交互模块:用于认证通过后,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互;
加密和解密处理在用户终端的安全处理核中执行;安全处理核包含安全存储区,加密处理时,将信息数据连同密钥一起发送给安全存储区;获取用于安全存储区加密数据的加密核函数,安全存储区根据加密核函数对信息数据进行加密计算并反馈加密计算的结果;在解密处理时,将加密数据连同密钥一起发送给安全存储区,获取用于安全存储区解密数据的解密核函数,安全存储区根据解密核函数对加密数据进行解密计算并反馈解密计算结果。
本发明的电力物联网综合数据管理平台间可信数据交互装置的具体工作原理与上述的电力物联网综合数据管理平台间可信数据交互方法的具体实施例中的描述相同或相似,具体请参见上述电力物联网综合数据管理平台间可信数据交互方法的具体实施例的相关描述。
本发明的电力物联网综合数据管理平台间可信数据交互方法,通过初始化边缘物联代理和云端的物联网管理平台相关接口协议信息,实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密,对边缘物联代理与物联管理平台互传数据进行加密校验,完成边缘物联代理与网关的身份认证以及边缘物联代理与物联网管理平台的身份认证,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互,利用终端芯片的安全处理核进行加密解密,结合用电信息特征和用户信息特征生成密钥,有效提高了电力物联网的物联管理平台间数据交互的安全性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种电力物联网数据交互方法,其特征在于,包括:
步骤1、初始化电力物联网边缘侧的边缘物联代理和云端的物联网管理平台相关接口协议信息;
步骤2、获取接口协议信息初始化后的边缘物联代理发出的注册信息,根据注册信息完成边缘物联代理的注册;
步骤3、利用用户终端芯片的专用处理核处理采集到的用电信息数据,将用电信息数据按周期采样发送至边缘物联代理;
步骤4、调用第一加密策略和第一解密策略以实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密;
步骤5、依照第二加密策略对边缘物联代理与物联管理平台互传数据进行加密,并对数据完整性进行校验,将互传数据分为左右两部分,分别为L 0、R0,第二加密策略公式如下:Ti=F(Ri-1 xor L i-1,K i), L i=σ(L i-1 xor Ti), Ri= Ri-1 xor Ti,其中F表示轮函数,K i表示轮密钥,xor表示异或运算,σ表示置换;
步骤6、边缘物联代理经过信息网络安全接入网关完成与网关的身份认证及会话密钥协商,确定网关的合法性;
步骤7、采用基于数字证书的身份认证技术,实现边缘物联代理与物联管理平台之间的双向身份认证;
步骤8、认证通过后,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互;
其中,加密和解密处理在用户终端的安全处理核中执行;安全处理核包含安全存储区,加密处理时,将信息数据连同密钥一起发送给安全存储区;获取用于安全存储区加密数据的加密核函数,安全存储区根据加密核函数对信息数据进行加密计算并反馈加密计算的结果;在解密处理时,将加密数据连同密钥一起发送给安全存储区,获取用于安全存储区解密数据的解密核函数,安全存储区根据解密核函数对加密数据进行解密计算并反馈解密计算结果。
2.如权利要求1所述的一种电力物联网数据交互方法,其特征在于,步骤1具体包括:
边缘物联代理与物联网管理平台交互采用发布订阅模式进行通信,订阅与发布基于主题。
3.如权利要求2所述的一种电力物联网数据交互方法,其特征在于,步骤2具体包括:
边缘物联代理向物联网管理平台发起注册;物联网管理平台根据注册信息对边缘物联代理进行操作系统和软件组件的升级、远程配置、远程控制、设备状态监视和可信程度测评;设备状态包括配置信息、状态信息、事件信息。
4.如权利要求3所述的一种电力物联网数据交互方法,其特征在于,步骤4的第一加密策略包括如下步骤:
结合用电信息特征和用户信息特征生成密钥,其中,用电信息特征包括末端电表的电量、用电曲线的时域特征和用电曲线的频域特征,用户信息特征包括用户账户编号、联系电话、地址门牌编码。
5.如权利要求4所述的一种电力物联网数据交互方法,其特征在于,步骤5的第二加密策略包括如下步骤:
(1)明文输入128位比特串;
(2)采用密钥扩展算法生成轮密钥;
(3)对轮密钥执行多次轮函数迭代;
(4)反序变换输出128位的密文比特串。
6.如权利要求5所述的一种电力物联网数据交互方法,其特征在于,步骤6具体还包括:
边缘物联代理出厂时预置网关证书,首先将边缘物联代理证书发给网关,网关通过验证边缘物联代理证书的方式确定其合法性;边缘物联代理应用预置的网关证书,采用SM2签名算法验证网关发送的协商报文签名值,确定网关的合法性,从而完成网关和边缘物联代理的双向身份认证。
7.如权利要求6所述的一种电力物联网数据交互方法,其特征在于,步骤7具体还包括:
物联管理平台与边缘物联代理之间建立网络连接后,边缘物联代理向物联管理平台发送认证申请报文,
物联管理平台产生随机数R1发送给边缘物联代理,边缘物联代理从安全芯片取随机数R2,将R1+R2签名后发送给物联管理平台,物联管理平台用边缘物联代理证书验证签名有效性,验证通过完成物联管理平台对边缘物联代理的身份认证,然后物联管理平台对边缘物联代理随机数R2签名并将签名结果发送边缘物联代理,边缘物联代理验证物联管理平台签名的正确性,验证通过完成边缘物联代理对物联管理平台的身份认证。
8.一种电力物联网数据交互装置,其特征在于,包括:
初始化模块:用于初始化电力物联网边缘侧的边缘物联代理和云端的物联网管理平台相关接口协议信息;
获取模块:用于获取接口协议信息初始化后的边缘物联代理发出的注册信息,根据注册信息完成边缘物联代理的注册;
采集模块:用于利用用户终端芯片的专用处理核处理采集到的用电信息数据,将用电信息数据按周期采样发送至边缘物联代理;
第一加密模块:用于调用第一加密策略和第一解密策略以实现边缘物联代理与其接入的节点设备之间信息交互进行安全加密;
第二加密模块:用于依照第二加密策略对边缘物联代理与物联管理平台互传数据进行加密,并对数据完整性进行校验,将互传数据分为左右两部分,分别为L 0、R0,第二加密策略公式如下:Ti=F(Ri-1 xor L i-1,K i), L i=σ(L i-1 xor Ti), Ri= Ri-1 xor Ti,其中F表示轮函数,K i表示轮密钥,xor表示异或运算,σ表示置换;
第一身份认证模块:用于将边缘物联代理经过信息网络安全接入网关完成与网关的身份认证及会话密钥协商,确定网关的合法性;
第二身份认证模块:采用基于数字证书的身份认证技术,实现边缘物联代理与物联管理平台之间的双向身份认证;
交互模块:用于认证通过后,利用加密和校验后的数据实现边缘物联代理与物联网管理平台之间的数据交互;
加密和解密处理在用户终端的安全处理核中执行;安全处理核包含安全存储区,加密处理时,将信息数据连同密钥一起发送给安全存储区;获取用于安全存储区加密数据的加密核函数,安全存储区根据加密核函数对信息数据进行加密计算并反馈加密计算的结果;在解密处理时,将加密数据连同密钥一起发送给安全存储区,获取用于安全存储区解密数据的解密核函数,安全存储区根据解密核函数对加密数据进行解密计算并反馈解密计算结果。
9.如权利要求8所述的一种电力物联网数据交互装置,其特征在于,第二身份认证模块还包括签名认证单元;
签名认证单元用于在物联管理平台与边缘物联代理之间建立网络连接后,边缘物联代理向物联管理平台发送认证申请报文,物联管理平台产生随机数R1发送给边缘物联代理,边缘物联代理从安全芯片取随机数R2,将R1+R2签名后发送给物联管理平台,物联管理平台用边缘物联代理证书验证签名有效性,验证通过完成物联管理平台对边缘物联代理的身份认证,然后物联管理平台对边缘物联代理随机数R2签名并将签名结果发送边缘物联代理,边缘物联代理验证物联管理平台签名的正确性,验证通过完成边缘物联代理对物联管理平台的身份认证。
10.一种存储介质,其内存储有处理器可执行指令,所述指令由一个或一个以上处理器加载,以执行如权利要求1至7中任一项所述一种电力物联网数据交互方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210923462.5A CN115065469B (zh) | 2022-08-02 | 2022-08-02 | 一种电力物联网数据交互方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210923462.5A CN115065469B (zh) | 2022-08-02 | 2022-08-02 | 一种电力物联网数据交互方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115065469A CN115065469A (zh) | 2022-09-16 |
CN115065469B true CN115065469B (zh) | 2022-11-11 |
Family
ID=83207980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210923462.5A Active CN115065469B (zh) | 2022-08-02 | 2022-08-02 | 一种电力物联网数据交互方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115065469B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116367157B (zh) * | 2023-06-01 | 2023-08-01 | 深圳市北测检测技术有限公司 | 一种基于5g通信网络的安全认证方法及装置 |
CN117319450B (zh) * | 2023-11-27 | 2024-02-09 | 成都秦川物联网科技股份有限公司 | 基于物联网的超声波计量仪表数据交互方法、装置及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022002075A1 (zh) * | 2020-06-29 | 2022-01-06 | 北京智芯微电子科技有限公司 | 基于边缘计算的物联代理装置及数据决策方法 |
CN114584331A (zh) * | 2020-11-17 | 2022-06-03 | 中国电力科学研究院有限公司 | 一种配电物联网边缘物联代理网络安全防护方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9356916B2 (en) * | 2010-04-30 | 2016-05-31 | T-Central, Inc. | System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content |
US20180131511A1 (en) * | 2016-08-03 | 2018-05-10 | James Taylor | Systems and Methods for Dynamic Cypher Key Management |
-
2022
- 2022-08-02 CN CN202210923462.5A patent/CN115065469B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022002075A1 (zh) * | 2020-06-29 | 2022-01-06 | 北京智芯微电子科技有限公司 | 基于边缘计算的物联代理装置及数据决策方法 |
CN114584331A (zh) * | 2020-11-17 | 2022-06-03 | 中国电力科学研究院有限公司 | 一种配电物联网边缘物联代理网络安全防护方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于多智能体强化学习的边缘物联代理资源分配算法;缪巍巍 等;《电力信息与通信技术》;20211225;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115065469A (zh) | 2022-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kumar et al. | Security in internet of things: Challenges, solutions and future directions | |
Yan et al. | A survey on cyber security for smart grid communications | |
CN115065469B (zh) | 一种电力物联网数据交互方法、装置及存储介质 | |
CN108512846B (zh) | 一种终端与服务器之间的双向认证方法和装置 | |
Liu et al. | Cyber security and privacy issues in smart grids | |
CN114499895B (zh) | 一种融合可信计算与区块链的数据可信处理方法及系统 | |
Dehalwar et al. | Blockchain-based trust management and authentication of devices in smart grid | |
CN113132388B (zh) | 一种数据安全交互方法及系统 | |
Jeong et al. | An efficient authentication system of smart device using multi factors in mobile cloud service architecture | |
CN112468504B (zh) | 一种基于区块链的工控网络访问控制方法 | |
CN113079140B (zh) | 一种基于区块链的协作频谱感知位置隐私保护方法 | |
CN105471901A (zh) | 一种工业信息安全认证系统 | |
Aung et al. | Ethereum-based emergency service for smart home system: Smart contract implementation | |
Yang et al. | A Comprehensive Survey of Security Issues of Smart Home System:“Spear” and “Shields,” Theory and Practice | |
CN116248277A (zh) | 用于物联网设备认证加密的零信任安全处理方法及系统 | |
Von Oheimb | IT security architecture approaches for smart metering and smart grid | |
CN114584331A (zh) | 一种配电物联网边缘物联代理网络安全防护方法及系统 | |
Lu et al. | Research on trusted DNP3-BAE protocol based on hash chain | |
CN112866197A (zh) | 实现物联网终端安全的密码边缘计算方法、系统及终端 | |
CN113111386A (zh) | 一种区块链交易数据的隐私保护方法 | |
Sinha et al. | Blockchain-based communication and data security framework for IoT-enabled micro solar inverters | |
CN112311553B (zh) | 一种基于挑战应答的设备认证方法 | |
Noor et al. | Decentralized Access Control using Blockchain Technology for Application in Smart Farming | |
Zou et al. | Information Security Transmission Technology in Internet of Things Control System. | |
Gu et al. | IoT security and new trends of solutions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |