CN117579359A - 一种电力系统端到端身份认证方法、数据传输方法及系统 - Google Patents

一种电力系统端到端身份认证方法、数据传输方法及系统 Download PDF

Info

Publication number
CN117579359A
CN117579359A CN202311590700.6A CN202311590700A CN117579359A CN 117579359 A CN117579359 A CN 117579359A CN 202311590700 A CN202311590700 A CN 202311590700A CN 117579359 A CN117579359 A CN 117579359A
Authority
CN
China
Prior art keywords
monitoring system
power
distributed terminal
power monitoring
handshake
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311590700.6A
Other languages
English (en)
Inventor
陈剑飞
张婕
刘维特
王睿
张方哲
张伟昌
任剑
牛德玲
刘新
刘冬兰
徐光侠
张昊
马雷
于灏
姚洪磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Shandong Electric Power Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Shandong Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Shandong Electric Power Co Ltd filed Critical Electric Power Research Institute of State Grid Shandong Electric Power Co Ltd
Priority to CN202311590700.6A priority Critical patent/CN117579359A/zh
Publication of CN117579359A publication Critical patent/CN117579359A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种电力系统端到端身份认证方法、数据传输方法及系统,涉及电力系统网络安全技术领域,其中身份认证方法包括:分布式终端设备向边缘设备发送第一握手请求,边缘设备转发并向分布式终端返回第一验证信息;分布式终端根据第一验证信息,向边缘设备发送第二握手请求;边缘设备验证无误后向电力监控系统转发,并向分布式终端发送第三握手请求;电力监控系统和分布式终端设备分别根据边缘设备发送的预主密钥生成用于后续通信的会话密钥;电力监控系统和分布式终端设备分别向边缘设备发送握手验证信息,边缘设备验证无误后向双方转发对方的握手验证信息,完成身份认证。本发明能够提高网络通信的效率和安全性。

Description

一种电力系统端到端身份认证方法、数据传输方法及系统
技术领域
本发明涉及电力系统网络安全技术领域,具体涉及一种电力系统端到端身份认证方法、数据传输方法及系统。
背景技术
随着电力系统的智能化、分布式化和互联化的发展,电力系统中的各种终端设备,如智能电表、智能变压器、智能配电柜等,需要与电力监控系统进行实时的数据交互和控制指令执行,以实现电力系统的高效管理和优化调度。然而,这些终端设备通常具有计算能力和存储能力有限、能耗敏感、易受攻击等特点,给电力系统的网络安全带来了巨大的挑战。一旦终端设备被恶意篡改或控制,可能导致电力系统的运行异常,甚至引发严重的事故和损失。
为了保证电力系统的网络安全,需要在终端设备与电力监控系统之间建立安全的通信机制,实现双方的身份认证、数据加密和完整性校验等功能。目前,常用的安全通信机制有SSL/TLS和DTLS等。SSL/TLS是基于TCP的安全传输层协议,通过握手协议和记录协议,实现了双方的身份认证、密钥协商、数据加密和完整性校验等功能。然而,SSL/TLS的握手协议需要多次的往返通信,导致网络延迟和开销增加,不适合于实时性要求高的电力系统;此外,SSL/TLS的记录协议依赖于TCP的可靠传输,对于丢失或乱序的数据包,会进行重传或重排序,进一步增加了网络延迟和开销,不适合于电力系统中的数据包传输。
DTLS是基于UDP的安全传输层协议,是对SSL/TLS的扩展和改进,适用于数据包可能丢失或重新排序的场景。DTLS在握手协议中增加了Cookie值和序列号等机制,防止了拒绝服务攻击和重放攻击,同时减少了握手协议的往返次数,提高了网络效率。DTLS在记录协议中增加了序列号和消息认证码等机制,保证了数据包的完整性和可靠性,同时不依赖于TCP的可靠传输,避免了重传或重排序的开销,提高了网络效率。因此,DTLS更适合于电力系统中的安全通信机制。
然而,DTLS的握手协议仍然需要终端设备和电力监控系统之间进行多次的计算和验证,这对于计算能力和存储能力有限、能耗敏感的终端设备来说,仍然具有较大负担。此外,现有技术中的DTLS的握手协议需要双方交换公钥证书,这也增加了网络开销和风险,因为公钥证书可能被伪造或篡改,导致双方的身份认证失败或被中间人攻击。
发明内容
为了解决现有技术的不足,本发明的目的是提供一种电力系统端到端身份认证方法、数据传输方法及系统,在保证电力系统的网络安全的同时,减轻终端设备的计算负担和能耗,提高网络通信的效率和安全性。
为了实现上述目的,根据一些实施例,本发明的第一方面,提供了一种电力系统端到端身份认证方法,包括:
分布式终端设备向边缘设备发送第一握手请求,边缘设备接收到第一握手请求后转发至电力监控系统,并向分布式终端返回第一验证信息;
分布式终端根据第一验证信息,向边缘设备发送第二握手请求;
边缘设备验证第二握手请求,验证无误后向电力监控系统转发第二握手请求,并根据预存的电力监控系统的第一数据,向分布式终端发送第三握手请求;
边缘设备向电力监控系统和分布式终端设备发送预主密钥;电力监控系统和分布式终端设备分别根据接收到的预主密钥生成用于后续通信的会话密钥;
电力监控系统和分布式终端设备分别向边缘设备发送握手验证信息,边缘设备验证无误后向双方转发对方的握手验证信息,完成身份认证。
优选的,边缘设备与电力监控系统之间使用对称密钥进行通信,所述对称密钥为SDN控制器生成并分发的。
优选的,所述第一握手请求为分布式终端设备向边缘设备发送的DTLS握手协议的客户端Hello消息,包含分布式终端设备的随机数、支持的加密套件;
或者,所述第一验证信息为边缘设备向分布式终端设备发送DTLS握手协议的HelloVerifyRequest消息,包含一个Cookie值;
或者,所述第二握手请求为分布式终端将接收到的Cookie值附加在客户端Hello消息中后发出的;
或者,所述第三握手请求为边缘设备向分布式终端设备发送的DTLS握手协议的服务器Hello消息,包含电力监控系统的随机数、选择的加密套件;
或者,所述握手验证信息,为分布式终端设备和电力监控系统分别向边缘设备发送的DTLS握手协议的Finished消息,包含双方之前所有握手消息的哈希值。
优选的,边缘设备根据电力监控系统的公钥证书,生成一个预主密钥,并使用电力监控系统的公钥加密后发送给电力监控系统,同时将预主密钥通过SDN控制器分发给分布式终端设备。
优选的,电力监控系统和分布式终端设备生成会话密钥后,分别向边缘设备发送DTLS握手协议的ChangeCipherSpec消息。
本发明的第二方面,提供了一种电力系统端到端身份认证系统,包括:
分布式终端设备,用于向边缘设备发送第一握手请求;根据边缘设备返回的第一验证信息,向边缘设备发送第二握手请求;接收边缘设备发送的第三握手请求;根据边缘设备发送的预主密钥,生成用于后续通信的会话密钥;向边缘设备发送握手验证信息,以及接收边缘设备转发的电力监控系统发送的握手验证信息;
电力监控系统,用于接收边缘设备转发的第一握手请求和第二握手请求;根据边缘设备发送的预主密钥,生成用于后续通信的会话密钥;向边缘设备发送握手验证信息,以及接收边缘设备转发的分布式终端设备发送的握手验证信息;
边缘设备,用于接收分布式终端设备发送的第一握手请求,将第一握手请求转发至电力监控系统,向分布式终端返回第一验证信息;接收并验证边缘设备发送的第二握手请求,验证无误后向电力监控系统转发第二握手请求,并根据预存的电力监控系统的第一数据,向分布式终端发送第三握手请求;向电力监控系统和分布式终端设备发送预主密钥;以及接收并验证电力监控系统和分布式终端设备发送的握手验证信息,验证无误后向双方转发对方的握手验证信息。
优选的,所述边缘设备位于分布式终端设备与电力监控系统之间的网络边缘,作为分布式终端设备与电力监控系统之间的代理节点;
或者,所述分布式终端设备为电力系统中的智能电力设备,用于采集和发送电力数据,以及接收和执行电力控制指令;
或者,所述电力监控系统为电力系统中的中心节点,用于监控和管理电力系统的运行状态,以及发送和接收电力数据和控制指令。
本发明的第三方面,提供了一种电力系统端到端数据传输方法,包括:
分布式终端使用会话密钥对采集到的电力数据加密后发送至边缘设备;
边缘设备使用会话密钥对接收到的数据进行解密和验证,验证无误后使用对称密钥加密并发送至电力监控系统;
电力监控系统使用对称密钥对接收到的数据进行解密,得到原始电力数据。
优选的,还包括:
电力监控系统使用对称密钥对电力控制指令进行加密,发送至边缘设备;
边缘设备使用对称密钥对接收到的指令进行解密,再使用会话密钥进行加密,发送至分布式终端设备;
分布式终端设备使用会话密钥对接收到的指令进行解密和验证,验证无误后执行电力控制指令。
本发明的第四方面,提供了一种电力系统端到端数据传输系统,包括:
分布式终端设备,用于使用会话密钥对采集到的电力数据加密后发送至边缘设备;
边缘设备,用于使用会话密钥对接收到的数据进行解密和验证,验证无误后使用对称密钥加密并发送至电力监控系统;
电力监控系统,用于使用对称密钥对接收到的数据进行解密,得到原始电力数据。
与现有技术相比,本发明的有益效果是:
本发明提供了一种电力系统端到端身份认证方法、数据传输方法及系统,通过增加边缘设备,利用边缘设备代理DTLS握手协议的部分计算和验证任务,减轻分布式终端设备的计算负担和能耗,提高网络通信的效率和安全性;采用SDN技术,动态生成和分发对称密钥,实现边缘设备和电力监控系统之间的身份认证和数据加密,避免了证书验证的开销和风险;通过Cookie值和哈希值,防止分布式终端设备遭受拒绝服务攻击和中间人攻击,保证了双方的身份和握手过程的完整性;本发明提供的方案适用于新型电力系统中,分布式终端设备与电力监控系统之间的网络安全问题,提高了电力系统的安全稳定运行能力。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本发明系统结构示意图;
图2为本发明流程图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
实施例一
SDN控制器:负责动态生成和分发对称密钥,实现边缘设备和电力监控系统之间的身份认证和数据加密;
边缘设备:作为分布式终端设备与电力监控系统之间的代理节点,负责执行DTLS握手协议的部分计算和验证任务,以及对数据进行加密和解密,以及对消息认证码进行验证;
分布式终端设备:指新型电力系统中的各种智能电力设备,如智能电表、智能变压器、智能配电柜等,负责采集和发送电力数据,以及接收和执行电力控制指令;
电力监控系统:指新型电力系统中的中心节点,负责监控和管理电力系统的运行状态,以及发送和接收电力数据和控制指令。
如图1-2所示,本实施例提供了一种电力系统端到端身份认证方法,包括:
S1、分布式终端设备向边缘设备发送第一握手请求,边缘设备接收到第一握手请求后转发至电力监控系统,并向分布式终端返回第一验证信息;
S2、分布式终端根据第一验证信息,向边缘设备发送第二握手请求;
S3、边缘设备验证第二握手请求,验证无误后向电力监控系统转发第二握手请求,并根据预存的电力监控系统的第一数据,向分布式终端发送第三握手请求;
S4、边缘设备向电力监控系统和分布式终端设备发送预主密钥;电力监控系统和分布式终端设备分别根据接收到的预主密钥生成用于后续通信的会话密钥;
S5、电力监控系统和分布式终端设备分别向边缘设备发送握手验证信息,边缘设备验证无误后向双方转发对方的握手验证信息,完成身份认证。
本实施例旨在解决新型电力系统中,分布式终端设备与电力监控系统之间的网络安全问题,提高电力系统的安全稳定运行能力。具体而言,本实施例针对现有技术DTLS握手过程存在的缺陷,结合电力系统的实际特点,在新型电力系统中,设置了一台或多台边缘设备,作为分布式终端设备与电力监控系统之间的代理节点,负责执行DTLS握手协议的部分计算和验证任务,减轻分布式终端设备的计算负担和能耗,提高网络通信的效率和安全性。
边缘设备与电力监控系统之间使用对称密钥进行通信,其中,对称密钥为SDN控制器生成并分发的。因此,在步骤S1前,还包括:
S0、建立边缘设备与电力监控系统之间的安全信道。
首先,边缘设备与电力监控系统之间建立安全的信道,采用软件定义网络(SDN)技术,由SDN控制器D动态生成对称密钥K,并通过加密的方式分发给边缘设备B和电力监控系统C,实现双方的身份认证和数据加密。软件定义网络(SDN)技术是一种将网络控制层和数据转发层分离的技术,由SDN控制器负责动态生成和分发对称密钥,实现边缘设备和电力监控系统之间的身份认证和数据加密。
具体地,SDN控制器D使用自己的私钥对对称密钥K进行签名,生成数字签名S,然后将K和S一起发送给边缘设备B和电力监控系统C,双方收到后,使用SDN控制器D的公钥验证数字签名S的正确性,如果正确,说明对称密钥K是由SDN控制器D生成和发送的,没有被篡改,双方就可以使用对称密钥K进行后续的通信。
然后,在步骤S1中,分布式终端设备A向边缘设备B发送DTLS握手协议的客户端Hello消息,包含自己的随机数RA、支持的加密套件等信息。边缘设备B收到客户端Hello消息后,使用对称密钥K对该消息进行加密,然后向电力监控系统C转发该消息,并向分布式终端设备A发送DTLS握手协议的HelloVerifyRequest消息,包含一个Cookie值,用于防止分布式终端设备A遭受拒绝服务攻击。
步骤S2中,分布式终端设备A收到HelloVerifyRequest消息后,将Cookie值附加在客户端Hello消息中,重新发送给边缘设备B。
步骤S3中,边缘设备B验证Cookie值的正确性,如果正确,再次使用对称密钥K对客户端Hello消息进行加密,然后向电力监控系统C转发该消息,并向分布式终端设备A发送DTLS握手协议的服务器Hello消息,包含电力监控系统C的随机数RC、选择的加密套件等信息。
接下来,在步骤S4中,边缘设备B根据电力监控系统C的公钥证书,生成一个预主密钥PMK,并使用电力监控系统C的公钥加密,发送给电力监控系统C,同时将预主密钥PMK通过SDN控制器D安全地分发给分布式终端设备A。分布式终端设备A和电力监控系统C根据预主密钥PMK和双方的随机数RA和RC,计算出主密钥MK,并根据主密钥MK生成四个会话密钥,分别用于加密和解密双方的数据和消息认证码。
随后,分布式终端设备A和电力监控系统C分别向边缘设备B发送DTLS握手协议的ChangeCipherSpec消息,表明从此消息之后,双方将使用会话密钥进行通信。
步骤S5中,分布式终端设备A和电力监控系统C分别向边缘设备B发送DTLS握手协议的Finished消息,包含双方之前所有握手消息的哈希值,用于验证双方的身份和握手过程的完整性。边缘设备B收到双方的Finished消息后,验证其正确性,如果正确,向双方转发对方的Finished消息,完成DTLS握手协议。
分布式终端设备和电力监控系统之间通过边缘设备进行安全的数据传输,边缘设备负责对数据进行加密和解密,以及对消息认证码进行验证,保证数据的机密性、完整性和可靠性。
本实施例在新型电力系统中增加了一个或多个边缘设备,作为分布式终端设备与电力监控系统之间的代理节点,利用边缘设备代理DTLS握手协议的部分计算和验证任务,减轻了分布式终端设备的计算负担和能耗,提高了网络通信的效率和安全性;同时通过软件定义网络(SDN)技术,动态生成和分发对称密钥,实现了边缘设备和电力监控系统之间的身份认证和数据加密,避免了证书验证的开销和风险;通过Cookie值和哈希值,防止分布式终端设备遭受拒绝服务攻击和中间人攻击,保证了双方的身份和握手过程的完整性。该方法适用于新型电力系统中,解决分布式终端设备与电力监控系统之间的网络安全问题,提高了电力系统的安全稳定运行能力。
实施例二
基于实施例一提供的一种电力系统端到端身份认证方法,本实施例还提供了一种电力系统端到端身份认证系统,包括:
分布式终端设备,用于向边缘设备发送第一握手请求;根据边缘设备返回的第一验证信息,向边缘设备发送第二握手请求;接收边缘设备发送的第三握手请求;根据边缘设备发送的预主密钥,生成用于后续通信的会话密钥;向边缘设备发送握手验证信息,以及接收边缘设备转发的电力监控系统发送的握手验证信息;
电力监控系统,用于接收边缘设备转发的第一握手请求和第二握手请求;根据边缘设备发送的预主密钥,生成用于后续通信的会话密钥;向边缘设备发送握手验证信息,以及接收边缘设备转发的分布式终端设备发送的握手验证信息;
边缘设备,用于接收分布式终端设备发送的第一握手请求,将第一握手请求转发至电力监控系统,向分布式终端返回第一验证信息;接收并验证边缘设备发送的第二握手请求,验证无误后向电力监控系统转发第二握手请求,并根据预存的电力监控系统的第一数据,向分布式终端发送第三握手请求;向电力监控系统和分布式终端设备发送预主密钥;以及接收并验证电力监控系统和分布式终端设备发送的握手验证信息,验证无误后向双方转发对方的握手验证信息。
本实施例是实施例一中方法所使用的硬件系统,其中,边缘设备作为分布式终端设备与电力监控系统之间的代理节点,负责执行DTLS握手协议的部分计算和验证任务,以及对数据进行加密和解密,以及对消息认证码进行验证;分布式终端设备指新型电力系统中的各种智能电力设备,如智能电表、智能变压器、智能配电柜等,负责采集和发送电力数据,以及接收和执行电力控制指令;电力监控系统指新型电力系统中的中心节点,负责监控和管理电力系统的运行状态,以及发送和接收电力数据和控制指令。
本实施例中系统的具体实现身份认证的过程,与实施例一相同。
具体而言,当需要进行身份认证时,分布式终端设备向边缘设备发送第一握手请求,边缘设备接收到第一握手请求后转发至电力监控系统,并向分布式终端返回第一验证信息。分布式终端设备A向边缘设备B发送DTLS握手协议的客户端Hello消息,包含自己的随机数RA、支持的加密套件等信息。边缘设备B收到客户端Hello消息后,使用对称密钥K对该消息进行加密,然后向电力监控系统C转发该消息,并向分布式终端设备A发送DTLS握手协议的HelloVerifyRequest消息,包含一个Cookie值,用于防止分布式终端设备A遭受拒绝服务攻击。
随后,分布式终端根据第一验证信息,向边缘设备发送第二握手请求;分布式终端设备A收到HelloVerifyRequest消息后,将Cookie值附加在客户端Hello消息中,重新发送给边缘设备B。
随后,边缘设备验证第二握手请求,验证无误后向电力监控系统转发第二握手请求,并根据预存的电力监控系统的第一数据,向分布式终端发送第三握手请求;边缘设备B验证Cookie值的正确性,如果正确,再次使用对称密钥K对客户端Hello消息进行加密,然后向电力监控系统C转发该消息,并向分布式终端设备A发送DTLS握手协议的服务器Hello消息,包含电力监控系统C的随机数RC、选择的加密套件等信息。
随后,边缘设备向电力监控系统和分布式终端设备发送预主密钥;电力监控系统和分布式终端设备分别根据接收到的预主密钥,生成用于后续通信的会话密钥;边缘设备B根据电力监控系统C的公钥证书,生成一个预主密钥PMK,并使用电力监控系统C的公钥加密,发送给电力监控系统C,同时将预主密钥PMK通过SDN控制器D安全地分发给分布式终端设备A。分布式终端设备A和电力监控系统C根据预主密钥PMK,和双方的随机数RA和RC,计算出主密钥MK,并根据主密钥MK生成四个会话密钥,分别用于加密和解密双方的数据和消息认证码。
随后,分布式终端设备A和电力监控系统C分别向边缘设备B发送DTLS握手协议的ChangeCipherSpec消息,表明从此消息之后,双方将使用会话密钥进行通信。
最后,电力监控系统和分布式终端设备分别向边缘设备发送握手验证信息,边缘设备验证无误后向双方转发对方的握手验证信息,完成身份认证。分布式终端设备A和电力监控系统C分别向边缘设备B发送DTLS握手协议的Finished消息,包含双方之前所有握手消息的哈希值,用于验证双方的身份和握手过程的完整性。边缘设备B收到双方的Finished消息后,验证其正确性,如果正确,向双方转发对方的Finished消息,完成DTLS握手协议。
此外,边缘设备与电力监控系统之间还建立有安全信道,采用SDN技术,由SDN控制器动态生成对称密钥,并通过加密的方式分发给边缘设备和电力监控系统,实现双方的身份认证和数据加密。
SDN控制器D使用自己的私钥对对称密钥K进行签名,生成数字签名S,然后将K和S一起发送给边缘设备B和电力监控系统C,双方收到后,使用SDN控制器D的公钥验证数字签名S的正确性,如果正确,说明对称密钥K是由SDN控制器D生成和发送的,没有被篡改,双方就可以使用对称密钥K进行后续的通信。
边缘设备中还预存有对应电力监控系统的公钥证书,以及电力监控系统的随机数、选择的加密套件等信息,从而可以在分布式终端发起握手请求时,直接向其反馈对应信息。
实施例三
基于实施例一提供的一种电力系统端到端身份认证方法,本实施例还提供了一种电力系统端到端数据传输方法,包括:
分布式终端使用会话密钥对采集到的电力数据加密后发送至边缘设备;
边缘设备使用会话密钥对接收到的数据进行解密和验证,验证无误后使用对称密钥加密并发送至电力监控系统;
电力监控系统使用对称密钥对接收到的数据进行解密,得到原始电力数据。
基于实施例一提供的身份认证方法,本实施例进一步提供了基于该方法认证后的数据传输方法,在本实施例中,分布式终端设备A和电力监控系统C之间通过边缘设备B进行安全的数据传输,边缘设备B负责对数据进行加密和解密,以及对消息认证码进行验证,保证数据的机密性、完整性和可靠性。
具体地,分布式终端设备A采集电力数据,使用会话密钥对数据进行加密,生成密文和消息认证码,发送给边缘设备B,边缘设备B使用会话密钥对密文和消息认证码进行解密和验证,如果正确,说明数据没有被篡改,边缘设备B再使用对称密钥K对数据进行加密,发送给电力监控系统C,电力监控系统C使用对称密钥K对数据进行解密,得到原始的电力数据,进行监控和管理。
以上为分布式终端设备向电力监控系统发送数据的过程,相应的,电力监控系统也可以通过边缘设备向分布式终端发出指令。电力监控系统C发送电力控制指令,使用对称密钥K对指令进行加密,发送给边缘设备B,边缘设备B使用对称密钥K对指令进行解密,再使用会话密钥对指令进行加密,生成密文和消息认证码,发送给分布式终端设备A,分布式终端设备A使用会话密钥对密文和消息认证码进行解密和验证,如果正确,说明指令没有被篡改,分布式终端设备A执行电力控制指令,调节电力设备的运行状态。
实施例四
基于实施例三提供的一种电力系统端到端数据传输方法,本实施例还提供了一种电力系统端到端数据传输系统,包括:
分布式终端设备,用于使用会话密钥对采集到的电力数据加密后发送至边缘设备;
边缘设备,用于使用会话密钥对接收到的数据进行解密和验证,验证无误后使用对称密钥加密并发送至电力监控系统;
电力监控系统,用于使用对称密钥对接收到的数据进行解密,得到原始电力数据。
本实施例中的实施方式,与实施例三中的步骤对应。
此外,在一些实施方式中,电力监控系统,还用于使用对称密钥加密电力控制指令并发送至边缘设备;边缘设备,还用于使用对称密钥进行解密后再使用会话密钥进行加密,生成密文和消息认证码,发送给分布式终端设备;分布式终端设备,还用于使用会话密钥对接收到的密文和消息认证码进行解密和验证,验证无误后执行相应的电力控制指令,调节电力设备的运行状态。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种电力系统端到端身份认证方法,其特征在于,包括:
分布式终端设备向边缘设备发送第一握手请求,边缘设备接收到第一握手请求后转发至电力监控系统,并向分布式终端返回第一验证信息;
分布式终端根据第一验证信息,向边缘设备发送第二握手请求;
边缘设备验证第二握手请求,验证无误后向电力监控系统转发第二握手请求,并根据预存的电力监控系统的第一数据,向分布式终端发送第三握手请求;
边缘设备向电力监控系统和分布式终端设备发送预主密钥;电力监控系统和分布式终端设备分别根据接收到的预主密钥生成用于后续通信的会话密钥;
电力监控系统和分布式终端设备分别向边缘设备发送握手验证信息,边缘设备验证无误后向双方转发对方的握手验证信息,完成身份认证。
2.如权利要求1所述的一种电力系统端到端身份认证方法,其特征在于,边缘设备与电力监控系统之间使用对称密钥进行通信,所述对称密钥为SDN控制器生成并分发的。
3.如权利要求1所述的一种电力系统端到端身份认证方法,其特征在于,所述第一握手请求为分布式终端设备向边缘设备发送的DTLS握手协议的客户端Hello消息,包含分布式终端设备的随机数、支持的加密套件;
或者,所述第一验证信息为边缘设备向分布式终端设备发送DTLS握手协议的HelloVerifyRequest消息,包含一个Cookie值;
或者,所述第二握手请求为分布式终端将接收到的Cookie值附加在客户端Hello消息中后发出的;
或者,所述第三握手请求为边缘设备向分布式终端设备发送的DTLS握手协议的服务器Hello消息,包含电力监控系统的随机数、选择的加密套件;
或者,所述握手验证信息,为分布式终端设备和电力监控系统分别向边缘设备发送的DTLS握手协议的Finished消息,包含双方之前所有握手消息的哈希值。
4.如权利要求1所述的一种电力系统端到端身份认证方法,其特征在于,边缘设备根据电力监控系统的公钥证书,生成一个预主密钥,并使用电力监控系统的公钥加密后发送给电力监控系统,同时将预主密钥通过SDN控制器分发给分布式终端设备。
5.如权利要求1所述的一种电力系统端到端身份认证方法,其特征在于,电力监控系统和分布式终端设备生成会话密钥后,分别向边缘设备发送DTLS握手协议的ChangeCipherSpec消息。
6.一种电力系统端到端身份认证系统,其特征在于,包括:
分布式终端设备,用于向边缘设备发送第一握手请求;根据边缘设备返回的第一验证信息,向边缘设备发送第二握手请求;接收边缘设备发送的第三握手请求;根据边缘设备发送的预主密钥,生成用于后续通信的会话密钥;向边缘设备发送握手验证信息,以及接收边缘设备转发的电力监控系统发送的握手验证信息;
电力监控系统,用于接收边缘设备转发的第一握手请求和第二握手请求;根据边缘设备发送的预主密钥,生成用于后续通信的会话密钥;向边缘设备发送握手验证信息,以及接收边缘设备转发的分布式终端设备发送的握手验证信息;
边缘设备,用于接收分布式终端设备发送的第一握手请求,将第一握手请求转发至电力监控系统,向分布式终端返回第一验证信息;接收并验证边缘设备发送的第二握手请求,验证无误后向电力监控系统转发第二握手请求,并根据预存的电力监控系统的第一数据,向分布式终端发送第三握手请求;向电力监控系统和分布式终端设备发送预主密钥;以及接收并验证电力监控系统和分布式终端设备发送的握手验证信息,验证无误后向双方转发对方的握手验证信息。
7.如权利要求6所述的一种电力系统端到端身份认证系统,其特征在于,所述边缘设备位于分布式终端设备与电力监控系统之间的网络边缘,作为分布式终端设备与电力监控系统之间的代理节点;
或者,所述分布式终端设备为电力系统中的智能电力设备,用于采集和发送电力数据,以及接收和执行电力控制指令;
或者,所述电力监控系统为电力系统中的中心节点,用于监控和管理电力系统的运行状态,以及发送和接收电力数据和控制指令。
8.一种电力系统端到端数据传输方法,其特征在于,基于权利要求1-5任一项所述的一种电力系统端到端身份认证方法,包括:
分布式终端使用会话密钥对采集到的电力数据加密后发送至边缘设备;
边缘设备使用会话密钥对接收到的数据进行解密和验证,验证无误后使用对称密钥加密并发送至电力监控系统;
电力监控系统使用对称密钥对接收到的数据进行解密,得到原始电力数据。
9.如权利要求8所述的一种电力系统端到端数据传输方法,其特征在于,还包括:
电力监控系统使用对称密钥对电力控制指令进行加密,发送至边缘设备;
边缘设备使用对称密钥对接收到的指令进行解密,再使用会话密钥进行加密,发送至分布式终端设备;
分布式终端设备使用会话密钥对接收到的指令进行解密和验证,验证无误后执行电力控制指令。
10.一种电力系统端到端数据传输系统,其特征在于,基于权利要求6-7任一项所述的一种电力系统端到端身份认证系统,包括:
分布式终端设备,用于使用会话密钥对采集到的电力数据加密后发送至边缘设备;
边缘设备,用于使用会话密钥对接收到的数据进行解密和验证,验证无误后使用对称密钥加密并发送至电力监控系统;
电力监控系统,用于使用对称密钥对接收到的数据进行解密,得到原始电力数据。
CN202311590700.6A 2023-11-27 2023-11-27 一种电力系统端到端身份认证方法、数据传输方法及系统 Pending CN117579359A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311590700.6A CN117579359A (zh) 2023-11-27 2023-11-27 一种电力系统端到端身份认证方法、数据传输方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311590700.6A CN117579359A (zh) 2023-11-27 2023-11-27 一种电力系统端到端身份认证方法、数据传输方法及系统

Publications (1)

Publication Number Publication Date
CN117579359A true CN117579359A (zh) 2024-02-20

Family

ID=89860528

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311590700.6A Pending CN117579359A (zh) 2023-11-27 2023-11-27 一种电力系统端到端身份认证方法、数据传输方法及系统

Country Status (1)

Country Link
CN (1) CN117579359A (zh)

Similar Documents

Publication Publication Date Title
CN108650227B (zh) 基于数据报安全传输协议的握手方法及系统
US9094206B2 (en) Method and system for secure session establishment using identity-based encryption (VDTLS)
CN105959269B (zh) 一种基于身份的可认证动态群组密钥协商方法
CN112152817B (zh) 基于后量子密码算法进行认证的量子密钥分发方法及系统
US8478986B2 (en) Reducing latency of split-terminated secure communication protocol sessions
CN102577314B (zh) 用于安全地传输数据的方法和设备
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
Tiloca et al. Axiom: DTLS-based secure IoT group communication
CN108134672B (zh) 基于量子加密交换机装置的数据传输系统及其传输方法
CN101442403B (zh) 一种自适应的复合密钥交换和会话密钥管理方法
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
CN115514474A (zh) 一种基于云-边-端协同的工业设备可信接入方法
CN115085943B (zh) 用于电力物联网南北向安全加密的边缘计算方法及平台
KR101704540B1 (ko) M2m 환경의 다중 디바이스 데이터 공유를 위한 그룹키 관리 방법
CN107135228B (zh) 一种基于中心节点的认证系统与认证方法
KR20140091221A (ko) 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법
CN102739660B (zh) 一种单点登录系统的密钥交换方法
CN117579359A (zh) 一种电力系统端到端身份认证方法、数据传输方法及系统
CN112104635B (zh) 通信方法、系统和网络设备
CN213938340U (zh) 5g应用接入认证网络架构
CN114386020A (zh) 基于量子安全的快速二次身份认证方法及系统
CN115567195A (zh) 安全通信方法、客户端、服务器、终端和网络侧设备
CN207869118U (zh) 基于量子加密交换机装置的数据传输系统
Joaquim et al. Vulnerability-tolerant transport layer security
CN115776390B (zh) 一种基于国密的mqtt协议身份认证与数据加密方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination