一种基于国密算法的配电物联网业务安全交互方法及系统技术方案

本发明专利技术提供了一种基于国密算法的配电物联网业务安全交互方法，包括：基于边缘物联代理实现配电物联网的服务端和客户端进行业务交互时：根据业务类型，从预先制定的梯级加密算法中选择与所述业务类型匹配的加密算法；对所述业务在边缘物联代理、配电物联网的服务端和客户端之间分别进行加密交互；其中，所述梯级加密算法基于国密算法制定；可满足配电物联网场景下的云平台、边缘物联代理、物联网终端在业务交互过程中的差异化防护需求，形成的梯级安全交互流程可为配电物联网业务提供适度、高效的全环节安全服务保障。高效的全环节安全服务保障。高效的全环节安全服务保障。

【技术实现步骤摘要】
一种基于国密算法的配电物联网业务安全交互方法及系统


[0001]本专利技术属于工业控制系统与物联网技术结合的配电物联网
，具体涉及一种基于国密算法的配电物联网业务安全交互方法及系统。

技术介绍

[0002]配电物联网是配电自动化系统与物联网技术深度融合的产物，突出特点是通过对配电网中低压设备的全域识别及设备间广泛互联，实现配电网的全面感知、数据融合和智能应用。作为全业务泛在电力物联网的重要组成部分，配电物联网的安全建设必须符合国家、行业层面的要求：
[0003]从技术管理、安全管理、保密管理、监督管理等方面，加强电力监控系统的信息安全管理，防范黑客及恶意代码对电力监控系统的攻击及侵害从保障网络产品和服务安全，保障网络运行安全，保障网络数据安全，保障网络信息安全等方面进行了具体的制度设计，为全业务泛在电力物联网安全防护提供了法律依据；已将云计算安全、物联网安全防护纳入第三级系统的扩展要求。行业层面构建了较完整的电力行业网络与信息安全法规体系。
[0004]其次，配网物联网同时面向电力建设生产系统以及客户供电业务，面对日趋复杂的网络安全形势，任何风险都可能导致重大网络安全事件，造成电力系统瘫痪、用户信息泄露的双重影响。在配电物联网架构体系下，如何预防网络安全事件已突破传统安全能力范畴，对设备合法性管控、业务数据安全交互提出更高要求。
[0005]目前，配电自动化系统已有较为成熟的安全防护方案，以“安全分区、网络专用、横向隔离、纵向认证”为原则，形成了配电主站、配电终端之间的身份认证机制及业务交互数据的安全防护方法，而配电物联网业务安全防护技术不完善，亟需在满足国家、行业、公司各层面要求的基础上，结合其自身业务特点，制定相应的安全防护策略，保护配电物联网业务交互过程中通信主体身份合法、业务数据安全保密。

技术实现思路

[0006]针对现有的配电物联网业务安全防护技术不完善，亟需在满足国家、行业、公司各层面要求的基础上，结合其自身业务特点，制定相应的安全防护策略，保护配电物联网业务交互过程中通信主体身份合法、业务数据安全保密的问题，本专利技术提供了一种基于国密算法的配电物联网业务安全交互方法，具体包括：
[0007]基于边缘物联代理实现配电物联网的服务端和客户端进行业务交互时：
[0008]根据业务类型，从预先制定的梯级加密算法中选择与所述业务类型匹配的加密算法；
[0009]对所述业务在边缘物联代理、配电物联网的服务端和客户端之间分别进行加密交互；
[0010]其中，所述梯级加密算法基于国密算法制定。
[0011]优选的，所述业务类型包括：
[0012]安全等级依次递增的保活类报文、状态监测类报文和控制指令类报文。
[0013]优选的，所述根据业务类型，从预先制定的梯级加密算法中选择与所述业务类型匹配的加密算法，包括：
[0014]当业务的类型为保活类报文时，不加密进行明文传送；
[0015]当业务的类型为状态监测类报文时，采用国密算法中的分组密码算法SM1对所述状态监测类报文进行加密并追加时间戳和签名值；
[0016]当业务的类型为控制指令类报文时，采用国密算法中的分组密码算法SM1进行加密和消息认证码校验，并采用国密算法中的商用杂凑算法SM3进行摘要计算，追加签名和时间戳。
[0017]优选的，所述对所述业务在边缘物联代理、配电物联网的服务端和客户端之间分别进行加密交互，包括：
[0018]1)“云-边”安全交互方法；
[0019]2)“边-端”安全交互方法；
[0020]3)“云-端”安全交互方法；
[0021]4)“边-边”安全交互方法。
[0022]优选的，所述“云-边”安全交互方法，包括：
[0023]当服务端为物联管理平台，客户端为边缘物联代理进行业务交互时，基于netconf协议，所述边缘物联代理向所述物联管理平台发送标识认证请求并提交设备ID标识信息；
[0024]之后通过物联管理平台的安全接入服务的双层并行冗余运算机制对所述设备ID标识信息和国密算法中的商用非对称密码算法SM2进行加密验证，基于IP包过滤技术对所述设备ID标识信息来进行会话密钥筛查得到标识验证结果；
[0025]所述标识验证结果为标识信息正确时，基于所述边缘物联代理的数字证书，对所述边缘物联代理的数字签名值进行合法性验证，基于所述物联管理平台的数字证书对所述安全接入服务的数字签名值进行合法性验证；
[0026]验证通过后将结果返回所述安全接入服务双方身份验证结束，开始进行业务交互。
[0027]优选的，所述“边-端”安全交互方法，包括：
[0028]当服务端为物联网终端接入客户端边缘物联代理进行业务交互时，基于安全芯片和COAP协议，所述物联网终端启动标识认证流程验证标识的正确性，并返回认证结果；
[0029]所述认证结果正确时，启动证书认证与密钥协商流程，通过所述边缘物联代理利用所述物联网终端的数字证书对业务的签名值验证正确后，利用所述验证过程中产生的随机数生成会话密钥；
[0030]所述物联网终端利用所述边缘物联代理的数字证书对业务的签名值验证正确后来确认所述会话密钥，确认正确后进行业务交互。
[0031]优选的，所述当服务端为物联网终端接入客户端边缘物联代理进行业务交互，之前包括：
[0032]当服务端为物联网终端接入客户端边缘物联代理，通过内嵌专用安全芯片将所述物联网终端的设备唯一标识和数字证书发送至边缘物联代理进行唯一性绑定完成注册。
[0033]优选的，所述“云-端”安全交互方法，包括：
[0034]当服务端为物联管理平台，客户端为物联网终端进行业务交互时，利用商用非对称密码算法SM2及数字证书生成临时会话密钥，进行数字签名和验签的双向身份认证，并通过分组密码算法SM1进行主密钥加子密钥的层次加密进行身份约束，验证结束后进行业务交互。
[0035]优选的，所述“边-边”安全交互方法，包括：
[0036]当服务端和客户端都为边缘物联代理时，通过利用商用非对称密码算法SM2及数字证书结合生成临时会话密钥进行双向身份认证，身份认证通过后进行业务交互。
[0037]优选的，所述边缘物联代理，包括：汇聚类设备和传感类设备。
[0038]基于同一构思，本专利技术提供了一种基于国密算法的配电物联网业务安全交互系统，其特征在于，包括：算法选择模块和加密交互模块；
[0039]所述算法选择模块，用于基于边缘物联代理实现配电物联网的服务端和客户端进行业务交互时，根据业务类型，从预先制定的梯级加密算法中选择与所述业务类型匹配的加密算法；
[0040]所述加密交互模块，用于对所述业务在边缘物联代理、配电物联网的服务端和客户端之间分别进行加密交互；
[0041]其中，所述梯级加密算法基于国密算法制定。
[0042]与现有技术相比，本专利技术的有益效果为：
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国密算法的配电物联网业务安全交互方法，其特征在于，包括：基于边缘物联代理实现配电物联网的服务端和客户端进行业务交互时：根据业务类型，从预先制定的梯级加密算法中选择与所述业务类型匹配的加密算法；对所述业务在边缘物联代理、配电物联网的服务端和客户端之间分别进行加密交互；其中，所述梯级加密算法基于国密算法制定。2.如权利要求1所述的方法，其特征在于，所述业务类型包括：安全等级依次递增的保活类报文、状态监测类报文和控制指令类报文。3.如权利要求2所述的方法，其特征在于，所述根据业务类型，从预先制定的梯级加密算法中选择与所述业务类型匹配的加密算法，包括：当业务的类型为保活类报文时，不加密进行明文传送；当业务的类型为状态监测类报文时，采用国密算法中的分组密码算法SM1对所述状态监测类报文进行加密并追加时间戳和签名值；当业务的类型为控制指令类报文时，采用国密算法中的分组密码算法SM1进行加密和消息认证码校验，并采用国密算法中的商用杂凑算法SM3进行摘要计算，追加签名和时间戳。4.如权利要求3所述的方法，其特征在于，所述对所述业务在边缘物联代理、配电物联网的服务端和客户端之间分别进行加密交互，包括：1)“云-边”安全交互方法；2)“边-端”安全交互方法；3)“云-端”安全交互方法；4)“边-边”安全交互方法。5.如权利要求4所述的方法，其特征在于，所述“云-边”安全交互方法，包括：当服务端为物联管理平台，客户端为边缘物联代理进行业务交互时，基于netconf协议，所述边缘物联代理向所述物联管理平台发送标识认证请求并提交设备ID标识信息；之后通过物联管理平台的安全接入服务的双层并行冗余运算机制对所述设备ID标识信息和国密算法中的商用非对称密码算法SM2进行加密验证，基于IP包过滤技术对所述设备ID标识信息来进行会话密钥筛查得到标识验证结果；所述标识验证结果为标识信息正确时，基于所述边缘物联代理的数字证书，对所述边缘物联代理的数字签名值进行合法性验证，基于所述物联管理平台的数字证书对所述安全接入服务的数字签名值进行合法性验证；验证通过后将结果返回所述安全接入服务双方身份验证结束，开始进...

【专利技术属性】
技术研发人员：李二霞，亢超群，李玉凌，何连杰，樊勇华，孙智涛，常方圆，许保平，杨红磊，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：