【技术实现步骤摘要】
本专利技术属于智能集抄终端领域,尤其涉及一种自主实现证书管理及安全通讯的智能集抄终端及方法。
技术介绍
1、智能采集终端可以实现远程监控和数据采集,提高工作效率,为了保证智能采集过程中的信息安全,需要通过技术手段对终端设备之间传输的数据进行安全保护,防止未经授权的访问或数据篡改、泄露。这涉及到加密算法、访问控制、身份认证等多种技术手段。
2、为了确保用户信息和机密数据在采集过程中得到有效保护,一般会依托于pki体系,在初始安装时由主站向各终端,包括智能采集终端和智能电表终端设置分发安全证书及初始密钥,进而实现后续通讯过程中的的身份认证、身份认证及加密通讯。
3、然而,由于整个系统的所有的证书及密钥的分发管理全部都需要由主站完成,主站的负载很大。
技术实现思路
1、本专利技术的目的是针对证书及密钥管理主站负载过大的问题,提出一种自主实现证书管理及安全通讯的智能集抄终端及方法,使智能集抄终端能够在整个生命周期内,不依赖主站自主对其管控的下挂智能电表进行证书管理及安全通讯。
2、本专利技术的技术方案是:
3、本专利技术提供一种自主实现证书管理及安全通讯的方法,包括:
4、步骤1:智能集抄终端在一次性可编程区写入root ca证书;
5、步骤2:智能集抄终端向root ca申请将本终端作为sub ca;
6、步骤3:智能集抄终端自生成出一张签名证书;
7、步骤4:智能集抄终端自主对首次注册的智能
8、步骤5:智能集抄终端与智能电表进行双向认证,并协商会话密钥进行加密通讯;
9、步骤6:智能集抄终端自主定时检查自身及下属管控智能电表证书的有效性,并及时更新。
10、进一步地,所述的步骤1中,智能集抄终端在一次性可编程区写入root ca证书包括:
11、将整个系统的ca证书作为root ca证书,写入智能集抄终端的一次性可编程区,写入后只能读取不能擦除或再次写入;
12、智能集抄终端所管控的智能电表出厂也装有相同的root ca。
13、进一步地,所述的步骤2中,智能集抄终端向root ca申请将本终端作为sub ca包括:
14、步骤201:智能集抄终端生成一对ecc密钥对作为sub ca的公私钥对,私钥dsubca和公钥qsubca;
15、步骤202:智能集抄终端使用该密钥对生成证书请求,向root ca申请将本终端作为sub ca;sub ca证书无限期使用,持有者名为智能集抄终端的系统内序列号;
16、步骤203:智能集抄终端从root ca处获得sub ca证书,使用root ca证书中的公钥验证sub ca证书的签名有效性后,将sub ca证书导入智能集抄终端内。
17、进一步地,所述的步骤3中,智能集抄终端自生成出一张签名证书包括:
18、步骤301:智能集抄终端生成一对ecc密钥对作为自身签名公私钥对,私钥dus和公钥qus;
19、步骤302:智能集抄终端使用sub ca的私钥dsubca对自身签名公钥qus及公钥使用范围、使用时间进行签名,生成智能集抄终端自身的签名证书cerus,证书持有者名和发行者皆为智能集抄终端的系统内序列号。
20、进一步地,所述的步骤4中,智能集抄终端自主对首次注册的智能电表进行证书初始化包括:
21、步骤401:智能集抄终端接收智能电表的注册请求,将步骤203中获取到的sub ca证书发送给智能电表;智能电表使用厂内装载的root ca对收到的sub ca证书进行验证,验证成功则保存sub ca并转步骤402,否则注册失败;
22、步骤402:智能电表生成一对ecc密钥对并向智能集抄终端发起证书请求,私钥dvs和公钥qvs,向智能集抄终端发起证书请求csrvs,csrvs中公钥为qvs,持有者名为智能电表系统内序列号;
23、步骤403:智能集抄终端收到证书请求csrvs后,解析证书请求csrvs的有效性后,根据请求生成对应证书cervs,证书使用sub ca私钥进行签名,签发者名为智能集抄终端的系统内序列号;
24、步骤404:智能集抄终端将步骤403中生成的证书cervs发送给智能电表,智能电表使用sub ca中的公钥对证书cervs进行验证,验证成功则保存cervs并转步骤405,否则注册失败;
25、步骤405:智能集抄终端将步骤302中生成的证书cerus发送给智能电表;智能电表使用步骤401中保存的sub ca中的公钥对cerus进行验证,验证成功则注册完成;
26、步骤406:智能集抄终端收到注册成功的消息后,将步骤403中生成的证书cervs与智能电表的其他注册信息绑定并保存,注册过程结束;
27、步骤407:注册完成后,智能集抄终端和智能电表之间使用加密通讯。
28、进一步地,所述的步骤5中,智能集抄终端与智能电表进行双向认证,并协商会话密钥进行加密通讯包括:
29、步骤501:智能集抄终端生成一对临时密钥对作为密钥协商密钥对,私钥duka和公钥quka,使用步骤301中生成的私钥dus对临时协商密钥对中的公钥quka及建立连接的其它信息做签名得到签名siguka,将公钥quka连同建立连接的其它信息和签名siguka一起发送给智能电表;
30、步骤502:智能电表收到建立连接请求后,使用证书cerus中的公钥qus对签名siguka进行签名验证,并对公钥quka进行有公钥效性验证,验证成功转步骤503,否则建立连接失败;
31、步骤503:智能电表生成一对临时密钥对作为密钥协商密钥对,私钥dvka和公钥qvka,将私钥dvka和步骤502中收到的公钥quka用密钥协商方法ecdh计算出协商密钥z,并根据建立连接中的密钥扩展信息进行密钥扩展得到会话密钥,销毁协商密钥z及私钥dvka,公钥qvka;
32、步骤504:使用步骤402中生成的私钥dvs对临时协商密钥对中的公钥qvka及建立连接响应的其它信息做签名得到签名sigvka,将公钥qvka连同建立连接响应的其它信息和签名sigvka一起发送给智能集抄终端;
33、步骤505:智能集抄终端收到建立连接响应后,使用证书cervs中的qvs对签名sigvka进行签名验证,并对公钥qvka进行有公钥效性验证,验证成功转步骤506,否则建立连接失败;
34、步骤506:智能集抄终端使用步骤505中收到的公钥qvka及步骤501中生成的私钥duka,使用密钥协商方法ecdh计算出协商密钥z,根据建立连接中的密钥扩展信息进行密钥扩展得到会话密钥,销毁协商密钥z及私钥duka,公钥quka;
35、步骤507:智能集抄终端和智能电表使用会话密钥进行安全通讯。
36、进一步地本文档来自技高网...
【技术保护点】
1.一种自主实现证书管理及安全通讯的方法,其特征在于,包括:
2.根据权利要求1所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤1中,智能集抄终端在一次性可编程区写入Root CA证书包括:
3.根据权利要求1所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤2中,智能集抄终端向Root CA申请将本终端作为Sub CA包括:
4.根据权利要求3所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤3中,智能集抄终端自生成出一张签名证书包括:
5.根据权利要求4所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤4中,智能集抄终端自主对首次注册的智能电表进行证书初始化包括:
6.根据权利要求5所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤5中,智能集抄终端与智能电表进行双向认证,并协商会话密钥进行加密通讯包括:
7.根据权利要求6所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤6中,智能集抄终端自主定时检查自身及下属管控智能电表证书的有效性,并及时
8.一种自主实现证书管理及安全通讯的智能集抄终端,其特征在于,该智能集抄终端包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被电子设备运行时,使得所述电子设备执行权利要求1-7任一所述的自主实现证书管理及安全通讯的方法。
...【技术特征摘要】
1.一种自主实现证书管理及安全通讯的方法,其特征在于,包括:
2.根据权利要求1所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤1中,智能集抄终端在一次性可编程区写入root ca证书包括:
3.根据权利要求1所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤2中,智能集抄终端向root ca申请将本终端作为sub ca包括:
4.根据权利要求3所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤3中,智能集抄终端自生成出一张签名证书包括:
5.根据权利要求4所述的自主实现证书管理及安全通讯的方法,其特征在于所述的步骤4中,智能集抄终端自主对首次注册的智能电表进行证书初始化包括:
...
【专利技术属性】
技术研发人员:黄柳胜,季海涛,马晨阳,季海娟,
申请(专利权)人:江苏林洋能源股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。