本發(fā)明涉及加密通訊，具體涉及一種虛擬電廠聚合代理終端加密控制方法。

背景技術(shù)：

1、國(guó)家電網(wǎng)公司在2018年提出"泛在電力物聯(lián)網(wǎng)"的概念，泛在電力物聯(lián)網(wǎng)就是在電網(wǎng)系統(tǒng)不同的業(yè)務(wù)場(chǎng)景中，充分發(fā)揮先進(jìn)通信技術(shù)的優(yōu)勢(shì)，通過(guò)與智能通信技術(shù)的融合，電力系統(tǒng)中各個(gè)業(yè)務(wù)場(chǎng)景下增加智能化配置，使電力物聯(lián)網(wǎng)具備狀態(tài)多方位感知、信息快速處理和應(yīng)用方便靈活的特點(diǎn)，進(jìn)一步實(shí)現(xiàn)輸電、配電及用電的智能化發(fā)展。電力物聯(lián)網(wǎng)將具備一定感知、計(jì)算以及通信等功能的傳感終端設(shè)備配置于電力各環(huán)節(jié)中，通過(guò)借助先進(jìn)智能通信技術(shù)，完成數(shù)據(jù)的大規(guī)模采集、信息的安全可靠傳輸、一體化協(xié)同處理以及應(yīng)用集成等功能，以逐步實(shí)現(xiàn)電網(wǎng)穩(wěn)定運(yùn)行和各環(huán)節(jié)管理全過(guò)程中業(yè)務(wù)的全面感知、智能化管理和信息的高度融合。

2、無(wú)線專網(wǎng)可依據(jù)不同電力業(yè)務(wù)差異化安全需求，對(duì)電力基站、核心網(wǎng)、回傳網(wǎng)以及業(yè)務(wù)終端等進(jìn)行多層面的安全防護(hù)，達(dá)到高效提升無(wú)線通信安全穩(wěn)定性的目標(biāo)。相比于無(wú)線公網(wǎng)通信，避免了互聯(lián)網(wǎng)接入和第三方加入帶來(lái)的安全隱患。

技術(shù)實(shí)現(xiàn)思路

1、(一)解決的技術(shù)問(wèn)題

2、本發(fā)明提供了一種虛擬電廠聚合代理終端加密控制方法。

3、(二)技術(shù)方案

4、為實(shí)現(xiàn)以上目的，本發(fā)明通過(guò)以下技術(shù)方案予以實(shí)現(xiàn)：

5、一種虛擬電廠聚合代理終端加密控制方法，包括以下步驟：

6、s1、主站向網(wǎng)關(guān)發(fā)起連接請(qǐng)求，要求與裝置進(jìn)行連接；

7、s2、認(rèn)證網(wǎng)關(guān)發(fā)起與裝置之間的tcp連接，并進(jìn)行網(wǎng)關(guān)與裝置之間的雙向身份認(rèn)證；

8、s3、認(rèn)證成功后，網(wǎng)關(guān)將連接成功的結(jié)果返回給主站；

9、s4、主站開(kāi)始發(fā)起與裝置的連接，并進(jìn)行主站與裝置的雙向身份認(rèn)證；

10、s5、認(rèn)證成功后，主站讀取裝置的芯片序列號(hào)和密鑰版本等信息；

11、s6、主站與裝置之間開(kāi)始進(jìn)行業(yè)務(wù)交互。

12、進(jìn)一步地，所述步驟s2裝置與認(rèn)證網(wǎng)關(guān)之間的雙向身份認(rèn)證采用國(guó)密標(biāo)準(zhǔn)要求的sm2數(shù)字證書(shū)實(shí)現(xiàn)認(rèn)證網(wǎng)關(guān)和裝置之間的雙向身份認(rèn)證。

13、進(jìn)一步地，所述認(rèn)證網(wǎng)關(guān)與裝置之間的雙向身份認(rèn)證流程如下，

14、(1)建立網(wǎng)關(guān)與裝置之間的網(wǎng)絡(luò)連接；

15、(2)認(rèn)證網(wǎng)關(guān)產(chǎn)生隨機(jī)數(shù)r1，發(fā)送給裝置；

16、(3)裝置取隨機(jī)數(shù)r2，將r1+r2簽名后發(fā)送給主站，同時(shí)裝置保存r1；

17、(4)認(rèn)證網(wǎng)關(guān)用裝置證書(shū)驗(yàn)證簽名有效性，驗(yàn)證通過(guò)完成主站對(duì)裝置的身份，之后網(wǎng)關(guān)對(duì)裝置隨機(jī)數(shù)r2簽名，將簽名結(jié)果發(fā)送裝置；

18、(5)裝置驗(yàn)證網(wǎng)關(guān)簽名的正確性，驗(yàn)證通過(guò)完成裝置對(duì)網(wǎng)關(guān)的身份認(rèn)證并返回認(rèn)證確認(rèn)信息。

19、進(jìn)一步地，所述步驟s4主站與裝置的雙向身份認(rèn)證包括基于數(shù)字證書(shū)的雙向身份認(rèn)證、遙信遙測(cè)報(bào)文安全交互、遙控報(bào)文安全交互、遠(yuǎn)程參數(shù)更新報(bào)文安全交互。

20、進(jìn)一步地，所述基于數(shù)字證書(shū)的雙向身份認(rèn)證在裝置和主站之間建立鏈路后，應(yīng)用數(shù)據(jù)報(bào)文傳輸之前，需要進(jìn)行雙向身份認(rèn)證；身份認(rèn)證由主站發(fā)起，裝置被動(dòng)響應(yīng)，一方對(duì)另一方認(rèn)證失敗，返回認(rèn)證失敗信息，不響應(yīng)對(duì)方數(shù)據(jù)；所述認(rèn)證過(guò)程如下：

21、(1)主站從加密認(rèn)證裝置(密碼機(jī))取主站隨機(jī)數(shù)r1，發(fā)送給裝置；

22、(2)裝置取隨機(jī)數(shù)r2，將r1+r2簽名后發(fā)送給主站，同時(shí)裝置保存r1；

23、(3)主站驗(yàn)證裝置簽名有效性，驗(yàn)證通過(guò)完成主站對(duì)裝置的身份，之后主站對(duì)裝置隨機(jī)數(shù)r2簽名，將結(jié)果發(fā)送裝置；

24、(4)裝置驗(yàn)證主站簽名的正確性，驗(yàn)證通過(guò)完成裝置對(duì)主站的身份認(rèn)證并返回認(rèn)證確認(rèn)信息；

25、(5)認(rèn)證成功后，主站發(fā)送讀取裝置芯片序列號(hào)的報(bào)文；

26、(6)裝置返回芯片的序列號(hào)；

27、(7)主站發(fā)送讀取裝置密鑰版本的報(bào)文；

28、(8)裝置返回當(dāng)前芯片中密鑰的版本號(hào)。

29、進(jìn)一步地，所述裝置與主站之間的遙信遙測(cè)報(bào)文交互流程如下，

30、(1)裝置將要上傳報(bào)文進(jìn)行加密并計(jì)算消息認(rèn)證碼mac，將密文數(shù)據(jù)+mac作為上行報(bào)文的數(shù)據(jù)域，發(fā)送給主站；

31、(2)主站接收?qǐng)?bào)文后，先驗(yàn)證數(shù)據(jù)的完整性(驗(yàn)證mac的正確性)，并解密獲得明文數(shù)據(jù)。

32、進(jìn)一步地，在雙向身份認(rèn)證通過(guò)之后，主站在一個(gè)鏈路連接內(nèi)，隨時(shí)都可對(duì)裝置進(jìn)行遙控操作，遙控報(bào)文的安全交互流程說(shuō)明如下：

33、(1)主站對(duì)要下發(fā)的遙控選擇命令報(bào)文進(jìn)行簽名，將簽名數(shù)據(jù)和原始報(bào)文數(shù)據(jù)等內(nèi)容進(jìn)行加密后發(fā)送給裝置；

34、(2)裝置接收到數(shù)據(jù)之后，首先進(jìn)行解密，獲得原文和簽名數(shù)據(jù)，并判斷指令時(shí)效，驗(yàn)證主站簽名的正確性，不正確返回主站錯(cuò)誤信息；正確執(zhí)行相關(guān)操作，并取裝置隨機(jī)數(shù)和確認(rèn)報(bào)文加密后發(fā)送給主站；

35、(3)主站對(duì)裝置數(shù)據(jù)進(jìn)行解密并驗(yàn)證mac，驗(yàn)證正確，對(duì)要下發(fā)的數(shù)據(jù)進(jìn)行簽名，獲得簽名結(jié)果，將簽名結(jié)果和原文、時(shí)間等信息進(jìn)行加密后發(fā)送給裝置；

36、(4)裝置對(duì)主站加密數(shù)據(jù)進(jìn)行解密，判斷指令時(shí)效，驗(yàn)證主站簽名的正確性，正確執(zhí)行相關(guān)操作，不正確返回主站錯(cuò)誤信息。

37、進(jìn)一步地，在雙向身份認(rèn)證通過(guò)之后，主站在一個(gè)鏈路連接內(nèi)，可以對(duì)裝置進(jìn)行遠(yuǎn)程參數(shù)更新操作，遠(yuǎn)程參數(shù)更新的安全交互流程如下：

38、(1)主站向裝置加密發(fā)送定值區(qū)號(hào)讀取命令；

39、(2)裝置接收數(shù)據(jù)后，解密執(zhí)行定值區(qū)號(hào)讀取操作，加密返回定值區(qū)號(hào)讀取確認(rèn)命令；

40、(3)主站向裝置加密發(fā)送參數(shù)讀取命令；

41、(4)裝置接收數(shù)據(jù)后，解密名執(zhí)行參數(shù)讀取操作，加密返回參數(shù)讀取確認(rèn)命令；

42、(5)主站對(duì)要下發(fā)的切換定值區(qū)命令進(jìn)行簽名，獲得簽名結(jié)果，將切換定值區(qū)命令報(bào)文和簽名結(jié)果加密后發(fā)送給裝置；

43、(6)裝置接收數(shù)據(jù)后，解密并驗(yàn)證數(shù)據(jù)的簽名有效性，執(zhí)行切換定值區(qū)操作，并加密返回切換定值區(qū)確認(rèn)命令；

44、(7)主站對(duì)要下發(fā)的參數(shù)預(yù)置命令報(bào)文進(jìn)行簽名，獲得簽名結(jié)果數(shù)據(jù)，將報(bào)文和簽名結(jié)果數(shù)據(jù)進(jìn)行加密后發(fā)送給裝置；

45、(8)裝置接收到數(shù)據(jù)之后，首先進(jìn)行解密，獲得原文和簽名結(jié)果，驗(yàn)證主站簽名結(jié)果的正確性，不正確返回主站錯(cuò)誤信息；正確執(zhí)行相關(guān)操作，并取裝置隨機(jī)數(shù)，對(duì)裝置隨機(jī)數(shù)和參數(shù)預(yù)置命令確認(rèn)加密并計(jì)算mac后，上傳給主站；

46、(9)主站對(duì)裝置上行數(shù)據(jù)解密并驗(yàn)證mac，驗(yàn)證正確，主站對(duì)要下發(fā)的數(shù)據(jù)進(jìn)行簽名，獲得簽名結(jié)果，將原始數(shù)據(jù)和簽名結(jié)果進(jìn)行加密后發(fā)送給裝置；

47、(10)裝置對(duì)主站數(shù)據(jù)進(jìn)行解密后，驗(yàn)證主站簽名的正確性，正確執(zhí)行遠(yuǎn)程參數(shù)更新操作，并將結(jié)果記錄到裝置日志中；

48、(11)裝置對(duì)上行數(shù)據(jù)(參數(shù)固化/取消命令確認(rèn))進(jìn)行加密并計(jì)算mac，最后將密文和mac數(shù)據(jù)上傳主站；

49、(12)主站對(duì)裝置上行數(shù)據(jù)(參數(shù)固化/取消命令確認(rèn))解密并驗(yàn)證mac，進(jìn)行確認(rèn)；

50、(13)主站讀取遠(yuǎn)程更新參數(shù)，確認(rèn)參數(shù)修改結(jié)果。

51、(三)有益效果

52、本發(fā)明的有益效果：一種虛擬電廠聚合代理終端加密控制方法，確保裝置和主站之間的通信鏈路安全，保障裝置和主站之間傳輸數(shù)據(jù)的保密性和完整性，同時(shí)實(shí)現(xiàn)主站和裝置之間的雙向身份鑒別；本發(fā)明可以重點(diǎn)防范偽造裝置身份、重放攻擊等攻擊形式對(duì)主站系統(tǒng)的惡意破壞和攻擊以及其它非法操作，以防止由此導(dǎo)致的電網(wǎng)系統(tǒng)事故。