一種基于可信計算和數(shù)字證書技術(shù)的預(yù)期值管理方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種管理方法�����,具體涉及一種基于可信計算和數(shù)字證書技術(shù)的預(yù)期值管理方法�。
【背景技術(shù)】
[0002]電力生產(chǎn)控制類系統(tǒng)采用PKI/CA方式構(gòu)建了安全認證體系來保證數(shù)據(jù)的可靠性和保密性。數(shù)字證書系統(tǒng)分為多個級別�,上一級證書系統(tǒng)為下一級證書系統(tǒng)頒發(fā)證書,證書頒發(fā)方式均為離線導(dǎo)入����。
[0003]數(shù)字證書的基本功能是對電力生產(chǎn)控制類系統(tǒng)中用戶、進程���、服務(wù)的身份進行鑒另|J�,通過數(shù)字證書和角色證書結(jié)合使用實現(xiàn)���。數(shù)字證書采用USB-KEY作為證書的載體����,目前已支持商密SM2算法。
[0004]數(shù)字證書是目前系統(tǒng)身份���、權(quán)限驗證的依據(jù)�����,可信安全策略的設(shè)計和實現(xiàn)需要使用電力生產(chǎn)控制類系統(tǒng)的證書體系作為驗證和身份的依據(jù)�。
[0005]在最高級證書系統(tǒng)中單獨開辟版本管理的證書分支����,證書簽發(fā)使用統(tǒng)一的命名方式和序列號定義,以便于與其它證書進行區(qū)分�����。各單位只能申請I張證書����,由最高級別證書系統(tǒng)審核后發(fā)放���,各單位的證書和密鑰的使用需要由專人管理���,密鑰和工具必須離線使用�,在未使用時應(yīng)做好嚴格的防護措施�����,避免未授權(quán)應(yīng)用�,嚴格保證密鑰、證書和簽名工具的安全可靠����。
[0006](I)定義證書格式
[0007]證書由證書種類、證書命名����、序列號、證書類別組成��,各部分具體定義如下:
[0008]I)證書種類分為開發(fā)廠商證書����、檢測機構(gòu)證書;
[0009]2)證書命名:KF_軟件種類-廠商名稱�;KF_檢測機構(gòu)。其中軟件種類為(操作系統(tǒng))��、(數(shù)據(jù)庫)�����、(基礎(chǔ)平臺)、(高級應(yīng)用)
[0010]3)序列號:自定義部分第一字節(jié)為01
[0011]4)證書類別:其它
[0012](2)定義證書管理規(guī)則
[0013]系統(tǒng)中證書的管理由證書簽發(fā)��、證書存儲���、證書更新��、證書注銷�����、軟件簽名工具組成���,各部分的具體定義如下:
[0014]I)證書簽發(fā):由最高級別證書系統(tǒng)簽發(fā)。開發(fā)廠商使用USBKey作證書載體時由權(quán)威認證方統(tǒng)一簽發(fā)�,使用加密卡作為證書載體時由申請單位提交證書請求,最高級別證書系統(tǒng)統(tǒng)一簽發(fā)��。
[0015]2)證書存儲:密鑰存儲在密碼硬件中USB-KEY中���,公鑰證書以PEM格式進行存儲和傳遞。
[0016]3)證書更新:證書過期時���,由各單位提更新請求����,由最高級別證書系統(tǒng)審核通過后進行證書更新。
[0017]4)證書注銷:在已發(fā)放證書的廠家不再進行業(yè)務(wù)程序開發(fā)或證書私鑰泄露��、丟失����、密碼硬件損壞等情況下,程序開發(fā)廠商必須及時上報權(quán)威認證方��,由最高級別證書系統(tǒng)對已簽發(fā)證書進行注銷���。
[0018]5)軟件簽名工具:各廠商可使用統(tǒng)一工具或根據(jù)本方案自行開發(fā)工具進行軟件版本簽名�。
[0019]通過電力生產(chǎn)控制類系統(tǒng)采用PKI/CA方式構(gòu)建了安全認證體系來保證數(shù)據(jù)的可靠性和保密性����。是確保終端安裝軟件包的來源一致性和安全性重點實現(xiàn)目標。但目前由于缺少這方面的技術(shù)研發(fā)和實用化研宄�����,導(dǎo)致了電力生產(chǎn)控制類系統(tǒng)終端安裝軟件包過程不規(guī)范操作過程復(fù)雜。
【發(fā)明內(nèi)容】
[0020]針對解決上述問題�,本發(fā)明提供一種基于可信計算和數(shù)字證書技術(shù)的預(yù)期值管理方法,保障電力生產(chǎn)控制類系統(tǒng)終端安裝軟件包過程的規(guī)范化�����、簡單化�,使管理中心能夠及時了解終端安裝軟件包的情況,進而確保終端安裝軟件包來源的一致性和安全性�����。
[0021]本發(fā)明的目的是采用下述技術(shù)方案實現(xiàn)的:
[0022]一種基于可信計算和數(shù)字證書技術(shù)的預(yù)期值管理方法�,所述方法包括下述步驟:
[0023](I)生成CA證書;
[0024](2)根據(jù)CA證書獲取簽名軟件�;
[0025](3)檢測該簽名軟件;
[0026](4)利用管理中心將驗證通過的簽名軟件進行預(yù)期值處理��。
[0027]其中�����,所述步驟⑴包括�����,管理中心獲取用戶的公鑰并以該公鑰為參數(shù)����,向離線CA中心申請證書請求,申請成功后���,保存CA證書��。
[0028]優(yōu)選的�,所述步驟(2)包括���,使用用戶的私鑰對軟件的完全摘要值進行簽名���,簽名追加到軟件尾部。
[0029]優(yōu)選的��,所述步驟(3)中����,檢測簽名軟件包括,獲取簽名軟件后��,使用用戶公鑰證書檢測軟件內(nèi)容�;簽名成功,對此軟件進行病毒檢測、功能測試和可行性分析����;并使用檢測私鑰證書對軟件完全摘要值進行簽名,發(fā)送至采集終端���;簽名失敗則將簽名軟件信息直接發(fā)送至采集終端�����。
[0030]優(yōu)選的�,所述步驟(4)中預(yù)期值處理的過程包括:
[0031 ] 4-1采集終端獲取所述簽名軟件信息����,打包后發(fā)送至管理中心,管理中心將簽名后的軟件保存至可信數(shù)據(jù)庫��;
[0032]4-2管理中心接收并解析軟件包��,生成軟件包模板���;
[0033]4-3安裝軟件�。
[0034]進一步地��,所述步驟4-1中打包的軟件信息包括預(yù)期值和安裝腳本。
[0035]進一步地�,所述步驟4-2中����,所述軟件包模版包括程序名和版本號;當(dāng)終端連接管理中心時��,管理中心根據(jù)當(dāng)前軟件包模版與終端模板比較�,將產(chǎn)生差異的軟件包模板回發(fā)至所述終端。
[0036]進一步地���,所述步驟4-3中�,所述終端自動安裝軟件包模板對應(yīng)的軟件包�;如果安裝成功,管理中心保存軟件包模板�����,否則提示安裝錯誤����。
[0037]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
[0038]1����、本發(fā)明提供的基于分布式智能計算的主動配電網(wǎng)自治化仿真分析方法����,能夠支持分布式地模擬主動配電網(wǎng)中不同類型的仿真對象��,仿真任務(wù)分布到具有智能性的多個仿真對象自治化地執(zhí)行��,并能夠通過中央?yún)f(xié)調(diào)器AJC任務(wù)協(xié)調(diào)管理實現(xiàn)多種分布式電源的聯(lián)合優(yōu)化策略�����。
[0039]2���、本發(fā)明提供的基于分布式智能計算的主動配電網(wǎng)自治化仿真分析方法���,可以將含大量分布式電源的主動配電網(wǎng)仿真任務(wù),分解成多區(qū)域多層次的分區(qū)分層���、且具有自主性的計算模塊��,進行分布式計算��,實現(xiàn)主動配電網(wǎng)的仿真��。
【附圖說明】
[0040]圖1是本發(fā)明提供的基于可信計算和數(shù)字證書技術(shù)的預(yù)期值管理方法流程圖
[