CN110049045B - 一种电力载波的安全认证*** - Google Patents

一种电力载波的安全认证*** Download PDF

Info

Publication number
CN110049045B
CN110049045B CN201910318980.2A CN201910318980A CN110049045B CN 110049045 B CN110049045 B CN 110049045B CN 201910318980 A CN201910318980 A CN 201910318980A CN 110049045 B CN110049045 B CN 110049045B
Authority
CN
China
Prior art keywords
authentication
concentrator
authentication module
data
ammeter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910318980.2A
Other languages
English (en)
Other versions
CN110049045A (zh
Inventor
吴金宇
陈柔伊
孙宏棣
邓洲
赖宇阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Digital Platform Technology Guangdong Co ltd
China Southern Power Grid Co Ltd
Southern Power Grid Digital Grid Research Institute Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd, Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN201910318980.2A priority Critical patent/CN110049045B/zh
Publication of CN110049045A publication Critical patent/CN110049045A/zh
Application granted granted Critical
Publication of CN110049045B publication Critical patent/CN110049045B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B3/00Line transmission systems
    • H04B3/54Systems for transmission via power distribution lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请涉及一种电力载波的安全认证***。***包括主站、集中器认证模块和电表认证模块;所述主站,用于发送集中器认证消息至所述集中器认证模块;所述集中器认证模块,用于当接收到所述主站的集中器认证消息时,执行集中器认证操作;当集中器认证操作执行成功,则发送电表认证消息至所述电表认证模块;所述电表认证模块,用于当接收到所述集中器认证模块的电表认证消息时,执行电表认证操作;所述电表认证模块,还用于当电表认证操作执行成功时,与所述集中器认证模块进行密钥协商,确定会话协商密钥;所述会话密钥用于加密所述电表与所述集中器之间传输的敏感数据。采用本方法能够提高电力载波通讯的安全程度。

Description

一种电力载波的安全认证***
技术领域
本申请涉及电力通信技术领域,特别是涉及一种电力载波的安全认证***。
背景技术
电力载波通讯简称PLC(Power line Communication)。电力载波是一种电力***特有的通信方式,电力载波通讯是指利用现有电力线,通过载波方式将模拟或数字信号进行高速传输的技术。最大特点是不需要重新架设网络,只要有电线,就能进行数据传递。
然而,现有的电力载波通讯过程中,往往缺少对所传输的数据进行安全防护,这也使电力载波通讯过程中容易受到攻击或敏感数据容易遭到泄露,从而影响电力***的数据安全。
因此,现有电力载波通讯过程存在安全程度不高的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高电力载波通讯安全程度的一种电力载波的安全认证***。
一种电力载波的安全认证***,所述***包括:主站、集中器和电表;所述电表和所述主站均与所述集中器连接;所述集中器包括集中器认证模块;所述电表包括电表认证模块;
所述主站,用于发送集中器认证消息至所述集中器认证模块;
所述集中器认证模块,用于当接收到所述主站的集中器认证消息时,执行集中器认证操作;所述集中器认证操作为所述主站与所述集中器之间进行身份认证的操作;当集中器认证操作执行成功,则发送电表认证消息至所述电表认证模块;
所述电表认证模块,用于当接收到所述集中器认证模块的电表认证消息时,执行电表认证操作;所述电表认证操作为所述集中器与所述电表之间进行身份认证的操作;
所述电表认证模块,还用于当电表认证操作执行成功时,与所述集中器认证模块进行密钥协商,得到密钥协商结果;根据所述密钥协商结果,确定会话协商密钥;所述会话密钥用于加密所述电表与所述集中器之间传输的敏感数据。
在其中一个实施例中,所述集中器认证模块,还用于在接收到所述主站的集中器认证消息后,生成第一随机数;获取预设的第一证书,通过所述第一证书,对所述第一随机数进行签名运算,得到第一签名数据;封装所述第一证书和所述第一签名数据,生成所述第一认证数据;发送所述第一认证数据至所述主站。
在其中一个实施例中,所述主站,还用于接收所述集中器认证模块的第一认证数据;校验所述第一认证数据;若校验通过,则发送集中器认证成功消息至所述集中器认证模块;所述集中器认证成功消息用于供所述集中器认证模块判定集中器认证操作执行成功。
在其中一个实施例中,所述主站,还用于解析所述第一认证数据,得到所述第一证书和所述第一签名数据;根据所述第一证书的公共密钥,判断所述第一签名数据是否通过签名验证;若是,校验通过。
在其中一个实施例中,所述主站,还用于通过CA服务,判断所述第一证书是否为CA服务器签发的;若是,则执行所述发送集中器认证成功消息至所述集中器认证模块的步骤。
在其中一个实施例中,所述电表认证模块,还用于在接收到所述集中器认证模块的电表认证消息后,生成第二随机数;获取预设的第二证书,根据所述第二证书和所述第二随机数,生成第二认证数据;发送所述第二认证数据至所述集中器认证模块。
在其中一个实施例中,所述电表认证模块,还用于通过所述第二证书,对所述第二随机数进行签名运算,得到第二签名数据;封装所述第二证书和所述第二签名数据,生成所述第二认证数据。
在其中一个实施例中,所述集中器认证模块,还用于接收所述电表认证模块的第二认证数据;校验所述第二认证数据;若校验通过,则发送电表认证成功消息至所述电表认证模块;所述电表认证成功消息用于供所述电表认证模块判定电表认证操作执行成功。
在其中一个实施例中,所述电表认证模块,还用于当电表认证操作执行成功时,生成第三随机数;对所述第三随机数进行加密签名处理;得到第一协商数据;并发送所述第一协商数据至所述集中器认证模块;
所述集中器认证模块,还用于当接收所述电表认证模块的第一协商数据时;解析所述第一协商数据,得到所述电表认证模块的第三随机数;生成第四随机数,根据所述第四随机数和所述第三随机数,生成集中器会话密钥;
所述集中器认证模块,还用于对所述第四随机数进行加密签名处理;得到第二协商数据;并发送所述第二协商数据至所述电表认证模块;
所述电表认证模块,还用于当接收所述集中器认证模块的第二协商数据时;解析所述第二协商数据,得到所述集中器认证模块的第四随机数;根据所述第四随机数和所述第三随机数,生成电表会话密钥;根据所述电表会话密钥进行哈希运算,得到电表密钥密文;发送所述电表密钥密文至所述集中器认证模块;
所述集中器认证模块,还用于当接收所述电表认证模块的电表密钥密文时;根据所述集中器会话密钥进行哈希运算,得到集中器密钥密文;判断所述电表密钥密文与所述集中器密钥密文是否一致;若是,则将所述集中器会话密钥作为所述会话协商密钥,并发送协商通过消息至所述电表认证模块;
所述电表认证模块,还用于当接收到所述集中器认证模块的协商通过消息时,将所述电表会话密钥作为所述会话协商密钥。
在其中一个实施例中,所述电表认证模块,还用于加密所述第三随机数,得到加密随机数;获取预设的抗重序列号,根据所述抗重序列号和所述第一加密随机数,生成协商报文;通过预设的第一证书,对所述协商报文进行签名运算,得到协商签名数据;封装所述协商签名数据和所述协商报文,生成所述第一协商数据。
上述一种电力载波的安全认证***,通过集中器认证模块和电表认证模块,实现了主站与集中器间的身份认证、集中器与各个电表间身份认证;并在上述两种身份认证通过后,进行密钥协商,得到用于加密电表与集中器之间传输的敏感数据的会话密钥,从而避免电力载波通讯过程中受到攻击或敏感数据遭到泄露,从而提高了电力载波通讯过程的安全程度。
附图说明
图1为一个实施例中一种电力载波的安全认证***的应用环境图;
图2为一个实施例中一种电力载波的安全认证***的结构框图;
图3为一个实施例中一种电力载波的安全认证***的数据流格式示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的一种电力载波的安全认证***,可以应用于如图1所示的应用环境中。其中,监控主站110与集中器120通过网络进行连接;集中器120与电表130通过电力线进行连接。
在一个实施例中,如图2所示,提供了一种电力载波的安全认证***,该***包括:主站210、集中器和电表;电表和主站均与集中器连接;集中器包括集中器认证模块220;电表包括电表认证模块230;主站210,用于发送集中器认证消息至集中器认证模块220;集中器认证模块220,用于当接收到主站的集中器认证消息时,执行集中器认证操作;集中器认证操作为主站与集中器之间进行身份认证的操作;当集中器认证操作执行成功,则发送电表认证消息至电表认证模块230;电表认证模块230,用于当接收到集中器认证模块220的电表认证消息时,执行电表认证操作;电表认证操作为集中器与电表之间进行身份认证的操作;电表认证模块230,还用于当电表认证操作执行成功时,与集中器认证模块220进行密钥协商,得到密钥协商结果;根据密钥协商结果,确定会话协商密钥;会话密钥用于加密电表与集中器之间传输的敏感数据。
其中,电表的数量可以是一个或多个。
具体实现中,首先,在主站、集中器和电表间建立命令通道;主站210通过以太网、无线网络等网络传输方式,发送集中器认证消息至集中器认证模块220;
具体地,主站210与集中器认证模块220之间传输的数据,例如,集中器认证消息,其数据帧格式可以为《中国南方电网有限责任公司计量自动化终端上行通信规约》中定义的FT1.2异步式传输帧格式。FT1.2异步式传输帧格式如表1所示。
表1 FT1.2异步式传输帧格式
Figure GDA0002514652660000051
Figure GDA0002514652660000061
另外,主站210与集中器认证模块220之间传输的用户自定义数据报文格式如表2所示。
表2用户自定义数据上行报文格式
68H
L
L
68H
C
A
AFN=15H
SEQ
信息点标识(DA=0)
数据标识编码(E0 00 20 00)
数据标识内容
CS
16H
集中器认证模块220接收到主站的集中器认证消息时,集中器认证模块220执行集中器认证操作;其中,集中器认证操作为主站与集中器之间进行身份认证的操作;当集中器认证操作执行成功,则发送电表认证消息至电表认证模块230。
其中,集中器认证模块220与电表认证模块230之间传输的数据,例如,电表认证消息,均采用《DLT-645-2007-多功能电能表通信协议》进行封装。电表认证消息采用DL/T-645消息格式,DL/T-645消息格式如表3所示。
表3 DL/T-645帧格式
Figure GDA0002514652660000062
Figure GDA0002514652660000071
其中,数据域包括数据标识、密码、操作者代码、数据、帧序号等,其结构随控制码的功能而改变。传输时发送方按字节进行加33H处理,接收方按字节进行减33H处理。由于是将DL/T-645帧封装到了控制消息的数据域部分,该部分的数据有集中器和电表上的载波模块进行解析,所以DL/T-645帧中的数据域中的数据标识可以根据载波模块需要实现的功能自己定义。
图3提供了一种电力载波的安全认证***的数据流格式示意图。
当电表认证模块230接收到集中器认证模块220的电表认证消息时,执行电表认证操作;电表认证操作为集中器与电表之间进行身份认证的操作;当电表认证操作执行成功时,电表认证模块230与集中器认证模块220进行密钥协商,得到密钥协商结果;根据密钥协商结果,确定会话协商密钥;具体地,电表认证模块230生成电表随机码,并将该电表随机码加密发送至集中器认证模块220;集中器认证模块220生成集中器随机码,并将该集中器随机码加密发送至电表认证模块230;电表认证模块230和集中器认证模块220均对储存在各自本地的电表随机码和集中器随机码进行共享认证;当共享认证通过,电表认证模块230和集中器认证模块220均根据自身储存的电表随机码和集中器随机码,生成会话密钥;该会话密钥用于加密电表与集中器之间传输的敏感数据。
上述一种电力载波的安全认证***中,通过集中器认证模块和电表认证模块,实现了主站与集中器间的身份认证、集中器与各个电表间身份认证;并在上述两种身份认证通过后,进行密钥协商,得到用于加密电表与集中器之间传输的敏感数据的会话密钥,从而防止电力载波通讯过程中敏感数据遭到篡改、数据劫持或者泄露,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,集中器认证模块,还用于在接收到主站的集中器认证消息后,生成第一随机数;获取预设的第一证书,通过第一证书,对第一随机数进行签名运算,得到第一签名数据;封装第一证书和第一签名数据,生成第一认证数据;发送第一认证数据至主站。
其中,第一证书可以是指设备自身证书,实际应用中,第一证书由CA服务器发行。
具体实现中,集中器认证模块220在接收到主站210的集中器认证消息后,使用自身的随机数生成器生成第一随机数r1;同时预设的第一证书Cert1,通过第一证书Cert1,对第一随机数r1进行签名运算,得到第一签名数据ESkey1(H(r1));第一签名数据的字节长度为64;封装第一证书Cert1和第一签名数据ESkey1(H(r1)),生成第一认证数据A=ESkey1(H(r1))||Cert1;发送第一认证数据A=ESkey1(H(r1))||Cert1至主站210。
本实施例的技术方案,集中器认证模块生成第一随机数,并将第一随机数进行签名封装,得到第一认证数据;最后,发送第一认证数据至主站,从而提高了集中器认证模块与主站之间数据传输的安全性,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,主站,还用于接收集中器认证模块的第一认证数据;校验第一认证数据;若校验通过,则发送集中器认证成功消息至集中器认证模块;集中器认证成功消息用于供集中器认证模块判定集中器认证操作执行成功。
具体实现中,主站210接收集中器认证模块的第一认证数据A=ESkey1(H(r1))||Cert1;对第一认证数据A=ESkey1(H(r1))||Cert1进行校验;若校验通过,则发送集中器认证成功消息至集中器认证模块;集中器认证成功消息用于供集中器认证模块判定集中器认证操作执行成功,说明集中器与主站身份认证成功。
本实施例的技术方案,主站接收集中器认证模块的第一认证数据;并对第一认证数据进行校验,若校验通过,说明集中器与主站身份认证成功,从而发送集中器认证成功消息至集中器认证模块;实现了准确地对集中器与主站进行身份认证,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,主站,还用于解析第一认证数据,得到第一证书和第一签名数据;根据第一证书的公共密钥,判断第一签名数据是否通过签名验证;若是,校验通过。
具体实现中,主站210解析第一认证数据A=ESkey1(H(r1))||Cert1,得到第一证书Cert1和第一签名数据ESkey1(H(r1));根据第一证书Cert1的公共密钥,通过取出第一签名数据ESkey1(H(r1))的加密数据H(r1)进行验签,从而实现判断第一签名数据是否通过签名验证;若是,校验通过。
本实施例的技术方案,主站通过解析第一认证数据,得到第一证书和第一签名数据;并根据第一证书的公共密钥,判断第一签名数据是否通过签名验证;从而实现了主站可以准确地对校验第一认证数据,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,主站,还用于通过CA服务,判断第一证书是否为CA服务器签发的;若是,则执行发送集中器认证成功消息至集中器认证模块的步骤。
具体实现中,主站210通过CA(Certificate Authority,证书颁发机构)服务,判断第一证书Cert1是否为CA服务器签发的;若是,则执行发送集中器认证成功消息至集中器认证模块的步骤。若否,主站210直接判定主站与集中器身份认证失败。
本实施例的技术方案,主站通过CA服务判断第一证书是否为CA服务器签发的,保障了第一证书的准确程度,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,电表认证模块,还用于在接收到集中器认证模块的电表认证消息后,生成第二随机数;获取预设的第二证书,根据第二证书和第二随机数,生成第二认证数据;发送第二认证数据至集中器认证模块。
其中,第二证书可以是指设备自身证书,实际应用中,第一证书由CA服务器发行。
具体实现中,电表认证模块230在接收到集中器认证模块的电表认证消息后,使用自身的随机数生成器生成第二随机数r2;获取预设的第二证书Cert2,根据第二证书Cert2和第二随机数r2,生成第二认证数据B;发送第二认证数据B至集中器认证模块220。
本实施例的技术方案,电表认证模块生成第二随机数,并将第二随机数进行签名封装,得到第二认证数据;最后,发送第二认证数据至集中器认证模块,从而提高了集中器认证模块与电表认证模块之间数据传输的安全性,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,电表认证模块,还用于通过第二证书,对第二随机数进行签名运算,得到第二签名数据;封装第二证书和第二签名数据,生成第二认证数据。
具体实现中,通过第二证书Cert2,对第二随机数r2进行签名运算,得到第二签名数据Eskey2(H(r2));封装第二证书Cert2和第二签名数据Eskey2(H(r2)),生成第二认证数据B=Eskey2(H(r2))||Cert2。
本实施例的技术方案,电表认证模块通过第二证书,对第二随机数进行签名运算,得到第二签名数据;封装第二证书和第二签名数据,生成第二认证数据;从而提高了集中器认证模块与电表认证模块之间数据传输的安全性,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,集中器认证模块,还用于接收电表认证模块的第二认证数据;校验第二认证数据;若校验通过,则发送电表认证成功消息至电表认证模块;电表认证成功消息用于供电表认证模块判定电表认证操作执行成功。
具体实现中,集中器认证模块接收电表认证模块的第二认证数据B=Eskey2(H(r2))||Cert2;校验第二认证数据B=Eskey2(H(r2))||Cert2;具体地,集中器认证模块解析第二认证数据B=Eskey2(H(r2))||Cert2;根据第二证书Cert2的公共密钥,通过取出第二签名数据Eskey2(H(r2))的加密数据H(r2)进行验签,从而实现判断第二签名数据是否通过签名验证;若是,校验通过,则发送电表认证成功消息至电表认证模块230;电表认证成功消息用于供电表认证模块230判定电表认证操作执行成功。
本实施例的技术方案,集中器认证模块接收电表认证模块的第二认证数据;并对第二认证数据进行校验,若校验通过,说明集中器与电表身份认证成功,从而发送电表认证成功消息至电表认证模块;实现了准确地对集中器与电表进行身份认证,进而提高了电力载波通讯过程的安全程度。
在另一个实施例中,电表认证模块,还用于当电表认证操作执行成功时,生成第三随机数;对第三随机数进行加密签名处理;得到第一协商数据;并发送第一协商数据至集中器认证模块;
集中器认证模块,还用于当接收电表认证模块的第一协商数据时;解析第一协商数据,得到电表认证模块的第三随机数;生成第四随机数,根据第四随机数和第三随机数,生成集中器会话密钥;
集中器认证模块,还用于对第四随机数进行加密签名处理;得到第二协商数据;并发送第二协商数据至电表认证模块;
电表认证模块,还用于当接收集中器认证模块的第二协商数据时;解析第二协商数据,得到集中器认证模块的第四随机数;根据第四随机数和第三随机数,生成电表会话密钥;根据电表会话密钥进行哈希运算,得到电表密钥密文;发送电表密钥密文至集中器认证模块;
集中器认证模块,还用于当接收电表认证模块的电表密钥密文时;根据集中器会话密钥进行哈希运算,得到集中器密钥密文;判断电表密钥密文与集中器密钥密文是否一致;若是,则将集中器会话密钥作为会话协商密钥,并发送协商通过消息至电表认证模块;
电表认证模块,还用于当接收到集中器认证模块的协商通过消息时,将电表会话密钥作为会话协商密钥。
具体实现中,当电表认证操作执行成功时,电表认证模块230生成第三随机数r3;对第三随机数进行加密签名处理;得到第一协商数据C=JQ[r3];并发送第一协商数据C=JQ[r3]至集中器认证模块220;当集中器认证模块220接收电表认证模块230的第一协商数据时C=JQ[r3];集中器认证模块220解析第一协商数据C=JQ[r3],得到电表认证模块230的第三随机数r3;同时,集中器认证模块220生成第四随机数r4,根据第四随机数r3和第三随机数r4,生成集中器会话密钥MY(1)=r3^r4;
集中器认证模块220,还用于对第四随机数r4进行加密签名处理;得到第二协商数据D=JQ[r4];并发送第二协商数据D=JQ[r4]至电表认证模块230;
当电表认证模块230接收集中器认证模块220的第二协商数据D=JQ[r4]时;解析第二协商数据D=JQ[r4],得到集中器认证模块的第四随机数r4;根据第四随机数r4和第三随机数r3,生成电表会话密钥MY(2)=r3^r4;根据电表会话密钥进行哈希运算,得到电表密钥密文E=H(r3^r4);发送电表密钥密文E=H(r3^r4)至集中器认证模块;
集中器认证模块220,还用于当接收电表认证模块的电表密钥密文E=H(r3^r4)时;根据集中器会话密钥进行哈希运算,得到集中器密钥密文F=H(r3^r4);判断电表密钥密文E=H(r3^r4)与集中器密钥密文F=H(r3^r4)是否一致;若是,则将集中器会话密钥MY(1)=r3^r4作为会话协商密钥DK=r3^r4,并发送协商通过消息至电表认证模块230;
电表认证模块230,还用于当接收到集中器认证模块220的协商通过消息时,将电表会话密钥MY(2)=r3^r4作为会话协商密钥DK=r3^r4。
本实施例的技术方案,加密电表与集中器之间传输的敏感数据的会话密钥,从而避免电力载波通讯过程中受到攻击或敏感数据遭到泄露,从而提高了电力载波通讯过程的安全程度。
在另一个实施例中,电表认证模块,还用于加密第三随机数,得到加密随机数;获取预设的抗重序列号,根据抗重序列号和第一加密随机数,生成协商报文;通过预设的第一证书,对协商报文进行签名运算,得到协商签名数据;封装协商签名数据和协商报文,生成第一协商数据。
其中,抗重序列号可以是指协商发起者预置的序列号。
其中,电表认证模块230加密第三随机数r3,得到加密随机数EPkey1(r3);电表认证模块230获取预设的抗重序列号SN,根据抗重序列号SN和第一加密随机数EPkey1(r3),生成协商报文SN||EPkey1(r3);通过预设的第一证书Cert1,对协商报文SN||EPkey1(r3)进行签名运算,得到协商签名数据ESkey1(H(SN||EPkey1(r3)));封装协商签名数据ESkey1(H(SN||EPkey1(r3)))和协商报文SN||EPkey1(r3),生成第一协商数据C=SN||EPkey1(r3)‖ESkey1(H(SN||EPkey1(r3)))。
本实施例的技术方案,电表认证模块加密第三随机数,得到加密随机数;获取预设的抗重序列号,根据抗重序列号和第一加密随机数,生成协商报文;通过预设的第一证书,对协商报文进行签名运算,得到协商签名数据;封装协商签名数据和协商报文,生成第一协商数据;确保了电表认证模块传输第一协商数据至集中器模块的数据安全,进而提高了电力载波通讯过程的安全程度;引入抗重序列号提高了电力载波通讯过程的抗重放攻击能力。
上述一种电力载波的安全认证***中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
上述的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种电力载波的安全认证***,其特征在于,所述***包括:主站、集中器认证模块和电表认证模块;所述电表认证模块和所述主站均与所述集中器认证模块连接;所述集中器认证模块包括集中器,所述电表认证模块包括电表;
所述主站,用于发送集中器认证消息至所述集中器认证模块;
所述集中器认证模块,用于当接收到所述主站的集中器认证消息时,执行集中器认证操作;所述集中器认证操作为所述主站与所述集中器之间进行身份认证的操作;其中,所述集中器认证模块在接收到所述主站的集中器认证消息后,生成第一随机数;根据预设的第一证书和所述第一随机数,生成第一认证数据;发送所述第一认证数据至所述主站;当接收到所述主站在根据所述第一证书对所述第一认证数据校验通过后返回的集中器认证成功消息时,判定集中器认证操作执行成功,则发送电表认证消息至所述电表认证模块;
所述电表认证模块,用于当接收到所述集中器认证模块的电表认证消息时,执行电表认证操作;所述电表认证操作为所述集中器与所述电表之间进行身份认证的操作;其中,所述电表认证模块生成第二随机数;根据预设的第二证书和所述第二随机数,生成第二认证数据;发送所述第二认证数据至所述集中器认证模块;
所述电表认证模块,还用于当接收到所述集中器认证模块在根据所述第二证书对所述第二认证数据校验通过后返回的电表认证成功消息时,判定电表认证操作执行成功时,与所述集中器认证模块进行密钥协商,得到密钥协商结果;根据所述密钥协商结果,确定会话协商密钥;所述会话密钥用于加密所述电表与所述集中器之间传输的敏感数据。
2.根据权利要求1所述的***,其特征在于,所述集中器认证模块,还用于在接收到所述主站的集中器认证消息后,生成第一随机数;获取预设的第一证书,通过所述第一证书,对所述第一随机数进行签名运算,得到第一签名数据;封装所述第一证书和所述第一签名数据,生成所述第一认证数据;发送所述第一认证数据至所述主站。
3.根据权利要求2所述的***,其特征在于,所述主站,还用于接收所述集中器认证模块的第一认证数据;校验所述第一认证数据;若校验通过,则发送集中器认证成功消息至所述集中器认证模块;所述集中器认证成功消息用于供所述集中器认证模块判定集中器认证操作执行成功。
4.根据权利要求3所述的***,其特征在于,所述主站,还用于解析所述第一认证数据,得到所述第一证书和所述第一签名数据;根据所述第一证书的公共密钥,判断所述第一签名数据是否通过签名验证;若是,校验通过。
5.根据权利要求3所述的***,其特征在于,所述主站,还用于通过CA服务,判断所述第一证书是否为CA服务器签发的;若是,则执行所述发送集中器认证成功消息至所述集中器认证模块的步骤。
6.根据权利要求1所述的***,其特征在于,所述电表认证模块,还用于在接收到所述集中器认证模块的电表认证消息后,生成第二随机数;获取预设的第二证书,根据所述第二证书和所述第二随机数,生成第二认证数据;发送所述第二认证数据至所述集中器认证模块。
7.根据权利要求6所述的***,其特征在于,所述电表认证模块,还用于通过所述第二证书,对所述第二随机数进行签名运算,得到第二签名数据;封装所述第二证书和所述第二签名数据,生成所述第二认证数据。
8.根据权利要求7所述的***,其特征在于,所述集中器认证模块,还用于接收所述电表认证模块的第二认证数据;校验所述第二认证数据;若校验通过,则发送电表认证成功消息至所述电表认证模块;所述电表认证成功消息用于供所述电表认证模块判定电表认证操作执行成功。
9.根据权利要求1所述的***,其特征在于,所述电表认证模块,还用于当电表认证操作执行成功时,生成第三随机数;对所述第三随机数进行加密签名处理;得到第一协商数据;并发送所述第一协商数据至所述集中器认证模块;
所述集中器认证模块,还用于当接收所述电表认证模块的第一协商数据时;解析所述第一协商数据,得到所述电表认证模块的第三随机数;生成第四随机数,根据所述第四随机数和所述第三随机数,生成集中器会话密钥;
所述集中器认证模块,还用于对所述第四随机数进行加密签名处理;得到第二协商数据;并发送所述第二协商数据至所述电表认证模块;
所述电表认证模块,还用于当接收所述集中器认证模块的第二协商数据时;解析所述第二协商数据,得到所述集中器认证模块的第四随机数;根据所述第四随机数和所述第三随机数,生成电表会话密钥;根据所述电表会话密钥进行哈希运算,得到电表密钥密文;发送所述电表密钥密文至所述集中器认证模块;
所述集中器认证模块,还用于当接收所述电表认证模块的电表密钥密文时;根据所述集中器会话密钥进行哈希运算,得到集中器密钥密文;判断所述电表密钥密文与所述集中器密钥密文是否一致;若是,则将所述集中器会话密钥作为所述会话协商密钥,并发送协商通过消息至所述电表认证模块;
所述电表认证模块,还用于当接收到所述集中器认证模块的协商通过消息时,将所述电表会话密钥作为所述会话协商密钥。
10.根据权利要求9所述的***,其特征在于,所述电表认证模块,还用于加密所述第三随机数,得到加密随机数;获取预设的抗重序列号,根据所述抗重序列号和所述第一加密随机数,生成协商报文;通过预设的第一证书,对所述协商报文进行签名运算,得到协商签名数据;封装所述协商签名数据和所述协商报文,生成所述第一协商数据。
CN201910318980.2A 2019-04-19 2019-04-19 一种电力载波的安全认证*** Active CN110049045B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910318980.2A CN110049045B (zh) 2019-04-19 2019-04-19 一种电力载波的安全认证***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910318980.2A CN110049045B (zh) 2019-04-19 2019-04-19 一种电力载波的安全认证***

Publications (2)

Publication Number Publication Date
CN110049045A CN110049045A (zh) 2019-07-23
CN110049045B true CN110049045B (zh) 2020-07-24

Family

ID=67278114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910318980.2A Active CN110049045B (zh) 2019-04-19 2019-04-19 一种电力载波的安全认证***

Country Status (1)

Country Link
CN (1) CN110049045B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110430098B (zh) * 2019-08-12 2020-10-27 中国南方电网有限责任公司 数据处理***
CN112073198A (zh) * 2020-08-11 2020-12-11 北京智芯微电子科技有限公司 用电信息采集***及其电表的内部认证方法、终端
CN115022102B (zh) * 2022-08-10 2023-02-21 广东电网有限责任公司佛山供电局 输电线监测数据传输方法、装置、计算机设备和存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104363219B (zh) * 2014-11-06 2018-07-10 江苏林洋能源股份有限公司 一种基于iec62056数据传输安全标准的三方密钥管理方法
CN105046935B (zh) * 2015-08-13 2018-05-22 青岛东软载波科技股份有限公司 一种基于低压电力线和微功率无线的双模异构通信***
KR102003518B1 (ko) * 2017-02-06 2019-07-24 주식회사 지오라인 집합건물에 설치된 전력수요장치 충전 시스템
CN108881224A (zh) * 2018-06-19 2018-11-23 南方电网科学研究院有限责任公司 一种配电自动化***的加密方法及相关装置
CN109005028A (zh) * 2018-11-02 2018-12-14 美的集团股份有限公司 密钥协商方法、云服务器、设备、存储介质以及***

Also Published As

Publication number Publication date
CN110049045A (zh) 2019-07-23

Similar Documents

Publication Publication Date Title
CN106603485B (zh) 密钥协商方法及装置
CN111526023B (zh) 一种基于ipk的区块链上链数据安全认证方法与***
CN102299930B (zh) 一种保障客户端软件安全的方法
CN111740844A (zh) 基于硬件的国密算法的ssl通信方法及装置
CN111614621B (zh) 物联网通信方法和***
CN111245862A (zh) 一种物联网终端数据安全接收、发送的***
CN105471833A (zh) 一种安全通讯方法和装置
CN106850207B (zh) 无ca的身份认证方法和***
CN110049045B (zh) 一种电力载波的安全认证***
CN101466079A (zh) 电子邮件的传送方法、***及wapi终端
CN103532713A (zh) 传感器认证和共享密钥产生方法和***以及传感器
CN101247605A (zh) 短信息加密、签名方法、移动终端及短信息加密***
CN112020038A (zh) 一种适用于轨道交通移动应用的国产加密终端
CN105281910A (zh) 带ca数字证书作为入网身份识别的物联网锁及其入网身份识别方法
CN107483388A (zh) 一种安全通信方法及其终端和云端
CN107249002B (zh) 一种提高智能电能表安全性的方法、***及装置
CN111147257A (zh) 身份认证和信息保密的方法、监控中心和远程终端单元
CN114650173A (zh) 一种加密通讯方法及***
CN113918967A (zh) 基于安全校验的数据传输方法、***、计算机设备、介质
CN112672342A (zh) 数据传输方法、装置、设备、***和存储介质
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN109451504B (zh) 物联网模组鉴权方法及***
CN113115309B (zh) 车联网的数据处理方法、装置、存储介质和电子设备
CN113163375B (zh) 一种基于NB-IoT通信模组的空中发证方法和***
CN102916810A (zh) 传感器认证方法、***和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11

Applicant after: CHINA SOUTHERN POWER GRID Co.,Ltd.

Applicant after: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Address before: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11

Applicant before: CHINA SOUTHERN POWER GRID Co.,Ltd.

Applicant before: DINGXIN INFORMATION TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province

Patentee after: CHINA SOUTHERN POWER GRID Co.,Ltd.

Country or region after: China

Patentee after: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Address before: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province

Patentee before: CHINA SOUTHERN POWER GRID Co.,Ltd.

Country or region before: China

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240311

Address after: 518101, 3rd Floor, Building 40, Baotian Industrial Zone, Chentian Community, Xixiang Street, Bao'an District, Shenzhen City, Guangdong Province

Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd.

Country or region after: China

Address before: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province

Patentee before: CHINA SOUTHERN POWER GRID Co.,Ltd.

Country or region before: China

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.