CN113364582A - 一种变电站内通信密钥配置与更新管理的方法 - Google Patents

一种变电站内通信密钥配置与更新管理的方法 Download PDF

Info

Publication number
CN113364582A
CN113364582A CN202110510606.XA CN202110510606A CN113364582A CN 113364582 A CN113364582 A CN 113364582A CN 202110510606 A CN202110510606 A CN 202110510606A CN 113364582 A CN113364582 A CN 113364582A
Authority
CN
China
Prior art keywords
pki
file
certificate
digital certificate
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110510606.XA
Other languages
English (en)
Other versions
CN113364582B (zh
Inventor
阮黎翔
李广华
王松
戚宣威
李响
丁峰
罗华峰
周强
方芳
沈奕菲
孙文文
王自成
谢豪
陈明
艾文凯
曹文斌
顾浩
李心宇
周进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
NR Engineering Co Ltd
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NR Engineering Co Ltd, Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd filed Critical NR Engineering Co Ltd
Priority to CN202110510606.XA priority Critical patent/CN113364582B/zh
Publication of CN113364582A publication Critical patent/CN113364582A/zh
Application granted granted Critical
Publication of CN113364582B publication Critical patent/CN113364582B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种变电站内通信密钥配置与更新管理的方法。本发明应用两个过程:可选的变电站设备对PKI管理***数字证书的验证过程和PKI管理***对变电站设备进行密钥与证书的管理过程。本发明通过应用单次短时随机数的签名验证方法,可在数字证书有效期内有效抵御恶意频繁触发秘钥对生成问题,在必要情况下通过提前生成秘钥对的方式简化了证书管理流程,通过应用可选的变电站设备对PKI管理***数字证书的验证过程,减少了重复对PKI管理***进行身份验证的过程。本发明不仅解决了变电站设备在不支持权限管理下的秘钥对生成问题,兼顾了***的实施效率,还提升了管理过程的安全性。

Description

一种变电站内通信密钥配置与更新管理的方法
技术领域
本发明涉及电力***的通信安全领域,尤其是一种对变电站站用于加密认证通信密钥的分发与更新管理的方法。
背景技术
随着计算机与通信技术的大量应用,电力***中网络安全问题日益突出。认证、加密是通信安全加固的常见方法,其中密钥的安全管理是***安全的核心组成部分;该部分通常管理成本高昂,密钥管理的安全性、便捷性就显得尤为重要。
源端生成非对称秘钥对并经由数字证书管理中心进行签发的方式,因私钥不出设备而最大程度保证了私钥的安全性。在变电站内,嵌入式设备受资源限制,频繁生成秘钥对可能引发***资源瓶颈,从而影响***的正常运行;同时存在通过频繁触发生成秘钥对而恶意破坏***运行的可能,存在安全风险。通过权限管理,仅允许通过认证的合法用户触发密钥对生成,可有效规避秘钥对被恶意频繁触发而引起对***拒绝服务攻击的问题。但通过权限访问控制对变电站密钥进行维护管理的方法,一方面设备众多,通过人机接口逐设备进行操作的工作量大且易于出错,另一方面还涉及操作人员的权限管理维护问题,管理成本比较高。同时,存量变电站设备大多不支持人机的身份验证功能,通过该方法来控制密钥的生成管理存在一定的应用局限性。
发明内容
本发明所解决的技术问题是:提供一种变电站内非对称密钥的PKI管理方法,该方法不依赖人机交互认证技术,提供变电站内设备秘钥的安全管理,提供抗决绝服务攻击的能力,以提升变电站运行管理的安全性与便捷性。
为达成上述目的,本发明采用的技术方案是:一种变电站内通信密钥配置与更新管理的方法,其内容如下:在密钥管理前,PKI管理***已预设私钥、可信机构签署的数字证书以及信任链数字证书,分别标记为PKIKey、PKICrt、PKITrustChain;数字证书采用的签名算法标记为DSx=Sign(PKIKey,Hash(X)),其中X为签名内容,DSx为签名值,Hash(X)为报文摘要算法;签名验证算法标记为Hash(X)=Verify(PKICrt.pukkey,DSx),PKICrt.pukkey为数字证书公钥;同时,变电站设备预设可信机构的CA根数字证书;
变电站的密钥与证书管理包含两个过程:过程一是可选过程,即变电站设备对PKI管理***证书的验证过程,实现对PKI管理***的身份有效性鉴别;过程二,即PKI管理***对变电站设备进行密钥与证书的管理过程,用于对变电站设备的证书颁发和变电站设备对触发生成秘钥对与证书请求的身份鉴别。
进一步地,变电站设备对PKI管理***证书的验证过程是可选过程,在首次应用PKI管理***对变电站设备进行密钥与证书管理,或PKI管理***的密钥与数字证书发生更新后再次对变电站设备进行密钥与证书管理时,须应用该过程;若变电站设备已正确记录PKI管理***的数字证书,则可不应用该过程。
进一步地,变电站设备对PKI管理***证书的验证过程的具体步骤如下:
PKI管理***将自身数字证书PKICrt、信任链数字证书PKITrustChain传输到变电站设备;变电站设备依据这些证书的签名信息建立信任链,然后应用预设可信机构的CA根数字证书依照信任链逐级验证各数字证书的签名信息;若所有签名信息均通过验证,变电站设备记录并应用PKI管理***的数字证书PKICrt
变电站设备无有效记录数字证书PKICrt时,不对PKI管理***的任何对称密钥与证书管理报文做应答;当有效记录数字证书PKICrt后,开始应答PKI管理***对设备非对称密钥的管理请求报文。
进一步地,PKI管理***对变电站设备进行密钥与证书管理过程,其具体步骤为:
步骤1:变电站设备检测自身设备的数字证书状态,若无有效数字证书或数字证书临近超期,则主动生成非对称密钥对和数字证书请求文件CrtReqFile;然后,等待响应PKI管理***的通信链接请求。
步骤2:PKI管理***检测与变电站设备的通信状态,建立并保持链接;链接建立后,发送获取证书请求报文GetCrtReqMsg后等待应答,进入步骤4。
步骤3:变电站设备接收到获取证书请求报文后,若无数字证书请求文件CrtReqFile,则生成PKI校验文件ChkPKIFile,该文件包含一个单次短期有效的随机数Random;然后,应答校验请求报文ChkPKIReqMsg,将文件ChkPKIFile传输到PKI管理***;传输完成后,转入PKI验证状态机,进入步骤5。若已生成CrtReqFile文件,则应答发送证书请求报文SendCrtReqMsg,将文件CrtReqFile传输到PKI管理***;传输完成后,转入证书验证状态机,进入步骤7。
步骤4:PKI管理***接收到应答报文后,解析应答报文类型;若为校验请求报文,则提取校验文件ChkPKI'File中的随机数Random'并进签名,标记为DSRandom'=Sign(PKIKey,Hash(Random'));然后,以签名值DSRandom'创建校验应答文件ChkRspFile,并以校验应答报文ChkPKIRspMsg将文件ChkRspFile传输到对应变电站设备;传输完成后,返回步骤2。若报文类型为发送证书请求报文,则进入步骤6。若长时间未收到响应报文或收到其他类型报文,则返回步骤2。
步骤5:变电站设备进入PKI验证状态机后,若在有效时间内收到校验应答报文,则提取接收到校验应答文件ChkRsp'File的签名值信息DS'Random,进行签名值解签,标记为Hash'R=Verify(PKICrt.pukkey,DS'Random);并计算随机数Random的报文摘要,标记为HashR=Hash(Random);若Hash'R≡HashR,则判定校验应答通过,立即生成非对称密钥对和数字证书请求文件;若未通过校验应答或有效时间内未收到校验应答报文,立即失效随机数Random,并返回步骤1。
步骤6:PKI管理***接收到发送证书请求报文后,解析数字证书请求文件内容并创建新的数字证书NewCrtFile;若数字证书请求文件内容有效,则对新的数字证书内容进行签名;否则,用无效数据填充数字签名内容;然后,以证书签发报文SetNewCrtMsg将文件NewCrtFile传输到变电站设备。
步骤7:变电站设备进入证书验证状态机后,若在有效时间内收到证书签发报文,解析新的数字证书文件并进行有效性验证;若新的数字证书公钥信息与密钥对公钥一致,且数字签名通过了PKICrt.pukkey的签名验证,则判定新的数字证书验证成功,应用新的私钥和新的数字证书。若在有效时间内未收到证书签发报文,或新的数字证书验证失败,则返回步骤1。
本发明在变电站设备侧通过应用单次短时随机数的签名验证环节,解决了数字证书有效期内被恶意频繁触发生成秘钥对的问题;并在无有效数字证书或证书即将超期时,通过提前生成秘钥对来简化了证书的管理流程;通过可选的变电站设备验证PKI管理***数字证书的过程,减少了重复对PKI管理***进行身份验证的过程,优化了***效率。该方法不仅解决了变电站设备在不支持权限管理情况下的秘钥对的生成问题,兼顾了管理过程的***效率,提升了管理过程的安全性。
附图说明
图1为本发明变电站设备下载PKI数字证书及有效性验证示意图;
图2为应用本发明PKI管理***进行变电站设备非对称密钥管理示意图。
具体实施方式
以下将结合附图,对本发明的技术方案做进一步描述,使本领域技术人员更好的理解本发明并能予以实施。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明的保护范围。
本实施例提供了一种变电站内通信密钥配置与更新管理的方法:该方法涉及PKI管理***与变电站设备,它们通过SFTP通信进行信息交互。在密钥管理前,PKI管理***已预设私钥、可信机构签署的数字证书以及其他信任链数字证书,分别标记为PKIKey、PKICrt、PKITrustChain;数字证书的报文摘要算法与签名算法分别为SM3、SM2,对应的签名表达式为DSx=SM2(PKIKey,SM3(X)),其中DSx为签名内容X的签名值;签名验证算法为SM3(X)=Verify(PKICrt.pukkey,DSx),PKICrt.pukkey为PKI管理***数字证书公钥。并且,变电站设备预设了可信机构的CA根数字证书。
对变电站设备进行非对称密钥管理包含两个过程:变电站设备对PKI管理***证书的验证过程、PKI管理***对变电站设备进行密钥与证书的管理过程。
变电站设备对PKI管理***证书的验证过程是可选过程,在首次应用PKI管理***对变电站设备进行密钥与证书管理,或PKI管理***的密钥与数字证书发生更新后再次对变电站设备进行密钥与证书管理时,须应用该过程;若变电站设备已正确记录PKI管理***的数字证书,则可不应用该过程。
(一)变电站设备对PKI管理***证书的验证过程如图1所示,其具体步骤如下:
PKI管理***通过SFTP协议将自身数字证书PKICrt、信任链数字证书PKITrustChain下装到变电站设备;变电站设备依据PKI管理***数字证书、信任链各数字证书的签名信息建立证书信任链,然后应用预设可信机构的CA根数字证书依照信任链逐级验证各数字证书的签名信息;若所有签名信息均通过验证,变电站设备记录并应用PKI管理***的数字证书PKICrt
变电站设备无有效记录数字证书PKICrt时,不对PKI管理***的任何对称密钥与证书管理报文做应答;当有效记录数字证书PKICrt后,开始应答PKI管理***对设备非对称密钥的管理请求报文。
(二)PKI管理***对变电站设备进行密钥与证书管理过程,其具体步骤为:
步骤1:变电站设备检测自身的数字证书状态,若无有效数字证书或数字证书临近超期,则生成非对称密钥对和数字证书请求文件CrtReqFile;然后,等待响应PKI管理***的SFTP通信链接请求。
步骤2:PKI管理***检测与变电站设备的SFTP通信状态,建立并保持链接;链接建立后,通过SFTP读取变电站设备的证书请求目录并等待应答,进入步骤4。
步骤3:变电站设备接收到读取证书请求文件目录的SFTP请求后:若无数字证书请求文件CrtReqFile,则生成一个包含单次短期有效随机数Random的PKI校验文件ChkPKIFile,并将PKI校验文件名返回给PKI管理***;然后转入PKI验证状态机,进入步骤5。若已生成CrtReqFile文件,则将数字证书请求文件名返回给PKI管理***;然后转入证书验证状态机,进入步骤7。
步骤4:PKI管理***接收到应答报文后,以返回的文件名信息,通过SFTP上招对应文件:若为PKI校验文件ChkPKI'File,则获取文件的随机数Random'进行签名,后以签名值创建校验应答文件ChkRspFile,对应的签名值计算过程为DSRandom'=SM2(PKIKey,SM3(Random'));然后,通过SFTP将校验应答文件ChkRspFile下装到对应变电站设备;下装完成后,返回步骤2。若为证书请求文件,则进入步骤6。若长时间未收到应答报文或返回的文件名信息不正确,则返回步骤2。
步骤5:变电站设备进入PKI验证状态机后,若在有效时间内收到校验应答文件ChkRsp'File,则提取文件中的签名值DS'Random并进行签名验证,验证过程标记为SM3'R=Verify(PKICrt.pukkey,DS'Random);并以SM3R=SM3(Random)计算随机数Random的报文摘要;若SM3'R≡SM3R,则判定校验通过,立即生成新的非对称密钥对和数字证书请求文件;若校验失败或有效时间内未收到校验应答文件,则失效随机数Random,并返回步骤1。
步骤6:PKI管理***接收到应答报文后,以返回的文件名信息,通过SFTP上招对应文件;若为证书请求文件,解析并验证文件内容,然后创建新的数字证书NewCrtFile;若数字证书请求文件内容有效,则对新的数字证书内容进行签名;否则,用无效数据填充数字签名内容;然后,通过SFTP协议将文件NewCrtFile下装到变电站设备。
步骤7:变电站设备进入证书验证状态机后,若在有效时间内收到数字证书文件NewCrt'File,解析并进行有效性验证;若数字证书公钥与本地密钥对公钥一致,且签名通过了PKICrt.pukkey的数字签名验证,则判定验证成功,应用新的私钥和数字证书NewCrt'File。若在有效时间内未收到证书签发报文,或新的数字证书验证失败,则返回步骤1。

Claims (8)

1.一种变电站内通信密钥配置与更新管理的方法,其特征在于,包含两个过程:过程一是可选过程,即变电站设备对PKI管理***证书的验证过程,实现对PKI管理***的身份有效性鉴别;过程二,即PKI管理***对变电站设备进行密钥与证书的管理过程,用于对变电站设备的证书颁发和变电站设备对触发生成秘钥对与证书请求的身份鉴别;
在密钥与证书管理前,PKI管理***预设私钥、可信机构签署的数字证书以及信任链数字证书,分别为PKIKey、PKICrt和PKITrustChain;数字证书采用的签名算法为DSx=Sign(PKIKey,Hash(X)),其中X为签名内容,DSx为签名值,Hash(X)为报文摘要算法;签名验证算法为Hash(X)=Verify(PKICrt.pukkey,DSx),PKICrt.pukkey为数字证书公钥;同时,变电站设备预设可信机构的CA根数字证书。
2.根据权利要求1所述的一种变电站内通信密钥配置与更新管理的方法,其特征在于,所述过程二的具体步骤为:
步骤1:变电站设备检测自身数字证书状态,若无有效数字证书或数字证书临近超期,则主动生成非对称密钥对和数字证书请求文件CrtReqFile;然后,等待响应PKI管理***的通信链接请求;
步骤2:PKI管理***检测与变电站设备的通信状态,建立并保持链接;链接建立后,发送获取证书请求报文GetCrtReqMsg后等待应答,进入步骤4;
步骤3:变电站设备接收到获取证书请求报文后,若无数字证书请求文件CrtReqFile,则生成PKI校验文件ChkPKIFile,该文件包含一个单次短期有效随机数Random;然后应答校验请求报文ChkPKIReqMsg,将文件ChkPKIFile传输到PKI管理***;传输完成后,转入PKI验证状态机,进入步骤5;若已有CrtReqFile文件,则应答发送证书请求报文SendCrtReqMsg,将文件CrtReqFile传输到PKI管理***;传输完成后,转入证书验证状态机,进入步骤7;
步骤4:PKI管理***接收到应答报文后,解析应答报文类型;若为校验请求报文,接收校验文件ChkPKI'File,并创建校验应答文件ChkRspFile;以校验应答报文ChkPKIRspMsg将文件ChkRspFile传输到对应变电站设备;传输完成后,返回步骤2;若报文类型为发送证书请求报文,则进入步骤6;若长时间未收到响应报文或收到其他类型报文,则返回步骤2;
步骤5:变电站设备进入PKI验证状态机后,若接收到校验应答报文,获取校验应答文件ChkRsp'File并校验文件中签名值的有效性;若通过校验,则立即生成新的非对称密钥对和数字证书请求文件;若未通过校验或有效时间内未收到校验应答报文,立即失效随机数Random,并返回步骤1;
步骤6:PKI管理***接收到发送证书请求报文后,获取并解析数字证书请求文件,并创建新的数字证书NewCrtFile;若数字证书请求文件内容有效,则对新的数字证书内容进行签名;否则,用无效数据填充数字签名内容;然后,以证书签发报文SetNewCrtMsg将文件NewCrtFile传输到变电站设备;
步骤7:变电站设备进入证书验证状态机后,若接收到证书签发报文,获取数字证书文件并验证有效性;若数字证书公钥与密钥对公钥一致,且证书签名通过了PKICrt.pukkey的签名验证,则判定验证成功,应用新的私钥和数字证书;若在有效时间内未收到证书签发报文,或新的数字证书验证失败,则返回步骤1。
3.根据权利要求2所述的一种变电站内通信密钥配置与更新管理的方法,其特征在于,步骤4中,PKI管理***创建校验应答文件ChkRspFile的方法为:获取校验文件ChkPKI'File的随机数Random',并以公式DSRandom'=Sign(PKIKey,Hash(Random'))对随机数进行签名;然后以签名值DSRandom'作为文件内容创建校验应答文件。
4.根据权利要求2所述的一种变电站内通信密钥配置与更新管理的方法,其特征在于,步骤5中,变电站设备对校验应答文件的验证方法为:获取校验应答文件ChkRsp'File的签名值信息DS'Random签名值,并以公式Hash'R=Verify(PKICrt.pukkey,DS'Random)解析签名值信息,获取报文摘要Hash'R;以公式HashR=Hash(Random)计算随机数Random的报文摘要HashR;若Hash'R≡HashR,则判定验证通过,否则判定不通过。
5.根据权利要求1-4任一项所述的一种变电站内通信密钥配置与更新管理的方法,其特征在于,变电站设备对PKI管理***证书的验证过程是可选过程,在首次应用PKI管理***对变电站设备进行密钥与证书管理,或PKI管理***的密钥与数字证书发生更新后再次对变电站设备进行密钥与证书管理时,须应用该过程;若变电站设备已正确记录PKI管理***的数字证书,则可不应用该过程。
6.根据权利要求1-4任一项所述的一种变电站内通信密钥配置与更新管理的方法,其特征在于,所述的过程一,即变电站设备对PKI管理***证书的验证过程为:PKI管理***将自身数字证书PKICrt、信任链数字证书PKITrustChain传输到变电站设备;变电站设备依据这些证书的签名信息建立信任链,然后用预设可信机构的CA根证书逐级验证信任链各数字证书的签名信息;若所有签名信息均通过验证,则变电站设备记录并应用PKI管理***的数字证书PKICrt
7.根据权利要求1-4任一项所述的一种变电站内通信密钥配置与更新管理的方法,其特征在于,变电站设备无有效的PKI管理***数字证书PKICrt时,不响应PKI管理***的任何密钥管理报文。
8.根据权利要求7所述的一种变电站内通信密钥配置与更新管理的方法,其特征在于,当有效记录数字证书PKICrt后,开始应答PKI管理***对设备非对称密钥的管理请求报文。
CN202110510606.XA 2021-05-11 2021-05-11 一种变电站内通信密钥配置与更新管理的方法 Active CN113364582B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110510606.XA CN113364582B (zh) 2021-05-11 2021-05-11 一种变电站内通信密钥配置与更新管理的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110510606.XA CN113364582B (zh) 2021-05-11 2021-05-11 一种变电站内通信密钥配置与更新管理的方法

Publications (2)

Publication Number Publication Date
CN113364582A true CN113364582A (zh) 2021-09-07
CN113364582B CN113364582B (zh) 2022-07-12

Family

ID=77526111

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110510606.XA Active CN113364582B (zh) 2021-05-11 2021-05-11 一种变电站内通信密钥配置与更新管理的方法

Country Status (1)

Country Link
CN (1) CN113364582B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114928486A (zh) * 2022-05-18 2022-08-19 浙江木链物联网科技有限公司 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质
CN115277125A (zh) * 2022-07-13 2022-11-01 南京国电南自电网自动化有限公司 一种双向可信安全的变电站遥控方法及其***

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150095650A1 (en) * 2013-09-27 2015-04-02 Daniel Nemiroff Public key infrastructure for system-on-chip
CN104717211A (zh) * 2015-02-16 2015-06-17 中国南方电网有限责任公司 一种基于加密通信的共享密钥管理的变电站报文分析方法
US20150281278A1 (en) * 2014-03-28 2015-10-01 Southern California Edison System For Securing Electric Power Grid Operations From Cyber-Attack
CN110267270A (zh) * 2019-05-07 2019-09-20 国网浙江省电力有限公司电力科学研究院 一种变电站内传感器终端接入边缘网关身份认证智能合约
CN111245847A (zh) * 2020-01-15 2020-06-05 北京三未信安科技发展有限公司 轻量级无证书认证方法、客户端及***
CN112350826A (zh) * 2021-01-08 2021-02-09 浙江中控技术股份有限公司 一种工业控制***数字证书签发管理方法和加密通信方法
CN112367175A (zh) * 2020-11-12 2021-02-12 西安电子科技大学 基于sm2数字签名的隐式证书密钥生成方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150095650A1 (en) * 2013-09-27 2015-04-02 Daniel Nemiroff Public key infrastructure for system-on-chip
US20150281278A1 (en) * 2014-03-28 2015-10-01 Southern California Edison System For Securing Electric Power Grid Operations From Cyber-Attack
CN104717211A (zh) * 2015-02-16 2015-06-17 中国南方电网有限责任公司 一种基于加密通信的共享密钥管理的变电站报文分析方法
CN110267270A (zh) * 2019-05-07 2019-09-20 国网浙江省电力有限公司电力科学研究院 一种变电站内传感器终端接入边缘网关身份认证智能合约
CN111245847A (zh) * 2020-01-15 2020-06-05 北京三未信安科技发展有限公司 轻量级无证书认证方法、客户端及***
CN112367175A (zh) * 2020-11-12 2021-02-12 西安电子科技大学 基于sm2数字签名的隐式证书密钥生成方法
CN112350826A (zh) * 2021-01-08 2021-02-09 浙江中控技术股份有限公司 一种工业控制***数字证书签发管理方法和加密通信方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
余勇等: "电力数字证书查询验证服务***的研究", 《电力信息化》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114928486A (zh) * 2022-05-18 2022-08-19 浙江木链物联网科技有限公司 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质
CN114928486B (zh) * 2022-05-18 2023-10-17 浙江木链物联网科技有限公司 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质
CN115277125A (zh) * 2022-07-13 2022-11-01 南京国电南自电网自动化有限公司 一种双向可信安全的变电站遥控方法及其***
CN115277125B (zh) * 2022-07-13 2024-02-13 南京国电南自电网自动化有限公司 一种双向可信安全的变电站遥控方法及其***

Also Published As

Publication number Publication date
CN113364582B (zh) 2022-07-12

Similar Documents

Publication Publication Date Title
EP1714422B1 (en) Establishing a secure context for communicating messages between computer systems
CA2578186C (en) System and method for access control
US8340283B2 (en) Method and system for a PKI-based delegation process
CN110267270B (zh) 一种变电站内传感器终端接入边缘网关身份认证方法
CN101453334B (zh) 基于Novell网络的访问管理方法和***
US20110035582A1 (en) Network authentication service system and method
CN102984127A (zh) 一种以用户为中心的移动互联网身份管理及认证方法
CN113364582B (zh) 一种变电站内通信密钥配置与更新管理的方法
CN110958111A (zh) 一种基于区块链的电力移动终端身份认证机制
CN105872848B (zh) 一种适用于非对称资源环境的可信双向认证方法
CN111131301A (zh) 一种统一鉴权授权方案
CN111107085A (zh) 一种基于发布订阅模式的安全通讯方法
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN104683107A (zh) 数字证书保管方法和装置、数字签名方法和装置
CN104579657A (zh) 身份认证方法及装置
CN113872992B (zh) 一种在BMC***中实现远程Web访问强安全认证的方法
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
WO2021170049A1 (zh) 一种访问行为的记录方法、装置
CN114282267A (zh) 令牌生成方法、令牌验签方法、装置、设备及存储介质
JP2020120173A (ja) 電子署名システム、証明書発行システム、証明書発行方法及びプログラム
JP2020014168A (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
CN112953720A (zh) 一种网络请求处理方法、装置、设备及存储介质
CN114650181B (zh) 电子邮件加解密方法、***、设备及计算机可读存储介质
CN116346423A (zh) 一种智慧物联能源***中的客户数据多重加密***和方法
CN115278676A (zh) 一种wapi证书申请方法与无线终端、证书鉴别器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20221026

Address after: 310014 No. 1, Huadian lane, Zhaohui eighth District, Gongshu District, Hangzhou City, Zhejiang Province

Patentee after: STATE GRID ZHEJIANG ELECTRIC POWER COMPANY LIMITED ELECTRIC POWER Research Institute

Address before: The eight district of Hangzhou city in Zhejiang province 310014 Huadian Zhaohui under No. 1 Lane

Patentee before: STATE GRID ZHEJIANG ELECTRIC POWER COMPANY LIMITED ELECTRIC POWER Research Institute

Patentee before: NR ENGINEERING Co.,Ltd.

TR01 Transfer of patent right