CN115085943A - 用于电力物联网南北向安全加密的边缘计算方法及平台 - Google Patents
用于电力物联网南北向安全加密的边缘计算方法及平台 Download PDFInfo
- Publication number
- CN115085943A CN115085943A CN202210992141.0A CN202210992141A CN115085943A CN 115085943 A CN115085943 A CN 115085943A CN 202210992141 A CN202210992141 A CN 202210992141A CN 115085943 A CN115085943 A CN 115085943A
- Authority
- CN
- China
- Prior art keywords
- edge
- master station
- key
- identity authentication
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/122—Hardware reduction or efficient architectures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种用于电力物联网南北向安全加密的边缘计算方法及平台,涉及电力物联网技术领域。该方法包括:主站与边缘设备之间进行身份认证以及确定第一会话密钥;当主站与边缘设备的身份认证均通过后,主站与边缘设备通过第一会话密钥进行业务数据的加解密传输;边缘设备对接入的终端设备进行身份认证以及确定第二会话密钥;当终端设备的身份认证通过后,终端设备通过第二会话密钥对业务数据进行加密后传输至边缘设备。本发明在电力物联网边‑端侧提供了一种轻量级的认证及加解密的方法,在云‑边侧提供一种高性能、高可靠的认证加密方法,以实现电力物联网全覆盖的信息安全。
Description
技术领域
本发明涉及电力物联网技术领域,特别是涉及一种用于电力物联网南北向安全加密的边缘计算方法及平台。
背景技术
电力物联网从层次架构上分为云-边-端三个层次,其中云端主要承担数据汇聚处理、调度决策分析,以数据中台、自动化平台为主,边侧则以承担边缘计算的能源路由、边缘代理、智能网关等设备为主,端侧作为数据的采集方,覆盖了传感器、智能断路器、光伏逆变等电网各业务终端。
以配电物联网为例,一些配电终端、智能网关等设备主要通过光纤、无线组网等方式接入配电自动化***或物联网平台,其中智能网关承担着配电台区范围内多路终端设备接入的作用,端侧终端具有数量多、种类杂、分布广、碎片化等特点,其暴露于互联网中将带来严峻的电网安全问题。由于当前安全防护措施相对薄弱以及黑客攻击手段增强,导致点多面广、分布广泛的配电物联网面临来自公网或专网的网络攻击风险,进而影响配电***对用户安全可靠供电。
随着信息技术发展,电网业务由原先的云端集中计算发展为目前下沉计算和边缘计算:下沉计算往往将电网核心主站分为一二两级节点,一级节点承担数据汇聚分析并生成算法模型,二级节点则作为算法模型的实施方;边缘计算则在靠近数据源头的边缘侧,通过融合网络、计算、存储、应用等核心能力,就近提供满足实时、安全关键需求的服务,通过业务下沉至边缘侧形成本地化部署,有效降低对网络回传带宽的要求和网络负荷。现有的电网主要通过智能网关、融合终端、能源控制器实现边缘计算,其中南向(指边缘侧下行数据通路)主要实现物联网多个终端的接入,实现数据汇聚、就地决策和指令下达,北向(指边缘侧上行数据通路)主要实现数据上送云端主站以及云端指令下达。
当前电力物联网安全防护手段有限,安全防护技术集中在云-边侧,随着电网各业务的决策分析逐渐下放至边缘侧,边缘侧的安全等级将逐步向云侧趋同。由于边-端侧体系结构复杂、没有统一标准,且终端设备资源有限,不易实现与边缘设备之间较为复杂的认证、加解密,导致边-端侧数据传输暴露在通信网中,容易被截取、篡改。
发明内容
针对边缘侧南北向的差异化安全防护需求,本发明提供了一种用于电力物联网南北向安全加密的边缘计算方法及平台,以实现电力物联网全覆盖的信息安全。
为实现上述目的,本发明提供了如下方案:
一种用于电力物联网南北向安全加密的边缘计算方法,所述电力物联网包括主站、边缘设备以及终端设备;
所述边缘计算方法包括:
所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥;
当所述主站与所述边缘设备的身份认证均通过后,所述主站与所述边缘设备通过第一会话密钥进行业务数据的加解密传输;
所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥;
当所述终端设备的身份认证通过后,所述终端设备通过所述第二会话密钥对业务数据进行加密后传输至所述边缘设备。
进一步地,所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥,具体包括:
所述主站启动与所述边缘设备的双向身份认证流程,将获取设备信息指令发送给所述边缘设备;
所述边缘设备根据所述主站的指令将安全芯片序列号和密钥版本号发送至所述主站;
所述主站根据认证中心存储的安全芯片序列号和密钥版本号对边缘设备发送的安全芯片序列号和密钥版本号进行有效性验证;
当边缘设备发送的安全芯片序列号和密钥版本号的有效性通过验证后,所述主站发送身份认证信息至所述边缘设备;
所述边缘设备对所述主站进行身份认证,当所述主站的身份认证通过后,所述边缘设备发送身份认证信息至所述主站;
所述主站对所述边缘设备进行身份认证,当所述边缘设备的身份认证通过后,所述主站生成第一会话密钥发送至所述边缘设备;
所述边缘设备对所述第一会话密钥进行验证。
进一步地,所述主站发送身份认证信息至所述边缘设备,具体包括:
所述主站生成第一随机数,并使用第一主站认证保护密钥对所述第一随机数进行加密,生成第一密文;
所述主站使用主站私钥对所述第一密文进行签名,得到第一签名结果;
所述主站将所述第一密文、所述第一签名结果以及主站证书发送至所述边缘设备。
进一步地,所述边缘设备对所述主站进行身份认证,当所述主站的身份认证通过后,所述边缘设备发送身份认证信息至所述主站,具体包括:
所述边缘设备使用主站公钥验证所述主站证书以及所述第一签名结果的有效性,来对所述主站进行身份认证;所述主站私钥与主站公钥为预置的非对称加密密钥;
当所述主站的身份认证通过后,所述边缘设备使用第二主站认证保护密钥对所述第一密文进行解密,得到解密后的第一随机数,并生成第二随机数;所述第一主站认证保护密钥与第二主站认证保护密钥为预置的对称加密密钥;
所述边缘设备使用第一边缘认证保护密钥对解密后的第一随机数和所述第二随机数进行加密,得到第二密文;
所述边缘设备使用边缘私钥对所述第二密文进行签名,得到第二签名结果;
所述边缘设备将所述第二密文、所述第二签名结果以及边缘设备证书发送至所述主站。
进一步地,所述主站对所述边缘设备进行身份认证,当所述边缘设备的身份认证通过后,所述主站生成第一会话密钥发送至所述边缘设备,具体包括:
所述主站使用边缘公钥来验证所述边缘设备证书以及所述第二签名结果的有效性,来对所述边缘设备进行身份认证;所述边缘私钥与边缘公钥为预置的非对称加密密钥;
当所述边缘设备的身份认证通过后,所述主站使用第二边缘认证保护密钥对所述第二密文进行解密,来验证所述第一随机数的有效性;所述第一边缘认证保护密钥与第二边缘认证保护密钥为预置的对称加密密钥;
当所述主站验证所述第一随机数有效后,使用所述第一随机数、所述第二随机数和所述安全芯片序列号生成密钥因子;
所述主站使用会话密钥保护密钥和所述密钥因子进行密码运算,生成第一会话密钥;
所述主站使用边缘公钥对所述第一会话密钥和所述第二随机数进行加密,得到第三密文,并将所述第三密文发送至所述边缘设备。
进一步地,所述边缘设备对所述第一会话密钥进行验证,具体包括:
所述边缘设备使用边缘私钥对所述第三密文进行解密,得到解密后的第一会话密钥以及解密后的第二随机数;
所述边缘设备验证解密后的第二随机数是否正确,当验证解密后的第二随机数正确后,则确定解密后的第一会话密钥正确。
进一步地,所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥,具体包括:
所述边缘设备启动与所述终端设备的身份认证流程,将获取设备信息指令发送给所述终端设备;
所述终端设备生成第三随机数;
所述终端设备根据所述边缘设备的指令将终端设备证书、所述第三随机数以及所述终端设备支持的对称加密算法列表发送至所述边缘设备;
所述边缘设备通过比对从认证中心获取的终端设备证书和所述终端设备发送的终端设备证书,来对所述终端设备进行身份认证;
当所述终端设备通过身份认证后,所述边缘设备生成第四随机数,并从所述对称加密算法列表中选择出所述终端设备以及所述边缘设备均支持的对称加密算法;
所述边缘设备将所述第四随机数、所述对称加密算法以及边缘设备证书发送至所述终端设备;
所述终端设备生成第五随机数;
所述终端设备使用所述对称加密算法对所述第三随机数、所述第四随机数以及第五随机数进行加密,得到第二会话密钥;
所述终端设备使用所述边缘设备证书中的边缘公钥对所述第四随机数以及所述第二会话密钥进行加密,得到第四密文,并将所述第四密文发送至所述边缘设备;
所述边缘设备使用边缘私钥对所述第四密文进行解密,得到解密后的第四随机数和解密后的第二会话密钥,验证解密后的第四随机数是否正确,当验证解密后的第四随机数正确后,确定解密后的第二会话密钥正确。
本发明还提供了一种用于电力物联网南北向安全加密的边缘计算平台,包括电力物联网、安全芯片、安全模组以及安全网关;所述电力物联网包括主站、边缘设备以及终端设备;
所述终端设备设置有所述安全芯片,所述安全芯片用于存储身份认证的证书以及加密的密钥;
所述边缘设备设置有所述安全模组,所述安全模组用于实现南向安全服务和北向安全服务;所述南向安全服务为所述边缘设备对所述终端设备进行身份认证以及确定第二会话密钥;所述北向安全服务为所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥;
所述主站设置有安全网关,所述安全网关用于提供网络层的安全服务。
进一步地,所述终端设备采用门卫式方法对业务数据进行加密传输。
进一步地,所述边缘设备和所述主站之间采用IPSec或者TLS/SSL方式进行加密,所述终端设备与所述边缘设备之间根据所述终端设备的协议确定加密方式。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供了一种用于电力物联网南北向安全加密的边缘计算方法及平台。该方法包括:主站与边缘设备之间进行身份认证以及确定第一会话密钥;当主站与边缘设备的身份认证均通过后,边缘设备对终端设备进行身份认证以及确定第二会话密钥;当终端设备的身份认证通过后,终端设备通过第二会话密钥对业务数据进行加密后传输至边缘设备;边缘设备对加密后的业务数据进行解密后再通过第一会话密钥进行加密传输至主站。本发明在电力物联网边-端侧提供了一种轻量级的认证及加解密的方法,在云-边侧提供一种高性能、高可靠的认证加密方法,以实现电力物联网全覆盖的信息安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的用于电力物联网南北向安全加密的边缘计算方法的流程图;
图2为本发明提供的主站与边缘设备之间进行身份认证以及确定第一会话密钥的流程图;
图3为本发明提供的边缘设备对终端设备进行身份认证以及确定第二会话密钥的流程图;
图4为本发明提供的用于电力物联网南北向安全加密的边缘计算平台的结构框图;
图5为本发明提供的客户端与服务器端数据传输的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种用于电力物联网南北向安全加密的边缘计算方法及平台,以实现电力物联网全覆盖的信息安全。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
主站侧预置的密钥包括证书和预置密钥,具体如下:
1、数字证书
2、预置密钥
边缘设备安全芯片预置的密钥列表如下:
终端设备安全芯片预置的密钥列表如下:
会话密钥为协商生成:
本发明提供了一种用于电力物联网南北向安全加密的边缘计算方法,电力物联网包括主站、边缘设备以及终端设备。如图1所示,边缘计算方法包括:以下步骤:
步骤101:主站与边缘设备之间进行身份认证以及确定第一会话密钥。
步骤102:当主站与边缘设备的身份认证均通过后,主站与边缘设备通过第一会话密钥进行业务数据的加解密传输。
步骤103:边缘设备对接入的终端设备进行身份认证以及确定第二会话密钥。
步骤104:当终端设备的身份认证通过后,终端设备通过第二会话密钥对业务数据进行加密后传输至边缘设备。
其中,步骤101具体包括:
为确保边缘设备接入的安全性,防止非法接入,在主站与边缘设备建立通信链路后,需要进行双向身份认证并进行密钥协商。身份认证由主站发起,下级接入的边缘设备进行响应,认证成功后,双方进行会话密钥协商。认证过程的密码运算采用国密商用算法。
为了方便进行身份认证,安全芯片内都需要预置安全芯片序列号ID、认证保护密钥K1、会话密钥保护密钥KC、主站与边缘设备的公私钥对PK&SK,每个安全芯片的认证保护密钥K1。认证保护密钥K1主要用于对认证过程中传输的随机数进行加密保护,不参与其他业务交互。
会话密钥保护密钥KC参与第一会话密钥C的计算,由主站根据会话密钥因子(R)计算后生成本次认证过程中的第一会话密钥C。认证会话保持期间,第一会话密钥C保持不变,一旦认证会话结束后,都需要重新进行身份认证,重新计算生成新的第一会话密钥C。
主站与边缘设备之间进行身份认证以及确定第一会话密钥C的具体流程如图2所示。具体包括:
步骤1011:主站启动与边缘设备的双向身份认证流程,将获取设备信息指令发送给边缘设备。
步骤1012:边缘设备根据主站的指令将安全芯片序列号ID和密钥版本号发送至主站。
步骤1013:主站根据认证中心存储的安全芯片序列号ID和密钥版本号对边缘设备发送的安全芯片序列号ID和密钥版本号进行有效性验证。
步骤1014:当边缘设备发送的安全芯片序列号和密钥版本号的有效性通过验证后,主站发送身份认证信息至边缘设备。主站生成第一随机数R1,并使用第一主站认证保护密钥K1A+对第一随机数R1进行加密,生成第一密文;主站使用主站私钥SKA对第一密文进行签名,得到第一签名结果;主站将第一密文、第一签名结果以及主站证书发送至边缘设备。
步骤1015:边缘设备对主站进行身份认证,当主站的身份认证通过后,边缘设备发送身份认证信息至主站。边缘设备使用主站公钥PKA验证主站证书以及第一签名结果的有效性,来对主站进行身份认证;当主站的身份认证通过后,边缘设备使用第二主站认证保护密钥K1A-对第一密文进行解密,得到解密后的第一随机数R1',并生成第二随机数R2;边缘设备使用第一边缘认证保护密钥K1B+对解密后的第一随机数R1'和第二随机数R2进行加密,得到第二密文;边缘设备使用边缘私钥SKB对第二密文进行签名,得到第二签名结果;边缘设备将第二密文、第二签名结果以及边缘设备证书发送至主站。
步骤1016:主站对边缘设备进行身份认证,当边缘设备的身份认证通过后,主站生成第一会话密钥发送至边缘设备。主站使用边缘公钥PKB来验证边缘设备证书以及第二签名结果的有效性,来对边缘设备进行身份认证;当边缘设备的身份认证通过后,主站使用第二边缘认证保护密钥K1B-对第二密文进行解密,来验证第一随机数R1的有效性;当主站验证第一随机数R1有效后,使用第一随机数R1、第二随机数R2和安全芯片序列号ID生成密钥因子R;主站使用会话密钥保护密钥KC和密钥因子R进行密码运算,生成第一会话密钥C;主站使用边缘公钥PKB对第一会话密钥C和第二随机数R2进行加密,得到第三密文,并将第三密文发送至边缘设备。
步骤1017:边缘设备对第一会话密钥进行验证。边缘设备使用边缘私钥SKA对第三密文进行解密,得到解密后的第一会话密钥C以及解密后的第二随机数R2';边缘设备验证解密后的第二随机数R2'是否正确,当验证解密后的第二随机数R2'正确后,则确定解密后的第一会话密钥C正确。
上述过程中,主站私钥与主站公钥为预置的非对称加密密钥;第一主站认证保护密钥与第二主站认证保护密钥为预置的对称加密密钥;边缘私钥与边缘公钥为预置的非对称加密密钥;第一边缘认证保护密钥与第二边缘认证保护密钥为预置的对称加密密钥。
图3为边缘设备对终端设备进行身份认证以及确定第二会话密钥的流程图。如图3所示,步骤102具体包括:
步骤1021:边缘设备启动与终端设备的身份认证流程,将获取设备信息指令发送给终端设备。
步骤1022:终端设备生成第三随机数R3。
步骤1023:终端设备根据边缘设备的指令将终端设备证书、第三随机数R3以及终端设备支持的对称加密算法列表发送至边缘设备。
步骤1024:边缘设备通过比对从认证中心获取的终端设备证书和终端设备发送的终端设备证书,来对终端设备进行身份认证。
步骤1025:当终端设备通过身份认证后,边缘设备生成第四随机数R4,并从对称加密算法列表中选择出终端设备以及边缘设备均支持的对称加密算法。
步骤1026:边缘设备将第四随机数R4、对称加密算法以及边缘设备证书发送至终端设备。
步骤1027:终端设备生成第五随机数R5。
步骤1028:终端设备使用对称加密算法对第三随机数R3、第四随机数R4以及第五随机数R5进行加密,得到第二会话密钥C'。
步骤1029:终端设备使用边缘设备证书中的边缘公钥PKB对第四随机数R4以及第二会话密钥C进行加密,得到第四密文,并将第四密文发送至边缘设备。
步骤10210:边缘设备使用边缘私钥SKB对第四密文进行解密,得到解密后的第四随机数R4'和解密后的第二会话密钥C',验证解密后的第四随机数R4是否正确,当验证解密后的第四随机数R4正确后,确定解密后的第二会话密钥C'正确。
针对上述方法,本发明还提供了一种用于电力物联网南北向安全加密的边缘计算平台。如图4所示,该***包括电力物联网、安全芯片、安全模组以及安全网关;电力物联网包括主站、边缘设备以及终端设备。终端设备包括环境传感器、电气量传感器、智能断路器等。
终端设备设置有安全芯片,安全芯片用于存储身份认证的证书以及加密的密钥。在终端设备采用安全芯片提供安全服务,将用于身份认证的证书以及加密的密钥存储于安全芯片,增加安全性的同时不额外占用端侧设备的资源,采用门卫式在数据的进出口对采集上送的数据进行加密转发。
边缘设备除了原有的通讯接口、协议转换以及边缘计算外,还设置有安全模组,安全模组用于实现南向安全服务和北向安全服务。南向安全服务为边缘设备对终端设备进行身份认证以及确定第二会话密钥;北向安全服务为主站与边缘设备之间进行身份认证以及确定第一会话密钥。南向服务以应用层加密为主,北向服务以网络层加密为主,包括IPSec或者SSL加密。
主站设置有安全网关,安全网关用于提供网络层的安全服务,为IPSec或者SSL层面的加解密封包提供密钥、证书等。
从终端设备到主站的数据流:
完成身份认证后,终端设备对业务数据进行应用层加密(在报文中增加安全加密帧,用来设备状态管理、身份认证、数据加密)后发送至边缘设备;
在边缘设备对数据进行解密,后续终端设备多个协议在边缘设备转换,一方面数据发送至数据中心进行分类、就地决策分析、节点监测,另一方面对明文数据进行IPSec封包上送主站;
边缘数据通过MQTT协议上送主站,对数据IPSec解封;
从主站到终端设备的数据流:
北向的指令IPSec或SSL封包后通过MQTT协议传输至边缘设备;
边缘侧进行IPSec或SSL解封,数据包应用层加密后转发南向;
南向进行应用层解密,执行指令。
边缘设备和主站之间、终端设备与边缘设备(两者可统称客户端与服务器端)传输数据之前进行加密,如图5所示。
数据采用SM1算法进行加密保护;边缘设备和主站之间采用IPSec或者TLS/SSL方式进行加密,终端设备与边缘设备的数据加密根据终端设备的协议而定,不限于Modbus、DLT645等规约。
针对边缘侧南北向的差异化安全防护需求,本发明在电力物联网边-端侧提供一种轻量级的认证及加解密的方法,在云-边侧提供一种高性能、高可靠的认证加密方法,以实现电力物联网全覆盖的信息安全。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种用于电力物联网南北向安全加密的边缘计算方法,其特征在于,所述电力物联网包括主站、边缘设备以及终端设备;
所述边缘计算方法包括:
所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥;
当所述主站与所述边缘设备的身份认证均通过后,所述主站与所述边缘设备通过第一会话密钥进行业务数据的加解密传输;
所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥;
当所述终端设备的身份认证通过后,所述终端设备通过所述第二会话密钥对业务数据进行加密后传输至所述边缘设备。
2.根据权利要求1所述的用于电力物联网南北向安全加密的边缘计算方法,其特征在于,所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥,具体包括:
所述主站启动与所述边缘设备的双向身份认证流程,将获取设备信息指令发送给所述边缘设备;
所述边缘设备根据所述主站的指令将安全芯片序列号和密钥版本号发送至所述主站;
所述主站根据认证中心存储的安全芯片序列号和密钥版本号对边缘设备发送的安全芯片序列号和密钥版本号进行有效性验证;
当边缘设备发送的安全芯片序列号和密钥版本号的有效性通过验证后,所述主站发送身份认证信息至所述边缘设备;
所述边缘设备对所述主站进行身份认证,当所述主站的身份认证通过后,所述边缘设备发送身份认证信息至所述主站;
所述主站对所述边缘设备进行身份认证,当所述边缘设备的身份认证通过后,所述主站生成第一会话密钥发送至所述边缘设备;
所述边缘设备对所述第一会话密钥进行验证。
3.根据权利要求2所述的用于电力物联网南北向安全加密的边缘计算方法,其特征在于,所述主站发送身份认证信息至所述边缘设备,具体包括:
所述主站生成第一随机数,并使用第一主站认证保护密钥对所述第一随机数进行加密,生成第一密文;
所述主站使用主站私钥对所述第一密文进行签名,得到第一签名结果;
所述主站将所述第一密文、所述第一签名结果以及主站证书发送至所述边缘设备。
4.根据权利要求3所述的用于电力物联网南北向安全加密的边缘计算方法,其特征在于,所述边缘设备对所述主站进行身份认证,当所述主站的身份认证通过后,所述边缘设备发送身份认证信息至所述主站,具体包括:
所述边缘设备使用主站公钥验证所述主站证书以及所述第一签名结果的有效性,来对所述主站进行身份认证;所述主站私钥与主站公钥为预置的非对称加密密钥;
当所述主站的身份认证通过后,所述边缘设备使用第二主站认证保护密钥对所述第一密文进行解密,得到解密后的第一随机数,并生成第二随机数;所述第一主站认证保护密钥与第二主站认证保护密钥为预置的对称加密密钥;
所述边缘设备使用第一边缘认证保护密钥对解密后的第一随机数和所述第二随机数进行加密,得到第二密文;
所述边缘设备使用边缘私钥对所述第二密文进行签名,得到第二签名结果;
所述边缘设备将所述第二密文、所述第二签名结果以及边缘设备证书发送至所述主站。
5.根据权利要求4所述的用于电力物联网南北向安全加密的边缘计算方法,其特征在于,所述主站对所述边缘设备进行身份认证,当所述边缘设备的身份认证通过后,所述主站生成第一会话密钥发送至所述边缘设备,具体包括:
所述主站使用边缘公钥来验证所述边缘设备证书以及所述第二签名结果的有效性,来对所述边缘设备进行身份认证;所述边缘私钥与边缘公钥为预置的非对称加密密钥;
当所述边缘设备的身份认证通过后,所述主站使用第二边缘认证保护密钥对所述第二密文进行解密,来验证所述第一随机数的有效性;所述第一边缘认证保护密钥与第二边缘认证保护密钥为预置的对称加密密钥;
当所述主站验证所述第一随机数有效后,使用所述第一随机数、所述第二随机数和所述安全芯片序列号生成密钥因子;
所述主站使用会话密钥保护密钥和所述密钥因子进行密码运算,生成第一会话密钥;
所述主站使用边缘公钥对所述第一会话密钥和所述第二随机数进行加密,得到第三密文,并将所述第三密文发送至所述边缘设备。
6.根据权利要求5所述的用于电力物联网南北向安全加密的边缘计算方法,其特征在于,所述边缘设备对所述第一会话密钥进行验证,具体包括:
所述边缘设备使用边缘私钥对所述第三密文进行解密,得到解密后的第一会话密钥以及解密后的第二随机数;
所述边缘设备验证解密后的第二随机数是否正确,当验证解密后的第二随机数正确后,则确定解密后的第一会话密钥正确。
7.根据权利要求1所述的用于电力物联网南北向安全加密的边缘计算方法,其特征在于,所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥,具体包括:
所述边缘设备启动与所述终端设备的身份认证流程,将获取设备信息指令发送给所述终端设备;
所述终端设备生成第三随机数;
所述终端设备根据所述边缘设备的指令将终端设备证书、所述第三随机数以及所述终端设备支持的对称加密算法列表发送至所述边缘设备;
所述边缘设备通过比对从认证中心获取的终端设备证书和所述终端设备发送的终端设备证书,来对所述终端设备进行身份认证;
当所述终端设备通过身份认证后,所述边缘设备生成第四随机数,并从所述对称加密算法列表中选择出所述终端设备以及所述边缘设备均支持的对称加密算法;
所述边缘设备将所述第四随机数、所述对称加密算法以及边缘设备证书发送至所述终端设备;
所述终端设备生成第五随机数;
所述终端设备使用所述对称加密算法对所述第三随机数、所述第四随机数以及第五随机数进行加密,得到第二会话密钥;
所述终端设备使用所述边缘设备证书中的边缘公钥对所述第四随机数以及所述第二会话密钥进行加密,得到第四密文,并将所述第四密文发送至所述边缘设备;
所述边缘设备使用边缘私钥对所述第四密文进行解密,得到解密后的第四随机数和解密后的第二会话密钥,验证解密后的第四随机数是否正确,当验证解密后的第四随机数正确后,确定解密后的第二会话密钥正确。
8.一种用于电力物联网南北向安全加密的边缘计算平台,其特征在于,包括电力物联网、安全芯片、安全模组以及安全网关;所述电力物联网包括主站、边缘设备以及终端设备;
所述终端设备设置有所述安全芯片,所述安全芯片用于存储身份认证的证书以及加密的密钥;
所述边缘设备设置有所述安全模组,所述安全模组用于实现南向安全服务和北向安全服务;所述南向安全服务为所述边缘设备对所述终端设备进行身份认证以及确定第二会话密钥;所述北向安全服务为所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥;
所述主站设置有安全网关,所述安全网关用于提供网络层的安全服务。
9.根据权利要求8所述的用于电力物联网南北向安全加密的边缘计算平台,其特征在于,所述终端设备采用门卫式方法对业务数据进行加密传输。
10.根据权利要求8所述的用于电力物联网南北向安全加密的边缘计算平台,其特征在于,所述边缘设备和所述主站之间采用IPSec或者TLS/SSL方式进行加密,所述终端设备与所述边缘设备之间根据所述终端设备的协议确定加密方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210992141.0A CN115085943B (zh) | 2022-08-18 | 2022-08-18 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210992141.0A CN115085943B (zh) | 2022-08-18 | 2022-08-18 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115085943A true CN115085943A (zh) | 2022-09-20 |
| CN115085943B CN115085943B (zh) | 2023-01-20 |
Family
ID=83245126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210992141.0A Active CN115085943B (zh) | 2022-08-18 | 2022-08-18 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115085943B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115695053A (zh) * | 2023-01-03 | 2023-02-03 | 国网浙江省电力有限公司金华供电公司 | 一种配电物联网接入*** |
| CN117527208A (zh) * | 2023-10-27 | 2024-02-06 | 梵迩佳智能科技有限公司 | 一种低压台区量子加密通信技术应用方法及装置 |
| CN118041515A (zh) * | 2024-04-15 | 2024-05-14 | ***紫金(江苏)创新研究院有限公司 | 边缘设备的安全认证方法、装置、设备、存储介质及产品 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160301695A1 (en) * | 2015-04-07 | 2016-10-13 | Tyco Fire & Security Gmbh | Machine-to-Machine and Machine to Cloud End-to-End Authentication and Security |
| CN109167778A (zh) * | 2018-08-28 | 2019-01-08 | 南京邮电大学 | 物联网中终端设备无身份通用认证方法 |
| US20190156019A1 (en) * | 2017-11-22 | 2019-05-23 | Aeris Communications, Inc. | Secure authentication of devices for internet of things |
| CN111083131A (zh) * | 2019-12-10 | 2020-04-28 | 南瑞集团有限公司 | 一种用于电力物联网感知终端轻量级身份认证的方法 |
| CN112073379A (zh) * | 2020-08-12 | 2020-12-11 | 国网江苏省电力有限公司南京供电分公司 | 一种基于边缘计算的轻量级物联网安全密钥协商方法 |
| CN112468445A (zh) * | 2020-10-29 | 2021-03-09 | 广西电网有限责任公司 | 一种面向电力物联网的ami轻量级数据隐私保护方法 |
| CN112468490A (zh) * | 2020-11-25 | 2021-03-09 | 国网辽宁省电力有限公司信息通信分公司 | 一种用于电网终端层设备接入的认证方法 |
| CN113395166A (zh) * | 2021-06-09 | 2021-09-14 | 浙江大学 | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 |
| CN113556307A (zh) * | 2020-04-03 | 2021-10-26 | 国网上海能源互联网研究院有限公司 | 边缘物联代理、接入网关和物联管理平台及安全防护方法 |
| CN113553574A (zh) * | 2021-07-28 | 2021-10-26 | 浙江大学 | 一种基于区块链技术的物联网可信数据管理方法 |
| CN114024757A (zh) * | 2021-11-09 | 2022-02-08 | 国网山东省电力公司电力科学研究院 | 基于标识密码算法的电力物联网边缘终端接入方法及*** |
| CN114422205A (zh) * | 2021-12-30 | 2022-04-29 | 广西电网有限责任公司电力科学研究院 | 一种电力专用cpu芯片网络层数据隧道建立方法 |
-
2022
- 2022-08-18 CN CN202210992141.0A patent/CN115085943B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160301695A1 (en) * | 2015-04-07 | 2016-10-13 | Tyco Fire & Security Gmbh | Machine-to-Machine and Machine to Cloud End-to-End Authentication and Security |
| US20190156019A1 (en) * | 2017-11-22 | 2019-05-23 | Aeris Communications, Inc. | Secure authentication of devices for internet of things |
| CN109167778A (zh) * | 2018-08-28 | 2019-01-08 | 南京邮电大学 | 物联网中终端设备无身份通用认证方法 |
| CN111083131A (zh) * | 2019-12-10 | 2020-04-28 | 南瑞集团有限公司 | 一种用于电力物联网感知终端轻量级身份认证的方法 |
| CN113556307A (zh) * | 2020-04-03 | 2021-10-26 | 国网上海能源互联网研究院有限公司 | 边缘物联代理、接入网关和物联管理平台及安全防护方法 |
| CN112073379A (zh) * | 2020-08-12 | 2020-12-11 | 国网江苏省电力有限公司南京供电分公司 | 一种基于边缘计算的轻量级物联网安全密钥协商方法 |
| CN112468445A (zh) * | 2020-10-29 | 2021-03-09 | 广西电网有限责任公司 | 一种面向电力物联网的ami轻量级数据隐私保护方法 |
| CN112468490A (zh) * | 2020-11-25 | 2021-03-09 | 国网辽宁省电力有限公司信息通信分公司 | 一种用于电网终端层设备接入的认证方法 |
| CN113395166A (zh) * | 2021-06-09 | 2021-09-14 | 浙江大学 | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 |
| CN113553574A (zh) * | 2021-07-28 | 2021-10-26 | 浙江大学 | 一种基于区块链技术的物联网可信数据管理方法 |
| CN114024757A (zh) * | 2021-11-09 | 2022-02-08 | 国网山东省电力公司电力科学研究院 | 基于标识密码算法的电力物联网边缘终端接入方法及*** |
| CN114422205A (zh) * | 2021-12-30 | 2022-04-29 | 广西电网有限责任公司电力科学研究院 | 一种电力专用cpu芯片网络层数据隧道建立方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115695053A (zh) * | 2023-01-03 | 2023-02-03 | 国网浙江省电力有限公司金华供电公司 | 一种配电物联网接入*** |
| CN117527208A (zh) * | 2023-10-27 | 2024-02-06 | 梵迩佳智能科技有限公司 | 一种低压台区量子加密通信技术应用方法及装置 |
| CN117527208B (zh) * | 2023-10-27 | 2024-05-14 | 梵迩佳智能科技有限公司 | 一种低压台区量子加密通信技术应用方法及装置 |
| CN118041515A (zh) * | 2024-04-15 | 2024-05-14 | ***紫金(江苏)创新研究院有限公司 | 边缘设备的安全认证方法、装置、设备、存储介质及产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115085943B (zh) | 2023-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| CN115085943B (zh) | 用于电力物联网南北向安全加密的边缘计算方法及平台 | |
| Hummen et al. | Towards viable certificate-based authentication for the internet of things | |
| CN108650227B (zh) | 基于数据报安全传输协议的握手方法及*** | |
| CN111835752A (zh) | 基于设备身份标识的轻量级认证方法及网关 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及*** | |
| CN110636052B (zh) | 用电数据传输*** | |
| Zhang et al. | A security scheme for intelligent substation communications considering real-time performance | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及*** | |
| CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及*** | |
| CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
| Fei et al. | The research and implementation of the VPN gateway based on SSL | |
| CN102413144B (zh) | 一种用于c/s架构业务的安全接入***及相关接入方法 | |
| CN112399407B (zh) | 一种基于dh棘轮算法的5g网络认证方法及*** | |
| WO2016134631A1 (zh) | 一种OpenFlow报文的处理方法及网元 | |
| CN114422205A (zh) | 一种电力专用cpu芯片网络层数据隧道建立方法 | |
| Wang et al. | A secure solution of V2G communication based on trusted computing | |
| CN113810422A (zh) | 一种基于Emqx broker架构的物联平台设备数据安全连接方法 | |
| CN113051548A (zh) | 一种轻量无扰式的工业安全控制*** | |
| CN210578645U (zh) | 一种加密通信装置和终端 | |
| Yan et al. | Study of WAPI technology and security | |
| Xuan et al. | Lightweight Network Security Protection Strategy for Power IoT in Micro-Grid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |