本发明专利技术的电力资产管理主站系统与移动终端之间的通讯方法,通过为RFID终端和管理主站系统提供双向认证,对隐私数据的加密,用数字签名来保证客户端身份的合法性;终端层主要由RFID移动终端和RFID读写模块组成,主要实现电网设备标签的现场安装、贴标信息查询和设备清查等工作。本发明专利技术目可保证电力资产管理主站系统、RFID终端双方之间的通讯安全,通讯双方持有密钥证书,并且只有授权通过后才能建立安全传输通道进行数据传输。
【技术实现步骤摘要】
一种电力资产管理主站系统与RFID终端之间的通讯方法
本专利技术涉及一种安全通讯方法,特别是一种电力资产管理主站系统与RFID终端之间的通讯方法。
技术介绍
电力资产作为电力企业资产构成的最重要组成之一,是完成电力生产经营任务的重要保障,同时对企业财务状况及生产运行起着重大的影响作用,其中移动应用作为电力行业信息化下一步的建设重点之一。由于恶意软件、隐私窃取等移动安全问题日益凸显,信息安全显得尤为重要,国家电网公司信息通信部门对移动应用的数据传输安全问题一直非常关注,先后发布了相关文件用于规范移动数据传输。移动应用相对于目前的信息化建设属于新生模式,其数据传输安全有待验收和考评,如何保证电力资产在移动应用建设中的信息安全是一个急需解决的问题。随着网络化、信息化的不断深入和发展,传统的信息管理系统很多安全隐患:如授权侵犯、假冒、旁路控制等等,虽然人们早已认识到通信服务系统中的安全问题,采取了各种各样的安全措施,如防火墙,入侵检测系统、网络软件加密狗等。但是这些都是基于整个系统或网站层次上的安全措施,无法对系统中的个人用户进行保护。当攻击者绕过系统直接攻击个人用户时,这些安全措施就形同虚设,因此传统的单一的认证手段己不适应应用需求。一般电力资产管理主站系统和RFID终端的通讯过程大都采用单向认证来保证其安全性,即双方只需要一方被另一方鉴别身份,客户端利用服务器传过来的信息验证服务器的合法性,其工作原理是服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的密码方案。由于单向认证没有验证RFID终端的合法性,使得RFID终端很容易被冒充伪造,接入主站后窃取设备台帐等关键生产数据,可能造成的后果不堪设想。以上问题的存在,究其原因主要是没有可靠的技术手段支持通信双方身份合法性和数据的机密性,电力资产信息安全面临着很多困难和挑战,为妥善解决这些问题,提出一种双向认证的安全认证机制,这种新的技术手段成为电力企业资产安全管理创新发展的必然选择。
技术实现思路
本专利技术的目的在于克服现有技术的不足之处,而提供一种能保证电力资产管理主站系统与RFID终端之间的通讯安全方法,即双向认证方法,服务器端和客户端都需要对双方的证书进行认证,只有授权通过后才能建立安全传输通道,安全性较高。一种电力资产管理主站系统与RFID终端之间的通讯方法,(I)由RFID终端管理人员把RFID终端设备信息录入到主站系统,RFID终端状态初始为“未注册”状态,(2)主站系统发布servlet用于RFID终端的入网注册,主要提供的服务有:接收RFID终端请求,自动调用脚本生成包含RFID终端信息client, cer,RFID终端信任库clientTrust.bks,修改RFID终端状态为“已注册”,最后将这两个文件流输出到RFID终端,(3)RFID终端初次使用时由RFID终端保管人员输入用户名、密码、Android ID、主站系统随机生成验证码等信息,最后调用主站系统发布的servlet,保存证书和信任库文件,至此RFID终端入网注册成功,RFID终端和主站系统可进行双向认证通讯,(4)RFID 终端通过 SSLContext 取得 KeyManagerFactory 和 TrustManagerFactory 的 X509密钥管理器实例,在获得BKS密库实例后加载RFID终端证书和私钥,通过读取资源文件的方式读取密钥和信任证书,最后生成SSLSocket,向主站系统发起https请求,(5)主站系统前置服务由MINA框架实现,通过SslContextFactory建立SslFilter加密过滤器,并指定 RFID 终端请求处理工厂 ClientTrustManagerFactory,通过 N1SocketAcceptor 实现SSL Socket端口监听,在收到RFID终端请求后,ClientTrustManagerFactory工厂中的checkClientTrusted用于RFID终端SSL身份验证,通调用X509Certificate类型参数的getSubjectDN方法获得主体名Android ID,根据该ID调用业务逻辑层代码判断此RFID终端是否已注册,(6)对于通过SSL身份认证的RFID终端则进行相关业务数据交互,主站系统对于未通过认证的RFID终端则拒绝接入,并返回相关异常信息。本专利技术的一种电力资产管理主站系统与RFID终端之间的通讯方法,使用通过国网安全认证平台认证的3G上网卡接入到电力内网,向前置服务发出HTTP请求以获得证书文件,请求的数据包含设备唯一码(UUDI)明文;前置服务通过发布HTPPServlet接收、处理请求,通过调用JAVA KEYT00L动态生成android平台的授权证书,包含RFID终端的私钥(KeyStore)和保存服务端的授权证书密钥库(Trust KeyStore)。Android终端上使用的是BC证书,而Java的key too I本身不提供BKS格式,需要通过BouncyCastleProvider把cert格式转换为BKS证书,RFID终端证书生成代码如下: keytool -1mportcert -keystore test, bks -file test, cert -storetype BKS -providerorg.bouncycastle.jce.provider.BouncyCastleProvider。[0011 ] MINA设置SSL过滤器关键代码: Il设置加密过滤器SslFilter sslFilter = new SslFilter (SsIContextFactory.getlnstance (true));Il设置客户连接时需要验证RFID终端证书sslFilter.SetNeedClientAuth(true);chain.addLast(〃sslFilter〃,sslFilter); 认证过程中的关键类: SSLContextFactory -创建和配置 SSLContext 实例ClientTrustManagerFactory -继承 TrustManagerFactory,信任管理器的工厂此工厂实现两个接口方法,分别用于RFID终端和服务端的SSL身份验证:checkServerTrusted(X509Certificate[] chain, StringauthType)检查签名、信任链中证书的有效日期和CRLscheckClientTrusted(X509Certificate[] chain, StringauthType)获取到 RFID 终端的X.509证书,由于RFID终端证书为动态生成,MINA服务启动后,已加载服务端的信任库文件到内存中,如果在之后将生成RFID终端公钥证书加入到此文件中,在重启前置服务前不会立即生效,所以需要改变RFID终端证书的认证策略,在获取到RFID终端证书后,通过调用getSubjectDN方法获得主体名即生成证书时设置的终端设备唯一编号,然后根据编号调用业务逻辑层代码判断此终端是否已注册,返回相应的true或false作为身份验证结本文档来自技高网...
【技术保护点】
一种电力资产管理主站系统与RFID终端之间的通讯方法,其特征在于:(1)由RFID终端管理人员把RFID终端设备信息录入到主站系统,RFID终端状态初始为“未注册”状态,(2)主站系统发布servlet用于RFID终端的入网注册,主要提供的服务有:接收RFID终端请求,自动调用脚本生成包含RFID终端信息client.cer、RFID终端信任库clientTrust.bks,修改RFID终端状态为“已注册”,最后将这两个文件输出到RFID终端,(3)RFID终端初次使用时由RFID终端保管人员输入用户名、密码、Android ID、主站系统随机生成验证码等信息,最后调用主站系统发布的servlet,保存证书和信任库文件,至此RFID终端入网注册成功,RFID终端和主站系统可进行双向认证通讯,(4)RFID终端通过SSLContext取得KeyManagerFactory和TrustManagerFactory的X509密钥管理器实例,在获得BKS密库实例后加移动端载证书和私钥,通过读取资源文件的方式读取密钥和信任证书,最后生成SSLSocket,向主站系统发起https请求,(5)主站系统前置服务由MINA框架实现,通过SslContextFactory建立SslFilter加密过滤器,并指定RFID终端请求处理工厂ClientTrustManagerFactory,通过NioSocketAcceptor实现SSL Socket端口监听,在收到RFID终端请求后,ClientTrustManagerFactory工厂中的checkClientTrusted用于RFID终端 SSL 身份验证,通调用X509Certificate类型参数的getSubjectDN方法获得主体名Android ID,根据该ID调用业务逻辑层代码判断此RFID终端是否已注册,(6)对于通过SSL身份认证的RFID终端则进行相关业务数据交互,主站系统对于未通过认证的RFID终端则拒绝接入,并返回相关异常信息。...
【技术特征摘要】
1.一种电力资产管理主站系统与RFID终端之间的通讯方法,其特征在于:(I)由RFID终端管理人员把RFID终端设备信息录入到主站系统,RFID终端状态初始为“未注册”状态,(2)主站系统发布servlet用于RFID终端的入网注册,主要提供的服务有:接收RFID终端请求,自动调用脚本生成包含RFID终端信息client, cer、RFID终端信任库clientTrust.bks,修改RFID终端状态为“已注册”,最后将这两个文件输出到RFID终端,(3)RFID终端初次使用时由RFID终端保管人员输入用户名、密码、Android ID、主站系统随机生成验证码等信息,最后调用主站系统发布的servlet,保存证书和信任库文件,至此RFID终端入网注册成功,RFID终端和主站系统可进行双向认证通讯,(4)RFID 终端通过 SSLContext 取得 KeyManagerFactory 和 TrustManagerFactory 的 X509密钥管理器实例,在...
【专利技术属性】
技术研发人员:陈景晖,吴飞,陈亚猛,黄晓云,王宏伟,谢石木林,颜巧玲,黄长贵,刘溪土,雷文锋,
申请(专利权)人:国家电网公司,国网福建省电力有限公司,国网福建省电力有限公司泉州供电公司,国网信通亿力科技有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。