一种新能源厂站发电单元采集终端安全接入平台的方法技术

本发明专利技术公开了一种新能源厂站发电单元采集终端安全接入平台的方法，包括如下步骤:1)发电单元采集终端请求接入站控系统内网；2)采集终端与安全接入平台的安全接入网关进行双向身份认证；3)安全接入网关的身份认证系统对通信双方进行安全评估和鉴别，根据评价和鉴别结果进行准入或拒绝控制；4)身份认证成功后，采集终端通过与安全接入平台建立通信信道，进行安全数据交互。本发明专利技术实现了数据传输的完整性和保密性，保证了新能源厂站各种发电单元采集终端接入时的通道防护安全。

【技术实现步骤摘要】
一种新能源厂站发电单元采集终端安全接入平台的方法
本专利技术涉及一种新能源厂站发电单元采集终端安全接入平台的方法，属于配电自动化领域。
技术介绍
虚拟专用网络(VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet(互联网)、ATM(异步传输模式)、FrameRelay(帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN的基本原理是创造一个虚拟的网络出口，让你访问目标的所有数据均通过此出口进行发送。它常用在企业级办公系统中，由于是端到端传输，方便用户在异地登录公司网关，具备内网使用权利，而正因如此，这种方法也可以避免机构的审查。但是用VPN技术也存在一些缺陷和风险，主要包括如下几点：1)企业不能直接控制基于互联网的VPN的可靠性和性能，必须依靠提供VPN的互联网服务提供商保证服务的运行；2)企业创建和部署VPN线路并不容易，这种技术需要高水平地理解网络和安全问题，需要认真的规划和配置；3)不同厂商的VPN产品和解决方案总是不兼容的，因为许多厂商不愿意或者不能遵守VPN技术标准；4)当使用无线设备时，VPN有安全风险，在接入点之间漫游特别容易出问题，当用户在接入点之间漫游的时候，任何使用高级加密技术的解决方案都可能被攻破。国家密码管理局在2010年12月份公布了《SM2椭圆曲线公钥密码算法》，SM2算法本质上是一种椭圆曲线算法(ECC)，在细节上，SM2算法规定了签名、验证、密钥交换等具体细节。SM2算法是我国在吸收国际先进成果基础上研制的具有自主知识产权的ECC，它在安全性和实现效率方面相当于或略优于国际同类的ECC，能取代RSA(公钥加密算法)以满足各种应用对公钥密码算法安全性和实现效率的更高需求。参照《SM2椭圆曲线公钥密码算法》第三部分的密钥交换协议的步骤整理描述基于SM2的ECDH密钥交换算法如下：设用户A和B协商获得密钥数据的长度为klen比特，用户A为发起方，用户B为响应方，记用户A和B双方为了获得相同的密钥，应实现如下运算步骤：用户A：步骤1：用随机数发生器产生随机数rA∈[[1,n-1]；步骤2：计算椭圆曲线点RA＝[rA]G＝(x1,y1)；步骤3：将RA发送给用户B；用户B：步骤4：用随机数发生器产生随机数rB∈[1,n-1]；步骤5：计算椭圆曲线点RB＝[rB]G＝(x2,y2)；步骤6：从RB中取出域元素x2，将x2的数据类型转换为整数，计算步骤7：计算步骤8：验证RA是否满足椭圆曲线方程，若不满足则协商失败；否则从RA中取出域元素x1，计算步骤9：计算椭圆曲线点若V是无穷远点，则B协商失败；步骤10：计算KB＝KDF(xV||yv||ZA||ZB,klen)；步骤11：将RA的坐标x1、y1和RB的坐标x2、y2的数据类型转换为比特串，计算SB＝Hash(0x02||yV||Hash(xv||ZA||ZB||x1||y1||x2||y2))；步骤12：将RB、(选项SB)发送给用户A；用户A：步骤13：从RA中取出域元素x1，计算步骤14：计算步骤15：验证RB是否满足椭圆曲线方程，若不满足则协商失败；否则从RB中取出域元素x2，计算步骤16：计算椭圆曲线点若U是无穷远点，则A协商失败；步骤17：计算KA＝KDF(xU||yU||ZA||ZB,klen)；步骤18：将RA的坐标x1、y1和RB的坐标x2、y2的数据类型转换为比特串，计算S1＝Hash(0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))，并检验S1＝SB是否成立，若等式不成立则从B到A的密钥确认失败；步骤19：(选项)计算SA＝Hash(0x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))，并将SA发送给用户B。用户B：步骤20：(选项)计算S2＝Hash(0x03||yv||Hash(xv||ZA||ZB||x1||y1||x2||y2))，并检验S2＝SA是否成立，若等式不成立则从A到B的密钥确认失败。上述，rN表示用户N产生的随机数；K表示会话密钥；PN表示用户N的公钥(SM2公钥)；dN表示用户N的私钥(SM2私钥)；EX(Y)表示用X对Y作加密运算；H(Y)表示对Y作散列运算(SM3算法)；‖表示连接；ZN表示用户N的可辨别标识、部分椭圆曲线系统参数、用户N公钥和rN的杂凑值；Se表示会话可辨别标识；n表示基点G的阶(n是#E(Fq)的素因子)；h表示余因子，h＝#E(Fq)/n，其中n是基点G的阶，KA表示密钥交换协议商定的共享秘密密钥；KB表示密钥交换协议商定的共享秘密密钥，w表示初始预定值，是一个定值；tN表示N的私钥与随机数运算的模值。上述算法中，用户A和用户B可以在不安全的通信信道上通过ECDH(密钥协商算法)交换得到一个共享的秘密钥，但是在采集业务中终端的计算能力有限，在密钥交换过程中无需将所有信息相互传递，安全性差，因此，本专利技术在此基础上提出了一种满足采集业务防护需求的高效密钥交换协议。
技术实现思路
本专利技术提供一种新能源厂站发电单元采集终端安全接入平台的方法，保证了数据传输的保密性和完整性，实现了业务数据的安全过滤和交换，实现了数据的闭环安全传输。为解决上述技术问题，本专利技术所采用的技术方案如下：一种新能源厂站发电单元采集终端安全接入平台的方法，包括如下步骤:1)发电单元采集终端请求接入站控系统内网；2)采集终端与安全接入平台的安全接入网关进行双向身份认证；3)安全接入网关的身份认证系统对通信双方进行安全评估和鉴别，根据评价和鉴别结果进行准入或拒绝控制；4)身份认证成功后，采集终端通过与安全接入平台建立通信信道，进行安全数据交互。为了提高安全性，上述步骤1)中，采集终端的通过增加安全芯片，或通过外置加密认证模块的方式实现终端安全增强、身份鉴别和数据加解密。加密认证模块包括安全检查模块、身份认证模块和安全通信模块；安全检查模块对采集终端的操作系统版本、系统的启动项、特殊位置的磁盘文件进行严格检查，系统在处理采集终端接入时会先检查终端是否具备上述一项或者几项特征参数，依据检查结果判断是否允许该终端与安全接入平台建立连接，彻底杜绝不健康的采集终端接入内网，确保采集终端的安全，从源头杜绝威胁的发生；身份认证模块实现对采集终端外置加密认证模块，并将权威机构签发的数字证书存放在加密认证模块中，通过设计身份认证交换协议，通信双方分别对传入的对端证书进行验证，采集终端接入网络前必须进行由加密认证模块和安全接入平台的CA认证服务器共同保障的双向身份认证，从而保证接入终端的合法性；安全通信模块主要用于保证数据在传输过程中的完整性与机密性。上述步骤2)中的安全接入网关负责建立安全通道和对采集终端进行访问控制，能够保证接入传输的安全和内部被访问的应用系统的安全。上述步骤2)中在采集终端与安全接入平台的安全接入网关之间设有数据隔离组件，数据隔离组件采用2+1本文档来自技高网...

【技术保护点】
1.一种新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：包括如下步骤:1)发电单元采集终端请求接入站控系统内网；2)采集终端与安全接入平台的安全接入网关进行双向身份认证；3)安全接入网关的身份认证系统对通信双方进行安全评估和鉴别，根据评价和鉴别结果进行准入或拒绝控制；4)身份认证成功后，采集终端通过与安全接入平台建立通信信道，进行安全数据交互。

【技术特征摘要】
1.一种新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：包括如下步骤:1)发电单元采集终端请求接入站控系统内网；2)采集终端与安全接入平台的安全接入网关进行双向身份认证；3)安全接入网关的身份认证系统对通信双方进行安全评估和鉴别，根据评价和鉴别结果进行准入或拒绝控制；4)身份认证成功后，采集终端通过与安全接入平台建立通信信道，进行安全数据交互。2.如权利要求1所述的新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：步骤1)中，采集终端的通过增加安全芯片，或通过外置加密认证模块的方式实现终端安全增强、身份鉴别和数据加解密。3.如权利要求2所述的新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：加密认证模块包括安全检查模块、身份认证模块和安全通信模块；安全检查模块对采集终端的操作系统版本、系统的启动项、特殊位置的磁盘文件进行严格检查，系统在处理采集终端接入时会先检查终端是否具备上述一项或者几项特征参数，依据检查结果判断是否允许该终端与安全接入平台建立连接；身份认证模块实现对采集终端外置加密认证模块，并将权威机构签发的数字证书存放在加密认证模块中，通过设计身份认证交换协议，通信双方分别对传入的对端证书进行验证，采集终端接入网络前必须进行由加密认证模块和安全接入平台的CA认证服务器共同保障的双向身份认证，从而保证接入终端的合法性；安全通信模块用于保证数据在传输过程中的完整性与机密性。4.如权利要求1-3任意一项所述的新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：步骤2)中的安全接入网关负责建立安全通道和对采集终端进行访问控制。5.如权利要求4所述的新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：步骤2)中在采集终端与安全接入平台的安全接入网关之间设有数据隔离组件，数据隔离组件采用2+1系统架构,包括内网安全主机、外网安全主机和专用物理隔离数据交换模块3个部分。6.如权利要求1-3任意一项所述的新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：步骤3)中，采集终端通过安全接入网关请求接入，首先根据身份认证协议互相验证对方的合法性，保证只有合法终端才能建立通信通道，在此基础上利用密钥交换协议生成一个安全的对称加密密钥并利用产生的密钥对传输通道进行加密。7.如权利要求6所述的新能源厂站发电单元采集终端安全接入平台的方法，其特征在于：通信通道的安全通过基于SM2的ECDH安全密钥交换协议以及基于数字证书技术的双向身份认证协议来保证，安全隧道在建立时需要通信的双方首先完成身份认证以及密钥协商，只有完成了身份认证的终端，服务端才允许其进行下一步操作，对于不满足密钥协商规范或未完成身份认证的终端，服务端需将发送错误码到终端，加密认...

【专利技术属性】
技术研发人员：金国刚，崔阿军，付嘉渝，张鹏，张小敏，段军红，张宪康，赵博，龙杰，司晓峰，闫晓斌，牛磊，张炜明，赵德伟，庞晓东，吴克河，崔文超，李瑞，
申请(专利权)人：国网甘肃省电力公司电力科学研究院，国网甘肃省电力公司，国家电网公司，华北电力大学，
类型：发明
国别省市：甘肃,62