一种能源控制终端策略文件安全加固方法及系统技术方案

本发明专利技术提出了一种能源控制终端策略文件安全加固方法及系统，包括：读取安装策略文件的能源控制终端的CPU识别码和预先生成的策略文件注册码；利用所述CPU识别码对所述策略文件注册码进行解密得到策略认证ID；通过验证所述策略认证ID和预先生成并存储于所述终端上的策略文件认证ID，确定所述能源控制终端是否被授权运行所述策略文件；其中，所述策略文件注册码基于所述策略文件对应的身份认证ID和所述策略终端的CPU识别码生成，解决了能源控制终端设备中的策略文件在未被授权情况下的拷贝运行问题，满足策略安全管理与策略研制最大化解耦需求，降低安全认证信息泄漏风险，降低授权程序由于无法实时在线或认证通信故障而停止服务机率。而停止服务机率。而停止服务机率。

【技术实现步骤摘要】
一种能源控制终端策略文件安全加固方法及系统


[0001]本专利技术涉及终端设备侧应用程序文件安全管理
，具体涉及能源控制终端策略文件安全加固方法及系统。

技术介绍

[0002]随着能源控制终端边缘计算能力的提升，为解决调控时效问题，更多厂家选择将能源优化控制策略打包为独立执行文件在终端中运行，由此产生核心技术安全管理难题，现阶段大多从数据传输加密及终端设备在线安全认证角度解决安全问题，此解决方案一方面使得终端在离线状态下无法正常运行，另一方面无法避免策略文件盗拷至同一型号终端使用的风险。终端策略文件安全加固相关技术逐渐被更厂家重视，但尚未形成成熟方法，仅适用于本厂家策略文件与终端设备的加密绑定，且策略开发与安全认证高内聚，不能独立形成安全加固系统。
[0003]为防止终端设备中的应用程序文件在未被授权或通过拷贝手段在另一设备中执行，目前市场上采用在线认证、硬件加密狗认证两种方式。
[0004]在线授权认证：要求终端设备实时在线，连线授权认证系统，要求终端设备内执行程序固定周期请求认证或通过认证系统心跳检测等方式实现程序文件合法检验。
[0005]硬件加密狗认证：一种插在计算机并行口上的软硬件结合的加密产品。一般都有几十或几百字节的非易失性存储空间可供读写，终端程序文件通过接口函数和加密狗进行数据交换，来检查加密狗是否插在接口上并进行授权认证，是实现离线认证的一种方式。
[0006]现有的硬件加密狗的认证技术，主要是终端设备内部程序在开发编码过程中，需要将一些关键常量由硬件加密狗代管理处理，比如一段程序中有这样一句：A=Fx(3)。程序要根据常量3来得到变量A的值。于是在程序文件原程序这样改写：A=Fx(DogConvert(1)
‑
12342)。那么原程序中就不会出现常量3，而取之以DogConvert(1)
‑
12342。这样，只有软件编写者才知道实际调用的常量是3。而程序文件在终端执行阶段没有与软件加密狗通信成功，DogConvert函数就不能返回正确结果，使为授权程序不能正常在终端内运行。
[0007]其主要存在的缺点为：通过硬件加密狗技术方案可看到，在设计开发阶段程序文件开发都与硬件加密狗开发都接触紧密，同时由于硬件加密狗为独立硬件设备，增加了成本，也要求终端设备具备与硬件加密狗的通信能力，如果连接USB接口等出现故障或硬件加密狗被移除将直接影响授权用户使用体验。

技术实现思路

[0008]为了解决现有技术中存在的问题，本专利技术提供了一种能源控制终端策略文件安全加固方法，包括：读取安装策略文件的能源控制终端的CPU识别码和预先生成的策略文件注册码；利用所述CPU识别码对所述策略文件注册码进行解密得到策略认证ID；
通过验证所述策略认证ID和预先生成并存储于所述终端上的策略文件认证ID，确定所述能源控制终端是否被授权运行所述策略文件；其中，所述策略文件注册码基于所述策略文件对应的身份认证ID和所述策略终端的CPU识别码生成。
[0009]优选的，所述策略文件注册码的生成包括：以策略文件对应的策略文件信息为唯一主键，追加定长随机码生成所述策略文件对应的策略文件认证ID；基于策略文件认证ID和安装所述策略文件的能源控制终端CPU识别码，利用加密程序进行加密运算，生成策略文件注册码。
[0010]优选的，所述策略文件信息包括单位编号、分类编号和策略编号。
[0011]优选的，还包括对策略文件注册码和策略认证ID进行存储。
[0012]优选的，所述生成策略认证ID之后还包括：基于所述策略认证ID修改策略文件。
[0013]优选的，所述策略文件认证ID包括多个字符，依次为：单位编号、分类编号、策略编号和随机码；其中：由单位编号、分类编号和策略编号构成注册码检索标识。
[0014]优选的，所述加密运算包括：国密SM4分组对称加密算法。
[0015]基于同一种专利技术构思，本专利技术还提供一种能源控制终端策略文件安全加固系统，包括：注册码生成模块和解密动态库；所述解密动态库用于：读取安装策略文件的能源控制终端的CPU识别码和预先生成的策略文件注册码；利用所述CPU识别码对所述策略文件注册码进行解密得到策略认证ID；通过验证所述策略认证ID和预先生成并存储于所述终端上的策略文件认证ID，确定所述能源控制终端是否被授权运行所述策略文件；所述注册码生成模块用于：基于所述策略文件对应的身份认证ID和所述策略终端的CPU识别码生成策略文件注册码。
[0016]优选的，所述注册码生成模块包括：策略文件认证ID生成器和注册码生成器；所述策略文件认证ID生成器用于：以策略文件对应的策略文件信息为唯一主键，追加定长随机码生成所述策略文件对应的策略文件认证ID；所述注册码生成器用于：基于策略文件认证ID和安装所述策略文件的能源控制终端CPU识别码，利用加密程序进行加密运算，生成策略文件注册码。
[0017]优选的，所述注册码生成模块还包括：加密动态库，用于存储加密程序，所述加密程序包括国密SM4分组对称加密算法。
[0018]优选的，所述系统还包括：注册码存储文档和策略文件认证ID库；所述注册码存储文档用于对策略文件注册码进行存储；所述策略文件认证ID库用于对策略认证ID进行存储。
[0019]本专利技术有益效果：1）本专利技术提供的一种能源控制终端策略文件安全加固方法及系统包括：读取安装策略文件的能源控制终端的CPU识别码和预先生成的策略文件注册码；利用所述CPU识别码对所述策略文件注册码进行解密得到策略认证ID；通过验证所述策略认证ID和预先生成并存储于所述终端上的策略文件认证ID，确定所述能源控制终端是否被授权运行所述策略文件；其中，所述策略文件注册码基于所述策略文件对应的身份认证ID和所述策略终端的CPU
识别码生成，解决了能源控制终端设备中的策略文件在未被授权情况下的拷贝运行问题，满足策略安全管理与策略研制最大化解耦需求，降低安全认证信息泄漏风险，降低授权程序由于无法实时在线或认证通信故障而停止服务机率；2）本专利技术提供的技术手段实现了本能源控制终端策略文件加密、解密的方法及系统可为不同厂商的策略文件提供统一的加解密服务；同时降低了能源控制终端策略安全管理的硬件成本投入，不需要通过额外引入“加密狗”等硬件设备就可实现策略文件的认证管理；3）本专利技术提供的技术手段实现了策略安全管理与策略研制最大解耦，仅需在策略文件生成阶段写入统一认证代码段；4）本专利技术提供的技术手段实现了在离线状态下策略文件的合法化激活，降低授权程序由于无法实时在线或认证通信故障而停止服务机率；5）本专利技术提供的技术手段避免了一个系统程序出现问题而需全局程序段修改的现象产生。
附图说明
[0020]图1为本专利技术所述方法的流程图；图2为本专利技术所述注册码生成的流程示意图；图3为本专利技术所述策略文件认证过程的流程示意图；图4为本专利技术所述方法的具体实施过程的流程图；图5为本专利技术所述系统的结构示意图。
具体实施方式...

【技术保护点】

【技术特征摘要】
1.一种能源控制终端策略文件安全加固方法，其特征在于，所述方法包括：读取安装策略文件的能源控制终端的CPU识别码和预先生成的策略文件注册码；利用所述CPU识别码对所述策略文件注册码进行解密得到策略认证ID；通过验证所述策略认证ID和预先生成并存储于所述终端上的策略文件认证ID，确定所述能源控制终端是否被授权运行所述策略文件；其中，所述策略文件注册码基于所述策略文件对应的身份认证ID和所述策略终端的CPU识别码生成。2.根据权利要求1所述方法，其特征在于，所述策略文件注册码的生成包括：以策略文件对应的策略文件信息为唯一主键，追加定长随机码生成所述策略文件对应的策略文件认证ID；基于策略文件认证ID和安装所述策略文件的能源控制终端CPU识别码，利用加密程序进行加密运算，生成策略文件注册码。3.根据权利要求1或2所述方法，其特征在于，所述策略文件信息包括单位编号、分类编号和策略编号。4.根据权利要求2所述方法，其特征在于，还包括对策略文件注册码和策略认证ID进行存储。5.根据权利要求3所述方法，其特征在于，所述生成策略认证ID之后还包括：基于所述策略认证ID修改策略文件。6.根据权利要求3所述方法，其特征在于，所述策略文件认证ID包括多个字符，依次为：单位编号、分类编号、策略编号和随机码；其中：由单位编号、分类编号和策略编号构成注册码检索标识。7.根据权利要求2所述的方法，其特征在于，所述加密运算包括：国密...

【专利技术属性】
技术研发人员：李文，林晶怡，张思瑞，李斌，刘畅，张静，李昊，
申请(专利权)人：中国电力科学研究院有限公司，
类型：发明
国别省市：