边缘物联代理、接入网关和物联管理平台及安全防护方法技术

本发明专利技术公开了一种边缘物联代理、接入网关和物联管理平台及安全防护方法，用于安全防护装置的边缘物联代理分别与用于安全防护装置的接入网关和物联管理平台通讯连接，边缘物联代理中的第一验证模块用于与所述接入网关进行双向身份认证和密钥协商；有效避免了伪造边缘物联代理的接入及边缘物联代理与接入网关交互数据时发生泄露等风险；同时边缘物联代理中的第二验证模块用于在与所述接入网关进行的双向身份认证和密钥协商成功之后，与物联管理平台进行双向身份认证，通过认证后与物联管理平台进行业务数据传输，确保大规模数量的边缘物联代理安全接入物联管理平台，保障配电物联网的安全稳定运行。联网的安全稳定运行。联网的安全稳定运行。

【技术实现步骤摘要】
边缘物联代理、接入网关和物联管理平台及安全防护方法


[0001]本专利技术涉及泛在电力物联网中配电物联网
，具体涉及一种边缘物联代理、接入网关和物联管理平台及安全防护方法。

技术介绍

[0002]随着能源互联网的推进，配电物联网作为泛在电力物联网在配电网的应用落地，是传统电力工业技术与物联网技术深度融合产生的一种新型电力网络运行形态。通过赋予配电网设备灵敏准确的感知能力及设备间互联、互通、互操作功能，构建基于软件定义的高度灵活和分布式智能协作的配电网络体系，满足配电网精益化管理需求，支撑能源互联网快速发展。在能源互联网快速发展的过程中，进行互联网的安全防护是重中之重，在中国2019年5月，国家市场监督管理总局和中国国家标准化管理委员会联合发布了《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)，将云计算安全、物联网安全防护以及主动防御技术纳入第三级系统的扩展要求。
[0003]如图1所示的配电物联网架构中可以看出，边缘物联代理一方面将自身采集的信息通过标准化手段上传至物联管理平台，另一方面成为本地计算“大脑本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种边缘物联代理，其特征在于，所述边缘物联代理用于安全防护装置，且分别与用于安全防护装置的接入网关和物联管理平台通讯连接，所述边缘物联代理包括：第一验证模块和第二验证模块；所述第一验证模块，用于与所述接入网关进行双向身份认证和密钥协商；所述第二验证模块，用于在与所述接入网关进行的双向身份认证和密钥协商成功之后，与物联管理平台进行双向身份认证，通过认证后与物联管理平台进行业务数据传输。2.如权利要求1所述的边缘物联代理，其特征在于，所述第一验证模块，包括：会话申请子模块，用于将边缘物联代理设备证书封装成会话申请报文，并发送给接入网关；网关身份认证子模块，用于接收接入网关基于所述会话申请报文发送的密钥协商请求报文，并基于预置的接入网关证书中的公钥对所述密钥协商请求报文进行验证，当通过验证时则调用密钥协商响应子模块，否则向接入网关返回接入网关的身份认证失败；所述密钥协商响应子模块，用于生成边缘物联代理的随机数，并对所述密钥协商请求报文和边缘物联代理的随机数进行计算，得到密钥、第一代理校验值和第二代理校验值，同时将包含所述边缘物联代理的随机数和所述第二代理校验值的密钥协商素材封装成密钥协商响应报文发送给接入网关；会话确认子模块，用于接收接入网关基于密钥协商响应报文发送的会话确认报文，并解析所述会话确认报文提取验证码，当验证码错误时，则与接入网关的协商失败；当验证码正确时，将验证码中的第一网关校验值与所述第一代理校验值进行对比，如果相同则将当前密钥作为传输密文时的会话密钥，否则密钥协商失败。3.如权利要求2所述的边缘物联代理，其特征在于，所述密钥协商响应子模块，包括：密钥协商素材获取单元，用于从密钥协商请求报文中获取密钥协商素材；边缘物联代理密钥生成单元，用于生成边缘物联代理的随机数，并基于所述边缘物联代理的随机数、边缘物联代理ID、边缘物联代理的私钥和接入网关的公钥与所述密钥协商请求报文中的密钥协商素材进行计算，得到密钥及第一代理校验值和第二代理校验值；边缘物联代理签名及封装单元，用于采用边缘物联代理的私钥对包含边缘物联代理生成的随机数、边缘物联代理ID、会话的可辨别标识和第二代理校验值的密钥协商素材进行签名，生成签名值，同时将所述签名值和密钥协商素材封装成密钥协商响应报文发送给接入网关。4.如权利要求1所述的边缘物联代理，其特征在于，所述第二验证模块，包括：发送认证申请报文单元，用于向物联管理平台发送认证申请报文；确认并发起认证单元，用于接收物联管理平台基于所述认证申请报文发送的认证请求，保存所述认证请求中物联管理平台的随机数；还用于生成边缘物联代理的随机数，并将所述物联管理平台的随机数和边缘物联代理的随机数签名后生成验证报文发送给物联管理平台；返回认证结果单元，用于接收物联管理平台基于所述验证报文发送的响应认证报文，并基于所述响应认证报文对物联管理平台的身份进行认证，当通过认证后，与物联管理平台进行业务数据传输。5.一种配电物联网的安全防护方法，其特征在于，包括：
边缘物联代理与接入网关之间进行双向身份认证和密钥协商；当所述边缘物联代理与接入网关进行的双向身份认证和密钥协商成功之后，所述边缘物联代理与物联管理平台进行双向身份认证，通过认证后与物联管理平台进行业务数据传输。6.如权利要求5所述的方法，其特征在于，所述边缘物联代理与接入网关之间进行双向身份认证和密钥协商，包括：边缘物联代理将边缘物联代理设备证书封装成会话申请报文，并发送给接入网关；所述边缘物联代理接收接入网关基于所述会话申请报文发送的密钥协商请求报文，并基于预置的接入网关证书中的公钥对所述密钥协商请求报文进行验证，当未通过验证时则向接入网关返回接入网关的身份认证失败，否则执行：生成边缘物联代理的随机数，并对所述密钥协商请求报文和边缘物联代理的随机数进行计算，得到密钥、第一代理校验值和第二代理校验值，同时将包含所述边缘物联代理的随机数和所述第二代理校验值的密钥协商素材封装成密钥协商响应报文发送给接入网关；所述边缘物联代理接收接入网关基于密钥协商响应报文发送的会话确认报文，并解析所述会话确认报文提取验证码，当验证码错误时，则与接入网关的协商失败；当验证码正确时，将验证码中的第一网关校验值与所述第一代理校验值进行对比，如果相同则将当前密钥作为传输密文时的会话密钥，否则密钥协商失败。7.如权利要求6所述的方法，其特征在于，所述生成边缘物联代理的随机数，并对所述密钥协商请求报文和边缘物联代理的随机数进行计算，得到密钥、第一代理校验值和第二代理校验值，同时将所述边缘物联代理的随机数和所述第二代理校验值封装成密钥协商响应报文发送给接入网关，包括：从密钥协商请求报文中获取密钥协商素材；生成边缘物联代理的随机数，并基于所述...

【专利技术属性】
技术研发人员：何连杰，李二霞，亢超群，李玉凌，杨红磊，常方圆，孙智涛，许保平，樊勇华，
申请(专利权)人：国家电网有限公司国网江苏省电力有限公司电力科学研究院中国电力科学研究院有限公司，
类型：发明
国别省市：