【技术实现步骤摘要】
一种基于SDP的新型电力业务终端的安全接入系统
[0001]本专利技术涉及一种基于SDP的新型电力业务终端的安全接入系统,属于电力业务终端的安全接入
技术介绍
[0002]随着我国社会的不断发展,各类分布式能源、电动汽车等大量接入,终端和用户之间更加泛化,网络接入多样化,数量众多的业务类型和异构的业务模式,形成了庞大的业务网络,同时智能交互需求使网络边界更加模糊,海量终端的泛在连接和各类终端的接入,在业务交互时对终端的自身防护、终端的识别和认证、终端的访问控制等方面提出了更大的需求。
[0003]目前电力业务终端的安全接入系统仍然沿用传统安全防护的思路,在终端接入业务系统前,需要先与安全接入区的接入网关建立TCP连接,再采用数字证书的方式实现身份认证,存在如下两点不足:
[0004](1)传统的边界安全理念采用先连接后认证的方式,使业务端口处于对外开放的状态,所以会造成恶意用户或攻击者利用网络漏洞发起网络攻击;
[0005](2)由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据...
【技术保护点】
【技术特征摘要】
1.一种基于SDP的新型电力业务终端的安全接入方法,其特征在于:包括以下步骤:步骤1:当新型电力业务终端上线后,向SDP控制器发送SPA数据包,SPA即单包授权,其中包括时间戳与设备指纹的密文,并使用SM9算法进行签名;步骤2:SDP控制器对于接收到的SPA数据包进行验签处理,验签通过后,通知终端建立TCP连接;步骤3:建立TCP连接后,发送接入请求信息;步骤4:SDP控制器收到终端的接入请求之后,判断终端是否完成SPA授权,对于完成授权终端,利用其SPA包中的随机数R1生成会话标识ID
S
,同时SDP控制器向网关侧发送接入终端的身份信息ID
IH
和本次接入请求的会话标识ID
S
;步骤5:终端根据接入响应数据包中的服务信息Service_List与对应网关的端口建立TCP连接,并完成身份认证;步骤6:利用利用接入终端的身份信息ID
IH
形成会话密钥,建立双向加密隧道。2.如权利要求1所述的基于SDP的新型电力业务终端的安全接入方法,其特征在于:步骤1中,设备指纹ID
IH
由主体属性、环境属性和客体属性构成。3.如权利要求2所述的基于SDP的新型电力业务终端的安全接入方法,其特征在于:步骤1中,连接发起主机IH使用预置的SDP控制器标识ID
SDP
对随机数R1和时间戳Time Stamp进行SM9非对称加密得到密文C1=Enc(R1||TimeStamp,ID
SDP
),其中Enc()为非对称加密算法,并对密文C1及报文头的哈希值做SM9数字签名得到S1=Sign(Hash(type||subtype||ID
IH
||C1),SK
IH
)其中type代表类型即SPA数据包、subtype即子类型、SK
IH
即连接发起主机的私钥,Hash()哈希算法使用SM3算法,Sign()为签名算法,最后得到完整的SPA数据包(type||subtype||ID
IH
||C1||S1),type代表类型即SPA数据包、subtype即子类型,ID
IH
代表设备指纹,C1代表时间戳的密文,S1代表对密文C1及报文头的哈希值做数字签名得到的签名值,并基于UDP协议发送给SDP控制器。4.如权利要求1
‑
3任意一项所述的基于SDP的新型电力业务终端的安全接入方法,其特征在于:步骤2中,SDP控制器对于接收到的SPA数据包进行验签处理,通过使用自身私钥SK
SDP
对数据包做SM9解密,得到随机数R1和时间戳,并根据SPA数据包中的时间戳信息判断数据新鲜度,对于超时的数据包直接做丢弃处理,随后根据管理策略动态开放防火墙端口并利用ICMP协议发送消息(type||subtype||C2||S2)到终端通知其建立TCP连接,其中type代表类型即SPA数据包、subtype即子类型,其中密文C2=Enc(Port||TimeStamp,ID
IH
),其中Enc()为非对称加密算法,Port代表端口号,Time Stamp代表时间戳,ID
IH
代表设备指纹,其中S2=Sign(Hash(type||subtype||C2),SK
SDP
),Sign()为签名算法,Hash()为哈希算法,C2代表由非对称加密算法生成的密文,type代表类型即SPA数据包,subtyp...
【专利技术属性】
技术研发人员:吴克河,张继宇,程瑞,程伟,崔文超,
申请(专利权)人:华北电力大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。