用于电力物联网南北向安全加密的边缘计算方法及平台技术

本发明专利技术公开了一种用于电力物联网南北向安全加密的边缘计算方法及平台，涉及电力物联网技术领域。该方法包括：主站与边缘设备之间进行身份认证以及确定第一会话密钥；当主站与边缘设备的身份认证均通过后，主站与边缘设备通过第一会话密钥进行业务数据的加解密传输；边缘设备对接入的终端设备进行身份认证以及确定第二会话密钥；当终端设备的身份认证通过后，终端设备通过第二会话密钥对业务数据进行加密后传输至边缘设备。本发明专利技术在电力物联网边

【技术实现步骤摘要】
用于电力物联网南北向安全加密的边缘计算方法及平台


[0001]本专利技术涉及电力物联网
，特别是涉及一种用于电力物联网南北向安全加密的边缘计算方法及平台。

技术介绍

[0002]电力物联网从层次架构上分为云
‑
边
‑
端三个层次，其中云端主要承担数据汇聚处理、调度决策分析，以数据中台、自动化平台为主，边侧则以承担边缘计算的能源路由、边缘代理、智能网关等设备为主，端侧作为数据的采集方，覆盖了传感器、智能断路器、光伏逆变等电网各业务终端。
[0003]以配电物联网为例，一些配电终端、智能网关等设备主要通过光纤、无线组网等方式接入配电自动化系统或物联网平台，其中智能网关承担着配电台区范围内多路终端设备接入的作用，端侧终端具有数量多、种类杂、分布广、碎片化等特点，其暴露于互联网中将带来严峻的电网安全问题。由于当前安全防护措施相对薄弱以及黑客攻击手段增强，导致点多面广、分布广泛的配电物联网面临来自公网或专网的网络攻击风险，进而影响配电系统对用户安全可靠供电。
[0004]随着信息技术发展，电网业务由原先的云端集中计算发展为目前下沉计算和边缘计算：下沉计算往往将电网核心主站分为一二两级节点，一级节点承担数据汇聚分析并生成算法模型，二级节点则作为算法模型的实施方；边缘计算则在靠近数据源头的边缘侧，通过融合网络、计算、存储、应用等核心能力，就近提供满足实时、安全关键需求的服务，通过业务下沉至边缘侧形成本地化部署，有效降低对网络回传带宽的要求和网络负荷。现有的电网主要通过智能网关、融合终端、能源控制器实现边缘计算，其中南向（指边缘侧下行数据通路）主要实现物联网多个终端的接入，实现数据汇聚、就地决策和指令下达，北向（指边缘侧上行数据通路）主要实现数据上送云端主站以及云端指令下达。
[0005]当前电力物联网安全防护手段有限，安全防护技术集中在云
‑
边侧，随着电网各业务的决策分析逐渐下放至边缘侧，边缘侧的安全等级将逐步向云侧趋同。由于边
‑
端侧体系结构复杂、没有统一标准，且终端设备资源有限，不易实现与边缘设备之间较为复杂的认证、加解密，导致边
‑
端侧数据传输暴露在通信网中，容易被截取、篡改。

技术实现思路

[0006]针对边缘侧南北向的差异化安全防护需求，本专利技术提供了一种用于电力物联网南北向安全加密的边缘计算方法及平台，以实现电力物联网全覆盖的信息安全。
[0007]为实现上述目的，本专利技术提供了如下方案：一种用于电力物联网南北向安全加密的边缘计算方法，所述电力物联网包括主站、边缘设备以及终端设备；所述边缘计算方法包括：所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥；
当所述主站与所述边缘设备的身份认证均通过后，所述主站与所述边缘设备通过第一会话密钥进行业务数据的加解密传输；所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥；当所述终端设备的身份认证通过后，所述终端设备通过所述第二会话密钥对业务数据进行加密后传输至所述边缘设备。
[0008]进一步地，所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥，具体包括：所述主站启动与所述边缘设备的双向身份认证流程，将获取设备信息指令发送给所述边缘设备；所述边缘设备根据所述主站的指令将安全芯片序列号和密钥版本号发送至所述主站；所述主站根据认证中心存储的安全芯片序列号和密钥版本号对边缘设备发送的安全芯片序列号和密钥版本号进行有效性验证；当边缘设备发送的安全芯片序列号和密钥版本号的有效性通过验证后，所述主站发送身份认证信息至所述边缘设备；所述边缘设备对所述主站进行身份认证，当所述主站的身份认证通过后，所述边缘设备发送身份认证信息至所述主站；所述主站对所述边缘设备进行身份认证，当所述边缘设备的身份认证通过后，所述主站生成第一会话密钥发送至所述边缘设备；所述边缘设备对所述第一会话密钥进行验证。
[0009]进一步地，所述主站发送身份认证信息至所述边缘设备，具体包括：所述主站生成第一随机数，并使用第一主站认证保护密钥对所述第一随机数进行加密，生成第一密文；所述主站使用主站私钥对所述第一密文进行签名，得到第一签名结果；所述主站将所述第一密文、所述第一签名结果以及主站证书发送至所述边缘设备。
[0010]进一步地，所述边缘设备对所述主站进行身份认证，当所述主站的身份认证通过后，所述边缘设备发送身份认证信息至所述主站，具体包括：所述边缘设备使用主站公钥验证所述主站证书以及所述第一签名结果的有效性，来对所述主站进行身份认证；所述主站私钥与主站公钥为预置的非对称加密密钥；当所述主站的身份认证通过后，所述边缘设备使用第二主站认证保护密钥对所述第一密文进行解密，得到解密后的第一随机数，并生成第二随机数；所述第一主站认证保护密钥与第二主站认证保护密钥为预置的对称加密密钥；所述边缘设备使用第一边缘认证保护密钥对解密后的第一随机数和所述第二随机数进行加密，得到第二密文；所述边缘设备使用边缘私钥对所述第二密文进行签名，得到第二签名结果；所述边缘设备将所述第二密文、所述第二签名结果以及边缘设备证书发送至所述主站。
[0011]进一步地，所述主站对所述边缘设备进行身份认证，当所述边缘设备的身份认证
通过后，所述主站生成第一会话密钥发送至所述边缘设备，具体包括：所述主站使用边缘公钥来验证所述边缘设备证书以及所述第二签名结果的有效性，来对所述边缘设备进行身份认证；所述边缘私钥与边缘公钥为预置的非对称加密密钥；当所述边缘设备的身份认证通过后，所述主站使用第二边缘认证保护密钥对所述第二密文进行解密，来验证所述第一随机数的有效性；所述第一边缘认证保护密钥与第二边缘认证保护密钥为预置的对称加密密钥；当所述主站验证所述第一随机数有效后，使用所述第一随机数、所述第二随机数和所述安全芯片序列号生成密钥因子；所述主站使用会话密钥保护密钥和所述密钥因子进行密码运算，生成第一会话密钥；所述主站使用边缘公钥对所述第一会话密钥和所述第二随机数进行加密，得到第三密文，并将所述第三密文发送至所述边缘设备。
[0012]进一步地，所述边缘设备对所述第一会话密钥进行验证，具体包括：所述边缘设备使用边缘私钥对所述第三密文进行解密，得到解密后的第一会话密钥以及解密后的第二随机数；所述边缘设备验证解密后的第二随机数是否正确，当验证解密后的第二随机数正确后，则确定解密后的第一会话密钥正确。
[0013]进一步地，所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥，具体包括：所述边缘设备启动与所述终端设备的身份认证流程，将获取设备信息指令发送给所述终端设备；所述终端设备生成第三随机数；所述终端设备根据所述边缘设备的指令将终端设备证书、所述第三随机数以及所述终端设备支持的对称加密算法列表发送至所述边缘设备；所述边缘设备通过比对从认证中心获取的终端设备证书和所述终端设备发送的终端设备证书，来对所述终端设备进行身份认证；当所述终端设备通过身份认证后，所述边缘设备生成第四随本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于电力物联网南北向安全加密的边缘计算方法，其特征在于，所述电力物联网包括主站、边缘设备以及终端设备；所述边缘计算方法包括：所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥；当所述主站与所述边缘设备的身份认证均通过后，所述主站与所述边缘设备通过第一会话密钥进行业务数据的加解密传输；所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥；当所述终端设备的身份认证通过后，所述终端设备通过所述第二会话密钥对业务数据进行加密后传输至所述边缘设备。2.根据权利要求1所述的用于电力物联网南北向安全加密的边缘计算方法，其特征在于，所述主站与所述边缘设备之间进行身份认证以及确定第一会话密钥，具体包括：所述主站启动与所述边缘设备的双向身份认证流程，将获取设备信息指令发送给所述边缘设备；所述边缘设备根据所述主站的指令将安全芯片序列号和密钥版本号发送至所述主站；所述主站根据认证中心存储的安全芯片序列号和密钥版本号对边缘设备发送的安全芯片序列号和密钥版本号进行有效性验证；当边缘设备发送的安全芯片序列号和密钥版本号的有效性通过验证后，所述主站发送身份认证信息至所述边缘设备；所述边缘设备对所述主站进行身份认证，当所述主站的身份认证通过后，所述边缘设备发送身份认证信息至所述主站；所述主站对所述边缘设备进行身份认证，当所述边缘设备的身份认证通过后，所述主站生成第一会话密钥发送至所述边缘设备；所述边缘设备对所述第一会话密钥进行验证。3.根据权利要求2所述的用于电力物联网南北向安全加密的边缘计算方法，其特征在于，所述主站发送身份认证信息至所述边缘设备，具体包括：所述主站生成第一随机数，并使用第一主站认证保护密钥对所述第一随机数进行加密，生成第一密文；所述主站使用主站私钥对所述第一密文进行签名，得到第一签名结果；所述主站将所述第一密文、所述第一签名结果以及主站证书发送至所述边缘设备。4.根据权利要求3所述的用于电力物联网南北向安全加密的边缘计算方法，其特征在于，所述边缘设备对所述主站进行身份认证，当所述主站的身份认证通过后，所述边缘设备发送身份认证信息至所述主站，具体包括：所述边缘设备使用主站公钥验证所述主站证书以及所述第一签名结果的有效性，来对所述主站进行身份认证；所述主站私钥与主站公钥为预置的非对称加密密钥；当所述主站的身份认证通过后，所述边缘设备使用第二主站认证保护密钥对所述第一密文进行解密，得到解密后的第一随机数，并生成第二随机数；所述第一主站认证保护密钥与第二主站认证保护密钥为预置的对称加密密钥；所述边缘设备使用第一边缘认证保护密钥对解密后的第一随机数和所述第二随机数进行加密，得到第二密文；
所述边缘设备使用边缘私钥对所述第二密文进行签名，得到第二签名结果；所述边缘设备将所述第二密文、所述第二签名结果以及边缘设备证书发送至所述主站。5.根据权利要求4所述的用于电力物联网南北向安全加密的边缘计算方法，其特征在于，所述主站对所述边缘设备进行身份认证，当所述边缘设备的身份认证通过后，所述主站生成第一会话密钥发送至所述边缘设备，具体包括：所述主站使用边缘公钥来验证所述边缘设备证书以及所述第二签名结果的有效性，来对所述边缘设备进行身份认证；所述边缘私钥与边缘公钥为预置的非对称加密密钥；当所述边缘设备的身份认证通过后，所述主站使用第二边缘认证保护密钥对所述第二密文进行解密，...

【专利技术属性】
技术研发人员：杨英杰，李鹏，习伟，蔡田田，邓清唐，陈波，姚浩，
申请(专利权)人：南方电网数字电网研究院有限公司，
类型：发明
国别省市：