一种新能源平台终端安全接入认证方法及系统技术方案

本发明专利技术提供一种新能源平台终端安全接入认证方法及系统，属于电力物联网通信技术领域，方法包括：监听现场侧的终端设备并接收终端设备的认证请求；通过IKE协议建立数据安全传输通道将终端设备的认证请求通过加密认证后发送至所场站侧；风机监控系统根据接入认证请求向数字证书管理平台申请终端设备的数字证书并签发；现场侧安全接入认证装置识别终端设备的设备类型，将终端设备的数字证书下载至USBKey设备中或同步导入至现场侧安全接入认证装置和风机监控系统的资产管理装置。杜绝终端设备直接从数字证书管理平台请求下发数字证书，减少外部设备违规接入造成的被攻击破坏而导致数据泄露的风险，实现现场侧终端设备的安全接入和认证。安全接入和认证。安全接入和认证。

【技术实现步骤摘要】
一种新能源平台终端安全接入认证方法及系统


[0001]本专利技术属于电力物联网通信
，更具体地，涉及一种新能源平台终端安全接入认证方法及系统。

技术介绍

[0002]随着新能源厂站的发展，新能源终端应运而生。但是新能源终端通过新能源厂站数据网路由器和电力系统的局域网与主站网关设备进行通信。新能源终端和主站网关设备之间通信安全问题受到人们的极度重视。
[0003]通过将安全接入认证装置部署在新能源厂站的场站侧生产控制大区与现场侧生产控制大区的安全接入区，场站侧安全接入认证装置与现场侧安全接入认证装置之间通过专用光纤连接。场站侧生产控制大区和现场侧生产控制大区之间业务面临以下安全风险问题：（1）数据传输通道不安全带来的数据泄露风险；（2）外部设备违规接入现场侧造成的被攻击被破坏风险；（3）现场侧运维设备未进行管控导致外部攻击通过运维设备对场站侧或其他区域进行破坏的风险。
[0004]其安全隐患主要来自于终端设备接入，导致非法访问、数据被窃取等风险急剧增加，因此将现场侧设备终端安全接入场站侧的中心监控系统，加强其网络通信的安全认证是非常必要的。

技术实现思路

[0005]本专利技术针对现有技术中存在的问题，旨在提供一种新能源平台终端安全接入认证方法及系统，防止安全措施上的不完善使得终端设备接入时面临信息被窃取、干扰等危险，实现现场侧终端设备的安全接入和认证。
[0006]为了实现上述目的，本专利技术的技术方案如下：一种新能源平台终端安全接入认证方法，所述新能源平台包括通信连接的场站侧和现场侧，所述场站侧的风机监控系统与所述现场侧的终端设备通过场站侧安全接入认证装置和现场侧安全接入认证装置通信连接，所述方法包括：步骤S1：所述现场侧安全接入认证装置监听所述现场侧的终端设备并接收所述终端设备的认证请求；步骤S2：通过IKE协议建立数据安全传输通道将所述终端设备的认证请求通过加密认证后发送至所场站侧安全接入认证装置；步骤S3：所述场站侧安全接入认证装置解密所述接入认证请求，所述风机监控系统根据所述接入认证请求向数字证书管理平台申请所述终端设备的数字证书并为所述终端设备签发数字证书；步骤S4：所述现场侧安全接入认证装置识别所述终端设备的设备类型，当所述终
端设备的设备类型为运维终端时，将所述终端设备的数字证书下载至USBKey设备中，当所述终端设备的设备类型为风机PLC时，将所述终端设备的数字证书同步导入至所述现场侧安全接入认证装置和所述风机监控系统的资产管理装置。
[0007]优选的，所述步骤S2包括：步骤S21：接收所述认证请求后触发所述现场侧安全接入认证装置启动IKE协商；步骤S22：通过数字签名对所述现场侧安全接入认证装置和所述场站侧安全接入认证装置进行相互身份认证；步骤S23：所述现场侧安全接入认证装置与所述场站侧安全接入认证装置利用相互身份认证的信息建立数据安全传输通道；步骤S24：在所述数据安全传输通道上协商IPSec参数，按协商好的所述IPSec参数对所述认证请求进行加密和HASH运算后发送至所场站侧安全接入认证装置。
[0008]优选的，所述数据安全传输通道为IPSec隧道或VPN隧道。
[0009]优选的，所述协商IPSec参数包括：加密算法、Hash算法、通道安全协议、封装模式和通道存活时间。
[0010]优选的，所述步骤S1中，将请求接入的所述终端设备的端口号和通配IP地址绑定到对应服务器端的套接字接口，由所述套接字接口调用所述现场侧安全接入认证装置的端口监听，接受所述终端设备的认证请求。
[0011]优选的，所述USBKey设备包括指纹KEY管理模块，所述指纹KEY管理模块用于录入运维人员的指纹并与所述USBKey设备绑定，设备终端安全接入认证方法还包括以下步骤：当所述运维终端发起认证请求，所述现场侧安全接入认证装置生成随机数R发送至所述指纹KEY管理模块，所述指纹KEY管理模块对随机数R进行签名后发送签名值至所述现场侧安全接入认证装置，所述现场侧安全接入认证装置向所述场站侧请求查询对应的数字证书根据所述签名值进行认证，若认证通过，则所述现场侧安全接入认证装置允许运维端口与所述运维终端连通，若认证不通过，则所述现场侧安全接入认证装置保持运维端口不连通。
[0012]优选的，在所述USBKey设备中预置所述数字证书管理平台的根证书。
[0013]优选的，将所述终端设备的数字证书下载至USBKey设备中时，按照特定安全接口下载时间戳到所述USBKey设备中。
[0014]本专利技术还提供一种新能源平台终端安全接入认证系统，所述系统包括通信连接的场站侧和现场侧，所述现场侧包括通信连接的现场侧安全接入认证装置和多个终端设备，所述场站侧包括通信连接的风机监控系统、场站侧安全接入认证装置和数字证书管理平台，所述现场侧安全接入认证装置和所述场站侧安全接入认证装置通过IKE协议建立数据安全传输通道；所述现场侧安全接入认证装置用于监听所述终端设备并接收所述终端设备的认证请求；所述数据安全传输通道用于对所述认证请求进行加密认证；所述场站侧安全接入认证装置用于解密所述接入认证请求并将所述接入认证请求发送至所述风机监控系统；所述风机监控系统用于根据所述接入认证请求向数字证书管理平台申请所述终
端设备的数字证书并为所述终端设备签发数字证书；所述现场侧安全接入认证装置还用于识别所述终端设备的设备类型并根据所述设备类型将所述终端设备的数字证书下载至USBKey设备或同步导入至所述现场侧安全接入认证装置和所述风机监控系统的资产管理装置。
[0015]优选的，所述风机监控系统还包括数据库，所述风机监控系统在所述终端设备首次接入时收集所述终端设备的设备信息并将其存储在所述数据库中，所述设备信息包括设备编号、设备硬件地址、终端设备数字证书、认证服务器设备号、设备时间戳。
[0016]本专利技术的技术方案的有益效果在于：通过部署在现场侧和场站侧的安全接入认证装置采用IKE协议建立数据安全传输通道，现场侧安全接入认证装置扫描监听现场侧的终端设备并将其接入认证请求通过数据安全传输通道进行加密认证后发送至场站侧安全接入认证装置，根据安全可信的认证请求源向数字证书管理平台申请终端设备的数字证书，使终端设备得到安全认证，防止安全措施上的不完善使得终端设备接入时面临信息被窃取、干扰等危险，并根据终端设备的设备类型进行加密存储，基于不同类型的终端设备结合终端设备的标识信息提供对应的受控机制，杜绝终端设备直接从数字证书管理平台请求下发数字证书并下载数字证书，减少或避免外部设备违规接入造成被攻击破坏而导致数据泄露的风险，实现现场侧终端设备的安全接入和认证。
附图说明
[0017]通过结合附图对本专利技术示例性实施方式进行更详细的描述，本专利技术的上述以及其它目的、特征和优势将变得更加明显，其中，在本专利技术示例性实施方式中，相同的参考标号通常代表相同部件。
[0018]图1示出了本专利技术实施例提供的一种新能源平台终端安全接入认证方法的流程示意图；图2示出了本专利技术实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种新能源平台终端安全接入认证方法，其特征在于，所述新能源平台包括通信连接的场站侧和现场侧，所述场站侧的风机监控系统与所述现场侧的终端设备通过场站侧安全接入认证装置和现场侧安全接入认证装置通信连接，所述方法包括：步骤S1：所述现场侧安全接入认证装置监听所述现场侧的终端设备并接收所述终端设备的认证请求；步骤S2：通过IKE协议建立数据安全传输通道将所述终端设备的认证请求通过加密认证后发送至所场站侧安全接入认证装置；步骤S3：所述场站侧安全接入认证装置解密接入认证请求，所述风机监控系统根据所述接入认证请求向数字证书管理平台申请所述终端设备的数字证书并为所述终端设备签发数字证书；步骤S4：所述现场侧安全接入认证装置识别所述终端设备的设备类型，当所述终端设备的设备类型为运维终端时，将所述终端设备的数字证书下载至USBKey设备中，当所述终端设备的设备类型为风机PLC时，将所述终端设备的数字证书同步导入至所述现场侧安全接入认证装置和所述风机监控系统的资产管理装置。2.根据权利要求1所述新能源平台终端安全接入认证方法，其特征在于，所述步骤S2包括：步骤S21：接收所述认证请求后触发所述现场侧安全接入认证装置启动IK协商；步骤S22：通过数字签名对所述现场侧安全接入认证装置和所述场站侧安全接入认证装置进行相互身份认证；步骤S23：所述现场侧安全接入认证装置与所述场站侧安全接入认证装置利用相互身份认证的信息建立数据安全传输通道；步骤S24：在所述数据安全传输通道上协商IPSec参数，按协商好的所述IPSec参数对所述认证请求进行加密和HASH运算后发送至所场站侧安全接入认证装置。3.根据权利要求2所述新能源平台终端安全接入认证方法，其特征在于，所述数据安全传输通道为IPSec隧道或VPN隧道。4.根据权利要求2所述新能源平台终端安全接入认证方法，其特征在于，所述协商IPSec参数包括：加密算法、Hash算法、通道安全协议、封装模式和通道存活时间。5.根据权利要求1所述新能源平台终端安全接入认证方法，其特征在于，所述步骤S1中，将请求接入的所述终端设备的端口号和通配IP地址绑定到对应服务器端的套接字接口，由所述套接字接口调用所述现场侧安全接入认证装置的端口监听，接受所述终端设备的认证请求。6.根据权利要求1所述新能源平台终端安全接入认证方法，其特征在于，所述USBKe...

【专利技术属性】
技术研发人员：张五一，江楠，汤敏杰，刘雪梅，田叶，邓峰，杨乘胜，蒋啸，
申请(专利权)人：南京华盾电力信息安全测评有限公司，
类型：发明
国别省市：