终端网络层及应用层可信接入方法及系统技术方案

本申请公开了一种终端网络层及应用层可信接入方法及系统，该方法包括根据第一认证信息、第二认证信息及终端发送的第三认证信息，生成对称密钥；利用对称密钥生成第一结束信息，以供终端根据第一认证信息、第二认证信息及第三认证信息，生成会话密钥；利用会话密钥对第一结束信息进行解密并在确认解密结果无误后，发送第二结束信息，第二结束信息基于会话密钥生成；利用对称密钥对第二结束信息进行解密，在验证解密数据正确后，终端作为可信终端接入主站，对称密钥用于对终端传输的数据进行解密，得到上报至主站的数据。可见，本申请可以建立可信终端与主站的安全通道，避免不法分子伪造终端与主站交互的情况，从而，维护电网的安全稳定运行。的安全稳定运行。的安全稳定运行。

【技术实现步骤摘要】
终端网络层及应用层可信接入方法及系统


[0001]本申请涉及信息安全防护
，更具体地说，涉及一种终端网络层及应用层可信接入方法及终端网络层及应用层可信接入系统。

技术介绍

[0002]随着配电自动化建设进程的加快，电力物联网建设成为电力通讯发展的重要方向，电力终端与配电主站间的交互与连接使得电力相关数据能够得到感知与反馈控制，进而形成整体的电力生产体系。但存在攻击者伪造终端身份对配电主站进行恶意破坏，此外，攻击者上传至主站的信息易导致主站发出与实际需求不匹配的控制指令，以至于电网无法安全稳定的运行。

技术实现思路

[0003]有鉴于此，本申请提供了一种终端网络层及应用层可信接入方法及一种终端网络层及应用层可信接入系统，用于维护电网的安全稳定运行。
[0004]为了实现上述目的，现提出的方案如下：
[0005]一种终端网络层及应用层可信接入方法，所述方法应用于网关设备，所述网关设备中配置有加密卡驱动硬件，包括：
[0006]接收终端的网络层发送的第一认证信息；
[0007]根据所述第一认证信息，生成第二认证信息；
[0008]将所述第二认证信息发送至所述终端；
[0009]接收所述终端的应用层发送的第三认证信息；
[0010]根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥；
[0011]利用所述对称密钥生成第一结束信息；
[0012]将所述第一结束信息发送至所述终端，以供所述终端的应用层根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成会话密钥；利用所述会话密钥对所述第一结束信息进行解密，得到解密结果，并在确认所述解密结果无误后，发送第二结束信息至所述网关设备，所述第二结束信息基于所述会话密钥生成，所述会话密钥用于对传输的数据进行加密；
[0013]利用所述对称密钥对所述第二结束信息进行解密，得到解密数据；
[0014]验证所述解密数据的正确性，以便验证所述解密数据正确之后，所述终端作为可信终端接入所述网关设备对应的主站，所述对称密钥用于对所述终端传输的数据进行解密，得到所述网关设备上报至主站的数据。
[0015]可选的，根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥，包括：
[0016]调用所述加密卡驱动硬件，根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥。
[0017]可选的，所述第一认证信息包括终端支持的加密方法的标识和SSL协议版本号，以及第一随机数；
[0018]根据所述第一认证信息，生成第二认证信息，包括：
[0019]根据所述第一认证信息中的终端支持的加密方法的标识以及所述网关设备支持的加密方法的标识，选取所述终端及所述网关设备皆支持的任意一种加密方法，作为目标加密方法，所述目标加密方法用于对所述终端及所述网关设备交互的数据进行加密；
[0020]生成第二随机数；
[0021]确定与所述SSL协议版本号匹配的第一CA根证书；
[0022]基于所述目标加密方法的标识、所述第一CA根证书以及所述第二随机数生成所述第二认证信息。
[0023]可选的，所述第三认证信息包括第三随机数；
[0024]所述根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥，包括：
[0025]使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串，并将所述加密串作为对称密钥。
[0026]可选的，所述第三认证信息还包括所述终端对应的第二CA根证书；
[0027]在使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串之前，还包括：
[0028]对所述第二CA根证书的有效性进行验证，得到验证结果；
[0029]在所述验证结果表明所述第二CA根证书可靠之后，返回执行使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串的步骤。
[0030]一种终端网络层及应用层可信接入系统，包括终端及网关设备；
[0031]所述终端，用于利用网络层向所述网关设备发送第一认证信息；在验证所述网关设备发送的第二认证信息无误后，利用应用层向所述网关设备发送第三认证信息；接收到所述网关设备发送的第一结束信息后，利用应用层根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成会话密钥，利用应用层基于所述会话密钥对所述第一结束信息进行验证，得到验证结果，并在所述验证结果表明所述第一结束信息无误后，利用应用层基于所述会话密钥生成第二结束信息，向所述网关设备发送所述第二结束信息，在所述网关设备验证所述第二结束信息无误后，所述终端作为可信终端接入所述网关设备对应的主站；所述会话密钥用于对传输的数据进行加密；
[0032]所述网关设备，用于根据所述第一认证信息生成第二认证信息，向所述终端发送所述第二认证信息；并在验证所述第三认证信息无误后，根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成对称密钥，并基于所述对称密钥生成第一结束信息，向所述终端发送所述第一结束信息；在接收到所述第二结束信息后，利用所述对称密钥对所述第二结束信息进行验证，并在验证所述第二结束信息无误后，确定所述终端为可信终端；所述对称密钥，用于对所述终端传输的数据进行解密，将解密后的结果发送至主站。
[0033]可选的，所述应用层中配置有安全芯片硬件；
[0034]所述安全芯片硬件，用于根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成会话密钥，基于所述会话密钥对所述第一结束信息进行验证，得到验证结果，并在所述验证结果表明所述第一结束信息无误后，基于所述会话密钥生成第二结束信息。
[0035]可选的，所述网关设备中配置有加密卡驱动硬件；
[0036]所述加密卡驱动硬件，用于在验证所述第三认证信息无误后，根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成所述对称密钥，并基于所述对称密钥生成第一结束信息；利用所述对称密钥对所述第二结束信息进行验证。
[0037]可选的，所述第一认证信息包括第一随机数，所述第二认证信息包括第二随机数，所述第三认证信息包括第三随机数；
[0038]所述加密卡驱动硬件，用于在验证所述第三认证信息无误后，根据所述第一认证信息的第一随机数、所述第二认证信息的第二随机数及所述第三认证信息的第三随机数生成所述对称密钥，并基于所述对称密钥生成第一结束信息；利用对称密钥对所述第二结束信息进行验证；
[0039]所述安全芯片硬件，用于根据所述第一认证信息的第一随机数、所述第二认证信息的第二随机数及所述第三认证信息的第三随机数生成会话密钥，基于本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种终端网络层及应用层可信接入方法，其特征在于，所述方法应用于网关设备，所述网关设备中配置有加密卡驱动硬件，包括：接收终端的网络层发送的第一认证信息；根据所述第一认证信息，生成第二认证信息；将所述第二认证信息发送至所述终端；接收所述终端的应用层发送的第三认证信息；根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥；利用所述对称密钥生成第一结束信息；将所述第一结束信息发送至所述终端，以供所述终端的应用层根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成会话密钥；利用所述会话密钥对所述第一结束信息进行解密，得到解密结果，并在确认所述解密结果无误后，发送第二结束信息至所述网关设备，所述第二结束信息基于所述会话密钥生成，所述会话密钥用于对传输的数据进行加密；利用所述对称密钥对所述第二结束信息进行解密，得到解密数据；验证所述解密数据的正确性，以便验证所述解密数据正确之后，所述终端作为可信终端接入所述网关设备对应的主站，所述对称密钥用于对所述终端传输的数据进行解密，得到所述网关设备上报至主站的数据。2.根据权利要求1所述的终端网络层及应用层可信接入方法，其特征在于，根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥，包括：调用所述加密卡驱动硬件，根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥。3.根据权利要求1所述的终端网络层及应用层可信接入方法，其特征在于，所述第一认证信息包括终端支持的加密方法的标识和SSL协议版本号，以及第一随机数；根据所述第一认证信息，生成第二认证信息，包括：根据所述第一认证信息中的终端支持的加密方法的标识以及所述网关设备支持的加密方法的标识，选取所述终端及所述网关设备皆支持的任意一种加密方法，作为目标加密方法，所述目标加密方法用于对所述终端及所述网关设备交互的数据进行加密；生成第二随机数；确定与所述SSL协议版本号匹配的第一CA根证书；基于所述目标加密方法的标识、所述第一CA根证书以及所述第二随机数生成所述第二认证信息。4.根据权利要求3所述的终端网络层及应用层可信接入方法，其特征在于，所述第三认证信息包括第三随机数；所述根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥，包括：使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串，并将所述加密串作为对称密钥。
5.根据权利要求4所述的终端网络层及应用层可信接入方法，其特征在于，所述第三认证信息还包括所述终端对应的第二CA根证书；在使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串之前，还包括：对所述第二CA根证书的有效性进行验证，得到验证结果；在所述验证结果表明所述第二CA根证书可靠之后，返回执行使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串的步骤。6.一种终端网络层及应用层可信接入系统，其特征在于，包括终端及网关设备；所述终端，用于利用网络层向所述网关设备发送第一认...

【专利技术属性】
技术研发人员：崔超，赵云，肖勇，王浩林，林伟斌，蔡梓文，
申请(专利权)人：南方电网科学研究院有限责任公司，
类型：发明
国别省市：