基于边缘计算的智能变电站安全通信方法及系统技术方案

本发明专利技术公开了一种基于边缘计算的智能变电站安全通信方法及系统，其提出了基于边缘计算的智能变电站安全通信策略，为资源受限的终端设备提供共享的代理计算服务，大大减少了终端设备处理安全报文的时间，可以很好地满足通信报文的高规格延迟要求。而针对边缘服务器和终端设备的接入风险管控问题，提出了一种轻量级的双向身份认证协议，安全风险低、实时认证效率高且具有轻量化属性，更适用于变电站收发时敏业务主体与边缘服务器的实时交互。并且，考虑到服务器风险等级较低且性能较高、而终端设备风险等级高且性能较低的特点，提出了对服务器进行弱认证、对终端设备进行强认证的不对称双向认证模式，减少了终端设备的计算负担，提高了认证效率。提高了认证效率。提高了认证效率。

【技术实现步骤摘要】
基于边缘计算的智能变电站安全通信方法及系统


[0001]本专利技术涉及智能变电站安全通信
，特别地，涉及一种基于边缘计算的智能变电站安全通信方法及系统、电子设备、计算机可读取的存储介质。

技术介绍

[0002]随着新型电力系统的建设与发展，基于IEC 61850标准的智能变电站正在朝着网络化、智能化、透明化的方向不断推进，极大地提高了智能变电站的操作性与兼容性。然而，由于信息层与物理层的高度耦合，给通信网络的安全稳定运行带来了极大隐患，使得电力网络遭受恶意攻击的可能性越来越高，智能变电站已成为网络攻防对抗的关键场所。IEC 62351标准的颁布为智能变电站的通信安全问题提供了解决方向，但安全防护措施的应用必然导致计算效率降低和通信延迟增加，进而降低了通信报文的实时性，而通信超时将会造成决策失误、事态扩大等恶劣影响。因此，需要在通信报文的安全防护策略中平衡实时效率与安全等级。虽然现有研究已为智能变电站通信业务的安全交付和实时响应探索了有效的方向，但仍然存在诸多不足之处，一方面，现有研究多数基于国际密码体系开展，存在被后门攻击利用的安全隐患，另一方面，对通信报文的安全需求考虑不够全面以及缺乏应对网络攻击的有效防御策略。

技术实现思路

[0003]本专利技术提供了一种基于边缘计算的智能变电站安全通信方法及系统、电子设备、计算机可读取的存储介质，以解决现有智能变电站通信无法满足高安全性且低延时响应的技术问题。
[0004]根据本专利技术的一个方面，提供一种基于边缘计算的智能变电站安全通信方法，包括以下内容：
[0005]为智能变电站配置边缘服务器以提供代理服务；
[0006]将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；
[0007]将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；
[0008]对报文主体与边缘服务器执行不对称双向身份验证，若认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；
[0009]根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器，边缘服务器对接收的报文任务进行代理计算。
[0010]进一步地，所述将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册的过程包括以下内容：
[0011]通过每个子域中的一台终端设备发送包含自身身份标识的注册请求至对应的边缘服务器，边缘服务器基于第三方可信机构的公钥、终端设备的身份标识和边缘服务器的
身份标识进行加密计算生成密文后发送给第三方可信机构，请求对终端设备的合法性进行验证；
[0012]第三方可信机构对终端设备的身份标识和边缘服务器的身份标识验证通过后，向边缘服务器分发其与该子域多台终端设备的共享密钥，并基于第三密钥对中的公钥、自身身份标识、共享密钥进行加密计算生成密文后发送给边缘服务器，并将共享密钥存储至自身数据库中；
[0013]边缘服务器接收到密文后利用第三密钥对中的私钥进行解密，恢复出共享密钥，并根据自身代理的终端设备数量对共享密钥执行分片操作，将其分割成多个共享子密钥，为对应子域中的每个终端设备各分配一个共享子密钥，并为每个终端设备配置一个影子身份标识；
[0014]根据边缘服务器代理的终端设备数量从边缘服务器的身份标识中提取出对应数量的标识片段，基于共享子密钥和标识片段计算得到哈希身份标识，通过安全信道将影子身份标识、共享子密钥和哈希身份标识合并后对应发送至不同的终端设备，并基于影子身份标识、共享子密钥、哈希身份标识和终端设备的身份标识生成注册信息表存储在自身数据库中；
[0015]终端设备接收到其对应的影子身份标识、共享子密钥和哈希身份标识后，利用其私密口令和身份标识计算得到用户身份验证码，基于共享子密钥对其身份标识进行加密计算得到身份密文信息，并基于用户身份验证码和共享子密钥计算共享子密钥变体，并将共享子密钥变体、用户身份验证码、影子身份标识、身份密文信息和哈希身份标识关联存储在自身数据库中。
[0016]进一步地，所述对报文主体与边缘服务器执行不对称双向身份验证的过程具体为：
[0017]在用户输入自己的用户名和口令后计算得到用户身份信息码，对比用户身份信息码与用户身份验证码是否相同，若相同则用户身份验证通过，并基于用户身份信息码和共享子密钥变体恢复得到共享子密钥；
[0018]终端设备基于身份密文信息和共享子密钥生成密钥密文信息，并提取当前时间戳，将影子身份标识、密钥密文信息、身份密文信息和当前时间戳合并生成设备身份验证码后发送给边缘服务器；
[0019]边缘服务器接收到设备身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则基于影子身份标识从自身数据库中查找得到对应的共享子密钥，并基于查找得到的共享子密钥和接收到的身份密文信息计算密钥验证信息，对比密钥验证信息和密钥密文信息是否相同，若相同则基于共享子密钥和身份密文信息进行解密，得到终端设备的身份标识，并判断终端设备的身份标识是否属于注册信息表中的合法设备，若属于则对终端设备的身份验证通过；
[0020]边缘服务器基于存储的哈希身份标识和共享子密钥计算得到服务器身份信息，并提取当前时间戳，将哈希身份标识、服务器身份信息和当前时间戳合并为服务器身份验证码后发送给终端设备；
[0021]终端设备接收到服务器身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则比对接收的哈希身份标识与自身存储的哈希身份标识是否相
同，若相同则使用自身存储的共享子密钥和哈希身份标识计算得到服务器身份验证信息，比对服务器身份验证信息和接收到的服务器身份信息是否相同，若相同则对服务器的身份验证通过。
[0022]进一步地，所述为智能变电站配置边缘服务器以提供代理服务的过程具体为：
[0023]将智能变电站通信网络划分成不同的子域，每个子域通过配置防御资源形成安全防护边界，对于每一个子域，为其配置边缘服务器以提供代理服务。
[0024]进一步地，所述将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册的过程具体为：
[0025]每个终端设备发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断终端设备合法后为其随机生成用于加解密的第一密钥对和用于签名与验证的第二密钥对；
[0026]第三方可信机构提取自身公钥，并将第一密钥对、第二密钥对和自身公钥合并为第一身份注册码发送给终端设备，并将第一密钥对、第二密钥对和终端设备的身份标识关联存储在自身数据库中；
[0027]每个边缘服务器发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断边缘服务器合法后为其随机生成第三密钥对；
[0028]第三方可信机构提取自身公钥，并将第三密钥对和自身公钥合并为第二身份注册码发送给边缘服务器，并将本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于边缘计算的智能变电站安全通信方法，其特征在于，包括以下内容：为智能变电站配置边缘服务器以提供代理服务；将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；对报文主体与边缘服务器执行不对称双向身份验证，若认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器，边缘服务器对接收的报文任务进行代理计算。2.如权利要求1所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册的过程包括以下内容：通过每个子域中的一台终端设备发送包含自身身份标识的注册请求至对应的边缘服务器，边缘服务器基于第三方可信机构的公钥、终端设备的身份标识和边缘服务器的身份标识进行加密计算生成密文后发送给第三方可信机构，请求对终端设备的合法性进行验证；第三方可信机构对终端设备的身份标识和边缘服务器的身份标识验证通过后，向边缘服务器分发其与该子域多台终端设备的共享密钥，并基于第三密钥对中的公钥、自身身份标识、共享密钥进行加密计算生成密文后发送给边缘服务器，并将共享密钥存储至自身数据库中；边缘服务器接收到密文后利用第三密钥对中的私钥进行解密，恢复出共享密钥，并根据自身代理的终端设备数量对共享密钥执行分片操作，将其分割成多个共享子密钥，为对应子域中的每个终端设备各分配一个共享子密钥，并为每个终端设备配置一个影子身份标识；根据边缘服务器代理的终端设备数量从边缘服务器的身份标识中提取出对应数量的标识片段，基于共享子密钥和标识片段计算得到哈希身份标识，通过安全信道将影子身份标识、共享子密钥和哈希身份标识合并后对应发送至不同的终端设备，并基于影子身份标识、共享子密钥、哈希身份标识和终端设备的身份标识生成注册信息表存储在自身数据库中；终端设备接收到其对应的影子身份标识、共享子密钥和哈希身份标识后，利用其私密口令和身份标识计算得到用户身份验证码，基于共享子密钥对其身份标识进行加密计算得到身份密文信息，并基于用户身份验证码和共享子密钥计算共享子密钥变体，并将共享子密钥变体、用户身份验证码、影子身份标识、身份密文信息和哈希身份标识关联存储在自身数据库中。3.如权利要求2所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述对报文主体与边缘服务器执行不对称双向身份验证的过程具体为：在用户输入自己的用户名和口令后计算得到用户身份信息码，对比用户身份信息码与用户身份验证码是否相同，若相同则用户身份验证通过，并基于用户身份信息码和共享子密钥变体恢复得到共享子密钥；
终端设备基于身份密文信息和共享子密钥生成密钥密文信息，并提取当前时间戳，将影子身份标识、密钥密文信息、身份密文信息和当前时间戳合并生成设备身份验证码后发送给边缘服务器；边缘服务器接收到设备身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则基于影子身份标识从自身数据库中查找得到对应的共享子密钥，并基于查找得到的共享子密钥和接收到的身份密文信息计算密钥验证信息，对比密钥验证信息和密钥密文信息是否相同，若相同则基于共享子密钥和身份密文信息进行解密，得到终端设备的身份标识，并判断终端设备的身份标识是否属于注册信息表中的合法设备，若属于则对终端设备的身份验证通过；边缘服务器基于存储的哈希身份标识和共享子密钥计算得到服务器身份信息，并提取当前时间戳，将哈希身份标识、服务器身份信息和当前时间戳合并为服务器身份验证码后发送给终端设备；终端设备接收到服务器身份验证码后，基于接收时间和发送时...

【专利技术属性】
技术研发人员：朱宏宇，田建伟，陈乾，林海，宋宇飞，田峥，刘绚，孙毅臻，杨芳僚，
申请(专利权)人：国网湖南省电力有限公司信息通信分公司国家电网有限公司，
类型：发明
国别省市：