【技术实现步骤摘要】
本专利技术涉及设备接入认证,具体涉及一种用于非可信传输通道的电力系统通信保护方法。
技术介绍
1、当前电力系统通常采用云管边端的总体设计架构,端侧的采集业务通常依靠各种电力业务终端实现,同时终端与电力系统主站之间的传输通道主要通过非可信的公网传输通道进行业务传输。。终端接入电力系统主站时需利用终端的证书和密钥,采用基于数字签名的身份鉴别机制,验证终端的合法性,仅允许合法终端接入,降低攻击者伪造终端身份接入主站的可能性。但是,由于现在攻击者的技术提升,容易盗取终端私钥,若终端或网关的私钥被盗取,那么,终端或网关之间的通信数据就不会很安全,因此,如何在私钥被盗取的前提下保证终端与网关之间的通信数据安全,是非常有必要研究的。
技术实现思路
1、本专利技术提供一种用于非可信传输通道的电力系统通信保护方法,以解决上述问题。
2、本专利技术通过下述技术方案实现:
3、一种用于非可信传输通道的电力系统通信保护方法,包括:
4、s1、加解密控制模块,与终端和网关均通过量子链路和经典链路连接,所述加解密控制模块通过终端或网关发送报文的发送时间对应生成时间密钥对,所述时间密钥对包括时间公钥和时间私钥,并发送所述时间公钥给所述终端和网关之间的发送端,发送所述时间公钥、时间私钥给所述终端和网关之间的接收端,其中,所述时间私钥通过量子链路传输给接收端,所述时间公钥通过经典链路传输给发送端;
5、s2、所述终端与网关进行身份认证,且进行身份认证所包含的身份信息通
6、s3、在确定所述终端与网关之间的身份认证之后,对所述终端和网关之间的发送端的通信数据和所述通信数据的发送时间通过对应的发送端私钥加密后,再通过所述加解密控制模块基于通信数据的发送时间生成的时间公钥进行加密,并在所述终端和网关之间的接收端通过时间私钥进行解密。
7、作为优化,所述加解密控制模块通过终端或网关发送报文的发送时间对应生成时间密钥对的具体过程为:
8、q1、将发送时间的“时+分”得到的第一数字,将发送时间的“分+秒”得到第二数字,其中,发送时间依照24小时制表示;
9、q2、根据参照表分别找到所述第一数字和第二数字对应的第一素数p和第二素数q;
10、q3、将所述第一素数p和第二素数q相乘得到第三数字n,即n=p*q;
11、q3、将所述第一素数p和第二素数q分别减1再相乘得到第四数字t,即t=(p-1)*(q-1);
12、q4、选择第五数字e,所述第五数字e=t+1;
13、q5、所述时间公钥为(n,e),时间私钥为(n,d)。
14、作为优化,s1中,所述加解密控制模块通过终端发送报文的发送时间对应生成时间密钥对,并将所述时间公钥发送给所述终端、将所述时间公钥、时间私钥发送给所述网关的具体过程为:
15、预计所述终端发送报文的发送时间,且在所述终端在发送报文的前n秒发送时间密钥对请求信号给加解密控制模块,所述加解密控制模块根据预计的所述报文的发送时间生成对应的时间密钥对,分别为时间公钥ca和时间私钥ca′,其中,所述时间公钥ca发送给终端,所述时间公钥ca、时间私钥ca′发送给网关;
16、s1中,所述加解密控制模块通过网关发送报文的发送时间对应生成时间密钥对,并将所述时间公钥发送给所述网关、将所述时间公钥、时间私钥发送给所述终端的具体过程为:
17、预计所述网关发送报文的发送时间,且所述网关在发送报文的前m秒发送时间密钥对请求信号给加解密控制模块,所述加解密控制模块根据预计的所述报文的发送时间生成对应的时间密钥对,分别为时间公钥cb和时间私钥cb′,其中,所述时间公钥cb发送给网关,所述公钥cb、时间私钥cb′发送给终端。
18、作为优化,s2中,进行身份认证的具体过程为:
19、s2.1、确认所述终端与网关之间的通信链路是否正常且安全,若是,则跳转至s2.2,否则,结束通信;
20、s2.2、确认所述终端和网关之间的身份信息。
21、作为优化,s2.1的具体步骤为:
22、s2.1.1、预计所述终端在发送时间a1向所述网关发起链路测试请求,所述加解密控制模块生成时间公钥ca1给所述终端,生成时间公钥ca1、时间私钥ca1′给所述网关,然后获取所述终端的身份标识a,将所述身份标识a与发送时间a1通过所述时间公钥ca1进行加密后得到第一加密文件,并将所述第一加密文件传输至所述网关;
23、s2.1.2、所述网关收到所述第一加密文件后,通过所述时间私钥ca1′对所述第一加密文件进行解密,根据所述时间公钥ca1、时间私钥ca1′与发送时间a1进行对比,判定第一加密文件是否有被篡改,若是,则表示所述终端到网关的通信链路不安全,不进行通信,否则,得到发送时间a1和身份标识a,通过接收所述第一加密文件的接收时间和发送时间a1判断所述终端到网关的通信链路是否通畅,若不通畅,通知维护人员检查;
24、s2.1.3、预计所述网关在发送时间a2向所述终端发起链路测试响应,所述加解密控制模块生成时间公钥cb1给所述网关,生成时间公钥cb1、时间私钥cb1′给所述终端,然后获取所述网关的身份标识b,将所述身份标识b、发送时间b1和发送时间a1通过所述时间公钥cb1进行加密后得到第二加密文件,并将所述第二加密文件传输至所述终端;
25、s2.1.4、所述终端收到所述第二加密文件后,通过所述时间私钥cb1′对所述第二加密文件进行解密,根据所述时间公钥cb1、时间私钥cb1′与发送时间a2进行对比,判定第二加密文件是否有被篡改,若是,则表示所述网关到终端的通信链路不安全,不进行通信,否则,得到发送时间b1和身份标识b,通过接收所述第二加密文件的接收时间和发送时间b1判断所述网关到终端的通信链路是否通畅,若不通畅,通知维护人员检查。
26、作为优化,s2.2的具体步骤为:
27、所述终端向所述网关发起身份认证请求:
28、s2.2.1、预计所述终端在发送时间a2向所述网关发起身份认证请求,所述加解密控制模块生成时间公钥ca2给所述终端,生成时间公钥ca2、时间私钥ca2′给所述网关,然后获取所述终端的身份标识a,将所述身份标识a与发送时间a2通过终端私钥a进行加密得到第一签名文件,然后将第一签名文件、终端公钥a和身份识别a通过所述时间公钥ca2进行加密得到第三加密文件,然后将所述第三加密文件发送给所述网关;
29、s2.2.2、所述网关收到所述第三加密文件后,通过所述时间私钥ca2′对所述第三加密文件进行解密,得到第一签名文件、终端公钥a和身份标识a;
30、s2.2.3、通过s2.2.2得到的身份标识a与s2.1.2得到的身份表示a进行对比,确认一致后以判定所述第三加密文件未被篡本文档来自技高网...
【技术保护点】
1.一种用于非可信传输通道的电力系统通信保护方法,其特征在于,包括:
2.根据权利要求1所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,所述加解密控制模块通过终端或网关发送报文的发送时间对应生成时间密钥对的具体过程为:
3.根据权利要求1所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,S1中,所述加解密控制模块通过终端发送报文的发送时间对应生成时间密钥对,并将所述时间公钥发送给所述终端、将所述时间公钥、时间私钥发送给所述网关的具体过程为:
4.根据权利要求3所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,S2中,进行身份认证的具体过程为:
5.根据权利要求4所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,S2.1的具体步骤为:
6.根据权利要求5所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,S2.2的具体步骤为:
7.根据权利要求1所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,所述加解密控制模块得到预计的所述报
8.根据权利要求6所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,S3的具体步骤为:
9.根据权利要求8所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,在所述网关与终端之间进行通信时,还可以通过将发送时间与对应的密钥对进行对比,判断加密文件是否有被篡改。
10.根据权利要求9所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,对生成时间密钥对的过程进行逆运算,计算得到第一素数P和第二素数Q,然后通过参照表得到对应的第一数字和第二数字,最后判定对应的发送时间的“时+分”是否等于第一数字,同时,发送时间的“分+秒”是否等于第二数字,若同时都相等,说明通信过程中文件未被篡改。
...【技术特征摘要】
1.一种用于非可信传输通道的电力系统通信保护方法,其特征在于,包括:
2.根据权利要求1所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,所述加解密控制模块通过终端或网关发送报文的发送时间对应生成时间密钥对的具体过程为:
3.根据权利要求1所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,s1中,所述加解密控制模块通过终端发送报文的发送时间对应生成时间密钥对,并将所述时间公钥发送给所述终端、将所述时间公钥、时间私钥发送给所述网关的具体过程为:
4.根据权利要求3所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,s2中,进行身份认证的具体过程为:
5.根据权利要求4所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在于,s2.1的具体步骤为:
6.根据权利要求5所述的一种用于非可信传输通道的电力系统通信保护方法,其特征在...
【专利技术属性】
技术研发人员:车向北,曾诗钦,巩俊强,索思亮,李曼,刘岩,叶睿显,
申请(专利权)人:深圳供电局有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。