一种基于国网加密协议的加密方法与流程

本发明涉及10kv配网自动化技术领域，具体的说是一种基于国网加密协议的加密方法。

背景技术：

在我国配电网系统中，配电网涉及面广、影响面大，是重要的公用基础设施，它直接关系到工农业生产、市政建设及广大人民生活等安全可靠供电的需要。随着电力自动化和通信技术的进步，在配电行业配电自动化技术得到广泛的应用，配电自动化技术是对配电网系统正常运行状态和事故情况所进行的监测、控制、维修和管理，进而确保配电网系统安全、稳定运行。通过借助先进的自动化控制技术和网络技术等对配电网的工作状态予以实时监控和管理，不仅能够促使配电网系统的综合性能大幅提升，而且还能够确保配电网系统在故障发生后迅速恢复供电。

数据的接入和传输是配电自动化环节中最基础的一环，现有技术对于终端设备接入主站采用明文的iec101协议或者iec104协议，该协议只是对tcp协议做了进一步的封装，目前在采用中国电网加密协议之后数据接入和传输都采用密文，这对升级改造后的ftu提出了挑战，数据接入和传输的安全性和长时间运行的稳定性都有新的要求。

随着中国电网对电力通信的安全性要求日益增强，终端设备越来越多的采用加密协议，老旧的老化系统局限性越来越大。

基于此，针对上述现状中存在的局限性，本发明提出了一种基于国网加密协议的加密方法，通过长时间运行来验证数据接入和传输的准确性，使得终端设备在接入主站和数据传输过程中安全性显著增强。

技术实现要素：

本发明的目的在于针对已有技术存在的缺陷，提供一种基于国网加密协议的加密方法，可以提高主站和终端设备之间通讯的安全性和准确性。

本发明解决其技术问题所采用的技术方案是：

一种基于国网加密协议的加密方法，包括以下步骤：

步骤1、终端设备与ftu老化系统的网关服务进行非对称加密的双向身份认证，并判断是否成功接收到安全认证参数；如果是，则进入步骤2；如果否，则结束；

步骤2、当终端设备与网关服务双向认证成功时，终端设备再与ftu老化系统的老化服务进行非对称加密的双向身份认证，并判断是否成功接收到安全认证参数；如果是，则进入步骤3；如果否，则结束；

步骤3、当终端设备与老化服务双向身份认证成功，终端设备和ftu老化系统通过加密的数据进行正常的老化工作。

进一步地，所述步骤1具体为：

步骤101、终端设备连接网关服务先发送随机数r1；

步骤102、终端设备收到随机数r1并产生随机数r2，终端设备使用私钥对r1+r2进行签名返回给网关服务；

步骤103、若网关服务验证签名成功则取出r2，用私钥对r2进行签名，下发给终端设备，终端设备返回验证签名结果，终端设备和网关服务的双向身份认证完成，反之则否。

进一步地，所述步骤2具体为：

步骤201、终端设备与网关服务双向身份认证成功后，老化服务发送随机数r3；

步骤202、终端设备收到随机数r3并产生随机数r4，终端设备使用私钥对r3+r4进行签名返回给老化服务；

步骤203、若老化服务验证签名成功则取出r4，用私钥对r4进行签名，下发给终端设备，终端设备返回验证签名结果，终端设备和老化服务的双向身份认证完成，反之则否。

进一步地，所述步骤3具体为：

终端设备与老化服务双向身份认证成功后，老化服务和设备之间通过加密的数据进行业务逻辑交流，老化服务发送加密的数据请求，终端设备接收到密文数据解密得到明文再完成业务逻辑处理，加密处理结果生成密文返回给老化服务，老化服务解密数据得到明文，判断终端设备的处理结果，经过长时间的运行来验证ftu终端的可靠性。

与现有技术相比，本发明的有益效果是：本发明针对终端设备和主站之间传输数据的保密性、完整性和终端长时间运行的稳定性进行验证，使得终端设备在接入主站和数据传输过程中安全性显著增强。

附图说明

图1为本发明一个实施例中的流程示意图；

图2为本发明一个实施例中终端设备与网关服务交互示意图；

图3为本发明一个实施例中终端设备与老化服务交互示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供了一种基于中国电网加密协议的老化系统，通过终端设备先与网关服务进行双向身份认证，再与老化服务双向身份认证，成功后开始业务逻辑交流，通过长时间的运行，从而验证了数据的接入和传输的安全性，下面我们基于不同的情况对本发明做详细的介绍。

具体步骤包括：

步骤1、终端设备与ftu老化系统的网关服务进行非对称加密的双向身份认证，并判断是否成功接收到安全认证参数；如果是，则进入步骤2；如果否，则结束；

步骤2、当终端设备与网关服务双向认证成功时，终端设备再与ftu老化系统的老化服务进行非对称加密的双向身份认证，并判断是否成功接收到安全认证参数；如果是，则进入步骤3；如果否，则结束；

步骤3、当终端设备与老化服务双向身份认证成功，终端设备和ftu老化系统通过加密的数据进行正常的老化工作。

参见图2所示，具体实施时，所述步骤1具体为：

终端设备通过socket连接网关服务，网关服务从加密机请求到随机数r1，再下发给终端设备，终端设备收到r1后从终端设备加密芯片中获取随机数r2，终端设备加密芯片对r1和r2用私钥签名，发送给网关服务，网关服务把接收的数据传入加密机中利用终端设备的公钥进行验证签名，如果验证签名失败，则身份认证失败，断开连接；如果验证签名成功，则加密机对r2用网关服务的私钥进行签名，网关服务把r2的签名数据下发给终端设备，终端设备的加密芯片用网关服务的公钥进行验证签名，如果验证签名失败，则身份认证失败；如果验证签名成功，则给网关服务返回验证签名成功的结果。

参见图3所示，具体实施时，所述步骤2具体为：

所述步骤2中的终端设备与网关服务身份认证成功，则老化服务从加密机请求到随机数r3，再下发给终端设备，终端设备收到r3后从终端设备加密芯片中获取随机数r4，终端设备加密芯片对r3和r4用私钥签名，发送给老化服务，老化服务把接收的数据传入加密机中利用终端设备的公钥进行验证签名，如果验证签名失败，则身份认证失败，断开连接；如果验证签名成功，则加密机对r4用老化服务的私钥进行签名，老化服务把r4的签名数据下发给终端设备，终端设备的加密芯片用老化服务的公钥进行验证签名，如果验证签名失败，则身份认证失败；如果成功，则给老化服务返回验证签名成功的结果。

具体实施时，所述步骤3中的终端设备与老化服务身份认证成功，老化服务请求终端设备的序列号和秘钥版本后，开始长时间运行iec101协议或者iec104协议的正常业务流程，相关业务的数据是加密后的密文，老化服务或者终端设备收到密文数据后都需要解密后得到明文才能开展业务。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。