一种新能源平台终端安全接入认证方法及系统与流程

1.本发明属于电力物联网通信技术领域，更具体地，涉及一种新能源平台终端安全接入认证方法及系统。


背景技术：

2.随着新能源厂站的发展，新能源终端应运而生。但是新能源终端通过新能源厂站数据网路由器和电力系统的局域网与主站网关设备进行通信。新能源终端和主站网关设备之间通信安全问题受到人们的极度重视。
3.通过将安全接入认证装置部署在新能源厂站的场站侧生产控制大区与现场侧生产控制大区的安全接入区，场站侧安全接入认证装置与现场侧安全接入认证装置之间通过专用光纤连接。场站侧生产控制大区和现场侧生产控制大区之间业务面临以下安全风险问题：（1）数据传输通道不安全带来的数据泄露风险；（2）外部设备违规接入现场侧造成的被攻击被破坏风险；（3）现场侧运维设备未进行管控导致外部攻击通过运维设备对场站侧或其他区域进行破坏的风险。
4.其安全隐患主要来自于终端设备接入，导致非法访问、数据被窃取等风险急剧增加，因此将现场侧设备终端安全接入场站侧的中心监控系统，加强其网络通信的安全认证是非常必要的。


技术实现要素：

5.本发明针对现有技术中存在的问题，旨在提供一种新能源平台终端安全接入认证方法及系统，防止安全措施上的不完善使得终端设备接入时面临信息被窃取、干扰等危险，实现现场侧终端设备的安全接入和认证。
6.为了实现上述目的，本发明的技术方案如下：一种新能源平台终端安全接入认证方法，所述新能源平台包括通信连接的场站侧和现场侧，所述场站侧的风机监控系统与所述现场侧的终端设备通过场站侧安全接入认证装置和现场侧安全接入认证装置通信连接，所述方法包括：步骤s1：所述现场侧安全接入认证装置监听所述现场侧的终端设备并接收所述终端设备的认证请求；步骤s2：通过ike协议建立数据安全传输通道将所述终端设备的认证请求通过加密认证后发送至所场站侧安全接入认证装置；步骤s3：所述场站侧安全接入认证装置解密所述接入认证请求，所述风机监控系统根据所述接入认证请求向数字证书管理平台申请所述终端设备的数字证书并为所述终端设备签发数字证书；步骤s4：所述现场侧安全接入认证装置识别所述终端设备的设备类型，当所述终
端设备的设备类型为运维终端时，将所述终端设备的数字证书下载至usbkey设备中，当所述终端设备的设备类型为风机plc时，将所述终端设备的数字证书同步导入至所述现场侧安全接入认证装置和所述风机监控系统的资产管理装置。
7.优选的，所述步骤s2包括：步骤s21：接收所述认证请求后触发所述现场侧安全接入认证装置启动ike协商；步骤s22：通过数字签名对所述现场侧安全接入认证装置和所述场站侧安全接入认证装置进行相互身份认证；步骤s23：所述现场侧安全接入认证装置与所述场站侧安全接入认证装置利用相互身份认证的信息建立数据安全传输通道；步骤s24：在所述数据安全传输通道上协商ipsec参数，按协商好的所述ipsec参数对所述认证请求进行加密和hash运算后发送至所场站侧安全接入认证装置。
8.优选的，所述数据安全传输通道为ipsec隧道或vpn隧道。
9.优选的，所述协商ipsec参数包括：加密算法、hash算法、通道安全协议、封装模式和通道存活时间。
10.优选的，所述步骤s1中，将请求接入的所述终端设备的端口号和通配ip地址绑定到对应服务器端的套接字接口，由所述套接字接口调用所述现场侧安全接入认证装置的端口监听，接受所述终端设备的认证请求。
11.优选的，所述usbkey设备包括指纹key管理模块，所述指纹key管理模块用于录入运维人员的指纹并与所述usbkey设备绑定，设备终端安全接入认证方法还包括以下步骤：当所述运维终端发起认证请求，所述现场侧安全接入认证装置生成随机数r发送至所述指纹key管理模块，所述指纹key管理模块对随机数r进行签名后发送签名值至所述现场侧安全接入认证装置，所述现场侧安全接入认证装置向所述场站侧请求查询对应的数字证书根据所述签名值进行认证，若认证通过，则所述现场侧安全接入认证装置允许运维端口与所述运维终端连通，若认证不通过，则所述现场侧安全接入认证装置保持运维端口不连通。
12.优选的，在所述usbkey设备中预置所述数字证书管理平台的根证书。
13.优选的，将所述终端设备的数字证书下载至usbkey设备中时，按照特定安全接口下载时间戳到所述usbkey设备中。
14.本发明还提供一种新能源平台终端安全接入认证系统，所述系统包括通信连接的场站侧和现场侧，所述现场侧包括通信连接的现场侧安全接入认证装置和多个终端设备，所述场站侧包括通信连接的风机监控系统、场站侧安全接入认证装置和数字证书管理平台，所述现场侧安全接入认证装置和所述场站侧安全接入认证装置通过ike协议建立数据安全传输通道；所述现场侧安全接入认证装置用于监听所述终端设备并接收所述终端设备的认证请求；所述数据安全传输通道用于对所述认证请求进行加密认证；所述场站侧安全接入认证装置用于解密所述接入认证请求并将所述接入认证请求发送至所述风机监控系统；所述风机监控系统用于根据所述接入认证请求向数字证书管理平台申请所述终
端设备的数字证书并为所述终端设备签发数字证书；所述现场侧安全接入认证装置还用于识别所述终端设备的设备类型并根据所述设备类型将所述终端设备的数字证书下载至usbkey设备或同步导入至所述现场侧安全接入认证装置和所述风机监控系统的资产管理装置。
15.优选的，所述风机监控系统还包括数据库，所述风机监控系统在所述终端设备首次接入时收集所述终端设备的设备信息并将其存储在所述数据库中，所述设备信息包括设备编号、设备硬件地址、终端设备数字证书、认证服务器设备号、设备时间戳。
16.本发明的技术方案的有益效果在于：通过部署在现场侧和场站侧的安全接入认证装置采用ike协议建立数据安全传输通道，现场侧安全接入认证装置扫描监听现场侧的终端设备并将其接入认证请求通过数据安全传输通道进行加密认证后发送至场站侧安全接入认证装置，根据安全可信的认证请求源向数字证书管理平台申请终端设备的数字证书，使终端设备得到安全认证，防止安全措施上的不完善使得终端设备接入时面临信息被窃取、干扰等危险，并根据终端设备的设备类型进行加密存储，基于不同类型的终端设备结合终端设备的标识信息提供对应的受控机制，杜绝终端设备直接从数字证书管理平台请求下发数字证书并下载数字证书，减少或避免外部设备违规接入造成被攻击破坏而导致数据泄露的风险，实现现场侧终端设备的安全接入和认证。
附图说明
17.通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。
18.图1示出了本发明实施例提供的一种新能源平台终端安全接入认证方法的流程示意图；图2示出了本发明实施例提供的一种新能源平台终端安全接入认证方法的步骤s2的流程示意图；图3示出了本发明实施例提供的一种新能源平台终端安全接入认证系统的结构示意图。
19.附图标记说明：1、场站侧；11、风机监控系统；12、场站侧安全接入认证装置；2、现场侧；21、现场侧安全接入认证装置；22、终端设备；3、数字证书管理平台。
具体实施方式
20.下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。
21.实施例一参照图1、3所示，本实施例提供一种新能源平台终端安全接入认证方法，新能源平
台包括通信连接的场站侧1和现场侧2，场站侧1的风机监控系统11与现场侧2的终端设备22通过场站侧安全接入认证装置12和现场侧安全接入认证装置21通信连接，方法包括：步骤s1：现场侧安全接入认证装置21监听现场侧2的终端设备22并接收终端设备22的认证请求；步骤s2：通过ike协议建立数据安全传输通道将终端设备22的认证请求通过加密认证后发送至所场站侧安全接入认证装置12；步骤s3：场站侧安全接入认证装置12解密接入认证请求，风机监控系统11根据接入认证请求向数字证书管理平台3申请终端设备22的数字证书并为终端设备22签发数字证书；步骤s4：现场侧安全接入认证装置21识别终端设备22的设备类型，当终端设备22的设备类型为运维终端时，将终端设备22的数字证书下载至usbkey设备中，当终端设备22的设备类型为风机plc时，将终端设备22的数字证书同步导入至现场侧安全接入认证装置21和风机监控系统11的资产管理装置。
22.具体的，现场侧安全接入认证装置21和场站侧安全接入认证装置12通过ike协议建立数据安全传输通道，现场侧安全接入认证装置21扫描监听现场侧2的终端设备22并将其接入认证请求通过数据安全传输通道进行加密认证后发送至场站侧安全接入认证装置12，为现场侧2和场站侧1之间传输的数据提供加密认证，确保数据传输过程中终端设备22请求认证的数据源安全可靠，保证认证信息不被泄露和篡改，防止安全措施上的不完善使得终端设备接入时面临信息被窃取、干扰等危险。场站侧安全接入认证装置12解密接入认证请求，风机监控系统11为接入的终端设备向数字证书管理平台3请求申请数字证书，数字证书管理平台3基于终端设备的设备标识信息颁发数字证书。现场侧安全接入认证装置21保存数字证书信息并识别终端设备22的设备类型后下发数字证书，当终端设备22的设备类型为运维终端时，则将已颁发的数字证书离线下载至usbkey设备，杜绝运维终端直接从数字证书管理平台3请求下载数字证书而导致数字证书下发的安全性和可靠性降低。当终端设备22的设备类型为风机plc时，则将终端设备22的数字证书同步导入至现场侧安全接入认证装置21和风机监控系统11的资产管理装置，场站侧风机监控系统11通过资产管理装置的对接入的设备终端22实时管控，能及时发现设备违规接入或终端设备被冒名顶替，因此基于不同类型的终端设备提供对应的受控机制，避免外部设备违规接入造成被攻击破坏而导致数据泄露的风险，实现现场侧终端设备的安全接入和认证。
23.一种优选的示例，参照图2 所示，步骤s2包括：步骤s21：接收认证请求后触发现场侧安全接入认证装置21启动ike协商；步骤s22：通过数字签名对现场侧安全接入认证装置21和场站侧安全接入认证装置12进行相互身份认证；步骤s23：现场侧安全接入认证装置21与场站侧安全接入认证装置12利用相互身份认证的信息建立数据安全传输通道；步骤s24：在数据安全传输通道上协商ipsec参数，按协商好的ipsec参数对认证请求进行加密和hash运算后发送至所场站侧安全接入认证装置12。
24.具体的，需要保护的数据流经过现场侧安全接入认证装置21，触发安全接入认证装置启动ike的协商过程，通过在ike协商过程中对ike对端进行身份认证，即现场侧安全接
入认证装置21和场站侧安全接入认证装置12进行相互身份认证，确认对端的合法性。现场侧安全接入认证装置21与场站侧安全接入认证装置12利用相互身份认证的信息建立数据安全传输通道，其中，ike 发起端（现场侧安全接入认证装置21）生成第一认证请求，根据终端设备22的认证类型对原始认证数据进行计算得到第一待认证数据，并将认证类型和第一待认证数据以及自身的身份信息加入第一认证请求中。ike 发起端具体可通过主模式交换请求报文或认证交换请求报文（即ike_auth 请求报文）将第一认证请求发给所述ike 响应端（场站侧安全接入认证装置12）。通过ike_auth 请求报文发送时，该报文中具体可包括esp封装安全载荷，其esp封装安全载荷包括ike发起端的身份信息， ike发起终端采用的认证类型以及ike发起端根据其终端设备22的认证类型对原始认证数据进行计算得到的第一待认证数据。
25.ike 响应端（场站侧安全接入认证装置12）生成第二认证请求，根据获取终端设备22的认证类型对原始认证数据进行计算得到的第二待验证数据，并将认证类型和第二待验证数据以及自身身份信息加入第二认证请求中。ike发起端收到第二认证请求后，对第二认证请求进行校验认证。获取其中身份信息，从相应的数据对应关系库中查找到对应的密钥，并结合第二认证请求中的认证类型和第二验证数据，将第一验证数据与第二待验证数据进行匹配，如二者一致则验证通过；否则，验证失败，可直接向ike 响应端反馈认证失败的响应消息。
26.一种优选的示例，数据安全传输通道为ipsec隧道或vpn隧道。
27.具体的，启动ike第一阶段，通过数字签名对通信双方进行身份认证，并在两端之间建立一条安全的通道，即在传输网络中建立一条虚拟链路传输用户数据，虚拟链路利用vpn隧道或ipsec隧道实现。vpn隧道或ipsec隧道是在网络两端的现场侧安全接入认证装置21和场站侧安全接入认证装置12之间通过网络认证协议ah认证头、esp封装安全载荷、ike因特网密钥交换和用于网络认证及加密的一些算法，构建安全隧道，实现用户数据的安全传输。
28.一种优选的示例，协商ipsec参数包括：加密算法、hash算法、通道安全协议、封装模式和通道存活时间。
29.具体的，启动 ike 第二阶段， 在上述安全通道上协商 ipsec 参数，例如，加密算法、hash算法、通道安全协议、封装模式和通道存活时间等，并按协商好的ipsec参数对数据安全传输通道中的认证请求进行加密、hash等保护。
30.一种优选的示例，步骤s1中，将请求接入的终端设备22的端口号和通配ip地址绑定到对应服务器端的套接字接口，由套接字接口调用现场侧安全接入认证装置21的端口监听，接受终端设备22的认证请求。
31.具体的，套接字接口socket绑定终端设备22的端口号和通配ip地址之后，终端设备22调用connect（socket）启动连接，启动到服务器套接字的连接，连接成功向服务器端请求服务，服务器端由套接字接口中绑定到连接请求要发送到的ip地址调用现场侧安全接入认证装置21的端口监听listen（socket），并接受终端设备22的认证请求。其对应的服务器端为安全接入认证装置与终端设备之间的socket网关服务器。
32.一种优选的示例，usbkey设备包括指纹key管理模块，指纹key管理模块用于录入运维人员的指纹并与usbkey设备绑定，设备终端安全接入认证方法还包括以下步骤：
当运维终端发起认证请求，现场侧安全接入认证装置21生成随机数r发送至指纹key管理模块，指纹key管理模块对随机数r进行签名后发送签名值至现场侧安全接入认证装置21，现场侧安全接入认证装置21向场站侧1请求查询对应的数字证书根据签名值进行认证，若认证通过，则现场侧安全接入认证装置21允许运维端口与运维终端连通，若认证不通过，则现场侧安全接入认证装置21保持运维端口不连通。
33.具体的，usbkey设备录入运维人员的指纹并与usbkey设备绑定用于对运维人员进行强身份认证，通过指纹核实运维真实性及对运维人员身份确认。认证通过后运维人员需要调用usbkey设备时，现场侧安全接入认证装置21生成随机数r发送至指纹key管理模块，指纹key管理模块，指纹key管理模块对随机数r进行签名后将该签名值发送至现场侧安全接入认证装置21，现场侧安全接入认证装置21向场站侧1请求查询对应的数字证书根据签名值进行认证，通过对随机数签名认证机制，保证本地运维终端通过现场侧安全接入认证装置21的运维端口安全接入。
34.一种优选的示例，在usbkey设备中预置数字证书管理平台3的根证书。
35.具体的，在usbkey设备中预置数字证书管理平台3的根证书，在usbkey设备内部独立验证数字证书管理平台3根证书签名的有效性。
36.一种优选的示例，将终端设备22的数字证书下载至usbkey设备中时，按照特定安全接口下载时间戳到usbkey设备中。
37.具体的，按照特定安全接口下载时间戳到usbkey设备中，并在本地管理中根据时间戳实现证书时效性验证。
38.实施例二参照图3所示，本实施例提供一种新能源平台终端安全接入认证系统，系统包括通信连接的场站侧1和现场侧2，现场侧2包括通信连接的现场侧安全接入认证装置21和多个终端设备22，场站侧1包括通信连接的风机监控系统11、场站侧安全接入认证装置12，以及数字证书管理平台3，现场侧安全接入认证装置21和场站侧安全接入认证装置12通过ike协议建立数据安全传输通道；现场侧安全接入认证装置21用于监听终端设备并接收终端设备的认证请求；数据安全传输通道用于对认证请求进行加密认证；场站侧安全接入认证装置12用于解密接入认证请求并将接入认证请求发送至风机监控系统11；风机监控系统11用于根据接入认证请求向数字证书管理平台3申请终端设备22的数字证书并为终端设备22签发数字证书；现场侧安全接入认证装置21还用于识别终端设备22的设备类型并根据设备类型将终端设备22的数字证书下载至usbkey设备或同步导入至现场侧安全接入认证装置21和风机监控系统11的资产管理装置。
39.上述系统中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，所以相关之处参见方法实施例的部分说明即可，在此不再赘述。以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实
现本发明方案的目的。
40.一种优选的示例，风机监控系统11还包括数据库，风机监控系统11在终端设备首次接入时收集终端设备22的设备信息并将其存储在数据库中，设备信息包括设备编号、设备硬件地址、终端设备数字证书、认证服务器设备号、设备时间戳。
41.具体的，风机监控系统11设置有数据库，为了在终端设备22首次接入时收集终端设备22的设备信息并将其存储在数据库中，可将其中敏感的信息数据由明文存储改为密文存储，用于提高终端设备信息存储的安全性。
42.以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。