一种配电物联网边缘物联代理网络安全防护方法及系统与流程

1.本发明属于电力物联网中配电物联网技术领域，涉及一种配电物联网场景下边缘物联代理的网络安全防护方法及系统。


背景技术：

2.配电物联网是电力物联网在配电领域的实现方式，网络架构复杂化、主站云化、终端设备物联化、业务灵活扩展等特点导致配电物联网面临的安全风险与传统配电监控系统相比，发生巨大变化。而近年来，网络安全形势日益严峻，物联网及工控系统安全事件逐年增加(2016年美国dns服务器攻击事件、2018年台积电中毒事件、中东石油天然气厂攻击事件、2019年委内瑞拉停电事件)，新型网络病毒不断涌现(震网、火焰、永恒之蓝)，导致配电物联网面临更加严峻的网络安全形势，同时承受来自物联网系统以及工控系统的双重安全风险。
3.边缘物联代理作为电力物联网感知层的核心设备，起到连接物联网终端与云端的作用。一方面，边缘物联代理与物联管理平台进行业务数据交互，将采集数据上送至物联管理平台，并执行其下发的指令；另一方面，边缘物联代理负责物联网终端现场多源数据的汇聚分析，对部分物联网终端进行操作指令下发。在边缘物联代理接入多个设备的过程中,无法对每个设备进行一一的检查，导致边缘物联代理防护措施不到位遭受入侵或被非法控制后，可能造成电网数据的泄露、篡改，甚至以此为跳板对物联管理平台开展渗透攻击，导致整个系统瘫痪，因此亟需开展基于边缘物联代理的安全防护技术研究。


技术实现要素：

4.为克服上述现有技术的不足，本发明提出一种配电物联网边缘物联代理网络安全防护方法，包括：
5.基于边缘物联代理对物联网终端和物联管理平台进行可信认证；
6.当所述可信认证通过后，
7.将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理；或将所述边缘物联代理中的数据加密后，通过密文传输的方式传输到所述物联管理平台，进行解密后上传到配电物联网的应用层。
8.优选的，所述基于边缘物联代理对物联网终端和物联管理平台进行可信认证，包括：
9.启动所述边缘物联代理中的可信启动机制；
10.当所述可信启动机制的结果为成功时，采用数字证书认证机制完成所述物联网终端、所述物联管理平台和所述边缘物联代理的身份互认和密文协商。
11.优选的，所述启动所述边缘物联代理中的可信启动机制，包括：
12.基于硬件flash，计算在边缘物联代理内片上系统中的硬件信任根的根证书hash值，并和所述片上系统中的一次性可编程存储器的数值进行判断，如果数值一致则证书合
法，继续下一步，如果数值不一致则证书被篡改，终止启动过程；
13.根据所述硬件信任根的根证书公钥，校验的boot文件尾的签名，若校验成功则继续下一步，校验失败则终止启动过程；
14.根据所述boot文件包中的证书公钥，校验os文件尾的签名，若校验成功则继续下一步，校验失败则终止启动过程；
15.根据所述os文件包中的证书公钥，校验app文件尾的签名，若校验成功则在所述边缘物联代理内的可信启动机制启动成功，若校验失败则终止启动过程。
16.优选的，所述当所述可信启动机制的结果为成功时，采用数字证书认证机制完成所述物联网终端、所述物联管理平台和所述边缘物联代理的身份互认和密文协商，包括：
17.当可信启动机制的结果为成功时，采用数字证书认证机制在所述物联网终端、所述物联管理平台和所述边缘物联代理进行密钥协商过程中，完成身份互认环节。
18.优选的，在所述物联网终端和所述边缘物联代理进行密钥协商过程中，完成身份互认环节，包括：
19.将所述物联网终端出厂时预置的边缘物联代理证书发给所述边缘物联代理，通过所述边缘物联代理验证所述证书，确定所述证书是否合法，如果为是则认定物联网终端认证成功；
20.基于所述物联网终端出厂时预置的边缘物联代理证书采用sm2签名算法通过发送协商报文签名值的方式进行验证，确定所述边缘物联代理是否合法，如果结果为是则认定边缘物联代理认证成功；
21.当所述物联网终端和所述边缘物联代理均认证成功时，则确定所述物联网终端与所述边缘物联代理完成身份互认环节。
22.优选的，当所述可信启动机制的结果为成功时，采用数字证书认证机制完成所述物联管理平台和所述边缘物联代理的身份互认，包括：
23.当所述可信启动机制的结果为成功时，采用数字证书认证机制在所述物联管理平台与所述边缘物联代理之间建立网络连接；
24.根据所述网络连接，向所述物联管理平台发送认证申请报文；
25.根据所述认证申请报文产生第一随机数发送给所述边缘物联代理；
26.从所述边缘物联代理中取第二随机数，将所述第一随机数加上所述第二随机数签名后发送给所述物联管理平台；
27.对所述物联管理平台用所述边缘物联代理证书验证签名有效性，从而完成所述物联管理平台对所述边缘物联代理的身份认证；
28.基于所述物联管理平台对所述边缘物联代理第二随机数签名，将签名结果发送所述边缘物联代理，对所述边缘物联代理验证所述物联管理平台签名的正确性，从而完成所述边缘物联代理对所述物联管理平台的身份认证。
29.优选的，所述当所述可信认证通过后，将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理之后，还包括：
30.在所述边缘物联代理中对加密后的运行状态数据进行解密操作，并验证所述运行状态数据的完整性。
31.优选的，所述当所述可信认证通过后，将所述边缘物联代理中的数据加密后，通过
密文传输的方式传输到所述物联管理平台，进行解密后上传到配电物联网的应用层之前，还包括：
32.使用网关对所述边缘物联代理加密后的所述物联网终端采集的所述运行状态数据在链路层进行一次解密，并通过密文传输的第一方式传输到所述物联管理平台。
33.基于同一发明构思，本技术还提供了一种配电物联网边缘物联代理网络安全防护系统，包括：
34.物联网终端，用于采集配电物联网的运行状态数据上传至边缘物联代理；
35.边缘物联代理，用于物联网终端和物联管理平台进行可信认证；还用于接收加密后的物联网终端采集的配电物联网的运行状态数据；还用于对采集的数据进行加密后通过密文传输的方式传输到物联管理平台；
36.物联管理平台，用于对加密后的物联网终端采集的配电物联网的运行状态数据进行解密上传到配电物联网的应用层。
37.优选的，还包括：网关；
38.所述网关在所述物联管理平台和所述边缘物联代理之间，并通过通信进行连接，用于对所述边缘物联代理加密后的所述物联网终端采集的所述运行状态数据在链路层进行一次解密，并通过密文传输的方式传输到所述物联管理平台。
39.与最接近的现有技术相比，本发明具有的有益效果如下：
40.1、本发明提供的一种配电物联网边缘物联代理网络安全防护方法及系统，包括：基于边缘物联代理对物联网终端和物联管理平台进行可信认证；当所述可信认证通过后，将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理；或将所述边缘物联代理中的数据加密后，通过密文传输的方式传输到所述物联管理平台，进行解密后上传到配电物联网的应用层；本发明在传输数据之前进行了可信认证，减少了非法入侵的概率，提高了上传电网数据和下载应用层数据的安全性，阻止了数据的泄露和篡改。
41.2、本发明提高了电网数据在边缘物联代理中的安全性和隐私性有效避免攻击范围从低安全等级区域向高安全等级区域蔓延，改变边缘物联代理直接向物联管理平台发送数据的模式,而是增加一层安全防护措施。
附图说明
42.图1为本发明提供的一种配电物联网边缘物联代理网络安全防护方法流程示意图；
43.图2为本发明提供的配电物联网架构示意图；
44.图3为发明提供的边缘物联代理安全防护体系；
45.图4为发明提供的边缘物联网代理可信启动流程；
46.图5为发明提供的边缘物联代理与网关的认证及密钥协商流程；
47.图6为发明提供的边缘物联代理与云平台的认证流程；
48.图7为本发明提供的一种配电物联网边缘物联代理网络安全防护系统基本框架示意图；
49.图8为本发明提供的一种配电物联网边缘物联代理网络安全防护系统详细框架示意图。
具体实施方式
50.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
51.实施例1：
52.如图1所示，本发明实施例的一种配电物联网边缘物联代理网络安全防护方法，包括：
53.步骤1：基于边缘物联代理对物联网终端和物联管理平台进行可信认证；
54.步骤2：当所述可信认证通过后，
55.将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理；或将所述边缘物联代理中的数据加密后，通过密文传输的方式传输到所述物联管理平台，进行解密后上传到配电物联网的应用层。
56.结合边缘物联代理的安全风险与需求，本发明中的安全防护方法包括边缘物联代理本体安全、接入管控、数据保护、安全监测4个方面。
57.本体安全主要包括物理安全、采用硬件安全芯片或软件密码模块进行身份认证和加密保护、可信启动机制。接入管控主要包括边缘物联代理在接入物联管理平台时，要先经过信息网络安全接入网关(以下简称“网关”)，完成与网关的身份互认及会话密钥协商后，再与物联管理平台进行双向身份认证，认证通过后方可接入物联管理平台。数据保护主要指数据的机密性和完整性保护，数据保护技术主要基于密码技术实现。安全监测主要对边缘物联代理系统数据、网络流量等进行采集，实现对边缘物联代理的运行状况、安全状况的实时监测。
58.本发明中配电物联网架构示意图如图2所示，配电物联网应用放在应用层内，把物联管理平台放在平台层内，把通信网(广域)放在网络层内，把边缘物联代理和物理网终端放在感知层内。所述各层都可以相互连通，并且边缘物联代理和物联网终端的传输是利用通信网(邻域)来连接的，其中物联网终端包括智能传感器、分布式电源坏人电动汽车充电桩等设备。
59.本发明中边缘物联代理安全防护体系如图3所示，具体如下：
60.步骤1：基于边缘物联代理对物联网终端和物联管理平台进行可信认证；
61.(1)本体安全
62.边缘物联代理运行在户外，首先应保证其物理安全，做好防火、防盗、防破坏等硬件防护能力。其次，边缘物联代理应采用硬件安全芯片或软件密码模块进行身份认证和加密保护。再次，边缘物联代理关闭多余端口服务，防止被黑客利用发起攻击，关闭调试接口，防范软硬件逆向工程。同时，为防止设备因底层代码被篡改而受到黑客的非法控制，设计了可信启动机制，对bios、引导程序、操作系统内核和重要应用程序进行完整性检查，避免加载被篡改的引导程序、操作系统和应用软件，实现对外部攻击的主动防御。下面重点介绍可信启动机制。
63.以arm(advanced risc machin)处理器为例，可信启动流程如图4所示。片上系统soc(system-on-a-chip)中的secure boot作为信任根，逐级校验系统软件包，而芯片内的efuse(一次性可编程存储器)不可改写，可保存根证书hash值，用于根证书的篡改校验。关
键流程如下：
64.1)计算硬件flash中的根证书哈希值，跟efuse中的值比较，如果一致则证书合法，继续后续启动过程，如果不一致则证书被篡改，终止启动过程；
65.2)使用根证书公钥，校验boot文件尾的签名，校验成功继续启动过程，校验失败终止启动过程；
66.3)使用boot包中的证书公钥，校验os文件尾的签名，校验成功继续启动过程，校验失败终止启动过程；
67.4)使用os包中的证书公钥，校验app文件尾的签名，校验成功继续启动过程，校验失败终止启动过程。
68.(2)接入管控
69.采用基于数字证书的认证机制，实现边缘物联代理与网关、物联管理平台的双向身份认证。
70.1)边缘物联代理与网关的身份认证及密钥协商
71.边缘物联代理与网关进行密钥协商过程中，同时完成边缘物联代理与网关的身份认证，身份认证采用如下方式：边缘物联代理出厂时预置网关证书，首先将边缘物联代理证书发给网关，网关通过验证边缘物联代理证书的方式确定其合法性；边缘物联代理应用预置的网关证书，采用sm2签名算法验证网关发送的协商报文签名值，确定网关的合法性，从而完成网关和边缘物联代理的双向身份认证。
72.边缘物联代理与网关之间传递设备id、随机数、签名值等密钥协商素材，并使用sm2签名算法对密钥协商素材进行签名保护，通过会话申请、密钥协商请求、密钥协商响应、会话确认等流程，完成边缘物联代理与网关的密钥协商，协商出来的密钥用于边缘物联代理与网关交互数据的加解密操作。边缘物联代理与网关的认证及密钥协商流程如图5所示。
73.物联网终端接入边缘物联代理时，身份认证与密钥协商流程与上述流程基本一致，通过对物联网终端身份的管控，有效避免伪造终端接入边缘物联代理。
74.2)边缘物联代理与物联管理平台的身份认证
75.边缘物联代理与网关完成身份认证与密钥协商后，在与物联管理平台进行业务数据交互前，需要与物联管理平台进行双向身份鉴别，考虑到存量设备的因素，减少系统改造工作量，边缘物联代理接入物联管理平台时只进行双向身份认证，无密钥协商流程。物联管理平台与边缘物联代理之间建立网络连接后，边缘物联代理向物联管理平台发送认证申请报文，物联管理平台产生随机数r1发送给边缘物联代理，边缘物联代理从安全芯片取随机数r2，将r1+r2签名后发送给物联管理平台。物联管理平台用边缘物联代理证书验证签名有效性，验证通过完成物联管理平台对边缘物联代理的身份认证。然后物联管理平台对边缘物联代理随机数r2签名并将签名结果发送边缘物联代理，边缘物联代理验证物联管理平台签名的正确性，验证通过完成边缘物联代理对物联管理平台的身份认证。
76.边缘物联代理与物联管理平台业务数据交互前，采用基于数字证书的身份认证技术，实现物联管理平台与边缘物联代理的双向身份鉴别，防火墙、数据隔离组件也提供相应访问控制措施，有效避免伪造边缘物联代理接入威胁系统运行安全，同时确保物联管理平台身份的真实性。图6为本发明中边缘物联代理与物联管理平台的认证流程。
77.步骤2：当所述可信认证通过后，
78.将所述物联网终端采集的配电物联网的运行状态数据加密上传至所述边缘物联代理；或将所述边缘物联代理中的数据加密后，通过密文传输的方式传输到所述物联管理平台，进行解密后上传到配电物联网的应用层。
79.(3)数据保护
80.1)数据机密性
81.根据加密算法与解密算法所使用的密钥是否相同，可以将密码算法分为对称密码算法和非对称密码算法。对称密码算法具有计算量小、加密速度快、加密效率高等特点，同对称密钥体制相比，非对称密钥体制具有密钥分发管理容易，安全强度高等特点。
82.对称加密算法主要包括aes、des/3des、国密sm1算法等。aes、3des等加密算法虽然强度很高，但算法是公开的，世界范围的数学家、黑客都在试图破解这些算法。而sm1算法加密强度与aes相当，但算法从不公开，只能通过密码算法芯片实现。鉴于配电物联网系统业务流量大、实时性要求高等特点，同时考虑加密算法的安全性以及效率，本发明采用国产商用对称密码算法sm1对边缘物联代理与物联管理平台、物联网终端间的交互数据进行加解密操作。
83.2)数据完整性
84.通过对文件完整性检查，使用者能够确定文件在传输或者存储过程中是否发生了未授权的篡改或者替换，以及确定数据和文件是否可信等。数字摘要算法、消息认证码(message authentication code，mac)以及数字签名等是完整性验证过程中常用的技术。
85.常见的消息认证码算法结合了哈希函数和对称加密技术，也被称为带密钥的哈希函数。在使用消息认证码算法时，通信双方需要拥有一个共享的会话密钥，并且协商选择一种哈希函数在消息认证过程中使用。
86.数字签名又被称为公钥签名和电子签章等，建立在公钥加密体制之上，采用非对称加密与摘要算法共同实现。数字签名具有不可抵赖性和完整性验证等特性，任何接收方都能够利用发送方的公钥对附有签名值的文件或者消息进行验证，包括真实性和完整性。
87.基于消息认证码的数据完整性保护配合对称加密使用，运算效率高，适用于配电物联网系统中遥测、遥信等业务量大的报文完整性保护。基于数字签名的数据完整性保护安全性更高，但计算速度慢，适用于修改配置、程序升级等重要指令报文的完整性保护。
88.(4)安全监测
89.边缘物联代理部署内部探针，对其自身系统数据、网络流量等进行实时采集，通过边缘侧的实时监控、告警分析，实现就地化智能决策分析，并将结果上传至物联管理平台。安全监测主要包括以下几方面内容。
90.1)自身监测：监测系统版本、补丁更新信息；监测运行状态信息，判断设备是否离线；监测日志，依据危险等级对日志数据分级，重点监测中高危日志；监测网络流量，判断流量增加是否正常。
91.2)数据安全：根据边缘物联代理中数据的重要程度进行安全分类，监测数据存储安全及传输安全。
92.3)应用安全：监测应用app在安装、使用、版本升级、销毁的全生命周期过程。
93.实施例2：
94.基于同一发明构思，本发明还提供了一种配电物联网边缘物联代理网络安全防护
系统，由于这些系统解决技术问题的原理与一种配电物联网边缘物联代理网络安全防护方法相似，重复之处不再赘述。如图7所示，包括：
95.物联网终端，用于采集配电物联网的运行状态数据上传至边缘物联代理；
96.边缘物联代理，用于物联网终端和物联管理平台进行可信认证；还用于接收加密后的物联网终端采集的配电物联网的运行状态数据；还用于对采集的数据进行加密后通过密文传输的方式传输到物联管理平台；
97.物联管理平台，用于对加密后的物联网终端采集的配电物联网的运行状态数据进行解密上传到配电物联网的应用层。
98.具体系统如图8所示，包括：
99.所述边缘物联代理，包括：可信启动和双向认证单元和上传加密单元；
100.其中可信启动和双向认证单元，用于上电后启动可信启动机制，当所述启动机制效验完成后与所述物联网终端进行身份互认、密文协商；
101.其中上传解密单元用于将所述运行状态数据进行加密后通过密文传输的方式传输到所述物联管理平台。
102.该系统，还包括：网关；
103.其中网关在所述物联管理平台和所述边缘物联代理之间，并通过通信进行连接，用于对所述边缘物联代理加密后的所述物联网终端采集的所述运行状态数据在链路层进行一次解密，并通过密文传输的方式传输到所述物联管理平台。
104.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
105.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
106.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
107.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
108.最后应当说明的是:以上实施例仅用于说明本技术的技术方案而非对其保护范围的限制,尽管参照上述实施例对本技术进行了详细的说明,所属领域的普通技术人员应当
理解:本领域技术人员阅读本技术后依然可对申请的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在申请待批的权利要求保护范围之内。