一种基于安全认证的配电终端运维通信方法及装置与流程

本发明涉及配电系统运维技术领域，具体而言，涉及一种基于安全认证的配电终端运维通信方法及装置。

背景技术：

伴随着国家智能电网技术的大力发展，配电网自动化系统的规模也日益扩大，配电终端是实现配电网自动化的中心枢纽，以至于市面上浮现出配电终端厂商穷出不尽。由于配电终端设备厂商成千上万家，各个厂商都利用各自的维护软件，配电终端与维护软件通信都是几乎利用明文的方式进行通信。这种利用明文传输的通信方式，缺乏对抵御攻击的考虑，存在较大的安全隐患，数据信息传输的安全性差。

技术实现要素：

本发明的目的在于提供一种基于安全认证的配电终端运维通信方法及装置，用以改善现有技术中明文传输不安全，数据信息传输安全性差的问题。

第一方面，本申请实施例提供一种基于安全认证的配电终端运维通信方法，该基于安全认证的配电终端运维通信方法包括以下步骤：

生成一组密钥；密钥包括保存在维护端的私钥和保存在配电终端的公钥；

利用密钥通过md5算法和sm2算法对打包好的明文进行加密，得到加密的报文；

利用密钥通过md5算法和sm2算法对收到的加密报文进行解密，得到解密的报文。

上述实现过程中，通过生成一组密钥，发送方通过打包好的明文通过md5算法和sm2算法进行加密后再进行数据传输，接收方采用相应的解密方法的原则进行解密得到对应的明文。在同等安全程度要求下，sm2算法较其他公钥算法所需密钥长度更小。同时md5算法具有抗修改性和抗碰撞性，即对原数据进行任何改动，哪怕只修改1个字节，所得到的md5值都有很大区别；已知原数据和其md5值，想找到一个具有相同md5值的数据(即伪造数据)是非常困难的，因此在加密过程中对安全等级较高的报文进行md5算法的加密可以进一步提高安全性。通过将md5算法和sm2算法结合来对明文加密可以使不同等级的报文得到不同的安全保护，从而在保证报文安全的同时也节约了加密时间，使得配电网自动化系统通信的安全性能大大的提升，提高了通信过程中数据信息传输的安全。

基于第一方面，在本发明的一些实施例中，利用密钥通过md5算法和sm2算法对打包好的明文进行加密，得到加密的报文的步骤包括以下步骤：

获取打包好的明文；

通过md5算法对打包好的明文进行加密，得到第一加密报文；

利用密钥通过sm2算法对第一加密报文进行加密，得到加密的报文。

基于第一方面，在本发明的一些实施例中，利用密钥通过sm2算法对第一加密报文进行加密，得到加密的报文的步骤包括以下步骤：

获取当前的unix时间戳，并将unix时间戳添加到第一加密报文的末端，得到第二加密报文；

利用密钥通过sm2算法对第二加密报文进行加密，得到加密的报文。

上述实现过程中，通过在报文末端加入unix时间戳，保证报文必须在合法的时间内，才认为这一帧才是合法的报文，使报文的安全性进一步得到保障。

基于第一方面，在本发明的一些实施例中，利用所述密钥通过md5算法对打包好的明文进行加密，得到第一加密报文的步骤包括以下步骤：

判断明文是否是遥控报文，如果是，则通过md5算法进行加密，得到第一加密报文；如果否，则将明文作为第一加密报文。

基于第一方面，在本发明的一些实施例中，利用密钥通过md5算法和sm2算法对收到的加密报文进行解密，得到解密的报文的步骤包括以下步骤：

获取加密的报文；

利用密钥通过sm2算法对加密的报文进行解密，得到第一解密报文；

获取第一解密报文中每一帧报文的unix时间戳；

对每一帧报文的unix时间戳进行判断得到解密的报文。

基于第一方面，在本发明的一些实施例中，对每一帧报文的unix时间戳进行判断得到解密的报文的步骤包括以下步骤：

b1、判断unix时间戳是否在允许的范围内，如果超出允许的范围，则抛弃此帧报文；如果是，则执行步骤b2；

b2、判断此帧报文是否是遥控报文，如果是，判断是否执行遥控操作并得到解密的报文；如果否，则进行其它报文格式判断并得到解密的报文。

基于第一方面，在本发明的一些实施例中，判断是否执行遥控操作并得到解密的报文的步骤包括以下步骤：

判断当前散列值表中是否存在遥控报文的散列值，如果是，则执行遥控操作并得到解密的报文；如果否，则抛弃此帧报文。

基于第一方面，在本发明的一些实施例中，判断当前散列值表中是否存在遥控报文的散列值，如果是，则执行遥控操作并得到解密的报文；如果否，则抛弃此帧报文的步骤包括以下步骤：

获取遥控报文中的信息体地址和单命令sco/双命令dco；

判断在当前的散列值表中是否能查找到信息体地址和单命令sco/双命令dco，如果是，则执行遥控操作并得到解密的报文；如果否，则抛弃此帧报文。

第二方面，本申请实施例提供一种基于安全认证的配电终端运维通信装置，包括：

密钥生成模块，用于生成一组密钥；密钥包括保存在维护端的私钥和保存在配电终端的公钥；

加密模块，用于利用密钥通过md5算法和sm2算法对打包好的明文进行加密，得到加密的报文；

解密模块，用于利用密钥通过md5算法和sm2算法对收到的加密报文进行解密，得到解密的报文。

上述实现过程中，通过密钥生成模块生成一组密钥，发送方通过打包好的明文通过加密模块的md5算法和sm2算法进行加密后再进行数据传输，接收方通过解密模块采用相应的解密方法的原则进行解密得到对应的明文。在同等安全程度要求下，sm2算法较其他公钥算法所需密钥长度更小。同时md5算法具有抗修改性和抗碰撞性，即对原数据进行任何改动，哪怕只修改1个字节，所得到的md5值都有很大区别；已知原数据和其md5值，想找到一个具有相同md5值的数据(即伪造数据)是非常困难的，因此在加密过程中对安全等级较高的报文进行md5算法的加密可以进一步提高安全性。通过将md5算法和sm2算法结合来对明文加密可以使不同等级的报文得到不同的安全保护，从而在保证报文安全的同时也节约了加密时间，使得配电网自动化系统通信的安全性能大大的提升，提高了通信过程中数据信息传输的安全。第三方面，本申请实施例提供一种电子设备，其包括存储器，用于存储一个或多个程序；处理器。当一个或多个程序被处理器执行时，实现如上述第一方面中任一项的方法。

第三方面，本申请实施例提供一种电子设备，其包括存储器，用于存储一个或多个程序；处理器。当一个或多个程序被处理器执行时，实现如上述第一方面中任一项的方法

本发明实施例至少具有如下优点或有益效果：

本发明实施例提供一种基于安全认证的配电终端运维通信方法及装置，通过生成一组密钥，发送方通过打包好的明文通过md5算法和sm2算法进行加密后再进行数据传输，接收方通过采用相应的解密方法的原则进行解密得到对应的明文。在加密过程中对安全等级较高的报文进行md5算法的加密可以进一步提高安全性。通过将md5算法和sm2算法结合来对明文加密可以使不同等级的报文得到不同的安全保护，从而在保证报文安全的同时也节约了加密时间，使得配电网自动化系统通信的安全性能大大的提升，提高了通信过程中数据信息传输的安全。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的一种基于安全认证的配电终端运维通信方法流程图；

图2为本发明实施例提供的一种基于安全认证的配电终端运维通信装置结构框图；

图3为本发明实施例提供的遥控报文判断流程图；

图4为本发明实施例提供的一种电子设备的结构框图。

图标：110-密钥生成模块；120-加密模块；130-解密模块；101-存储器；102-处理器；103-通信接口。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例

下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的各个实施例及实施例中的各个特征可以相互组合。

请参看图1，图1为本发明实施例提供的一种基于安全认证的配电终端运维通信方法流程图。该基于安全认证的配电终端运维通信方法包括以下步骤：

步骤s110：生成一组密钥；密钥包括保存在维护端的私钥和保存在配电终端的公钥，密钥可以是sm2算法的密钥。可以由第三方软件生成一组密钥，一组密钥包括成对的私钥和公钥，公钥是公开的，私钥是保密的。将生成的一组密钥中的私钥保存在维护端，维护端有用于维护配电终端的软件，将生成的一组密钥中的公钥保存在配电终端中。

步骤s120：利用密钥通过md5算法和sm2算法对打包好的明文进行加密，得到加密的报文。其中，包括以下步骤：

首先，获取打包好的明文；这里的明文是指dl/t634.5101、dl/t634.5104通信约规下的报文，该报文包含链路建立、初始化结束、总召唤、遥信突变、遥测突变、soe、时钟同步、复位进程、测试命令、文件服务、电能量召唤命令、远程参数读写、故障录波、历史数据文件、软件升级等。配电终端获取到由维护端发送的打包好的明文，维护端获取到由配电终端发送的打包好的明文。

然后，通过md5算法对打包好的明文进行加密，得到第一加密报文。具体包括以下步骤：

判断明文是否是遥控报文，如果是，则通过md5算法进行加密，得到第一加密报文；如果否，则将明文作为第一加密报文。在实际通信过程中，遥控报文等级较高，需要给予较强的安全控制，因此在加密过程中进行一次md5算法加密，以确保信息传输完整一致。当明文不是遥控报文时，则不需要进行md5算法加密。md5算法原理是md5码以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。

最后，利用密钥通过sm2算法对第一加密报文进行加密，得到加密的报文。

sm2算法是非对称加密算法，非对称加密算法需要两个密钥：公开密钥(publickey)和私有密钥(privatekey)，公开密钥与私有密钥是一对的，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密，因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

sm2算法过程如下：sm2算法使用的方程为：y²＝x³+ax+b

选择ep(a,b)的元素g,使得g的阶n是一个大素数；g的阶是指满足ng＝o的最小n值；

秘密选择整数k，计算b＝kg，然后公开(p,a,b,g,b)，b为公钥，保密k，k为私钥。

加密报文m：先把消息m变换成为ep(a,b)中一个点pm，然后，选择随机数r，计算密文cm＝{rg,pm+rp)，如果r使得rg或者rp为o，则要重新选择r。

解密报文cm：(pm+rp)-k(rg)＝pm+rkg-krg＝pm。

步骤s130：利用密钥通过md5算法和sm2算法对收到的加密报文进行解密，得到解密的报文。其中，包括以下步骤：

首先，获取加密的报文；配电终端获取到由维护端发送的加密的报文，维护端获取到由配电终端发送的加密的明文。

然后，利用密钥通过sm2算法对加密的报文进行解密，得到第一解密报文；配电终端使用公钥对加密的报文进行解密，维护端使用私钥对加密的报文进行解密。

然后，获取第一解密报文中每一帧报文的unix时间戳。unix时间戳是一种时间表示方式，定义为从格林威治时间1970年01月01日00时00分00秒起至现在的总秒数。

最后，对每一帧报文的unix时间戳进行判断得到解密的报文。报文必须在合法的时间内，才认为这一帧才是合法的报文，从而才进行解密得到解密的报文。

该基于安全认证的配电终端运维通信方法中的明文数据遵循配电自动化系统应用dl/t634.5101-2002实施细则或配电自动化系统应用dl/t634.5104-2009实施细则。

上述实现过程中，通过生成一组密钥，发送方通过打包好的明文通过md5算法和sm2算法进行加密后再进行数据传输，接收方采用相应的解密方法的原则进行解密得到对应的明文。在同等安全程度要求下，sm2算法较其他公钥算法所需密钥长度更小。同时md5算法具有抗修改性和抗碰撞性，即对原数据进行任何改动，哪怕只修改1个字节，所得到的md5值都有很大区别；已知原数据和其md5值，想找到一个具有相同md5值的数据(即伪造数据)是非常困难的，因此在加密过程中对安全等级较高的报文进行md5算法的加密可以进一步提高安全性。通过将md5算法和sm2算法结合来对明文加密可以使不同等级的报文得到不同的安全保护，从而在保证报文安全的同时也节约了加密时间。使得非法人员无法窃取通信过程中的数据，即使窃取到通信数据，也无法对该数据进行解密，从而大大提升了配电网自动化系统通信的安全性能，保障了人民的财产安全

其中，利用密钥通过sm2算法对第一加密报文进行加密，得到加密的报文的步骤包括以下步骤：

获取当前的unix时间戳，并将unix时间戳添加到第一加密报文的末端，得到第二加密报文；unix时间戳采用低前高后的方式传输，unix时间戳占用4个字节。

利用密钥通过sm2算法对第二加密报文进行加密，得到加密的报文。

上述实现过程中，通过在报文末端加入unix时间戳，保证报文必须在合法的时间内，才认为这一帧才是合法的报文，使报文的安全性进一步得到保障。

其中，对每一帧报文的unix时间戳进行判断得到解密的报文的步骤包括以下步骤：

b1、判断unix时间戳是否在允许的范围内，如果超出允许的范围，则抛弃此帧报文；如果是，则执行步骤b2；判断unix时间戳是否在允许的范围内，首先是要先获取当前系统的unix时间戳，再将当前系统的unix时间戳与获取到第一解密报文中每一帧报文的unix时间戳进行比较，如果获取到每一帧报文的unix时间戳在当前系统的unix时间戳的范围内，则执行报文判断，即步骤b2，如果不在当前系统的unix时间戳的范围内，那么就抛弃此帧报文。

b2、判断此帧报文是否是遥控报文，如果是，判断是否执行遥控操作并得到解密的报文；如果否，则进行其它报文格式判断并得到解密的报文。在报文传输过程中，有些报文的等级较高，需要加以安全控制，例如遥控报文。因此在加密过程中，如果是等级较高的报文可以进行md5算法加密后再进行其他的加密，在解密的时候相应的也需要做出判断，判断是否是遥控报文以采取相应的操作，最后得到相应的明文。遥控报文是指在除去unix时间戳之后的报文，遥控报文的长度是固定的。

其中，判断是否执行遥控操作并得到解密的报文的步骤包括以下步骤：

判断当前散列值表中是否存在遥控报文的散列值，如果是，则执行遥控操作并得到解密的报文；如果否，则抛弃此帧报文。在加密的过程中，对于遥控报文进行了md5算法加密，因此，在接收到加密的报文后进行解密时就需要进行md5算法解密。md5算法是一个安全的散列算法，输入两个不同的明文不会得到相同的输出值，根据这些输出值，不能得到原始的明文，即其过程不可逆；所以要解密md5没有现成的算法，只能用穷举法，把可能出现的明文用md5算法散列之后，把得到的散列值和原始的数据形成一个一对一的映射表，通过对比在表中比破解密码的md5算法散列值，通过匹配从映射表中找出破解密码所对应的原始明文。

其中，判断当前散列值表中是否存在遥控报文的散列值，如果是，则执行遥控操作并得到解密的报文；如果否，则抛弃此帧报文的步骤包括以下步骤：

获取遥控报文中的信息体地址和单命令sco/双命令dco；

判断在当前的散列值表中是否能查找到信息体地址和单命令sco/双命令dco，如果是，则执行遥控操作并得到解密的报文；如果否，则抛弃此帧报文。

请参看图3，图3为本发明实施例提供的遥控报文判断流程图。首先判断应用服务数据单元中的类型标识，如图中所示，asdu的ti＝45/46，其中，asdu是applicationserverdataunit的简写，表示为应用服务数据单元，ti为类型标识；如果是遥控报文，则获取asdu中经过md5加密后的信息体地址和单命令sco/双命令dco；如果不是遥控报文，则执行相应的asdu对应的类型标识的操作；获取asdu中经过md5加密后的信息体地址和单命令sco/双命令dco之后再查找数列标准的数据是否匹配，如果是匹配的，则执行遥控操作，如果不匹配，则不做任何的响应。

基于同样的发明构思，本发明还提出一种基于安全认证的配电终端运维通信装置，请参看图2，图2为本发明实施例提供的一种基于安全认证的配电终端运维通信装置结构框图。该基于安全认证的配电终端运维通信装置包括：

密钥生成模块110，用于生成一组密钥；密钥包括保存在维护端的私钥和保存在配电终端的公钥；

加密模块120，用于利用密钥通过md5算法和sm2算法对打包好的明文进行加密，得到加密的报文；

解密模块130，用于利用密钥通过md5算法和sm2算法对收到的加密报文进行解密，得到解密的报文。

上述实现过程中，通过密钥生成模块110生成一组密钥，发送方通过打包好的明文通过加密模块120的md5算法和sm2算法进行加密后再进行数据传输，接收方通过解密模块130采用相应的解密方法的原则进行解密得到对应的明文。在同等安全程度要求下，sm2算法较其他公钥算法所需密钥长度更小。同时md5算法具有抗修改性和抗碰撞性，即对原数据进行任何改动，哪怕只修改1个字节，所得到的md5值都有很大区别；已知原数据和其md5值，想找到一个具有相同md5值的数据(即伪造数据)是非常困难的，因此在加密过程中对安全等级较高的报文进行md5算法的加密可以进一步提高安全性。通过将md5算法和sm2算法结合来对明文加密可以使不同等级的报文得到不同的安全保护，从而在保证报文安全的同时也节约了加密时间，使得配电网自动化系统通信的安全性能大大的提升，提高了通信过程中数据信息传输的安全。

请参阅图4，图4为本申请实施例提供的电子设备的一种示意性结构框图。该电子设备包括存储器101、处理器102和通信接口103，该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块，如本申请实施例所提供的基于安全认证的配电终端运维通信装置对应的程序指令/模块，处理器102通过执行存储在存储器101内的软件程序及模块，从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。

其中，存储器101可以是但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。

处理器102可以是一种集成电路芯片，具有信号处理能力。该处理器102可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field－programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以理解，图4所示的结构仅为示意，电子设备还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。图4中所示的各组件可以利用硬件、软件或其组合实现。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

综上，本申请实施例提供的一种基于安全认证的配电终端运维通信方法及装置，该基于安全认证的配电终端运维通信方法通过生成一组密钥，发送方通过打包好的明文通过md5算法和sm2算法进行加密后再进行数据传输，接收方采用相应的解密方法的原则进行解密得到对应的明文。在同等安全程度要求下，sm2算法较其他公钥算法所需密钥长度更小。同时md5算法具有抗修改性和抗碰撞性，即对原数据进行任何改动，哪怕只修改1个字节，所得到的md5值都有很大区别；已知原数据和其md5值，想找到一个具有相同md5值的数据(即伪造数据)是非常困难的，因此在加密过程中对安全等级较高的报文进行md5算法的加密可以进一步提高安全性。通过将md5算法和sm2算法结合来对明文加密可以使不同等级的报文得到不同的安全保护，从而在保证报文安全的同时也节约了加密时间，使得配电网自动化系统通信的安全性能大大的提升，提高了通信过程中数据信息传输的安全。

以上仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其它的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。