终端网络层及应用层可信接入方法及系统与流程

本技术涉及信息安全防护，更具体地说，涉及一种终端网络层及应用层可信接入方法及终端网络层及应用层可信接入系统。

背景技术：

1、随着配电自动化建设进程的加快，电力物联网建设成为电力通讯发展的重要方向，电力终端与配电主站间的交互与连接使得电力相关数据能够得到感知与反馈控制，进而形成整体的电力生产体系。但存在攻击者伪造终端身份对配电主站进行恶意破坏，此外，攻击者上传至主站的信息易导致主站发出与实际需求不匹配的控制指令，以至于电网无法安全稳定的运行。

技术实现思路

1、有鉴于此，本技术提供了一种终端网络层及应用层可信接入方法及一种终端网络层及应用层可信接入系统，用于维护电网的安全稳定运行。

2、为了实现上述目的，现提出的方案如下：

3、一种终端网络层及应用层可信接入方法，所述方法应用于网关设备，所述网关设备中配置有加密卡驱动硬件，包括：

4、接收终端的网络层发送的第一认证信息；

5、根据所述第一认证信息，生成第二认证信息；

6、将所述第二认证信息发送至所述终端；

7、接收所述终端的应用层发送的第三认证信息；

8、根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥；

9、利用所述对称密钥生成第一结束信息；

10、将所述第一结束信息发送至所述终端，以供所述终端的应用层根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成会话密钥；利用所述会话密钥对所述第一结束信息进行解密，得到解密结果，并在确认所述解密结果无误后，发送第二结束信息至所述网关设备，所述第二结束信息基于所述会话密钥生成，所述会话密钥用于对传输的数据进行加密；

11、利用所述对称密钥对所述第二结束信息进行解密，得到解密数据；

12、验证所述解密数据的正确性，以便验证所述解密数据正确之后，所述终端作为可信终端接入所述网关设备对应的主站，所述对称密钥用于对所述终端传输的数据进行解密，得到所述网关设备上报至主站的数据。

13、可选的，根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥，包括：

14、调用所述加密卡驱动硬件，根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥。

15、可选的，所述第一认证信息包括终端支持的加密方法的标识和ssl协议版本号，以及第一随机数；

16、根据所述第一认证信息，生成第二认证信息，包括：

17、根据所述第一认证信息中的终端支持的加密方法的标识以及所述网关设备支持的加密方法的标识，选取所述终端及所述网关设备皆支持的任意一种加密方法，作为目标加密方法，所述目标加密方法用于对所述终端及所述网关设备交互的数据进行加密；

18、生成第二随机数；

19、确定与所述ssl协议版本号匹配的第一ca根证书；

20、基于所述目标加密方法的标识、所述第一ca根证书以及所述第二随机数生成所述第二认证信息。

21、可选的，所述第三认证信息包括第三随机数；

22、所述根据所述第一认证信息、所述第二认证信息及所述第三认证信息，生成对称密钥，包括：

23、使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串，并将所述加密串作为对称密钥。

24、可选的，所述第三认证信息还包括所述终端对应的第二ca根证书；

25、在使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串之前，还包括：

26、对所述第二ca根证书的有效性进行验证，得到验证结果；

27、在所述验证结果表明所述第二ca根证书可靠之后，返回执行使用所述目标加密方法对所述第一认证信息中的第一随机数、所述第二认证信息中的第二随机数以及所述第三认证信息中的第三随机数进行加密，得到加密串的步骤。

28、一种终端网络层及应用层可信接入系统，包括终端及网关设备；

29、所述终端，用于利用网络层向所述网关设备发送第一认证信息；在验证所述网关设备发送的第二认证信息无误后，利用应用层向所述网关设备发送第三认证信息；接收到所述网关设备发送的第一结束信息后，利用应用层根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成会话密钥，利用应用层基于所述会话密钥对所述第一结束信息进行验证，得到验证结果，并在所述验证结果表明所述第一结束信息无误后，利用应用层基于所述会话密钥生成第二结束信息，向所述网关设备发送所述第二结束信息，在所述网关设备验证所述第二结束信息无误后，所述终端作为可信终端接入所述网关设备对应的主站；所述会话密钥用于对传输的数据进行加密；

30、所述网关设备，用于根据所述第一认证信息生成第二认证信息，向所述终端发送所述第二认证信息；并在验证所述第三认证信息无误后，根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成对称密钥，并基于所述对称密钥生成第一结束信息，向所述终端发送所述第一结束信息；在接收到所述第二结束信息后，利用所述对称密钥对所述第二结束信息进行验证，并在验证所述第二结束信息无误后，确定所述终端为可信终端；所述对称密钥，用于对所述终端传输的数据进行解密，将解密后的结果发送至主站。

31、可选的，所述应用层中配置有安全芯片硬件；

32、所述安全芯片硬件，用于根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成会话密钥，基于所述会话密钥对所述第一结束信息进行验证，得到验证结果，并在所述验证结果表明所述第一结束信息无误后，基于所述会话密钥生成第二结束信息。

33、可选的，所述网关设备中配置有加密卡驱动硬件；

34、所述加密卡驱动硬件，用于在验证所述第三认证信息无误后，根据所述第一认证信息、所述第二认证信息及所述第三认证信息生成所述对称密钥，并基于所述对称密钥生成第一结束信息；利用所述对称密钥对所述第二结束信息进行验证。

35、可选的，所述第一认证信息包括第一随机数，所述第二认证信息包括第二随机数，所述第三认证信息包括第三随机数；

36、所述加密卡驱动硬件，用于在验证所述第三认证信息无误后，根据所述第一认证信息的第一随机数、所述第二认证信息的第二随机数及所述第三认证信息的第三随机数生成所述对称密钥，并基于所述对称密钥生成第一结束信息；利用对称密钥对所述第二结束信息进行验证；

37、所述安全芯片硬件，用于根据所述第一认证信息的第一随机数、所述第二认证信息的第二随机数及所述第三认证信息的第三随机数生成会话密钥，基于所述会话密钥对所述第一结束信息进行验证，得到验证结果，并在所述验证结果表明所述第一结束信息无误后，基于所述会话密钥生成第二结束信息。

38、可选的，所述第一认证信息还包括终端支持的ssl协议版本号；所述第二认证信息还包括与所述ssl协议版本号匹配的网关设备的第一ca根证书；所述第三认证信息还包括所述终端的第二ca根证书；

39、所述终端，还用于验证所述第二认证信息的第一ca根证书的有效性，以验证所述网关设备发送的第二认证信息是否无误；

40、所述网关设备，还用于验证所述第三认证信息的第二ca根证书的有效性，以验证所述第三认证信息是否无误。

41、从上述的技术方案可以看出，本技术提供的终端网络层及应用层可信接入方法，应用于配置有加密卡驱动硬件的网关设备，该方法可以在网关设备与终端的交互过程中，利用交互的第一认证信息、第二认证信息以及第三认证信息生成对称密钥，并通过第一结束信息及第二结束信息确定对称密钥的正确性，再利用终端发送的第二结束信息，确定终端生成的会话密钥是否与网关设备生成的对称密钥匹配，如此，本技术实现了信息加密传输过程中的密钥分配。网关设备生成的对称密钥用于对所述终端传输的数据进行解密，将解密后得到的结果发送至主站，如此，本技术不仅能够利用网关设备对终端进行认证，还可以建立可信终端与主站的安全通道，避免不法分子伪造终端与主站交互的情况，从而，维护电网的安全稳定运行。

42、此外，本技术的网关设备能够直接利用与终端约定的对称密钥进行解密，不需要主站对终端传输的数据进行解密，极大地减轻了主站的工作压力。可见，本技术的网关设备在避免终端与主站的交互数据被鉴定、窃取或篡改的基础上，还可以减轻主站的工作压力。