一种电力系统人机云终端安全加密方法及装置

技术领域

本发明涉及一种电力系统人机云终端安全加密方法及装置，属于电力系统及自动化技术信息安全领域。

背景技术

近年来，随着坚强智能电网建设工作的深入开展，国家电网正在发展成为世界上电压等级最高、技术水平最先进、资源配置能力最强的坚强智能电网，电网的形态和运行特性将发生重大变化，对电网驾驭大电网、进行大范围资源优化配置的能力以及电网调度一体化运行管理和信息化、自动化、互动化水平提出了新的更高的要求。

目前新一代调控系统有各类数据的交互访问场景，在攻防演练、安全防护测试过程中可能造成数据非法获取、服务非法调用等风险。作为保障电网安全、优质、经济运行的重要手段，现有电网调度技术支持系统已难以适应特高压大电网安全稳定运行的要求，迫切需要一种安全的程序调用及加密方法，消除人机云终端和人机交互服务器之间通信的安全隐患，支撑新一代电网调度技术支持系统安全稳定运行。

发明内容

本发明的目的在于克服现有技术中的不足，提供一种电力系统人机云终端安全加密方法及装置，能较好的解决目前电力系统组态软件运行和数据获取安全问题。

为达到上述目的，本发明是采用下述技术方案实现的：

第一方面，本发明提供了一种电力系统人机云终端安全加密方法，应用于云终端中的电力系统应用，所述方法包括：

获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，其中，二次加密报文是云终端获取用户输入的数据，并对该数据进行两次加密后获得的；

将所述一次加密报文发送至服务器中的权限服务模块进行解密以及重新加密，并接收权限服务模块返回的一次加密报文；其中，权限服务模块返回的一次加密报文是权限服务模块对其接收到的一次加密报文进行解密后校验数据的合法性，合法则重新加密后得到的；

使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，以使得统一查询服务模块接收到再次加密的报文后，使用私钥解密，并使得统一查询服务模块将解密得到的一次加密报文发送至权限服务模块进行再次解密，解密后返回统一查询服务模块校验解密后的数据的合法性，合法则返回解密后的数据至电力系统应用；

接收统一查询服务模块校验合法后返回的数据，进行响应。

进一步的，所述获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，包括：

获取云终端发送的二次加密的session_a_b_str报文，进行反序列化得到session_a_b密文，使用电力系统应用的私钥解密，得到一次加密的session_a密文。

进一步的，所述使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，包括：

将权限服务模块返回的session_a密文与时间戳合并成新的数据内容，用服务器中的统一查询服务模块的公钥再次加密，将获得的再次加密的报文发送到统一查询服务模块。

第二方面，本发明提供一种电力系统人机云终端安全加密方法，应用于云终端，所述方法包括：

获取用户输入的数据，通过两次加密后获得二次加密报文；

发送所述二次加密报文至电力系统应用。

进一步的，所述方法还包括：

获取用户输入的数据，发送到权限服务模块进行合法性判断以及对对应生成的session明文用云终端的公钥加密生成session密文，以通过所述权限服务模块验证所述数据的合法性，验证合法后，生成本次数据对应的session明文，将所述session明文用云终端的公钥加密，生成session密文，并返回给云终端；

获取权限服务模块发送的session密文，采用云终端的私钥对所述session密文进行解密，得到session明文；

采用权限服务模块的公钥对所述session明文进行加密，得到session_a密文；

使用电力系统应用的公钥将session_a密文加密，得到session_a_b密文；

对session_a_b密文进行序列化处理，得到字符串session_a_b_str报文，并通过启动参数方式传递给电力系统应用。

第三方面，本发明提供一种电力系统人机云终端安全加密方法，应用于服务器的统一查询服务模块，所述方法包括：

接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文；

将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应。

进一步的，所述接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文，包括：

接收电力系统应用发送的加密报文，采用统一查询服务模块的私钥对加密报文进行解密，得到session_a密文和时间戳。

进一步的，所述将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应，包括：

校验session_a密文和时间戳是否为合法报文，如果报文合法，发送session_a密文至权限服务模块，其中权限服务模块接收到session_a密文，用权限服务模块的私钥解密，得到session原文，对所述session原文进行合法性校验，并将session原文和session校验结果返回给统一查询服务；

接收权限服务模块返回的session原文和session校验结果并校验其合法性，如果合法，则返回session原文至电力系统应用进行响应。

第四方面，本发明提供一种电力系统人机云终端安全加密装置，用于电力系统应用中，所述装置包括：

第一解密模块，用于获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，其中，二次加密报文是云终端获取用户输入的数据，并对该数据进行两次加密后获得的；

第一校验模块，用于将所述一次加密报文发送至服务器中的权限服务模块进行解密以及重新加密，并接收权限服务模块返回的一次加密报文；其中，权限服务模块返回的一次加密报文是权限服务模块对其接收到的一次加密报文进行解密后校验数据的合法性，合法则重新加密后得到的；

第一加密模块，用于使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，以使得统一查询服务模块接收到再次加密的报文后，使用私钥解密，并使得统一查询服务模块将解密得到的一次加密报文发送至权限服务模块进行再次解密，解密后返回统一查询服务模块校验解密后的数据的合法性，合法则返回解密后的数据至电力系统应用；

接收响应模块，用于接收统一查询服务模块校验合法后返回的数据，进行响应。

进一步的，所述第一解密模块，包括：

第一解密单元，用于获取云终端发送的二次加密的session_a_b_str报文，进行反序列化得到session_a_b密文，使用电力系统应用的私钥解密，得到一次加密的session_a密文。

进一步的，所述第一加密模块，包括：

第一加密单元，用于将权限服务模块返回的session_a密文与时间戳合并成新的数据内容，用服务器中的统一查询服务模块的公钥再次加密，将获得的再次加密的报文发送到统一查询服务模块。

第五方面，本发明提供一种电力系统人机云终端安全加密装置，用于云终端，所述装置包括：

第二加密模块，用于获取用户输入的数据，通过两次加密后获得二次加密报文；

发送模块，用于发送所述二次加密报文至电力系统应用。

进一步的，所述装置还包括：

数据报文获取及发送模块，用于获取用户输入的数据，发送到权限服务模块进行合法性判断以及对对应生成的session明文用云终端的公钥加密生成session密文，以通过所述权限服务模块验证所述数据的合法性，验证合法后，生成本次数据对应的session明文，将所述session明文用云终端的公钥加密，生成session密文，并返回给云终端；

session密文解密模块，用于获取权限服务模块发送的session密文，采用云终端的私钥对所述session密文进行解密，得到session明文；

session明文加密模块，用于采用权限服务模块的公钥对所述session明文进行加密，得到session_a密文；

session_a密文加密模块，用于使用电力系统应用的公钥将session_a密文加密，得到session_a_b密文；

处理模块，用于对session_a_b密文进行序列化处理，得到字符串session_a_b_str报文，并通过启动参数方式传递给电力系统应用。

第六方面，本发明提供一种电力系统人机云终端安全加密装置，用于统一查询服务模块，所述装置包括：

第二解密模块，用于接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文；

第二校验模块，用于将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应。

进一步的，所述第二解密模块包括：

第二解密单元，用于接收电力系统应用发送的加密报文，采用统一查询服务模块的私钥对加密报文进行解密，得到session_a密文和时间戳。

进一步的，所述第二校验模块，包括：

第一校验单元，用于校验session_a密文和时间戳是否为合法报文，如果报文合法，发送session_a密文至权限服务模块，其中权限服务模块接收到session_a密文，用权限服务模块的私钥解密，得到session原文，对所述session原文进行合法性校验，并将session原文和session校验结果返回给统一查询服务；

第二校验单元，用于接收权限服务模块返回的session原文和session校验结果并校验其合法性，如果合法，则返回session原文至电力系统应用进行响应。

与现有技术相比，本发明所达到的有益效果：

本发明提供一种电力系统人机云终端安全加密方法及装置，解决了电力调度控制系统领域软件安全认证登录、程序安全认证启动、服务安全认证调用等问题，有效避免了数据非法获取、服务非法调用等风险。消除人机云终端和人机交互服务器之间通信的安全隐患，确保了调度数据的安全、准确性与可靠性，使调度监控方式更加安全，提高了电网安全性，具有良好的应用前景。

附图说明

图1本发明涉及的云终端用户认证示意图；

图2本发明涉及的云终端和应用app交互权限信息示意图；

图3本发明涉及的人机云终端和统一查询服务互访示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例1

如图1至图3所示，本实施例提供的电力系统人机云终端安全加密方法，其应用过程具体涉及如下步骤：

1、云终端用户认证流程

1)云终端云桌面程序登录；

2)权限服务判断登录信息，生成本次登录对应的session明文；

3)权限服务将session用云终端的公钥加密，生成session密文，并返回给云终端云桌面；

4)云终端云桌面程序得到加密后的session，用云终端云桌面程序私钥解密，得到明文session。

2、云终端和电力系统应用APP交互流程

1)云终端云桌面在之前已通过用户登录接口得到session；

2)云终端通过云桌面程序启动应用商店客户端，在下载应用app时通过应用商店获取应用证书和app二进制文件；

3)云终端云桌面程序使用权限服务的公钥加密session，得到

session_a；

4)云终端云桌面使用应用app的公钥将session_a加密，得到session_a_b，序列化将session_a_b处理成字符串session_a_b_str，通过启动参数方式传递给应用app；

5)应用app得到session_a_b_str，反序列化得到session_a_b，使用自己的私钥解密，得到session_a；

6)应用app使用session_a，使用权限服务接口进行权限校验。

3、人机云终端APP访问统一查询服务的流程

1)云终端APP使用自己的私钥解密参数中的session信息获取到

session_a(权限公钥加密后的密文)，并与请求数据报文、时间戳等信息合并成新的数据内容，用统一查询服务的公钥再次加密，将密文发送到统一查询服务；

2)统一查询服务用自己私钥将报文解密，得到密文session_a和时间戳；

3)统一查询服务判断时间戳，判断是否为合法报文，如果报文合法，继续调用权限服务session认证接口来检验session_a；

4)权限服务收到session_a，用自己的私钥解密，得到session原文，判断其合法性，并将结果返回给统一查询服务；

统一查询服务判断session认证接口返回，如果合法，则继续解析数据报文进行后续查询。

实施例2

本实施例提供了一种电力系统人机云终端安全加密方法，应用于云终端中的电力系统应用，所述方法包括：

获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，其中，二次加密报文是云终端获取用户输入的数据，并对该数据进行两次加密后获得的；

将所述一次加密报文发送至服务器中的权限服务模块进行解密以及重新加密，并接收权限服务模块返回的一次加密报文；其中，权限服务模块返回的一次加密报文是权限服务模块对其接收到的一次加密报文进行解密后校验数据的合法性，合法则重新加密后得到的；

使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，以使得统一查询服务模块接收到再次加密的报文后，使用私钥解密，并使得统一查询服务模块将解密得到的一次加密报文发送至权限服务模块进行再次解密，解密后返回统一查询服务模块校验解密后的数据的合法性，合法则返回解密后的数据至电力系统应用；

接收统一查询服务模块校验合法后返回的数据，进行响应。

具体的，所述获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，包括：

获取云终端发送的二次加密的session_a_b_str报文，进行反序列化得到session_a_b密文，使用电力系统应用的私钥解密，得到一次加密的session_a密文。

具体的，所述使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，包括：

将权限服务模块返回的session_a密文与时间戳合并成新的数据内容，用服务器中的统一查询服务模块的公钥再次加密，将获得的再次加密的报文发送到统一查询服务模块。

实施例3

本实施例提供了一种电力系统人机云终端安全加密方法，应用于云终端，所述方法包括：

获取用户输入的数据，通过两次加密后获得二次加密报文；

发送所述二次加密报文至电力系统应用。

具体的，所述方法还包括：

获取用户输入的数据，发送到权限服务模块进行合法性判断以及对对应生成的session明文用云终端的公钥加密生成session密文，以通过所述权限服务模块验证所述数据的合法性，验证合法后，生成本次数据对应的session明文，将所述session明文用云终端的公钥加密，生成session密文，并返回给云终端；

获取权限服务模块发送的session密文，采用云终端的私钥对所述session密文进行解密，得到session明文；

采用权限服务模块的公钥对所述session明文进行加密，得到session_a密文；

使用电力系统应用的公钥将session_a密文加密，得到session_a_b密文；

对session_a_b密文进行序列化处理，得到字符串session_a_b_str报文，并通过启动参数方式传递给电力系统应用。

实施例4

本实施例提供了一种电力系统人机云终端安全加密方法，应用于服务器的统一查询服务模块，所述方法包括：

接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文；

将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应。

具体的，所述接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文，包括：

接收电力系统应用发送的加密报文，采用统一查询服务模块的私钥对加密报文进行解密，得到session_a密文和时间戳。

具体的，所述将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应，包括：

校验session_a密文和时间戳是否为合法报文，如果报文合法，发送session_a密文至权限服务模块，其中权限服务模块接收到session_a密文，用权限服务模块的私钥解密，得到session原文，对所述session原文进行合法性校验，并将session原文和session校验结果返回给统一查询服务；

接收权限服务模块返回的session原文和session校验结果并校验其合法性，如果合法，则返回session原文至电力系统应用进行响应。

实施例5

本实施例提供了一种电力系统人机云终端安全加密装置，用于电力系统应用中，所述装置包括：

第一解密模块，用于获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，其中，二次加密报文是云终端获取用户输入的数据，并对该数据进行两次加密后获得的；

第一校验模块，用于将所述一次加密报文发送至服务器中的权限服务模块进行解密以及重新加密，并接收权限服务模块返回的一次加密报文；其中，权限服务模块返回的一次加密报文是权限服务模块对其接收到的一次加密报文进行解密后校验数据的合法性，合法则重新加密后得到的；

第一加密模块，用于使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，以使得统一查询服务模块接收到再次加密的报文后，使用私钥解密，并使得统一查询服务模块将解密得到的一次加密报文发送至权限服务模块进行再次解密，解密后返回统一查询服务模块校验解密后的数据的合法性，合法则返回解密后的数据至电力系统应用；

接收响应模块，用于接收统一查询服务模块校验合法后返回的数据，进行响应。

具体的，所述第一解密模块，包括：

第一解密单元，用于获取云终端发送的二次加密的session_a_b_str报文，进行反序列化得到session_a_b密文，使用电力系统应用的私钥解密，得到一次加密的session_a密文。

具体的，所述第一加密模块，包括：

第一加密单元，用于将权限服务模块返回的session_a密文与时间戳合并成新的数据内容，用服务器中的统一查询服务模块的公钥再次加密，将获得的再次加密的报文发送到统一查询服务模块。

实施例6

本实施例提供了一种电力系统人机云终端安全加密装置，用于云终端，所述装置包括：

第二加密模块，用于获取用户输入的数据，通过两次加密后获得二次加密报文；

发送模块，用于发送所述二次加密报文至电力系统应用。

具体的，所述装置还包括：

数据报文获取及发送模块，用于获取用户输入的数据，发送到权限服务模块进行合法性判断以及对对应生成的session明文用云终端的公钥加密生成session密文，以通过所述权限服务模块验证所述数据的合法性，验证合法后，生成本次数据对应的session明文，将所述session明文用云终端的公钥加密，生成session密文，并返回给云终端；

session密文解密模块，用于获取权限服务模块发送的session密文，采用云终端的私钥对所述session密文进行解密，得到session明文；

session明文加密模块，用于采用权限服务模块的公钥对所述session明文进行加密，得到session_a密文；

session_a密文加密模块，用于使用电力系统应用的公钥将session_a密文加密，得到session_a_b密文；

处理模块，用于对session_a_b密文进行序列化处理，得到字符串session_a_b_str报文，并通过启动参数方式传递给电力系统应用。

实施例7

本实施例提供了一种电力系统人机云终端安全加密装置，用于统一查询服务模块，所述装置包括：

第二解密模块，用于接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文；

第二校验模块，用于将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应。

具体的，所述第二解密模块包括：

第二解密单元，用于接收电力系统应用发送的加密报文，采用统一查询服务模块的私钥对加密报文进行解密，得到session_a密文和时间戳。

具体的，所述第二校验模块，包括：

第一校验单元，用于校验session_a密文和时间戳是否为合法报文，如果报文合法，发送session_a密文至权限服务模块，其中权限服务模块接收到session_a密文，用权限服务模块的私钥解密，得到session原文，对所述session原文进行合法性校验，并将session原文和session校验结果返回给统一查询服务；

第二校验单元，用于接收权限服务模块返回的session原文和session校验结果并校验其合法性，如果合法，则返回session原文至电力系统应用进行响应。

实施例8

本实施例提供了一种电子设备，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据实施例2中任一项所述方法的步骤。

实施例9

本实施例提供了一种电子设备，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据实施例3中任一项所述方法的步骤。

实施例10

本实施例提供了一种电子设备，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据实施例4中任一项所述方法的步骤。

实施例11

本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例2中任一项所述方法的步骤。

实施例12

本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例3中任一项所述方法的步骤。

实施例13

本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例4中任一项所述方法的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

本领域内的技术人员应明白，本公开的实施例可提供为方法、系统或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用于说明本公开的技术方案而非对其保护范围的限制，尽管参照上述实施例对本公开进行了详细的说明，所属领域的普通技术人员应当理解:本领域技术人员阅读本公开后依然可对发明的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在公开待批的权利要求保护范围之内。