基于无证书加密的分布式光伏并网轻量化准入方法和系统

技术领域

本发明属于配电网络安全防护技术领域，涉及基于无证书加密的分布式光伏并网轻量化准入方法和系统。

背景技术

近年来，因遭受网络攻击大面积停电的事件时有发生，电力等关键信息基础设施已成为网络攻击的重要目标。随着新型电力系统加速推进，新能源发展呈现出集中式与分布式并举的态势，不同投资主体的光伏等社会资产设备接入电力系统，分布式光伏终端出现爆炸式增长和海量接入。分布式光伏等设备的厂商繁多，安全防护水平参差不齐，且往往直接暴露在户外，受电网控制程度较低，在缺少有效的安全认证及监测感知手段的情况下接入电网边缘物联设备，极有可能发生伪造设备接入攻击业务主站的事件，严重可导致控制指令被篡改等安全事件。因此，当前分布式光伏并网安全防护存在以下技术需求：

(1)当前电力系统针对分布式光伏并网的终端设备，主要采用modbus传输协议，在终端本体及通信协议上均未考虑网络安全防护措施，缺少身份认证和数据加密等防护措施的情况下，电力系统存在遭受身份欺骗、中间人攻击等网络安全风险；

(2)电力系统当前针对终端准入依赖于基于国密算法的加密芯片，如考虑分布式光伏的终端设备投资成本等方面的因素，电力系统高侵入式的安全防护措施难以实施应用于分布式光伏终端；

(3)如借助于证书进行公钥和身份的绑定的方式，将存在复杂的密钥协商过程，需要消耗大量的计算资源和存储空间，考虑分布式光伏终端设备的软硬件资源，难以承载密钥协商及数据加密等计算资源的消耗。

综上所述，随着分布式光伏规模化开发，海量终端设备的接入使电力系统边界模糊、攻击暴露面增多。此外电力系统高侵入的认证方法难以在社会资产中推广应用，海量终端缺少安全防护措施直接并网，可能成为攻击跳板直接影响电网安全稳定运行。

发明内容

为解决现有技术中存在的不足，本发明提供基于无证书加密的分布式光伏并网轻量化准入方法和系统，保证海量分布式光伏终端的安全接入，并实现调控指令和采集数据的可靠传输。

本发明采用如下的技术方案。

基于无证书加密的分布式光伏并网轻量化准入方法，采用电力系统现场作业手持终端进行密钥管理和分发，实现分布式光伏数据采集器与电力系统边侧融合终端的身份认证和数据加密传输，所述方法包括以下步骤：

步骤1、手持终端与融合终端建立通信连接，并依托加密芯片的内置密钥完成双向身份认证；

步骤2、手持终端向融合终端分发基于国密算法无证书密钥；

步骤3、手持终端与分布式光伏数据采集器建立通信连接，并完成分布式光伏数据采集器的基于国密算法无证书密钥分发；

步骤4、在步骤2和步骤3基础上进行光伏数据采集器与融合终端的身份认证和数据加密传输，实现分布式光伏并网轻量化准入。

优选地，手持终端与融合终端、分布式光伏数据均采用蓝牙通信的方式连接。

优选地，步骤1中，手持终端和融合终端设备内均置有加密芯片，加密芯片存储有电力系统统一密码服务平台分发的密钥，手持终端和融合终端依托设备内置的加密芯片进行身份认证，两者完成双向身份认证，验证通过后，会话有效时长2min，超时后认证失效。

优选地，步骤1具体包括：

步骤11、手持终端取掌机序列号作HASH，对HASH的数据进行签名，通过蓝牙通信的方式将签名数据、序列号、证书发送至融合终端；

步骤12、融合终端采用根证书验证手持终端发来的证书，从证书中提取公钥，验证签名，然后取自身序列号作HASH签名，将签名数据、序列号、证书以及验证的结果发送至手持终端；

步骤13、手持终端采用根证书验证融合终端发送来的证书，从证书中提取公钥，验证签名。

优选地，步骤2具体包括：

步骤21、融合终端将身份验证结果和私钥生成触发报文发送给手持终端；

步骤22、手持终端调用国密算法接口，生成私钥申请报文发送给融合终端；

步骤23、融合终端调用国密算法接口，生成私钥下发报文发送给手持终端；

步骤24、手持终端调用国密算法接口，更新密钥，并将更新结果反馈至融合终端。

优选地，步骤3具体包括：

步骤31、手持终端与光伏数据采集器建立连接；

步骤32、光伏数据采集器把私钥生成触发报文发送给手持终端；

步骤33、手持终端调用国密算法接口，生成私钥申请报文发送给光伏数据采集器；

步骤34、光伏数据采集器调用国密算法接口，生成私钥下发报文发送给手持终端；

步骤35、手持终端调用国密算法接口，更新密钥，并将更新结果反馈至光伏数据采集器。

优选地，所述接口为国密算法KGC接口。

优选地，步骤4中，基于扩展的DL/T 698.45-2017协议进行光伏数据采集器与融合终端的身份认证和数据加密传输。

优选地，步骤4具体包括：

步骤41、融合终端获取待下装密钥设备的ID及密钥版本；

步骤42、光伏数据采集器调用加密算法库提供的接口，获取密钥状态，即算法库状态，获取设备ID，并响应给融合终端；

步骤43、融合终端根据返回的算法库状态，确认是否下一步操作，密钥分发完毕时，进入下一步；

步骤44、融合终端与光伏数据采集器开始身份认证，融合终端调用算法库接口，获取融合终端计算参数；

步骤44、光伏数据采集器调用算法库接口，获取采集器计算参数；

步骤45、融合终端调用算法库接口，获取密文1，将密文1+TID发送给光伏数据采集器；

其中，密文1包括M1和S1，M1通过融合终端的ID对随机数RN1加密得到，S1通过采集器私钥DS2对M1进行签名得到；

步骤46、光伏数据采集器调用算法库接口，对密文1进行解密，解密失败，回复认证失败；解密成功，则调用算法库接口，获取密文2，并返回给融合终端；

其中，解密成功是指采用融合终端私钥DS1对M1解密，获得RN1；

密文2包括M2和S2，其中，M2通过采集器的ID对随机数RN2加密得到，S2通过融合终端私钥DS1对M2进行签名得到；

步骤47、融合终端调用算法库接口，对密文2进行解密，得到RN2。

基于无证书加密的分布式光伏并网轻量化准入系统，包括：

手持终端与融合终端身份认证模块，用于手持终端与融合终端建立通信连接，并依托加密芯片的内置密钥完成双向身份认证；

融合终端密钥分发模块，用于手持终端向融合终端分发基于国密算法无证书密钥；

数据采集器密钥分发模块，用于手持终端与分布式光伏数据采集器建立通信连接，并完成分布式光伏数据采集器的密钥分发；

光伏数据采集器与融合终端身份认证与数据传输模块，用于进行光伏数据采集器与融合终端的身份认证和数据加密传输，实现分布式光伏并网轻量化准入。

一种终端，包括处理器及存储介质；所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行所述方法的步骤。

计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述方法的步骤。

本发明的有益效果在于，与现有技术相比：

本发明从分布式光伏并网接受电力系统调控指令的安全需求出发，在保证低成本、低侵入、高可靠的前提下进行基于国密算法无证书密码认证，扩展已有的DL/T 698.45-2017协议，实现电力系统融合终端等边缘设备与分布式光伏采集终端的身份认证与加密传输(本发明不涉及加密传输，可以写身份认证、密钥交换、签名验签)，从而保证电力系统调控指令、采集数据不遭受篡改，为分布式光伏规模化建设提供安全防护技术保障，实现终端轻量化准入的分级认证安全防护。

(1)本发明结合分布式光伏业务特点，提出分级认证理念，基于“云、管、边、端”的业务体系，云-边认证仍然沿用电力系统的统一密码服务平台发放数字证书，并依托加密芯片存储，实现双向身份认证；边-端认证考虑到端设备计算资源不足、通信环境不稳定、存储空间有限等问题，提出基于软加密实现轻量化的边端身份认证方法，通过国密算法的无证书软加密，实现分布式光伏采集终端与电力系统边侧设备的身份认证和数据加密传输，可直接使用用户标识和设备参数计算用户公钥，在进行签名验签前，用户之间无需交换公钥证书且密钥量很小，极大降低了系统密钥管理负担，保证了分布式光伏并网安全防护的低成本、低侵入和高可靠；

(2)本发明充分考虑具体实施难度，兼容现有操作习惯，提出了利用电力系统现场手持终端分发密钥的方法，选取手持终端选取手持终端为密钥生成中心KGC(keygeneration center)，用来生成部分私钥和用户秘密值的组合，不借助证书来进行公钥和身份的绑定，同时也不完全依靠KGC产生用户私钥，实现无证书密码体系下的密钥管理和分发，手持终端与融合终端及采集器之间采用蓝牙通信，属于近场低风险通信场景，实现改造成本低，实施难度低的目标。

(3)本发明的轻量化准入方法的提出，手持终端与电力系统边侧设备依托设备原有基于PKI体系的非对称算法密钥实现两者的身份认证；在身份认证成功的基础上，由手持终端向边侧设备发放无证书的密钥，融合终端等边缘设备等具备与分布式光伏采集终端进行认证的密钥。手持终端与分布式光伏采集终端通过蓝牙建立通信，并向光伏采集终端发放无证书密钥，光伏采集终端具备与电力系统边侧设备进行认证的密钥，改善了当前分布式光伏终端网络安全防护缺失的现状，将安全认证覆盖到了电网云、管、边、端整个业务场景，同样可以延伸应用于物联网等业务体系。

附图说明

图1是本发明方法实现原理图；

图2是本发明手持终端与融合终端密钥分发流程图；

图3是本发明手持终端与光伏采集器密钥分发流程图；

图4是本发明融合终端与采集器认证流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明的技术方案进行清楚、完整地描述。本申请所描述的实施例仅仅是本发明一部分的实施例，而不是全部实施例。基于本发明精神，本领域普通技术人员在没有作出创造性劳动前提下所获得的有所其它实施例，都属于本发明的保护范围。

如图1所示，本发明实施例1提供基于无证书加密的分布式光伏并网轻量化准入方法，采用电力系统现场作业手持终端进行密钥管理和分发，采用手持终端分发的密钥实现电力系统边侧设备与光伏采集终端的身份认证和加密传输：电力系统边侧设备与光伏采集终端通信通过HPLC实现，建立通信连接；电力系统边侧设备与光伏采集终端进行密钥协商和身份认证；电力系统边侧设备与光伏采集终端身份认证成功，协商对称算法密钥，保障数据传输安全，以便减少光伏采集终端的计算资源。

在本发明优选但非限制性的实施方式中，所述方法包括以下步骤：

步骤1、手持终端与融合终端建立蓝牙通信连接，并依托加密芯片的内置密钥完成身份认证。

手持终端和融合终端等边端设备内置有加密芯片，加密芯片存储有电力系统统一密码服务平台分发的密钥，为保证手持终端与融合终端的蓝牙近场通信安全，两者先依托设备原有内置加密芯片进行身份认证。

具体如图2所示，实施步骤如下：

步骤11、手持终端取掌机序列号作HASH，对HASH的数据进行签名，通过蓝牙通信的方式将签名数据、序列号、证书发送至融合终端；

步骤12、融合终端采用根证书验证手持终端发来的证书，从证书中提取公钥，验证签名，然后取自身序列号作HASH签名，将签名数据、序列号、证书以及验证的结果发送至手持终端；

步骤13、手持终端采用根证书验证融合终端发送来的证书，从证书中提取公钥，验证签名。

至此，手持终端和融合终端完成了两者的双向身份认证，验证通过后，会话有效时长2min，超时后认证失效。

步骤2、手持终端向融合终端等边端设备分发基于国密算法无证书密钥，具体如图2，实施步骤如下：

步骤21、融合终端将身份验证结果和私钥生成触发报文发送给手持终端；

步骤22、手持终端调用KGC接口，生成私钥申请报文发送给融合终端；

步骤23、融合终端调用KGC接口，生成私钥下发报文发送给手持终端；

步骤24、手持终端调用KGC接口，更新密钥，并将更新结果(成功/失败)反馈至融合终端。

进一步优选地，基于SM2无证书密码体制进行无证书体系下的密钥管理和发行。

可直接使用用户标识和系统参数计算用户公钥，因此在进行签名验签前，用户之间无需交换公钥证书，无需支持证书管理的复杂过程，平台存储的密钥量很小，随着终端设备数量的增加，密钥量几乎不变，极大降低了系统密钥管理负担，可以支持海量的用户标识，特别适合应用于分布式光伏业务场景。

步骤3、手持终端与分布式光伏数据采集器建立蓝牙通信连接，并完成分布式光伏数据采集器的密钥分发，如图3所示，实施步骤如下：

步骤31、手持终端与光伏数据采集器建立蓝牙连接；

步骤32、光伏数据采集器把私钥生成触发报文发送给手持终端；

步骤33、手持终端调用KGC接口，生成私钥申请报文发送给光伏数据采集器；

步骤34、光伏数据采集器调用KGC接口，生成私钥下发报文发送给手持终端；

步骤35、手持终端调用KGC接口，更新密钥，并将更新结果(成功/失败)反馈至光伏数据采集器。

步骤4、基于扩展的DL/T 698.45-2017协议实现光伏数据采集器与融合终端的身份认证和数据加密传输，实现分布式光伏并网轻量化准入，保证分布式光伏采集器与融合终端的涉控指令与采集数据的交互安全。

为了保证通信协议安全可靠、标准可推广，采用DL/T 698.45-2017协议，DL/T698.45-2017协议原本即具有加密和认证的功能，对其进一步扩展之后可满足光伏数据采集器与融合终端等边端设备的认证和加密传输。

如图4所示，实施步骤如下：

步骤41、融合终端获取待下装密钥设备的ID及密钥版本；

步骤42、光伏数据采集器调用加密算法库提供的接口，获取密钥状态，即算法库状态，获取设备ID，并响应给融合终端；

步骤43、融合终端根据返回的算法库状态，确认是否下一步操作；密钥分发完毕时，进入下一步；

步骤44、融合终端与光伏数据采集器开始身份认证，融合终端调用算法库接口，获取融合终端计算参数；

步骤44、光伏数据采集器调用算法库接口，获取采集器计算参数；

步骤45、融合终端调用算法库接口，获取密文1(M1+S1)，将密文1+TID发送给光伏数据采集器；

其中，密文1包括M1和S1，M1通过融合终端的ID对随机数RN1加密得到，S1通过采集器私钥DS2对M1进行签名得到；

步骤46、光伏数据采集器调用算法库接口，对密文1进行解密，解密失败，回复认证失败；解密成功，则调用算法库接口，获取密文2(M2+S2)，并返回给融合终端；

其中，解密成功是指采用融合终端私钥DS1对M1解密，获得RN1；

密文2包括M2和S2，其中，M2通过采集器的ID对随机数RN2加密得到，S2通过融合终端私钥DS1对M2进行签名得到；

步骤47、融合终端调用算法库接口，对密文2进行解密，得到RN2。

上述的光伏数据采集器：是将光伏电站中的光伏并网逆变器、汇流箱、气象站和电表等设备的数据收集起来，并通过GPRS、以太网、WIFI、3G等方式传送到光伏控制系统的设备；

上述的融合终端：是国家电网公司智慧物联体系“云管边端”架构的边缘设备，具备信息采集、物联代理及边缘计算功能，支撑营销、配电及新兴业务。采用硬件平台化、功能软件化、结构模块化、软硬件解耦、通信协议自适配设计，满足高性能并发、大容量存储、多采集对象需求，集配电台区供用电信息采集、各采集终端或电能表数据收集、设备状态监测及通讯组网、就地话分析决策、协同计算等功能于一体的智能化融合终端设备。

本发明实施例2提供基于无证书加密的分布式光伏并网轻量化准入系统，包括：

手持终端与融合终端身份认证模块，用于手持终端与融合终端建立通信连接，并依托加密芯片的内置密钥完成双向身份认证；

融合终端密钥分发模块，用于手持终端向融合终端分发基于国密算法无证书密钥；

数据采集器密钥分发模块，用于手持终端与分布式光伏数据采集器建立通信连接，并完成分布式光伏数据采集器的密钥分发；

光伏数据采集器与融合终端身份认证与数据传输模块，用于进行光伏数据采集器与融合终端的身份认证和数据加密传输，实现分布式光伏并网轻量化准入。

一种终端，包括处理器及存储介质；所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行所述方法的步骤。

计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述方法的步骤。

本发明的有益效果在于，与现有技术相比：

本发明从分布式光伏并网接受电力系统调控指令的安全需求出发，在保证低成本、低侵入、高可靠的前提下进行基于国密算法无证书密码认证，扩展已有的DL/T 698.45-2017协议，实现电力系统融合终端等边缘设备与分布式光伏采集终端的身份认证与加密传输(本发明不涉及加密传输，可以写身份认证、密钥交换、签名验签)，从而保证电力系统调控指令、采集数据不遭受篡改，为分布式光伏规模化建设提供安全防护技术保障，实现终端轻量化准入的分级认证安全防护。

(1)本发明结合分布式光伏业务特点，提出分级认证理念，基于“云、管、边、端”的业务体系，云-边认证仍然沿用电力系统的统一密码服务平台发放数字证书，并依托加密芯片存储，实现双向身份认证；边-端认证考虑到端设备计算资源不足、通信环境不稳定、存储空间有限等问题，提出基于软加密实现轻量化的边端身份认证方法，通过国密算法的无证书软加密，实现分布式光伏采集终端与电力系统边侧设备的身份认证和数据加密传输，可直接使用用户标识和设备参数计算用户公钥，在进行签名验签前，用户之间无需交换公钥证书且密钥量很小，极大降低了系统密钥管理负担，保证了分布式光伏并网安全防护的低成本、低侵入和高可靠；

(2)本发明充分考虑具体实施难度，兼容现有操作习惯，提出了利用电力系统现场手持终端分发密钥的方法，选取手持终端选取手持终端为密钥生成中心KGC(keygeneration center)，用来生成部分私钥和用户秘密值的组合，不借助证书来进行公钥和身份的绑定，同时也不完全依靠KGC产生用户私钥，实现无证书密码体系下的密钥管理和分发，手持终端与融合终端及采集器之间采用蓝牙通信，属于近场低风险通信场景，实现改造成本低，实施难度低的目标。

(3)本发明的轻量化准入方法的提出，手持终端与电力系统边侧设备依托设备原有基于PKI体系的非对称算法密钥实现两者的身份认证；在身份认证成功的基础上，由手持终端向边侧设备发放无证书的密钥，融合终端等边缘设备等具备与分布式光伏采集终端进行认证的密钥。手持终端与分布式光伏采集终端通过蓝牙建立通信，并向光伏采集终端发放无证书密钥，光伏采集终端具备与电力系统边侧设备进行认证的密钥，改善了当前分布式光伏终端网络安全防护缺失的现状，将安全认证覆盖到了电网云、管、边、端整个业务场景，同样可以延伸应用于物联网等业务体系。

本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其它自由传播的电磁波、通过波导或其它传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。