[發(fā)明專利]一種配電終端運(yùn)維工具安全防護(hù)方法在審
| 申請?zhí)枺?/td> | 201910037399.3 | 申請日: | 2019-01-11 |
| 公開(公告)號: | CN111435390A | 公開(公告)日: | 2020-07-21 |
| 發(fā)明(設(shè)計(jì))人: | 常方圓;李二霞;盛萬興;孟曉麗;李玉凌;孫智濤;亢超群;何連杰;邵志敏;張世棟 | 申請(專利權(quán))人: | 中國電力科學(xué)研究院有限公司;國家電網(wǎng)有限公司;國網(wǎng)山東省電力公司電力科學(xué)研究院;國網(wǎng)山東省電力公司 |
| 主分類號: | G06F21/46 | 分類號: | G06F21/46;G06F21/60;G06F21/64 |
| 代理公司: | 北京安博達(dá)知識產(chǎn)權(quán)代理有限公司 11271 | 代理人: | 徐國文 |
| 地址: | 100192 北*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 配電 終端 工具 安全 防護(hù) 方法 | ||
1.一種配電終端運(yùn)維工具安全防護(hù)方法,其特征在于,基于USB Key為運(yùn)維工具提供安全防護(hù),所述USB Key中存儲了配電應(yīng)用CA證書、運(yùn)維工具證書及相應(yīng)私鑰、現(xiàn)場運(yùn)維上行密鑰和現(xiàn)場運(yùn)維下行密鑰;
所述方法包括配電終端與運(yùn)維工具之間的身份認(rèn)證、配電終端與運(yùn)維工具間的數(shù)據(jù)加解密、生成配電終端的證書請求文件、恢復(fù)配電終端對稱密鑰;
其中,所述配電終端與運(yùn)維工具之間的身份認(rèn)證包括以下步驟:
(1)運(yùn)維工具向配電終端發(fā)送認(rèn)證申請,所述認(rèn)證申請中包括了運(yùn)維工具證書和運(yùn)維工具ID;
(2)配電終端驗(yàn)證所述運(yùn)維工具證書的合法性,如果不合法,則認(rèn)證失敗,配電終端拒絕所述運(yùn)維工具的操作,如果合法,則繼續(xù)后續(xù)步驟;
(3)所述配電終端生成一個隨機(jī)數(shù)R發(fā)送給所述運(yùn)維工具,所述運(yùn)維工具通過所述USBKey對該隨機(jī)數(shù)R進(jìn)行簽名,并將簽名結(jié)果發(fā)送給所述配電終端;
(4)所述配電終端驗(yàn)證所述簽名結(jié)果,如果驗(yàn)證不通過,則認(rèn)證失敗,配電終端拒絕所述運(yùn)維工具的操作,如果驗(yàn)證通過,則完成對運(yùn)維工具的身份認(rèn)證并向運(yùn)維工具返回驗(yàn)證通過消息;
(5)在身份認(rèn)證通過后,所述配電終端監(jiān)控所述運(yùn)維工具與配電終端之間的數(shù)據(jù)交互,如果在預(yù)定義的時間長度內(nèi),所述運(yùn)維工具與配電終端之間沒有數(shù)據(jù)交互,則所述配電終端自動撤銷對所述運(yùn)維工具的身份認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述配電終端與運(yùn)維工具間的數(shù)據(jù)加解密包括:
當(dāng)運(yùn)維工具向配電終端發(fā)送數(shù)據(jù)時,運(yùn)維工具調(diào)用USB Key,由USB Key使用現(xiàn)場運(yùn)維下行密鑰對發(fā)送給配電終端的數(shù)據(jù)進(jìn)行加密,生成加密報文,然后將加密報文發(fā)送給配電終端,配電終端收到加密報文后,用現(xiàn)場運(yùn)維下行密鑰進(jìn)行解密,獲取明文數(shù)據(jù);
當(dāng)配電終端向運(yùn)維工具發(fā)送數(shù)據(jù)時,配電終端使用現(xiàn)場運(yùn)維上行密鑰對數(shù)據(jù)進(jìn)行加密,生成加密報文,并將加密報文發(fā)送給運(yùn)維工具,運(yùn)維工具收到加密報文后,調(diào)用USBKey,由USB Key使用現(xiàn)場運(yùn)維上行密鑰對配電終端的報文進(jìn)行解密,獲取明文數(shù)據(jù)。
3.根據(jù)權(quán)利要求1-2任意一項(xiàng)所述的方法,其特征在于,生成配電終端的證書請求文件包括以下步驟:
(1)運(yùn)維工具向配電終端發(fā)送提取終端密鑰版本指令,請求所述配電終端返回其密鑰版本;
(2)所述配電終端讀取其芯片中的密鑰版本號,將該密鑰版本號以明文方式返回給運(yùn)維工具;
(3)所述運(yùn)維工具向配電終端發(fā)送提取終端序列號指令;
(4)所述配電終端以明文方式向運(yùn)維工具返回該配電終端的序列號;
(5)所述運(yùn)維工具向配電終端發(fā)送提取終端內(nèi)置安全芯片序列號指令;
(6)所述配電終端以明文方式向運(yùn)維工具返回內(nèi)置安全芯片序列號;
(7)所述運(yùn)維工具向配電終端發(fā)送提取終端內(nèi)置安全芯片公鑰的指令;
(8)所述配電終端提取內(nèi)置安全芯片的公鑰,使用現(xiàn)場運(yùn)維上行密鑰對公鑰進(jìn)行加密,并將密文發(fā)送給運(yùn)維工具;
(9)所述運(yùn)維工具通過USB Key解密所述密文,獲得公鑰信息,并通過界面錄入配電終端的其他信息,基于上述各步驟獲取的配電終端信息生成帶簽名的證書請求數(shù)據(jù);
(10)所述運(yùn)維工具通過USB Key對證書請求數(shù)據(jù)進(jìn)行加密后,發(fā)送給配電終端;
(11)所述配電終端接收到加密的證書請求數(shù)據(jù)后,先對其解密,獲得要簽名的證書請求數(shù)據(jù),然后配電終端用私鑰對所述證書請求數(shù)據(jù)進(jìn)行數(shù)字簽名,并將簽名結(jié)果返回給運(yùn)維工具;
(12)所述運(yùn)維工具接收簽名結(jié)果,生成完整的證書請求文件。
4.根據(jù)權(quán)利要求1-3任意一項(xiàng)所述的方法,其特征在于,恢復(fù)配電終端對稱密鑰包括以下步驟:
(1)運(yùn)維工具向配電終端發(fā)送獲取密鑰版本號指令;
(2)所述配電終端從內(nèi)置安全芯片讀取密鑰版本號,并生成終端隨機(jī)數(shù)R1,將密鑰版本號和終端隨機(jī)數(shù)R1返回給所述運(yùn)維工具;
(3)所述運(yùn)維工具用該終端隨機(jī)數(shù)R1對要恢復(fù)的密鑰計(jì)算MAC,,生成密鑰恢復(fù)包,使用USB Key對密鑰恢復(fù)包進(jìn)行加密后發(fā)送給配電終端;
(4)所述配電終端對加密的密鑰恢復(fù)包進(jìn)行解密,獲得密鑰恢復(fù)包,基于所述密鑰恢復(fù)包進(jìn)行密鑰恢復(fù)操作,并向運(yùn)維工具返回密鑰恢復(fù)執(zhí)行結(jié)果。
5.根據(jù)權(quán)利要求1-4任意一項(xiàng)所述的方法,其特征在于,通過所述運(yùn)維工具,分別將配電應(yīng)用CA證書、主站證書、網(wǎng)關(guān)證書、終端證書導(dǎo)入配電終端,或?qū)С雠潆娊K端證書。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國電力科學(xué)研究院有限公司;國家電網(wǎng)有限公司;國網(wǎng)山東省電力公司電力科學(xué)研究院;國網(wǎng)山東省電力公司,未經(jīng)中國電力科學(xué)研究院有限公司;國家電網(wǎng)有限公司;國網(wǎng)山東省電力公司電力科學(xué)研究院;國網(wǎng)山東省電力公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910037399.3/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
