本發明的目的是提供一種適用于電力調度控制系統的應用服務認證加密方法和系統，系統包括應用認證中心、應用客戶端和應用服務器；應用客戶端在應用啟動時向應用認證中心發送認證請求；應用認證中心響應于認證請求與應用客戶端之間進行雙向認證生成應用標識；應用客戶端在需要向應用服務器請求服務時，基于應用標識和加密處理后的服務請求生成服務請求報文，發送至應用服務器；應用服務器根據服務請求報文中的應用標識進行驗證，并在驗證成功后生成響應報文并加密后返回至應用客戶端；應用客戶端對響應報文進行解密得到響應報文數據，完成服務調用。本發明能夠應用于生產控制大區實現應用服務的認證加密，保障生產控制大區信息交互的安全性。

技術領域

本發明涉及電力調度控制系統中應用服務認證技術領域，特別是一種適用于電力調度控制系統的應用服務認證加密方法和系統。

背景技術

目前主流的應用服務認證加密技術主要包括如下幾種：

（1）在單點登錄和OAuth協議的基礎上，基于HTTPS和票據認證實現，通過驗證應用間的票據來實現相互信任，即實現互信應用系統間認證；

（2）采用Redis、OAuth2等技術，將令牌作為在不同服務間認證的憑證，實現服務的統一出口、權限控制和監控，以實現對服務進行注冊和認證的服務接口網關系統；

（3）基于OAuth技術，通過簽發令牌來對各個微服務進行認證，并使用混合加密機制來保證服務間通信的安全性，實現一種輕量級的微服務認證方法，在保證服務間高安全性的同時維持較高的通信效率；

（4）基于Netty框架，通過構建安全過濾鏈，對服務調用請求，進行認證和鑒權，以有效的滿足企業服務總線上各類服務對安全性的需求，支撐每天數億次的服務安全調用；

（5）以OpenID技術為基礎的改進方法，在openstack云平臺上實現身份認證技術。

可見現有的針對服務化環境下的服務認證，都是以http/https為基礎，使用OAuth或OpenID等web技術實現服務的安全認證，使用RSA、AES等加密算法進行通信加密。但是，在電力調度控制系統的生產控制大區是禁止使用http/https和開源軟件的，因此無法使用上述web技術對服務進行認證。

發明內容

本發明的目的是提供一種適用于電力調度控制系統的應用服務認證加密方法和系統，能夠應用于生產控制大區實現應用服務的認證加密，保障生產控制大區信息交互的安全性。

本發明采用的技術方案如下：

一方面，本發明提供一種適用于電力調度控制系統的應用服務認證加密方法，由應用客戶端執行，方法包括：

響應于應用啟動，向應用認證中心發送認證請求；

接收應用認證中心響應于所述認證請求，按照預設認證規則進行應用客戶端身份認證且認證成功后，返回的應用標識；

響應于需要向應用服務器請求服務，按照預設的加密規則對服務請求進行加密處理，進而基于已獲得的應用標識和加密處理后的服務請求，生成服務請求報文，發送至應用服務器；

接收應用服務器響應于所述服務請求報文，根據其中的應用標識按照預設的驗證規則進行驗證，并在驗證通過后對加密服務請求進行解密，根據解密后的服務請求生成并加密的響應報文；

對所述響應報文進行解密，獲取響應報文數據，完成服務調用。

以上方案中，若應用認證中心與應用客戶端之間的身份認證失敗，則應用認證中心不生成應用標識，方法可直接退出流程，后續應用客戶端無法從應用服務器調用服務。

可選的，應用服務器以及已在應用認證中心注冊的應用客戶端預存儲有應用認證中心的公鑰證書，應用認證中心預存儲有已注冊應用客戶端的公鑰證書；