[发明专利]一种基于数字签名的电力终端数据安全传输方法

说明书

技术领域

本发明涉及一种传输方法，具体涉及一种基于数字签名的电力终端数据安全传输方法。

背景技术

随着智能电网的发展和网络通信的复杂化，各种终端在电网业务系统中的使用越来越多样化，这对智能电网数据的安全产生了极大的威胁。终端数据的完整性、保密性以及可用性直接关系到各个电力业务系统的正常使用，其安全性越来越受到重视。面对日渐突出的终端数据泄露问题，对于终端敏感数据进行保护，提高其安全性也愈发重要。嵌入式终端的数据传输过程进行安全强化，主要的安全增强步骤是利用数字签名对传输数据进行完整性校验。校验的步骤包括，首先基于可信的CA对公钥进行有效性验证，其次利用公钥对签名数据解密，之后对传输数据进行摘要对比。

目前数据传输安全的主要依据是通过计算明文的摘要并与文件的验证码进行比对，但该方法具有明显的局限性。具体而言，现有方法存在以下两点不足：1)电力终端数量大，分布广，与每一个终端进行加密数据传输会消耗系统的大量的密钥分配和加密算法资源；2)若敌手在传输过程中截了明文，并重新计算校验码，则电力终端无法分辨，缺少发送者有效身份的验证。签密技术结合了数字签名和数据加密，能有效的解决数据传输过程中加密和认证的问题，在相同安全强度下，签密方案的效率远远大于“先签名后加密”的流程。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于数字签名的电力终端数据安全传输方法，解决了电力终端数据安全校验问题，且可以实现电力终端数据加密传输及身份验证，提高了电力终端的数据安全性。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于数字签名的电力终端数据安全传输方法，所述方法包括以下步骤：

步骤1：对电力终端进行安全评估和注册；

步骤2：密钥生成器生成密钥，并将密钥分发给电力终端；

步骤3：电力终端之间数据传输。

所述步骤1具体包括以下步骤：

步骤1-1：电力终端将自身的信息反馈给评估中心，评估中心根据收集到的业务功能、物理位置、使用网络信息将各个电力终端进行安全分级；

步骤1-2：具有相同安全级别的电力终端获得相同的组编号，用于密钥的分发；与此同时，评估中心为每个电力终端分配全局唯一的终端编号TID，用于数据的点到点加密传输。

所述步骤2包括以下步骤：

步骤2-1：并定义p和q均为大素数，且q是p-1的质因子，设G₁为以p为特征的有限域上的加法群，G₂为以p为特征的有限域上的乘法群，记P为G₁的生成元，为G₁×G₁→G₂的双线性映射；密钥生成器随机选择q以内的正整数s，认定s为系统主私钥，同时认定系统主公钥PK＝sP，选取单向哈希函数H₁为公钥提取函数，该公钥提取函数满足将任意长度的字符串映射到加法群G₁中，即{0,1}^*→G₁；选取单向哈希函数H₂为明文摘要函数，满足将任意明文消息m映射到任意长度的字符串中，即H₂(m)→{0，1}^*；选取单向哈希函数H₃为对称密钥提取函数；选取单向哈希函数H₄，满足将G₂中的元素映射到长度为n的字母串中，即G₂→{0，1}ⁿ，系统公开{P，PK，H₁，H₂，H₃，H₄，G₁，G₂，}；

步骤2-2：各个电力终端将自身的所在组的组编号发送给密钥生成器，密钥生成器为每个相同安全级别的电力终端组颁发组公钥PK_GID和组私钥SK_GID，有：

PK_GID＝H₁(GID)

SK_GID＝sH₁(GID)

其中，GID表示各个电力终端将自身的所在组的组编号，H₁(GID)表示GID作为输入的单向哈希函数运算结果；