[发明专利]一种能源托管平台系统远程通讯的数据加密方法

权利要求书

1.一种能源托管平台系统远程通讯的数据加密方法，其特征在于包括密钥的生成与管理，密钥的申请与分发和主站与子站之间通讯报文的加、解密处理；

所述密钥的生成与管理中密钥由主站加密服务器HSS生成并管理，且采用一户一密的方式；其具体包括：

（1）登录密钥UK的生成与管理：子站在主站登记后，由主站向HSS发起请求，由HSS生成该子站的UK；主站在数据库中存储该用户的UK信息，并将UK存储于U盾中；

（2）通讯主密钥MK和操作指令密钥OK的生成与管理：子站用户使用U盾登录主站时，主站根据UK从数据库中读取和辨识用户身份，并向HSS发起请求，由HSS随机生成该用户的MK和OK；主站在数据库中存储该用户的MK和OK信息；

所述密钥的申请与分发具体包括：

（1）登录密钥UK的申请：子站与主站签订托管合约后，主站将存有该子站UK的U盾分发给子站；

（2）通讯主密钥MK和操作指令密钥OK申请：子站使用U盾方能登录主站签到；每次签到后，主站根据UK辨识用户身份，并将HSS生成的MK和OK通过特定的加密算法、使用UK加密成密文后，通过主站远程发放给子站，主站和子站各自保存本次的MK和OK，用于通讯报文的加解密；

所述主站与子站之间通讯报文的加、解密处理具体包括：

（1）主站召测：主站将召测指令下发给子站，子站接收指令后，将现场的各项终端能耗信息按约定的报文格式上报主站；

（2）主站遥控：控制类报文由主站发起，子站接收且经业主操作人员确认后执行相应的指令，并将执行结果上报主站；

系统约定，控制类报文中的控制命令域，采用OK进行加密后，方可发送；主站将控制命令域通过特定的加密算法、使用OK进行加密后，放入报文中；然后将整段报文计算通讯报文信息摘要MD5后，用MK进行加密，将加密后的结果作为报文尾，发送给子站；

所述子站接收报文后，读取报文尾，通过特定的解密算法、使用MK对密文进行解密，还原通讯报文信息摘要MD5；同时采用标准MD5算法计算主报文的MD5，如果解密后的MD5与计算出的MD5完全一致，则往下操作，否则认为报文非法；随后，子站通过特定的解密算法、使用OK对控制命令域进行解密，获取控制命令明文，并经业主操作人员确认后，执行相关控制操作；子站的执行结果报文，也采用整段报文计算MD5，再使用MK进行加密，将加密后的结果作为报文尾，进行通讯。

2.根据权利要求1所述的一种能源托管平台系统远程通讯的数据加密方法，其特征在于系统约定，主站的召测指令以及子站的上报数据均采用标准MD5算法计算整段报文的MD5，并通过特定的加密算法、使用MK对该MD5进行加密，将加密后的结果作为报文尾，进行通讯。

3.根据权利要求2所述的一种能源托管平台系统远程通讯的数据加密方法，其特征在于所述主站或子站接收报文后，读取报文尾，通过特定的解密算法、使用MK对密文进行解密，还原MD5；同时采用标准MD5算法计算主报文的MD5，如果解密后的MD5与计算出的MD5完全一致，说明该报文为合法报文，否则认为非法。

4.根据权利要求1所述的一种能源托管平台系统远程通讯的数据加密方法，其特征在于所述子站每次使用U盾登录主站，HSS都将生成一套新的MK和OK，该子站之前的MK和OK随之失效，以增强密钥的安全性。