[发明专利]一种配电终端与配电主站的安全接入方法及系统在审
申请号: | 201911411616.7 | 申请日: | 2019-12-31 |
公开(公告)号: | CN113132310A | 公开(公告)日: | 2021-07-16 |
发明(设计)人: | 常方圆;李二霞;盛万兴;孟晓丽;李玉凌;孙智涛;亢超群;何连杰;邵志敏;张世栋 | 申请(专利权)人: | 中国电力科学研究院有限公司;国家电网有限公司;国网山东省电力公司;国网山东省电力公司电力科学研究院 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/32;H02J13/00 |
代理公司: | 北京安博达知识产权代理有限公司 11271 | 代理人: | 徐国文 |
地址: | 100192 北*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 配电 终端 安全 接入 方法 系统 | ||
1.一种配电终端与配电主站的安全接入方法,该方法应用于配电终端,其特征在于,所述方法包括:
利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告;
将所述完整性度量报告发送至所述配电主站。
2.如权利要求1所述的方法,其特征在于,所述配电终端包括可信芯片和MCU;
所述利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告,包括:
步骤1.所述可信芯片读取配电终端中的U-boot引导程序,并使用SM3算法计算所述U-Boot引导程序的度量值;
步骤2.所述可信芯片比较所述U-Boot引导程序的度量值与第一基准度量值,若相同,则转至步骤3,否则,不启动所述配电终端并结束操作;
步骤3.所述MCU加载U-Boot引导程序,并利用U-Boot引导程序读取Linux内核数据;
步骤4.所述可信芯片使用SM3算法计算Linux内核度量值;
步骤5.所述MCU通过加载的U-Boot引导程序与可信芯片交换SM2密钥建立安全会话并将Linux内核度量值密文传给可信芯片;
步骤6.所述可信芯片解密度量值密文,比较所述Linux内核度量值与第二基准度量值,若相同,则转至步骤7,否则,结束操作;
步骤7.所述MCU通过加载的U-Boot引导程序加载Linux内核;
步骤8.所述可信芯片度量应用程序;
步骤9.所述可信芯片基于Linux内核及应用程序的度量结果生成完整性度量报告。
3.如权利要求1所述的方法,其特征在于,所述将所述完整性度量报告发送至所述配电主站之前包括:
分别与认证网关和配电主站进行双向身份认证。
4.如权利要求3所述的方法,其特征在于,所述分别与认证网关和配电主站进行双向身份认证,包括:
与认证网关进行双向身份认证的过程包括:
配电终端建立与认证网关间的网络连接;
认证网关产生随机数R1,并将所述随机数R1发送给所述配电终端;
配电终端中的可信芯片自动生成随机数R2,对R1+R2进行数字签名后发送给认证网关,同时配电终端保存R1;
认证网关验证R1+R2的数字签名结果的有效性,验证通过后则完成网关对终端的身份认证;
认证网关对随机数R2进行数字签名后发送至配电终端;
配电终端验证R2的数字签名结果的有效性,验证通过后则完成配电终端对认证网关的身份认证并返回认证确认信息;
与配电主站进行双向身份认证的过程包括:
所述配电终端建立与配电主站之间的网络连接;
配电主站利用配电加密认证装置生成随机数R3,发送给所述配电终端;
配电终端中的可信芯片生成随机数R4,对R3+R4进行数字签名后发送给配电主站,同时配电终端保存R3;
配电主站验证R3+R4的数字签名结果的有效性,验证通过则完成配电主站对配电终端的身份认证;
配电主站对随机数R4进行数字签名后发送至配电终端;
配电终端验证R4的数字签名结果的有效性,验证通过后则完成配电终端对配电主站身份认证并返回认证确认信息。
5.一种应用配电终端与配电主站安全接入的配电终端,其特征在于,所述配电终端包括:
可信计算模块,用于利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告;
发送模块,用于将所述完整性度量报告发送至所述配电主站。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电力科学研究院有限公司;国家电网有限公司;国网山东省电力公司;国网山东省电力公司电力科学研究院,未经中国电力科学研究院有限公司;国家电网有限公司;国网山东省电力公司;国网山东省电力公司电力科学研究院许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911411616.7/1.html,转载请声明来源钻瓜专利网。