一种授权客户端、配电终端设备及其授权方法与流程

本发明涉及一种配电终端授权方法，尤其涉及一种授权客户端、配电终端设备及其授权方法。

背景技术：

随着能源互联网战略的快速推进，具有智能化、泛在互联以及控制指令交互频繁特征的电力智能终端在电力系统各环节得到广泛应用，已经成为电力系统的关键基础设施。目前，国家电网系统接入的终端设备超过5亿台，这个数字还会随着电力物联网的建设而激增，必然带来终端接入管理等问题，还存在数据泄露、终端伪造及版本外泄的风险。

配电终端设备在出厂前，必须对设备进行注册授权，实现设备身份认证，只有通过授权认证的设备才是合法的，才能投入到现场正常使用，否则设备功能无法使用，设备出厂前的注册授权是现场设备安全运行的第一道防线。现有配电终端设备通常利用预置的芯片id或设备id作为身份认证凭证，这种预置的身份标识存在被窃取、欺骗、重放、克隆、物理破解的可能性，给泛在电力物联网的安全运行带来了隐患。

技术实现要素：

本发明的目的是提供一种授权客户端、配电终端设备及其授权方法，用于解决现有配电终端设备的身份标识不安全的问题。

为解决上述技术问题，本发明提供了一种配电终端设备的授权方法，步骤如下：

授权客户端向待授权配电终端设备发送授权请求；

待授权配电终端设备接收授权请求后，根据预设的设备激励，利用puf技术获取设备指纹，根据设备指纹生成机器码，并返回给授权客户端；

授权客户端根据接收到的机器码，利用设定的授权算法生成对应的授权码，并发送给待授权配电终端设备；

待授权配电终端设备根据接收到的授权码进行授权。

本发明的有益效果是：根据预设的设备激励，利用puf技术获取设备指纹，并根据设备指纹最终得到授权码，从而完成配电终端设备的授权，实现设备身份标识。由于采用puf技术获取设备指纹具有低成本、高可靠性和防篡改等优点，从而提高了配电终端设备身份标识的安全性，消除了配电终端设备接入物联网的安全运行隐患。

作为方法的进一步改进，为了进一步提高配电终端设备身份标识的安全性，所述机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。

作为方法的进一步改进，为了验证是否成功授权，还包括：待授权配电终端设备根据机器码及所述设定的授权算法生成授权码，并将生成的授权码与接收到的授权码进行比较，若二者相同，则说明该待授权配电终端设备授权成功。

作为方法的进一步改进，为了便于后续查询和管理，待授权配电终端设备授权成功后，将授权状态返回给授权客户端，授权客户端将对应的授权码及配电终端设备的工程信息进行存储。

为解决上述技术问题，本发明还提供了一种配电终端设备，该配电终端设备用于：

接收授权客户端发送的授权请求后，根据预设的设备激励，利用puf技术获取设备指纹，根据设备指纹生成机器码，并返回给授权客户端；

根据接收到的授权码进行授权。

本发明的有益效果是：根据预设的设备激励，利用puf技术获取设备指纹，并根据设备指纹最终得到授权码，从而完成配电终端设备的授权，实现设备身份标识。由于采用puf技术获取设备指纹具有低成本、高可靠性和防篡改等优点，从而提高了配电终端设备身份标识的安全性，消除了配电终端设备接入物联网的安全运行隐患。

作为设备的进一步改进，为了进一步提高配电终端设备身份标识的安全性，所述机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。

作为设备的进一步改进，为了验证是否成功授权，该配电终端设备还用于：根据机器码及所述设定的授权算法生成授权码，并将生成的授权码与接收到的授权码进行比较，若二者相同，则说明该待授权配电终端设备授权成功。

作为设备的进一步改进，为了便于后续查询和管理，该配电终端设备还用于：授权成功后，将授权状态返回给授权客户端。

为解决上述技术问题，本发明还提供了一种授权客户端，该授权客户端用于：

向待授权配电终端设备发送授权请求；

接收待授权配电终端设备返回的机器码，根据接收到的机器码，利用设定的授权算法生成对应的授权码，并发送给待授权配电终端设备。

本发明的有益效果是：根据接收到的机器码，最终得到授权码，从而完成配电终端设备的授权，实现设备身份标识。由于机器码的获取采用了puf技术，具有低成本、高可靠性和防篡改等优点，从而提高了配电终端设备身份标识的安全性，消除了配电终端设备接入物联网的安全运行隐患。

作为客户端的进一步改进，为了便于后续查询和管理，该授权客户端还用于：接收到授权状态后，将对应的授权码及配电终端设备的工程信息进行存储。

附图说明

图1是本发明的配电终端设备的授权方法的过程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例对本发明进行进一步详细说明。

配电终端设备的授权方法实施例：

本实施例提供了一种配电终端设备的授权方法，授权过程如图1所示。该方法将fuf技术与授权方法相结合，实现了物联网配电终端设备标识的不可破解、不可复制、不可篡改，提高了物联网配电终端设备的身份安全。具体的，该配电终端设备的授权方法包括以下步骤：

(1)授权客户端向待授权配电终端设备发送授权请求。

其中，授权客户端也称为授权码生成与管理工具，为了实现配电终端设备的授权，必须保证授权客户端可以与待授权配电终端设备可靠通信连接，以实现正常通信。如图1所示，在正常通信条件下，授权客户端通过授权程序向待授权配电终端设备的服务程序发送授权请求。

(2)待授权配电终端设备接收授权请求后，根据预设的设备激励，利用puf技术获取设备指纹，根据设备指纹生成机器码，并返回给授权客户端。

其中，机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。预设的设备激励和设备类型已默认固定在设备的服务程序中，针对海量的物联网配电终端设备，通过装置上送的唯一识别码，即可快速识别设备类型，便于后台的识别、授权及管理。待授权配电终端设备内设置有基于puf技术的芯片，利用集成电路在制造过程中不可控制的随机工艺偏差产生设备硬件的身份识别码(也叫设备指纹)。在本实施例中，该芯片可以实现动态可配置多输出ropuf技术。

待授权配电终端设备的服务程序接收到授权客户端发送的授权请求后，将预先设定的设备激励输入到基于puf技术的芯片中，该芯片输出响应，从而得到设备指纹，并发送给服务程序。服务程序在设备指纹后面追加预设的设备类型对应的设备类型识别码，也就是根据预设的设备类型在设备指纹的后面追加设备类型识别码，组合在一起作为待授权终端设备的机器码，并将机器码返回给授权客户端的授权程序。

当然，作为其他的实施方式，在生成机器码时，也可以根据预设的设备类型在设备指纹的前面添加设备类型识别码，组合在一起作为待授权终端设备的机器码，或者是直接将获取的设备指纹作为机器码。该机器码可以根据需求随时进行提取并在使用完成后不进行存储，避免了机器码被复制、篡改的风险。

(3)授权客户端根据接收到的机器码，利用设定的授权算法生成对应的授权码，并发送给待授权配电终端设备。

其中，授权算法中加入了设备类型的选项，并进行了哈希运算，更增加了机器码的安全性。在本实施例中，所采用的授权算法为由设备机器码和设备类型作为输入，经过md5计算得到授权码，md5为计算机安全领域广泛使用的一种哈希算法，由于md5的具体计算过程属于现有技术，此处不再赘述。

当然，作为其他的授权算法，也可加入设备的其它信息作为输入信息，或者采用其它广泛应用的哈希算法，如sha-1、sha-2等，根据需要生成固定长度的授权码(本实施例中的授权码只是示例)。由于哈希算法具有不可逆特性，进一步增强了设备的安全性。

(4)待授权配电终端设备根据接收到的授权码进行授权。

其中，待授权配电终端设备的服务程序根据机器码及与授权客户端相同的授权算法生成授权码，并将生成的授权码与接收到的授权码进行比较，若二者完全相同，则对设备进行授权，并存储授权码。配电终端设备授权成功后，会将授权状态返回授权客户端，授权客户端添加此配电终端设备的授权码和工程信息(如工程项目名称、设备名称、合同编号、设备编号等)，生成一条完整的工程及授权信息记录，并存储于数据库中，便于配电终端设备的查询与管理。

在本实施例中，待授权配电终端设备服务程序预设的设备激励为ftu-1234，采用ropuf技术利用不同ro振荡频率的差异来生成响应(设备指纹)1234abcd，预设的设备类型为ftu-xy，将预设的设备类型ftu-xy与设备指纹组合生成唯一的机器码1234abcd-ftu-xy，并返回给授权客户端。授权客户端根据机器码生成对应的授权码1qaz2wsx3edc4rfv，发送给待授权配电终端，配电终端设备进行授权认证，完成设备身份标识。本实施例中

需要说明的是，上述配电终端设备的授权方法的授权流程是新配电终端设备出厂前的授权流程，只有经过授权的合法的设备才能发往现场投入使用，已投运的设备每次重启或者需要检测授权状态的时候，设备也会进行授权认证，如果出现非法异常，则设备立即停止工作。

配电终端设备实施例：

本实施例提供了一种配电终端设备，由于该配电终端设备的工作过程已经在上述的配电终端设备的授权方法实施例中进行了详细介绍，此处不再赘述。

授权客户端实施例：

本实施例提供了一种授权客户端，由于该授权客户端的工作过程已经在上述的配电终端设备的授权方法实施例中进行了详细介绍，此处不再赘述。

本发明在设备合法授权的基础上实现了设备身份识别的唯一性，一旦设备被恶意篡改、克隆、替换等，由于采用了puf物理不可克隆技术，设备指纹必然发生变化，导致设备授权变为非法状态，设备告警，停止工作，避免其携带的安全风险引入整个网络。本发明解决了配电终端设备的身份标识存在被窃取、欺骗、重放、克隆、物理破解的可能性问题，大大提高物了联网配电终端设备的通信安全。

最后应当说明的是，以上实施例仅用于说明本发明的技术方案而非对其保护范围的限制，尽管参照上述实施例对本申请进行了详细的说明，所属领域的普通技术人员应当理解，本领域技术人员阅读本申请后依然可对申请的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在本发明的权利要求保护范围之内。