一种配电终端与配电主站的安全接入方法及系统与流程

1.本发明涉及配电自动化技术领域，具体涉及一种配电终端与配电主站的安全接入方法及系统。


背景技术：

2.自从2010年“震网”病毒爆发以来，全球范围内的工业控制网络安全事件基本呈逐年递增趋势，且遭受攻击的目标多为国家重要基础设施或重要行业领域的工业控制网络。2015年12月23日，乌克兰电力部门遭到黑客攻击，报告乌克兰全国至少有三个区域的电力监控管理系统遭到黑客入侵，导致事发当时出现了数小时的停电，电力部门也发布公告称由于公司网络遭到黑客入侵，导致其下辖的7个110kv变电站和23个35kv变电站出线故障，大约8000用户受到断电影响。2019年2月7日，委内瑞拉21个州发生了停电，原因是向全国提供80％电力的古里水电站遭到蓄意破坏。2019年6月15日，美国报道称至少从2012年开始，已将侦查探测植入俄罗斯的控制系统中，将“前所未有”地深度将潜在的恶意代码安置于俄罗斯的网络系统中。
3.在最初信息安全建设中，人们首先想到的是防止外部攻击以及本地网络安全边界的问题，因此基本都采用客户访问控制、入侵检测、网络阻隔和防范病毒等初步方法来解决信息安全问题。人们逐渐认识到，作为网络组成部分的终端设备是安全性相对薄弱的环节，也是网络安全解决方案容易忽视之处，通过对网络安全事件的分析来看，网络上高达80％的安全问题来自于终端的脆弱性。终端系统是网络数据流的源点，终端的安全性是保证所有网络安全的一个重要因素，体系结构相对简单，自身就存在着安全漏洞，攻击者可利用这些安全漏洞随意设置代码，任意读取终端内的空间数据，任意植入木马程序获取相关用户信息等等，恶意代码通过终端漏洞攻击整个网络。黑客可以从有隐患的终端发起高带宽的攻击，例如分布式拒绝服务攻击；也可以通过终端漏洞深入服务器。终端漏洞不仅可能成为黑客进行攻击的对象，还有可能被利用作为攻击其他终端的中转，用来隐藏其非法身份，严重影响了计算机网络的正常功能。
4.配电自动化系统是应用于35kv-10kv配电网络的工业控制系统，包括配电主站(简称“配电主站”)、通信网络、配电终端(简称“配电终端”)等部分，其中配电终端的物理防护措施较弱，易被非法入侵。早期建成的配电自动化系统安全防护体系中，依据《关于加强配电网自动化系统安全防护工作的通知》、《中低压配电网自动化系统安全防护补充规定》的要求，仅对配电主站与终端交互的遥控指令、参数设置命令采取了签名操作，仅实现终端对主站的身份鉴别，终端接入时，主站不具备鉴别终端真伪的功能，攻击者可通过仿冒的配电终端入侵主站、存在主站的服务器被入侵、感染病毒、系统数据被破坏或窃取等风险。2017年后，通过内嵌一颗集成商用密码算法的“国网芯”安全芯片，实现了配电终端与主站基于数字证书的双向身份认证，但是面对日趋复杂、快速增长的恶意代码，配电终端被非法植入病毒、木马的机率大幅增加，存在以配电终端为跳板导致的配电自动化系统被恶意渗透或破坏的风险。


技术实现要素：

5.针对现有技术的不足，本发明的目的是以提高配电终端自身安全防护水平为目标，基于可信计算理论，通过内嵌一颗可信芯片，综合终端启动过程中的完整性度量以及终端接入时与主站的完整性验证两方面完成配电终端与配电主站的安全接入。
6.本发明的目的是采用下述技术方案实现的：
7.本发明提供了一种配电终端与配电主站的安全接入方法，该方法应用于配电终端，其改进之处在于，所述方法包括：
8.利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告；
9.将所述完整性度量报告发送至所述配电主站。
10.优选的，所述配电终端包括可信芯片和mcu；所述利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告，包括：
11.步骤1.所述可信芯片读取配电终端中的u-boot引导程序，并使用sm3算法计算所述u-boot引导程序的度量值；
12.步骤2.所述可信芯片比较所述u-boot引导程序的度量值与第一基准度量值，若相同，则转至步骤3，否则，不启动所述配电终端并结束操作；
13.步骤3.所述mcu加载u-boot引导程序,并利用u-boot引导程序读取linux内核数据；
14.步骤4.所述可信芯片使用sm3算法计算linux内核度量值；
15.步骤5.所述mcu通过加载的u-boot引导程序与可信芯片交换sm2密钥建立安全会话并将linux内核度量值密文传给可信芯片；
16.步骤6.所述可信芯片解密度量值密文，比较所述linux内核度量值与第二基准度量值，若相同，则转至步骤7，否则，结束操作；
17.步骤7.所述mcu通过加载的u-boot引导程序加载linux内核；
18.步骤8.所述可信芯片度量应用程序；
19.步骤9.所述可信芯片基于linux内核及应用程序的度量结果生成完整性度量报告。
20.优选的，所述将所述完整性度量报告发送至所述配电主站之前包括：
21.分别与认证网关和配电主站进行双向身份认证。
22.进一步的，所述分别与认证网关和配电主站进行双向身份认证，包括：
23.与认证网关进行双向身份认证的过程包括：
24.配电终端建立与认证网关间的网络连接；
25.认证网关产生随机数r1，并将所述随机数r1发送给所述配电终端；
26.配电终端中的可信芯片自动生成随机数r2，对r1+r2进行数字签名后发送给认证网关，同时配电终端保存r1；
27.认证网关验证r1+r2的数字签名结果的有效性，验证通过后则完成网关对终端的身份认证；
28.认证网关对随机数r2进行数字签名后发送至配电终端；
29.配电终端验证r2的数字签名结果的有效性，验证通过后则完成配电终端对认证网关的身份认证并返回认证确认信息；
30.与配电主站进行双向身份认证的过程包括：
31.所述配电终端建立与配电主站之间的网络连接；
32.配电主站利用配电加密认证装置生成随机数r3，发送给所述配电终端；
33.配电终端中的可信芯片生成随机数r4，对r3+r4进行数字签名后发送给配电主站，同时配电终端保存r3；
34.配电主站验证r3+r4的数字签名结果的有效性，验证通过则完成配电主站对配电终端的身份认证；
35.配电主站对随机数r4进行数字签名后发送至配电终端；
36.配电终端验证r4的数字签名结果的有效性，验证通过后则完成配电终端对配电主站身份认证并返回认证确认信息。
37.本发明提供了一种应用配电终端与配电主站安全接入的配电终端，其改进之处在于，所述配电终端包括：
38.可信计算模块，用于利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告；
39.发送模块，用于将所述完整性度量报告发送至所述配电主站。
40.优选的，所述配电终端包括可信芯片和mcu；所述可信计算模块具体用于：
41.步骤1.所述可信芯片读取配电终端中的u-boot引导程序，并使用sm3算法计算所述u-boot引导程序的度量值；
42.步骤2.所述可信芯片比较所述u-boot引导程序的度量值与第一基准度量值，若相同，则转至步骤3，否则，不启动所述配电终端并结束操作；
43.步骤3.所述mcu加载u-boot引导程序,并利用u-boot引导程序读取linux内核数据；
44.步骤4.所述可信芯片使用sm3算法计算linux内核度量值；
45.步骤5.所述mcu通过加载的u-boot引导程序与可信芯片交换sm2密钥建立安全会话并将linux内核度量值密文传给可信芯片；
46.步骤6.所述可信芯片解密度量值密文，比较所述linux内核度量值与第二基准度量值，若相同，则转至步骤7，否则，结束操作；
47.步骤7.所述mcu通过加载的u-boot引导程序加载linux内核；
48.步骤8.所述可信芯片度量应用程序；
49.步骤9.所述可信芯片基于linux内核及应用程序的度量结果生成完整性度量报告。
50.本发明提供了一种配电主站安全接入方法，该方法应用于，其改进之处在于，所述方法包括：
51.接收配电终端发送的完整性度量报告；
52.根据所述完整性度量报告接入所述配电终端。
53.优选的，所述根据所述完整性度量报告接入所述配电终端，包括：
54.比较所述完整性度量报告中各度量值与各度量值对应的基准值，若相同，则接入所述配电终端，否则，不接入所述配电终端。
55.进一步的，所述各度量值包括：配电终端的linux内核度量值及应用程序度量值。
56.本发明提供一种应用配电终端与配电主站安全接入的配电主站，其改进之处在于，所述配电主站包括：
57.接收模块，用于接收配电终端发送的完整性度量报告；
58.接入模块，用于根据所述完整性度量报告接入所述配电终端。
59.配电终端与配电主站安全接入所述接入模块具体用于：
60.比较所述完整性度量报告中各度量值与各度量值对应的基准值，若相同，则接入所述配电终端，否则，不接入所述配电终端。
61.进一步的，所述各度量值包括：配电终端的linux内核度量值及应用程序度量值。
62.本发明提供一种配电终端与配电主站的安全接入方法，其改进之处在于，所述方法包括：
63.配电终端利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告；
64.配电终端将所述完整性度量报告发送至所述配电主站；
65.配电主站接收配电终端发送的完整性度量报告；
66.配电主站根据所述完整性度量报告接入所述配电终端。
67.本发明提供一种配电终端与配电主站的安全接入系统，其改进之处在于，所述系统包括：所述配电终端和所述配电主站。
68.与最接近的现有技术相比，本发明具有的有益效果：
69.本发明围绕配电网精益化管理的需求，以提高配电终端自身安全防护水平为目标，基于可信计算理论，通过内嵌一颗可信芯片，综合终端启动过程中的完整性度量以及终端接入时与主站的完整性验证两方面提出配电终端与配电主站的安全接入方案，该方案提高配电终端自身的安全防护水平，避免由于配电终端自身的漏洞被利用导致入侵配电主站甚至整个配电自动化系统的事件发生，进一步提高系统先进性、实用性、可靠性和安全性，全面支撑现代配电网精益化管理。
附图说明
70.图1是本发明提供的配电终端与配电主站的安全接入方法流程图；
71.图2是本发明实施例中配电终端与配电主站的安全接入方法中应用于配电终端的方法流程图；
72.图3是本发明提供的配电终端与配电主站的安全接入系统结构示意图。
具体实施方式
73.下面结合附图对本发明的具体实施方式作进一步的详细说明。
74.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
75.本发明提供一种配电终端与配电主站的安全接入方法，如图1所示，所述方法包括：
76.101配电终端利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报
告；
77.102配电终端将所述完整性度量报告发送至所述配电主站；
78.103配电主站接收配电终端发送的完整性度量报告；
79.104配电主站根据所述完整性度量报告接入所述配电终端。
80.进一步的，本发明提供的实施例中，步骤101和步骤102应用于配电终端，所述方法包括：
81.利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告；
82.将所述完整性度量报告发送至所述配电主站。
83.具体的，本发明提供的实施例中，配电终端通过内嵌一颗可信芯片，终端上电后首先启动可信芯片，可信芯片对u-boot引导程序进行完整性度量，度量通过后，对linux操作系统进行度量，形成一级度量一级、一级认证一级的信任链，进行配电终端自身的完整性度量，实现安全启动，有效避免配电终端本地被植入木马或病毒，具体如图2所示，包括：
84.步骤1.启动所述配电终端的可信芯片；
85.步骤2.利用所述可信芯片读取配电终端中的u-boot引导程序，并使用sm3算法计算所述u-boot引导程序的度量值；
86.步骤3.比较所述u-boot引导程序的度量值与第一基准度量值，若相同，则转至步骤4，否则，不启动所述配电终端并结束操作；
87.步骤4.启动所述配电终端的mcu；
88.步骤5.mcu加载u-boot引导程序,u-boot引导程序读取linux内核数据；
89.步骤6.u-boot引导程序通过可信组件使用sm3算法计算linux内核度量值；
90.步骤7.u-boot引导程序与可信芯片交换sm2密钥建立安全会话并将linux内核度量值密文传给可信芯片；
91.步骤8.可信芯片解密度量值密文，比较所述linux内核度量值与第二基准度量值，若相同，则转至步骤9，否则，结束操作；
92.步骤9.u-boot引导程序加载linux内核；
93.步骤10.利用可信芯片度量应用程序；
94.步骤11.基于linux内核及应用程序的度量结果生成完整性度量报告。
95.其中，所述配电终端包括可信芯片和mcu；
96.本发明提供的另一实施例中，在所述将所述完整性度量报告发送至所述配电主站之前可以包括：
97.分别与认证网关和配电主站进行双向身份认证。
98.其中，与认证网关进行双向身份认证的过程包括：
99.配电终端建立与认证网关间的网络连接；
100.认证网关产生随机数r1，并将所述随机数r1发送给所述配电终端；
101.配电终端中的可信芯片自动生成随机数r2，对r1+r2进行数字签名后发送给认证网关，同时配电终端保存r1；
102.认证网关验证r1+r2的数字签名结果的有效性，验证通过后则完成网关对终端的身份认证；
103.认证网关对随机数r2进行数字签名后发送至配电终端；
104.配电终端验证r2的数字签名结果的有效性，验证通过后则完成配电终端对认证网关的身份认证并返回认证确认信息；
105.与配电主站进行双向身份认证的过程包括：
106.所述配电终端建立与配电主站之间的网络连接；
107.配电主站利用配电加密认证装置生成随机数r3，发送给所述配电终端；
108.配电终端中的可信芯片生成随机数r4，对r3+r4进行数字签名后发送给配电主站，同时配电终端保存r3；
109.配电主站验证r3+r4的数字签名结果的有效性，验证通过则完成配电主站对配电终端的身份认证；
110.配电主站对随机数r4进行数字签名后发送至配电终端；
111.配电终端验证r4的数字签名结果的有效性，验证通过后则完成配电终端对配电主站身份认证并返回认证确认信息。
112.本发明提供的实施例中，步骤103和步骤104应用于配电终端，所述方法包括：
113.接收配电终端发送的完整性度量报告；
114.根据所述完整性度量报告接入所述配电终端。
115.具体的，所述根据所述完整性度量报告接入所述配电终端，包括：
116.比较所述完整性度量报告中各度量值与各度量值对应的基准值，若相同，则接入所述配电终端，否则，不接入所述配电终端。
117.其中，所述各度量值包括：配电终端的linux内核度量值及应用程序度量值。
118.基于上述方案，本发明还提供了一种配电终端与配电主站的安全接入系统，如图3所示，所述系统包括：所述配电终端和所述配电主站。
119.其中，所述配电终端包括：
120.可信计算模块，用于利用可信芯片启动所述配电终端并生成其自身环境的完整性度量报告；
121.发送模块，用于将所述完整性度量报告发送至所述配电主站。
122.优选的，所述可信计算模块具体用于：
123.步骤1.启动所述配电终端的可信芯片；
124.步骤2.利用所述可信芯片读取配电终端中的u-boot引导程序，并使用sm3算法计算所述u-boot引导程序的度量值；
125.步骤3.比较所述u-boot引导程序的度量值与第一基准度量值，若相同，则转至步骤4，否则，不启动所述配电终端并结束操作；
126.步骤4.启动所述配电终端的mcu；
127.步骤5.mcu加载u-boot引导程序,u-boot引导程序读取linux内核数据；
128.步骤6.u-boot引导程序通过可信组件使用sm3算法计算linux内核度量值；
129.步骤7.u-boot引导程序与可信芯片交换sm2密钥建立安全会话并将linux内核度量值密文传给可信芯片；
130.步骤8.可信芯片解密度量值密文，比较所述linux内核度量值与第二基准度量值，若相同，则转至步骤9，否则，结束操作；
131.步骤9.u-boot引导程序加载linux内核；
132.步骤10.利用可信芯片度量应用程序；
133.步骤11.基于linux内核及应用程序的度量结果生成完整性度量报告。
134.所述配电主站包括：
135.接收模块，用于接收配电终端发送的完整性度量报告；
136.接入模块，用于根据所述完整性度量报告接入所述配电终端。
137.配电终端与配电主站安全接入所述接入模块具体用于：
138.比较所述完整性度量报告中各度量值与各度量值对应的基准值，若相同，则接入所述配电终端，否则，不接入所述配电终端。
139.进一步的，所述各度量值包括：配电终端的linux内核度量值及应用程序度量值。
140.本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
141.本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
142.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
143.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
144.最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。