一种风电场安全通信认证方法和系统与流程

1.本发明涉及安全通信技术领域，特别是涉及一种风电场安全通信认证方法和系统。


背景技术：

2.近年来，风力发电机组分散安置在风能资源比较好的各种复杂地形地带，如旷野、山顶、海山等，环境比较恶劣。由于单台风机的发电功率有限，一个风电场会有大量的风机。现有已建成的风电场的通信系统大都采用结构简单的光纤通信方式，风电场风机与风电场的距离较远，暴露面广，存在网络安全隐患，例如信息窃听、信息篡改和信息劫持等。
3.为解决网络安全问题，现有技术一般采用的手段是为每台风机配备加密装置，但是这种手段会导致防护成本高、运维成本高等问题。


技术实现要素：

4.为解决现有技术存在的上述问题，本发明提供了一种风电场安全通信认证方法和系统。
5.为实现上述目的，对应于执行主体的不同，本发明提供了以下三种风电场安全通信认证方法：第一种风电场安全通信认证方法，包括：获取终端id和计算器读取命令；所述终端id和计算器读取命令由风机通信终端生成；采用tls认证程序基于所述终端id和所述计算器读取命令获取第一随机数的密文和第一随机数的签名；所述第一随机数的密文和所述第一随机数的签名由风电场数据采集服务器生成；所述风电场数据采集服务器和所述风机通信终端基于网关证书进行信息交互；基于所述第一随机数的密文和所述第一随机数的签名生成第二随机数的密文和第二随机数的签名；所述第二随机数的密文和所述第二随机数的签名由所述风机通信终端生成；采用tls认证程序选用国密算法；采用选用的国密算法基于所述第二随机数的密文和所述第二随机数的签名，生成对称密钥；所述对称密钥由所述风电场数据采集服务器生成；确认所述对称密钥；当所述对称密钥被确认通过后，完成通信认证；当所述对称密钥被确认不通过后，中断通信；所述对称密钥确认由所述风机通信终端完成。
6.优选地，所述国密算法包括：sm1算法、sm2算法、sm3算法、sm4算法和sm7算法。
7.第二种风电场安全通信认证方法，包括：获取终端id和计算器读取命令；采用tls认证程序根据所述终端id和所述计算器读取命令获取第一随机数的密文
和第一随机数的签名；采用tls认证程序选用国密算法；采用选用的国密算法基于第二随机数的密文和第二随机数的签名得到对称密钥；所述对称密钥用于完成通信认证；所述第二随机数的密文和所述第二随机数的签名基于所述第一随机数的密文和所述第一随机数的签名生成。
8.第三种风电场安全通信认证方法，包括：生成终端id和计算器读取命令；获取第一随机数的密文和第一随机数的签名；所述第一随机数的密文和所述第一随机数的签名采用tls认证程序基于所述终端id和所述计算器读取命令生成；基于所述第一随机数的密文和所述第一随机数的签名生成第二随机数的密文和第二随机数的签名；获取对称密钥，并确认所述对称密钥；当所述对称密钥被确认通过后，完成通信认证；当所述对称密钥被确认不通过后，中断通信；所述对称密钥确认由风机通信终端完成；所述对称密钥由选用的国密算法基于所述第二随机数的密文和所述第二随机数的签名生成；采用tls认证程序选用国密算法。
9.根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明提供的风电场安全通信认证方法，通过采用tls认证程序生成密文、签名，以及调用国密算法等手段，能够实现tls协议通信，具有密码强度高、泄密风险小、安全成本低及简单可靠等优点。
10.此外，对应于上述提供的风电场安全通信认证方法，本发明还提供了一种风电场安全通信认证系统，该系统包括：风电场数据采集服务器和风机通信终端；所述风电场数据采集服务器和所述风机通信终端通过网关证书进行信息交互；所述风电场数据采集服务器中植入有tls认证程序；所述风电场数据采集服务器用于执行上述提供的第二种风电场安全通信认证方法；所述风机通信终端用于执行上述提供的第三种风电场安全通信认证方法。
11.优选地，所述风机通信终端包括：电力安全芯片和微控制单元；所述电力安全芯片和所述微控制单元通过接口连接。
12.优选地，所述接口为spi接口。
13.优选地，所述电力安全芯片中植入有国密算法。
14.优选地，所述微控制单元中植入有tls中间件。
15.优选地，所述tls中间件通过芯片封装形式植入在所述微控制单元中。
16.因本发明提供的风电场安全通信认证系统实现的技术效果与上述提供的风电场安全通信认证方法实现的技术效果相同，故在此不再进行赘述。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1为本发明提供的第一种风电场安全通信认证方法的流程图；图2为本发明提供的第二种风电场安全通信认证方法的流程图；图3为本发明提供的第三种风电场安全通信认证方法的流程图；图4为本发明提供的风电场安全通信认证系统的结构原理图；图5为本发明实施例提供的风电场安全通信认证系统的数据交换原理框图。
具体实施方式
19.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.本发明的目的是提供一种风电场安全通信认证方法和系统，能够提高网络安全，同时，降低风机的安全防护成本和运维成本。
21.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
22.当执行主体为整个风电场需进行通信的设备时，如图1所示，本发明提供的风电场安全通信认证方法，包括：步骤100：获取终端id和计算器读取命令。终端id和计算器读取命令由风机通信终端生成。
23.步骤101：采用tls认证程序基于终端id和计算器读取命令获取第一随机数的密文和第一随机数的签名。第一随机数的密文和第一随机数的签名由风电场数据采集服务器生成。风电场数据采集服务器和风机通信终端基于网关证书进行信息交互。
24.步骤102：基于第一随机数的密文和第一随机数的签名生成第二随机数的密文和第二随机数的签名。第二随机数的密文和第二随机数的签名由风机通信终端生成。
25.步骤103：采用tls认证程序选用国密算法。国密算法包括：sm1算法、sm2算法、sm3算法、sm4算法和sm7算法。
26.步骤104：采用选用的国密算法基于第二随机数的密文和第二随机数的签名，生成对称密钥。对称密钥由风电场数据采集服务器生成。
27.步骤105：确认对称密钥。当对称密钥被确认通过后，完成通信认证。当对称密钥被确认不通过后，中断通信。对称密钥确认由风机通信终端完成。
28.当执行主体为风电场数据采集服务器时，如图2所示，本发明提供的风电场安全通信认证方法，包括：步骤200：获取终端id和计算器读取命令。
29.步骤201：采用tls认证程序根据终端id和计算器读取命令获取第一随机数的密文和第一随机数的签名。
30.步骤202：采用tls认证程序选用国密算法。
31.步骤203：采用选用的国密算法基于第二随机数的密文和第二随机数的签名得到对称密钥。对称密钥用于完成通信认证。第二随机数的密文和第二随机数的签名基于第一随机数的密文和第一随机数的签名生成。
32.当执行主体为风机通信终端时，如图3所示，本发明提供的风电场安全通信认证方法，包括：步骤300：生成终端id和计算器读取命令。
33.步骤301：获取第一随机数的密文和第一随机数的签名。第一随机数的密文和第一随机数的签名采用tls认证程序基于终端id和计算器读取命令生成。
34.步骤302：基于第一随机数的密文和第一随机数的签名生成第二随机数的密文和第二随机数的签名。
35.步骤303：获取对称密钥，并确认对称密钥。当对称密钥被确认通过后，完成通信认证。当对称密钥被确认不通过后，中断通信。对称密钥确认由风机通信终端完成。对称密钥由选用的国密算法基于第二随机数的密文和第二随机数的签名生成。采用tls认证程序选用国密算法。
36.此外，对应于上述提供的风电场安全通信认证方法，本发明还提供了一种风电场安全通信认证系统，如图4所示，该系统包括：风电场数据采集服务器和风机通信终端。
37.风电场数据采集服务器和风机通信终端通过网关证书进行信息交互。
38.风电场数据采集服务器中植入有tls认证程序。风电场数据采集服务器用于执行上述提供的如图2所示的风电场安全通信认证方法。
39.风机通信终端用于执行上述提供的如图3所示的风电场安全通信认证方法。
40.为了进一步提高通信认证的安全性，本发明采用的风机通信终端设置有电力安全芯片和微控制单元。
41.电力安全芯片和微控制单元通过spi接口连接。其中，电力安全芯片中植入有国密算法。微控制单元中通过芯片封装形式植入有tls中间件。
42.基于本发明提供的上述风电场安全通信认证系统的具体结构，在实际应用过程中，将预设的传输层安全性协议（transport layer security，tls）认证程序安装到风电场数据采集服务器的软件中，tls认证程序兼容tls标准的密码算法，还兼容自定义的密码算法。接收风机通信终端的加密通信请求，根据加密通信请求识别风机通信终端支持的加密方法。从tls认证程序的密码算法中选择出与风机通信终端支持的加密方法相适应的密码算法，采用选出的密码算法与风机通信终端进行加密通信。其中，tls及其前身安全套接层（secure sockets layer，ssl）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。ssl包含记录层（record layer）和传输层，记录层协议确定传输层数据的封装格式。传输层安全协议使用x.509认证，之后利用非对称加密演算来对通信方做身份认证，之后交换对称密钥作为会谈密钥（session key）。这个会谈密钥是用来将通信两方交换的数据做加密，保证两个应用间通信的保密性和可靠性，使客户与服务器应用之间的通信不被攻击者窃听。
43.风机通信终端加载电力安全芯片，具有普遍安全应用价值的嵌入式数据应用。电力安全芯片具有sm1、sm2、sm3、sm4、sm7等算法，同时还具有硬件随机数发生器、电压和频率检测等多种安全性保护机制，可有效保证传输数据的机密性和完整性。风机通信终端采用的tls中间件，由安全芯片封装于微控制单元（mcu）中，通过spi接口与电力安全芯片实现交互。
44.风机通信终端和风电场数据采集服务器通过tls加密认证实现通信认证。tls加密
认证利用散列函数hash、对称加密和非对称加密等方式进行，其中，利用非对称加密实现身份认证和密钥协商，采用对称加密算法基于协商的密钥对数据加密，基于散列函数验证信息的完整性。风机通信终端使用非对称加密与风电场数据采集服务器进行通信，实现身份验证并协商对称加密使用的密钥，然后对称加密算法采用协商密钥对信息以及信息摘要等进行加密通信，不同的节点之间采用的对称密钥不同，从而保证信息只能被通信双方获取，进而提高网络安全性。
45.下面提供一个实施例，对本发明上述提供的风电场安全通信认证方法和系统的具体实施过程进行说明。
46.如图5所示，本实施例中风电场安全通信认证过程包括：1）、风机与风电场数据采集服务器tls开始通信协商，风机通信终端将终端id和计算器counter发送给服务器，风电场数据采集服务器获取终端id和计算器counter命令。2）、风电场数据采集服务器会话发起命令，发送终端id和计算器counter命令至tls认证程序，获得随机数r1（即第一随机数）的密文及签名，风电场数据采集服务器将密文enc(r1)、签名sign(enc(r1))、网关证书cert1发给风机通信终端。3）、风机通信终端响应命令，利用电力安全芯片生成的随机数(r1+r2)（即第二随机数）密文及签名。终端将密文enc(r1+r2)、签名sign(enc(r1+r2))、网关证书cert2发送给风电场数据采集服务器。4）、风电场数据采集服务器中的tls认证程序确认风机通信终端的命令，选用国密算法，使用随机数r1+r2得出对称密钥。风电场数据采集服务器将对称密钥sm2enc(k1+y+r2)发送给风机通信终端。5）、风机通信终端接收到对称密钥sm2enc(k1+y+r2)后，进行会话确认，确认通过后，握手协商完成，可以与风电场数据采集服务器进行后继数据处理。6）、风机通信终端将计算后的加密数据发给风电场数据采集服务器，开始数据传输，风电场数据采集服务器接收到数据后开始进行数据处理，完成数据传输。
47.基于此，本实施例采用的风电场数据采集服务器安装tls认证程序，风机通信终端增加电力安全芯片，通过调用电力安全芯片的国密算法，实现tls协议通信，具有密码强度高、泄密风险小、安全成本低及简单可靠等优点。
48.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。
49.本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。