一种电力系统人机云终端安全加密方法及装置与流程

本发明涉及一种电力系统人机云终端安全加密方法及装置，属于电力系统及自动化技术信息安全领域。

背景技术：

1、近年来，随着坚强智能电网建设工作的深入开展，国家电网正在发展成为世界上电压等级最高、技术水平最先进、资源配置能力最强的坚强智能电网，电网的形态和运行特性将发生重大变化，对电网驾驭大电网、进行大范围资源优化配置的能力以及电网调度一体化运行管理和信息化、自动化、互动化水平提出了新的更高的要求。

2、目前新一代调控系统有各类数据的交互访问场景，在攻防演练、安全防护测试过程中可能造成数据非法获取、服务非法调用等风险。作为保障电网安全、优质、经济运行的重要手段，现有电网调度技术支持系统已难以适应特高压大电网安全稳定运行的要求，迫切需要一种安全的程序调用及加密方法，消除人机云终端和人机交互服务器之间通信的安全隐患，支撑新一代电网调度技术支持系统安全稳定运行。

技术实现思路

1、本发明的目的在于克服现有技术中的不足，提供一种电力系统人机云终端安全加密方法及装置，能较好的解决目前电力系统组态软件运行和数据获取安全问题。

2、为达到上述目的，本发明是采用下述技术方案实现的：

3、第一方面，本发明提供了一种电力系统人机云终端安全加密方法，应用于云终端中的电力系统应用，所述方法包括：

4、获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，其中，二次加密报文是云终端获取用户输入的数据，并对该数据进行两次加密后获得的；

5、将所述一次加密报文发送至服务器中的权限服务模块进行解密以及重新加密，并接收权限服务模块返回的一次加密报文；其中，权限服务模块返回的一次加密报文是权限服务模块对其接收到的一次加密报文进行解密后校验数据的合法性，合法则重新加密后得到的；

6、使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，以使得统一查询服务模块接收到再次加密的报文后，使用私钥解密，并使得统一查询服务模块将解密得到的一次加密报文发送至权限服务模块进行再次解密，解密后返回统一查询服务模块校验解密后的数据的合法性，合法则返回解密后的数据至电力系统应用；

7、接收统一查询服务模块校验合法后返回的数据，进行响应。

8、进一步的，所述获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，包括：

9、获取云终端发送的二次加密的session_a_b_str报文，进行反序列化得到session_a_b密文，使用电力系统应用的私钥解密，得到一次加密的session_a密文。

10、进一步的，所述使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，包括：

11、将权限服务模块返回的session_a密文与时间戳合并成新的数据内容，用服务器中的统一查询服务模块的公钥再次加密，将获得的再次加密的报文发送到统一查询服务模块。

12、第二方面，本发明提供一种电力系统人机云终端安全加密方法，应用于云终端，所述方法包括：

13、获取用户输入的数据，通过两次加密后获得二次加密报文；

14、发送所述二次加密报文至电力系统应用。

15、进一步的，所述方法还包括：

16、获取用户输入的数据，发送到权限服务模块进行合法性判断以及对对应生成的session明文用云终端的公钥加密生成session密文，以通过所述权限服务模块验证所述数据的合法性，验证合法后，生成本次数据对应的session明文，将所述session明文用云终端的公钥加密，生成session密文，并返回给云终端；

17、获取权限服务模块发送的session密文，采用云终端的私钥对所述session密文进行解密，得到session明文；

18、采用权限服务模块的公钥对所述session明文进行加密，得到session_a密文；

19、使用电力系统应用的公钥将session_a密文加密，得到session_a_b密文；

20、对session_a_b密文进行序列化处理，得到字符串session_a_b_str报文，并通过启动参数方式传递给电力系统应用。

21、第三方面，本发明提供一种电力系统人机云终端安全加密方法，应用于服务器的统一查询服务模块，所述方法包括：

22、接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文；

23、将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应。

24、进一步的，所述接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文，包括：

25、接收电力系统应用发送的加密报文，采用统一查询服务模块的私钥对加密报文进行解密，得到session_a密文和时间戳。

26、进一步的，所述将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应，包括：

27、校验session_a密文和时间戳是否为合法报文，如果报文合法，发送session_a密文至权限服务模块，其中权限服务模块接收到session_a密文，用权限服务模块的私钥解密，得到session原文，对所述session原文进行合法性校验，并将session原文和session校验结果返回给统一查询服务；

28、接收权限服务模块返回的session原文和session校验结果并校验其合法性，如果合法，则返回session原文至电力系统应用进行响应。

29、第四方面，本发明提供一种电力系统人机云终端安全加密装置，用于电力系统应用中，所述装置包括：

30、第一解密模块，用于获取云终端传入的二次加密报文，通过电力系统应用的私钥解密得到一次加密报文，其中，二次加密报文是云终端获取用户输入的数据，并对该数据进行两次加密后获得的；

31、第一校验模块，用于将所述一次加密报文发送至服务器中的权限服务模块进行解密以及重新加密，并接收权限服务模块返回的一次加密报文；其中，权限服务模块返回的一次加密报文是权限服务模块对其接收到的一次加密报文进行解密后校验数据的合法性，合法则重新加密后得到的；

32、第一加密模块，用于使用服务器中的统一查询服务模块的公钥对权限服务模块返回的一次加密报文再次加密，并将再次加密的报文发送至统一查询服务模块，以使得统一查询服务模块接收到再次加密的报文后，使用私钥解密，并使得统一查询服务模块将解密得到的一次加密报文发送至权限服务模块进行再次解密，解密后返回统一查询服务模块校验解密后的数据的合法性，合法则返回解密后的数据至电力系统应用；

33、接收响应模块，用于接收统一查询服务模块校验合法后返回的数据，进行响应。

34、进一步的，所述第一解密模块，包括：

35、第一解密单元，用于获取云终端发送的二次加密的session_a_b_str报文，进行反序列化得到session_a_b密文，使用电力系统应用的私钥解密，得到一次加密的session_a密文。

36、进一步的，所述第一加密模块，包括：

37、第一加密单元，用于将权限服务模块返回的session_a密文与时间戳合并成新的数据内容，用服务器中的统一查询服务模块的公钥再次加密，将获得的再次加密的报文发送到统一查询服务模块。

38、第五方面，本发明提供一种电力系统人机云终端安全加密装置，用于云终端，所述装置包括：

39、第二加密模块，用于获取用户输入的数据，通过两次加密后获得二次加密报文；

40、发送模块，用于发送所述二次加密报文至电力系统应用。

41、进一步的，所述装置还包括：

42、数据报文获取及发送模块，用于获取用户输入的数据，发送到权限服务模块进行合法性判断以及对对应生成的session明文用云终端的公钥加密生成session密文，以通过所述权限服务模块验证所述数据的合法性，验证合法后，生成本次数据对应的session明文，将所述session明文用云终端的公钥加密，生成session密文，并返回给云终端；

43、session密文解密模块，用于获取权限服务模块发送的session密文，采用云终端的私钥对所述session密文进行解密，得到session明文；

44、session明文加密模块，用于采用权限服务模块的公钥对所述session明文进行加密，得到session_a密文；

45、session_a密文加密模块，用于使用电力系统应用的公钥将session_a密文加密，得到session_a_b密文；

46、处理模块，用于对session_a_b密文进行序列化处理，得到字符串session_a_b_str报文，并通过启动参数方式传递给电力系统应用。

47、第六方面，本发明提供一种电力系统人机云终端安全加密装置，用于统一查询服务模块，所述装置包括：

48、第二解密模块，用于接收电力系统应用发送的再次加密的报文，使用私钥解密，得到一次加密报文；

49、第二校验模块，用于将解密得到的一次加密报文发送至权限服务模块校验数据的合法性，合法则返回数据至电力系统应用进行响应。

50、进一步的，所述第二解密模块包括：

51、第二解密单元，用于接收电力系统应用发送的加密报文，采用统一查询服务模块的私钥对加密报文进行解密，得到session_a密文和时间戳。

52、进一步的，所述第二校验模块，包括：

53、第一校验单元，用于校验session_a密文和时间戳是否为合法报文，如果报文合法，发送session_a密文至权限服务模块，其中权限服务模块接收到session_a密文，用权限服务模块的私钥解密，得到session原文，对所述session原文进行合法性校验，并将session原文和session校验结果返回给统一查询服务；

54、第二校验单元，用于接收权限服务模块返回的session原文和session校验结果并校验其合法性，如果合法，则返回session原文至电力系统应用进行响应。

55、与现有技术相比，本发明所达到的有益效果：

56、本发明提供一种电力系统人机云终端安全加密方法及装置，解决了电力调度控制系统领域软件安全认证登录、程序安全认证启动、服务安全认证调用等问题，有效避免了数据非法获取、服务非法调用等风险。消除人机云终端和人机交互服务器之间通信的安全隐患，确保了调度数据的安全、准确性与可靠性，使调度监控方式更加安全，提高了电网安全性，具有良好的应用前景。