配电物联网端侧设备接入方法及私钥和许可证书生成方法与流程

本发明涉及接入管理、安全领域，具体地涉及一种配电物联网端侧设备接入方法及私钥和许可证书生成方法。

背景技术：

1、随着配电物联网数字化建设初具规模，基于云边端架构的体系已基本构建。尤其是新型电力系统建设任务开展后，整个配电网数字化设备接入电力物联云边端架构体系的端侧设备种类和数量越来越多，需要融合的数据量也更大。而端侧设备又是数据采集的主要来源，涉及的范围更广，需要统筹控制采集设备的接入。而这些设备的随机接入性很高，亟需强化控制的安全保障手段；时效性更强，需要保障设备间的实时交互性；这对电网数字化安全技术提出了新的挑战。因此，电网数字化转型与新型电力系统构建需要相互作用和相互促进，在确保安全的前提下，实现数据融合与决策支持。

2、现有技术中，典型的端侧设备接入的情况中，如智能电表的安全接入，则通过硬件安全芯片加上软件流程控制实现安全接入，属于主动认证方式，也就是所有的终端接入前必须通过认证。另外一种就是被动认证方式，即建立终端的id，通过发送探测帧等数据包，检测终端的id是否合法，当发现异常id终端接入时，发送欺骗数据包阻断它的通信。

3、现有技术方案主要表现在：1）被动接入的方式，实现方式简单，不需要在终端上安装服务程序，但是，不断发送探测数据包，检测性能不稳，容易出现误报、漏报情况；2）主动探测的实现方式建立在认证服务器的基础上，所有终端接入网络前必须通过认证，检测性能稳定、准确，能主动防御未经许可的终端接入，但是接入的终端需要安装代理，通过身份认证检测它接入网络的合法性，操作系统需要支持安全认证技术，且在设备安装时需要对安全认证设备进行配置，比较复杂。

技术实现思路

1、本发明实施例的目的是提供一种配电物联网端侧设备接入和生成方法、边侧设备、云端、生成装置及接入系统，其可解决或至少部分解决上述问题。

2、为了实现上述目的，本发明实施例的一个方面提供一种由边侧设备执行的端侧设备的接入方法，该接入方法包括：确定允许端侧设备的入网情况，其中，所述允许端侧设备为已在所述边侧设备进行注册的云注册端侧设备，所述云注册端侧设备为已在与所述边侧设备对应的云端进行注册的所述端侧设备；以及针对已入网的所述允许端侧设备，获取接入许可证书；将所获取的接入许可证书发送至所述云端，以使得所述云端通过所述允许端侧设备的接入私钥验证所获取的接入许可证书的合法性；以及接收因所获取的接入许可证书合法性验证通过而发送的所述允许端侧设备的设备档案信息，以完成所述允许端侧设备的合法接入。

3、可选地，该接入方法还包括：接收所述云端发送的所述云注册端侧设备的所述设备档案信息；以及基于所接收的设备档案信息注册所述云注册端侧设备，以使得所述云注册端侧设备成为所述允许端侧设备。

4、此外，本发明实施例的另一方面提供一种由云端执行的端侧设备的接入方法，该接入方法包括：针对已入网的允许端侧设备，其中，所述允许端侧设备为已在与所述云端对应的边侧设备进行注册的云注册端侧设备，所述云注册端侧设备为已在所述云端进行注册的所述端侧设备，接收所述边侧设备发送的接入许可证书；通过所述允许端侧设备的接入私钥验证所接收的接入许可证书的合法性；以及在所接收的接入许可证书合法性验证通过的情况下，发送所述允许端侧设备的设备档案信息至所述边侧设备。

5、可选地，该接入方法还包括：通过添加已获取到设备档案信息的所述端侧设备的通信地址对所述端侧设备进行注册，以使得所述端侧设备成为所述云注册端侧设备；以及发送所述云注册端侧设备的所述设备档案信息至所述边侧设备，以使得所述边侧设备对所述云注册端侧设备进行注册进而使得所述云注册端侧设备成为所述允许端侧设备。

6、另外，本发明实施例的另一方面还提供一种端侧设备的接入私钥的生成方法，该生成方法包括：对所述端侧设备的功能和/或协议一致性进行检测；在检测通过的情况下，获取所述端侧设备的设备档案信息；以及基于所获取的设备档案信息生成所述接入私钥，其中，所述接入私钥用于验证所述端侧设备的接入许可证书的合法性。

7、可选地，生成所述接入私钥还基于所述端侧设备的干扰码。

8、可选地，所述干扰码基于以下内容被生成：确定所述设备档案信息的ascii码；基于所确定的ascii码生成初矩阵；对所生成的初矩阵进行离散余弦变换，得到变换矩阵和高斯白噪声信号矩阵；将所得到的变换矩阵和高斯白噪声信号矩阵相加，得到中间矩阵；以及对所得到的中间矩阵进行离散余弦反变换，得到所述干扰码。

9、另外，本发明实施例的另一方面还提供一种端侧设备的接入许可证书的生成方法，该生成方法包括：根据上述的接入私钥的生成方法生成接入私钥；利用所生成的接入私钥针对所述端侧设备签发接入公钥；以及基于所述端侧设备的设备档案信息和所签发的接入公钥生成所述接入许可证书。

10、可选地，生成所述接入许可证书还基于所述端侧设备的干扰码。

11、相应地，本发明实施例的另一方面还提供一种边侧设备，该边侧设备包括：入网情况确定模块，用于确定允许端侧设备的入网情况，其中，所述允许端侧设备为已在所述边侧设备进行注册的云注册端侧设备，所述云注册端侧设备为已在与所述边侧设备对应的云端进行注册的所述端侧设备；以及第一合法接入模块，用于针对已入网的所述允许端侧设备，获取接入许可证书；将所获取的接入许可证书发送至所述云端，以使得所述云端通过所述允许端侧设备的接入私钥验证所获取的接入许可证书的合法性；以及接收因所获取的接入许可证书合法性验证通过而发送的所述允许端侧设备的设备档案信息，以完成所述允许端侧设备的合法接入。

12、可选地，该边侧设备还包括：设备档案信息接收模块，用于接收所述云端发送的所述云注册端侧设备的所述设备档案信息；以及第一注册模块，用于基于所接收的设备档案信息注册所述云注册端侧设备，以使得所述云注册端侧设备成为所述允许端侧设备。

13、相应地，本发明实施例的另一方面还提供一种云端，该云端包括：第二合法接入模块，用于针对已入网的允许端侧设备，其中，所述允许端侧设备为已在与所述云端对应的边侧设备进行注册的云注册端侧设备，所述云注册端侧设备为已在所述云端进行注册的所述端侧设备，接收所述边侧设备发送的接入许可证书；通过所述允许端侧设备的接入私钥验证所接收的接入许可证书的合法性；以及在所接收的接入许可证书合法性验证通过的情况下，发送所述允许端侧设备的设备档案信息至所述边侧设备。

14、可选地，该云端还包括：第二注册模块，用于通过添加已获取到设备档案信息的所述端侧设备的通信地址对所述端侧设备进行注册，以使得所述端侧设备成为所述云注册端侧设备；以及设备档案信息发送模块，用于发送所述云注册端侧设备的所述设备档案信息至所述边侧设备，以使得所述边侧设备对所述云注册端侧设备进行注册进而使得所述云注册端侧设备成为所述允许端侧设备。

15、相应地，本发明实施例的另一方面还提供一种端侧设备的接入私钥的生成装置，该生成装置包括：检测模块，用于对所述端侧设备的功能和/或协议一致性进行检测；设备档案信息获取模块，用于在检测通过的情况下，获取所述端侧设备的设备档案信息；以及第一接入私钥生成模块，用于基于所获取的设备档案信息生成所述接入私钥，其中，所述接入私钥用于验证所述端侧设备的接入许可证书的合法性。

16、可选地，所述第一接入私钥生成模块生成所述接入私钥还基于所述端侧设备的干扰码。

17、可选地，所述干扰码基于以下内容被生成：确定所述设备档案信息的ascii码；基于所确定的ascii码生成初矩阵；对所生成的初矩阵进行离散余弦变换，得到变换矩阵和高斯白噪声信号矩阵；将所得到的变换矩阵和高斯白噪声信号矩阵相加，得到中间矩阵；以及对所得到的中间矩阵进行离散余弦反变换，得到所述干扰码。

18、相应地，本发明实施例的另一方面还提供一种端侧设备的接入许可证书的生成装置，该生成装置包括：第二接入私钥生成模块，用于根据上述的接入私钥的生成方法生成接入私钥；接入公钥签发模块，用于利用所生成的接入私钥针对所述端侧设备签发接入公钥；以及接入许可证书生成模块，用于基于所述端侧设备的设备档案信息和所签发的接入公钥生成所述接入许可证书。

19、可选地，所述接入许可证书生成模块生成所述接入许可证书还基于所述端侧设备的干扰码。

20、此外，本发明实施例的另一方面还提供一种端侧设备的接入系统，该接入系统包括：上述的边侧设备；和/或上述的云端；和/或上述的端侧设备的接入私钥的生成装置；和/或上述的端侧设备的接入许可证书的生成装置。

21、另外，本发明实施例的另一方面还提供一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令用于使得机器执行上述的接入方法或上述的生成方法。

22、此外，本发明实施例的另一方面还提供一种处理器，用于运行程序，其中，所述程序被运行时用于执行上述的接入方法或上述的生成方法。

23、通过上述技术方案，确定允许端侧设备的入网情况，针对已入网的允许端侧设备，获取接入许可证书，将所获取的接入许可证书发送至云端，接收因所获取的接入许可证书合法性验证通过而发送的允许端侧设备的设备档案信息以完成允许端侧设备的合法接入，如此，实现了端侧设备的合法接入；在完成合法接入的过程中，不需要不断发送探测数据包，增强检测性能的稳定性及避免容易出现误报、漏报的情况；在完成合法接入的过程中，不需要安装代理，不需要通过身份认证检测接入网络的合法性，不需要对安全认证设备进行配置，简化了合法接入的过程。

24、本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。