一种配电终端运维工具安全防护方法[发明专利]

(12)发明专利申请

(10)申请公布号 CN 111435390 A(43)申请公布日 2020.07.21

(21)申请号 201910037399.3(22)申请日 2019.01.11

(71)申请人 中国电力科学研究院有限公司

地址 100192 北京市海淀区清河小营东路

15号

申请人 国家电网有限公司　

国网山东省电力公司电力科学研究院　

国网山东省电力公司(72)发明人 常方圆　李二霞　盛万兴　孟晓丽　

李玉凌　孙智涛　亢超群　何连杰　邵志敏　张世栋　(74)专利代理机构 北京安博达知识产权代理有

限公司 11271

代理人 徐国文

权利要求书2页 说明书5页 附图3页

(51)Int.Cl.

G06F 21/46(2013.01)G06F 21/60(2013.01)G06F 21/(2013.01)

(54)发明名称

一种配电终端运维工具安全防护方法(57)摘要

本发明涉及一种配电终端运维工具安全防护方法，该方法以提高配电终端运维工具安全防护水平为目标，基于USB Key，从身份认证、数据加密和自身防护等三个方面提出配电终端运维工具安全防护架构和方法，并提出了运维工具生成终端证书请求文件、导入导出证书、恢复终端对称密钥的安全实施流程。加强配电终端的安全管控，杜绝因配电终端运维工具装置和管理漏洞引起的网络安全事件的发生，进一步提高系统先进性、实用性、可靠性和安全性，全面支撑现代配电网精益化管理。

CN 111435390 ACN 111435390 A

权　利　要　求　书

1/2页

1.一种配电终端运维工具安全防护方法，其特征在于，基于USB Key为运维工具提供安全防护，所述USB Key中存储了配电应用CA证书、运维工具证书及相应私钥、现场运维上行密钥和现场运维下行密钥；

所述方法包括配电终端与运维工具之间的身份认证、配电终端与运维工具间的数据加解密、生成配电终端的证书请求文件、恢复配电终端对称密钥；

其中，所述配电终端与运维工具之间的身份认证包括以下步骤：(1)运维工具向配电终端发送认证申请，所述认证申请中包括了运维工具证书和运维工具ID；

(2)配电终端验证所述运维工具证书的合法性，如果不合法，则认证失败，配电终端拒绝所述运维工具的操作，如果合法，则继续后续步骤；

(3)所述配电终端生成一个随机数R发送给所述运维工具，所述运维工具通过所述USB Key对该随机数R进行签名，并将签名结果发送给所述配电终端；

(4)所述配电终端验证所述签名结果，如果验证不通过，则认证失败，配电终端拒绝所述运维工具的操作，如果验证通过，则完成对运维工具的身份认证并向运维工具返回验证通过消息；

(5)在身份认证通过后，所述配电终端监控所述运维工具与配电终端之间的数据交互，如果在预定义的时间长度内，所述运维工具与配电终端之间没有数据交互，则所述配电终端自动撤销对所述运维工具的身份认证。

2.根据权利要求1所述的方法，其特征在于，所述配电终端与运维工具间的数据加解密包括：

当运维工具向配电终端发送数据时，运维工具调用USB Key，由USB Key使用现场运维下行密钥对发送给配电终端的数据进行加密，生成加密报文，然后将加密报文发送给配电终端，配电终端收到加密报文后，用现场运维下行密钥进行解密，获取明文数据；

当配电终端向运维工具发送数据时，配电终端使用现场运维上行密钥对数据进行加密，生成加密报文，并将加密报文发送给运维工具，运维工具收到加密报文后，调用USB Key，由USB Key使用现场运维上行密钥对配电终端的报文进行解密，获取明文数据。

3.根据权利要求1-2任意一项所述的方法，其特征在于，生成配电终端的证书请求文件包括以下步骤：

(1)运维工具向配电终端发送提取终端密钥版本指令，请求所述配电终端返回其密钥版本；

(2)所述配电终端读取其芯片中的密钥版本号，将该密钥版本号以明文方式返回给运维工具；

(3)所述运维工具向配电终端发送提取终端序列号指令；

(4)所述配电终端以明文方式向运维工具返回该配电终端的序列号；(5)所述运维工具向配电终端发送提取终端内置安全芯片序列号指令；(6)所述配电终端以明文方式向运维工具返回内置安全芯片序列号；(7)所述运维工具向配电终端发送提取终端内置安全芯片公钥的指令；(8)所述配电终端提取内置安全芯片的公钥，使用现场运维上行密钥对公钥进行加密，并将密文发送给运维工具；

2

CN 111435390 A

权　利　要　求　书

2/2页

(9)所述运维工具通过USB Key解密所述密文，获得公钥信息，并通过界面录入配电终端的其他信息，基于上述各步骤获取的配电终端信息生成带签名的证书请求数据；

(10)所述运维工具通过USB Key对证书请求数据进行加密后，发送给配电终端；(11)所述配电终端接收到加密的证书请求数据后，先对其解密，获得要签名的证书请求数据，然后配电终端用私钥对所述证书请求数据进行数字签名，并将签名结果返回给运维工具；

(12)所述运维工具接收签名结果，生成完整的证书请求文件。4.根据权利要求1-3任意一项所述的方法，其特征在于，恢复配电终端对称密钥包括以下步骤：

(1)运维工具向配电终端发送获取密钥版本号指令；(2)所述配电终端从内置安全芯片读取密钥版本号，并生成终端随机数R1，将密钥版本号和终端随机数R1返回给所述运维工具；

(3)所述运维工具用该终端随机数R1对要恢复的密钥计算MAC，，生成密钥恢复包，使用USB Key对密钥恢复包进行加密后发送给配电终端；

(4)所述配电终端对加密的密钥恢复包进行解密，获得密钥恢复包，基于所述密钥恢复包进行密钥恢复操作，并向运维工具返回密钥恢复执行结果。

5.根据权利要求1-4任意一项所述的方法，其特征在于，通过所述运维工具，分别将配电应用CA证书、主站证书、网关证书、终端证书导入配电终端，或导出配电终端证书。

3

CN 111435390 A

说　明　书

一种配电终端运维工具安全防护方法

1/5页

技术领域

[0001]本发明属于配电自动化技术领域，涉及一种配电终端运维工具安全防护方法，尤其涉及一种基于USB Key的配电终端运维工具安全防护实施方法。背景技术

[0002]在智能电网的发展过程中，信息技术作为支撑技术在智能电网的建设、运行与管理中具有重要作用，电力网络和通信网络的紧密联系不仅带来电力业务系统的技术革新，同时也为电力网络安全带来了极大挑战。

[0003]配电自动化作为电力系统的未来发展趋势具有广阔的前景。配电自动化系统主要是以现在电子信息技术为手段，将配电网的在线、离线数据以及用户和电网数据进行集成，实现配电系统正常运行，而这些都依靠配电终端进行数据的监测、保护和控制等。[0004]然而，在配电终端现场运维过程中，运维人员通常采用便携式设备对终端进行运行状态巡视和软件功能维护，然而配电终端的本地运维工具目前还没有任何安全措施与防护机制，运维软件极易被侵入篡改甚至复制模拟，形成安全防护漏洞。发明内容

[0005]为了解决现有技术中的上述问题，本发明提供了一种配电终端运维工具安全防护方法，以提高配电终端运维工具安全防护水平为目标，基于USB Key，从身份认证、数据加密和自身防护等三个方面提出配电终端运维工具安全防护架构和方法，并提出了运维工具生成终端证书请求文件、导入导出证书、恢复终端对称密钥的安全实施流程。加强配电终端的安全管控，杜绝因配电终端运维工具装置和管理漏洞引起的网络安全事件的发生，进一步提高系统先进性、实用性、可靠性和安全性，全面支撑现代配电网精益化管理。[0006]本发明采用的技术方案具体如下：

[0007]一种配电终端运维工具安全防护方法，基于USB Key为运维工具提供安全防护，所述USB Key中存储了配电应用CA证书、运维工具证书及相应私钥、现场运维上行密钥和现场运维下行密钥；

[0008]所述方法包括配电终端与运维工具之间的身份认证、配电终端与运维工具间的数据加解密、生成配电终端的证书请求文件、恢复配电终端对称密钥；[0009]其中，所述配电终端与运维工具之间的身份认证包括以下步骤：[0010](1)运维工具向配电终端发送认证申请，所述认证申请中包括了运维工具证书和运维工具ID；[0011](2)配电终端验证所述运维工具证书的合法性，如果不合法，则认证失败，配电终端拒绝所述运维工具的操作，如果合法，则继续后续步骤；[0012](3)所述配电终端生成一个随机数R发送给所述运维工具，所述运维工具通过所述USBKey对该随机数R进行签名，并将签名结果发送给所述配电终端；[0013](4)所述配电终端验证所述签名结果，如果验证不通过，则认证失败，配电终端拒

4

CN 111435390 A

说　明　书

2/5页

绝所述运维工具的操作，如果验证通过，则完成对运维工具的身份认证并向运维工具返回验证通过消息；[0014](5)在身份认证通过后，所述配电终端监控所述运维工具与配电终端之间的数据交互，如果在预定义的时间长度内，所述运维工具与配电终端之间没有数据交互，则所述配电终端自动撤销对所述运维工具的身份认证。[0015]进一步地，所述配电终端与运维工具间的数据加解密包括：[0016]当运维工具向配电终端发送数据时，运维工具调用USB Key，由USB Key使用现场运维下行密钥对发送给配电终端的数据进行加密，生成加密报文，然后将加密报文发送给配电终端，配电终端收到加密报文后，用现场运维下行密钥进行解密，获取明文数据；[0017]当配电终端向运维工具发送数据时，配电终端使用现场运维上行密钥对数据进行加密，生成加密报文，并将加密报文发送给运维工具，运维工具收到加密报文后，调用USB Key，由USB Key使用现场运维上行密钥对配电终端的报文进行解密，获取明文数据。[0018]进一步地，生成配电终端的证书请求文件包括以下步骤：[0019](1)运维工具向配电终端发送提取终端密钥版本指令，请求所述配电终端返回其密钥版本；[0020](2)所述配电终端读取其芯片中的密钥版本号，将该密钥版本号以明文方式返回给运维工具；[0021](3)所述运维工具向配电终端发送提取终端序列号指令；[0022](4)所述配电终端以明文方式向运维工具返回该配电终端的序列号；[0023](5)所述运维工具向配电终端发送提取终端内置安全芯片序列号指令；[0024](6)所述配电终端以明文方式向运维工具返回内置安全芯片序列号；[0025](7)所述运维工具向配电终端发送提取终端内置安全芯片公钥的指令；[0026](8)所述配电终端提取内置安全芯片的公钥，使用现场运维上行密钥对公钥进行加密，并将密文发送给运维工具；[0027](9)所述运维工具通过USB Key解密所述密文，获得公钥信息，并通过界面录入配电终端的其他信息，基于上述各步骤获取的配电终端信息生成带签名的证书请求数据；[0028](10)所述运维工具通过USB Key对证书请求数据进行加密后，发送给配电终端；[0029](11)所述配电终端接收到加密的证书请求数据后，先对其解密，获得要签名的证书请求数据，然后配电终端用私钥对所述证书请求数据进行数字签名，并将签名结果返回给运维工具；[0030](12)所述运维工具接收签名结果，生成完整的证书请求文件。[0031]进一步地，恢复配电终端对称密钥包括以下步骤：[0032](1)运维工具向配电终端发送获取密钥版本号指令；[0033](2)所述配电终端从内置安全芯片读取密钥版本号，并生成终端随机数R1，将密钥版本号和终端随机数R1返回给所述运维工具；[0034](3)所述运维工具用该终端随机数R1对要恢复的密钥计算MAC，，生成密钥恢复包，使用USB Key对密钥恢复包进行加密后发送给配电终端；[0035](4)所述配电终端对加密的密钥恢复包进行解密，获得密钥恢复包，基于所述密钥恢复包进行密钥恢复操作，并向运维工具返回密钥恢复执行结果。

5

CN 111435390 A[0036]

说　明　书

3/5页

进一步地，通过所述运维工具，分别将配电应用CA证书、主站证书、网关证书、终端

证书导入配电终端，或导出配电终端证书。[0037]本发明的有益效果为：提高配电终端运维工具的安全防护水平，满足越来越高的精益化管理需求，保障配电自动化系统的安全运行。附图说明

[0038]此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部分，但并不构成对本发明的不当限定，在附图中：

[0039]图1是本发明运维工具与配电终端身份认证的流程图。

[0040]图2是本发明运维工具提取终端信息生成证书请求文件的流程图。[0041]图3是本发明运维工具恢复终端对称密钥的流程图。

具体实施方式

[0042]下面将结合附图以及具体实施例来详细说明本发明，其中的示意性实施例以及说明仅用来解释本发明，但并不作为对本发明的限定。[0043]本发明基于USB Key为运维工具提供安全防护，所述USB Key中预先灌装了配电应用CA证书、证书管理工具非对称密钥对(含私钥和证书)，以及现场运维上行密钥和现场运维下行密钥。

[0044]所述配电应用CA证书用于验证所有证书的有效性，所述证书管理工具非对称密钥对用于运维工具和终端之间的身份认证，所述现场运维上行密钥和现场运维下行密钥用于运维工具与配电终端之间数据传输的加密和解密。

[0045]当需要使用运维工具对配电终端进行现场运维时，运维人员首先需要将上述USB Key插入运维工具，然后在运维工具上输入与该USB Key相应的PIN码，当USB Key对输入的PIN验证通过后，运维人员才可登录运维管理界面。[0046]配电终端与运维工具之间的身份认证[0047]在登录后，为了对配电终端进行现场运维，配电终端与运维工具之间需要进行身份认证。另一方面，配电终端一方一般认为是可信的，因此这里所说的身份认证实际上是单向的，也就是配电终端对运维工具的身份认证，以保证该运维工具是安全可靠的。具体过程结合附图1说明如下：[0048](1)运维工具向配电终端发送认证申请，所述认证申请中包括了运维工具证书和运维工具ID。

[0049]所述运维工具证书存储于USB Key中，在USB Key插入运维工具后，由运维管理软件从USB Key中读出。

[0050]所述运维工具ID是运维工具自身的唯一标识符，而运维工具证书中也具有ID，为了合法使用，这两者应当是相同的。因此，USB Key与运维工具应当是相匹配的，使得USB Key中的运维工具证书的ID与运维工具ID相同，[0051](2)配电终端验证所述运维工具证书的合法性，如果不合法，则认证失败，配电终端拒绝所述运维工具的操作，如果合法，则继续后续步骤。[0052]具体的，配电终端首先使用CA证书验证运维工具证书自身的合法性，其次配电终

6

CN 111435390 A

说　明　书

4/5页

端验证所述运维工具证书中的ID是否与所述运维工具ID相同，如果相同，则所述运维工具证书合法，否则不合法。[0053](3)所述配电终端生成一个随机数R发送给所述运维工具，所述运维工具通过所述USBKey对该随机数R进行签名，并将签名结果发送给所述配电终端。[0054]具体的，USB Key中存储了与运维工具证书相对应的私钥，因此运维工具可以将所述随机数R发送给USB Key，由USB Key使用该私钥对R进行数字签名，然后将签名结果返回给运维工具，再由运维工具返回给配电终端。[0055]优选的，所述数字签名使用国产非对称密码算法SM2。[0056](4)所述配电终端验证所述签名结果，如果验证不通过，则认证失败，配电终端拒绝所述运维工具的操作，如果验证通过，则完成对运维工具的身份认证并向运维工具返回验证通过消息。[0057]具体的，由于配电终端在前述步骤2中收到了运维工具证书并验证了其合法性，因而配电终端可以使用所述运维工具证书对所述签名结果进行验证。[0058](5)在身份认证通过后，所述配电终端监控所述运维工具与配电终端之间的数据交互，如果在预定义的时间长度内，所述运维工具与配电终端之间没有数据交互，则所述配电终端自动撤销对所述运维工具的身份认证。[0059]在身份认证被撤销后，如果运维工具需要再次操作配电终端，就需要重新进行身份认证，即重新执行上述步骤1-4。

[0060]配电终端与运维工具间的数据加解密

[0061]考虑到配电终端与运维工具传输数据量大等的特点，配电终端与运维工具数据交互采用国产商用对称密码算法SM1进行数据的加解密操作。其中，运维工具的加解密功能是通过调用USB Key的API接口函数来实现的。[0062]加密和解密使用的是现场运维上行密钥和现场运维下行密钥，这两个密钥存储USB Key中，同时也存储于所述配电终端中。[0063]具体的，当现场运维工具向配电终端发送数据时，运维工具调用USB Key，由USB Key使用现场运维下行密钥对发送给配电终端的数据进行加密，生成加密报文，然后将加密报文发送给配电终端，配电终端收到加密报文后，把运维工具ID作为分散因子，用现场运维下行密钥进行解密，获取明文数据。

[00]当配电终端向现场运维工具发送数据时，配电终端使用现场运维上行密钥对数据进行加密，生成加密报文，并将加密报文发送给运维工具，运维工具收到加密报文后，调用USB Key，由USB Key使用现场运维上行密钥对配电终端的报文进行解密，获取明文数据。[0065]运维工具的自身防护

[0066]为了保护运维工具自身的安全，本发明的运维工具在使用时，必须插入相应的USB Key，并且要求用户输入其用户名/密码，由USB Key对用户名/密码验证通过后，才可使用所述运维工具。

[0067]生成配电终端的证书请求文件

[0068]本发明的运维工具还可提供为配电终端生成证书请求文件的功能。在完成运维工具与配电终端的身份认证后，运维工具就可以提取配电终端信息生成证书请求文件。具体流程结合附图2说明如下：

7

CN 111435390 A[0069]

说　明　书

5/5页

(1)运维工具向配电终端发送提取终端密钥版本指令，请求所述配电终端返回其

密钥版本。[0070](2)所述配电终端读取其芯片中的密钥版本号，将该密钥版本号以明文方式返回给运维工具。[0071](3)所述运维工具向配电终端发送提取终端序列号指令。[0072](4)所述配电终端以明文方式向运维工具返回该配电终端的序列号。[0073](5)所述运维工具向配电终端发送提取终端内置安全芯片序列号指令；[0074](6)所述配电终端以明文方式向运维工具返回内置安全芯片序列号；[0075](7)所述运维工具向配电终端发送提取终端内置安全芯片公钥的指令；[0076](8)所述配电终端提取内置安全芯片的公钥，使用现场运维上行密钥对公钥进行加密，并将密文发送给运维工具；[0077](9)所述运维工具通过USB Key解密所述密文，获得公钥信息，并通过界面录入其他主要信息(配电终端自身的各类参数等)，基于上述各步骤获取的配电终端信息生成带签名的证书请求数据；[0078](10)所述运维工具通过USB Key对证书请求数据进行加密后，发送给配电终端；[0079](11)所述配电终端接收到加密的证书请求数据后，先对其解密，获得要签名的证书请求数据，然后配电终端用私钥对所述证书请求数据进行数字签名，并将签名结果返回给运维工具；[0080](12)所述运维工具接收签名结果，生成完整的证书请求文件。[0081]证书导入和导出

[0082]通过所述运维工具，可以分别将配电应用CA证书、主站证书、网关证书、终端证书导入配电终端，或导出配电终端证书。证书导入时，每次只能进行一张证书的导入操作，不能同时导入多张证书。

[0083]恢复配电终端对称密钥

[0084]当配电终端由于密钥损坏等原因时，通过运维工具可为配电终端恢复密钥，具体步骤结合附图3说明如下：[0085](1)运维工具向配电终端发送获取密钥版本号指令；[0086](2)所述配电终端从内置安全芯片读取密钥版本号，并生成终端随机数R1，将密钥版本号和终端随机数R1返回给所述运维工具；[0087](3)所述运维工具用该终端随机数R1对要恢复的密钥计算MAC，，生成密钥恢复包，使用USB Key对密钥恢复包进行加密后发送给配电终端；[0088](4)所述配电终端对加密的密钥恢复包进行解密，获得密钥恢复包，基于所述密钥恢复包进行密钥恢复操作，并向运维工具返回密钥恢复执行结果。[00]以上所述仅是本发明的较佳实施方式，故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰，均包括于本发明专利申请范围内。

8

CN 111435390 A

说　明　书　附　图

1/3页

图1

9

CN 111435390 A

说　明　书　附　图

2/3页

图2

10

CN 111435390 A

说　明　书　附　图

3/3页

图3

11