CN105871873A - 一种用于配电终端通信的安全加密认证模块及其方法 - Google Patents

Abstract

本发明公开了一种用于配电终端通信的安全加密认证模块及其方法。该安全加密认证模块包括主控芯片、国密算法加密芯片、通信接口和存储单元；其中，主控芯片分别与国密算法加密芯片、通信接口和存储单元，通过配电终端的安全接口软件接收配电主站前置机和配电终端的报文信息，对其他模块进行统筹管理；国密算法加密芯片对主控芯片接收的报文信息进行加密/解密处理。该安全加密认证模块采用专用的加密芯片，提升响应速度，并减少对CPU及内存的依赖。除此之外，安全加密认证模块与配电安全交互网关之间实现验证对方身份的双向认证，大大提高了通信的安全性。

Description

一种用于配电终端通信的安全加密认证模块及其方法

技术领域

本发明涉及一种安全加密认证模块，尤其涉及一种用于配电终端通信的安全加密认证模块，同时也涉及基于该模块实现配电终端通信的加密认证方法，属于电力通信技术领域。

背景技术

随着国家经济建设的快速发展，电力自动化系统得到广泛应用。具有配电网络控制功能的配电终端大量分散部署在配电网络中。配电主站通过前置机发送指令对各配电终端实现遥测、遥信、遥控等方式的远程管理，从而间接实现对配电网络的控制。近年来，随着电信网络的快速发展，配电终端通过基于串口通信的无线通信单元使用公用的电信网络进行通信，在配电主站建设安全接入区提升相应安全防护能力。

另外，随着网络化、信息化的不断深入，对配电终端安全通信的要求越来越高，相关部门先后发布了相关文件用于规范配电终端安全通信。例如在2011年，《中低压配电网自动化系统安全防护补充规定》中明确要求“无论采用何种远程通信方式，配电网自动化系统应该支持基于非对称密钥技术的单向认证功能，主站下发的遥控命令应带有基于调度证书的数字签名，子站侧或终端侧应能够鉴别主站的数字签名”。

2015年，《配电监控系统安全防护方案》中明确要求“对重要子站及终端的通信可以采用双向认证加密，实现主站和子站间的双向身份鉴别，确保报文机密性和完整性”。另外，明确要求配电网安全防护应从单向认证逐步提高到双向认证的强度，同时需要对原有的安全防护体系及相关安全防护产品进行优化升级。

鉴于此，对于配电终端通信安全的升级进行了大量的研究，但是，现有技术仍存在如下缺点：

1)现有配电终端安全通信技术主要在配电终端设备中实现，主要为软件实现算法，其算法的响应速度慢，占用大量CPU及内存资源，影响配电终端设备工作效率。

2)现有配电终端安全通信技术采用单向认证，其算法为简单的签名算法，在配电终端使用配电主站的公钥对配电主站发送的控制报文中的签名进行验证，标准的通信报文仍为明文，容易被截取收集分析。

3)现有配电终端安全通信技术使用配电主站的公钥不是以证书为载体，公钥的有效期与电子钥匙的安全性无法完全保证。

4)现有配电终端安全通信技术中，配电终端没有相应的密钥安全存储介质，在通信过程中没有使用自己的非对称密钥，配电主站无法对终端身份进行验证，存在伪造终端的风险。

5)现有配电终端通常采用基于业务开发为核心的技术构架，支持多种通信方式，但缺少安全防护，难以应对日益猖獗的网络攻击。

发明内容

针对现有技术的不足，本发明所要解决的技术问题在于提供一种用于配电终端通信的安全加密认证模块及其方法。

为实现上述发明目的，本发明采用下述的技术方案：

一种用于配电终端通信的安全加密认证模块，部署在配电终端的主控板上，包括主控芯片、国密算法加密芯片、通信接口和存储单元；

其中，所述主控芯片分别与所述国密算法加密芯片、所述通信接口和所述存储单元，通过配电终端的安全接口软件接收配电主站前置机和所述配电终端的报文信息，对其他模块进行统筹管理；

所述国密算法加密芯片对所述主控芯片接收的报文信息进行加密/解密处理。

其中较优地，所述主控芯片包括驱动层、功能接口层和功能逻辑层；所述功能逻辑层获取配电主站前置机或配电终端的报文信息，进行分析后根据处理需求通过所述功能接口层的对应接口找到对应的模块，通过所述驱动层的对应驱动进行处理，将处理后的报文信息通过串口发送到配电终端或配电主站前置机。

其中较优地，所述国密算法加密芯片包括主程序、报文处理程序、调式接口程序、密码算法驱动程序、SPI通信驱动程序和串口通信驱动程序；

当所述主控芯片将报文信息发送到所述国密算法加密芯片时，所述国密算法加密芯片通过所述SPI通信驱动程序的接收中断获取所述报文信息，发送到所述主程序，所述主程序根据类型将所述报文信息发送到所述报文处理程序按照结构进行解析，将解析后的报文信息发送到所述密码算法驱动程序进行加密/解密处理，加密/解密完成后将报文信息发回到所述报文处理程序进行组织处理，然后发回所述主程序，所述主程序调用所述SPI通信驱动程序将报文信息送回到所述主控芯片。

其中较优地，所述存储单元用以保存配电安全交互网关的公钥证书和配电主站单向认证的公钥；

当配电安全交互网关将报文信息发送到所述主控芯片时，所述国密算法加密芯片通过所述配电主站单向认证的公钥对所述报文信息的发送者进行身份认证，通过所述配电安全交互网关的公钥证书对进行会话密钥协商。

其中较优地，所述安全接口软件包括报文截取子模块、报文预处理子模块和安全模块驱动；

其中，所述报文截获子模块截获的配电终端的业务层与通信层之间的报文信息，将所述报文信息传送给所述报文预处理子模块，并接收所述报文预处理子模块发回的报文信息；

所述安全模块驱动将报文信息发送到所述主控芯片，所示主控芯片通过策略管理接口调用安全策略配置；然后通过报文处理接口调用报文过滤子模块，所述报文过滤子模块获取报文信息对应的应用协议，判断所述报文信息对应的应用协议是否满足安全策略配置，如果满足，则将报文信息发送到国密算法加密芯片进行处理，并将处理完成的报文信息送回到所述报文截取子模块；否则，则将所述报文信息进行过滤。

其中较优地，所述的用于配电终端通信的安全加密认证模块，还包括电力专用加密芯片；

当所述主控芯片接收到以电力专用算法处理的报文信息时，报文信息将被发送到所述电力专用加密芯片进行加密/解密处理，将加密/解密处理后的报文信息返回所述主控芯片。

其中较优地，所述的用于配电终端通信的安全加密认证模块，还包括LED显示单元；

所述LED显示单元通过LED灯的开关来显示主控芯片、国密算法加密芯片以及所述电力专用加密芯片的当前工作状态，确定所述主控芯片、所述国密算法加密芯片以及所述电力专用加密芯片是否正确运行。

一种用于配电终端通信的安全加密认证方法，基于上述的安全加密认证模块实现，包括如下步骤：

S1，安全加密认证模块与配电安全交互网关采用非对称密钥执行双向认证进行会话密钥协商；

S2，通过会话密钥进行加密通信，安全加密认证模块将截取到配电主站前置机的报文信息进行解密后发送给配电终端；将截取到配电终端的报文信息进行加密后发送给配电主站前置机；

S3，设定时间阈值，当通信时间到达时间阈值后，重复步骤S1～S2。

其中较优地，在步骤S1中，配电主站前置机与配电终端建立通信连接之后，配电终端的安全接口软件获取通过配电终端接收的配电主站前置机的报文信息，将报文信息发送到安全加密认证模块；安全加密认证模块的报文过滤子模块获取报文信息对应的应用协议，判断所述报文信息对应的应用协议是否满足安全策略配置，如果满足，则则将报文信息发送到国密算法加密芯片进行处理，并将处理完成的报文信息送回到返回给安全接口软件；否则，将所述报文信息进行过滤。

其中较优地，在步骤S1中，所述安全加密认证模块与配电主站前置机采用非对称密钥执行双向认证进行会话密钥协商，包括如下步骤：

S11，安全加密认证模块在初始化时生成非对称密钥对，导出证书请求，签发证书后，将公钥证书导入配电安全交互网关；

S12，将配电安全交互网关的公钥证书和配电主站单向认证的公钥导入到安全加密认证模块中；

S13，配电安全交互网关生成一个带有随机数的“协商请求”报文，使用配电安全交互网关的私钥对所述“协商请求”报文进行签名，并发送到配电终端；

S14，配电终端中的安全接口软件获取“协商请求”报文后，发送给安全加密认证模块，所述安全加密认证模块使用配电安全交互网关公钥证书中的公钥对“协商请求”报文进行签名验证，生成一个带有随机数的“协商响应”报文，使用安全加密认证模块的私钥进行签名，并传送到安全接口软件，通过配电终端发送到配电主站；

S15，配电安全交互网关截获“协商响应”报文，使用安全加密认证模块的公钥对“协商响应”报文进行签名验证，生成“协商成功”报文，使用配电安全交互网关的私钥进行签名，并发送到配电终端；

S16，安全接口软件截获“协商成功”报文，发送给安全加密认证模块，使用配电安全交互网关公钥证书中的公钥对“协商成功”报文进行签名验证；

S17，安全加密认证模块与配电安全交互网关利用协商获取的两个随机数生成会话密钥。

本发明所提供的用于配电终端通信的安全加密认证模块，采用专用的加密芯片，提升响应速度，并减少对CPU及内存的依赖。安全加密认证模块与配电安全交互网关采用非对称密钥，执行双向认证进行会话密钥协商，实现验证对方身份的双向认证；在会话密钥协商之后，使用协商的对称密钥进行加密/解密处理，大大加速了安全加密认证模块加密/解密的时间，提高了通信效率。除此之外，公钥的载体为证书，可以根据证书链的安全性与确定性，来保证证书信息无法被篡改，同时也可以判断证书何时过期，保证公钥本身的安全性。

附图说明

图1为本发明所提供的安全加密认证模块的结构示意图；

图2为本发明所提供的安全加密认证模块中，主控芯片的结构示意图；

图3为本发明所提供的安全加密认证模块中，国密算法加密芯片的结构示意图；

图4为本发明所提供的一个实施例中，配电终端软件系统的结构示意图；

图5为本发明所提供的一个实施例中，配电终端通信的构架图。

具体实施方式

下面结合附图和具体实施例对本发明的技术内容进行详细具体的说明。

如图1所示，本发明所提供的用于配电终端通信的安全加密认证模块(安全模块)，通过专用接口部署于配电终端主控板上。专用接口可以使USB接口、SPI接口、PCI接口等，在本发明所提供的实施例中，采用SPI接口。该安全加密认证模块包括主控芯片、国密算法加密芯片、电力专用加密芯片、通信接口、LED显示单元、存储单元、RTC时钟单元和看门狗单元。其中，主控芯片分别与国密算法加密芯片、电力专用加密芯片、通信接口、LED显示单元、存储单元、RTC时钟单元和看门狗单元相连接，通过配电终端的安全接口软件获取配电主站前置机和配电终端的报文信息，对其他模块进行统筹管理。其中，配电终端部署的安全接口软件获取通过网口、串口等接口接收的配电主站前置机的报文信息，通过SPI接口发送到安全加密认证模块进行过滤、解密处理，并将处理后的报文信息发送给配电终端。除此之外，配电终端的安全接口软件获取配电终端发送的报文信息，通过SPI接口发送到安全加密认证模块进行加密处理，并将处理后的报文信息通过配电终端的网口、串口等接口发送给配电主站前置机。

如图2所示，主控芯片采用MK22FN512VLH12芯片，主要负责对截获的配电主站前置机和配电终端之间所有通信报文进行逻辑处理、远端管理的处理、配置项的处理以及控制加密/解密等过程。主控芯片由三个层级组成，包括驱动层、功能接口层和功能逻辑层。功能逻辑层获取配电主站前置机或配电终端的报文信息，进行分析后根据处理需求通过功能接口层的对应接口找到对应的模块，通过驱动层的对应驱动进行处理，将处理后的报文信息发送到配电终端或配电主站前置机。其中，驱动层包括IIC驱动、SPI通信驱动、串口通信驱动和GPIO驱动，这些驱动以标准的接口为上一层提供服务接口。功能接口层包括RTC时钟接口、加解密算法调用接口、存储接口、通信收发接口、配置与调试调用接口、策略管理接口、报文处理接口、看门狗接口、LED显示接口和报文过滤子模块。功能接口层主要是为实现具体功能提供接口，通过接口找到相应的模块，完成所需的功能。其中，策略管理接口负责维护管理安全策略，安全加密认证模块内部预置一组安全策略配置，通过策略管理接口调用安全加密认证模块内部预置一组安全策略配置，实现对报文信息对应应用协议的过滤，通过远程管理也可以修改安全策略的配置。报文过滤子模块由报文处理接口调用，主要负责报文格式解析、安全策略执行，报文过滤子模块对所需处理的报文信息进行应用协议格式解析，识别应用协议及内容，再按照安全策略的内容一一匹配。若不满足安全策略，则对此报文进行过滤，返回错误信息；若全部满足安全策略，则按照既定流程进行加/解密处理。加解密算法调用接口能够按照安全策略规定的处理流程调用指定芯片对报文进行处理，能够调用国密算法加密芯片或电力专用加密芯片实现加解密功能。功能逻辑层主要利用功能接口层提供的功能接口，根据具体的现实情况，调用不同的模块实现功能服务，最终实现通信的双向加密。驱动层、功能接口层和功能逻辑层的详细功能在下文进行详细的描述。

通信接口采用基于SPI接口标准，用以负责安全模块与配电终端CPU进行通信，接收或发送数据，以便实现安全通信的最终目的。当配电终端的安全接口软件获取通过网口、串口等接口接收的配电主站前置机的报文信息时，或者获取配电终端发送的报文信息时，发送到安全加密认证模块的通信接口(SPI通信接口)，通信接口收到报文信息时，在主控芯片中产生中断信号，主控芯片调用中断程序使用SPI通信驱动读取接收到的报文信息；当将处理完成的报文信息发送出去时，主控芯片调用SPI通信驱动将已包装好的报文信息发送到配电终端，安全接口软件中的安全模块驱动获取到报文信息，通过截获模块按照原有业务流程发送给业务层或通信层。

调试及配置接口包括了两个芯片，均支持RS232串口通信，用以实现主CPU芯片的调试及加密芯片的调试。根据主控芯片功能逻辑层的指示，通过配置与调试调用接口调用调试及配置接口，通过串口驱动实现对安全加密认证模块各种信息的配置，以此满足不同情况的需求。

在本发明所提供的实施例中，国密算法加密芯片与主控芯片进行通信，实现各种加密/解密算法，包括SM2非对称加密算法、SM3散列算法、SM4对称加密算法等，以此加快计算速度。国密算法加密芯片由主控芯片启动，通过加解密算法调用接口调用国密算法加密芯片，通过调用SPI总线驱动，主控芯片将需要加解密的数据及密钥送入国密算法加密芯片中，由国密算法加密芯片进行处理后将数据返回给主控芯片并提供返回的接口。

如图3所示，国密算法加密芯片包括主程序、报文处理程序、调式接口程序、密码算法驱动程序、SPI通信驱动程序和串口通信驱动程序。其中，主程序用以完成对接收的所有报文信息的类型进行判断，并针对不同类型的报文信息实现不同的数据处理(在后续的过程中进行详细说明)，并将处理后的数据送入到报文处理程序中，最终将处理完成的报文信息再由SPI通信驱动程序送回到主控芯片中。串口通信驱动程序主要是为了实现该国密算法加密芯片的串口使用接口。SPI通信驱动程序实现了主控芯片与该国密算法加密芯片的通信功能接口，通过SPI通信驱动程序的接收中断获取从主控芯片发送来的报文信息。报文处理程序用以将SPI通信驱动程序获得的报文信息按照结构进行解析，或者组织处理加密/解密后的报文信息。密码算法驱动程序用来实现以专用的协处理器进行加密/解密算法，其算法包含了SM2非对称加密算法、SM3散列算法、SM4对称加密算法，同时支持随机数生成等其它算法。

当主控芯片有报文信息需要发送到国密算法加密芯片时，通过加解密算法调用接口调用国密算法加密芯片的SPI通信驱动程序，通过SPI总线驱动调用国密算法加密芯片的SPI通信驱动程序，实现主控芯片与国密算法加密芯片的通信功能接口，通过SPI通信驱动程序的接收中断获取从主控芯片发送来的报文信息，发送到主程序，主程序对报文信息根据类型进行处理之后发送到报文处理程序按照结构进行解析，将解析后的报文信息发送到密码算法驱动程序进行加密/解密，加密/解密完成后将报文信息发回到报文处理程序进行组织处理，之后发回主程序，主程序调用SPI通信驱动程序将报文信息最终送回到主控芯片中。调试接口程序在国密算法加密芯片调试过程中，通过串口通信驱动程序的接口负责将所有调试信息由串口输出。

电力专用加密芯片用于对电力专用加密算法进行处理，在通信过程中，当主控芯片接收到以电力专用加密算法加密的密文数据时，主控芯片将调用相应接口函数并通过SPI总线驱动将数据发送到电力专用加密芯片中，之后由电力专用加密芯片负责进行密文的解密，并将解密后的明文通过SPI总线将数据返回到主控芯片。当主控芯片收到的数据需要采用电力专用算法进行加密时，主控芯片调用相应的接口函数并通过SPI总线驱动将数据发送给该电力专用加密芯片，之后由该芯片再通过SPI总线将加密数据返回到主控芯片。

存储单元采用FLASH芯片，主要是存储该安全加密认证模块所需的配置项，以及配电终端与配电主站前置机通信过程中使用的配电安全交互网关的公钥证书和配电主站单向认证的公钥，用来对配电主站前置机发来的报文信息进行身份确认和解密。在本发明所提供的实施例中，存储单元用来保存该安全加密认证模块的各项配置值与该安全加密认证模块所用的证书。主控芯片通过存储接口将证书信息发送到存储单元，调用SPI总线驱动实现与存储单元的交互，同时提供对外的读写接口，实现数据的保存与读取功能。当需要对报文信息进行身份验证和解密时，主控芯片从存储单元中调取证书发送到加密芯片。

RTC时钟单元为RTC时钟芯片，主要是为安全加密认证模块提供可靠的当前时间。RTC时钟芯片通过IIC总线与主控芯片连接，主控芯片通过RTC时钟接口将报文信息发送到RTC时钟单元，通过IIC总线驱动实现与RTC时钟芯片的交互过程，同时对上提供当前时间查询、对时等基本功能。

看门狗单元采用MAX823TEUK芯片，与主控芯片直接连接，主控芯片通过看门狗接口定时将“喂狗信号”发送到看门狗单元，调用GPIO驱动对外部看门狗复位电路进行交互，实现异常复位功能。当“喂狗信号”停止后，看门狗单元将自动重新启动安全加密认证模块。看门狗单元主要解决主控芯片出现异常时的锁死问题，为安全加密认证模块的稳定性提供保证。

LED显示单元主要用来显示国密算法加密芯片及主控芯片的当前工作状态，以此确定加密芯片及主控芯片是否正确运行，并以此为现场工程应用及调试提供辅助信息。主控芯片通过LED显示接口将报文信息发送到LED显示单元，调用GPIO驱动实现LED的亮灭功能。

在本发明所提供的实施例中，安全加密认证模块还包括下载接口。下载接口是为了更新国密算法加密芯片的固件，以此实现安全加密认证模块的升级。

如图4所示，在配电终端系统架构中包括业务层和通信层。业务层主要部署各业务应用程序，实现各种业务逻辑功能。通信层包括网络、串口等各种通信接口，负责业务数据通信。安全接口软件部署在配电终端软件系统中，用来充当配电终端与安全加密认证模块之间的安全接口，构建安全服务层，提供对通信数据包的截获、分析、过滤、加密/解密等安全服务。安全接口软件包括：报文截取子模块、报文预处理子模块和安全模块驱动。其中，报文截获子模块用来截获配电终端系统的业务层与通信层之间的数据流，将发送方的原始数据流传送给报文预处理子模块，将报文预处理子模块返回的结果传递给数据流接收者。报文预处理子模块主要负责对原始数据流与安全加密认证模块的内部报文格式进行转换，便于安全加密认证模块通过数据流对应用协议进行判断过滤，加强了对终端通信的安全防护。安全模块驱动用以将安全接口软件获取的报文信息通过SPI数据总线传送给安全加密认证模块的主控芯片，并发出中断信号；主控芯片通过策略管理接口调用安全加密认证模块内部预置一组安全策略配置；然后通过报文处理接口调用报文过滤子模块，报文过滤子模块对所需处理的报文信息进行应用协议格式解析，识别应用协议及内容，再按照安全策略的内容一一匹配。若不满足安全策略，则对此报文信息进行过滤，返回错误信息；若全部满足安全策略，则将报文信息发送到国密算法加密芯片。国密算法加密芯片通过SPI通信驱动程序的接收中断获取从主控芯片发送来的报文信息，发送到主程序，主程序用以完成对接收的所有报文信息的类型进行判断处理，并将处理后的数据送入到报文处理程序中，报文处理程序对报文信息进行加/解密处理，并将处理完成的报文信息由SPI通信驱动程序送回到主控芯片中，主控芯片通过发送中断信号，将报文信息返回给安全接口软件。安全接口软件再将处理后的报文信息按照业务流程发送给业务层或通信层。安全接口软件的运行，相对于业务系统是透明的，不需要对原有业务系统进行修改。

图4是本发明的一个实施例中，配电终端通信的构架图。安全加密认证模块通过专用接口部署于配电终端主控板上。配电主站侧的配电安全交互网关负责与安全加密认证模块通过配电安全通信协议(应用协议)实现安全通信，在进行通信时，配电终端的安全接口软件获取通过网口或串口接收的配电主站前置机的报文信息，或者获取配电终端发送的报文信息，通过通信接口发送到安全加密认证模块对配电安全通信协议进行识别过滤，以加强对终端通信的安全防护。通信过程主要包括会话密钥协商与数据加密通信两个过程。其中，会话密钥协商过程是双方交换带有私钥签名的随机数，通过使用公钥验证签名达到验证对方身份，通过相关算法构造指定对称密钥算法的会话密钥用于加密通信。在数据加密通信过程中，一方面，安全加密认证模块通过安全接口软件获取配电终端发送给配电主站的通信数据，使用会话密钥对通信数据加密后构造新的通信数据包，通过安全接口软件传送到相应通信接口，再经无线通信单元或光网通信单元传送给配电主站前置机；另一方面，安全加密认证模块通过配电终端的串行接口或网络接口接收无线通信单元或光网通信单元传送的来自配电主站前置机的加密数据包，解密后再将数据包通过专用接口传送给安全接口软件，最终发送给配电终端业务层应用程序。具体包括如下步骤：

S1，在配电主站前置机与配电终端通信建立连接后，安全加密认证模块与配电安全交互网关采用非对称密钥执行双向认证进行会话密钥协商，实现验证对方身份的双向认证。

在配电主站前置机与配电终端建立通信连接之后，配电终端的安全接口软件获取通过网口或串口接收的配电主站前置机的报文信息，将报文信息通过SPI接口发送到安全加密认证模块的主控芯片，并发出中断信号；主控芯片中通信收发接口调用通信接口接收报文信息，通过报文处理接口调用报文过滤子模块进行处理。

调用报文过滤子模块主要负责报文格式解析、安全策略执行，调用报文过滤子模块对所需处理的报文信息进行应用协议格式解析，识别应用协议及内容，再按照安全策略的内容一一匹配。若不满足安全策略，则对此报文信息进行过滤，返回错误信息；若全部满足安全策略，则按照既定流程进行加/解密处理，通过加解密算法接口将报文信息发送给国密算法加密芯片或电力专用算法芯片进行处理。

国密算法加密芯片通过SPI通信驱动程序的接收中断获取从主控芯片发送来的报文信息，发送到主程序，主程序用以完成对接收的所有报文信息的类型进行判断处理，并将处理后的数据送入到报文处理程序中，报文处理程序对报文信息进行加/解密处理，并将处理完成的报文信息由SPI通信驱动程序送回到主控芯片中。如果需要电力专用算法芯片进行加解密处理，则电力专用算法芯片通过SPI接口获取报文数据，利用会话密钥协商的对称密钥，对报文数据进行加/解密处理，将处理后数据返回给主控芯片。主控芯片通过发送中断信号，将报文信息返回给安全接口软件的报文预处理子模块。通过安全加密认证模块对配电安全通信协议进行识别过滤，以加强对终端通信的安全防护。

安全加密认证模块与配电主站前置机采用非对称密钥协商会话密钥，实现验证对方身份的双向认证，具体包括如下步骤：

S11，安全加密认证模块在初始化时生成非对称密钥对，导出证书请求，签发证书后，将公钥证书导入配电安全交互网关。

安全加密认证模块通过配电终端上电后先由主控芯片进行其驱动硬件的初始化，以便满足主控芯片与其他芯片(模块)的通信与控制，在完成所有硬件驱动的初始化后，读取存储单元内的配置信息，对安全加密认证模块中各个单元的相关项进行配置。之后，国密算法加密芯片生成非对称密钥对，导出证书请求，签发证书后导入配电安全交互网关。其中，在本发明所提供的实施例中，国密算法加密芯片内部包含了SM2非对称加密算法，SM3散列算法，SM4对称加密算法，同时支持随机数生成等其它算法。公钥的载体为证书，可以根据证书链的安全性与确定性，来保证证书信息无法被篡改，同时也可以判断证书何时过期，保证公钥本身的安全性。

S12，将配电安全交互网关的公钥证书和配电主站单向认证的公钥导入到安全加密认证模块中。

为国密算法加密芯片上电之后，主控芯片将国密算法加密芯片所需的密钥等信息发送给国密算法加密芯片，在本发明所提供的实施例中，主控芯片从存储单元获取配电安全交互网关的公钥证书和配电主站单向认证的公钥，将配电安全交互网关的公钥证书和配电主站单向认证的公钥导入到国密算法安全加密认证模块中。以便于后期会话密钥协商时，实现对对方身份的双向认证。

S13，配电主站前置机与配电终端建立连接，配电安全交互网关检测到连接建立后，启动会话密钥协商的协商过程，生成一个带有随机数和对称密钥算法选择信息的“协商请求”报文，并使用配电安全交互网关的私钥对此报文签名，然后借助已建立的连接向配电终端发送“协商请求”报文。

S14，在配电终端的安全接口软件获取“协商请求”报文后，发送给安全加密认证模块，安全加密认证模块启动会话密钥协商状态机开始协商过程，在国密算法加密芯片使用配电安全交互网关的公钥证书中的公钥对“协商请求”报文进行签名验证，然后生成一个带有随机数的“协商响应”报文，并使用安全加密认证模块的私钥签名，传送到安全接口软件，然后借助已建立的连接向配电主站发送报文。

S15，配电安全交互网关截获“协商响应”报文后，使用安全加密认证模块的公钥对“协商响应”报文进行签名验证，然后生成“协商成功”报文，并使用配电安全交互网关的私钥签名，然后借助已建立的连接向配电终端发送“协商成功”报文；

S16，安全接口软件获取“协商成功”报文后，发送给安全加密认证模块，在国密算法加密芯片使用配电安全交互网关的公钥证书中的公钥对“协商成功”报文进行签名验证；

S17，安全加密认证模块与配电安全交互网关利用协商获取的两个随机数生成会话密钥。

S2，通过会话密钥进行加密通信，安全加密认证模块将收到配电主站前置机发送的经配电安全交互网关加密后的报文信息按照协商的对称密钥算法进行解密，再将解密后生成的明文报文通过专用接口发送给配电终端；若明文报文中包含配电主站使用单向认证私钥签名信息，安全加密认证模块使用配电主站的单向认证公钥验证签名，再将原报文经专用接口发送给配电终端；安全加密认证模块通过专用接口接收配电终端的报文信息，使用会话密钥对报文进行加密、重组后发回给配电终端的安全接口软件，安全接口软件通过配电终端的串行接口或网络接口发送给配电主站前置机。其中，会话密钥为对称密钥，大大加速了安全加密认证模块加密/解密的时间，提高了通信效率。

通过协商构造的会话密钥进行加密通信，当通信事件触发后，SPI接收中断会将串口或网口接收到的数据送入安全加密认证模块中主控芯片的接收缓冲区，在接收缓冲区中进行一帧报文的检验，当确定一帧完整报文后，对报文类型进行判断，当报文信息为通信报文时发送到国密算法加密芯片或电力专用加密芯片进行加密/解密处理。当安全加密认证模块收到的是以电力专用算法处理的报文信息，或者需要用电力专用算法处理的报文信息时，报文信息将被发送到密认证模块的电力专用加密芯片进行加密/解密处理，将加密/解密处理后的报文信息返回安全加密认证模块的主控芯片。当安全加密认证模块收到的是非电力专用算法处理的报文信息时，报文信息将被发送到安全加密认证模块的国密算法加密芯片进行加密/解密处理，将加密/解密处理后的报文信息返回安全加密认证模块的主控芯片。当安全加密认证模块收到的是电力专用算法处理的报文信息时，报文信息将被发送到安全加密认证模块的电力专用加密芯片进行加密/解密处理，将加密/解密处理后的报文信息返回安全加密认证模块的主控芯片。当报文信息为管理报文时，管理报文对安全加密认证模块的配置进行更新。

在本发明所提供的实施例中，由配电安全交互网关发送管理报文，在接收到管理报文后，安全加密认证模块使用会话密钥对管理报文进行解密处理，并根据解密后得到的信息将配置信息写入配置文件，同时刷新配置的全局变量，以此更新安全加密认证模块的工作状态。最后构造管理报文将配置完成的状态值返回到配电安全交互网关。

S3，设定时间阈值，当使用会话密钥通信时间到达时间阈值后，重复步骤S1～S2。

根据需求设定时间阈值，当通信时间到达时间阈值后，重新进行安全加密认证模块与配电安全交互网关之间的会话密钥协商，然后根据协商的会话密钥重新建立加密通信，实现配电终端和配电主站前置机之间的安全通信。这样可以避免由于长时间使用相同的对称密钥而使通信安全性降低，也可以很好地避免频繁地使用非对称密钥进行加密/解密耗时的问题，能在保证通信效率的前提下，很好地保证通信的安全性。

综上所述，本发明所提供的用于配电终端通信的安全加密认证模块，通过专用接口部署于配电终端主控板上，安全加密认证模块设置在配电终端内部，不必额外使用外壳和电源装置，降低了材料使用，节约了成本。安全加密认证模块采用专用的加密芯片，提升响应速度，并减少对CPU及内存的依赖。安全加密认证模块与配电安全交互网关采用非对称密钥，执行双向认证进行会话密钥协商，实现验证对方身份的双向认证；在会话密钥协商之后，使用协商的对称密钥和对称密钥算法进行加密/解密处理，大大加速了安全加密认证模块加密/解密的时间，提高了通信效率。密文报文即使被截取，也难以破解。除此之外，公钥的载体为证书，可以根据证书链的安全性与确定性，来保证证书信息无法被篡改，同时也可以判断证书何时过期，保证公钥本身的安全性。另外，安全服务单元的设置，相当于在配电终端与安全加密认证模块之间安装了安全接口，通过对应用协议进行判断过滤，加强了对终端通信的安全防护，有效地防止网络攻击，进一步提高了通信的安全性。同时，此方法兼容支持配电终端采用串口、网口等多种通信方式。

上面对本发明所提供的用于配电终端通信的安全加密认证模块及其方法进行了详细的说明。对本领域的一般技术人员而言，在不背离本发明实质精神的前提下对它所做的任何显而易见的改动，都将构成对本发明专利权的侵犯，将承担相应的法律责任。

Claims (10)

1.一种用于配电终端通信的安全加密认证模块，部署在配电终端的主控板上，其特征在于包括主控芯片、国密算法加密芯片、通信接口和存储单元；

其中，所述主控芯片分别与所述国密算法加密芯片、所述通信接口和所述存储单元，通过配电终端的安全接口软件接收配电主站前置机和所述配电终端的报文信息，对其他模块进行统筹管理；

所述国密算法加密芯片对所述主控芯片接收的报文信息进行加密/解密处理。

2.如权利要求1所述的用于配电终端通信的安全加密认证模块，其特征在于：

所述主控芯片包括驱动层、功能接口层和功能逻辑层；所述功能逻辑层获取配电主站前置机或配电终端的报文信息，进行分析后根据处理需求通过所述功能接口层的对应接口找到对应的模块，通过所述驱动层的对应驱动进行处理，将处理后的报文信息通过串口发送到配电终端或配电主站前置机。

3.如权利要求1所述的用于配电终端通信的安全加密认证模块，其特征在于：

所述国密算法加密芯片包括主程序、报文处理程序、调式接口程序、密码算法驱动程序、SPI通信驱动程序和串口通信驱动程序；

当所述主控芯片将报文信息发送到所述国密算法加密芯片时，所述国密算法加密芯片通过所述SPI通信驱动程序的接收中断获取所述报文信息，发送到所述主程序，所述主程序根据类型将所述报文信息发送到所述报文处理程序按照结构进行解析，将解析后的报文信息发送到所述密码算法驱动程序进行加密/解密处理，加密/解密完成后将报文信息发回到所述报文处理程序进行组织处理，然后发回所述主程序，所述主程序调用所述SPI通信驱动程序将报文信息送回到所述主控芯片。

4.如权利要求1所述的用于配电终端通信的安全加密认证模块，其特征在于：

所述存储单元用以保存配电安全交互网关的公钥证书和配电主站单向认证的公钥；

当配电安全交互网关将报文信息发送到所述主控芯片时，所述国密算法加密芯片通过所述配电主站单向认证的公钥对所述报文信息的发送者进行身份认证，通过所述配电安全交互网关的公钥证书对进行会话密钥协商。

5.如权利要求1所述的用于配电终端通信的安全加密认证模块，其特征在于：

所述安全接口软件包括报文截取子模块、报文预处理子模块和安全模块驱动；

其中，所述报文截获子模块截获的配电终端的业务层与通信层之间的报文信息，将所述报文信息传送给所述报文预处理子模块，并接收所述报文预处理子模块发回的报文信息；

所述安全模块驱动将报文信息发送到所述主控芯片，所示主控芯片通过策略管理接口调用安全策略配置；然后通过报文处理接口调用报文过滤子模块，所述报文过滤子模块获取报文信息对应的应用协议，判断所述报文信息对应的应用协议是否满足安全策略配置，如果满足，则将报文信息发送到国密算法加密芯片进行处理，并将处理完成的报文信息送回到所述报文截取子模块；否则，则将所述报文信息进行过滤。

6.如权利要求1所述的用于配电终端通信的安全加密认证模块，其特征在于还包括电力专用加密芯片；

当所述主控芯片接收到以电力专用算法处理的报文信息时，报文信息将被发送到所述电力专用加密芯片进行加密/解密处理，将加密/解密处理后的报文信息返回所述主控芯片。

7.如权利要求1所述的用于配电终端通信的安全加密认证模块，其特征在于还包括LED显示单元；

所述LED显示单元通过LED灯的开关来显示主控芯片、国密算法加密芯片以及所述电力专用加密芯片的当前工作状态，确定所述主控芯片、所述国密算法加密芯片以及所述电力专用加密芯片是否正确运行。

8.一种用于配电终端通信的安全加密认证方法，基于权利要求1～8中任意一项所述的安全加密认证模块实现，其特征在于包括如下步骤：

S1，安全加密认证模块与配电安全交互网关采用非对称密钥执行双向认证进行会话密钥协商；

S2，通过会话密钥进行加密通信，安全加密认证模块将截取到配电主站前置机的报文信息进行解密后发送给配电终端；将截取到配电终端的报文信息进行加密后发送给配电主站前置机；

S3，设定时间阈值，当通信时间到达时间阈值后，重复步骤S1～S2。

9.如权利要求8所述的用于配电终端通信的安全加密认证方法，其特征在于：

在步骤S1中，配电主站前置机与配电终端建立通信连接之后，配电终端的安全接口软件获取通过配电终端接收的配电主站前置机的报文信息，将报文信息发送到安全加密认证模块；安全加密认证模块的报文过滤子模块获取报文信息对应的应用协议，判断所述报文信息对应的应用协议是否满足安全策略配置，如果满足，则则将报文信息发送到国密算法加密芯片进行处理，并将处理完成的报文信息送回到返回给安全接口软件；否则，将所述报文信息进行过滤。

10.如权利要求8所述的用于配电终端通信的安全加密认证方法，其特征在于在步骤S1中，所述安全加密认证模块与配电主站前置机采用非对称密钥执行双向认证进行会话密钥协商，包括如下步骤：

S11，安全加密认证模块在初始化时生成非对称密钥对，导出证书请求，签发证书后，将公钥证书导入配电安全交互网关；

S12，将配电安全交互网关的公钥证书和配电主站单向认证的公钥导入到安全加密认证模块中；

S13，配电安全交互网关生成一个带有随机数的“协商请求”报文，使用配电安全交互网关的私钥对所述“协商请求”报文进行签名，并发送到配电终端；S14，配电终端中的安全接口软件获取“协商请求”报文后，发送给安全加密认证模块，所述安全加密认证模块使用配电安全交互网关公钥证书中的公钥对“协商请求”报文进行签名验证，生成一个带有随机数的“协商响应”报文，使用安全加密认证模块的私钥进行签名，并传送到安全接口软件，通过配电终端发送到配电主站；

S15，配电安全交互网关截获“协商响应”报文，使用安全加密认证模块的公钥对“协商响应”报文进行签名验证，生成“协商成功”报文，使用配电安全交互网关的私钥进行签名，并发送到配电终端；

S16，安全接口软件截获“协商成功”报文，发送给安全加密认证模块，使用配电安全交互网关公钥证书中的公钥对“协商成功”报文进行签名验证；

S17，安全加密认证模块与配电安全交互网关利用协商获取的两个随机数生成会话密钥。