(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210992141.0 (22)申请日 2022.08.18 (71)申请人 南方电网数字电网研究院有限公司 地址 510000 广东省广州市黄埔区中新广 州知识城 亿创街1号 406房之86 (72)发明人 杨英杰　李鹏　习伟　蔡田田　 邓清唐　陈波　姚浩　 (74)专利代理 机构 北京高沃 律师事务所 1 1569 专利代理师 韩雪梅 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/12(2022.01) (54)发明名称 用于电力物联网南北向安全加密的边缘计 算方法及平台 (57)摘要 本发明公开了一种用于电力物联网南北向 安全加密的边缘计算方法及平台， 涉及电力物联 网技术领域。 该方法包括： 主站与边缘设备之间 进行身份认证以及确定第一会话密钥； 当主站与 边缘设备的身份认证均通过后， 主站与边缘设备 通过第一会话密钥进行业务数据的加解密传输； 边缘设备对接入的终端设备进行身份认证以及 确定第二会话密钥； 当终端设备的身份认证通过 后， 终端设备通过第二会话密钥对业务数据进行 加密后传输至边缘设备。 本发明在电力物联网 边‑端侧提供了一种轻量级的认证及加解密的方 法， 在云‑边侧提供一种高性能、 高可靠的认证加 密方法， 以实现电力物联网全覆盖的信息安全。 权利要求书3页 说明书10页 附图4页 CN 115085943 A 2022.09.20 CN 115085943 A 1.一种用于电力物联网南北向安全加密的边缘计算方法， 其特征在于， 所述电力物联 网包括主站、 边 缘设备以及终端设备； 所述边缘计算方法包括： 所述主站与所述 边缘设备之间进行身份认证以及确定第一会话密钥； 当所述主站与 所述边缘设备的身份认证均通过后， 所述主站与 所述边缘设备通过第 一 会话密钥进行业 务数据的加解密 传输； 所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥； 当所述终端设备的身份认证通过后， 所述终端设备通过所述第 二会话密钥对业务数据 进行加密后传输 至所述边缘设备。 2.根据权利要求1所述的用于电力物联网南北向安全加密的边缘计算方法， 其特征在 于， 所述主站与所述 边缘设备之间进行身份认证以及确定第一会话密钥， 具体包括： 所述主站启动与所述边缘设备的双向身份认证流程， 将 获取设备信 息指令发送给所述 边缘设备； 所述边缘设备根据所述主站的指令将安全芯片序列号和密钥版本号发送至所述主站； 所述主站根据认证中心存储的安全芯片序列号和密钥版本号对边缘设备发送的安全 芯片序列号和密钥版本号进行有效性验证； 当边缘设备发送的安全芯片序列号和密钥版本号的有 效性通过验证后， 所述主站发送 身份认证信息 至所述边缘设备； 所述边缘设备对所述主站进行身份认证， 当所述主站 的身份认证通过后， 所述边缘设 备发送身份认证信息 至所述主站； 所述主站对所述边缘设备进行身份认证， 当所述边缘设备的身份认证通过后， 所述主 站生成第一会话密钥发送至所述 边缘设备； 所述边缘设备对所述第一会话密钥进行验证。 3.根据权利要求2所述的用于电力物联网南北向安全加密的边缘计算方法， 其特征在 于， 所述主站发送身份认证信息 至所述边缘设备， 具体包括： 所述主站生成第一随机数， 并使用第一主站认证保护密钥对所述第一随机数进行加 密， 生成第一密文； 所述主站使用主站私钥对所述第一密文 进行签名， 得到第一签名结果； 所述主站将所述第一密文、 所述第一签名结果以及主站证书发送至所述 边缘设备。 4.根据权利要求3所述的用于电力物联网南北向安全加密的边缘计算方法， 其特征在 于， 所述边缘设备对 所述主站进 行身份认证， 当所述主站的身份认证通过后， 所述边缘设备 发送身份认证信息 至所述主站， 具体包括： 所述边缘设备使用主站公钥验证所述主站证书以及所述第 一签名结果的有 效性， 来对 所述主站进行身份认证； 所述主站私钥与主站公钥为预置的非对称加密 密钥； 当所述主站的身份认证通过后， 所述边缘设备使用第 二主站认证保护密钥对所述第 一 密文进行解密， 得到解密后的第一随机数， 并生成第二随机数； 所述第一主站认证保护 密钥 与第二主站 认证保护密钥为预置的对称加密 密钥； 所述边缘设备使用第一边缘认证保护密钥对解密后的第一随机数和所述第二随机数 进行加密， 得到第二密文；权　利　要　求　书 1/3 页 2 CN 115085943 A 2所述边缘设备使用边 缘私钥对所述第二密文 进行签名， 得到第二签名结果； 所述边缘设备将所述第二密文、 所述第二签名结果以及边缘设备证书发送至所述主 站。 5.根据权利要求4所述的用于电力物联网南北向安全加密的边缘计算方法， 其特征在 于， 所述主站对所述边缘设备进 行身份认证， 当所述边缘设备的身份认证通过后， 所述主站 生成第一会话密钥发送至所述 边缘设备， 具体包括： 所述主站使用边缘公钥来验证所述边缘设备证书以及所述第 二签名结果的有效性， 来 对所述边缘设备进行身份认证； 所述 边缘私钥与边 缘公钥为预置的非对称加密 密钥； 当所述边缘设备的身份认证通过后， 所述主站使用第 二边缘认证保护密钥对所述第 二 密文进行解密， 来验证所述第一 随机数的有效性； 所述第一边缘认证保护密钥与第二边缘 认证保护密钥为预置的对称加密 密钥； 当所述主站验证所述第一随机数有效后， 使用所述第一随机数、 所述第二随机数和所 述安全芯片序列号 生成密钥因子； 所述主站使用会话密钥保护密钥和所述密钥因子进行密码运 算， 生成第一会话密钥； 所述主站使用边缘公钥对所述第 一会话密钥和所述第 二随机数进行加密， 得到第 三密 文， 并将所述第三密文发送至所述 边缘设备。 6.根据权利要求5所述的用于电力物联网南北向安全加密的边缘计算方法， 其特征在 于， 所述边缘设备对所述第一会话密钥进行验证， 具体包括： 所述边缘设备使用边缘私钥对所述第 三密文进行解密， 得到解密后的第 一会话密钥以 及解密后的第二随机数； 所述边缘设备验证解密后的第二随机数是否正确， 当验证解密后的第二随机数正确 后， 则确定解密后的第一会话密钥正确。 7.根据权利要求1所述的用于电力物联网南北向安全加密的边缘计算方法， 其特征在 于， 所述边缘设备对接入的所述终端设备进行身份认证以及确定第二会话密钥， 具体包括： 所述边缘设备启动与 所述终端设备的身份认证流程， 将 获取设备信 息指令发送给所述 终端设备； 所述终端设备生成第三随机数； 所述终端设备根据所述边缘设备的指令将 终端设备证书、 所述第 三随机数以及所述终 端设备支持的对称加密算法列表发送至所述 边缘设备； 所述边缘设备通过比对从认证中心获取的终端设备证书和所述终端设备发送的终端 设备证书， 来对所述终端设备进行身份认证； 当所述终端设备通过身份认证后， 所述边缘设备生成第 四随机数， 并从所述对称加密 算法列表中选择 出所述终端设备以及所述 边缘设备均支持的对称加密算法； 所述边缘设备将所述第四随机数、 所述对称加密算法以及边缘设备证书发送至所述终 端设备； 所述终端设备生成第五随机数； 所述终端设备使用所述对称加密算法对所述第 三随机数、 所述第四随机数以及第五 随 机数进行加密， 得到第二会话密钥； 所述终端设备使用所述边缘设备证书中的边缘公钥对所述第四随机数以及所述第二权　利　要　求　书 2/3 页 3 CN 115085943 A 3