(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210073656.0 (22)申请日 2022.01.21 (71)申请人 华北电力大 学 地址 102206 北京市昌平区回龙观北农路2 号 (72)发明人 吴克河　张继宇　程瑞　程伟　 崔文超　 (74)专利代理 机构 南京中律知识产权代理事务 所(普通合伙) 32341 专利代理师 李建芳 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/12(2022.01) H04L 67/141(2022.01)H04L 69/163(2022.01) (54)发明名称 一种基于SDP的新型电力业务终端的安全接 入系统 (57)摘要 本发明公开了一种基于SDP的新型电力业务 终端的安全接入系统， 包括以下步骤： 1： 向SDP 控 制器发送SPA数据包， 并使用SM9算法进行签名； 2： SDP控制器对于接收到的SPA数据包进行验签 处理， 验签通过后， 通知终端建立TCP连接； 3： 建 立TCP连接后， 发送接入请求信息； 4： 判断终端是 否完成SPA授权， 对于完成授权终端， 利用其SPA 包中的随机数R1生成会话标识IDS， 同时SDP控制 器向网关侧发送接入终端的身份信息IDIH和本 次接入请求的会话标识IDS； 5： 终端根据接入响 应数据包中的服务信息Service_List与对应网 关的端口建立TCP连接， 并完成身份认证； 6： 利用 利用接入终端的身份信息IDIH形成会话密钥， 建 立双向加密隧道。 上述方法显著降低了攻击的成 功率， 明显减轻了计算和通信压力， 保障了通信 的安全性。 权利要求书2页 说明书5页 附图1页 CN 114553430 A 2022.05.27 CN 114553430 A 1.一种基于S DP的新型电力业 务终端的安全接入方法， 其特 征在于： 包括以下步骤： 步骤1： 当新型电力业务终端上线后， 向SDP控制器发送SPA数据包， SPA即单包授权， 其 中包括时间戳与设备指纹的密文， 并使用SM9算法进行签名； 步骤2： SDP控制器对于接收到的SPA数据包进行验签处理， 验签通过后， 通知终端建立 TCP连接； 步骤3： 建立TCP连接后， 发送接入请求信息； 步骤4： SDP控制器收到终端的接入请求之后， 判断终端是否完成SPA授权， 对于完成授 权终端， 利用其SPA包中的随机数R1生成会话标识IDS， 同时SDP控制器向网关侧发送接入终 端的身份信息IDIH和本次接入请求的会话标识IDS； 步骤5： 终端根据接入响应数据包中的服务信息Service_List与对应网关的端口建立 TCP连接， 并完成身份认证； 步骤6： 利用利用接入终端的身份信息IDIH形成会话密钥， 建立双向加密隧道。 2.如权利要求1所述的基于SDP的新型电力业务终端的安全接入方法， 其特征在于： 步 骤1中， 设备指纹IDIH由主体属性、 环境属性和客体属性构成。 3.如权利要求2所述的基于SDP的新型电力业务终端的安全接入方法， 其特征在于： 步 骤1中， 连接发起主机IH使用预置的SDP控制器标识IDSDP对随机数R1和时间戳Time  Stamp进 行SM9非对称加密得到密 文C1＝Enc(R1||TimeStamp， IDSDP)， 其中Enc()为 非对称加密算法， 并对密文C1及报文头的哈希值做SM9数字签名得到S1＝Sign(Hash(type||subtype|| IDIH|| C1)， SKIH)其中typ e代表类型即SPA数据包、 subtype即子类型、 SKIH即连接发起主机的私钥， Hash()哈希算法使用SM3算法， Sign()为签名算法， 最后得到完整的SPA数据包(type|| subtype||IDIH||C1||S1)， type代表类型即SPA数据包、 subtype即子类型， IDIH代表设备指 纹， C1代表时间戳的密文， S1代表对密文C1及报文头的哈希值做数字签名得到的签名值， 并 基于UDP协议发送给S DP控制器。 4.如权利要求1 ‑3任意一项所述的基于SDP的新型电力业务终端的安全接入方法， 其特 征在于： 步骤2中， SDP控制器对于接收到的SPA数据包进行验签处理， 通过使用自身私钥 SKSDP对数据包做SM9解密， 得到随机数R1和时间戳， 并根据SPA数据包中的时间戳信息判断 数据新鲜度， 对于超时的数据包直接做丢弃处理， 随后根据管理策略动态开放防火墙端口 并利用ICMP协议发送消息(type||subtype||C2||S2)到终端通知 其建立TCP连接， 其中type 代表类型即SPA数据包、 subtype即子类型， 其中密文C2＝Enc(Port||T imeStamp,IDIH)， 其中 Enc()为非对称加密算法， Port代表端口号， Time  Stamp代表时间戳， IDIH代表设备指纹， 其 中S2＝Sign(Hash(type||subtype||C2),SKSDP)， Sign()为签名算法， Hash()为哈希算 法， C2 代表由非对称加密算法生成的密文， type代表类型即SPA数据包， subtype即子类型， SKSDP即 为私钥。 5.如权利要求1 ‑3任意一项所述的基于SDP的新型电力业务终端的安全接入方法， 其特 征在于： 步骤3： 终端收到SDP控制器的通知消息后， 根据消息中的端口发起TCP连接、 并发送 接入请求信息， 表示连接发起主机IH已经就 绪、 并希望加入S DP控制器的信任管理列表。 6.如权利要求1 ‑3任意一项所述的基于SDP的新型电力业务终端的安全接入方法， 其特 征在于： 步骤4： SDP控制器收到终端的接入请求之后， 判断终端 是否完成SPA授权， 对于完成 授权终端， 利用其SPA包中的随机数R1生成会话标识IDS， 用于唯一标识本次终端接入行为，权　利　要　求　书 1/2 页 2 CN 114553430 A 2并向终端 发送接入允许数据包(type||subtype||length||C3||S3)， type代表类型即SPA数 据包， subtype即子类型， length代表长度， 其中密文C3＝Enc(Service_List||IDS|| TimeStamp， IDIH)， 其中Enc()为非对称加密算法， Service_List可用服务列 表， 通常形式为 一个JSON格式的服务数组， 包括端口、 IP地址、 服务名称等， IDS为会话标识， Time  Stamp代 表时间戳， IDIH代表设备指纹， 并计算S3＝Sign(Hash(type||subtype||length||C3)， SKSDP)， Sign()为签名算法， H ash()为哈希算法， type代表类型即SPA数据包， subtype即子 类型， length代表长度， C3代表经过非对称加密算法生成的密文， SKSDP代表自身的私钥； 同 时SDP控制器向网关侧发送接入终端的身份信息IDIH和本次接入请求的会话标识IDS， 用于 后续的会话密钥生成， 同时通知网关此终端已完成单包授权操作。 7.如权利要求1 ‑3任意一项所述的基于SDP的新型电力业务终端的安全接入方法， 其特 征在于： 步骤5： 终端收到来自SDP控制器的接入响应信息后， 根据接入响应数据包中的服务 信息Service_List与对应网关的端口建立TCP连接， 并据自身设备指 纹IDIH与会话标识IDS 进行异或运算合成会话密钥 并使用SM3算法对会话密钥DK1进行哈希运算 得到M1＝SM3(DK1)并发送(type||subtype||length||IDIH||TimeStamp||M1)发送给网关侧， 其中type代表类型即SPA数据包， subtype即子类型， length代表长度， IDIH代表设备指纹， TimeStamp代 表时间戳， M1代表对会话密钥进行哈希运 算的得到的哈希值。 8.如权利要求1 ‑3任意一项所述的基于SDP的新型电力业务终端的安全接入方法， 其特 征在于： 步骤6： 网关侧在收到来自SDP控制器的终端接入通过通知后， 利用接入终端的身份 信息IDIH和本次接入请求的会话标识 IDS合成会话密钥 使用SM3算法对会话 密钥DK2进行哈希运算得到哈希值M2＝SM3(DK2)， 在收到来自终端侧的会话密钥哈希值M1 后， 将M1与M2进行比对， 若一致， 则最终会话密钥DK1＝DK2， 否则网关上报SDP控制器并关闭 TCP连接。权　利　要　求　书 2/2 页 3 CN 114553430 A 3