(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210995778.5 (22)申请日 2022.08.19 (71)申请人 南京华盾电力 信息安全测评有限公 司 地址 210000 江苏省南京市 鼓楼区新模范 马路38号 (72)发明人 张五一　江楠　汤敏杰　刘雪梅　 田叶　邓峰　杨乘胜　蒋啸　 (74)专利代理 机构 北京思创大成知识产权代理 有限公司 1 1614 专利代理师 高爽 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种新能源平台终端安全接入认证方法及 系统 (57)摘要 本发明提供一种新能源平台终端安全接入 认证方法及系统， 属于电力物联网通信技术领 域， 方法包括： 监听现场侧的终端设备并接收终 端设备的认证请求； 通过IKE协议建立数据安全 传输通道将终端设备的认证请求通过加密认证 后发送至 所场站侧； 风机监控系统根据接入认证 请求向数字证书管理平台申请终端设备的数字 证书并签发； 现场侧安全接入认证装置识别终端 设备的设备类型， 将终端设备的数字证书下载至 USBKey设备中或同步导入至现场侧安全接入认 证装置和风机监控系统的资产管 理装置。 杜绝终 端设备直接从数字证书管理平台请求下发数字 证书， 减少外部设备违规接入造成的被攻击破坏 而导致数据泄露的风险， 实现现场侧终端设备的 安全接入和认证 。 权利要求书2页 说明书7页 附图3页 CN 115086085 A 2022.09.20 CN 115086085 A 1.一种新能源平台终端安全接入认证方法， 其特征在于， 所述新能源平台包括通信连 接的场站侧和现场侧， 所述场站侧的风机监控系统与所述现场侧的终端设备通过场站侧安 全接入认证装置和现场侧安全接入认证装置通信连接， 所述方法包括： 步骤S1： 所述现场侧安全接入认证装置监 听所述现场侧的终端设备并接收所述终端设 备的认证请求； 步骤S2： 通过IKE协议建立数据安全传输通道将所述终端设备的认证请求通过加密认 证后发送至所场站侧安全接入认证装置； 步骤S3： 所述场站侧安全接入认证装置解密接入认证请求， 所述风机监控系统根据所 述接入认证请求向数字证书管理平台申请所述终端设备的数字证书并为所述终端设备签 发数字证书； 步骤S4： 所述现场侧安全接入认证装置识别所述终端设备的设备类型， 当所述终端设 备的设备类型为运维终端 时， 将所述终端设备的数字证书下载至USBKey设备中， 当所述终 端设备的设备类型为风机PLC时， 将所述终端设备的数字证书同步导入至所述现场侧 安全 接入认证装置和所述 风机监控系统的资产管理装置 。 2.根据权利要求1所述新能源平台终端安全接入认证方法， 其特征在于， 所述步骤S2包 括： 步骤S21： 接收所述认证请求后触发所述现场侧安全接入认证装置启动IK协商； 步骤S22： 通过数字签名对所述现场侧安全接入认证装置和所述场站侧安全接入认证 装置进行相互身份认证； 步骤S23： 所述现场侧安全接入认证装置与所述场站侧安全接入认证装置利用相互身 份认证的信息建立数据安全传输通道； 步骤S24： 在 所述数据 安全传输通道上协商IPSec参数， 按协商好的所述IPSec参数对所 述认证请求进行加密和HASH运 算后发送至所场站侧安全接入认证装置 。 3.根据权利要求2所述新 能源平台终端安全接入认证方法， 其特征在于， 所述数据安全 传输通道为 IPSec隧道或VPN隧道。 4.根据权利要求2所述新能源平台终端安全接入认证方法， 其特征在于， 所述协商 IPSec参数包括： 加密算法、 Hash算法、 通道安全协议、 封装 模式和通道存活时间。 5.根据权利要求1所述新能源平台终端安全接入认证方法， 其特征在于， 所述步骤S1 中， 将请求接入的所述终端设备的端口号和通配IP地址绑定到对应服务器端的套接字接 口， 由所述套接字接口调用所述现场侧 安全接入认证装置的端口监听， 接受所述终端设备 的认证请求。 6.根据权利 要求1所述新能源平台终端安全接入认证方法， 其特征在于， 所述USBKey设 备包括指纹KEY管 理模块， 所述指纹KEY管 理模块用于录入运维人员的指纹并与所述USBKey 设备绑定， 设备终端安全接入认证方法还 包括以下步骤： 当所述运维终端发起认证请求， 所述现场侧安全接入认证装置生成随机数R发送至所 述指纹KEY管理模块， 所述指纹KEY管理模块对随机数R进行签名后发送签名值至所述现场 侧安全接入认证装置， 所述现场侧安全接入认证装置向所述场站侧请求查询对应的数字证 书根据所述签名值进行认证， 若认证通过， 则所述现场侧 安全接入认证装置允许运维端口 与所述运维终端连通， 若认证不通过， 则所述现场侧 安全接入认证装置保持运维端口不连权　利　要　求　书 1/2 页 2 CN 115086085 A 2通。 7.根据权利 要求1所述新能源平台终端安全接入认证方法， 其特征在于， 在所述USBKey 设备中预置所述数字证书管理平台的根证书。 8.根据权利要求1所述新 能源平台终端安全接入认证方法， 其特征在于， 将所述终端设 备的数字证书下载至USBKey设备中时， 按照特定安全接口下载时间戳到所述USBKey设备 中。 9.一种新能源平台终端安全接入认证系统， 其特征在于， 所述系统包括通信连接的场 站侧和现场侧， 所述现场侧包括通信连接的现场侧 安全接入认证装置和多个终端设备， 所 述场站侧包括通信连接的风机监控系统、 场站侧 安全接入认证装置和数字证书管理平台， 所述现场侧安全接入认证装置和所述场站侧安全接入认证装置通过IKE协 议建立数据安全 传输通道； 所述现场侧安全接入认证装置用于监听所述终端设备并接收所述终端设备的认证请 求； 所述数据安全传输通道用于对所述认证请求进行加密认证； 所述场站侧安全接入认证装置用于解密接入认证请求并将所述接入认证请求发送至 所述风机监控系统； 所述风机监控系统用于根据所述接入认证请求向数字证书管理平台申请所述终端设 备的数字证书并为所述终端设备签发数字证书； 所述现场侧安全接入认证装置还用于识别所述终端设备的设备类型并根据所述设备 类型将所述终端设备的数字证书下载至USBKey设备或 同步导入至所述现场侧安全接入认 证装置和所述 风机监控系统的资产管理装置 。 10.根据权利要求9所述新能源平台终端安全接入认证系统， 其特征在于， 所述风机监 控系统还包括数据库， 所述风机监控系统在所述 终端设备首次接入时收集所述终端设备的 设备信息并将其存储在所述数据库中， 所述设备信息包括设备编号、 设备硬件地址、 终端设 备数字证书、 认证服 务器设备号、 设备时间戳。权　利　要　求　书 2/2 页 3 CN 115086085 A 3