(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211042348.8 (22)申请日 2022.08.29 (71)申请人 中国南方电网有限责任公司 地址 510623 广东省广州市萝岗科 学城科 翔路11号 (72)发明人 郑茂然　丁晓兵　余江　许艾　 高宏慧　蒋纬纬　史泽兵　徐延明　 张静伟　李维　陈朝辉　徐锐　 彭业　武芳瑛　田得良　张福雪　 贺红资　黄浩　黄智华　 (74)专利代理 机构 北京智绘未来专利代理事务 所(普通合伙) 11689 专利代理师 肖继军 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/08(2006.01) (54)发明名称 一种基于数字认证技术的变电站安全通信 方法及系统 (57)摘要 一种基于数字认证技术的变电站安全通信 方法及系统， 方法包括： 基于国密算法和调度数 字证书， 根据公钥基础设施进行变电站设备间通 信的双向身份认 证； 基于双向身份认证中的公钥 数字签名算法与公钥加密算法， 通过计算得到相 同的随机数作为变电站设备间通信的加密会话 密钥， 即实现密钥协商； 应用加密会话密钥与国 密算法对业务数据进行加解密操作。 本发明在协 议的应用层实现基于国密算法与调度证书的双 向身份认证； 在传输层实现基于国密算法与调度 证书的全链路加密与认证， 确保传输数据报文防 伪造、 防抵赖与防窃取， 保护数据报文的机密性 和完整性。 权利要求书2页 说明书6页 附图2页 CN 115529138 A 2022.12.27 CN 115529138 A 1.一种基于数字认证技 术的变电站安全通信方法， 其特 征在于， 所述方法包括： 步骤1， 采用国密算法和调度 数字证书， 基于公钥基础 设施进行变电站设备间通信的双 向身份认证； 双向身份认证时， 应用客户端调度数字证书的私钥通过国密算法签名Utc   time以生成第一签名值， 应用客户端调度数字证书的公钥通过国密算法验证第一签名值， 应用服务端调度数字证书的私钥通过国密算法签名Utc  time以生 成第二签名值， 应用服务 端调度数字证书的公钥通过国密算法验证第二签名值； 若双向身份认证通过则进入步骤2， 否则重复步骤1； 步骤2， 在双向身份认证基础上， 客户端生成随机数并通过调度数字证书对随机数加 密， 当服务端通过调度数字证书解密得到相同的随机数时， 以随机数作为变电站设备间通 信的加密会话密钥； 步骤3， 应用加密会话密钥与国密算法对变电站设备间通信的业务数据进行加解密操 作。 2.根据权利要1所述的基于数字认证技 术的变电站安全通信方法， 其特 征在于， 步骤1中使用的国密算法包括SM2； 步骤3中使用的国密算法包括SM4。 3.根据权利要2所示的基于数字认证技 术的变电站安全通信方法， 其特 征在于， 步骤1包括： 步骤1.1， 变电站设备间通信的客户端和服 务端完成TCP连接； 步骤1.2， 客户端准备请求报文和组织认证参数； 客户端对调度数字证书和签名时间 Utc time进行编码， 并应用客户端调度数字证书的私钥 通过国密算法签名Utc  time， 以生 成第一签名值c_signValue； 向服 务端发送带第一签名值c_signValue的请求报文； 步骤1.3， 服务端收到请求报文后， 采用根证书验证客户端调度数字证书 的合法性， 并 应用客户端调度数字证书的公钥通过国密算法验证第一签名值c_signV alue； 若第一签名 值c_signValue验证通过， 则进入步骤1.4， 否则返回步骤1.2； 其中， 根证书签发生成客户端调度数字证书和服 务端调度数字证书； 步骤1.4， 服务端组织响应报文， 应用服务端调度数字证书的私钥通过国密算法签名 Utc time， 以生成第 二签名值s_signValue； 向客户端发送带第 二签名值s_signValue的响 应报文； 步骤1.5， 客户端收到响应报文后， 采用根证书验证服务端调度数字证书 的合法性， 并 应用服务端调度数字证书的公钥通过国密算法验证第二签名值s_signV alue； 若第二签名 值s_signValue验证通过， 则双向身份认证通过， 否则返回步骤1.2。 4.根据权利要3所述的基于数字认证技 术的变电站安全通信方法， 其特 征在于， 安全通信时， 认证参数中携带签名后的调度数字证书。 5.根据权利要4所述的基于数字认证技 术的变电站安全通信方法， 其特 征在于， 步骤1中， 客户端将客户端签名赋值到调度 数字证书中， 服务端在验证客户端调度 数字 证书的合法性后， 将服 务端签名赋值到调度数字证书中。 6.根据权利要4所述的基于数字认证技 术的变电站安全通信方法， 其特 征在于， 签名时间Utc  Time是认证参数生成的， 签名时间的精度小于1秒。 7.根据权利要6所述的基于数字认证技 术的变电站安全通信方法， 其特 征在于，权　利　要　求　书 1/2 页 2 CN 115529138 A 2服务端对第一签名值验证或客户端对第二签名值验证时， 只对签名时间进行签名。 8.根据权利要3所述的基于数字认证技 术的变电站安全通信方法， 其特 征在于， 步骤2包括： 步骤2.1， 客户端生成随机数R1， 并通过服务端调度数字证书加密生成密文Cr1， 再用客 户端调度数字证书的私钥对Cr1签名生成SCr1， 将Cr1与SCr1拼接后发到服 务端； 步骤2.2， 服务端收到Cr1与SCr1拼接的数据后， 用客户端调度数字证书验证Cr3与SCr3拼 接的数据； 验证通过后， 再用服 务端调度数字证书的私钥解密Cr1得R1， 返回确认信息； 步骤2.3， 客户端的服 务端应用R1作为变电站设备间通信的加密会话密钥。 9.根据权利要8所示的基于数字认证技 术的变电站安全通信方法， 其特 征在于， 随机数R1为16字节的数字 。 10.一种基于数字认证技术的变电站安全通信系统， 用于实现权利要求1至9任一项所 述的一种基于数字认证技 术的变电站安全通信方法， 其特 征在于， 所述系统包括： 安全身份认证模块， 密钥协商模块， 数据加密模块； 安全身份认证模块， 用于采用国密算法和调度数字证书， 基于公钥基础设施进行变电 站设备间通信的双向身份认证； 安全身份认证模块包括： 客户端签名值单元， 服务端签名值 单元； 客户端签名值单元， 用于双向身份认证时， 应用客户端调 度数字证书的私钥通过国密 算法签名Utc  time以生成第一签名值和 应用服务端调度数字证书的公钥通过国密算法验 证第二签名值； 服务端签名值单元， 用于双向身份认证时， 应用客户端调度数字证书的公钥 通过国密算法验证第一签名值和应用服务端调度数字证书的私钥通过国密算法签名Utc   time以生成第二签名值； 密钥协商模块， 用于在双 向身份认证基础上， 客户端生成随机数并通过调度数字证书 对随机数加密， 当服务端通过调度数字证书解密得到相同的随机数时， 以随机数作为变电 站设备间通信的加密会话密钥； 数据加密模块， 应用加密会话密钥与国密算法对变电站设备间通信的业务数据进行加 解密操作。权　利　要　求　书 2/2 页 3 CN 115529138 A 3