买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：华北电力大学

摘要：本发明公开了一种基于SDP的电力业务终端的安全接入系统，包括以下步骤：1：向SDP控制器发送SPA数据包，并使用SM9算法进行签名；2：SDP控制器对于接收到的SPA数据包进行验签处理，验签通过后，通知终端建立TCP连接；3：建立TCP连接后，发送接入请求信息；4：判断终端是否完成SPA授权，对于完成授权终端，利用其SPA包中的随机数R1生成会话标识IDS，同时SDP控制器向网关侧发送接入终端的身份信息IDIH和本次接入请求的会话标识IDS；5：终端根据接入响应数据包中的服务信息Service_List与对应网关的端口建立TCP连接，并完成身份认证；6：利用利用接入终端的身份信息IDIH形成会话密钥，建立双向加密隧道。上述方法显著降低了攻击的成功率，明显减轻了计算和通信压力，保障了通信的安全性。

主权项：1.一种基于SDP的电力业务终端的安全接入方法，其特征在于：包括以下步骤：步骤1：当电力业务终端上线后，向SDP控制器发送SPA数据包，SPA即单包授权，其中包括时间戳与设备指纹的密文，并使用SM9算法进行签名；设备指纹IDIH由主体属性、环境属性和客体属性构成，连接发起主机IH使用预置的SDP控制器标识IDSDP对随机数R1和时间戳TimeStamp进行SM9非对称加密得到密文C1＝EncR1||TimeStamp，IDSDP，其中Enc为非对称加密算法，并对密文C1及报文头的哈希值做SM9数字签名得到S1＝SignHashtype||subtype||IDIH||C1，SKIH其中type代表类型即SPA数据包、subtype即子类型、SKIH即连接发起主机的私钥，Hash哈希算法使用SM3算法，Sign为签名算法，最后得到完整的SPA数据包type||subtype||IDIH||C1||S1，IDIH代表设备指纹，C1代表时间戳的密文，S1代表对密文C1及报文头的哈希值做数字签名得到的签名值，并基于UDP协议发送给SDP控制器；步骤2：SDP控制器对于接收到的SPA数据包进行验签处理，通过使用自身私钥SKSDP对数据包做SM9解密得到随机数R1和时间戳，并根据SPA数据包中的时间戳信息判断数据新鲜度，对于超时的数据包直接做丢弃处理，随后根据管理策略动态开放防火墙端口并利用ICMP协议发送消息type||subtype||C2||S2到终端通知其建立TCP连接，其中密文C2＝EncPort||TimeStamp,IDIH，其中Enc为非对称加密算法，Port代表端口号，TimeStamp代表时间戳，其中S2＝SignHashtype||subtype||C2,SKSDP，C2代表由非对称加密算法生成的密文，SKSDP代表自身的私钥；步骤3：建立TCP连接后，发送接入请求信息；步骤4：SDP控制器收到终端的接入请求之后，判断终端是否完成SPA授权，对于完成授权终端利用其SPA包中的随机数R1生成会话标识IDS用于唯一标识本次终端接入行为，并向终端发送接入允许数据包type||subtype||length||C3||S3，length代表长度，其中密文C3＝EncService_List||IDS||TimeStamp，IDIH，其中Service_List可用服务列表，通常形式为一个JSON格式的服务数组，包括端口、IP地址和服务名称，IDS为会话标识，并计算S3＝SignHashtype||subtype||length||C3，SKSDP，C3代表经过非对称加密算法生成的密文，SKSDP代表自身的私钥；同时SDP控制器向网关侧发送接入终端的身份信息IDIH和本次接入请求的会话标识IDS，用于后续的会话密钥生成，同时通知网关此终端已完成单包授权操作；步骤5：终端收到来自SDP控制器的接入响应信息后，根据接入响应数据包中的服务信息Service_List与对应网关的端口建立TCP连接，并据自身设备指纹IDIH与会话标识IDS进行异或运算合成会话密钥并使用SM3算法对会话密钥DK1进行哈希运算得到M1＝SM3DK1并发送type||subtype||length||IDIH||TimeStamp||M1给网关侧，其中M1代表对会话密钥进行哈希运算的得到的哈希值；步骤6：网关侧在收到来自SDP控制器的终端接入通过通知后，利用接入终端的身份信息IDIH和本次接入请求的会话标识IDS合成会话密钥使用SM3算法对会话密钥DK2进行哈希运算得到哈希值M2＝SM3DK2，在收到来自终端侧的会话密钥哈希值M1后，将M1与M2进行比对，若一致，则最终会话密钥DK1＝DK2，否则网关上报SDP控制器并关闭TCP连接。

全文数据：

权利要求：

百度查询： 华北电力大学 一种基于SDP的电力业务终端的安全接入系统