(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115086085A(43)申请公布日2022.09.20(21)申请号202210995778.5(22)申请日2022.08.19(71)申请人南京华盾电力信息安全测评有限公司地址210000江苏省南京市鼓楼区新模范马路38号(72)发明人张五一江楠汤敏杰刘雪梅田叶邓峰杨乘胜蒋啸(74)专利代理机构北京思创大成知识产权代理有限公司11614专利代理师高爽(51)Int.Cl.H04L9/40(2022.01)H04L9/32(2006.01)权利要求书2页说明书7页附图3页(54)发明名称一种新能源平台终端安全接入认证方法及系统(57)摘要本发明提供一种新能源平台终端安全接入认证方法及系统，属于电力物联网通信技术领域，方法包括：监听现场侧的终端设备并接收终端设备的认证请求；通过IKE协议建立数据安全传输通道将终端设备的认证请求通过加密认证后发送至所场站侧；风机监控系统根据接入认证请求向数字证书管理平台申请终端设备的数字证书并签发；现场侧安全接入认证装置识别终端设备的设备类型，将终端设备的数字证书下载至USBKey设备中或同步导入至现场侧安全接入认证装置和风机监控系统的资产管理装置。杜绝终端设备直接从数字证书管理平台请求下发数字证书，减少外部设备违规接入造成的被攻击破坏而导致数据泄露的风险，实现现场侧终端设备的安全接入和认证。CN115086085ACN115086085A权利要求书1/2页1.一种新能源平台终端安全接入认证方法，其特征在于，所述新能源平台包括通信连接的场站侧和现场侧，所述场站侧的风机监控系统与所述现场侧的终端设备通过场站侧安全接入认证装置和现场侧安全接入认证装置通信连接，所述方法包括：步骤S1：所述现场侧安全接入认证装置监听所述现场侧的终端设备并接收所述终端设备的认证请求；步骤S2：通过IKE协议建立数据安全传输通道将所述终端设备的认证请求通过加密认证后发送至所场站侧安全接入认证装置；步骤S3：所述场站侧安全接入认证装置解密接入认证请求，所述风机监控系统根据所述接入认证请求向数字证书管理平台申请所述终端设备的数字证书并为所述终端设备签发数字证书；步骤S4：所述现场侧安全接入认证装置识别所述终端设备的设备类型，当所述终端设备的设备类型为运维终端时，将所述终端设备的数字证书下载至USBKey设备中，当所述终端设备的设备类型为风机PLC时，将所述终端设备的数字证书同步导入至所述现场侧安全接入认证装置和所述风机监控系统的资产管理装置。2.根据权利要求1所述新能源平台终端安全接入认证方法，其特征在于，所述步骤S2包括：步骤S21：接收所述认证请求后触发所述现场侧安全接入认证装置启动IK协商；步骤S22：通过数字签名对所述现场侧安全接入认证装置和所述场站侧安全接入认证装置进行相互身份认证；步骤S23：所述现场侧安全接入认证装置与所述场站侧安全接入认证装置利用相互身份认证的信息建立数据安全传输通道；步骤S24：在所述数据安全传输通道上协商IPSec参数，按协商好的所述IPSec参数对所述认证请求进行加密和HASH运算后发送至所场站侧安全接入认证装置。3.根据权利要求2所述新能源平台终端安全接入认证方法，其特征在于，所述数据安全传输通道为IPSec隧道或VPN隧道。4.根据权利要求2所述新能源平台终端安全接入认证方法，其特征在于，所述协商IPSec参数包括：加密算法、Hash算法、通道安全协议、封装模式和通道存活时间。5.根据权利要求1所述新能源平台终端安全接入认证方法，其特征在于，所述步骤S1中，将请求接入的所述终端设备的端口号和通配IP地址绑定到对应服务器端的套接字接口，由所述套接字接口调用所述现场侧安全接入认证装置的端口监听，接受所述终端设备的认证请求。6.根据权利要求1所述新能源平台终端安全接入认证方法，其特征在于，所述USBKey设备包括指纹KEY管理模块，所述指纹KEY管理模块用于录入运维人员的指纹并与所述USBKey设备绑定，设备终端安全接入认证方法还包括以下步骤：当所述运维终端发起认证请求，所述现场侧安全接入认证装置生成随机数R发送至所述指纹KEY管理模块，所述指纹KEY管理模块对随机数R进行签名后发送签名值至所述现场侧安全接入认证装置，所述现场侧安全接入认证装置向所述场站侧请求查询对应的数字证书根据所述签名值进行认证，若认证通过，则所述现场侧安全接入认证装置允许运维端口与所述运维终端连通，若认证不通过，则所述现场侧安全接入认证装置保持运维端口不连2CN115086085A权利要求书2/2页通。7.根据权利要求1所述新能源平台终端安全接入认证方法，其特征在于，在所述USBKey设备中预置所述数字证书管理平台的根证书。8.根据权利要求1所述新能源