基于边缘计算的智能变电站安全通信方法及系统与流程

1.本发明涉及智能变电站安全通信技术领域，特别地，涉及一种基于边缘计算的智能变电站安全通信方法及系统、电子设备、计算机可读取的存储介质。


背景技术：

2.随着新型电力系统的建设与发展，基于iec 61850标准的智能变电站正在朝着网络化、智能化、透明化的方向不断推进，极大地提高了智能变电站的操作性与兼容性。然而，由于信息层与物理层的高度耦合，给通信网络的安全稳定运行带来了极大隐患，使得电力网络遭受恶意攻击的可能性越来越高，智能变电站已成为网络攻防对抗的关键场所。iec 62351标准的颁布为智能变电站的通信安全问题提供了解决方向，但安全防护措施的应用必然导致计算效率降低和通信延迟增加，进而降低了通信报文的实时性，而通信超时将会造成决策失误、事态扩大等恶劣影响。因此，需要在通信报文的安全防护策略中平衡实时效率与安全等级。虽然现有研究已为智能变电站通信业务的安全交付和实时响应探索了有效的方向，但仍然存在诸多不足之处，一方面，现有研究多数基于国际密码体系开展，存在被后门攻击利用的安全隐患，另一方面，对通信报文的安全需求考虑不够全面以及缺乏应对网络攻击的有效防御策略。


技术实现要素：

3.本发明提供了一种基于边缘计算的智能变电站安全通信方法及系统、电子设备、计算机可读取的存储介质，以解决现有智能变电站通信无法满足高安全性且低延时响应的技术问题。
4.根据本发明的一个方面，提供一种基于边缘计算的智能变电站安全通信方法，包括以下内容：
5.为智能变电站配置边缘服务器以提供代理服务；
6.将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；
7.将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；
8.对报文主体与边缘服务器执行不对称双向身份验证，若认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；
9.根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器，边缘服务器对接收的报文任务进行代理计算。
10.进一步地，所述将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册的过程包括以下内容：
11.通过每个子域中的一台终端设备发送包含自身身份标识的注册请求至对应的边缘服务器，边缘服务器基于第三方可信机构的公钥、终端设备的身份标识和边缘服务器的
身份标识进行加密计算生成密文后发送给第三方可信机构，请求对终端设备的合法性进行验证；
12.第三方可信机构对终端设备的身份标识和边缘服务器的身份标识验证通过后，向边缘服务器分发其与该子域多台终端设备的共享密钥，并基于第三密钥对中的公钥、自身身份标识、共享密钥进行加密计算生成密文后发送给边缘服务器，并将共享密钥存储至自身数据库中；
13.边缘服务器接收到密文后利用第三密钥对中的私钥进行解密，恢复出共享密钥，并根据自身代理的终端设备数量对共享密钥执行分片操作，将其分割成多个共享子密钥，为对应子域中的每个终端设备各分配一个共享子密钥，并为每个终端设备配置一个影子身份标识；
14.根据边缘服务器代理的终端设备数量从边缘服务器的身份标识中提取出对应数量的标识片段，基于共享子密钥和标识片段计算得到哈希身份标识，通过安全信道将影子身份标识、共享子密钥和哈希身份标识合并后对应发送至不同的终端设备，并基于影子身份标识、共享子密钥、哈希身份标识和终端设备的身份标识生成注册信息表存储在自身数据库中；
15.终端设备接收到其对应的影子身份标识、共享子密钥和哈希身份标识后，利用其私密口令和身份标识计算得到用户身份验证码，基于共享子密钥对其身份标识进行加密计算得到身份密文信息，并基于用户身份验证码和共享子密钥计算共享子密钥变体，并将共享子密钥变体、用户身份验证码、影子身份标识、身份密文信息和哈希身份标识关联存储在自身数据库中。
16.进一步地，所述对报文主体与边缘服务器执行不对称双向身份验证的过程具体为：
17.在用户输入自己的用户名和口令后计算得到用户身份信息码，对比用户身份信息码与用户身份验证码是否相同，若相同则用户身份验证通过，并基于用户身份信息码和共享子密钥变体恢复得到共享子密钥；
18.终端设备基于身份密文信息和共享子密钥生成密钥密文信息，并提取当前时间戳，将影子身份标识、密钥密文信息、身份密文信息和当前时间戳合并生成设备身份验证码后发送给边缘服务器；
19.边缘服务器接收到设备身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则基于影子身份标识从自身数据库中查找得到对应的共享子密钥，并基于查找得到的共享子密钥和接收到的身份密文信息计算密钥验证信息，对比密钥验证信息和密钥密文信息是否相同，若相同则基于共享子密钥和身份密文信息进行解密，得到终端设备的身份标识，并判断终端设备的身份标识是否属于注册信息表中的合法设备，若属于则对终端设备的身份验证通过；
20.边缘服务器基于存储的哈希身份标识和共享子密钥计算得到服务器身份信息，并提取当前时间戳，将哈希身份标识、服务器身份信息和当前时间戳合并为服务器身份验证码后发送给终端设备；
21.终端设备接收到服务器身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则比对接收的哈希身份标识与自身存储的哈希身份标识是否相
同，若相同则使用自身存储的共享子密钥和哈希身份标识计算得到服务器身份验证信息，比对服务器身份验证信息和接收到的服务器身份信息是否相同，若相同则对服务器的身份验证通过。
22.进一步地，所述为智能变电站配置边缘服务器以提供代理服务的过程具体为：
23.将智能变电站通信网络划分成不同的子域，每个子域通过配置防御资源形成安全防护边界，对于每一个子域，为其配置边缘服务器以提供代理服务。
24.进一步地，所述将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册的过程具体为：
25.每个终端设备发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断终端设备合法后为其随机生成用于加解密的第一密钥对和用于签名与验证的第二密钥对；
26.第三方可信机构提取自身公钥，并将第一密钥对、第二密钥对和自身公钥合并为第一身份注册码发送给终端设备，并将第一密钥对、第二密钥对和终端设备的身份标识关联存储在自身数据库中；
27.每个边缘服务器发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断边缘服务器合法后为其随机生成第三密钥对；
28.第三方可信机构提取自身公钥，并将第三密钥对和自身公钥合并为第二身份注册码发送给边缘服务器，并将第三密钥对和边缘服务器的身份标识关联存储在自身数据库中。
29.进一步地，所述根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器的过程具体为：
30.根据安全报文的安全属性组成，报文主体采用时序逻辑模型对安全报文进行切割形成具有单一安全属性且可独自卸载决策的子报文；
31.根据子报文的特殊安全属性，报文主体基于报文计算卸载模型进行卸载决策，将决策结果中需要代理计算的报文任务发送到边缘服务器。
32.进一步地，所述边缘服务器对接收的报文任务进行代理计算的过程具体为：
33.边缘服务器接收到来自报文主体的请求报文任务后，按照基于动态优先级的队列等待模型将其放入等待队列中；
34.边缘服务器依次调取并根据计算需求代理处理队列中的请求报文任务；
35.边缘服务器将处理结果回传至对应的报文主体，完成代理计算服务；
36.报文主体接收边缘服务器反馈的全部代理结果和完成自身处理的报文任务后，按照时序逻辑模型的逆过程恢复原始的完整安全报文。
37.另外，本发明还提供一种基于边缘计算的智能变电站安全通信系统，包括：
38.边缘服务器配置模块，用于为智能变电站配置边缘服务器以提供代理服务；
39.第一身份注册模块，用于将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；
40.第二身份注册模块，用于将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；
41.双向身份验证模块，用于对报文主体与边缘服务器执行不对称双向身份验证，若
认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；
42.报文任务发送模块，用于根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器。
43.另外，本发明还提供一种电子设备，包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器通过调用所述存储器中存储的所述计算机程序，用于执行如上所述的方法的步骤。
44.另外，本发明还提供一种计算机可读取的存储介质，用于存储基于边缘计算进行智能变电站安全通信的计算机程序，所述计算机程序在计算机上运行时执行如上所述的方法的步骤。
45.本发明具有以下效果：
46.本发明的基于边缘计算的智能变电站安全通信方法，提出了基于边缘计算的智能变电站安全通信策略，引入边缘计算中采用服务器代理计算的模式，为资源受限的终端设备提供共享的代理计算服务，弥补了终端设备性能不足的劣势，大大减少了终端设备处理安全报文的时间，可以很好地满足通信报文的高规格延迟要求。同时，针对边缘服务器和终端设备的接入风险管控问题，提出了一种轻量级的双向身份认证协议，安全风险低、实时认证效率高且具有轻量化属性，更适用于变电站收发时敏业务主体与边缘服务器的实时交互。并且，考虑到服务器风险等级较低且性能较高、而终端设备风险等级高且性能较低的特点，提出了对服务器进行弱认证、对终端设备进行强认证的不对称双向认证模式，减少了终端设备的计算负担，提高了认证效率。
47.另外，本发明的基于边缘计算的智能变电站安全通信系统同样具有上述优点。
48.除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照图，对本发明作进一步详细的说明。
附图说明
49.构成本技术的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
50.图1是本发明优选实施例的基于边缘计算的智能变电站安全通信方法的流程示意图。
51.图2是图1中步骤s2的子流程示意图。
52.图3是本发明优选实施例中终端设备和边缘服务器在第三方可信机构中进行身份注册的数据流示意图。
53.图4是图1中步骤s3的子流程示意图。
54.图5是本发明优选实施例中终端设备在边缘服务器中进行身份注册的数据流示意图。
55.图6是图1中步骤s4的子流程示意图。
56.图7是本发明优选实施例中终端设备和边缘服务器进行双向身份验证的数据流示意图。
57.图8是图1中步骤s5的子流程示意图。
58.图9是图1中步骤s5的另一子流程示意图。
59.图10是本发明优选实施例的基于边缘计算的智能变电站安全通信系统的模块结构示意图。
具体实施方式
60.以下结合附图对本发明的实施例进行详细说明，但是本发明可以由下述所限定和覆盖的多种不同方式实施。
61.可以理解，如图1所示，本发明的优选实施例提供一种基于边缘计算的智能变电站安全通信方法，包括以下内容：
62.步骤s1：为智能变电站配置边缘服务器以提供代理服务；
63.步骤s2：将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；
64.步骤s3：将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；
65.步骤s4：对报文主体与边缘服务器执行不对称双向身份验证，若认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；
66.步骤s5：根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器，边缘服务器对接收的报文任务进行代理计算。
67.可以理解，本实施例的基于边缘计算的智能变电站安全通信方法，提出了基于边缘计算的智能变电站安全通信策略，引入边缘计算中采用服务器代理计算的模式，为资源受限的终端设备提供共享的代理计算服务，弥补了终端设备性能不足的劣势，大大减少了终端设备处理安全报文的时间，可以很好地满足通信报文的高规格延迟要求。同时，针对边缘服务器和终端设备的接入风险管控问题，提出了一种轻量级的双向身份认证协议，安全风险低、实时认证效率高且具有轻量化属性，更适用于变电站收发时敏业务主体(例如如goose业务的主体保护测控设备)与边缘服务器的实时交互。并且，考虑到服务器风险等级较低且性能较高、而终端设备风险等级高且性能较低的特点，提出了对服务器进行弱认证、对终端设备进行强认证的不对称双向认证模式，减少了终端设备的计算负担，提高了认证效率。
68.可选地，在所述步骤s1中，所述为智能变电站配置边缘服务器以提供代理服务的过程具体为：
69.将智能变电站通信网络划分成不同的子域，每个子域通过配置防御资源形成安全防护边界，从而形成相对隔离的通信子网络，对于每一个子域，为其配置边缘服务器以提供代理服务。这样既可以保证为智能变电站通信网络中的每个终端设备提供足够充裕的代理服务，有效降低终端设备处理安全报文的时间，很好地满足通信报文的高规格延迟要求，又可以对整个通信网络进行划区域安全风险管控，有利于提高智能变电站通信网络的整体安全性。可以理解，对于任意一个子域，假设该子域中的边缘服务器s能够提供g种类型的服务，服务类型可表示为s
η
＝{s1,s2,...,sg}，对应的处理速度可表示为v
sη
＝{v
s1
,v
s2
,...,v
sg
}。另外，智能变电站的终端设备集合可表示为r＝{r1,r2,...,rn}，n表示终端设备的数量。其中，智能变电站的终端设备包括mu ied、p&c ied和st ied等。对于任意一个子域中的
任意终端设备ri，假设其参与收发的通信报文为一个综合任务di，其子报文任务表示为d
ij
{i＝1,
…
,n；j＝1,
…
,m}，而子报文任务d
ij
可表示为：d
ij
＝{i
ij
,p
ij
,q
ij
,s
ij
,k
ij
,a
ij
,b
is
,τ
ij
}，其中，i
ij
表示子报文任务d
ij
的身份标识，p
ij
表示子报文任务d
ij
的原始优先级，q
ij
表示子报文任务d
ij
的数据量大小，s
ij
表示子报文任务d
ij
向边缘服务器s请求的服务类型，例如加密、解密、签名、验签等服务，报文的新鲜因子校验和完整性检测等轻量级操作可由终端设备ri自行完成，k
ij
表示边缘服务器s对子报文任务d
ij
进行处理计算使用的密钥，a
ij
表示边缘服务器s对子报文任务d
ij
进行处理计算使用的算法，b
is
表示终端设备ri和边缘服务器s之间的连接带宽，τ
ij
表示子报文任务d
ij
的延时要求。
70.可以理解，如图2所示，在所述步骤s2中，所述将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册的过程具体为：
71.步骤s21：每个终端设备发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断终端设备合法后为其随机生成用于加解密的第一密钥对和用于签名与验证的第二密钥对；
72.步骤s22：第三方可信机构提取自身公钥，并将第一密钥对、第二密钥对和自身公钥合并为第一身份注册码发送给终端设备，并将第一密钥对、第二密钥对和终端设备的身份标识关联存储在自身数据库中；
73.步骤s23：每个边缘服务器发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断边缘服务器合法后为其随机生成第三密钥对；
74.步骤s24：第三方可信机构提取自身公钥，并将第三密钥对和自身公钥合并为第二身份注册码发送给边缘服务器，并将第三密钥对和边缘服务器的身份标识关联存储在自身数据库中。
75.具体地，如图3所示，对于任意一个终端设备ri，生成并发生注册请求到第三方可信机构ta进行身份注册，其中，表示终端设备ri发送的注册请求，ii表示终端设备ri的身份标识，第三方可信机构ta首先判断终端设备ri的身份合法性，然后为终端设备ri随机生成用于加解密的第一密钥对和用于签名与验证的第二密钥对其中，和分别表示终端设备ri的加密密钥和解密密钥，和分别表示终端设备ri的签名密钥和验签密钥。
76.然后，第三方可信机构ta提取自身公钥向终端设备ri发送第一身份注册码并将第一密钥对、第二密钥对和终端设备ri的身份标识关联存储在自身数据库中，具体存储表示为
77.接着，对于任意一个边缘服务器s，生成并发送注册请求到第三方可信机构ta进行身份注册，其中，表示边缘服务器s发送的注册请求，is表示边缘服务器s的身份标识，第三方可信机构ta首先判断边缘服务器s的身份合法性，然后为其随机生成第三密钥对其中，表示公钥，表示私钥。
78.然后，第三方可信机构ta提取自身公钥向边缘服务器s发送第二身份注册码并将第三密钥对和边缘服务器s的身份标识is关联存储在自身数据库中，具体存储表示为
79.可以理解，如图4所示，在所述步骤s3中，所述将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册的过程包括以下内容：
80.步骤s31：通过每个子域中的一台终端设备发送包含自身身份标识的注册请求至对应的边缘服务器，边缘服务器基于第三方可信机构的公钥、终端设备的身份标识和边缘服务器的身份标识进行加密计算生成密文后发送给第三方可信机构，请求对终端设备的合法性进行验证；
81.步骤s32：第三方可信机构对终端设备的身份标识和边缘服务器的身份标识验证通过后，向边缘服务器分发其与该子域多台终端设备的共享密钥，并基于第三密钥对中的公钥、自身身份标识、共享密钥进行加密计算生成密文后发送给边缘服务器，并将共享密钥存储至自身数据库中；
82.步骤s33：边缘服务器接收到密文后利用第三密钥对中的私钥进行解密，恢复出共享密钥，并根据自身代理的终端设备数量对共享密钥执行分片操作，将其分割成多个共享子密钥，为对应子域中的每个终端设备各分配一个共享子密钥，并为每个终端设备配置一个影子身份标识；
83.步骤s34：根据边缘服务器代理的终端设备数量从边缘服务器的身份标识中提取出对应数量的标识片段，基于共享子密钥和标识片段计算得到哈希身份标识，通过安全信道将影子身份标识、共享子密钥和哈希身份标识合并后对应发送至不同的终端设备，并基于影子身份标识、共享子密钥、哈希身份标识和终端设备的身份标识生成注册信息表存储在自身数据库中；
84.步骤s35：终端设备接收到其对应的影子身份标识、共享子密钥和哈希身份标识后，利用其私密口令和身份标识计算得到用户身份验证码，基于共享子密钥对其身份标识进行加密计算得到身份密文信息，并基于用户身份验证码和共享子密钥计算共享子密钥变体，并将共享子密钥变体、用户身份验证码、影子身份标识、身份密文信息和哈希身份标识关联存储在自身数据库中。
85.具体地，如图5所示，通过每个子域中的任意一台终端设备ri发送注册请求和自身身份表示ii到边缘服务器s，边缘服务器s利用第三方可信机构ta的公钥执行加密计算生成密文发送给第三方可信机构，以请求对终端设备ri的身份表示ii的合法性进行验证。
86.第三方可信机构对终端设备的身份标识ii和边缘服务器的身份标识is验证通过后，为边缘服务器分发其与该子域多台终端设备的共享密钥k
si
，并执行加密计算后发送给边缘服务器，自身存储共享密钥k
si
。其中，i
ta
表示第三方可信机构的身份标识。
87.边缘服务器在接收到后，首先调用自身的私钥进行解密，恢复出共享密钥k
si
，接着，根据其代理的终端设备数量n对共享密钥k
si
执行分片操作，可表示为从而得到n个共享子密钥。为每个终端设备ri分配一个共享子密钥并为每个终端设备的身份标识ii配置一个影子身份标识，可表示为
88.然后，根据边缘服务器代理的终端设备数量n从边缘服务器的身份标识is中提取出n个标识片段，标识片段集合表示为并计算对应的哈希身份标识最后，通过安全信道将影子身份标识、共享子密钥和哈希身份标识合并后发送至对应子域中的不同终端设备，例如将对应发送至终端设备ri。并且，边缘服务器将秘密存储注册信息表在自身的数据库中。
89.接着，终端设备ri在接收后，首先输入私密口令wi和自身身份标识ii计算得到用户身份验证码βi，βi＝h(ii||wi)，然后对自身身份标识ii执行加密计算生成身份密文信息：然后，通过异或计算其分配的共享子密钥的变体，得到共享子密钥变体并将共享子密钥变体、用户身份验证码、影子身份标识、身份密文信息和哈希身份标识关联存储在自身数据库中，存储可表示为
90.可以理解，如图6所示，在所述步骤s4中，所述对报文主体与边缘服务器执行不对称双向身份验证的过程具体为：
91.步骤s41：在用户输入自己的用户名和口令后计算得到用户身份信息码，对比用户身份信息码与用户身份验证码是否相同，若相同则用户身份验证通过，并基于用户身份信息码和共享子密钥变体恢复得到共享子密钥；
92.步骤s42：终端设备基于身份密文信息和共享子密钥生成密钥密文信息，并提取当前时间戳，将影子身份标识、密钥密文信息、身份密文信息和当前时间戳合并生成设备身份验证码后发送给边缘服务器；
93.步骤s43：边缘服务器接收到设备身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则基于影子身份标识从自身数据库中查找得到对应的共享子密钥，并基于查找得到的共享子密钥和接收到的身份密文信息计算密钥验证信息，对比密钥验证信息和密钥密文信息是否相同，若相同则基于共享子密钥和身份密文信息进行解密，得到终端设备的身份标识，并判断终端设备的身份标识是否属于注册信息表中的合法设备，若属于则对终端设备的身份验证通过；
94.步骤s44：边缘服务器基于存储的哈希身份标识和共享子密钥计算得到服务器身份信息，并提取当前时间戳，将哈希身份标识、服务器身份信息和当前时间戳合并为服务器身份验证码后发送给终端设备；
95.步骤s45：终端设备接收到服务器身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则比对接收的哈希身份标识与自身存储的哈希身份标识是否相同，若相同则使用自身存储的共享子密钥和哈希身份标识计算得到服务器身份验
证信息，比对服务器身份验证信息和接收到的服务器身份信息是否相同，若相同则对服务器的身份验证通过。
96.具体地，如图7所示，在进行不对称双向身份验证时，先验证终端设备用户身份的合法性，在用户输入自己的用户名i
″i和口令w
′i后先执行哈希计算得到用户身份信息码β
′i，β
′i＝h(i
″i||w
′i)，终端设备ri比对用户身份信息码β
′i与用户身份验证码βi是否相同，若相同则说明用户的身份验证通过。然后，基于用户身份信息码和共享子密钥变体进行异或计算恢复得到共享子密钥，具体表示为：
97.然后，终端设备ri计算或直接调用身份密文信息接着通过哈希计算生成密钥密文信息λi，并提取当前时间戳t
i1
，生成设备身份验证码vi，并发送给边缘服务器。
98.接着边缘服务器验证终端设备ri的身份合法性，边缘服务器接收到设备身份验证码vi后，首先基于接收时间和发送时间的差值判断是否满足网络时延要求，即判断下式是否成立：t
i2-t
i1
≤δti，其中，t
i2
表示边缘服务器的接收时间，δti表示终端设备ri和边缘服务器s之间的网络延时区间。若成立则识别出注册在自身数据库中的影子身份标识并根据影子身份标识查找出相应的共享子密钥再根据共享子密钥和接收到的身份密文信息i
′i进行哈希计算得到密钥验证信息λ
′i，并比较密钥验证信息λ
′i和密钥密文信息λi是否相同，若相同则说明身份密文信息i
′i和密钥验证信息λ
′i均没有遭受篡改。最后，调用共享子密钥对身份密文信息i
′i进行解密运算，即执行恢复得到终端设备ri的身份标识ii，并判断解密得到的身份标识ii是否属于注册信息表中的合法设备，若属于则边缘服务器对终端设备的身份验证通过。
99.在边缘服务器对终端设备的身份验证通过后，边缘服务器生成服务器身份认证码v
si
并发送至终端设备ri，其中，和分别表示边缘服务器的第一身份信息和第二身份信息，t
i3
表示当前时间戳，即第一身份信息为哈希身份标识，即第二身份信息基于哈希身份标识和共享子密钥进行哈希计算得到。
100.终端设备ri在接收到服务器身份认证码v
si
后，先基于接收时间和发送时间的差值判断是否满足网络时延要求，即判断下式是否成立：t
i4-t
i3
≤δti，t
i4
表示终端设备ri的接收时间，若满足则比对接收到的与自身存储的哈希身份标识是否相同，若相同则继续验证，否则停止验证并发出警告。然后，使用自身存储的共享子密钥和接收到的哈希身份标识进行哈希计算得到服务器身份验证信息比对服务器身份验证信息与边缘服务器的第二身份信息是否相同，若相同则说明和没有遭受篡改，即可完成对边缘服务器的验证。
101.可以理解，在本发明的不对称双向身份验证模式中，完成终端设备的身份认证涉
及到一次加解密和两次hash运算，其中，终端设备参与一次加密运算和一次hash运算，但加密运算可以提前完成存放在库中的，用户恢复密钥后即可调用身份密文进行后续计算，不占用实时时间，服务器参与一次解密运算和一次hash运算，由于服务器性能较强，完成此次认证过程的时间开销并不高。而完成服务器的身份认证只涉及到两次hash运算，终端设备和服务器各一次。此外，完成终端用户的身份校验仅涉及到一次hash计算和一次轻量级的异或密钥恢复操作，而异或运算的时间开销相比其他运算可忽略不计，具体运算开销如表1所示。并且，实时认证过程仅使用对称加解密、异或、hash等轻量级运算，实时认证效率更高，具有轻量化属性，更适用于变电站收发时敏业务主体(如goose业务的主体保护测控设备)与边缘服务器的实时交互。另外，考虑到终端设备的安全防护能力较弱，采用了共享密钥变体的方式来存储，待终端用户输入的用户名和指令验证通过后再恢复出真实的共享密钥与边缘服务器进行双向验证，大大降低了密钥泄露的风险，进一步提高了安全防护等级。
102.表1、运算开销表
[0103][0104]
可以理解，如图8所示，在所述步骤s5中，所述根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器的过程具体为：
[0105]
步骤s51：根据安全报文的安全属性组成，报文主体采用时序逻辑模型对安全报文进行切割形成具有单一安全属性且可独自卸载决策的子报文；
[0106]
步骤s52：根据子报文的特殊安全属性，报文主体基于报文计算卸载模型进行卸载决策，将决策结果中需要代理计算的报文任务发送到边缘服务器。
[0107]
可以理解，如图9所示，在所述步骤s5中，所述边缘服务器对接收的报文任务进行代理计算的过程具体为：
[0108]
步骤s501：边缘服务器接收到来自报文主体的请求报文任务后，按照基于动态优先级的队列等待模型将其放入等待队列中；
[0109]
步骤s502：边缘服务器依次调取并根据计算需求代理处理队列中的请求报文任务；
[0110]
步骤s503：边缘服务器将处理结果回传至对应的报文主体，完成代理计算服务；
[0111]
步骤s504：报文主体接收边缘服务器反馈的全部代理结果和完成自身处理的报文任务后，按照时序逻辑模型的逆过程恢复原始的完整安全报文。
[0112]
另外，边缘服务器还会判断攻击区域和非攻击区域的攻击量差异，若攻击区域的攻击幅度明显大于非攻击区域，则判定存在网络供给。
[0113]
另外，如图10所示，本发明的另一实施例还提供一种基于边缘计算的智能变电站安全通信系统，优选采用如上所述的方法，包括：
[0114]
边缘服务器配置模块，用于为智能变电站配置边缘服务器以提供代理服务；
[0115]
第一身份注册模块，用于将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；
[0116]
第二身份注册模块，用于将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；
[0117]
双向身份验证模块，用于对报文主体与边缘服务器执行不对称双向身份验证，若认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；
[0118]
报文任务发送模块，用于根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器。
[0119]
可以理解，本实施例的基于边缘计算的智能变电站安全通信系统，提出了基于边缘计算的智能变电站安全通信策略，引入边缘计算中采用服务器代理计算的模式，为资源受限的终端设备提供共享的代理计算服务，弥补了终端设备性能不足的劣势，大大减少了终端设备处理安全报文的时间，可以很好地满足通信报文的高规格延迟要求。同时，针对边缘服务器和终端设备的接入风险管控问题，提出了一种轻量级的双向身份认证协议，安全风险低、实时认证效率高且具有轻量化属性，更适用于变电站收发时敏业务主体(例如如goose业务的主体保护测控设备)与边缘服务器的实时交互。并且，考虑到服务器风险等级较低且性能较高、而终端设备风险等级高且性能较低的特点，提出了对服务器进行弱认证、对终端设备进行强认证的不对称双向认证模式，减少了终端设备的计算负担，提高了认证效率。
[0120]
另外，本发明的另一实施例还提供一种电子设备，包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器通过调用所述存储器中存储的所述计算机程序，用于执行如上所述的方法的步骤。
[0121]
另外，本发明的另一实施例还提供一种计算机可读取的存储介质，用于存储基于边缘计算进行智能变电站安全通信的计算机程序，所述计算机程序在计算机上运行时执行如上所述的方法的步骤。
[0122]
一般计算机可读取存储介质的形式包括：软盘(floppy disk)、可挠性盘片(flexible disk)、硬盘、磁带、任何其与的磁性介质、cd-rom、任何其余的光学介质、打孔卡片(punch cards)、纸带(paper tape)、任何其余的带有洞的图案的物理介质、随机存取存储器(ram)、可编程只读存储器(prom)、可抹除可编程只读存储器(eprom)、快闪可抹除可编程只读存储器(flash-eprom)、其余任何存储器芯片或卡匣、或任何其余可让计算机读取的介质。指令可进一步被一传输介质所传送或接收。传输介质这一术语可包含任何有形或无形的介质，其可用来存储、编码或承载用来给机器执行的指令，并且包含数字或模拟通信信号或其与促进上述指令的通信的无形介质。传输介质包含同轴电缆、铜线以及光纤，其包含了用来传输一计算机数据信号的总线的导线。
[0123]
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
[0124]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序
产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本技术实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言java和直译式脚本语言javascript等。
[0125]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0126]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0127]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0128]
尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
[0129]
显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种基于边缘计算的智能变电站安全通信方法，其特征在于，包括以下内容：为智能变电站配置边缘服务器以提供代理服务；将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；对报文主体与边缘服务器执行不对称双向身份验证，若认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器，边缘服务器对接收的报文任务进行代理计算。2.如权利要求1所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册的过程包括以下内容：通过每个子域中的一台终端设备发送包含自身身份标识的注册请求至对应的边缘服务器，边缘服务器基于第三方可信机构的公钥、终端设备的身份标识和边缘服务器的身份标识进行加密计算生成密文后发送给第三方可信机构，请求对终端设备的合法性进行验证；第三方可信机构对终端设备的身份标识和边缘服务器的身份标识验证通过后，向边缘服务器分发其与该子域多台终端设备的共享密钥，并基于第三密钥对中的公钥、自身身份标识、共享密钥进行加密计算生成密文后发送给边缘服务器，并将共享密钥存储至自身数据库中；边缘服务器接收到密文后利用第三密钥对中的私钥进行解密，恢复出共享密钥，并根据自身代理的终端设备数量对共享密钥执行分片操作，将其分割成多个共享子密钥，为对应子域中的每个终端设备各分配一个共享子密钥，并为每个终端设备配置一个影子身份标识；根据边缘服务器代理的终端设备数量从边缘服务器的身份标识中提取出对应数量的标识片段，基于共享子密钥和标识片段计算得到哈希身份标识，通过安全信道将影子身份标识、共享子密钥和哈希身份标识合并后对应发送至不同的终端设备，并基于影子身份标识、共享子密钥、哈希身份标识和终端设备的身份标识生成注册信息表存储在自身数据库中；终端设备接收到其对应的影子身份标识、共享子密钥和哈希身份标识后，利用其私密口令和身份标识计算得到用户身份验证码，基于共享子密钥对其身份标识进行加密计算得到身份密文信息，并基于用户身份验证码和共享子密钥计算共享子密钥变体，并将共享子密钥变体、用户身份验证码、影子身份标识、身份密文信息和哈希身份标识关联存储在自身数据库中。3.如权利要求2所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述对报文主体与边缘服务器执行不对称双向身份验证的过程具体为：在用户输入自己的用户名和口令后计算得到用户身份信息码，对比用户身份信息码与用户身份验证码是否相同，若相同则用户身份验证通过，并基于用户身份信息码和共享子密钥变体恢复得到共享子密钥；
终端设备基于身份密文信息和共享子密钥生成密钥密文信息，并提取当前时间戳，将影子身份标识、密钥密文信息、身份密文信息和当前时间戳合并生成设备身份验证码后发送给边缘服务器；边缘服务器接收到设备身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则基于影子身份标识从自身数据库中查找得到对应的共享子密钥，并基于查找得到的共享子密钥和接收到的身份密文信息计算密钥验证信息，对比密钥验证信息和密钥密文信息是否相同，若相同则基于共享子密钥和身份密文信息进行解密，得到终端设备的身份标识，并判断终端设备的身份标识是否属于注册信息表中的合法设备，若属于则对终端设备的身份验证通过；边缘服务器基于存储的哈希身份标识和共享子密钥计算得到服务器身份信息，并提取当前时间戳，将哈希身份标识、服务器身份信息和当前时间戳合并为服务器身份验证码后发送给终端设备；终端设备接收到服务器身份验证码后，基于接收时间和发送时间的差值判断是否满足网络时延要求，若满足则比对接收的哈希身份标识与自身存储的哈希身份标识是否相同，若相同则使用自身存储的共享子密钥和哈希身份标识计算得到服务器身份验证信息，比对服务器身份验证信息和接收到的服务器身份信息是否相同，若相同则对服务器的身份验证通过。4.如权利要求1所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述为智能变电站配置边缘服务器以提供代理服务的过程具体为：将智能变电站通信网络划分成不同的子域，每个子域通过配置防御资源形成安全防护边界，对于每一个子域，为其配置边缘服务器以提供代理服务。5.如权利要求1所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册的过程具体为：每个终端设备发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断终端设备合法后为其随机生成用于加解密的第一密钥对和用于签名与验证的第二密钥对；第三方可信机构提取自身公钥，并将第一密钥对、第二密钥对和自身公钥合并为第一身份注册码发送给终端设备，并将第一密钥对、第二密钥对和终端设备的身份标识关联存储在自身数据库中；每个边缘服务器发送包含自身身份标识的注册请求到第三方可信机构进行身份注册，第三方可信机构在判断边缘服务器合法后为其随机生成第三密钥对；第三方可信机构提取自身公钥，并将第三密钥对和自身公钥合并为第二身份注册码发送给边缘服务器，并将第三密钥对和边缘服务器的身份标识关联存储在自身数据库中。6.如权利要求1所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器的过程具体为：根据安全报文的安全属性组成，报文主体采用时序逻辑模型对安全报文进行切割形成具有单一安全属性且可独自卸载决策的子报文；
根据子报文的特殊安全属性，报文主体基于报文计算卸载模型进行卸载决策，将决策结果中需要代理计算的报文任务发送到边缘服务器。7.如权利要求1所述的基于边缘计算的智能变电站安全通信方法，其特征在于，所述边缘服务器对接收的报文任务进行代理计算的过程具体为：边缘服务器接收到来自报文主体的请求报文任务后，按照基于动态优先级的队列等待模型将其放入等待队列中；边缘服务器依次调取并根据计算需求代理处理队列中的请求报文任务；边缘服务器将处理结果回传至对应的报文主体，完成代理计算服务；报文主体接收边缘服务器反馈的全部代理结果和完成自身处理的报文任务后，按照时序逻辑模型的逆过程恢复原始的完整安全报文。8.一种基于边缘计算的智能变电站安全通信系统，其特征在于，包括：边缘服务器配置模块，用于为智能变电站配置边缘服务器以提供代理服务；第一身份注册模块，用于将边缘服务器和智能变电站的终端设备通过安全信道在第三方可信机构中进行身份注册；第二身份注册模块，用于将每个子域中的多个终端设备通过安全信道在对应的边缘服务器中进行身份注册；双向身份验证模块，用于对报文主体与边缘服务器执行不对称双向身份验证，若认证通过则由边缘服务器启动代理计算服务，若认证失败则由报文主体自行处理报文任务；报文任务发送模块，用于根据报文主体所发送的报文的安全属性组成，将结果中需要代理计算的报文任务发送到边缘服务器。9.一种电子设备，其特征在于，包括处理器和存储器，所述存储器中存储有计算机程序，所述处理器通过调用所述存储器中存储的所述计算机程序，用于执行如权利要求1～7任一项所述的方法的步骤。10.一种计算机可读取的存储介质，用于存储基于边缘计算进行智能变电站安全通信的计算机程序，其特征在于，所述计算机程序在计算机上运行时执行如权利要求1～7任一项所述的方法的步骤。

技术总结
本发明公开了一种基于边缘计算的智能变电站安全通信方法及系统，其提出了基于边缘计算的智能变电站安全通信策略，为资源受限的终端设备提供共享的代理计算服务，大大减少了终端设备处理安全报文的时间，可以很好地满足通信报文的高规格延迟要求。而针对边缘服务器和终端设备的接入风险管控问题，提出了一种轻量级的双向身份认证协议，安全风险低、实时认证效率高且具有轻量化属性，更适用于变电站收发时敏业务主体与边缘服务器的实时交互。并且，考虑到服务器风险等级较低且性能较高、而终端设备风险等级高且性能较低的特点，提出了对服务器进行弱认证、对终端设备进行强认证的不对称双向认证模式，减少了终端设备的计算负担，提高了认证效率。提高了认证效率。提高了认证效率。


技术研发人员：朱宏宇 田建伟 陈乾 林海 宋宇飞 田峥 刘绚 孙毅臻 杨芳僚
受保护的技术使用者：国网湖南省电力有限公司信息通信分公司 国家电网有限公司
技术研发日：2023.06.26
技术公布日：2023/10/7