(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111638712.2 (22)申请日 2021.12.3 0 (71)申请人 广西电网有限责任公司电力科 学研 究院 地址 530023 广西壮 族自治区南宁市 兴宁 区民主路6 -2号 申请人 南方电网数字电网研究院有限公司 (72)发明人 周柯　金庆忍　习伟　姚浩　 莫枝阅　王晓明　李肖博　蔡田田　 于杨　冯起辉　王泽宇　 (74)专利代理 机构 南宁东智知识产权代理事务 所(特殊普通 合伙) 45117 代理人 黎华艳　裴康明 (51)Int.Cl. H04L 9/40(2022.01)H04L 12/46(2006.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种电力专用CPU芯片网络层数据隧道建立 方法 (57)摘要 本发明公开了一种电力专用CPU芯片网络层 数据隧道建立方法， 涉及电力技术领域， 利用 IPsec系统在电力终端与加密 认证网关之间建立 专用IPsec隧道， 通过所述IPsec隧道进行网络层 数据安全传输， 通过IPsec隧道进行通信， 从而使 得主站与电力终端交互之前， 可以通过ESP隧道 对加密认证网关与电力终端进行双向身份认证 与数据传输安全加固， 从而解决了现有系统主站 与电力终端之间的数据传输不够安全的缺 点。 权利要求书2页 说明书5页 附图1页 CN 114422205 A 2022.04.29 CN 114422205 A 1.一种电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 利用IPsec系 统在电 力终端与加密认证网关之间建立专用IPsec隧道， 通过所述IPsec隧道进行网络层数据安全 传输， IPsec隧道建立包括以下步骤： 电力终端发送建议的安全联盟载荷至加密认证网关； 当加密认证网关确 认所述安全联盟载荷后， 返回接受 的安全联盟载荷建议和网关证书 至电力终端； 在所述电力终端接收到安全联盟载荷建议和网关证书后， 生成第一阶段秘钥， 并发送 至加密认证网关； 所述加密认证网关接收到 到第一阶段秘钥后， 生成第二阶段秘钥， 并发送至电力终端； 验证生成两个阶段的秘钥中的数据的哈希值， 通过所述哈希值的验证过程完成数据的 交换， 完成入向流 量和出向流 量的会话密钥生成； 电力终端和加密认证网关使用 所述会话密钥建立ESP隧道， 通过所述ESP隧道进行通 信。 2.根据权利要求1所述的 电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 所 述电力终端接 收到安全联盟载荷建议和网关证书后， 生成第一阶段秘钥， 并发送至加密认 证网关， 具体包括： 在所述电力终端接收到安全联盟载荷 建议和网关证书后， 电力终端将 终端身份信 息和 终端随机数使用终端临时秘钥加密得到终端身份信息密 文和终端随机数密文， 将所述终端 临时密钥通过所述网关证书中的公钥加密得到临时秘钥密文， 将所述终端身份信息密文、 终端随机数密文以及临时终端秘钥密文一并进行 数字签名后发送给加密认证网关。 3.根据权利要求1所述的 电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 所 述加密认证网关接收到到第一阶段秘钥后， 生 成第二阶段秘钥， 并发送至电力终端， 具体包 括： 所述加密认证网关接收到到第一阶段秘钥后， 验证接收数据中的数字签名， 当签名正 确后解密数据， 将网关身份信息和网关随机数使用网关临时密钥加密得到网关身份密文和 网关随机数密文， 将所述网关临时密钥使用终端证书中的公钥加密得到临时网关秘钥密 文， 将所述网关身份密文、 网关随机数密文以及临时网关秘钥密文一并进行数字签名后发 送给电力终端。 4.根据权利要求1所述的 电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 验 证生成两个阶段的秘钥中的数据的哈希值， 通过所述哈希值的验证过程完成数据的交换， 完成入向流 量和出向流 量的会话密钥生成， 具体包括： 所述电力终端验证第一阶段秘钥数据的哈希值， 并加密发送至加密认证网关； 所述加密认证网关验证第二阶段秘钥的哈希值， 并加密发送至电力终端； 所述电力终端验证两个所述哈希值， 并计算新的哈希值并加密后发送给加密认证网 关。 5.根据权利要求4所述的 电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 所 述电力终端验证第一阶段秘钥数据的哈希值， 并加密发送至加密认证网关， 具体包括： 所述电力终端使用伪随机函数对认证密钥、 随机数、 SA、 终端ID计算新的哈希值并加密 后发送给加密认证网关。权　利　要　求　书 1/2 页 2 CN 114422205 A 26.根据权利要求4所述的 电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 所 述加密认证网关验证第二阶段秘钥的哈希值， 并加密发送至电力终端， 具体包括： 所述加密认证网关使用伪随机函数对认证密钥、 随机数、 SA、 网关ID计算新的哈希值并 加密后发送给电力终端。 7.根据权利要求4所述的 电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 所 述电力终端验证两个所述哈希值， 并计算新的哈希值并加密后发送给加密认证网关， 具体 包括： 所述电力终端验证两个所述哈希值， 使用伪随机函数对认证密钥、 随机数、 终端ID计算 新的哈希值并加密后发送给加密认证网关。 8.根据权利要求1所述的 电力专用CPU芯片网络层数据隧道建立方法， 其特征在于， 在 主站与电力终端交互之前， 通过所述IPsec隧道进行加密认证网关与电力终端的双向身份 认证与数据传输安全加固。权　利　要　求　书 2/2 页 3 CN 114422205 A 3