熱量表遠程抄表系統(tǒng)及該系統(tǒng)實現(xiàn)可信增強的方法
【專利摘要】本發(fā)明公開了一種熱量表遠程抄表系統(tǒng)及該系統(tǒng)實現(xiàn)可信增強的方法,所述系統(tǒng)包括采集層����、傳輸層和應用層,所述采集層����,包括各個樓宇的熱量表�,用于采集用戶計費熱量,所述熱量表包括完整性表征模塊和關鍵數(shù)據(jù)隨機加密模塊��;傳輸層�,包括負責一個或多個樓宇的區(qū)域管理器FMU,用于接收來自于采集層的計費熱量����,并將所述熱量傳輸至服務器;所述區(qū)域管理器FMU包括熱量表完整性監(jiān)控模塊��、熱量表關鍵數(shù)據(jù)保護模塊和熱量表可信信息融合模塊����;應用層,包括應用服務器和數(shù)據(jù)服務器�����,用于存儲顯示所有用戶熱量使用情況;所述應用服務器包括熱量表可信信息顯示客戶端和動態(tài)身份認證模塊��;所述數(shù)據(jù)服務器包括可信信息存儲模塊�。
【專利說明】熱量表遠程抄表系統(tǒng)及該系統(tǒng)實現(xiàn)可信增強的方法
【技術領域】
[0001]本發(fā)明涉及熱量表遠程抄表系統(tǒng)及可信增強的方法,尤其涉及一種具有動態(tài)完整性認證���、關鍵數(shù)據(jù)保護�、基于數(shù)字指紋特征的動態(tài)口令身份認證功能的熱量表遠程抄表系統(tǒng)及該系統(tǒng)實現(xiàn)可信增強的方法����。
【背景技術】
[0002]能源控制系統(tǒng)是一種典型工業(yè)控制系統(tǒng),隨著電表�����、水表�、熱量表等遠程抄表系統(tǒng)新形勢下儀表設備的不斷智能化,網(wǎng)絡技術�、通訊技術高速發(fā)展,并廣泛應用于大大小小控制系統(tǒng)中���,智能儀表及遠程控制系統(tǒng)的安全性問題日益嚴峻����。
[0003]現(xiàn)有熱量表遠程抄表系統(tǒng)主要由采集層、傳輸層���、應用層組成�,其中采集層包括各個樓宇安裝的熱量表����,傳輸層為區(qū)域管理器,一個區(qū)域管理器負責一棟或幾棟樓宇的熱量表數(shù)據(jù)采集����,應用層包括應用服務器和數(shù)據(jù)服務器�。目前實際應用中在實現(xiàn)基本遠程抄表功能基礎上,采集層���、應用層還沒有采取相關防范安全措施����,傳輸層也鮮有采用加解密方式����。這使得現(xiàn)有系統(tǒng)傳輸?shù)年P鍵數(shù)據(jù)(如用戶用于計費的熱量)受到嚴重威脅��,黑客很容易利用硬件篡改���、數(shù)據(jù)竊聽、數(shù)據(jù)篡改�、數(shù)據(jù)重放、用戶非法登錄����、病毒侵犯等攻擊手段對系統(tǒng)造成直接的利益損害。
[0004]在已有專利申請中也有考慮到以上部分安全技術問題���,如申請日為2014年02月19日�����,申請?zhí)枮?01410056104.4的一種遠程安全抄表方法�,該發(fā)明專利指出現(xiàn)有的遠程抄表系統(tǒng)沒有一套完整安全保障機制�����,并提出通過安裝安全模塊來對設備進行身份認證和數(shù)據(jù)加密����。加密密鑰是根據(jù)唯一 ID編號確定��,屬于靜態(tài)密鑰��,容易遭受密鑰分析進行窮舉法和基于已知明文攻擊��,對于黑客來講這種防范措施完全不需要破解密鑰�����,運用監(jiān)聽技術�����,通過重放攻擊就可以擊潰這個系統(tǒng)���。
[0005]綜上所述,現(xiàn)有熱量表遠程抄表系統(tǒng)應用過程中沒有采取相關安全措施來保障關鍵數(shù)據(jù)安全�����,即使有相關專利也考慮到該問題����,但采取防范措施不能滿足日益復雜的破解方法,因此一種新的可信增強方法亟待出現(xiàn)�。
【發(fā)明內(nèi)容】
[0006]為解決上述技術問題,本發(fā)明的目的是提供一種熱量表遠程抄表系統(tǒng)及該系統(tǒng)實現(xiàn)可信增強的方法����,該系統(tǒng)和該系統(tǒng)實現(xiàn)可信增強的方法通過熱量表動態(tài)完整性驗證、關鍵數(shù)據(jù)隨機加密保護���、基于數(shù)字指紋特征的動態(tài)口令身份認證來提高熱量表遠程抄表系統(tǒng)的可信性����,有效防范黑客對該系統(tǒng)進行硬件篡改��、數(shù)據(jù)重放�、用戶非法登錄等攻擊。
[0007]本發(fā)明的目的通過以下的技術方案來實現(xiàn):
[0008]熱量表遠程抄表系統(tǒng)�����,包括采集層�、傳輸層和應用層,所述
[0009]采集層��,包括各個樓宇的熱量表�����,用于采集用戶計費熱量,所述熱量表包括完整性表征模塊和關鍵數(shù)據(jù)隨機加密模塊�����;
[0010]傳輸層��,包括負責一個或多個樓宇的區(qū)域管理器FMU����,用于接收來自于采集層的計費熱量,并將所述熱量傳輸至服務器���;所述區(qū)域管理器FMU包括熱量表完整性監(jiān)控模塊�、熱量表關鍵數(shù)據(jù)保護模塊和熱量表可信信息融合模塊���;
[0011]應用層����,包括應用服務器和數(shù)據(jù)服務器�����,用于存儲顯示所有用戶熱量使用情況��;所述應用服務器包括熱量表可信信息顯示客戶端和動態(tài)身份認證模塊���;所述數(shù)據(jù)服務器包括可信信息存儲模塊���。
[0012]熱量表遠程抄表系統(tǒng)實現(xiàn)可信增強的方法,包括:
[0013]由區(qū)域管理器FMU向負責區(qū)域內(nèi)所有熱量表發(fā)出完整性驗證請求�;
[0014]熱量表收到完整性驗證請求后生成隨機化動態(tài)節(jié)點標識特征碼作為完整性證據(jù)回復給區(qū)域管理器FMU;
[0015]區(qū)域管理器FMU向完整性證據(jù)驗證成功的熱量表發(fā)出熱量數(shù)據(jù)請求,對完整性證據(jù)驗證失敗的熱量表不執(zhí)行命令���,并做下標識����;
[0016]熱量表收到熱量數(shù)據(jù)請求后將熱量數(shù)據(jù)生成隨機化數(shù)據(jù)密文�����,并回復給區(qū)域管理器 FMU �;
[0017]區(qū)域管理器FMU解密隨機化數(shù)據(jù)密文為明文后和隨機化動態(tài)節(jié)點標識特征碼融合成可信信息并存儲;
[0018]數(shù)據(jù)服務器向區(qū)域管理器搜集可信信息并存儲��。
[0019]與現(xiàn)有技術相比����,本發(fā)明的一個或多個實施例可以具有如下優(yōu)點:
[0020]1���、結合數(shù)字指紋技術與動態(tài)口令技術,增強身份認證安全性��,避免挑戰(zhàn)\應答口令認證交互復雜性����,及時間同步口令認證難以鑒別時間戳提供者身份問題,利用指紋特征及時間戳動態(tài)因子�,實現(xiàn)動態(tài)口令生成,有效防止口令竊取與身份重放攻擊���。
[0021]2�、通過給予熱量表節(jié)點密鑰�、隨機密鑰等附加屬性,與熱量表唯一地址編號屬性進行融合����,得出隨機化動態(tài)節(jié)點標識特征碼,對其進行動態(tài)完整性表征與驗證����,將以前的靜態(tài)不變完整性證據(jù)轉為動態(tài)隨機化����,增加破解難度����,有效防范完整性重放攻擊��。
[0022]3��、對熱量表關鍵數(shù)據(jù)進行隨機加密形成隨機化數(shù)據(jù)密文傳輸����,實現(xiàn)關鍵數(shù)據(jù)保護功能。
【專利附圖】
【附圖說明】
[0023]附圖用來提供對本發(fā)明的進一步理解��,并且構成說明書的一部分�,與本發(fā)明的實施例共同用于解釋本發(fā)明,并不構成對本發(fā)明的限制���。在附圖中:
[0024]圖1是熱量表遠程抄表系統(tǒng)框圖��;
[0025]圖2是熱量表完整性表征與驗證示意圖��;
[0026]圖3是熱量表關鍵數(shù)據(jù)保護流程圖���;
[0027]圖4是基于數(shù)字指紋特征的動態(tài)口令身份認證框圖�。
【具體實施方式】
[0028]為使本發(fā)明的目的��、技術方案和優(yōu)點更加清楚����,下面將結合實施例及附圖對本發(fā)明作進一步詳細的描述。
[0029]如圖1所示��,本發(fā)明實施例提供了一種熱量表遠程抄表系統(tǒng)可信增強系統(tǒng)框圖���,包括:采集層����、傳輸層�����、應用層���。
[0030]所述采集層�,包括各個樓宇的熱量表,用來采集用戶計費熱量��。所述熱量表包括完整性表征模塊�����、關鍵數(shù)據(jù)隨機加密模塊����,其中完整性表征模塊�����,用于將熱量表唯一地址編號賦予節(jié)點密鑰���、隨機密鑰等賦予屬性��,通過節(jié)點不變屬性融合算法產(chǎn)生隨機化動態(tài)節(jié)點標識特征碼作為完整性證據(jù)�����;關鍵數(shù)據(jù)隨機加密模塊�,用于將熱量表關鍵數(shù)據(jù)(熱量值)賦予隨機密鑰屬性���,通過對稱加密算法形成隨機化數(shù)據(jù)密文來上傳���。
[0031]所述傳輸層����,包括負責一個或者多個樓宇的區(qū)域管理器FMU�����,用來接收來自采集層的計費熱量���,以及將其上傳至服務器���。所述區(qū)域管理器FMU包括熱量表完整性監(jiān)控模塊、熱量表關鍵數(shù)據(jù)保護模塊�����、熱量表可信信息融合模塊���,其中熱量表完整性監(jiān)控模塊����,用于每隔時間t驗證FMU負責區(qū)域的熱量表產(chǎn)生的完整性證據(jù);熱量表關鍵數(shù)據(jù)保護模塊���,用于解密來自熱量表的隨機化數(shù)據(jù)密文為數(shù)據(jù)明文��;熱量表可信信息融合模塊���,用于將完整性證據(jù)、數(shù)據(jù)明文通過融合算法形成可信信息存儲并等待上傳至服務器����。
[0032]所述應用層��,包括應用服務器�、數(shù)據(jù)服務器,用來存儲顯示所有用戶熱量使用情況�,管理員可登錄、查看��、管理��、維護相關信息�����。所述應用服務器包括熱量表可信信息顯示客戶端、動態(tài)身份認證模塊��,其中熱量表可信信息顯示客戶端����,用于顯示可信信息,便于管理員管理維護�����;動態(tài)身份認證模塊����,結合數(shù)字指紋技術與動態(tài)口令技術,融合指紋特征��、時間戳動態(tài)因子�����、用戶口令�����,實現(xiàn)動態(tài)口令生成���,管理員在規(guī)定時間戳TlMd_in內(nèi)通過驗證便可成功登錄���。所述數(shù)據(jù)服務器包括可信信息存儲模塊�,其中可信信息存儲模塊用于存儲可信信息���,并生成可信日志���。
[0033]上述模塊中實現(xiàn)熱量表動態(tài)完整性驗證整個流程由標號①虛框模塊協(xié)同作用完成,實現(xiàn)關鍵數(shù)據(jù)隨機加密保護整個流程由標號②虛框模塊協(xié)同作用完成�����,實現(xiàn)可信信息融合����、存儲�、顯示整個流程由標號③虛框模塊協(xié)同作用完成,實現(xiàn)基于數(shù)字指紋特征的動態(tài)口令身份認證整個流程由標號④虛框模塊協(xié)同作用完成����。
[0034]如圖2所示,本發(fā)明實施例提供了熱量表完整性表征與驗證示意圖����,區(qū)域管理器FMU每隔時間t進行現(xiàn)場節(jié)點完整性監(jiān)控�����,向負責區(qū)域內(nèi)所有熱量表發(fā)出完整性驗證請求��。熱量表在收到完整性驗證請求后將熱量表唯一地址編號賦予節(jié)點密鑰�、隨機密鑰等賦予屬性�����,通過節(jié)點不變屬性融合算法產(chǎn)生隨機化動態(tài)節(jié)點標識特征碼作為完整性證據(jù)回復給區(qū)域管理器FMU��,F(xiàn)MU將其與預存的現(xiàn)場節(jié)點信息庫中的節(jié)點完整性信息比較分析���,最后給出完整性驗證結果�,將驗證結果存儲到熱量表信息庫中���。
[0035]如圖3所示�,本發(fā)明實施例提供了熱量表關鍵數(shù)據(jù)保護流程圖���,區(qū)域管理器FMU在進行完整性認證后�����,對驗證成功的熱量表發(fā)出熱量請求�,熱量表在接收到熱量請求后,分析請求命令�,計算熱量值,生成隨機密鑰�,將熱量值賦予隨機密鑰屬性,融合成隨機化數(shù)據(jù)密文����,并發(fā)送給FMU。FMU接收隨機化數(shù)據(jù)密文����,并將其解密為明文,和完整性證據(jù)一起融合成可信信息并存儲并等待上傳至服務器��。
[0036]如圖4所示�,本發(fā)明實施例提供了基于數(shù)字指紋特征的動態(tài)口令身份認證框圖��,應用服務器提取管理員指紋采集的指紋特征與用戶口令Hash值和時間戳動態(tài)因子進行Hash后發(fā)送到數(shù)據(jù)服務器進行認證�。數(shù)據(jù)服務器在時間戳TlMd_in內(nèi)從指紋特征庫中提取指紋特征和口令散列值、時間戳動態(tài)因子進行Hash進行對比�,將認證結果發(fā)回給應用服務器��。
[0037]雖然本發(fā)明所揭露的實施方式如上�����,但所述的內(nèi)容只是為了便于理解本發(fā)明而采用的實施方式����,并非用以限定本發(fā)明����。任何本發(fā)明所屬【技術領域】內(nèi)的技術人員,在不脫離本發(fā)明所揭露的精神和范圍的前提下�,可以在實施的形式上及細節(jié)上作任何的修改與變化,但本發(fā)明的專利保護范圍�����,仍須以所附的權利要求書所界定的范圍為準��。
【權利要求】
1.熱量表遠程抄表系統(tǒng)�,其特征在于,所述系統(tǒng)包括采集層�����、傳輸層和應用層,所述 采集層���,包括各個樓宇的熱量表���,用于采集用戶計費熱量,所述熱量表包括完整性表征模塊和關鍵數(shù)據(jù)隨機加密模塊���; 傳輸層��,包括負責一個或多個樓宇的區(qū)域管理器FMU��,用于接收來自于采集層的計費熱量�����,并將所述熱量傳輸至服務器���;所述區(qū)域管理器FMU包括熱量表完整性監(jiān)控模塊、熱量表關鍵數(shù)據(jù)保護模塊和熱量表可信信息融合模塊����; 應用層,包括應用服務器和數(shù)據(jù)服務器�,用于存儲顯示所有用戶熱量使用情況;所述應用服務器包括熱量表可信信息顯示客戶端和動態(tài)身份認證模塊�;所述數(shù)據(jù)服務器包括可信信息存儲模塊。
2.根據(jù)權利要求1所述的熱量表遠程抄表系統(tǒng)�����,其特征在于���,所述 完整性表征模塊��,將熱量表唯一地址編號賦予節(jié)點密鑰和隨機密鑰���,通過節(jié)點不變屬性融合算法產(chǎn)生隨機化動態(tài)節(jié)點標識特征碼; 關鍵數(shù)據(jù)隨機加密模塊����,將熱量表關鍵數(shù)據(jù)即熱量值賦予隨機密鑰,通過對稱加密算法形成隨機化數(shù)據(jù)密文�。
3.根據(jù)權利要求1所述的熱量表遠程抄表系統(tǒng),其特征在于�,所述 熱量表完整性監(jiān)控模塊,用于驗證熱量表隨機化動態(tài)節(jié)點標識特征碼�����; 熱量表關鍵數(shù)據(jù)保護模塊,用于解密熱量表隨機化數(shù)據(jù)密文為明文�; 熱量表可信信息融合模塊,用于將隨機化動態(tài)節(jié)點標識特征碼����、隨機化數(shù)據(jù)明文通過融合算法形成可信信息。
4.根據(jù)權利要求1所述的熱量表遠程抄表系統(tǒng)�,其特征在于,所述 熱量表可信信息顯示客戶端�,用戶顯示可信信息,便于管理員管理維護���; 動態(tài)身份認證模塊��,結合數(shù)字指紋技術與動態(tài)口令技術��,融合指紋特征�、時間戳動態(tài)因子����、用戶口令,實現(xiàn)動態(tài)口令生成���,在規(guī)定時間戳Tload-1n內(nèi)通過驗證便可成功登錄�����。
5.根據(jù)權利要求1所述的熱量表遠程抄表系統(tǒng)��,其特征在于����,所述可信信息存儲模塊用于存儲可信信息��,并生成可信日志�����。
6.熱量表遠程抄表系統(tǒng)實現(xiàn)可信增強的方法�����,其特征在于�����,所述方法包括: 由區(qū)域管理器FMU向負責區(qū)域內(nèi)所有熱量表發(fā)出完整性驗證請求�; 熱量表收到完整性驗證請求后生成隨機化動態(tài)節(jié)點標識特征碼作為完整性證據(jù)回復給區(qū)域管理器FMU; 區(qū)域管理器FMU向完整性證據(jù)驗證成功的熱量表發(fā)出熱量數(shù)據(jù)請求�,對完整性證據(jù)驗證失敗的熱量表不執(zhí)行命令��,并做下標識����; 熱量表收到熱量數(shù)據(jù)請求后將熱量數(shù)據(jù)生成隨機化數(shù)據(jù)密文,并回復給區(qū)域管理器FMU �; 區(qū)域管理器FMU解密隨機化數(shù)據(jù)密文為明文后和隨機化動態(tài)節(jié)點標識特征碼融合成可信信息并存儲; 數(shù)據(jù)服務器向區(qū)域管理器搜集可信信息并存儲�����。
7.熱量表遠程抄表系統(tǒng)實現(xiàn)可信增強的方法�,其特征在于, 所述熱量表包括完整性表征模塊和關鍵數(shù)據(jù)隨機加密模塊�����; 所述區(qū)域管理器FMU包括熱量表完整性監(jiān)控模塊���、熱量表關鍵數(shù)據(jù)保護模塊和熱量表可信信息融合模塊�;所述數(shù)據(jù)服務器包括可信信息存儲模塊��。
【文檔編號】G06F21/32GK104270252SQ201410548616
【公開日】2015年1月7日 申請日期:2014年10月16日 優(yōu)先權日:2014年10月16日
【發(fā)明者】譚文勝 申請人:廣州柏誠智能科技有限公司