[发明专利]一种能源控制终端策略文件安全加固方法及系统

说明书

本发明提出了一种能源控制终端策略文件安全加固方法及系统，包括：读取安装策略文件的能源控制终端的CPU识别码和预先生成的策略文件注册码；利用所述CPU识别码对所述策略文件注册码进行解密得到策略认证ID；通过验证所述策略认证ID和预先生成并存储于所述终端上的策略文件认证ID，确定所述能源控制终端是否被授权运行所述策略文件；其中，所述策略文件注册码基于所述策略文件对应的身份认证ID和所述策略终端的CPU识别码生成，解决了能源控制终端设备中的策略文件在未被授权情况下的拷贝运行问题，满足策略安全管理与策略研制最大化解耦需求，降低安全认证信息泄漏风险，降低授权程序由于无法实时在线或认证通信故障而停止服务机率。

技术领域

本发明涉及终端设备侧应用程序文件安全管理技术领域，具体涉及能源控制终端策略文件安全加固方法及系统。

背景技术

随着能源控制终端边缘计算能力的提升，为解决调控时效问题，更多厂家选择将能源优化控制策略打包为独立执行文件在终端中运行，由此产生核心技术安全管理难题，现阶段大多从数据传输加密及终端设备在线安全认证角度解决安全问题，此解决方案一方面使得终端在离线状态下无法正常运行，另一方面无法避免策略文件盗拷至同一型号终端使用的风险。终端策略文件安全加固相关技术逐渐被更厂家重视，但尚未形成成熟方法，仅适用于本厂家策略文件与终端设备的加密绑定，且策略开发与安全认证高内聚，不能独立形成安全加固系统。

为防止终端设备中的应用程序文件在未被授权或通过拷贝手段在另一设备中执行，目前市场上采用在线认证、硬件加密狗认证两种方式。

在线授权认证：要求终端设备实时在线，连线授权认证系统，要求终端设备内执行程序固定周期请求认证或通过认证系统心跳检测等方式实现程序文件合法检验。

硬件加密狗认证：

一种插在计算机并行口上的软硬件结合的加密产品。一般都有几十或几百字节的非易失性存储空间可供读写，终端程序文件通过接口函数和加密狗进行数据交换，来检查加密狗是否插在接口上并进行授权认证，是实现离线认证的一种方式。

现有的硬件加密狗的认证技术，主要是终端设备内部程序在开发编码过程中，需要将一些关键常量由硬件加密狗代管理处理，比如一段程序中有这样一句：A=Fx(3)。程序要根据常量3来得到变量A的值。于是在程序文件原程序这样改写：A=Fx(DogConvert(1)-12342)。那么原程序中就不会出现常量3，而取之以DogConvert(1)-12342。这样，只有软件编写者才知道实际调用的常量是3。而程序文件在终端执行阶段没有与软件加密狗通信成功，DogConvert函数就不能返回正确结果，使为授权程序不能正常在终端内运行。

其主要存在的缺点为：通过硬件加密狗技术方案可看到，在设计开发阶段程序文件开发都与硬件加密狗开发都接触紧密，同时由于硬件加密狗为独立硬件设备，增加了成本，也要求终端设备具备与硬件加密狗的通信能力，如果连接USB接口等出现故障或硬件加密狗被移除将直接影响授权用户使用体验。

发明内容

为了解决现有技术中存在的问题，本发明提供了一种能源控制终端策略文件安全加固方法，包括：

读取安装策略文件的能源控制终端的CPU识别码和预先生成的策略文件注册码；

利用所述CPU识别码对所述策略文件注册码进行解密得到策略认证ID；

通过验证所述策略认证ID和预先生成并存储于所述终端上的策略文件认证ID，确定所述能源控制终端是否被授权运行所述策略文件；

其中，所述策略文件注册码基于所述策略文件对应的身份认证ID和所述策略终端的CPU识别码生成。

优选的，所述策略文件注册码的生成包括：

以策略文件对应的策略文件信息为唯一主键，追加定长随机码生成所述策略文件对应的策略文件认证ID；

基于策略文件认证ID和安装所述策略文件的能源控制终端CPU识别码，利用加密程序进行加密运算，生成策略文件注册码。