电力计量设备应用软件加载管控方法及装置

摘要

本发明公开了电力计量设备应用软件加载管控方法及装置。该方法包括：在监听到应用生成的验证请求时，获取所述验证请求中记载的应用签名值；在确定所述应用签名值为预先指定的安全应用对应的签名值时，判断当前应用为安全应用；获取记载在电力计量设备内的设备标识码；根据所述安全应用签名值及所述设备标识码，利用预先设定的授权运算算法，生成本地安全授权文件；在所述已购安全授权文件与所述本地安全授权文件比对一致时，确定所述安全应用具有合法授权，并允许所述安全应用在电力计量设备加载；在所述已购安全授权文件与所述本地安全授权文件不一致时，确定所述安全应用不具有合法授权，则不允许所述安全应用在电力计量设备加载。

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及电力计量设备应用软件加载管控方法及装置。

背景技术

电力物联网是新一代电力能源系统和互联网数据通信技术的创新融合及未来发展方向，是作为进阶智能电网不可或缺的一项重要载体。同传统电网相比，电力物联网具有电力流、信息流和业务流高度融合的显著特点。

而在电力物联网中，电力计量设备作为电力物联网感知层的重要法定电力计量设备，由操作系统运行实现各类功能的应用APP，提升了电力计量设备的功能可扩展性与多样性。

另一方面，电力计量设备引入操作系统后带来新的安全风险点，需要对计量设备的安全性进行保障，防止其数据被恶意串改、攻击。具体地，需要有一套专门的管控方法有效管控电力计量设备内应用软件的合法授权问题。

发明内容

针对现有技术的不足，本发明提供电力计量设备应用软件加载管控方法及装置，以降低目前在电力计量设备中引入操作系统后带来的安全风险。

第一方面，本发明提供一种电力计量设备应用软件加载管控方法，包括：

在监听到应用生成的验证请求时，获取所述验证请求中记载的应用签名值，所述应用签名值用于唯一地标识该应用；

在确定所述应用签名值为预先指定的安全应用对应的签名值时，判断当前应用为安全应用；

获取记载在电力计量设备内的设备标识码；

根据所述安全应用签名值及所述设备标识码，利用预先设定的授权运算算法，生成本地安全授权文件；

在所述已购安全授权文件与所述本地安全授权文件比对一致时，确定所述安全应用具有合法授权，并允许所述安全应用在电力计量设备加载；

在所述已购安全授权文件与所述本地安全授权文件不一致时，确定所述安全应用不具有合法授权，则不允许所述安全应用在电力计量设备加载。

第二方面，本发明提供一种电力计量设备应用软件加载管控装置，包括：

安全应用筛选模块，用于：在监听到应用生成的验证请求时，获取所述验证请求中记载的应用签名值，所述应用签名值用于唯一地标识该应用；

在确定所述应用签名值为预先指定的安全应用对应的签名值时，判断当前应用为安全应用；

安全应用验证模块，用于：获取记载在电力计量设备内的设备标识码；

根据所述安全应用签名值及所述设备标识码，利用预先设定的授权运算算法，生成本地安全授权文件；

在所述已购安全授权文件与所述本地安全授权文件比对一致时，确定所述安全应用具有合法授权，并允许所述安全应用在电力计量设备加载；

在所述已购安全授权文件与所述本地安全授权文件不一致时，确定所述安全应用不具有合法授权，则不允许所述安全应用在电力计量设备加载。

本发明提供的电力计量设备应用软件加载管控方法及装置，将安全应用安装在每一个电力计量设备上；安装有合法授权的安全应用的电力计量设备的各项功能可正常加载；未安装有合法授权的安全应用，或安装没有合法授权的安全应用的电力计量设备的各项功能不能正常加载；并采用安全应用来对导入的已购授权文件进行比对验证，通过验证已购授权文件的合法性，从而实现了对应用软件的有效管控，降低了因在电力计量设备中引入操作系统而带来的安全风险。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为本发明优选实施方式的电力计量设备应用软件加载管控方法的流程示意图；

图2是本发明优选实施方式的电力计量设备应用软件加载管控装置的组成示意图；

图3为本发明优选实施方式的根据设备信息和软件信息生成已购授权文件并分发到计量设备的流程示意图；

图4为本发明优选实施方式的安全应用合法授权验证的流程示意图；

图5为本发明优选实施方式的电力计量设备向主站请求授权文件并在本地进行合法授权验证时的流程示意图；

图6为本发明优选实施方式的由计量中心为起点，向电力计量设备安装安全应用并进行合法授权验证时的流程示意图；

图7为本发明优选实施方式的在线升级应用并进行合法授权验证的流程示意图；

图8为本发明优选实施方式的主站发起在线升级应用并进行合法授权验证的流程示意图；

图9为本发明优选实施方式的软件文件格式示意图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

以下为部分术语定义：

嵌入式安全控制模块，Embedded Secure Access Module，简称ESAM。

运行在嵌入式操作系统的应用软件，Application，简称应用，或者APP。

电力计量设备，也即新一代智能电表，设置有液晶屏、管理芯和计量芯；其中，管理芯设置有嵌入式安全控制模块ESAM，各嵌入式安全控制模块的ESAM序列号具有唯一性，用于唯一地标识一台电力计量设备。

授权设备：具有产生、分发授权文件的设备；分发的授权文件，也即用户或厂家或计量单位等多个主体已购的授权文件。

已购授权文件，记载有针对应用软件的授权信息的文件，具有唯一性。

软件中心：指定的合法APP认证、备案及授权机构。

具体地，电力计量设备上运行有嵌入式操作系统。定制化的嵌入式操作系统具有资源分配、进程调度、文件管理、应用管理等功能，且功能可进一步扩展。

为了应对电力计量设备引入操作系统及应用软件后带来新的安全风险点，需要在电力计量设备中引入安全APP，对电力计量设备的安全性进行保障，防止其数据被恶意串改、攻击。

具体实施时，作为电力计量设备的安全防护应用软件，安全APP安装在每一个电力计量设备上；并且，每一个电力计量设备上运行的安全防护软件分别具有各自的授权文件。安装有合法授权的安全APP的电力计量设备的各项功能可正常加载；未安装有合法授权的安全APP，或安装没有合法授权的安全APP的电力计量设备的各项功能将不能正常加载。

具体实施时，运行在电力计量设备的嵌入式操作系统的其他应用软件则提供各类特定功能，比如液晶屏操控软件，如与其他终端进行交互的互动软件等，这些其他应用软件为不同于安全APP的普通应用。每一个电力计量设备上运行的各种普通应用也分别具有各自的授权文件。

具有合法授权的安全APP对其他应用软件进行授权管理。有合法授权的普通应用，可以在电力计量设备正常加载；没有合法授权的普通应用，不能在电力计量设备正常加载。

进一步地，该安全APP用于对普通APP进行加载控制，涉及对普通APP的安装、卸载、升级、权限(比如读写电力计量设备硬件资源权限)进行管控。

具体地，由安全APP根据获取的电力计量设备ESAM序列号及应用签名值，验证与该电力计量设备对应的已购授权文件是否合法。

其中，已购授权文件由授权设备根据记载在电力计量设备的管理芯的ESAM参数信息以及应用软件或安全APP在软件中心的签名值进行Hash运算得到。

应该理解为，ESAM参数信息和安全APP的签名值均具有唯一性和不可修改性，因此可以保证已购授权文件的合法性的安全可信。

具体实施时，通过编制软件代码，生成安全应用筛选模块、安全应用验证模块等，并运行在各电力计量设备的操作系统上，执行本发明实施例的加载管控方法。

如图1所示，本发明实施例的电力计量设备应用软件加载管控方法，包括：

在监听到应用生成的验证请求时，获取验证请求中记载的应用签名值，应用签名值用于唯一地标识该应用；

在确定应用签名值为预先指定的安全应用对应的签名值时，判断当前应用为安全应用；

获取记载在电力计量设备内的设备标识码；

根据安全应用签名值及设备标识码，利用预先设定的授权运算算法，生成本地安全授权文件；

在已购安全授权文件与本地安全授权文件比对一致时，确定安全应用具有合法授权，并允许安全应用在电力计量设备加载；

在已购安全授权文件与本地安全授权文件不一致时，确定安全应用不具有合法授权，则不允许安全应用在电力计量设备加载。

应该理解为，具体实施时，应用生成验证请求的场景包括：

初次安装时，响应于电力计量设备操作系统的验证要求，安全应用生成验证请求；安装且初次运行时，响应于电力计量设备操作系统的验证要求，安全应用生成验证请求。

应该理解为，电力计量设备操作系统在向安全应用发送验证要求之前，已中止该安全应用的安装进程、或运行进程或加载进程。

应该理解为，以上的“初次安装”或“初次运行”，是指安全应用在合法授权验证成功之后且直到升级之前，都不再需要进行合法授权验证。也即，一次验证成功之后，不再需要重复验证。

应该理解为，“允许安全应用在电力计量设备加载”包括：

允许安全应用在电力计量设备操作系统内完成安装；

允许安全应用在电力计量设备操作系统内运行；

允许安全应用对电力计量设备操作系统内的其他应用，也即普通应用，实施管控功能。

进一步地，在允许安全应用在电力计量设备加载后，

安全应用在监听到应用生成的验证请求时，获取验证请求中记载的应用签名值，应用签名值用于唯一地标识该应用；

获取记载在电力计量设备内的设备标识码；

根据应用签名值及设备标识码，利用预先设定的授权运算算法，生成本地普通授权文件；

比对获取的已购普通授权文件与本地普通授权文件；

在已购普通授权文件与本地普通授权文件比对一致时，确定普通应用具有合法授权，并允许普通应用在电力计量设备加载；

在已购普通授权文件与本地普通授权文件比对不一致时，确定普通应用不具有合法授权，则终止普通应用在电力计量设备加载。

该实施例的电力计量设备应用软件加载管控方法，在电力计量设备中采用安全APP来对导入的已购授权文件进行比对验证，通过验证已购授权文件的合法性，从而实现对应用软件的有效管控。

应该理解为，具体实施时，应用生成验证请求的场景包括：

初次安装时，响应于电力计量设备操作系统或安全应用的验证要求，普通应用生成验证请求；安装且初次运行时，响应于电力计量设备操作系统或安全应用的验证要求，普通应用生成验证请求。

应该理解为，电力计量设备操作系统或安全应用在向普通应用发送验证要求之前，已中止该普通应用的安装进程、或运行进程或加载进程。

应该理解为，以上的“初次安装”或“初次运行”，是指应用在合法授权验证成功之后且直到升级之前，都不再需要进行合法授权验证。也即，一次验证成功之后，不再需要重复验证。

应该理解为，“允许应用在电力计量设备加载”包括：

允许普通应用在电力计量设备操作系统内完成安装；

允许普通应用在电力计量设备操作系统内运行；

允许普通应用响应来自安全应用的管控指令。

进一步地，在监听到应用生成的升级请求时，获取升级请求中记载的升级后应用签名值，其中，升级后应用签名值替代原有的应用签名值唯一地标识该应用；

在确定升级后应用签名值为预先指定的安全应用对应的签名值时，获取记载在电力计量设备内的设备标识码；

根据升级后应用签名值及设备标识码，利用预先设定的授权运算算法，生成本地升级安全授权文件；

比对获取的已购升级安全授权文件与本地升级安全授权文件；

在已购升级安全授权文件与本地升级安全授权文件比对一致时，确定本次升级具有合法授权，并允许安全应用在电力计量设备升级；

在已购升级安全授权文件与本地升级安全授权文件不一致时，确定本次升级不具有合法授权，则不允许安全应用在电力计量设备升级。

应该理解为，具体实施时，应用生成升级请求的场景包括：

升级时，响应于电力计量设备操作系统的升级验证要求，安全应用生成升级请求；升级包安装后且初次运行时，响应于电力计量设备操作系统的验证要求，安全应用生成升级请求。

应该理解为，电力计量设备操作系统在向安全应用发送升级验证要求之前，已中止该安全应用的升级进程、或运行进程或加载进程。应该理解为，以上的“升级”或“升级包安装后且初次运行”，是指升级之后，唯一地标识该安全应用的签名值被更新为升级后安全签名值；与该电力计量设备唯一地对应的已购安全授权文件被更新为已购升级安全授权文件。也即，本次升级合法授权验证成功之后且直到下次升级之前，不再需要重复验证。

应该理解为，“允许安全应用在电力计量设备升级”包括：

允许安全应用的升级包在电力计量设备操作系统内完成安装；

允许安全应用的升级包在电力计量设备操作系统内运行；

允许升级后的安全应用对电力计量设备操作系统内的其他应用，也即普通应用，实施管控功能。

进一步地，安全应用在监听到应用生成的升级请求时，获取升级请求中记载的升级后应用签名值，其中，升级后应用签名值替代原有的应用签名值唯一地标识该应用；

获取记载在电力计量设备内的设备标识码；

根据升级后应用签名值及设备标识码，利用预先设定的授权运算算法，生成本地应用升级授权文件；

比对获取的已购应用升级授权文件与本地应用升级授权文件；

在已购应用升级授权文件与本地应用升级授权文件比对一致时，确定本次升级具有合法授权，并允许应用在电力计量设备升级；

在已购应用升级授权文件与本地应用升级授权文件不一致时，确定本次升级不具有合法授权，则不允许应用在电力计量设备升级。

应该理解为，具体实施时，应用生成升级请求的场景包括：

升级时，响应于电力计量设备操作系统或安全应用的升级验证要求，普通应用生成升级请求；升级包安装后且初次运行时，响应于电力计量设备操作系统的验证要求，安全应用生成升级请求。

应该理解为，电力计量设备操作系统或安全应用在向普通应用发送升级验证要求之前，已中止该普通应用的升级进程、或运行进程或加载进程。

应该理解为，以上的“升级”或“升级包安装后且初次运行”，是指升级之后，唯一地标识该普通应用的签名值被更新为升级后应用签名值；与该电力计量设备唯一地对应的已购普通授权文件被更新为已购应用升级授权文件。也即，本次升级合法授权验证成功之后且直到下次升级之前，不再需要重复验证。

应该理解为，“允许普通应用在电力计量设备升级”包括：

允许普通应用的升级包在电力计量设备操作系统内完成安装；

允许普通应用的升级包在电力计量设备操作系统内运行；

允许升级后的普通应用响应来自安全应用的管控指令。

进一步地，已购安全授权文件是从电力计量设备内安全应用的安装包内获取的(由电力计量设备从主站或计量中心获取并下载到本地)；或

已购安全授权文件是根据电力计量设备的设备标识码及安全应用签名值从云端授权设备获取的；其中，云端授权设备存储有与设备标识码及安全应用签名值的组合所唯一对应的已购安全授权文件；

已购升级安全授权文件是从电力计量设备内安全应用的升级包内获取的(由电力计量设备从主站或计量中心获取并下载到本地)；或

已购升级安全授权文件是根据电力计量设备的设备标识码及升级后安全应用签名值从云端授权设备获取的；其中，云端授权设备存储有与设备标识码及升级后安全应用签名值的组合所唯一对应的已购升级安全授权文件。

进一步地，已购普通授权文件是从电力计量设备内普通应用的安装包内获取的(由电力计量设备从主站或计量中心获取并下载到本地)；或

已购普通授权文件是根据电力计量设备的设备标识码及应用签名值从云端授权设备获取的；其中，云端授权设备存储有与设备标识码及应用签名值的组合所唯一对应的已购普通授权文件；

已购应用升级授权文件是从电力计量设备内普通应用的升级包内获取的(由电力计量设备从主站或计量中心获取并下载到本地)；或

已购应用升级授权文件是根据电力计量设备的设备标识码及升级后应用签名值从云端授权设备获取的；其中，云端授权设备存储有与设备标识码及应用签名值的组合所唯一对应的已购应用升级授权文件。

进一步地，在已购安全授权文件包括一个作为预设Hash运算结果的多个bit数时，

生成本地安全授权文件，包括：

将安全应用签名值及设备标识码经过预设Hash运算，得到一个多个bit数，将多个bit数写入到本地安全授权文件内；

在已购升级安全授权文件包括一个作为预设Hash运算结果的多个bit数时，

生成本地安全升级授权文件，包括：

将升级后安全应用签名值及设备标识码经过预设Hash运算，得到一个多个bit数，将多个bit数写入到本地安全升级授权文件内。

具体地，包括一个作为预设Hash运算结果的多个bit数的已购授权文件的大小固定，占用的存储空间小，便于在电力计量设备资源空间有限的条件下应用。

进一步地，在已购普通授权文件包括一个作为预设Hash运算结果的多个bit数时，

生成本地普通授权文件，包括：

将应用签名值及设备标识码经过预设Hash运算，得到一个多个bit数，将多个bit数写入到本地普通授权文件内；

在已购应用升级授权文件包括一个作为预设Hash运算结果的多个bit数时，

生成本地应用升级授权文件，包括：

将升级后应用签名值及设备标识码经过预设Hash运算，得到一个多个bit数，将多个bit数写入到本地应用升级授权文件内。

应该理解为，由电力计量设备操作系统或安全应用实施的预设Hash运算与云端授权设备或软件中心等第三方授权分发设备根据设备标识码及应用签名值生成授权文件时应用的Hash运算的内涵和外延均相同。

进一步地，设备标识码包括电力计量设备的ESAM序列号；或

设备标识码包括电力计量设备的ESAM序列号、电力计量设备使用地区信息和电力计量设备生产厂家信息。

如图2所示，本发明实施例的电力计量设备应用软件加载管控装置，包括：

安全应用筛选模块，用于：在监听到应用生成的验证请求时，获取验证请求中记载的应用签名值，应用签名值用于唯一地标识该应用；

在确定应用签名值为预先指定的安全应用对应的签名值时，判断当前应用为安全应用；

安全应用验证模块，用于：获取记载在电力计量设备内的设备标识码；

根据安全应用签名值及设备标识码，利用预先设定的授权运算算法，生成本地安全授权文件；

在已购安全授权文件与本地安全授权文件比对一致时，确定安全应用具有合法授权，并允许安全应用在电力计量设备加载；

在已购安全授权文件与本地安全授权文件不一致时，确定安全应用不具有合法授权，则不允许安全应用在电力计量设备加载。

本发明实施例的电力计量设备应用软件加载管控装置与前述的电力计量设备应用软件加载管控方法相对应，具有相同的技术构思、技术方案及技术效果，这里不再赘述。

综上，该电力计量设备应用软件加载管控方法及装置保证了电力计量设备上运行的应用软件均具有合法授权，阻止在电力计量设备上安装和运行不具有合法授权的应用软件，保障电力计量设备的安全运行，防止其数据被恶意串改或攻击。

该电力计量设备应用软件加载管控方法及装置可以分别在线上和线下两种不同应用场景下，对电力计量设备一对一地安装应用软件加载管控装置，或对电力计量设备批量地安装该实施例的应用软件加载管控装置。

具体地，云端授权设备存储有电力计量设备的ESAM序列号、应用软件签名值、及已购授权文件的关联关系表；并在接收到电力计量设备发送的已购授权文件获取请求时，查询并发送与设备标识码及安全应用签名值的组合所唯一对应的已购安全授权文件。

如图3和图4所示，在检测到电力计量设备中安装的普通应用试图运行时，安全应用验证普通应用的已购授权文件是否为合法授权，包括：

读取电力计量设备的ESAM序列号；

读取普通应用的签名值，其中，签名值记载在普通应用的安装文件的末尾部分；签名值由软件中心签发，各应用的每一个版本均唯一地对应有一个签名值。

也即，在全部的电力计量设备中安装或运行的同一个应用具有相同且唯一的签名值。

对ESAM序列号和签名值进行Hash运算，得到本地Hash值；

将本地Hash值与已购授权文件进行对比；其中，已购授权文件与ESAM序列号和签名值唯一对应，存储在电力计量设备的本地或存储在云端授权设备；

若一致，在电力计量设备中运行普通应用；

若不一致，则可能是因为普通应用是按照地区或设备生产厂家进行授权及分发的；

这时，进一步读取电力计量设备的使用地区信息和生产厂家信息，其中，使用地区信息和生产厂家信息保存在电力计量设备的ESAM中；

对ESAM序列号、签名值、使用地区信息和生产厂家信息进行Hash运算，得到本地Hash值；

将本地Hash值与已购授权文件进行对比；其中，已购授权文件与ESAM序列号、签名值、厂家信息和使用地区信息唯一对应，存储在电力计量设备或存储在云端授权设备；

若一致，在电力计量设备中运行普通应用；

若不一致，则阻止普通应用在电力计量设备中运行。

自此，本次针对该普通应用的合法授权验证结束。

具体地，使用地区信息为地区标识，比如北京的使用地区信息为01，依次类推，各地理分区或行政地区都有专属的使用地区信息，且具有唯一性。

具体实施时，针对普通应用的升级，与上述安全认证过程相似，区别在于；在检测到电力计量设备中安装的普通应用试图升级时，在进行Hash运算时，使用的签名值为普通应用升级时发布的与升级版本对应的新的签名值。

应该理解为，本地Hash值与获取的已购授权文件不一致，说明：

该电力计量设备没有得到使用该普通应用的合法授权，只是将获取到的对设备无区别的普通应用安装文件，并在本地进行了安装，也即该电力计量设备为企图非法使用该普通应用软件的非法设备。

也即，当电力计量设备导入错误的已购授权文件时会验证已购授权文件失败，说明设备没有获得合法的已购授权文件；当电力计量设备导入的已购授权文件不合法(如使用地区、生产厂家与电力计量设备的ESAM序列号不匹配)时，会验证已购授权文件失败，说明设备没有获得合法的已购授权文件。

进一步地，将该ESAM序列号和签名值上报至云端，为其申请授权；或将其记录到黑名单中，拒绝为其提供计量服务。

如图5所示，电力计量设备的普通应用在线请求进行合法授权验证时，包括：

普通应用通过电力计量设备的操作系统或安全应用发起获取已购授权文件请求，已购授权文件请求中记载有电力计量设备ESAM序列号；

主站接收并保存已购授权文件请求；

主站发送记载有ESAM序列号的文件获取请求到云端授权设备；

主站将从授权设备获取的已购授权文件发送至电力计量设备；

电力计量设备接收已购授权文件；

电力计量设备的安全APP在本地验证已购授权文件，安全验证步骤参考图4，这里不再赘述。

应该理解为，主站保存已购授权文件请求，是指，主站针对接收到的多个并发的获取授权文件的请求，可以采用设置队的方式来依次响应和处理。

图5的应用场景为，基于目前用户的电力计量设备采用地理分区管理模式。主站是指部署于各省电力公司的用电信息采集系统，与所辖区域内的电力计量设备进行通信，实现电费计算、设备开户、设备拆除及销户、分发已购授权文件等功能。

软件中心是指负责开发、销售、分发及管理普通APP的厂家、电力公司等机构。软件中心的功能如下：普通APP在下发给电力计量设备前，由软件中心对普通APP进行签名，生成签名值，该签名值是在确认该普通APP是允许在电能表安全运行的合法软件之后，针对该普通APP生成的；该签名值具有唯一性，可以用于唯一标识该普通APP。在该普通APP具有升级版本之后，则由授权设备为该升级版本生成新的签名值，并替换或覆盖原来的签名值。

各软件应用的签名值是通过软件中心的签名值私钥和公钥证书来保障其来源的合法性。如图9所示，签名值字段位于应用软件的可执行bin文件之后。

其中，软件信息参数包括：软件版本号、软件版本日期等；

软件中心生成的签名值是对软件文件和软件信息进行Hash运算得到的一个数据值，是保证文件完整性、内容不可修改性。

如图6所示，通过计量中心安装安全APP或普通app等应用时，包括以下步骤：

计量中心获取待授权应用的签名值，及电力计量设备的ESAM序列号；并将获取的ESAM序列号及签名值发送给授权设备；

授权设备根据ESAM序列号和待授权应用的签名值生成已购授权文件并发送已购授权文件至计量中心；

计量中心以网络通信或直连传输的方式将已购授权文件下发给电力计量设备；

电力计量设备验证该应用是否为合法授权；

在电力计量设备本地验证已购授权文件，对应用进行合法授权验证的步骤参考图4，这里不再赘述。

应该理解为，计量中心运行及维护授权设备；电力计量设备生产厂家在得到计量中心的授权后，与计量中心具有同等权限，这些权限包括：访问电力计量设备、访问授权设备及获取已购授权文件。

如图7所示，电力计量设备在线升级(也即，利用通信协议从主站获取升级包)应用软件时，包括：

主站以网络通信的方式向电力计量设备传输升级APP的安装包(也即，升级包，如bin文件)；

电力计量设备验证待升级应用是否具有合法授权，安全验证步骤参考图4，这里不再赘述；

若授权有效，则运行升级后的APP；

若授权无效，则本次升级失败，则继续运行升级前的APP。

该实施例的电力计量设备应用软件加载管控方法，在电力计量设备上在线升级验证软件授权合法性；主站通过文件传输将升级软件文件发送给待升级的电力计量设备；电力计量设备接收升级文件后，通过读取升级文件的数据签名值和安全模块ESAM参数信息来验证升级软件授权合法性，实现对软件的有效管控。

如图8所示，主站向电力计量设备发起在线升级要求时，计量设备响应该升级要求时，包括：

主站发起软件升级请求报文；

电力计量设备接收软件升级请求报文；

电力计量设备回复升级确认报文；

主站发送升级文件；

电力计量设备接收升级软件文件；

电力计量设备执行升级(具体步骤如图7所示)；

以上升级过程为数据报文交互；当在电力计量设备升级成功后，电力计量设备发送升级成功确认报文回复给主站。

该实施例的电力计量设备应用软件加载管控方法，升级后通过读取新的软件签名值和安全模块ESAM参数信息来验证升级软件授权合法性，实现对应用软件的有效管控。

应该理解为，升级安全软件或应用软件，包括文件传输、文件替换、文件备份；其中，文件替换和文件备份在验证通过后进行。

安全软件或应用软件均带有软件签名值，升级软件后其签名值会更换。

该实施例的电力计量设备应用软件加载管控方法通过电力计量设备与主站的请求交互以及通过文件传输实现主站对已购授权文件的下发、及电力计量设备获取授权应用软件并验证已购授权文件的方法。

该实施例的电力计量设备应用软件加载管控方法中，主站在线验证电力计量设备软件授权合法性的验证方法，通过文件传输的方式获得电力计量设备的已购授权文件，从而验证电力计量设备已购授权文件的合法性；若已购授权文件合法(也即其记载的哈希值与在本地生成的哈希值比对一致)，则发送正常加载操作报文到电力计量设备让其执行相应操作；若已购授权文件不合法，则发送停止运行操作报文，从而停止该电力计量设备非法运行。

以厂家或计量中心在线下一对一地向电力计量设备安装该电力计量设备应用软件加载管控装置为例进行说明。

1)、由厂家或计量中心将待获得合法授权的电力计量设备的参数信息(包括ESAM序列号和软件签名值发送给授权设备，并通过授权设备生成已购授权文件，并将从授权设备获取的已购授权文件导入到电力计量设备中。

其中，授权设备可以设置在计量中心或主站；

2)、厂家或计量中心在电力计量设备上安装需要与电力计量设备绑定的安全APP。

3)、电力计量设备上电后，已经安装的安全APP首先获取该电力计量设备中记载的ESAM序列号和安全APP签名值，并进行Hash运算得到本地Hash值。

4)、安全APP将在本地处理得到的本地Hash值与电力计量设备中预先导入并保存的由授权设备生成的已购授权文件进行比对。

5)、若二者比对一致，则安全APP拉起自己，在电力计量设备中运行该安全APP；若比对结果不一致，则说明该电力计量设备未被授权使用该安全APP，则该安全APP不会在该电力计量设备中运行。

具体实施时，该电力计量设备上应用软件加载安全管控方法，根据电力计量设备的硬件参数和应用软件的特性，设计了针对批量电力计量设备及单个电力计量设备这两种情景下生成已购授权文件的方法。

具体地，电力计量设备生产厂家信息和使用地区信息在安全模块ESAM中保存，电力计量设备的操作系统或安全APP可通过对应指令集读取读取生产厂家信息和使用地区信息及ESAM序列号。

具体地，安全模块ESAM中保存的参数信息只允许读取不允许修改，当有应用软件或安全软件想修改参数信息内容时，ESAM返回请求失败信息。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。