CN110636142A - 一种电力物联网分布式认证方法 - Google Patents

Abstract

本发明涉及一种电力物联网分布式认证方法，具体包括注册阶段、密钥协商阶段和认证阶段三个部分；注册阶段生成公钥和私钥，排序节点公布系统参数；密钥协商阶段计算群密钥，并返回到对应的排序节点，完成密钥的协商；排序节点得到多于门限数量份签名后可以形成认证许可，发送给电力物联网接入网关作为认证依据。还提供一种执行电力物联网分布式认证方法的系统，其特征在于，具体包括：待认证终端、排序节点、认证节点和网关。该方法适用于电力物联网的分布式接入认证系统，可提高电力物联网系统安全性和有效性。满足智能电网和能源互联网去中心化、泛在接入、广域互联的需求。

Description

一种电力物联网分布式认证方法

技术领域

本发明涉及物联网认证领域，特别是涉及一种电力物联网分布式认证方法。

背景技术

随着智能电网和能源互联网的发展，电力物联网在电力生产的各个环节起到了越来越重要的作用。特别是在作为电力传输最后10公里的配电网中，在用电计量、售电服务、分布式发电、新能源并网、智能充电桩等应用场景中，电力物联网的应用更加常见。

现有电力业务系统大部分采用中心化的架构，随着分布式电源、可控负荷、增量配电网、物资服务等业务的不断发展，各主体之间的信息交互的频度、复杂性和时效性要求越来越高，集中化的信息交互手段已无法满足源网荷储互动、物资精准供应等由多方参与的业务系统信任需求。

电力物联网在广泛应用的同时，也带来了愈加严峻的安全挑战。一方面，电力物联网终端节点数量多、部署范围广，节点物理环境不可控，容易受到物理劫持、节点复制、信号截获窃取重放、中间人攻击等威胁；另一方面，电力物联网终端由于体积和电量限制，其计算、存储和通信能力有限，无法部署完整的密码算法。此外，信息传递和交互多采用集中式广播和组播实现，容易出现单点失效问题。

目前物联网接入认证方案大多基于公共区块链平台，实现了分布式PKI的模拟，但未能针对电力物联网业务将联盟链和轻量级分布式认证协议进行有效的整合，难以满足智能电网和能源互联网去中心化、泛在接入、广域互联的需求。

发明内容

这个部分提供了本公开的一般概要，而不是其全部范围或其全部特征的全面披露。

本公开的目的在于提供一种电力物联网分布式认证方法，具体包括注册阶段、密钥协商阶段和认证阶段三个部分；

其中，注册阶段包括：

A1、根据初始密钥生成公钥K和私钥；

A2、生成请求信息并向物联网节点网络中广播；

A3、接收到请求信息后，公布系统参数，并发送到网关以及其他节点；

A4、根据该系统参数生成秘密多项式；

密钥协商阶段包括：

B1、接收请求信息后，提取公钥K，根据不同的节点Pi生成群签名密钥对(P_i，K)，其中，i＝1，……，n，n为节点数量；

B2、随机选择t-1个元素

设定密钥计算公式f(x)，x为节点标识；

B3、计算y_i，其中y_i为第i个排序节点的密钥；

B4、将y_i分配给第i个认证节点作为其子密钥；

B5、接收到子密钥y_i后，使用拉格朗日秘密共享算法计算群密钥S_k；

B6、将上述群密钥S_k返回到对应的排序节点，完成密钥的协商；

认证阶段包括：

排序节点广播发送认证请求报文，认证节点通过电力物联网业务逻辑选择对新接入节点的准入结果，如果同意节点接入，则向排序节点提交签名，排序节点得到多于门限数量份签名后可以形成认证许可，发送给电力物联网接入网关作为认证依据；认证阶段，网关可通过公开参数中的群公钥验证签名的合法性。

优选的，上述步骤A2中具体为：物联网终端设备制造商为电力物联网终端节点预先分配初始密钥，作为认证的基本信息；上述请求信息中包括公钥K。

优选的，上述步骤A4中多项式具体为：a₁X+a₂X²+……a_i-1x^i-1。

优选的，上述步骤B4中具体为：分配过程利用Difffe-Hellman密钥交换协议实现。

优选的，上述步骤B5中具体为：

其中，t为节点数量，x_l为第l个排序节点标识，x_j为第j个排序节点标识。

优选的，所述认证阶段具体包括：

C1、将电力物联网中待认证终端的请求信息发送给认证节点；

C2、接收到请求信息后，根据其中的待认证终端标识，通过电力物联网业务逻辑选择对新接入终端节点的准入结果；

C3、如果同意终端接入，则生成对待认证终端的签名，并将其中的参数作为子认证判据发送给排序节点；

C4、收到认证节点发来的签名之后，判定认证节点发送的子认证判据的有效性；

C5、等收到t份有效的子认证判据之后，形成认证许可，发送给电力物联网接入网关作为认证依据；其中，t为预先设置的大于1的数值；

C6、网关通过群公钥P_k验证认证许可的合法性，如果验证通过，则完成认证。

优选的，上述步骤C3具体为：签名σ_i＝H₂(y_i)||M，并将(σ_i，y_i，M)作为子认证判据发送给排序节点。

其中，i为认证节点编号，H₂()为基于子密钥y_i哈希算法，M为待认证终端的标识。

本发明还提供一种电力物联网分布式认证系统，其特征在于，具体包括：待认证终端、排序节点、认证节点和网关。该系统执行上述电力物联网分布式认证方法。

有益效果：利用本申请的方法和系统，可提高电力物联网系统安全性和有效性。满足智能电网和能源互联网去中心化、泛在接入、广域互联的需求。

从在此提供的描述中，进一步的适用性区域将会变得明显。这个概要中的描述和特定例子只是为了示意的目的，而不旨在限制本公开的范围。

附图说明

在此描述的附图只是为了所选实施例的示意的目的而非全部可能的实施，并且不旨在限制本公开的范围。在附图中：

图1是电力物联网分布式认证方法流程图；

图2是电力物联网分布式认证系统示意图。

虽然本公开容易经受各种修改和替换形式，但是其特定实施例已作为例子在附图中示出，并且在此详细描述。然而应当理解的是，在此对特定实施例的描述并不打算将本公开限制到公开的具体形式，而是相反地，本公开目的是要覆盖落在本公开的精神和范围之内的所有修改、等效和替换。要注意的是，贯穿几个附图，相应的标号指示相应的部件。

具体实施方式

现在参考附图来更加充分地描述本公开的例子。以下描述实质上只是示例性的，而不旨在限制本公开、应用或用途。

提供了示例实施例，以便本公开将会变得详尽，并且将会向本领域技术人员充分地传达其范围。阐述了众多的特定细节如特定部件、装置和方法的例子，以提供对本公开的实施例的详尽理解。对于本领域技术人员而言，不需要使用特定的细节，示例实施例可以用许多不同的形式来实施，它们都不应当被解释为限制本公开的范围。在某些示例实施例中，没有详细地描述众所周知的过程、众所周知的结构和众所周知的技术。

下面将对本公开内容所提出的技术问题进行详细说明。需要注意的，该技术问题仅是示例性的，目的不在于限制本发明的应用。

本发明提供一种电力物联网分布式认证方法，具体包括注册阶段、密钥协商阶段和认证阶段三个部分。如图1所示，

其中，注册阶段包括：

A1、根据初始密钥生成公钥K和私钥；

A2、生成请求信息并向物联网节点网络中广播；

其中，物联网终端设备制造商为电力物联网终端节点预先分配初始密钥，作为认证的基本信息；上述请求信息中包括公钥K。

A3、接收到请求信息后，公布系统参数，并发送到网关以及其他节点；

参数包括：Z_p ^*、P_k；

其中，Z_p ^*为乘法域元素集合，P_k为群公钥。

A4、根据该系统参数生成秘密多项式；

其中，多项式为a₁X+a₂X²+……a_i-1x^i-1

密钥协商阶段包括：

B1、接收请求信息后，提取公钥K，根据不同的节点Pi生成群签名密钥对(P_i，K)，其中，i＝1，……，n，n为节点数量。

B2、随机选择t-1个元素

令f(x)＝K+a₁x+a₂x²+……+a_{t- 1}x^t-1，x为节点标识。

B3、计算y_i＝f(x_i)，1≤i≤n，其中，y_i为第i个排序节点的密钥，x_i为第i个排序节点的标识。

B4、将y_i分配给第i个认证节点作为其子密钥。

其中，分配过程利用Difffe-Hellman密钥交换协议实现。

B5、接收到子密钥y_i后，使用拉格朗日秘密共享算法计算群密钥S_k，公式如下：

其中，t为节点数量，x₁为第1个排序节点标识，x_j为第j个排序节点标识。

B6、将上述群密钥S_k返回到对应的排序节点，完成密钥的协商。

认证阶段包括：

排序节点广播发送认证请求报文，认证节点通过电力物联网业务逻辑选择对新接入节点的准入结果，如果同意节点接入，则向排序节点提交签名，排序节点得到多于门限数量份签名后可以形成认证许可，发送给电力物联网接入网关作为认证依据；认证阶段，网关可通过公开参数中的群公钥验证签名的合法性。

具体为：

C1、将电力物联网中待认证终端的请求信息发送给认证节点。

C2、接收到请求信息后，根据其中的待认证终端标识，通过电力物联网业务逻辑选择对新接入终端节点的准入结果。

C3、如果同意终端接入，则生成对待认证终端的签名σ_i＝H₂(y_i)||M，并将(σ_i，y_i，M)作为子认证判据发送给排序节点。

其中，i为认证节点编号，H₂()为基于子密钥y_i哈希算法，M为待认证终端的标识。

数据交换过程使用Difffe-Hellman密钥交换协议确保不会被非法节点获取。

C4、收到认证节点发来的σ_i之后，首先通过已有信息计算H₂(y_i)||M的值，判定认证节点发送的子认证判据(σ_i，y_i，M)的有效性。

具体为：根据本地记录的y_i和M计算得到H₂(y_i)||M的值，并将该值与接收到的σ_i进行比较，来判断子认证判据(σ_i，y_i，M)的有效性。即，如果H₂(y_i)||M的值与σ_i的差小于阈值，则认为子认证判据(σ_i，y_i，M)有效。

C5、等收到t份有效的子认证判据之后，可得到t个点对：(x₁，y₁)，…，(x_t，y_t)，随后，形成认证许可，发送给电力物联网接入网关作为认证依据。

其中，t为预先设置的大于1的数值。

C6、网关通过群公钥P_k验证认证许可的合法性，如果验证通过，则完成认证。

本发明还提供一种电力物联网分布式认证系统，如图2所示，具体包括：待认证终端、排序节点、认证节点和网关。

在注册阶段：

所述待认证终端根据初始密钥生成公钥K和私钥，并生成请求信息；

所述向物联网节点网络中广播所述请求信息；

其中，物联网终端设备制造商为电力物联网终端节点预先分配初始密钥，作为认证的基本信息；上述请求信息中包括公钥K。

所述排序节点接收到请求信息后，公布系统参数，并发送到网关以及其他节点；

其中，参数包括：Z_p ^*、P_k；

Z_p ^*为乘法域元素集合，P_k为群公钥。

所述排序节点根据该系统参数生成秘密多项式；

其中，多项式为a₁X+a₂X²+……a_i-1x^i-1。

在密钥协商阶段：

所述排序节点接收请求信息后，提取公钥K，根据不同的节点Pi生成群签名密钥对(P_i，K)，其中，i＝1，……，n，n为节点数量。

所述排序节点随机选择t-1个元素

令f(x)＝K+a₁x+a₂x²+……+a_t-1x^t-1，x为节点标识。

所述排序节点计算y_i＝f(x_i)，1≤i≤n，其中，y_i为第i个排序节点的密钥，x_i为第i个排序节点的标识。

所述排序节点将y_i分配给第i个认证节点作为其子密钥。

其中，分配过程利用Difffe-Hellman密钥交换协议实现。

所述认证节点接收到子密钥y_i后，使用拉格朗日秘密共享算法计算群密钥S_k，公式如下：

其中，t为节点数量，x₁为第1个排序节点标识，x_j为第j个排序节点标识。

所述认证节点将上述群密钥S_k返回到对应的排序节点，完成密钥的协商。

在认证阶段：

排序节点广播发送认证请求报文，认证节点通过电力物联网业务逻辑选择对新接入节点的准入结果，如果同意节点接入，则向排序节点提交签名，排序节点得到多于门限数量份签名后可以形成认证许可，发送给电力物联网接入网关作为认证依据；认证阶段，网关可通过公开参数中的群公钥验证签名的合法性。

具体为：

所述排序节点将电力物联网中待认证终端的请求信息发送给认证节点。

所述认证节点接收到请求信息后，根据其中的待认证终端标识，通过电力物联网业务逻辑选择对新接入终端节点的准入结果。

如果同意终端接入，所述认证节点生成对待认证终端的签名σ_i＝H₂(y_i)||M，并将(σ_i，y_i，M)作为子认证判据发送给排序节点。

其中，i为认证节点编号，H₂()为基于子密钥y_i哈希算法，M为待认证终端的标识。

数据交换过程使用Difffe-Hellman密钥交换协议确保不会被非法节点获取。

所述排序节点收到认证节点发来的σ_i之后，首先通过已有信息计算H₂(y_i)||M的值，判定认证节点发送的子认证判据(σ_i，y_i，M)的有效性。

具体为：

根据本地记录的y_i和M计算得到H₂(y_i，)||M的值，并将该值与接收到的σ_i进行比较，来判断子认证判据(σ_i，y_i，M)的有效性。即，如果H₂(y_i)||M的值与σ_i的差小于阈值，则认为子认证判据(σ_i，y_i，M)有效。

所述排序节点等收到t份有效的子认证判据之后，可得到t个点对：(x₁，y₁)，…，(x_t，y_t)，随后，所述排序节点形成认证许可，发送给电力物联网接入网关作为认证依据。

其中，t为预先设置的大于1的数值。

所述网关通过群公钥P_k验证认证许可的合法性，如果验证通过，则完成认证。

以上参照附图描述了本公开的优选实施例，但是本公开当然不限于以上示例。本领域技术人员可在所附权利要求的范围内得到各种变更和修改，并且应理解这些变更和修改自然将落入本公开的技术范围内。

例如，在以上实施例中包括在一个单元中的多个功能可以由分开的装置来实现。替选地，在以上实施例中由多个单元实现的多个功能可分别由分开的装置来实现。另外，以上功能之一可由多个单元来实现。无需说，这样的配置包括在本公开的技术范围内。

在该说明书中，流程图中所描述的步骤不仅包括以所述顺序按时间序列执行的处理，而且包括并行地或单独地而不是必须按时间序列执行的处理。此外，甚至在按时间序列处理的步骤中，无需说，也可以适当地改变该顺序。

以上虽然结合附图详细描述了本公开的实施例，但是应当明白，上面所描述的实施方式只是用于说明本公开，而并不构成对本公开的限制。对于本领域的技术人员来说，可以对上述实施方式作出各种修改和变更而没有背离本公开的实质和范围。因此，本公开的范围仅由所附的权利要求及其等效含义来限定。

Claims (8)

1.一种电力物联网分布式认证方法，具体包括注册阶段、密钥协商阶段和认证阶段三个部分；

其中，注册阶段包括：

A1、根据初始密钥生成公钥K和私钥；

A2、生成请求信息并向物联网节点网络中广播；

A3、接收到请求信息后，公布系统参数，并发送到网关以及其他节点；

A4、根据该系统参数生成秘密多项式；

密钥协商阶段包括：

B1、接收请求信息后，提取公钥K，根据不同的节点Pi生成群签名密钥对(P_i，K)，其中，i＝1，……，n，n为节点数量；

B2、随机选择t-1个元素

设定密钥计算公式f(x)，x为节点标识；

B3、计算y_i，其中y_i为第i个排序节点的密钥；

B4、将y_i分配给第i个认证节点作为其子密钥；

B5、接收到子密钥y_i后，使用拉格朗日秘密共享算法计算群密钥S_k；

B6、将上述群密钥S_k返回到对应的排序节点，完成密钥的协商；

认证阶段包括：

排序节点广播发送认证请求报文，认证节点通过电力物联网业务逻辑选择对新接入节点的准入结果，如果同意节点接入，则向排序节点提交签名，排序节点得到多于门限数量份签名后可以形成认证许可，发送给电力物联网接入网关作为认证依据；认证阶段，网关可通过公开参数中的群公钥验证签名的合法性。

2.根据权利要求1所述的方法，其特征在于，上述步骤A2中具体为：物联网终端设备制造商为电力物联网终端节点预先分配初始密钥，作为认证的基本信息；上述请求信息中包括公钥K。

3.根据权利要求1所述的方法，其特征在于，上述步骤A4中多项式具体为：a₁X+a₂X²+……a_i-1x^i-1。

4.根据权利要求1所述的方法，其特征在于，上述步骤B4中具体为：分配过程利用Difffe-Hellman密钥交换协议实现。

5.根据权利要求1所述的方法，其特征在于，上述步骤B5中具体为：

其中，t为节点数量，x_l为第l个排序节点标识，x_j为第j个排序节点标识。

6.根据权利要求1所述的方法，其特征在于，所述认证阶段具体包括：

C1、将电力物联网中待认证终端的请求信息发送给认证节点；

C2、接收到请求信息后，根据其中的待认证终端标识，通过电力物联网业务逻辑选择对新接入终端节点的准入结果；

C3、如果同意终端接入，则生成对待认证终端的签名，并将其中的参数作为子认证判据发送给排序节点；

C4、收到认证节点发来的签名之后，判定认证节点发送的子认证判据的有效性；

C5、等收到t份有效的子认证判据之后，形成认证许可，发送给电力物联网接入网关作为认证依据；其中，t为预先设置的大于1的数值；

C6、网关通过群公钥P_k验证认证许可的合法性，如果验证通过，则完成认证。

7.根据权利要求6所述的方法，其特征在于，上述步骤C3具体为：签名σ_i＝H₂(yi)||M，并将(σ_i，y_i，M)作为子认证判据发送给排序节点；

其中，i为认证节点编号，H₂()为基于子密钥y_i哈希算法，M为待认证终端的标识。

8.一种执行权利要求1-7任一项所述方法的电力物联网分布式认证系统，其特征在于，具体包括：待认证终端、排序节点、认证节点和网关。

Images