CN110730071A - 一种配电通信设备安全接入认证方法、装置及设备 - Google Patents
一种配电通信设备安全接入认证方法、装置及设备 Download PDFInfo
- Publication number
- CN110730071A CN110730071A CN201911039252.4A CN201911039252A CN110730071A CN 110730071 A CN110730071 A CN 110730071A CN 201911039252 A CN201911039252 A CN 201911039252A CN 110730071 A CN110730071 A CN 110730071A
- Authority
- CN
- China
- Prior art keywords
- secret
- initiator
- responder
- party
- shared key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种配电通信设备安全接入认证方法、装置及设备,包括:发起者或者响应者将各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密;另一方将接收的秘密与存储的秘密进行重构得到预共享密匙;发起者或者响应者通过所述预共享密匙完成认证过程。本申请将认证双方的预共享密钥进行拆分,在需要进行认证的时候双方通过数学方法恢复真正的预共享密钥,即使一方拆分后的预共享密匙泄露,配电无线通信网络中的攻击者仍然不能通过分析协商安全策略和密钥的交换过程中的消息内容计算出新的认证数据并替代原有消息的正确数据,不会影响到对协商安全策略和密钥交换过程中的内容认证,避免了预共享密匙的泄露的问题。
Description
技术领域
本申请涉及配电通信技术领域,尤其涉及一种配电通信设备安全接入认证方法、装置及设备。
背景技术
配电通信网作为电力通信的接入网,覆盖开关站、重要环网柜、电缆分支箱等配电节点,能够满足智能配用电网运行、营销计量、生产管理等业务的通信需求。配电通信网主要包括光纤、载波、无线等通信方式。其中配电无线通信是配电通信网络中最为广泛使用的通信技术。其可分为配电无线通信专网和配电无线公网两类。
配电通信无线专网是指电网公司自主建设、运行、管理的用于配网自动化、计量自动化、汽车充电桩、电房视频监控等智能配用电业务的无线宽带网络。目前,电网公司对于配电无线通信安全接入的管控手段主要为专用USIM卡,即只有使用电网专用USIM卡的终端才可接入到配电无线通信网络中。若是配电无线专网,则该USIM卡由电网公司统一发行。若是配电无线公网,则该USIM卡由电网公司朝运营商统一购买专用的APN卡并严格控制使用。然而,USIM卡本身仅仅能够完成配电无线通信用户的认证,其无法完成配电无线通信设备的安全接入认证。也就是说,非法恶意终端可以通过盗取或其他非法手段获得该USIM卡,进而利用该USIM卡接入配电无线网络进行攻击。
鉴于此,电网公司提出在专用USIM卡的基础上,要求重要业务(如电力线路遥控开关等)在网络层使用IPSec通道来保障电力业务信息的安全传输,每个重要业务的配电无线通信设备均强制性配备了一款存储有预共享密钥的加密专用芯片。但这又产生了新的问题:这种模式仅解决了重要业务节点的安全防护,对于其他状态监测类的业务节点,其本身由于功耗、体积和成本的限制无法使用该种硬加密的模式,依然存在安全隐患;且该安全隐患可作为攻击重要业务节点的跳板,存在恶意终端利用专用USIM卡攻击配电无线通信网络或配电业务主站系统的威胁。
发明内容
本申请实施例提供了一种配电通信设备安全接入认证方法、装置及设备,解决了小微配电终端无法使用基于硬加密芯片的IPSec安全通道容易出现密匙泄露的问题。
有鉴于此,本申请第一方面提供了一种配电通信设备安全接入认证方法,所述方法包括:
发起者或者响应者将各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密;
另一方将接收的秘密与存储的秘密进行重构得到预共享密匙;
发起者或者响应者通过所述预共享密匙完成认证过程。
优选地,在所述发起者或者响应者将各自的部分秘密发送给另一方之前还包括:发起者或者响应者将各自的部分秘密进行加密处理。
优选地,在所述发起者或者响应者将各自的部分秘密发送给另一方之后,还包括:另一方对接收到的秘密进行解密处理。
优选地,所述发起者或者响应者将各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密具体为:
发起者存储的秘密为y1,响应者存储的秘密为y2,并且发起者还存储包括共开的元素x1,响应者还存储包括共开的元素x2;所述x1,y1以及x2,y2满足预设的函数关系;
发起者或者响应者将各自的秘密y1或者y2发送给另一方。
优选地,所述预设的函数关系为:
f(x)=ax+b
由x1,y1以及x2,y2可以计算得到预设函数,a表示函数的系数,b表示预共享密匙。
优选地,所述另一方将接收的秘密与存储的秘密进行重构得到预共享密匙具体为:
另一方接收到秘密y1或者y2,并结合公开的元素x1和x2计算得到预设函数,从而得到预共享密匙。
本申请第二方面提供一种配电通信设备安全接入认证装置,所述装置包括:
收发单元,所述收发单元用于将发起者或者响应者各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密;
重构单元,所述重构单元用于将接收的秘密与存储的秘密进行重构得到预共享密匙;
认证单元,所述认证单元用于通过所述预共享密匙完成认证过程。
优选地,还包括:加密单元,所述加密单元用于将发起者或者响应者各自的部分秘密进行加密处理。
优选地,还包括:解密单元,所述解密单元用于将接收到的秘密进行解密处理。
本申请第三方面提供一种配电通信设备安全接入认证设备,所述设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令,执行如上述第一方面所述的配电通信设备安全接入认证方法的步骤。
从以上技术方案可以看出,本申请公开了一种配电通信设备安全接入认证方法,包括发起者或者响应者将各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密;另一方将接收的秘密与存储的秘密进行重构得到预共享密匙;发起者或者响应者通过所述预共享密匙完成认证过程。
本申请通过将认证双方的预共享密钥进行拆分,在需要进行认证的时候双方通过数学方法恢复真正的预共享密钥,由此,即使某一方的预共享密钥由于某种原因导致泄露,配电无线通信网络中的攻击者仍然不能通过分析协商安全策略和密钥的交换过程中的消息内容计算出新的认证数据并替代原有消息的正确数据,不会影响到对协商安全策略和密钥交换过程中的内容认证。避免了预共享密匙的泄露的问题。
附图说明
图1为本申请一种配电通信设备安全接入认证方法的一个实施例的方法流程图;
图2为本申请一种配电通信设备安全接入认证方法的另一个实施例的方法流程图;
图3为本申请一种配电通信设备安全接入认证装置的一个实施例的装置结构图;
图4为未采用本申请方法的初始交换过程的示意图;
图5为采用本申请方法的初始交换过程的示意图;
图6为本申请一种配电通信设备安全接入认证方法的一个具体实施例中的函数关系示意图。
具体实施方式
首先本申请是针对配电无线通信设备的IPSec的密钥协商及身份认证。而IPSec协议族主要由以下几个部分组成:验证头AH、封装安全载荷ESP、IKE协议、安全联盟SA以及安全策略等。其密钥协商及身份认证主要由IKE实施。
IKE协议是IPSec协议族的核心,其负责动态协商和管理IPSec安全联盟SA。现在较多使用IKEv2,IKEv2协议包括的主要内容有初始交换和后续交换:
初始交换包括:IKE_SA_INIT与IKE_AUTH。
IKE_SA_INIT交换是IKEv2本身协商安全策略和密钥。
IKE_AUTH交换是对IKE_SA_INIT交换中的所有内容进行认证,对对方的身份信息进行验证,为IKEv2生成安全联盟,同时还需要完成对IPSec安全策略和流量选择符的协商,并为IPSec生成安全联盟。
后续交换包括:CREAT_CHILD_SA或INFORMATIONAL EXCHANGE。
CREATE_CHILD_SA完成的功能有3个:1、为IKE_SA进行密钥更新(rekey);2、协商新的IPSec SA;3、为IKE_SA所生成的IPSec SA进行密钥更新(rekey)。
INFORMATIONAL EXCHANGE交换被用来传递控制信息给对方,如删除特定的安全关联、请求配置、通知特定事件等。
本申请是对初始交换过程进行改进,如图4所示,图4为未采用本申请方法的初始交换过程的示意图。
包括IKE_SA_INIT交换与IKE_AUTH交换。
其中IKE_SA_INIT交换包括对密匙算法进行协商、nonces的交换以及一次Diffle-Hellman交换,从而生成用于加密和验证后续交换所需的密钥材料;如图4中的前两个步骤,其中HDR为消息头部,SA载荷为安全联盟,KE载荷发送双方的Diffle-Hellman值,N为双方的nonce值,后缀i表示发起者发送的信息,后缀r表示响应者返回的信息。
IKE_AUTH交换包括对前两条消息的验证,同时交换身份和证书信息,完成对IPSec安全策略和流量选择符的协商,为IPSec生成安全联盟,并建立第一个CHILD_SA。其中SK代表协商双方支持的加密算法,ID为双方的身份信息,AUTH为验证数据,身份标识载荷为IDi与IDr,证书载荷和证书请求载荷分别为CERT和CERTREQ,TS为流量选择符载荷,可以使节点识别待IPSec安全服务处理的数据流,即用来标识所支持的进行IPSec安全服务保护的报文流的IP与端口范围,从本质上来说,TS载荷的协商是通信双方为了寻求SPD策略的通信流保密交换的一致性而进行的。
在初始交换过程中,IKE_AUTH交换过程对IKE_SA_INIT过程通过认证载荷进行认证,以协商得到第一个CHILD_SA。IKEv2协商双方在认证载荷的AUTH TYPE域中指定认证算法。在预共享密钥认证方式下,认证载荷的认证数据计算如下:
AUTH=prf(prf(Shared Secret,“Key Pad for IKEv2”),<msg octets>)
其中,Shared Secret是通信双方的共享秘密;“Key Pad for IKEv2”是17个ASCII字符组成的字符串(不含空的终结符);<msg octets>是消息字节,其计算方式为:
<msg octets>r=HDR,SAr1,KEr,Nr,Ni’,prf(SK_pr,IDr’)
<msg octets>i=HDR,SAi1,KEi,Ni,Nr’,prf(SK_pi,IDi’)
在预共享密钥认证方式下,认证载荷中的认证数据是根据预先共享的密钥计算得到的。若发起者或者响应者由于某种原因泄露了预先共享的密钥,而如果此时公共网络中潜在的攻击者截获没有受到保护的IKE_SA_INIT交换过程中的消息内容,并计算出了保护IKE_AUTH交换过程的相关密钥,则由于预先共享的密钥泄露,攻击者可以根据AUTH计算公式计算出新的认证数据并且替代原有消息的正确数据,从而导致IKE_AUTH交换对IKE_SA_INIT交换过程认证的失败。
现有配电无线通信网IPSec方案中,对于重要业务节点的配电无线通信设备,其强制性配备存储有预共享密钥的IPSec加密专用芯片,对IKE_SA_INIT交换过程中的消息内容进行硬件非对称加密,解决了该消息泄露导致的安全性问题。但该方案对其他本身由于功耗、体积和成本的限制无法使用该种硬加密的状态监测类的业务节点无效。
基于上述问题,本申请提供了一种配电通信设备安全接入认证方法、装置及设备,通过将认证双方的预共享密钥进行拆分,在需要进行认证的时候双方通过数学方法恢复真正的预共享密钥,由此,即使某一方的预共享密钥由于某种原因导致泄露,配电无线通信网络中的攻击者仍然不能通过分析协商安全策略和密钥的交换过程中的消息内容计算出新的认证数据并替代原有消息的正确数据,不会影响到对协商安全策略和密钥交换过程中的内容认证。避免了预共享密匙的泄露的问题。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了便于理解,请参阅图1,图1为本申请一种配电通信设备安全接入认证方法的一个实施例的方法流程图;如图1所示,图1中包括:
101、发起者或者响应者将各自的部分秘密发送给另一方,发起者或者响应者各自存储部分秘密。
需要说明的是,发起者或者响应者首先将各自存储的部分秘密发送给另一方,发起者和响应者各自存储部分秘密,其他人即使窃取发起者或者响应者一方的秘密也不能获得完整的秘密,从而窃取消息。
102、另一方将接收的秘密与存储的秘密进行重构得到预共享密匙。
需要说明的是,另一方接收到来自发起者或者响应者的部分秘密之后,可以通过将自身的秘密与接收到的秘密进行重构从而得到完整的秘密,其重构的方法可以是通过数学函数关系进行重构,例如两部分秘密满足一定的数学关系式,通过一定的重构方法,将两部分秘密重构得到完整的预共享密匙。
103、发起者或者响应者通过所述预共享密匙完成认证过程。
需要说明的是,通过重构获得预共享密匙之后,可以开始接下来的认证过程,例如开始IKE_AUTH交换的过程,从而完成对步骤101-103消息的验证,同时交换身份和证书信息。
本申请通过将认证双方的预共享密钥进行拆分,在需要进行认证的时候双方通过数学方法恢复真正的预共享密钥,由此,即使某一方的预共享密钥由于某种原因导致泄露,配电无线通信网络中的攻击者仍然不能通过分析协商安全策略和密钥的交换过程中的消息内容计算出新的认证数据并替代原有消息的正确数据,不会影响到对协商安全策略和密钥交换过程中的内容认证。避免了预共享密匙的泄露的问题。
另外本申请还提供了另外一种为了便于理解,请参阅图2,图2为本申请一种配电通信设备安全接入认证方法的另一个实施例的方法流程图;如图2所示,具体为:
201、发起者或者响应者将各自的部分秘密进行加密处理。
需要说明的是,在一种具体的实施例中,发起者存储的数据为(x1,y1),响应者存储的数据为(x2,y2),其中x1,x2表示公开的数据,y1,y2表示发起者或者响应者各自存储的秘密,当需要传输秘密时,首先采用临时密匙加密将秘密y1或者y2进行加密处理得到Y1或者Y2,所采用的临时密匙加密算法可以是任何常见的加密算法。
202、发起者或者响应者将各自的部分秘密发送给另一方,发起者或者响应者各自存储部分秘密。
需要说明的是,发起者或者响应者首先将各自存储的部分秘密Y1或者Y2发送给另一方,发起者和响应者各自存储部分秘密,其他人即使窃取发起者或者响应者一方的秘密也不能获得完整的秘密,从而窃取消息。
203、另一方对接收到的秘密进行解密处理。
需要说明的是,接收到秘密Y1或者Y2之后,需要对Y1或者Y2进行解密处理得到秘密y1或者y2,在实施认证的过程中,认证方利用IKEv2协商过程的IKE_SA_INIT交换中的Diffle-Hellman交换生成的临时密钥加密各自的y得到Y,然后将Y包含在Notify载荷中发送给认证对方。
204、另一方将接收的秘密与存储的秘密进行重构得到预共享密匙。
需要说明的是,另一方接收到来自发起者或者响应者的部分秘密之后,可以通过将自身的秘密与接收到的秘密进行重构从而得到完整的秘密,其重构的方法可以是通过数学函数关系进行重构,例如两部分秘密满足一定的数学关系式,通过一定的重构方法,将两部分秘密重构得到完整的预共享密匙。
在一种具体的实施例中,(x1,y1)和(x2,y2)满足的数学函数关系可以是:
f(x)=ax+b,f(x)∈Zp[x]
其中由x1,y1以及x2,y2可以计算得到预设函数,a表示函数的系数,b表示预共享密匙,Zp表示值域,在此表达式中,Zp表示实数域。当一方获取到发起者或者响应者发送的秘密之后,再结合公开的数据x1,x2以及自身的秘密,可以求得对应的函数关系式,从而可以得到b的值,即求得预共享密匙,其(x1,y1)和(x2,y2)满足的数学函数关系构成的曲线示意图如图6所示,还需要说明的是本申请除了采用以上的函数关系之外还可以采用例如一元二次函数,或者其他更为复杂的函数关系。
205、发起者或者响应者通过所述预共享密匙完成认证过程。
需要说明的是,通过重构获得预共享密匙之后,可以开始接下来的认证过程,例如开始IKE_AUTH交换的过程,从而完成对步骤201-205消息的验证,同时交换身份和证书信息。
本申请实施例通过将认证双方的预共享密钥进行拆分,在需要进行认证的时候双方通过数学方法恢复真正的预共享密钥,由此,即使某一方的预共享密钥由于某种原因导致泄露,配电无线通信网络中的攻击者仍然不能通过分析协商安全策略和密钥的交换过程中的消息内容计算出新的认证数据并替代原有消息的正确数据,不会影响到对协商安全策略和密钥交换过程中的内容认证。避免了预共享密匙的泄露的问题,另外本申请在数据交换过程中还可以采用临时密匙加密将秘密加密处理,进一步的增加了数据传输的安全系数。
通过上述方案可以很清晰的得到本申请初始交换的具体过程,如图5所示,图5为采用本申请方法的初始交换过程的示意图,其具体过程如下:
其中前面4个过程为IKE_SA_INIT交换,后面两个过程为IKE_AUTH交换。发起者将消息头部HDR、安全联盟SA载荷、KE载荷以及nonce值发送给响应者,响应者接收到消息之后,反馈消息头部HDR、安全联盟SA载荷、KE载荷、nonce值以及证书请求载荷CERTREQ发送给发起者,发起者接收到消息之后将加密的秘密发送给响应者,响应者随之反馈自身加密的秘密给到发起者,从而完成密匙算法进行协商、nonces的交换以及一次Diffle-Hellman交换,生成用于加密和验证后续交换所需的密钥材料。
IKE_AUTH交换过程包括对前四条消息的验证,同时交换身份和证书信息,完成对IPSec安全策略和流量选择符的协商,为IPSec生成安全联盟,并建立第一个CHILD_SA。
在以上改进后的预共享密钥认证算法中,认证双方不存储真正的共享密钥,改为记忆预先选择的直线方程和拆分后的秘密。即使某一方泄露了全部秘密,攻击者也不能计算出真正的预共享密钥,当然也无法通过认证,所以改进后的算法大幅度减少了预共享密钥泄露的可能性,提高了预共享密钥算法的安全性。另外,如果存在恶意的第三方冒充合法认证一方,那么双方在重构计算得到的预共享密钥是不同的,也就无法通过以后的认证步骤。
以上是本申请一种配电通信设备安全接入认证方法的实施例,本申请实施例还提供了一种配电通信设备安全接入认证装置的具体实施例,为了便于理解,可以参考图2,图2为本申请一种配电通信设备安全接入认证装置的一个实施例的装置结构图,装置包括:
收发单元301,用于将发起者或者响应者各自的部分秘密发送给另一方,发起者或者响应者各自存储部分秘密。
重构单元302,用于将接收的秘密与存储的秘密进行重构得到预共享密匙。
认证单元303,用于通过预共享密匙完成认证过程。
另外,在一种具体的实施例中还包括:
加密单元,用于将发起者或者响应者各自的部分秘密进行加密处理。
解密单元,用于将接收到的秘密进行解密处理。
本申请实施例还提供一种配电通信设备安全接入认证设备,设备包括处理器以及存储器:存储器用于存储程序代码,并将程序代码传输给处理器;处理器用于根据所述程序代码中的指令执行一种配电通信设备安全接入认证方法中任意一种实施例。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种配电通信设备安全接入认证方法,其特征在于,包括:
发起者或者响应者将各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密;
另一方将接收的秘密与存储的秘密进行重构得到预共享密匙;
发起者或者响应者通过所述预共享密匙完成认证过程。
2.根据权利要求1所述的配电通信设备安全接入认证方法,其特征在于,在所述发起者或者响应者将各自的部分秘密发送给另一方之前还包括:
发起者或者响应者将各自的部分秘密进行加密处理。
3.根据权利要求2所述的配电通信设备安全接入认证方法,其特征在于,在所述发起者或者响应者将各自的部分秘密发送给另一方之后,还包括:
另一方对接收到的秘密进行解密处理。
4.根据权利要求1所述的配电通信设备安全接入认证方法,其特征在于,所述发起者或者响应者将各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密具体为:
发起者存储的秘密为y1,响应者存储的秘密为y2,并且发起者还存储包括共开的元素x1,响应者还存储包括共开的元素x2;所述x1,y1以及x2,y2满足预设的函数关系;
发起者或者响应者将各自的秘密y1或者y2发送给另一方。
5.根据权利要求4所述的配电通信设备安全接入认证方法,其特征在于,所述预设的函数关系为:
f(x)=ax+b
由x1,y1以及x2,y2可以计算得到预设函数,a表示函数的系数,b表示预共享密匙。
6.根据权利要求4所述的配电通信设备安全接入认证方法,其特征在于,所述另一方将接收的秘密与存储的秘密进行重构得到预共享密匙具体为:
另一方接收到秘密y1或者y2,并结合公开的元素x1和x2计算得到预设函数,从而得到预共享密匙。
7.一种配电通信设备安全接入认证装置,其特征在于,包括:
收发单元,所述收发单元用于将发起者或者响应者各自的部分秘密发送给另一方,所述发起者或者响应者各自存储部分秘密;
重构单元,所述重构单元用于将接收的秘密与存储的秘密进行重构得到预共享密匙;
认证单元,所述认证单元用于通过所述预共享密匙完成认证过程。
8.根据权利要求7所述的配电通信设备安全接入认证装置,其特征在于,还包括:
加密单元,所述加密单元用于将发起者或者响应者各自的部分秘密进行加密处理。
9.根据权利要求7所述的配电通信设备安全接入认证装置,其特征在于,还包括:
解密单元,所述解密单元用于将接收到的秘密进行解密处理。
10.一种配电通信设备安全接入认证设备,其特征在于,所述设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行权利要求1-6任一项所述的配电通信设备安全接入认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911039252.4A CN110730071A (zh) | 2019-10-29 | 2019-10-29 | 一种配电通信设备安全接入认证方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911039252.4A CN110730071A (zh) | 2019-10-29 | 2019-10-29 | 一种配电通信设备安全接入认证方法、装置及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110730071A true CN110730071A (zh) | 2020-01-24 |
Family
ID=69222505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911039252.4A Pending CN110730071A (zh) | 2019-10-29 | 2019-10-29 | 一种配电通信设备安全接入认证方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110730071A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113301432A (zh) * | 2021-05-14 | 2021-08-24 | 海信视像科技股份有限公司 | 显示设备、终端设备及通信连接方法 |
| CN114095423A (zh) * | 2021-10-11 | 2022-02-25 | 王云森 | 基于mpls的电力通信骨干网数据安全防护方法及系统 |
| CN114124160A (zh) * | 2021-10-29 | 2022-03-01 | 宁波三星智能电气有限公司 | 适用于plc载波安全的一表一psk适配方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101981885A (zh) * | 2008-03-25 | 2011-02-23 | 上海贝尔股份有限公司 | 使用ipsec esp以支持用于基于udp的oma使能者的安全功能的方法和实体 |
| WO2012085215A1 (fr) * | 2010-12-23 | 2012-06-28 | Thales | Procede et systeme pour l'authentification multi-modale multi-seuil utilisant le partage de secret |
| US20140205089A1 (en) * | 2013-01-24 | 2014-07-24 | Raytheon Company | System and method for differential encryption |
| CN109428867A (zh) * | 2017-08-30 | 2019-03-05 | 华为技术有限公司 | 一种报文加解密方法、网路设备及系统 |
-
2019
- 2019-10-29 CN CN201911039252.4A patent/CN110730071A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101981885A (zh) * | 2008-03-25 | 2011-02-23 | 上海贝尔股份有限公司 | 使用ipsec esp以支持用于基于udp的oma使能者的安全功能的方法和实体 |
| WO2012085215A1 (fr) * | 2010-12-23 | 2012-06-28 | Thales | Procede et systeme pour l'authentification multi-modale multi-seuil utilisant le partage de secret |
| US20140205089A1 (en) * | 2013-01-24 | 2014-07-24 | Raytheon Company | System and method for differential encryption |
| CN109428867A (zh) * | 2017-08-30 | 2019-03-05 | 华为技术有限公司 | 一种报文加解密方法、网路设备及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 高振栋: "IKEv2预共享密钥认证机制的改进算法", 《计算机技术与发展》 * |
| 黄松柏: "IPSEC中密钥交换协议的分析改进及其实现", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113301432A (zh) * | 2021-05-14 | 2021-08-24 | 海信视像科技股份有限公司 | 显示设备、终端设备及通信连接方法 |
| CN114095423A (zh) * | 2021-10-11 | 2022-02-25 | 王云森 | 基于mpls的电力通信骨干网数据安全防护方法及系统 |
| CN114095423B (zh) * | 2021-10-11 | 2023-04-14 | 北京东方京海电子科技有限公司 | 基于mpls的电力通信骨干网数据安全防护方法及系统 |
| CN114124160A (zh) * | 2021-10-29 | 2022-03-01 | 宁波三星智能电气有限公司 | 适用于plc载波安全的一表一psk适配方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| CN106878016A (zh) | 数据发送、接收方法及装置 | |
| US20040151322A1 (en) | Method and arrangement for efficient information network key exchange | |
| CN109951513B (zh) | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 | |
| EP2756696A1 (en) | Systems and methods for encoding exchanges with a set of shared ephemeral key data | |
| CN103118027A (zh) | 基于国密算法建立tls通道的方法 | |
| Dantu et al. | EAP methods for wireless networks | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN113497778A (zh) | 一种数据的传输方法和装置 | |
| CN110730071A (zh) | 一种配电通信设备安全接入认证方法、装置及设备 | |
| KR101531662B1 (ko) | 사용자 단말과 서버간 상호 인증 방법 및 시스템 | |
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN114143117B (zh) | 数据处理方法及设备 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| Noh et al. | Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN111130775A (zh) | 一种密钥协商方法、装置及设备 | |
| CN113204757A (zh) | 一种信息交互方法、装置和系统 | |
| CN105141629A (zh) | 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法 | |
| CN110224816A (zh) | 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN113365264B (zh) | 一种区块链无线网络数据传输方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200124 |