CN111083131B - 一种用于电力物联网感知终端轻量级身份认证的方法 - Google Patents

Abstract

本发明公开了一种用于电力物联网感知终端轻量级身份认证的方法，步骤一，物联终端向边缘物联代理发密文数据和签名值，进入步骤二；步骤二，边缘物联代理解开密文数据并验证签名值，进入步骤三；步骤三，判断边缘物联代理解开密文数据是否正确，判断边缘物联代理验证签名值是否正确：若边缘物联代理解开密文数据正确并且边缘物联代理验证签名值正确的条件同时满足则进入步骤四；若边缘物联代理解开密文数据不正确或边缘物联代理验证签名值不正确则边缘物联代理向终端发出告警并且进入步骤五，定义告警次数N，N为整数，N=N+L，L为不为0的常数。

Description

一种用于电力物联网感知终端轻量级身份认证的方法

技术领域

本发明涉及一种用于电力物联网感知终端轻量级身份认证的方法，属于身份认证技术领域。

背景技术

泛在电力物联网是指任何时间、任何地点、任何人、任何物之间的信息连接和交互，它将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备以及人和物连接起来，产生共享数据，为用户、电网、发电、供应商和政府社会服务。

随着泛在电力物联网的建设与发展，边缘计算逐渐应用于各类业务，业务横向交互需求凸显，安全边界范围不断扩大、难以界定，以隔离为主的现有防护体系难以满足物与物的广泛互联需求，传统的基于数字证书的认证体系并不适用于计算资源受限的海量感知终端的接入身份认证，这将直接导致仿冒终端的非法接入，攻击者以仿冒终端作为跳板，发起对电力业务主站系统的攻击，造成不可估量的损失。因此，为解决上述问题，必须实现一种适合感知终端安全接入并且行之有效的轻量级身份认证机制。

常用的身份认证技术主要有三种，分别为基于口令认证、基于密码学认证、基于生物或设备特征认证。其中，基于口令的认证方式简单易用，也是常用的认证方式，但HTTP和TELNET等应用层协议均采用明文方式传输口令，容易被攻击者窃听，且通过字典及穷举攻击，攻击者容易获得口令，从而直接导致这种认证方式失效；基于密码学的认证方式，主要有PKI、CPK及IBC，CPK即组合公钥技术，IBC即标识密码技术；基于生物或设备特征认证，主要借助于指纹、虹膜等独一无二的特征对生物或设备进行鉴别，针对海量感知终端，设备指纹的获取过于复杂且实施难度大。因此，应基于密码学的认证方式，对海量感知终端进行身份鉴别，具体采用哪种密码学认证方式，还需进一步研究。

PKI技术为实现网络通信保密性、完整性和不可否认性提供一套完整、成熟可靠的解决方案，其基本实施步骤如下：（1）通信双方向可信的CA申请数字证书，CA全名为Certificate Authority即颁发数字证书的机构；（2）CA给通信双方签发数字证书；（3）通信双方基于数字证书及各自的私钥通过非对称密码算法的数字签名、验签等密码服务实现双向认证。

CPK技术将密钥生产和密钥管理结合起来，能够实现数字签名和密钥交换，可以满足超大规模信息网络与非信息网络中的标识鉴别、实体鉴别、数据保密需求，其基本实施步骤如下：（1）通信双方向密钥管理中心提供各自标识；（2）密钥管理中心根据标识给通信双方发放与其标识对应的公钥和私钥；（3）通信双方基于对方的公钥和自身的私钥通过非对称密码算法的数字签名、验签等密码服务实现双向认证。

IBC标识密码技术：以用户的标识信息如姓名、IP地址、电子邮箱地址、手机号码等直接作为用户公钥，为用户提供一套简便的身份认证方案，其基本实施步骤如下：（1）通信双方向密钥生成中心提供各自标识；（2）密钥生成中心根据标识给通信双方发放与其标识对应的私钥；（3）通信双方基于对方的公钥和自身的私钥通过非对称密码算法的数字签名、验签等密码服务实现双向认证。

从数字证书管理成本、算法运算效率及安全性等方面可以看出现有技术方案中的PKI技术及CPK技术应用到物联网业务时将存在不足之处。

（1）数字证书管理成本问题。PKI基于数字证书并通过数字签名、数字验签及数据加密技术，为实现网络通信保密性、完整性和不可否认性提供一套完整、成熟可靠的解决方案。针对小规模的物联网应用，PKI认证方式是可行的，但是针对大规模的物联网应用，需要为每一个设备都要颁发数字证书，在使用过程中还需要交换对方的证书，在物联网这种用户数巨大、点对点交互频繁而随机的使用场景下，需要维护管理大量证书、进行在线交换，整体建设和维护成本非常之高，难以普及。

（2）运算效率及安全性平衡问题。CPK技术将密钥生产和密钥管理结合起来，可以少量种子生成几乎无限个公钥，简化了密钥管理，能够实现数字签名和密钥交换，其高效性可以满足超大规模网络中的标识鉴别、实体鉴别、数据保密需求，但是CPK的高运算效率是以牺牲安全性为代价，在私钥分发方面自身安全性欠缺，需要额外建立安全通道。

电力物联网感知终端呈现数量巨大、结构复杂、种类多样等特点，传统的基于数字证书的PKI认证体系主要用于具有较高计算能力的智能终端和主站系统，不能完全覆盖泛在电力物联网终端。针对小规模的物联网应用，PKI认证方式是可行的，但是针对大规模的物联网应用，PKI认证方式将会降低感知终端的安全接入效率，同时海量终端的数字证书维护也将大规模增加管理成本。

此外，大量的计算、存储资源受限终端难以落实高强度的认证措施，且缺乏相应的审计措施，依托传统芯片防护成本较高，仅通过简单IP、MAC绑定等方式防护，存在被仿冒的风险。攻击者可以利用仿冒的感知终端攻击电网，非法获取或篡改电力生产数据，将造成巨大经济损失和社会影响。部分感知终端是跨专业综合服务终端，被攻击者仿冒后，可非法获取、篡改相关数据，并进一步突破专业防护，发起全局攻击。

发明内容

本发明所要解决的技术问题是克服现有技术中电力物联网感知终端存在仿冒接入而传统的PKI即公钥基础设施认证体系不适用的问题缺陷，结合电力物联网业务场景中感知终端接入的实际应用情况，设计了适用于电力感知终端安全接入的方法，提供一种用于电力物联网感知终端轻量级身份认证的方法。

为达到上述目的，本发明提供一种用于电力物联网感知终端轻量级身份认证的方法，边缘物联代理的接入身份认证包括以下步骤：

步骤一，物联终端向边缘物联代理发密文数据和签名值，进入步骤二；

步骤二，边缘物联代理解开密文数据并验证签名值，进入步骤三；

步骤三，判断边缘物联代理解开密文数据是否正确，判断边缘物联代理验证签名值是否正确：若边缘物联代理解开密文数据正确并且边缘物联代理验证签名值正确的条件同时满足则进入步骤四；若边缘物联代理解开密文数据不正确或边缘物联代理验证签名值不正确则边缘物联代理向终端发出告警并且进入步骤五，定义告警次数N，N为整数，N=N+L，L为不为0的常数；

步骤四，边缘物联代理向物联终端发送密文数据和签名值，进入步骤七；

步骤五，判断告警次数N是否达到M次，若告警次数N未达到M次则进入步骤一，若告警次数N达到M次则进入步骤六；

步骤六，阻断物联终端接入，结束；

步骤七，物联终端解开密文数据并验证签名值，进入步骤八；

步骤八，判断解开密文数据是否正确，判断验证签名值是否正确：若解开密文数据正确和验证签名值正确的条件同时满足则物联终端向边缘物联代理发出随机数异或值，进入步骤九；若解开密文数据不正确或验证签名值不正确则物联终端向边缘物联代理发出告警，N=N+L，进入步骤五；

步骤九，判断物联终端和边缘物联代理计算得出的随机数异或值是否一致：若物联终端和边缘物联代理计算得出的随机数异或值是一致的，则允许物联终端连接，结束；若物联终端和边缘物联代理计算得出的随机数异或值不是一致的，则物联终端向边缘物联代理发出告警，N=N+L，进入步骤五。

优先地，还包括设备注册步骤：

物联终端或边缘物联代理向密钥生成中心发送注册信息，注册信息包括唯一标识ID、随机数、密钥申请时间和密钥有效期，唯一标识ID即公钥，随机数、密钥申请时间和密钥有效期用密钥生成中心的公钥进行加密后发送，密钥生成中心收到注册信息后用密钥生成中心的私钥解开密文数据，密钥生成中心获取注册信息并向物联终端或边缘物联代理反馈注册结果，进入私钥申请与分发步骤。

优先地，私钥申请与分发步骤包括：

私钥申请：物联终端或边缘物联代理各自通过随机数生成函数随机生成一个随机数，物联终端或边缘物联代理计算随机数的哈希值，向密钥生成中心申请私钥；

私钥计算分发：密钥生成中心用主私钥对物联终端或边缘物联代理随机数的哈希值进行计算，将计算结果发送给物联终端或边缘物联代理；

私钥获取：物联终端或边缘物联代理收到计算结果后计算出签名私钥和加密私钥；

进入接入认证步骤。

优先地，接入终端认证步骤：

终端认证请求：物联终端产生随机数，对该随机数采用边缘物联代理的公钥进行加密，并对随机数的哈希值采用终端设备的私钥进行签名；

终端认证：边缘物联代理对物联终端的密文数据采用边缘物联代理的私钥进行解开密文数据，得到物联终端的随机数，并采用物联终端的公钥对物联终端的签名值进行验签，进入步骤一。

优先地，N初始值为0，L数值为1；M=N+a×L，a为正整数，a为判断告警的次数。

优先地，边缘物联代理包括以下认证功能：

接收物联终端发过来的密文数据和签名值；

采用边缘物联代理的私钥解开密文数据，得到物联终端的随机数；

用物联终端的公钥对物联终端的签名值进行验证签名值；

将物联终端的随机数与边缘物联代理的随机数进行异或运算；

产生随机数，对该随机数采用物联终端的公钥进行加密，并对随机数的哈希值采用边缘物联代理的私钥进行签名；

在收到物联终端发过来的随机数异或值时，将自身计算得到的随机数异或值和物联终端发过来的随机数异或值进行比对，两个随机数异或值比对一致则说明双向认证通过。

一种边缘物联代理设备，包括以下模块：

认证请求模块，用于接收物联终端发过来的密文数据和签名值；

密文数据模块，用于采用边缘物联代理的私钥解开密文数据，得到物联终端的随机数；

签名数据模块，用于用物联终端的公钥对物联终端的签名值进行验证签名值；

随机数运算模块，用于将物联终端的随机数与边缘物联代理的随机数进行异或运算；

发送异或运算结果及认证请求模块，用于产生随机数，对该随机数采用物联终端的公钥进行加密，并对随机数的哈希值采用边缘物联代理的私钥进行签名；

比对随机数异或结果模块，用于在收到物联终端发过来的随机数异或值时，将自身计算得到的随机数异或值和物联终端发过来的随机数异或值进行比对，两个随机数异或值比对一致则说明双向认证通过。

优先地，物联终端包括以下认证功能：

接收边缘物联代理发过来的密文数据和签名值；

用物联终端的私钥解开密文数据，得到边缘物联代理的随机数；

采用边缘物联代理的公钥对边缘物联代理的签名值进行验证签名值；

将边缘物联代理的随机数与物联终端的随机数进行异或运算，并将随机数异或值发给边缘物联代理。

一种物联终端，包括以下模块：

认证请求接收模块，用于接收边缘物联代理发过来的密文数据和签名值；

解密模块，用于用物联终端的私钥解开密文数据，得到边缘物联代理的随机数；

验证模块，用于采用边缘物联代理的公钥对边缘物联代理的签名值进行验证签名值；

随机数运算模块，用于将边缘物联代理的随机数与物联终端的随机数进行异或运算，并将随机数异或值发给边缘物联代理。

优先地，包括前文所述的边缘物联代理设备；以及如前文所述的物联终端。本发明所达到的有益效果：

（1）本发明不依赖于数字证书进行身份认证。在电力物联网业务场景中，为便于对海量感知终端进行管理，需要对每个感知终端配备一个无法轻易被篡改的标识采用基于标识的密码算法技术如IBC实现感知终端接入时的身份认证，本发明解决了在物联网这种用户数巨大、点对点交互频繁而随机的使用场景下使用数字证书带来的建设和维护成本高的问题，本发明整体建设容易和维护成本低，便于大规模普及。

（2）本发明提高了设备身份认证效率。IBC技术所采用的SM9算法相对于CPK技术所采用的SM2算法，运算效率偏低，但通过简化感知终端接入的安全认证协议，减少了不必要的通信双方交互环节，可以弥足自身效率偏低的缺点，从而利用IBC技术的安全性优势，为感知终端的高效的安全接入提供可行性。

附图说明

图1是IBC标识认证体系的加密-解密应用场景的原理框图；

图2是IBC标识认证体系的签名-验签应用场景的原理框图；

图3是电力物联网总体架构图；

图4是终端接入双向认证的流程图。

具体实施方式

以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

IBC标识认证体系的应用场景有两种，一种是加密-解密，另一种是签名-验签，下面对这两种应用场景进行分析说明。

（1）加密-解密

在加密-解密应用场景中，用户B采用密钥生成中心KGC的系统参数及用户A的公钥对数据进行加密，用户A输入从密钥生成中心KGC申请到的与其公钥匹配的私钥及系统参数，则可以对用户B发过来的密文数据进行解密即解开密文数据，从而确保数据传输安全，具体过程如图1所示。与传统的PKI认证体系不同的是，用户A不需要通过证书请求文件从CA获取数字证书，再从数字证书中提取公钥，而是直接以其标识ID作为公钥。

（2）签名-验签

在签名-验签应用场景中，用户B输入密钥生成中心KGC的系统参数及申请到的与其公钥匹配的私钥，对明文数据的哈希值进行签名，用户A采用密钥生成中心KGC的系统参数及用户B的公钥可以对用户B的签名及明文数据进行验证，从而可以验证用户B的身份，具体过程如图2所示。与传统的PKI认证体系不同的是，用户B不需要通过证书请求文件从CA获取数字证书，再从数字证书中提取公钥，而是直接以其标识ID作为公钥。

考虑到实际应用场景，电力物联网分为四个层次，分别为感知层、网络层、平台层和应用层，如图3所示，本方法解决的是感知层中边缘物联代理和物联终端之间的认证问题。

轻量级接入认证主要基于上述两个原型实现，物联终端接入双向认证流程如图4所示，以国密SM9为例，物联终端首次连接时先获取SM9系统参数，后续基于双向认证的安全接入流程如图4所示。

一种用于电力物联网感知终端轻量级身份认证的方法，边缘物联代理的接入身份认证包括以下步骤：

步骤一，物联终端向边缘物联代理发密文数据和签名值，进入步骤二；

步骤二，边缘物联代理解开密文数据并验证签名值，进入步骤三；

步骤三，判断边缘物联代理解开密文数据是否正确，判断边缘物联代理验证签名值是否正确：若边缘物联代理解开密文数据正确并且边缘物联代理验证签名值正确的条件同时满足则进入步骤四；若边缘物联代理解开密文数据不正确或边缘物联代理验证签名值不正确则边缘物联代理向终端发出告警并且进入步骤五，定义告警次数N，N为整数，N=N+L，L为不为0的常数；

步骤四，边缘物联代理向物联终端发送密文数据和签名值，进入步骤七；

步骤五，判断告警次数N是否达到M次，若告警次数N未达到M次则进入步骤一，若告警次数N达到M次则进入步骤六；

步骤六，阻断物联终端接入，结束；

步骤七，物联终端解开密文数据并验证签名值，进入步骤八；

步骤八，判断解开密文数据是否正确，判断验证签名值是否正确：若解开密文数据正确和验证签名值正确的条件同时满足则物联终端向边缘物联代理发出随机数异或值，进入步骤九；若解开密文数据不正确或验证签名值不正确则物联终端向边缘物联代理发出告警，N=N+L，进入步骤五；

步骤九，判断物联终端和边缘物联代理计算得出的随机数异或值是否一致：若物联终端和边缘物联代理计算得出的随机数异或值是一致的，则允许物联终端连接，结束；若物联终端和边缘物联代理计算得出的随机数异或值不是一致的，则物联终端向边缘物联代理发出告警，N=N+L，进入步骤五。

进一步地，还包括设备注册步骤：

物联终端或边缘物联代理向密钥生成中心发送注册信息，注册信息包括唯一标识ID、随机数、密钥申请时间和密钥有效期，唯一标识ID即公钥，随机数、密钥申请时间和密钥有效期用密钥生成中心的公钥进行加密后发送，密钥生成中心收到注册信息后用密钥生成中心的私钥解开密文数据，密钥生成中心获取注册信息并向物联终端或边缘物联代理反馈注册结果，进入私钥申请与分发步骤。

进一步地，私钥申请与分发步骤包括：

私钥申请：物联终端或边缘物联代理各自通过随机数生成函数随机生成一个随机数，物联终端或边缘物联代理计算随机数的哈希值，向密钥生成中心申请私钥；

私钥计算分发：密钥生成中心用主私钥对物联终端或边缘物联代理随机数的哈希值进行计算，将计算结果发送给物联终端或边缘物联代理；

私钥获取：物联终端或边缘物联代理收到计算结果后计算出签名私钥和加密私钥；

进入接入认证步骤。

进一步地，接入终端认证步骤：

终端认证请求：物联终端产生随机数，对该随机数采用边缘物联代理的公钥进行加密，并对随机数的哈希值采用终端设备的私钥进行签名；

终端认证：边缘物联代理对物联终端的密文数据采用边缘物联代理的私钥进行解开密文数据，得到物联终端的随机数，并采用物联终端的公钥对物联终端的签名值进行验签，进入步骤一。

进一步地，N初始值为0，L数值为1；M=N+a×L，a为正整数，a为判断告警的次数。

进一步地，边缘物联代理包括以下认证功能：

接收物联终端发过来的密文数据和签名值；

采用边缘物联代理的私钥解开密文数据，得到物联终端的随机数；

用物联终端的公钥对物联终端的签名值进行验证签名值；

将物联终端的随机数与边缘物联代理的随机数进行异或运算；

产生随机数，对该随机数采用物联终端的公钥进行加密，并对随机数的哈希值采用边缘物联代理的私钥进行签名；

在收到物联终端发过来的随机数异或值时，将自身计算得到的随机数异或值和物联终端发过来的随机数异或值进行比对，两个随机数异或值比对一致则说明双向认证通过。

一种边缘物联代理设备，包括以下模块：

认证请求模块，用于接收物联终端发过来的密文数据和签名值；

密文数据模块，用于采用边缘物联代理的私钥解开密文数据，得到物联终端的随机数；

签名数据模块，用于用物联终端的公钥对物联终端的签名值进行验证签名值；

随机数运算模块，用于将物联终端的随机数与边缘物联代理的随机数进行异或运算；

发送异或运算结果及认证请求模块，用于产生随机数，对该随机数采用物联终端的公钥进行加密，并对随机数的哈希值采用边缘物联代理的私钥进行签名；

比对随机数异或结果模块，用于在收到物联终端发过来的随机数异或值时，将自身计算得到的随机数异或值和物联终端发过来的随机数异或值进行比对，两个随机数异或值比对一致则说明双向认证通过。

进一步地，物联终端包括以下认证功能：

接收边缘物联代理发过来的密文数据和签名值；

用物联终端的私钥解开密文数据，得到边缘物联代理的随机数；

采用边缘物联代理的公钥对边缘物联代理的签名值进行验证签名值；

将边缘物联代理的随机数与物联终端的随机数进行异或运算，并将随机数异或值发给边缘物联代理。

一种物联终端，包括以下模块：

认证请求接收模块，用于接收边缘物联代理发过来的密文数据和签名值；

解密模块，用于用物联终端的私钥解开密文数据，得到边缘物联代理的随机数；

验证模块，用于采用边缘物联代理的公钥对边缘物联代理的签名值进行验证签名值；

随机数运算模块，用于将边缘物联代理的随机数与物联终端的随机数进行异或运算，并将随机数异或值发给边缘物联代理。

进一步地，包括前文所述的边缘物联代理设备；以及如前文所述的物联终端。

随机数、密钥申请时间和密钥有效期用密钥生成中心的公钥进行加密后发送，为了安全，保证密文数据传输，这个公钥是密钥管理中心提供的公钥，不是终端设备的公钥。

接入认证：是指解密得出对方的随机数，随后要将对方随机数和自身随机数进行异或，得出随机数异或值，再比对两个异或值是否一致，一致的话才代表双方认证成功。

签名私钥即签名用的私钥，加密私钥即加密用的私钥。

物联终端：物联终端即物联网终端，物联网终端是物联网中连接传感网络层和传输网络层，实现采集数据及向网络层发送数据的设备。物联终端的公钥：公钥即非对称密码体系中公开的密钥，采用物联终端的所公开的密钥。

边缘物联代理：部署于感知层的网络连接设备，实现终端设备与物联管理平台之间的互联、边缘计算及区域自治等功能。边缘物联代理属于感知层设备，在不同应用场景下可能存在多种形态，可同时具备边缘计算和物联通信功能，也可只具备物联通信功能

边缘物联代理的公钥：公钥即非对称密码体系中公开的密钥，采用边缘物联代理的所公开的密钥。

边缘物联代理的私钥：私钥即非对称密码体系中非公开的密钥。

密文数据：将原始数据经过加密存放在数据库中形成的数据；

签名值：是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

随机数异或值：两组随机数进行异或运算后得到的结果。

密钥生成中心：是公钥基础设施中的一个重要组成部分，负责为CA系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务，以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。

唯一标识ID：即设备的唯一的不可更改的标识，类似于身份证。

随机数：密码学中利用随机数发生器或随机数函数随机生成的一串数。

密钥申请时间：申请密钥时的记录时间，类似于写申请书的时间。

密钥有效期：是某一特定密钥被授权可用的一段时间，或给定系统密钥保持有效的一段时间，有起始时间和终止时间。

密钥生成中心的公钥：公钥与私钥是通过一种算法得到的一个密钥对（即一个公钥和一个私钥），公钥是密钥对外公开的部分，私钥则是非公开的部分。公钥即密钥生成中心的密钥对外公开的部分。

密钥生成中心的私钥：公钥与私钥是通过一种算法得到的一个密钥对（即一个公钥和一个私钥），公钥是密钥对外公开的部分，私钥则是非公开的部分。私钥即密钥生成中心的密钥对外不公开的部分。

注册结果：即注册完成情况，有通过和不通过两种结果。

随机数的哈希值：对随机数通过密码学中哈希运算后得到的结果。

密钥生成中心的主私钥：即密钥生成中心的公钥和密钥生成中心的私钥。

随机数：密码学中利用随机数发生器或随机数函数随机生成的一串数。

终端设备的私钥：公钥与私钥是通过一种算法得到的一个密钥对（即一个公钥和一个私钥），公钥是终端设备的密钥对外公开的部分，私钥则是终端设备的中非公开的部分，即终端设备的密钥对外非公开的部分。

边缘物联代理认证请求、认证过程与终端认证请求、认证过程类似。

密钥协商：终端和边缘物联代理分别将自身及对方的随机数进行异或运算，比对双方异或运算值。

认证确认：以上终端认证通过、边缘物联代理认证通过及双方异或运算值一致，则终端及边缘物联代理的双向认证成功，否则认证失败。

本发明中，边缘物联代理和物联终端均为现有技术中的设备，其中边缘物联代理型号NRECG-S1。

（4）加密通信

基于SM4对称加密算法并采用上述比对一致的异或运算值，对终端与边缘物联代理之间的传输数据进行加密，具体为终端数据加密上传，边缘物联代理解密，边缘物联代理数据加密下发，终端解密。

本发明的关键创新点：

（1）身份认证去中心化

传统的基于PKI技术的认证方式以CA为中心，只有CA签发出来的数字证书才是可信的，针对大规模的物联网应用，需要为每一个设备都要颁发数字证书，在使用过程中还需要交换对方的证书，需要维护管理大量证书并进行在线交换，整体建设和维护成本非常之高，难以普及。

在电力物联网业务场景中，为便于对海量感知终端进行管理，需要对每个感知终端配备一个无法轻易被篡改的标识，采用基于标识的密码算法技术，如IBC，实现感知终端接入时的身份认证，这种去中心化的认证方式可以解决电力物联网这种用户数巨大、点对点交互频繁而随机的使用场景下使用数字证书带来的建设和维护成本高的问题。

（2）安全认证协议轻量化

常用的安全认证协议有SSL（Security Socket Layer，安全套层协议）和IPSEC（Internet Protocol Security，互联网安全协议），这些安全认证协议虽然保证了双方认证的安全与可靠，但由于交互环节繁杂，网络传输数据量较大，所以并不适合在具有大规模物联网应用中海量感知终端接入的电力网业务场景中使用。

对感知终端与边缘物联代理之间的安全认证流程进行简化，减去了数字证书申请、颁发及在线交换的流程，保留用于验证双方身份的数字签名与验签等功能，实现身份抗抵赖性，同时通过双方随机数的异或再比对，保证会话密钥的随机性，并在此基础上通过对称密码算法实现感知终端与边缘物联代理之间的通信数据的机密性。

（1）现有技术方案中，PKI认证技术针对大规模的物联网应用，需要为每一个设备都要颁发数字证书，在使用过程中还需要交换对方的证书，在物联网这种用户数巨大、点对点交互频繁而随机的使用场景下，需要维护管理大量证书、进行在线交换，整体建设和维护成本非常之高，难以普及。本发明中，为便于对电力物联网海量感知终端进行管理，需要对每个感知终端配备一个无法轻易被篡改的标识，采用基于标识的密码算法技术，如IBC，实现感知终端接入时的身份认证，解决在物联网这种用户数巨大、点对点交互频繁而随机的使用场景下使用数字证书带来的建设和维护成本高的问题。

（2）现有技术方案中，CPK技术将密钥生产和密钥管理结合起来，可以少量种子生成几乎无限个公钥，简化了密钥管理，能够实现数字签名和密钥交换，其高效性可以满足超大规模信息网络与非信息网络中的标识鉴别、实体鉴别、数据保密需求，但是CPK的高运算效率是以牺牲安全性为代价，在私钥分发方面自身安全性欠缺，需要额外建立安全通道。本发明中，通过简化感知终端接入的安全认证协议，减少不必要的通信双方交互环节，可以弥补自身效率偏低的缺点，从而可以利用IBC技术的安全性优势，为感知终端的高效的安全接入提供可行性方案。

相关技术术语的名词解释

（1） HTTP

HTTP（HyperText Transfer Protocol）即超文本传输协议，是一个简单的请求-响应协议，它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出；而消息内容则具有一个类似MIME的格式。

（2） TELNET

Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。

（3） PKI

PKI（Public Key Infrastructure）即公钥基础设施，是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。

（4） CPK

CPK（Combined Public Key）即组合公钥，是一种基于标识的数字签名协议和密钥交换协议，以很小的资源，生成大规模密钥，满足证明的规模性和验证的直接性。

（5） IBC

IBC（(Identity-Based Cryptography）即基于标识的密码体系，在传统的PKI(公开密钥基础设施)基础上发展而来，除了保有PKI的技术优点外，主要解决了在具体安全应用中PKI需要大量交换数字证书的问题，使安全应用更加易于部署和使用。IBC密码技术使用的是非对称密码体系，加密与解密使用两套不同的密钥，每个人的公钥就是他的身份标识，比如email地址，密钥管理也比较简单。

（6） SM9

SM9是中华人民共和国政府采用的一种标识密码标准，由国家密码管理局于2016年3月28日发布，相关标准为“GM/T 0044-2016 SM9标识密码算法”。在商用密码体系中，SM9主要用于用户的身份认证。

（7） SM2

国家密码管理局编制的一种基于椭圆曲线密码体制的商用公钥密码算法。加密解密使用不同密钥的算法。其中一个密钥（公钥）可以公开，另一个密钥（私钥）必须保密，且不能由其中一个密钥推导出另一个密钥。

（8） SSL

SSL（Security Socket Layer）即安全套层协议，其继任者传输层安全（TransportLayer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

（9） IPSEC

IPSEC（Internet Protocol Security）即互联网安全协议，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (8)

1.一种用于电力物联网感知终端轻量级身份认证的方法，其特征在于，边缘物联代理的接入身份认证包括以下步骤：

步骤一，物联终端向边缘物联代理发密文数据和签名值，进入步骤二；

步骤二，边缘物联代理解开密文数据并验证签名值，进入步骤三；

步骤三，判断边缘物联代理解开密文数据是否正确，判断边缘物联代理验证签名值是否正确：若边缘物联代理解开密文数据正确并且边缘物联代理验证签名值正确的条件同时满足则进入步骤四；若边缘物联代理解开密文数据不正确或边缘物联代理验证签名值不正确则边缘物联代理向终端发出告警并且进入步骤五，定义告警次数N，N为整数，N=N+L，L为不为0的常数；

步骤四，边缘物联代理向物联终端发送密文数据和签名值，进入步骤七；

步骤五，判断告警次数N是否达到M次，若告警次数N未达到M次则进入步骤一，若告警次数N达到M次则进入步骤六；

步骤六，阻断物联终端接入，结束；

步骤七，物联终端解开密文数据并验证签名值，进入步骤八；

步骤八，判断解开密文数据是否正确，判断验证签名值是否正确：若解开密文数据正确和验证签名值正确的条件同时满足则物联终端向边缘物联代理发出随机数异或值，进入步骤九；若解开密文数据不正确或验证签名值不正确则物联终端向边缘物联代理发出告警，N=N+L，进入步骤五；

步骤九，判断物联终端和边缘物联代理计算得出的随机数异或值是否一致：若物联终端和边缘物联代理计算得出的随机数异或值是一致的，则允许物联终端连接，结束；若物联终端和边缘物联代理计算得出的随机数异或值不是一致的，则物联终端向边缘物联代理发出告警，N=N+L，进入步骤五；

还包括设备注册步骤：

物联终端或边缘物联代理向密钥生成中心发送注册信息，注册信息包括唯一标识ID、随机数、密钥申请时间和密钥有效期，唯一标识ID即公钥，随机数、密钥申请时间和密钥有效期用密钥生成中心的公钥进行加密后发送，密钥生成中心收到注册信息后用密钥生成中心的私钥解开密文数据，密钥生成中心获取注册信息并向物联终端或边缘物联代理反馈注册结果，进入私钥申请与分发步骤；

私钥申请与分发步骤包括：

私钥申请：物联终端或边缘物联代理各自通过随机数生成函数随机生成一个随机数，物联终端或边缘物联代理计算随机数的哈希值，向密钥生成中心申请私钥；

私钥计算分发：密钥生成中心用主私钥对物联终端或边缘物联代理随机数的哈希值进行计算，将计算结果发送给物联终端或边缘物联代理；

私钥获取：物联终端或边缘物联代理收到计算结果后计算出签名私钥和加密私钥；

进入接入认证步骤。

2.根据权利要求1所述的一种用于电力物联网感知终端轻量级身份认证的方法，其特征在于，接入终端认证步骤：

终端认证请求：物联终端产生随机数，对该随机数采用边缘物联代理的公钥进行加密，并对随机数的哈希值采用终端设备的私钥进行签名；

终端认证：边缘物联代理对物联终端的密文数据采用边缘物联代理的私钥进行解开密文数据，得到物联终端的随机数，并采用物联终端的公钥对物联终端的签名值进行验签，进入步骤一。

3.根据权利要求1所述的一种用于电力物联网感知终端轻量级身份认证的方法，其特征在于，N初始值为0，L数值为1；M=N+a×L，a为正整数，a为判断告警的次数。

4.根据权利要求1所述的一种用于电力物联网感知终端轻量级身份认证的方法，其特征在于，边缘物联代理包括以下认证功能：

接收物联终端发过来的密文数据和签名值；

采用边缘物联代理的私钥解开密文数据，得到物联终端的随机数；

用物联终端的公钥对物联终端的签名值进行验证签名值；

将物联终端的随机数与边缘物联代理的随机数进行异或运算；

产生随机数，对该随机数采用物联终端的公钥进行加密，并对随机数的哈希值采用边缘物联代理的私钥进行签名；

在收到物联终端发过来的随机数异或值时，将自身计算得到的随机数异或值和物联终端发过来的随机数异或值进行比对，两个随机数异或值比对一致则说明双向认证通过。

5.根据权利要求1所述的一种用于电力物联网感知终端轻量级身份认证的方法，其特征在于，物联终端包括以下认证功能：

接收边缘物联代理发过来的密文数据和签名值；

用物联终端的私钥解开密文数据，得到边缘物联代理的随机数；

采用边缘物联代理的公钥对边缘物联代理的签名值进行验证签名值；

将边缘物联代理的随机数与物联终端的随机数进行异或运算，并将随机数异或值发给边缘物联代理。

6.一种边缘物联代理设备，其特征在于，包括以下模块：

认证请求模块，用于接收物联终端发过来的密文数据和签名值；

密文数据模块，用于采用边缘物联代理的私钥解开密文数据，得到物联终端的随机数；

签名数据模块，用于用物联终端的公钥对物联终端的签名值进行验证签名值；

随机数运算模块，用于将物联终端的随机数与边缘物联代理的随机数进行异或运算；

发送异或运算结果及认证请求模块，用于产生随机数，对该随机数采用物联终端的公钥进行加密，并对随机数的哈希值采用边缘物联代理的私钥进行签名；

比对随机数异或结果模块，用于在收到物联终端发过来的随机数异或值时，将自身计算得到的随机数异或值和物联终端发过来的随机数异或值进行比对，两个随机数异或值比对一致则说明双向认证通过；

设备注册模块，用于向密钥生成中心发送注册信息，注册信息包括唯一标识ID、随机数、密钥申请时间和密钥有效期，唯一标识ID即公钥，随机数、密钥申请时间和密钥有效期用密钥生成中心的公钥进行加密后发送，密钥生成中心收到注册信息后用密钥生成中心的私钥解开密文数据，密钥生成中心获取注册信息并向物联终端反馈注册结果，进入私钥申请与分发步骤；

私钥申请模块，用于通过随机数生成函数随机生成一个随机数，计算随机数的哈希值，向密钥生成中心申请私钥；

私钥计算分发块，用于密钥生成中心用主私钥对随机数的哈希值进行计算，将计算结果发送给物联终端；

私钥获取块，用于物联终端收到计算结果后计算出签名私钥和加密私钥，进入接入认证步骤。

7.一种物联终端，其特征在于，包括以下模块：

认证请求接收模块，用于接收边缘物联代理发过来的密文数据和签名值；

解密模块，用于用物联终端的私钥解开密文数据，得到边缘物联代理的随机数；

验证模块，用于采用边缘物联代理的公钥对边缘物联代理的签名值进行验证签名值；

随机数运算模块，用于将边缘物联代理的随机数与物联终端的随机数进行异或运算，并将随机数异或值发给边缘物联代理；

设备注册模块，用于向密钥生成中心发送注册信息，注册信息包括唯一标识ID、随机数、密钥申请时间和密钥有效期，唯一标识ID即公钥，随机数、密钥申请时间和密钥有效期用密钥生成中心的公钥进行加密后发送，密钥生成中心收到注册信息后用密钥生成中心的私钥解开密文数据，密钥生成中心获取注册信息并向边缘物联代理反馈注册结果，进入私钥申请与分发步骤；

私钥申请模块，用于通过随机数生成函数随机生成一个随机数，计算随机数的哈希值，向密钥生成中心申请私钥；

私钥计算分发块，用于密钥生成中心用主私钥对随机数的哈希值进行计算，将计算结果发送给边缘物联代理；

私钥获取块，用于边缘物联代理收到计算结果后计算出签名私钥和加密私钥，进入接入认证步骤。

8.一种用于电力物联网感知终端轻量级身份认证的系统，用于对边缘物联代理的认证，其特征在于，包括：

如权利要求6所述的边缘物联代理设备；以及如权利要求7所述的物联终端。

Images