CN112311553A - 一种基于挑战应答的设备认证方法 - Google Patents

一种基于挑战应答的设备认证方法 Download PDF

Info

Publication number
CN112311553A
CN112311553A CN202010855928.3A CN202010855928A CN112311553A CN 112311553 A CN112311553 A CN 112311553A CN 202010855928 A CN202010855928 A CN 202010855928A CN 112311553 A CN112311553 A CN 112311553A
Authority
CN
China
Prior art keywords
hash
message
equipment
mac
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010855928.3A
Other languages
English (en)
Other versions
CN112311553B (zh
Inventor
徐通通
陈浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Zhuowen Information Technology Co ltd
Original Assignee
Shandong Zhuowen Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Zhuowen Information Technology Co ltd filed Critical Shandong Zhuowen Information Technology Co ltd
Priority to CN202010855928.3A priority Critical patent/CN112311553B/zh
Publication of CN112311553A publication Critical patent/CN112311553A/zh
Application granted granted Critical
Publication of CN112311553B publication Critical patent/CN112311553B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本发明涉及一种基于挑战应答的设备认证方法,特别涉及无线网络智能电网中的基于挑战应答的设备认证方法,属于电力系统维护技术领域。本发明方案中采用哈希运算对电力设备的标识进行保护,利用对称加密算法等低开销运算降低通信开销,更好地适应无线通信环境的通信需求。本发明基于挑战应答的设备认证方案能够有效传输数据,降低通信开销,并且传输的数据是不存在冗余,提高了通信效率。同时能够有效抵抗中间人攻击、假冒攻击、恶意通信注入等常见攻击方式,更加适应智能电网无线通信环境。采用的共享密钥存储列表,共享密钥的更新实现了认证过程的安全性和自愈性。

Description

一种基于挑战应答的设备认证方法
技术领域
本发明涉及一种基于挑战应答的设备认证方法,特别涉及无线网络智能电网中的基于挑战应答的设备认证方法,属于电力系统维护技术领域。
背景技术
智能电网是在传统电力系统的基础之上,采用各种先进技术建立智能电力网络并且实现对能源的产生、配送、使用等环节的智能化管理。目前,各国智能电网都进入了高速发展的关键时期,随着人工智能等技术的发展,越来越多的智能设备正在通过无线网络接入智能电网并与智能电网中的电力设备进行信息交互。智能电网无线通信的显著特征之一是可靠性、适用性与可扩展性不足。特别是由于智能电网环境中存在海量信息、接入方式多样、信息复杂、外部用户不可控等特点,其信息安全存在很大威胁。
其中,对接入设备的认证是保证智能电网信息安全的第一关,设备接入认证的安全是保障智能电网的安全性、可靠性和稳定性的第一步,是智能电网安全、稳定、可靠运行的必要条件。如图一所示,智能电网SCADA系统(Supervisoiy Control and DataAcquisition)中备接入认证发生在主从设备之间,例如智能电表和采集器。
目前智能电网中比较常用的设备接入认证通常分为两个大类:一是基于国家电网数字证书的认证方案,即通过提供公钥加密和数字签名实现密钥和证书的管理;二是基于角色的认证方案,即通过角色将用户和功能进行关联,为角色赋予功能或者访问权限的方式,间接为用户赋予相应的功能和访问权限。随着接入智能电网的设备种类日益增多,以及无线通信在智能电网中更广泛的应用,上述两种方案在通信开销、安全认证等方面不能很好的满足实际需求。特别是:(1)认证过程中需要权威第三方机构的参与,增大系统通信开销;(2)使用基于证书的认证方式进行身份认证时,当通信参与节点数量较多时,要求双方同时持有有效证书,带来额外的通信压力;(3)证书过期提醒与更新、密钥的更新与更新等过程复杂(4)以上两种认证方式对设备的存储能力和通信能力都提出了较高的要求。
针对智能电网这样存在数量庞大的通信节点的复杂网络中,分析其通信特点以及目标,本发明提出一种基于挑战应答的双向认证方案,方案中采用哈希运算对电力设备的标识进行保护,利用对称加密算法等低开销运算降低通信开销,更好地适应无线通信环境的通信需求。
发明内容
针对现有技术的不足,本发明提供一种基于挑战应答的设备认证方法。
本发明的技术方案如下:
一种基于挑战应答的设备认证方案,包括以下步骤:
步骤一、初始条件:
主站设备A(IDi)的认证列表采用
Figure RE-GDA0002857785070000022
主站设备A(IDi)的初始共享密钥存储列表采用<hash(IDj),Kij>,主站设备A(IDi)存储<hash(IDj),Ni,Nj>列表;从站设备A(IDj)的认证列表采用
Figure RE-GDA0002857785070000021
从站设备A(IDj)的初始共享密钥存储列表采用<hash(IDi),Kij>,从站设备A(IDj)存储<hash(IDi),Ni,Nj>列表;
其中,IDi/IDj为电力设备的身份标识,其中i和j为设备编号,Ni/Nj为身份标识为IDi/IDj的电力设备产生的随机数,Kij为身份标识为IDi/IDj的电力设备的共享密钥, hash()为单向哈希函数;
步骤二、传递用于认证的随机数:
1)主站设备向从站设备发送认证请求,发送的消息为{hash(IDi),E(Ni,Kij)};E()为对称加密算法;
2)从站设备收到消息后,根据自身存储的hash(IDi)扫描列表<hash(IDi),Kij>获取主从站之间的共享密钥Kij,然后利用该密钥Kij对主站设备发送的消息进行解密,获取随机数Ni;接着将自己的随机数Nj利用共享密钥Kij进行加密,并将加密后的消息发送给主站设备,发送消息的内容为{hash(IDj),E({hash(IDj),Ni,Nj,MAC},Kij)};
其中,MAC=hash(hash(IDj)),E(hash(IDj),Kij),E(Ni,Kij),E(Nj,Kij),是消息验证码;
3)主站设备收到消息后,首先进行数据完整性校验,若通过,则根据自身存储的hash(IDj)扫描列表<hash(IDj),Kij>,获得共享密钥Kij,然后利用该密钥Kij对从站设备发送的消息进行解密,接收随机数Nj同时得到hash(IDj),若解码出的hash(IDj)与自身存储的从站设备hash(IDj)相同且随机数Nj是有效的,则进行下一步操作,否则拒绝设备接入;
步骤三、进行设备身份验证:
1)主站设备将自己的匿名身份标识hash(IDi)和EMACi发送给从站设备;
其中,EMACi=E({hash((hash(IDi),Ni,Nj),IPIDi,IPIDj,MACi)},Kij),是对MACi及其他信息进行加密后产生的加密消息;
MACi=hash({hash({hash(IDi),Ni,Nj}),IPIDi,IPIDj,Kij}),是消息验证码;
2)从站设备收到EMACi后,利用自身存储的hash(IDi)扫描列表<hash(IDi),Kij>获得共享密钥Kij,利用共享密钥Kij对EMACi进行解密;然后,利用MACi值做数据完整性校验,首先利用<hash(IDi),Ni,Nj>列表计算hash({hash(IDi),Ni,Nj})并判断使用的随机数对是否有效;若有效,则进一步判断IP地址是否为合法地址;若合法,则继续利用EMACi和MACi对发送的消息的完整性进行校验,若校验无误则发送确认响应,否则拒绝设备接入;
3)从站设备将自己的匿名身份标识hash(IDj)和EMACj发送给主站设备;
其中,EMACj=E({hash((hash(IDj),Ni,Nj),IPIDi,IPIDj,MACj)},Kij),是对MACj及其他信息进行加密后产生的加密消息;
MACj=hash({hash({hash(IDj),Ni,Nj}),IPIDi,IPIDj,Kij}),是消息验证码;
其中,IPIDi/IPIDj为电力设备通信的IP地址;
4)主站设备收到EMACj后,利用自身存储的hash(IDj)扫描列表<hash(IDj),Kij>获得共享密钥Kij,利用共享密钥Kij对EMACj解密;然后,利用MACj值做数据完整性校验,首先利用<hash(IDj),Ni,Nj>列表计算hash({hash(IDj),Ni,Nj})并判断使用的随机数对是否有效;若有效,则进一步判断IP地址是否为合法地址;若合法,则继续利用EMACj和MACj对发送的消息的完整性进行校验,若校验无误则发送确认响应,否则拒绝设备接入。
优选的,还包括共享密钥更新,共享密钥在生成后,经过随机化处理产生新的共享密钥,然后更新主站设备和从站设备两端的共享密钥列表。
优选的,对称加密算法采用DES算法或TripleDES算法。
优选的,主站设备和从站设备通过无线网络传输数据,无线网络采用ZigBee、蓝牙、 WiFi或GPRS传输协议。
优选的,数据完整性校验通过DES算法或TripleDES算法中的8位奇偶校验位验证完整性。
优选的,采用正则表达式的方法进行IP地址的合法性判断。
一种服务器,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的基于挑战应答的设备认证方法。
一种计算机可读介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现上述的基于挑战应答的设备认证方法。
本发明的技术特点和有益效果:
1、本发明基于挑战应答的设备认证方案能够有效传输数据,降低通信开销,并且传输的数据是不存在冗余,提高了通信效率。
2、本发明基于挑战应答的设备认证方案能够有效抵抗中间人攻击、假冒攻击、恶意通信注入等常见攻击方式,更加适应智能电网无线通信环境。
3、本发明基于挑战应答的设备认证方案采用共享密钥存储列表,共享密钥的更新实现了认证过程的安全性和自愈性。
附图说明
图1为设备接入认证方案流程图。
图2为设备接入认证逻辑结构图。
具体实施方式
下面通过实施例并结合附图对本发明做进一步说明,但不限于此。
实施例1:
如图1和图2所示,本实施例提供一种基于挑战应答的设备认证方案,包括以下步骤:
步骤一、初始条件:
主站设备A(IDi)的认证列表采用
Figure RE-GDA0002857785070000052
主站设备A(IDi)的初始共享密钥存储列表采用<hash(IDj),Kij>,即从站设备的每个身份标识对应一个密钥,主站设备A(IDi)存储<hash(IDj),Ni,Nj>列表;从站设备A(IDj)的认证列表采用
Figure RE-GDA0002857785070000051
从站设备A(IDj)的初始共享密钥存储列表采用<hash(IDi),Kij>,从站设备A(IDj)存储 hash(IDi),Ni,Nj>列表;
其中,IDi/IDj为电力设备的身份标识,其中i和j为设备编号,Ni/Nj为身份标识为IDi/IDj的电力设备产生的随机数,Kij为身份标识为IDi/IDj的电力设备的共享密钥, hash()为单向哈希函数;
步骤二、传递用于认证的随机数:
1)主站设备向从站设备发送认证请求,发送的消息为{hash(IDi),E(Ni,Kij)};E()为对称加密算法;
2)从站设备收到消息后,根据自身存储的hash(IDi)扫描列表<hash(IDi),Kij>获取主从站之间的共享密钥Kij,然后利用该密钥Kij对主站设备发送的消息进行解密,获取随机数Ni;接着将自己的随机数Nj利用共享密钥Kij进行加密,并将加密后的消息发送给主站设备,发送消息的内容为{hash(IDj),E({hash(IDj),Ni,Nj,MAC},Kij)};
其中,MACi=hash(hash(IDj))E(hash(IDj),Kij),E(Ni,Kij),E(Nj,Kij),是消息验证码;
3)主站设备收到消息后,首先进行数据完整性校验,若通过,则根据自身存储的hash(IDj)扫描列表<hash(IDj),Kij>,获得共享密钥Kij,然后利用该密钥Kij对从站设备发送的消息进行解密,接收随机数Nj同时得到hash(IDj),若解码出的hash(IDj)与自身存储的从站设备hash(IDj)相同且随机数Nj是有效的,则进行下一步操作(即进行后续的步骤三),否则拒绝设备接入;
步骤三、进行设备身份验证:
1)主站设备将自己的匿名身份标识hash(IDi)和EMACi发送给从站设备;
其中,EMACi=E({hash((hash(IDi),Ni,Nj),IPIDi,IPIDj,MACi)},Kij),是对MACi及其他信息进行加密后产生的加密消息;
MACi=hash({hash({hash(IDi),Ni,Nj}),IPIDi,IPIDj,Kij}),是消息验证码;
2)从站设备收到EMACi后,利用自身存储的hash(IDi)扫描列表<hash(IDi),Kij>获得共享密钥Kij,利用共享密钥Kij对EMACi进行解密;然后,利用MACi值做数据完整性校验,首先利用<hash(IDi),Ni,Nj>列表计算hash({hash(IDi),Ni,Nj})并判断使用的随机数对是否有效;若有效,则进一步判断IP地址是否为合法地址;若合法,则继续利用EMACi和MACi对发送的消息的完整性进行校验,若校验无误则发送确认响应,否则拒绝设备接入;
3)从站设备将自己的匿名身份标识hash(IDj)和EMACj发送给主站设备;
其中,EMACj=E({hash((hash(IDj),Ni,Nj),IPIDi,IPIDj,MACj)},Kij),是对MACj及其他信息进行加密后产生的加密消息;
MACj=hash({hash({hash(IDj),Ni,Nj}),IPIDi,IPIDj,Kij}),是消息验证码;
其中,IPIDi/IPIDj为电力设备通信的IP地址;
4)主站设备收到EMACj后,利用自身存储的hash(IDj)扫描列表<hash(IDj),Kij>获得共享密钥Kij,利用共享密钥Kij对EMACj解密;然后,利用MACj值做数据完整性校验,首先利用<hash(IDj),Ni,Nj>列表计算hash({hash(IDj),Ni,Nj})并判断使用的随机数对是否有效;若有效,则进一步判断IP地址是否为合法地址;若合法,则继续利用EMACj和MACj对发送的消息的完整性进行校验,若校验无误则发送确认响应,否则拒绝设备接入。
其中,共享密钥在生成后,经过随机化处理产生新的共享密钥,然后更新主站设备和从站设备两端的共享密钥列表。
本实施例中,加密算法采用DES算法或TripleDES算法。
主站设备和从站设备通过无线网络传输数据,无线网络采用ZigBee、蓝牙、WiFi或GPRS传输协议,适用范围广。
在DES算法或TripleDES算法中有8位奇偶校验位,数据完整性校验通过DES算法或TripleDES算法中的8位奇偶校验位验证完整性。
采用正则表达式的方法进行IP地址的合法性判断。通过构建正则表达式的方法,即输入IP地址,检查IP地址的每一位是否符合数据范围的要求,此为本领域的常规做法。
实施例2:
利用实施例1所述的认证方案,进行如下试验:
本发明验证环境为Matlab,参与者包括:主站设备Master,其IP地址为192.108.1.102;从站设备Outstation,其IP地址为192.108.1.106。攻击者Attackers,其IP地址为 192.108.1.109。在本次实验中共构造认证过程4000次,其中包含合法的设备认证2000 次,非法的设备认证2000次。试验结果如表一所示。
表一
Figure RE-GDA0002857785070000081
其中,假冒攻真模拟过程如下:
Figure RE-GDA0002857785070000082
识别假冒攻击的结果如下:
Figure RE-GDA0002857785070000083
重放攻击模拟过程如下:
Figure RE-GDA0002857785070000091
识别假冒攻击的结果如下:
Figure RE-GDA0002857785070000092
从以上模拟仿真程序过程可知,本发明提出的的设备接入认证方案是可行的,且能够抵御中间人攻击、假冒攻击等攻击方式,安全性也得到了验证。
实施例3:
一种服务器,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现实施例1所述的基于挑战应答的设备认证方法。
实施例4:
一种计算机可读介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现实施例1所述的基于挑战应答的设备认证方法。
以上所述,仅为本发明的具体实施方式,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种基于挑战应答的设备认证方案,其特征在于,包括以下步骤:
步骤一、初始条件:
主站设备A(IDi)的认证列表采用
Figure RE-FDA0002857785060000011
主站设备A(IDi)的初始共享密钥存储列表采用<hash(IDj),Kij>,主站设备A(IDi)存储<hash(IDj),Ni,Nj>列表;从站设备A(IDj)的认证列表采用
Figure RE-FDA0002857785060000012
从站设备A(IDj)的初始共享密钥存储列表采用<hash(IDi),Kij>,从站设备A(IDj)存储<hash(IDi),Ni,Nj>列表;
其中,IDi/IDj为电力设备的身份标识,其中i和j为设备编号,Ni/Nj为身份标识为IDi/IDj的电力设备产生的随机数,Kij为身份标识为IDi/IDj的电力设备的共享密钥,hash()为单向哈希函数;
步骤二、传递用于认证的随机数:
1)主站设备向从站设备发送认证请求,发送的消息为{hash(IDi),E(Ni,Kij)};E()为对称加密算法;
2)从站设备收到消息后,根据自身存储的hash(IDi)扫描列表<hash(IDi),Kij>获取主从站之间的共享密钥Kij,然后利用该密钥Kij对主站设备发送的消息进行解密,获取随机数Ni;接着将自己的随机数Nj利用共享密钥Kij进行加密,并将加密后的消息发送给主站设备,发送消息的内容为{hash(IDj),E({hash(IDj),Ni,Nj,MAC},Kij)};
其中,MAC=hash(hash(IDj)),E(hash(IDj),Kij),E(Ni,Kij),E(Nj,Kij),是消息验证码;
3)主站设备收到消息后,首先进行数据完整性校验,若通过,则根据自身存储的hash(IDj)扫描列表<hash(IDj),Kij>,获得共享密钥Kij,然后利用该密钥Kij对从站设备发送的消息进行解密,接收随机数Nj同时得到hash(IDj),若解码出的hash(IDj)与自身存储的从站设备hash(IDj)相同且随机数Nj是有效的,则进行下一步操作,否则拒绝设备接入;
步骤三、进行设备身份验证:
1)主站设备将自己的匿名身份标识hash(IDi)和EMACi发送给从站设备;
其中,EMACi=E({hash((hash(IDi),Ni,Nj),IPIDi,IPIDj,MACi)},Kij),是对MACi及其他信息进行加密后产生的加密消息;
MACi=hash({hash({hash(IDi),Ni,Nj}),IPIDi,IPIDj,Kij}),是消息验证码;
2)从站设备收到EMACi后,利用自身存储的hash(IDi)扫描列表〈hash(IDi),Kij〉获得共享密钥Kij,利用共享密钥Kij对EMACi进行解密;然后,利用MACi值做数据完整性校验,首先利用<hash(IDi),Ni,Nj>列表计算hash({hash(IDi),Ni,Nj})并判断使用的随机数对是否有效;若有效,则进一步判断IP地址是否为合法地址;若合法,则继续利用EMACi和MACi对发送的消息的完整性进行校验,若校验无误则发送确认响应,否则拒绝设备接入;
3)从站设备将自己的匿名身份标识hash(IDj)和EMACj发送给主站设备;
其中,EMACj=E({hash((hash(IDj),Ni,Nj),IPIDi,IPIDj,MACj)},Kij),是对MACj及其他信息进行加密后产生的加密消息;
MACj=hash({hash({hash(IDj),Ni,Nj}),IPIDi,IPIDj,Kij}),是消息验证码;
其中,IPIDi/IPIDj为电力设备通信的IP地址;
4)主站设备收到EMACj后,利用自身存储的hash(IDj)扫描列表<hash(IDj),Kij>获得共享密钥Kij,利用共享密钥Kij对EMACj解密;然后,利用MACj值做数据完整性校验,首先利用<hash(IDj),Ni,Nj>列表计算hash({hash(IDj),Ni,Nj})并判断使用的随机数对是否有效;若有效,则进一步判断IP地址是否为合法地址;若合法,则继续利用EMACj和MACj对发送的消息的完整性进行校验,若校验无误则发送确认响应,否则拒绝设备接入。
2.如权利要求1所述的基于挑战应答的设备认证方案,其特征在于,还包括共享密钥更新,共享密钥在生成后,经过随机化处理产生新的共享密钥,然后更新主站设备和从站设备两端的共享密钥列表。
3.如权利要求1所述的基于挑战应答的设备认证方案,其特征在于,对称加密算法采用DES算法或TripleDES算法。
4.如权利要求1所述的基于挑战应答的设备认证方案,其特征在于,主站设备和从站设备通过无线网络传输数据,无线网络采用ZigBee、蓝牙、WiFi或GPRS传输协议。
5.如权利要求3所述的基于挑战应答的设备认证方案,其特征在于,数据完整性校验通过DES算法或TripleDES算法中的8位奇偶校验位验证完整性。
6.如权利要求1所述的基于挑战应答的设备认证方案,其特征在于,采用正则表达式的方法进行IP地址的合法性判断。
7.一种服务器,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现权利要求1-6任一所述的基于挑战应答的设备认证方法。
8.一种计算机可读介质,其上存储有计算机程序,其中,该计算机程序被处理器执行时实现权利要求1-6任一所述的基于挑战应答的设备认证方法。
CN202010855928.3A 2020-08-24 2020-08-24 一种基于挑战应答的设备认证方法 Active CN112311553B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010855928.3A CN112311553B (zh) 2020-08-24 2020-08-24 一种基于挑战应答的设备认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010855928.3A CN112311553B (zh) 2020-08-24 2020-08-24 一种基于挑战应答的设备认证方法

Publications (2)

Publication Number Publication Date
CN112311553A true CN112311553A (zh) 2021-02-02
CN112311553B CN112311553B (zh) 2022-11-08

Family

ID=74483675

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010855928.3A Active CN112311553B (zh) 2020-08-24 2020-08-24 一种基于挑战应答的设备认证方法

Country Status (1)

Country Link
CN (1) CN112311553B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022110688A1 (zh) * 2020-11-25 2022-06-02 上海电气风电集团股份有限公司 基于现场总线的数据传输方法、身份识别方法及系统
CN116684870A (zh) * 2023-08-03 2023-09-01 中国电力科学研究院有限公司 电力5g终端的接入认证方法、装置及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集系统的身份认证和密钥协商方法
CN103795543A (zh) * 2014-02-12 2014-05-14 中国石油大学(华东) 一种用于rfid系统的安全双向认证方法
WO2015178597A1 (ko) * 2014-05-23 2015-11-26 숭실대학교산학협력단 Puf를 이용한 비밀키 업데이트 시스템 및 방법
CN106789057A (zh) * 2016-11-28 2017-05-31 航天恒星科技有限公司 卫星通信协议下的密钥协商方法及系统
US10218499B1 (en) * 2017-10-03 2019-02-26 Lear Corporation System and method for secure communications between controllers in a vehicle network
CN110035433A (zh) * 2018-01-11 2019-07-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集系统的身份认证和密钥协商方法
CN103795543A (zh) * 2014-02-12 2014-05-14 中国石油大学(华东) 一种用于rfid系统的安全双向认证方法
WO2015178597A1 (ko) * 2014-05-23 2015-11-26 숭실대학교산학협력단 Puf를 이용한 비밀키 업데이트 시스템 및 방법
CN106789057A (zh) * 2016-11-28 2017-05-31 航天恒星科技有限公司 卫星通信协议下的密钥协商方法及系统
US10218499B1 (en) * 2017-10-03 2019-02-26 Lear Corporation System and method for secure communications between controllers in a vehicle network
CN110035433A (zh) * 2018-01-11 2019-07-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黎妹红等: ""基于动态密钥的智能电网无线通信数据加密传输方案"", 《信息网络安全》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022110688A1 (zh) * 2020-11-25 2022-06-02 上海电气风电集团股份有限公司 基于现场总线的数据传输方法、身份识别方法及系统
CN116684870A (zh) * 2023-08-03 2023-09-01 中国电力科学研究院有限公司 电力5g终端的接入认证方法、装置及系统
CN116684870B (zh) * 2023-08-03 2023-10-20 中国电力科学研究院有限公司 电力5g终端的接入认证方法、装置及系统

Also Published As

Publication number Publication date
CN112311553B (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
CN106789015B (zh) 一种智能配电网通信安全系统
CN101917270B (zh) 一种基于对称密码的弱认证和密钥协商方法
CN102025503B (zh) 一种集群环境下数据安全实现方法和一种高安全性的集群
CN111447053B (zh) 一种数据安全传输方法及系统
CN103095696A (zh) 一种适用于用电信息采集系统的身份认证和密钥协商方法
CN103079200A (zh) 一种无线接入的认证方法、系统及无线路由器
Saxena et al. Efficient signature scheme for delivering authentic control commands in the smart grid
CN111711625A (zh) 一种基于配电终端的电力系统信息安全加密系统
CN112311553B (zh) 一种基于挑战应答的设备认证方法
CN109104476B (zh) 一种基于区块链的电力信息安全系统
CN105323754A (zh) 一种基于预共享密钥的分布式鉴权方法
CN106549502B (zh) 一种配电安全防护监控系统
CN111817850B (zh) 一种基于工业物联网的匿名群组认证方法
CN110505055A (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统
CN115001717B (zh) 一种基于标识公钥的终端设备认证方法及系统
Panda et al. SLAP: A Secure and Lightweight Authentication Protocol for machine-to-machine communication in industry 4.0
CN111147257A (zh) 身份认证和信息保密的方法、监控中心和远程终端单元
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN113111386A (zh) 一种区块链交易数据的隐私保护方法
CN113312608A (zh) 一种基于时间戳的电力计量终端身份认证方法及系统
CN105162592B (zh) 一种认证可穿戴设备的方法及系统
CN110519222A (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
CN101471775B (zh) Wimax系统中MS与BS的认证方法
CN112069487B (zh) 一种基于物联网的智能设备网络通讯安全实现方法
Chen et al. Sustainable Secure Communication in Consumer-Centric Electric Vehicle Charging in Industry 5.0 Environments

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant