CN112468490A - 一种用于电网终端层设备接入的认证方法 - Google Patents
一种用于电网终端层设备接入的认证方法 Download PDFInfo
- Publication number
- CN112468490A CN112468490A CN202011339620.XA CN202011339620A CN112468490A CN 112468490 A CN112468490 A CN 112468490A CN 202011339620 A CN202011339620 A CN 202011339620A CN 112468490 A CN112468490 A CN 112468490A
- Authority
- CN
- China
- Prior art keywords
- key
- authentication
- party
- node
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/35—Utilities, e.g. electricity, gas or water
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供了一种用于电网终端层设备接入的认证方法,所述认证方法包括:基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证;基于SIP应用层协议的双向身份认证机制,完成接入认证中的身份认证;基于BEM的数据认证机制,对已完成身份认证的双方进行数据认证。本发明相对于现有技术,能够有效确保电力物联网终端层设备的身份可信,保障承载业务的协同应用和安全接入。
Description
技术领域
本公开涉及电力物联网领域,尤其涉及一种用于电网终端层设备接入的认证方法。
背景技术
接入认证是物联网安全通信的第一道防线,是防止物联网系统遭受主动攻击的重要技术,发送方和接收方的身份识别和消息真伪判断都建立在可靠的接入认证技术上;密钥是系统安全的基础,是物联网安全及信息保护的关键。通过研究可实现的接入认证和密钥管理技术,从交换机端口、第三方代理、通信隧道等切入点实现多层次、全方位的认证与管理,确保电力物联网终端层设备的身份可信,保障承载业务的协同应用和安全接入。
目前,电力物联网的常用接入认证存在几个问题:1)采用的基于密码的认证并不适用于轻量级设备,无法在电力物联网大规模应用;2)大多数接入认证通常只认证身份而不对后续数据帧认证,易导致中间人攻击等;3)认证机制单一,通常只采用一种认证机制,易被攻击者破解;4)传感器节点数据处理与储存的能力十分有限,复杂的认证方法无法实行。
发明内容
本公开的目的之一是通过提供一种用于电网终端层设备接入的认证方法,以解决背景技术中的至少一个技术问题。
为实现上述目的,根据本公开的一个实施例,提供了一种用于电网终端层设备接入的认证方法,所述认证方法包括:基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证;基于SIP应用层协议的双向身份认证机制,完成接入认证中的身份认证;基于BEM 的数据认证机制,对已完成身份认证的双方进行数据认证。
可选地,所述基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证的步骤包括:由可信赖机构建立系统参数,并基于以下步骤建立协议双方各自的密钥,其中所述协议双方中的第一方包括电力物联网设备,第二方包括边缘代理设备:建立系统密钥:由可信赖机构生成RSA密钥数据,所述密钥数据包括一个公开模数、一个公开指数、一个秘密指数和一个公开元素,所述可信赖机构对密钥数据中的公开模数、公开指数和公开元素进行公开并秘密保存秘密指数,所述秘密指数作为私钥;建立协议双方的用户参数:由可信赖机构与双方各自交互生成各自的公钥;在相互认证的双方进行接入认证时,第一方向第二方证明自己的身份,证明过程包括:第一方向第二方发起认证请求并发送自己的公钥和身份信息;第二方向第一方发起质询,要求第一方提供证明;第一方选择随机数,基于第一预设计算规则和随机数进行计算得到第一计算结果并将第一计算结果发送至第二方;第二方向第一方发起挑战,选择另一随机数作为挑战发送给第一方;第一方应答挑战,基于第二预设计算规则和另一随机数进行计算得到第二计算结果并将第二计算结果发送至第二方;第二方对接收到的第二计算结果进行验证,如果成立,则接受第一方的身份,发送认证成功信息给第一方,否则发送认证失败信息给第一方。
可选地,所述基于SIP应用层协议的双向身份认证机制,完成接入认证中的身份认证的步骤包括:电力物联网设备验证边缘代理设备的公钥和部分私钥;电力物联网设备把用边缘代理设备公钥加密的 SIP请求的From字段的结果放在secretFrom字段;电力物联网设备计算得到一个值,附在请求中一同发给边缘代理设备;边缘代理设备收到请求后,检查请求的From域;边缘代理设备验证电力物联网设备的公钥;边缘代理设备进行解密计算,将得到的值与请求中附的值对比,之后又生成一个值,附在请求中发向电力物联网设备;电力物联网设备对边缘代理设备发来的回应进行解密计算,与附值对比,之后再次生成值并发起INVITE请求;边缘代理设备验证电力物联网设备身份;电力物联网设备计算会话密钥;边缘代理设备发送响应,电力物联网设备回送消息,完成会话建立。
可选地,所述基于BEM的数据认证机制,对已完成身份认证的双方进行数据认证的步骤包括:基于BEM模型进行信道估计,对已完成身份认证的双方进行数据认证,所述信道估计包括:选定用于拟合信道的BEM模型,得到对应的基函数;得到导频处冲击响应,之后得到多条路径的基系数;根据基系数和随时间变化的基函数,组合得到OFDM符号完整的冲击响应。
可选地,所述认证方法还包括:基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信,其中,所述电网终端层网络被分为三层架构:管理层、服务层和用户层,管理层的控制中心负责存储整个网络中其他控制中心以及该区域内节点的身份公钥信息,并负责节点跨区域通信消息的转发以及存储该区域的区域密钥;服务层的区域服务器负责存储该区域的区域密钥池、节点身份公钥信息,分发区域密钥以及更新区域密钥,用户层的节点存储自身和区域控制中心的身份公钥信息和区域密钥。
可选地,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥初始化过程:基于椭圆曲线密码体制建立密钥系统的初始化参数;为电力物联网终端层中的每个节点编写特定的身份信息标识,以对节点进行初始化操作;在区域进行密钥初始化操作:使用AES对称密钥在传感器节点间或节点与信息控制中心间进行数据通信。
可选地,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥池生成过程:在服务器中储存初始化阶段的所有节点的身份信息标识,对每个节点进行随机编号和随机排序,根据每一个节点的子密钥,使用预设的构造方式构成完整的密钥池。
可选地,对于不同区域的节点,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括:由源节点使用区域密钥加密数据,并将加密数据发送给区域服务器;由该区域服务器解密后将数据转发给区域控制中心;区域控制中心收到消息后,使用与目的区域控制中心或中间转发区域控制中心事先协商好的会话密钥加密消息,并将加密消息传输给下一个区域控制中心;由对方控制中心解密后,使用区域密钥进一步加密消息并将进一步加密后的消息传输给该区域的服务器;由区域服务器并将进一步加密后的消息再转发给目的节点。
可选地,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥更新过程:在节点初始化后,设定节点身份ID中的前N位作为周期更新时间,如果节点需要临时更新密钥,在通信协议中加入时间戳,其中传感器节点密钥与身份一一对应,其中N为自然数。
可选地,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥更新过程:当有新的节点加入,新节点向控制中心发送申请加入信息;控制中心进行身份认证,防止恶意节点混入;身份验证合法后,更新密钥池,产生新的区域编号分发给新用户和区域服务器;服务器根据新节点的区域编号,将节点的公私钥和区域密钥发送给新节点;服务器将更新后的区域密钥广播给该区域的所有节点;则新节点可以与群组中其他节点进行正常通信;当有节点需要离开,则对节点的离开类型进行判断,基于不同的离开类型而执行不同的密钥更新操作。
本公开的实施例提供的技术方案可以实现以下有益效果:本公开的发明人基于全业务泛在电力物联网终端层设备安全需求,研究并实现终端设备的接入认证方法和密钥管理技术,提供了一种用于电网终端层设备接入的认证方法,能够有效确保电力物联网终端层设备的身份可信,保障承载业务的协同应用和安全接入。并且,本公开将接入认证方案分为身份认证和数据帧认证两部分,分别使用双向身份认证和基于BEM的数据认证两种不同的验证方法。在保证接入认证可靠性前提下,免除了与第三方的交互要求,综合形成了一种适用于电力物联网的轻量级协同认证机制。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请一个实施例提供的一种用于电网终端层设备接入的认证方法的流程示意图;
图2示出了本申请一个实施例的基于SIP应用层协议的双向身份认证过程的示意图;
图3为本申请一个实施例提供的基于ECC的物联网网络模型的示意图;
图4为本申请一个实施例提供的物联网终端设备节点A和B之间的通信协议过程的示意图;
附图中相同或相似的附图标记代表相同或相似的结构。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/ 或”是指并包括一个或多个相关联的列出项目的任何或所有可能组合。
根据本申请的一个方面,提供了一种用于电网终端层设备接入的认证方法。请参考图1,所述认证方法包括:步骤S101,基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证;步骤 S102,基于SIP应用层协议的双向身份认证机制,完成接入认证中的身份认证;步骤S103,基于BEM的数据认证机制,对已完成身份认证的双方进行数据认证。
具体地,之所以采用自证实公钥完成电力物联网设备和边缘代理设备之间的接入认证,是因为基于证书的认证方案以及无证书的基于身份的认证方案,虽然是接入认证的主流技术方案,但是基于证书的认证方案对参与者的计算和存储性能要求较高,基于身份的认证方案又面临较高的第三方冒充用户风险,均不适用于电力物联网设备与边缘代理之间的接入认证。因而,本公开采用自证实公钥技术,能够有效克服上述缺陷,实现设备和边缘代理间的接入认证。
可选地,所述基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证的步骤包括:由可信赖机构建立系统参数,并基于以下步骤建立协议双方各自的密钥,其中所述协议双方中的第一方包括电力物联网设备,第二方包括边缘代理设备:建立系统密钥:由可信赖机构生成RSA密钥数据,所述密钥数据包括一个公开模数、一个公开指数、一个秘密指数和一个公开元素,所述可信赖机构对密钥数据中的公开模数、公开指数和公开元素进行公开并秘密保存秘密指数,所述秘密指数作为私钥;建立协议双方的用户参数:由可信赖机构与双方各自交互生成各自的公钥;在相互认证的双方进行接入认证时,第一方向第二方证明自己的身份,证明过程包括:第一方向第二方发起认证请求并发送自己的公钥和身份信息;第二方向第一方发起质询,要求第一方提供证明;第一方选择随机数,基于第一预设计算规则和随机数进行计算得到第一计算结果并将第一计算结果发送至第二方;第二方向第一方发起挑战,选择另一随机数作为挑战发送给第一方;第一方应答挑战,基于第二预设计算规则和另一随机数进行计算得到第二计算结果并将第二计算结果发送至第二方;第二方对接收到的第二计算结果进行验证,如果成立,则接受第一方的身份,发送认证成功信息给第一方,否则发送认证失败信息给第一方。
具体地,上述可选的方案需要一个可信赖的机构T,负责建立系统参数,并帮助协议双方参与者建立他们的密钥,考虑到边缘代理的物理安全有保障,可信赖机构T可以部署于边缘代理。其中,可信赖机构T可以根据实际需求进行确立。具体地,基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证的过程可以如下所示:
第一,系统密钥的建立。
可信赖机构T生成RSA密钥数据如下:
(1)一个公开模数N=pq,其中p和q是长度相等的大素数,例如,两者都是512位的大素数;
(2)一个公开指数e,且e与φ(N)互素。(φ(N)=(p-1)(q-1));
(3)一个秘密指数d,且ed≡1(modφ(N));
其中,T公开参数(N,e,g),并秘密保存私钥d。
第二,用户参数的建立。其中,用户可以指相互认证的双方,用户需要与T交互生成自己的密钥,设用户分别为设备A和边缘代理B,密钥生成过程如下:
(2)T建立A的公钥为v-IA的RSA签名:PA=(v- IA)d(mod N);
(4)B以同样方式建立自己的公钥(SB,PB)。
第三,接入认证时,设备A需要向边缘代理B证明自己的身份,过程包括:
(2)B向A发起质询,要求A提供证明;
(3)A选择随机数x,计算t=gx(mod N),并将t发给B;
(4)B向A发起挑战,选择一个随机数c作为挑战发给A。
在电力物联网中,接入认证的主要目的有两个:验证消息的发送者是真的,而不是攻击者恶意伪造的,称为实体认证,包括信源、信宿等的认证和识别;验证信息的完整性,即验证数据在传送或存储过程中未被篡改、重放或延迟,称为消息认证。为了避免单一的认证机制而带来的安全隐患,本申请采用基于SIP应用层协议的双向身份认证机制和基于BEM(基扩展)的数据认证机制来完成身份和数据的认证。
其中,SIP协议是IETF(Internet Engineering Task Force)提出用于建立、更改、终止一个或多个参与者之间的多媒体会话或呼叫的应用层协议,本申请对基于SIP的物联网认证方法进行改进,通过扩展 SIP协议,借鉴SIP中表示自身实体的From头域的可隐藏自己身份的方式,增加新的头字段对SIP协议进行扩展实现身份隐藏;借鉴了HTTP摘要认证挑战/响应的认证思想,并通过改进HTTP认证机制以实现高效的双向身份认证;应用公钥体制中的无证书密钥协商机制协商会话密钥,减少了证书的存储开销,提高会话建立的效率,以使方案更加适合用在物联网容量小、实时性要求高的电力物联网终端网络中。
具体地,所述基于SIP的物联网身份认证一般分为两部分,物联网终端和服务器产生系统参数和用户公私钥,其步骤基本相同,包括系统初始化、设置秘密值、设置公钥、提取部分私钥、设置私钥等步骤,对此可以参考现有技术,在此不予赘述。
可选地,请参考图2,图2示出了本申请一个实施例的基于SIP 应用层协议的双向身份认证过程的示意图。根据图2,所述基于SIP 应用层协议的双向身份认证机制,完成接入认证中的身份认证的步骤包括:电力物联网设备(或称终端)验证边缘代理设备(或称服务器) 的公钥和部分私钥;电力物联网设备把用边缘代理设备公钥加密的 SIP请求的From字段的结果放在secretFrom字段;电力物联网设备计算得到一个值,附在请求中一同发给边缘代理设备;边缘代理设备收到请求后,检查请求的From域;边缘代理设备验证电力物联网设备的公钥;边缘代理设备进行解密计算,将得到的值与请求中附的值对比,之后又生成一个值,附在请求中发向电力物联网设备;电力物联网设备对边缘代理设备发来的回应进行解密计算,与附值对比,之后再次生成值并发起INVITE请求;边缘代理设备验证电力物联网设备身份;电力物联网设备计算会话密钥;边缘代理设备发送响应,电力物联网设备回送消息,完成会话建立。
身份认证成功只是接入认证的第一步,为了不免中间人攻击,仍需要设置对后续数据帧的进一步认证。发明人发现,时变信道环境下,冲激响应在一个传输块内发生变化,基扩展(BEM)模型是一个很好的认证方法,它可以提供一种用有限系数来拟合信道增益的办法。可选地,所述基于BEM的数据认证机制,对已完成身份认证的双方进行数据认证的步骤包括:基于BEM模型进行信道估计,对已完成身份认证的双方进行数据认证,所述信道估计包括:选定用于拟合信道的BEM模型,得到对应的基函数;得到导频处冲击响应,之后得到多条路径的基系数;根据基系数和随时间变化的基函数,组合得到 OFDM符号完整的冲击响应。
对于密钥管理而言,电力物联网终端层的通信大多是无线通信,本质上是广播通信或群组通信。一般群组通信的方式可以分为三类,一个发送者和多个接收者、少数发送者和多个接收者、多个发送者和接收者。一般的在点对点通信中,通信双方共享的对称密钥通常称为“会话密钥”,且电力物联网系统是一个具有多个发送者和接收者的系统,经常需要进行多方通信,因此终端物联网网络的密钥常称为“会议密钥”,电力物联网终端层往往采用第三方可信任认证中心CA (Certificate Authority)进行节点认证、增删节点和密钥分发。
椭圆曲线加密(E11iptic Curve Cryptography,ECC)是一种可利用较小尺寸的密钥提供较高信息传输安全性的方法,适用于资源有限的物联网设备。因此针对电力物联网节点信息传输安全性、可靠性、完整性要求高的特点,本发明人结合基于EEC的密钥管理方法和层次式密钥管理方案,将网络分层以分担节点密钥协商的资源消耗,并引入安全认证技术抵御外部攻击。
因而可选地,所述认证方法还包括:基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信,其中,所述电网终端层网络被分为三层架构:管理层、服务层和用户层,管理层的控制中心负责存储整个网络中其他控制中心以及该区域内节点的身份公钥信息,并负责节点跨区域通信消息的转发以及存储该区域的区域密钥;服务层的区域服务器负责存储该区域的区域密钥池、节点身份公钥信息,分发区域密钥以及更新区域密钥,用户层的节点存储自身和区域控制中心的身份公钥信息和区域密钥。其中,基于ECC的物联网网络模型如图3所示。
图3中,管理层具有能量充足、计算能力强大、有足够的存储空间和通信范围的特点,称作区域控制中心Si。服务层有较强的能量、计算能力和一定的存储量。用户层,即用户设备节点Uj,数量巨大,计算能力、能量、存储空间和通信范围有限。
可选地,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥初始化过程:基于椭圆曲线密码体制建立密钥系统的初始化参数;为电力物联网终端层中的每个节点编写特定的身份信息标识,以对节点进行初始化操作;在区域进行密钥初始化操作:使用AES对称密钥在传感器节点间或节点与信息控制中心间进行数据通信。
具体地,在系统参数建立阶段,参考椭圆曲线密码体制建立密钥系统的初始化参数。设椭圆曲线方程为E:y2=(x3+ax+b)mod p,该公式是ECC曲线方程,其中a和b是不同的参数,p为该曲线方程的有限域的阶。在节点初始化阶段,此阶段应在节点部署前进行,为电力物联网终端层中的每个节点编写特定的身份信息标识。在区域密钥初始化阶段,此阶段也应在节点部署前进行,本发明使用AES对称密钥在传感器节点间或节点与信息控制中心间进行数据通信。
可选地,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥池生成过程:在服务器中储存初始化阶段的所有节点的身份信息标识,对每个节点进行随机编号和随机排序,根据每一个节点的子密钥,使用预设的构造方式构成完整的密钥池。
对于密钥协商和通信协议而言,根据经典会话密钥通信协议过程,可以得到如图4所示的物联网终端设备节点A和B之间的通信协议过程。本发明拟根据经典会话密钥通信协议过程,类比电力物联网中的无线传感器终端设备和传输路径。
从图4可以看出,无线传感器终端节点的通信可分为以下两种情况:
通信双方在同一区域时,通信双方只需采用该区域的区域密钥进行加密信息传输,整个通信过程不涉及控制中心之间的通信会话,初始化阶段只需由控制中心产生区域密钥并由区域服务器进行密钥分发即可。由图4可知同一区域的节点只需要进行第一步采用区域密钥加密,会话密钥的具体协商协议如下:
(1)A→B:IDA||RA||(x1IDA,y1RA)
(2)B→A:IDB||RB||EK(RA||IDA||bsGy2||(x1IDBy1RB))
(3)A→B:EK(RB||IDB||asGy2)
(4)B→A:EK(L||start)
(5)A→B:EK(M||IDA||L)
上述公式中,IDA表示节点的身份信息标识,RA表示节点随机编号,Ek()表示椭圆曲线算法,L表示对称加密密钥长度,M表示对称加密密钥,||表示拼接符号,asGy2表示a的公钥,bsGy2表示b的公钥。
通信双方不在同一区域时,考虑到节点资源受限,无法进行长距离通信,因此,在本方案中,设定不同区域间的节点通信,需要经控制中心的转发,并且控制中心负责节点的身份认证。
不同区域的节点通信,需要进行五个步骤:
第一,首先源节点使用区域密钥加密数据,发送给区域服务器;
第二,由该区域服务器解密后将数据转发给区域控制中心;
第三,区域控制中心收到消息后使用与目的区域控制中心(或者是中间转发区域控制中心)事先协商好的会话密钥加密消息并传输给下一个区域控制中心;
第四,由对方控制中心解密后使用区域密钥加密传输给该区域的服务器;
第五,最后由区域服务器再转发给目的节点。
可选地,对于密钥更新而言,根据ECC的密码机制,传感器节点自身的私钥S和会话密钥是随机选取的,密钥更新可分为以下阶段:
第一阶段,周期性更新密钥。令传感器节点密钥与身份一一对应,其实施方案可采取在节点初始化后,设定身份ID中的前n位作为周期更新时间。如果某节点需要临时更新密钥,则在通信协议中加入时间戳即可,其中n为自然数。
第二阶段,节点加入/离开。
节点加入的过程,可描述为以下六个步骤:新用户向控制中心发送申请加入信息;控制中心进行身份认证,防止恶意节点混入;身份验证合法后,更新密钥池,产生新的区域编号分发给新用户和区域服务器;服务器根据新节点的区域编号,将节点的公私钥和区域密钥发送给新节点;服务器将更新后的区域密钥广播给该区域的所有节点;则新节点可以与群组中其他节点进行正常通信。
节点离开的过程与加入有所不同,分两种情况考虑:设备节点能源耗尽,暂时性离开节点,则不对节点身份信息进行注销,只是广播该节点暂时离开的消息,并不更新区域编号和区域密钥;设备节点不再需要或使用周期结束,将永久性离开网络,这时将对节点进行身份信息注销,并进行区域编号和区域密钥的更新。
第三阶段,系统秘钥更新。系统密钥每当使用一段时间之后,就需要定期更新,以防攻击者进行明密文、穷举法等方式对密钥进行攻击。
与现有技术相比,本发明具有以下优点:基于SIP协议的双向身份认证和基于BEM的数据认证完成接入认证中的身份和数据认证,解决单向认证和无数据认证导致的中间人攻击等问题,形成一种适用于边缘代理和平台的认证机制。并且,课题采用基于自证实公钥技术的接入认证机制,解决了性能受限设备的接入认证问题。两套面向电力物联网的轻量级协证机制协同确保了电力物联网终端层设备的身份可信,保障和承载了业务的协同应用和安全接入。
应当注意,尽管在附图中以特定顺序描述了本公开方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种用于电网终端层设备接入的认证方法,其特征在于,所述认证方法包括:
基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证;
基于SIP应用层协议的双向身份认证机制,完成接入认证中的身份认证;
基于BEM的数据认证机制,对已完成身份认证的双方进行数据认证。
2.根据权利要求1所述的认证方法,其特征在于,所述基于自证实公钥,完成电力物联网设备和边缘代理设备之间的接入认证的步骤包括:
由可信赖机构建立系统参数,并基于以下步骤建立协议双方各自的密钥,其中所述协议双方中的第一方包括电力物联网设备,第二方包括边缘代理设备:
建立系统密钥:由可信赖机构生成RSA密钥数据,所述密钥数据包括一个公开模数、一个公开指数、一个秘密指数和一个公开元素,所述可信赖机构对密钥数据中的公开模数、公开指数和公开元素进行公开并秘密保存秘密指数,所述秘密指数作为私钥;
建立协议双方的用户参数:由可信赖机构与双方各自交互生成各自的公钥;
在相互认证的双方进行接入认证时,第一方向第二方证明自己的身份,证明过程包括:第一方向第二方发起认证请求并发送自己的公钥和身份信息;第二方向第一方发起质询,要求第一方提供证明;第一方选择随机数,基于第一预设计算规则和随机数进行计算得到第一计算结果并将第一计算结果发送至第二方;第二方向第一方发起挑战,选择另一随机数作为挑战发送给第一方;第一方应答挑战,基于第二预设计算规则和另一随机数进行计算得到第二计算结果并将第二计算结果发送至第二方;第二方对接收到的第二计算结果进行验证,如果成立,则接受第一方的身份,发送认证成功信息给第一方,否则发送认证失败信息给第一方。
3.根据权利要求1所述的认证方法,其特征在于,所述基于SIP应用层协议的双向身份认证机制,完成接入认证中的身份认证的步骤包括:
电力物联网设备验证边缘代理设备的公钥和部分私钥;
电力物联网设备把用边缘代理设备公钥加密的SIP请求的From字段的结果放在secretFrom字段;
电力物联网设备计算得到一个值,附在请求中一同发给边缘代理设备;
边缘代理设备收到请求后,检查请求的From域;
边缘代理设备验证电力物联网设备的公钥;
边缘代理设备进行解密计算,将得到的值与请求中附的值对比,之后又生成一个值,附在请求中发向电力物联网设备;
电力物联网设备对边缘代理设备发来的回应进行解密计算,与附值对比,之后再次生成值并发起INVITE请求;
边缘代理设备验证电力物联网设备身份;
电力物联网设备计算会话密钥;
边缘代理设备发送响应,电力物联网设备回送消息,完成会话建立。
4.根据权利要求1所述的认证方法,其特征在于,所述基于BEM的数据认证机制,对已完成身份认证的双方进行数据认证的步骤包括:
基于BEM模型进行信道估计,对已完成身份认证的双方进行数据认证,所述信道估计包括:
选定用于拟合信道的BEM模型,得到对应的基函数;
得到导频处冲击响应,之后得到多条路径的基系数;
根据基系数和随时间变化的基函数,组合得到OFDM符号完整的冲击响应。
5.根据权利要求1所述的认证方法,其特征在于,所述认证方法还包括:
基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信,其中,所述电网终端层网络被分为三层架构:管理层、服务层和用户层,管理层的控制中心负责存储整个网络中其他控制中心以及该区域内节点的身份公钥信息,并负责节点跨区域通信消息的转发以及存储该区域的区域密钥;服务层的区域服务器负责存储该区域的区域密钥池、节点身份公钥信息,分发区域密钥以及更新区域密钥,用户层的节点存储自身和区域控制中心的身份公钥信息和区域密钥。
6.根据权利要求5所述的认证方法,其特征在于,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥初始化过程:
基于椭圆曲线密码体制建立密钥系统的初始化参数;
为电力物联网终端层中的每个节点编写特定的身份信息标识,以对节点进行初始化操作;
在区域进行密钥初始化操作:使用AES对称密钥在传感器节点间或节点与信息控制中心间进行数据通信。
7.根据权利要求5所述的认证方法,其特征在于,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥池生成过程:
在服务器中储存初始化阶段的所有节点的身份信息标识,对每个节点进行随机编号和随机排序,根据每一个节点的子密钥,使用预设的构造方式构成完整的密钥池。
8.根据权利要求5所述的认证方法,其特征在于,对于不同区域的节点,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括:
由源节点使用区域密钥加密数据,并将加密数据发送给区域服务器;
由该区域服务器解密后将数据转发给区域控制中心;
区域控制中心收到消息后,使用与目的区域控制中心或中间转发区域控制中心事先协商好的会话密钥加密消息,并将加密消息传输给下一个区域控制中心;
由对方控制中心解密后,使用区域密钥进一步加密消息并将进一步加密后的消息传输给该区域的服务器;
由区域服务器并将进一步加密后的消息再转发给目的节点。
9.根据权利要求5所述的认证方法,其特征在于,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥更新过程:
在节点初始化后,设定节点身份ID中的前N位作为周期更新时间,如果节点需要临时更新密钥,在通信协议中加入时间戳,其中传感器节点密钥与身份一一对应,其中N为自然数。
10.根据权利要求5所述的认证方法,其特征在于,所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥更新过程:
当有新的节点加入,新节点向控制中心发送申请加入信息;控制中心进行身份认证,防止恶意节点混入;身份验证合法后,更新密钥池,产生新的区域编号分发给新用户和区域服务器;服务器根据新节点的区域编号,将节点的公私钥和区域密钥发送给新节点;服务器将更新后的区域密钥广播给该区域的所有节点;则新节点可以与群组中其他节点进行正常通信;
当有节点需要离开,则对节点的离开类型进行判断,基于不同的离开类型而执行不同的密钥更新操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011339620.XA CN112468490B (zh) | 2020-11-25 | 2020-11-25 | 一种用于电网终端层设备接入的认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011339620.XA CN112468490B (zh) | 2020-11-25 | 2020-11-25 | 一种用于电网终端层设备接入的认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112468490A true CN112468490A (zh) | 2021-03-09 |
CN112468490B CN112468490B (zh) | 2023-09-08 |
Family
ID=74808213
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011339620.XA Active CN112468490B (zh) | 2020-11-25 | 2020-11-25 | 一种用于电网终端层设备接入的认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112468490B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887338A (zh) * | 2021-03-18 | 2021-06-01 | 南瑞集团有限公司 | 一种基于ibc标识密码的身份认证方法和系统 |
CN113949414A (zh) * | 2021-09-09 | 2022-01-18 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信可信安全接入方法 |
CN114006729A (zh) * | 2021-09-29 | 2022-02-01 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信可信接入管理方法及系统 |
CN114978612A (zh) * | 2022-04-29 | 2022-08-30 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场数据安全传输方法 |
CN115085943A (zh) * | 2022-08-18 | 2022-09-20 | 南方电网数字电网研究院有限公司 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104319874A (zh) * | 2014-09-12 | 2015-01-28 | 国家电网公司 | 一种智能电网输电线路状态在线监测系统及其监测方法 |
CN106790173A (zh) * | 2016-12-29 | 2017-05-31 | 浙江中控技术股份有限公司 | 一种scada系统及其rtu控制器双向身份认证的方法及系统 |
CN107302541A (zh) * | 2017-07-31 | 2017-10-27 | 成都蓝码科技发展有限公司 | 一种基于http协议的数据加密传输方法 |
CN108512846A (zh) * | 2018-03-30 | 2018-09-07 | 北京邮电大学 | 一种终端与服务器之间的双向认证方法和装置 |
CN110958209A (zh) * | 2018-09-27 | 2020-04-03 | 广东国盾量子科技有限公司 | 基于共享密钥的双向认证方法及系统、终端 |
WO2020133655A1 (zh) * | 2018-12-26 | 2020-07-02 | 中国科学院沈阳自动化研究所 | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 |
CN111526013A (zh) * | 2020-04-17 | 2020-08-11 | 中国人民银行清算总中心 | 密钥分发方法及系统 |
-
2020
- 2020-11-25 CN CN202011339620.XA patent/CN112468490B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104319874A (zh) * | 2014-09-12 | 2015-01-28 | 国家电网公司 | 一种智能电网输电线路状态在线监测系统及其监测方法 |
CN106790173A (zh) * | 2016-12-29 | 2017-05-31 | 浙江中控技术股份有限公司 | 一种scada系统及其rtu控制器双向身份认证的方法及系统 |
CN107302541A (zh) * | 2017-07-31 | 2017-10-27 | 成都蓝码科技发展有限公司 | 一种基于http协议的数据加密传输方法 |
CN108512846A (zh) * | 2018-03-30 | 2018-09-07 | 北京邮电大学 | 一种终端与服务器之间的双向认证方法和装置 |
CN110958209A (zh) * | 2018-09-27 | 2020-04-03 | 广东国盾量子科技有限公司 | 基于共享密钥的双向认证方法及系统、终端 |
WO2020133655A1 (zh) * | 2018-12-26 | 2020-07-02 | 中国科学院沈阳自动化研究所 | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 |
CN111526013A (zh) * | 2020-04-17 | 2020-08-11 | 中国人民银行清算总中心 | 密钥分发方法及系统 |
Non-Patent Citations (3)
Title |
---|
张金玲等: "《时变OFDM系统中基于基扩展模型的物理层认证》", 《电子技术应用》 * |
蔡田田等: "《基于集成双向加密认证FTU的配网自动化安全防护方案研究与应用》", 《电力信息与通信技术》 * |
陈洁: "《物联网中移动终端的协同身份检测机制研究》", 《通信技术》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887338A (zh) * | 2021-03-18 | 2021-06-01 | 南瑞集团有限公司 | 一种基于ibc标识密码的身份认证方法和系统 |
CN112887338B (zh) * | 2021-03-18 | 2022-08-05 | 南瑞集团有限公司 | 一种基于ibc标识密码的身份认证方法和系统 |
CN113949414A (zh) * | 2021-09-09 | 2022-01-18 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信可信安全接入方法 |
CN114006729A (zh) * | 2021-09-29 | 2022-02-01 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信可信接入管理方法及系统 |
CN114006729B (zh) * | 2021-09-29 | 2023-12-01 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信可信接入管理方法及系统 |
CN114978612A (zh) * | 2022-04-29 | 2022-08-30 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场数据安全传输方法 |
CN114978612B (zh) * | 2022-04-29 | 2023-10-10 | 国网浙江省电力有限公司宁波供电公司 | 一种电力靶场数据安全传输方法 |
CN115085943A (zh) * | 2022-08-18 | 2022-09-20 | 南方电网数字电网研究院有限公司 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
Also Published As
Publication number | Publication date |
---|---|
CN112468490B (zh) | 2023-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5349619B2 (ja) | アイデンティティベースの認証鍵共有プロトコル | |
JP4527358B2 (ja) | 鍵供託を使用しない、認証された個別暗号システム | |
Khalili et al. | Toward secure key distribution in truly ad-hoc networks | |
CN108667616B (zh) | 基于标识的跨云安全认证系统和方法 | |
CN112468490B (zh) | 一种用于电网终端层设备接入的认证方法 | |
Boyd et al. | Deniable authenticated key establishment for internet protocols | |
Yuan et al. | EIMAKP: Heterogeneous cross-domain authenticated key agreement protocols in the EIM system | |
Sulaiman et al. | Improving scalability in vehicular communication using one-way hash chain method | |
Shim | Cryptanalysis of two identity-based authenticated key agreement protocols | |
Xia et al. | Breaking and repairing the certificateless key agreement protocol from ASIAN 2006 | |
Hussain et al. | A secure and decentralised SIP for mobile ad hoc networks | |
Masmoudi et al. | Building identity-based security associations for provider-provisioned virtual private networks | |
Yijun et al. | A secure key exchange and mutual authentication protocol for wireless mobile communications | |
Jinlong et al. | SIP Security Architecture Based on Source Address Validation | |
Zhang et al. | A novel ID-based multi-domain handover protocol for mesh points in WMNs | |
Jung et al. | Using SIP identity to prevent man-in-the-middle attacks on ZRTP | |
Yau et al. | On the Security of a Non-Interactive Authenticated Key Agreement over Mobile Communication Networks | |
Wan et al. | Access control protocols with two-layer architecture for wireless networks | |
Kilinc et al. | Performance evaluation of Id based authentication methods in the SIP protocol | |
Feng et al. | An Enhancing Security Research of Tor Anonymous Communication to Against DDos Attacks | |
CN116405195A (zh) | 一种适用于车联网的用户认证和密钥协商方法 | |
Phan et al. | Analysis of two pairing-based three-party password authenticated key exchange protocols | |
Mannan et al. | A protocol for secure public Instant Messaging (extended version) | |
Forsberg | Use cases of implicit authentication and key establishment with sender and receiver ID binding | |
Martins et al. | Featuring Immediate Revocation in Mikey-Sakke (FIRM) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |