CN113395166B - 一种基于边缘计算的电力终端云边端协同安全接入认证方法 - Google Patents
一种基于边缘计算的电力终端云边端协同安全接入认证方法 Download PDFInfo
- Publication number
- CN113395166B CN113395166B CN202110645583.3A CN202110645583A CN113395166B CN 113395166 B CN113395166 B CN 113395166B CN 202110645583 A CN202110645583 A CN 202110645583A CN 113395166 B CN113395166 B CN 113395166B
- Authority
- CN
- China
- Prior art keywords
- authentication
- power terminal
- access
- edge device
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/06—Electricity, gas or water supply
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Abstract
本发明涉及电力终端设备的接入认证,旨在提供一种基于边缘计算的电力终端云边端协同安全接入认证方法。该方法包括电力终端接入时的一次性认证和电力终端接入后的持续性认证两个部分内容;其中,一次性认证由电力终端、边缘设备和云平台三者共同参与,持续认证只由电力终端和边缘设备参与。本发明引入持续性认证环节增强安全性,以密码非密码手段实现轻量级身份认证机制。本发明利用白名单、数字签名与挑战应答进行机制设计,故在可行性方面具有保障;在安全性上则考虑接入时一次性复杂认证充分确保接入安全,接入后持续性简单认证则是作为补充提高安全性;在简洁性上充分发挥边缘计算的优势,选取简便的认证机制减少计算压力。
Description
技术领域
本发明涉及电力终端设备的接入认证,属于信息安全领域,旨在提供一种基于边缘计算的电力终端云边端协同安全接入认证方法。
背景技术
随着配电物联网的不断发展,配电终端大量接入,部署边缘计算设备已经势在必行。边缘计算通过在数据来源侧部署边缘节点,及时处理数据,有效缓解了集中处理数据带来的计算压力,在降低网络的传输带宽消耗的同时加快数据的处理效率。而随着边缘节点的加入,传统的“云-端”接入认证架构逐渐演变为“云-边-端”三者协同的架构,这种新型架构为配电网安全带来了新的挑战与机遇。
传统的终端身份认证方法大多基于密码手段。基于硬件特征的认证主要有物理不可克隆函数(PUF)和硬件指纹技术,利用芯片在加工过程中产生的随机性差异作为认证凭证,通过密码手段实现认证,由于随机性差异无法被复制,故在安全性上具有优势。基于身份标识的认证与基于硬件特征的认证相似,即以唯一身份标识作为凭证,在实现复杂度上相对较小。非对称加密手段认证,利用公私钥唯一对应的性质实现对终端的认证。
近年来,随着物联网技术的发展,新型的认证技术也在涌现。其中基于区块链技术的认证最为热门,区块链技术在安全领域具有优势,其去中心化、数据不可篡改和可追溯性等特点为终端身份认证提供了新思路。可信计算技术通过建立信任根与信任链,层层认证实现层级与层级间的信任,最终扩展到整个网络系统。基于深度学习的认证方法则利用数据包提取构建被动式设备指纹进行认证。基于秘密共享的认证中待认证节点的密钥被分成若干份分别存储在其他节点中,待认证节点需要由这些节点协助进行共同认证,当节点个数达到一定数量后即可恢复密钥完成认证。
但是,上述技术仍存在可行性、安全性、简洁性等方面的不足。例如,面对边缘计算环境下海量终端异构接入认证需求的新局面,基于硬件特征的方法需完成大量复杂的前期工作,且易受环境条件的制约;简单的非对称加密手段认证在安全性上有所欠缺;区块链技术仍处于发展阶段,无法立即部署应用;可信计算在简洁性方面无法满足要求;深度学习方法计算需求过大,且目前识别准确率不足;秘密共享方案则对通信带宽要求较高,且计算消耗不小。
发明内容
本发明要解决的技术问题是,克服现有技术中的不足,提供一种基于边缘计算的电力终端云边端协同安全接入认证方法。该方法属于基于云边协同的挑战握手认证解决方案,区别于传统一次性简单认证机制,引入持续性认证环节增强安全性,以密码非密码手段实现轻量级身份认证机制,能满足海量电力终端异构接入的认证需求。
为解决技术问题,本发明的解决方案是:
提供一种基于边缘计算的电力终端云边端协同安全接入认证方法,包括电力终端接入时的一次性认证和电力终端接入后的持续性认证两个部分内容;其中,一次性认证由电力终端、边缘设备和云平台三者共同参与,持续认证只由电力终端和边缘设备参与;
第一部分,电力终端接入认证阶段:
S1.在云平台建立电力终端的白名单。
白名单的建立过程包括:
(1.1)搜集各电力终端的基本信息;
(1.2)根据电力终端的基本信息计算其杂凑值,并存储于列表中;
(1.3)将所有电力终端的接入标识置为0,代表未接入状态。
白名单建立在云平台,具有实时更新的功能。电力终端的基本信息包含:合法电力终端的终端类型、接入方式、唯一标识(MAC地址或产品序列号等)、电力终端所属的边缘设备编号或标识以及电力终端接入标识(Access)。其中,终端类型、接入方式、唯一标识以及边缘设备编号或标识以杂凑值形式存储。电力终端接入标识Access为1或0,代表电力终端接入与否的状态值,只有Access=0即电力终端未接入状态下才会接受终端接入验证,Access=1则代表该终端已接入,不再允许利用同一身份标识发起请求的终端接入。
S2.电力终端发送接入请求,由边缘设备验证其新鲜性后,向云平台发送接入请求;
由电力终端IDT向需要接入的边缘设备IDE发送接入请求,接入请求中包含终端的身份标识、数字签名、时间戳、伪随机数以及操作序列号,上述信息共同构成接入请求数据包AccReq1(IDT,(r,s),T1,R1,N0)。数据包发送过程如下:
其中,(r,s)代表电力终端根据私钥kpr1签名计算所得的数字签名;T1代表发送接入请求时电力终端的时间戳;R1代表电力终端产生的伪随机数;N0代表当前数据包在整个认证过程中的序列号;IDT代表电力终端的身份标识,由于电力终端种类繁多,接入方式各有不同,故不同设备会形成不同种类的唯一标识;以太网、WiFi、4G、5G等接入的设备可选取MAC地址、IPv4或IPv6地址作为唯一标识,串口接入的设备可选取机器码、产品序列号或内嵌CPU的序列号作为唯一标识;除唯一标识(字段identification表示)外,身份标识还包括终端类型(字段type代表)、接入方式(字段mode代表),身份标识格式如下:
IDT=type||mode||identification
边缘设备在接收到电力终端接入请求后先根据时间戳及伪随机数判断消息新鲜性,若消息新鲜性验证失败,则拒绝终端接入;若消息新鲜性验证通过,则将操作序列号N0加l(N1=N0+1),并向云平台发送接入请求数据包AccReq2(IDT,(r,s),N1)。
S3.云平台收到接入请求后,依次进行白名单验证和数字签名验证,然后发送随机数挑战请求信息至边缘设备;
云平台接收接入请求数据包AccReq2后,首先利用电力终端身份标识IDT根据白名单进行验证。
若该电力终端接入标识Access=1则拒绝当前请求接入的终端接入并对已接入的对应终端进行审计;若接入标识Access=0且终端的身份标识以及边缘设备编号或标识均比对通过,则通过白名单验证。然后根据验签算法利用公钥kpub1对(r,s)进行验签(数字签名验证),若验签通过,则产生一个真随机数TR1,由杂凑算法计算真随机数TR1的杂凑值H(TR1),利用公钥kpub2对真随机数TR1和kpub3对杂凑值H(TR1)进行加密,得到密文E2(TR1)和E3(H(TR1)),将操作序列号N1加l(N2=N1+1)后,发送随机数挑战请求包ChaReq1(H(TR1),E2(TR1),E3(H(TR1)),N2)至边缘设备。
S4.边缘设备截取信息中的部分数据,对其中的密文进行计算并与杂凑值比对;如比对相符,则转发该请求信息至电力终端;
边缘设备接收随机数挑战请求包ChaReq1后,截取该数据包中的杂凑值H(TR1)和密文E2(TR1),利用私钥kpr2解密该密文得到D2(E2(TR1)),计算其杂凑值H(D2(E2(TR1)))并与H(TR1)进行比对,若相同则将操作序列号N2加l(N3=N2+1)后,向电力终端发送随机数挑战请求包ChaReq2(E3(H(TR1)),N3)。
S5.电力终端解密请求信息后,返回响应包至边缘设备;
电力终端对随机数挑战请求包ChaReq2中的E3(H(TR1)进行解密,得到D3(E3(H(TR1))),将操作序列号N3加l(N4=N3+1)后,发送挑战响应包ChaRsp(D3(E3(H(TR1))),N4)至边缘设备。
S6.边缘设备将响应包中的解密信息与此前截取数据中的杂凑值进行比对,若两者相同则挑战通过;边缘设备将该电力终端记录到本地的认证列表中,并允许其接入配电物联网;
边缘设备对挑战响应包中的D3(E3(H(TR1)))与上述S4中所截取的杂凑值H(TR1)进行比对,若两者相同则挑战通过;在所述边缘设备中建立认证列表,认证列表中的基本信息包含电力终端的身份标识、接入时间戳、断开时间戳、认证时间戳、认证过程持续时间。而后边缘设备将该电力终端记录到该认证列表中并允许其接入,记录信息包括身份标识IDT、接入的时间戳T2,其余信息暂时为空。边缘设备将电力终端记录到认证列表中后,云平台中的白名单需将该电力终端对应的接入标识置为l(Access=1),电力终端自动断开连接(包括人为断开、故障断开等)或因认证失败被边缘设备断连后接入标识清零。如果对比不相符,则拒绝电力终端的接入。
第二部分,电力终端持续认证阶段:
由于个别种类电力终端发起认证的间隔时间TS及数据传输间隔的时间较长,故在这段真空期内无法判断该电力终端是否仍处于接入状态,因此引入心跳检测机制来明确电力终端的接入状态。接入后,电力终端每间断一个心跳周期Tp向边缘设备发送包含自身工作状态的数据包,边缘设备接收到该数据包即可确认该电力终端仍处于接入状态,若间隔3倍心跳周期后仍未接收到该数据包,则将白名单内该电力终端对应的接入标识清零。此过程在电力终端接入标识置1直至清零这一时间段内持续生效。
S7.边缘设备向电力终端发送认证请求信息,电力终端解码后返回认证响应至边缘设备;
基于认证列表内的接入时间戳,边缘设备在电力终端接入后经过一段时间Ts,自主产生一个真随机数TR2,由杂凑算法计算得到真随机数TR2的杂凑值H(TR2)和身份标识IDT的杂凑值H(IDr),H(TR2)与H(IDT)经过异或操作得到认证值 对Auth进行编码得到C(Auth),将操作序列号N4加l(N5=N4+1)后,发送认证请求数据包AuthReq(C(Auth),N5)至电力终端,记录当前认证时间戳T′1并更新至认证列表。
电力终端接收到认证请求数据包AuthReq后,对C(Auth)进行解码操作得到D(C(Auth)),而后将操作序列号N5加l(N6=N5+1),并向边缘设备发送认证响应数据包AuthRsp(D(C(Auth)),N6)。
S8.边缘设备对响应信息进行杂凑值比对,如相同则认证成功,保持电力终端的接入状态;
边缘设备接收到认证响应数据包AuthRsp后,记录当前时间戳T′2并更新认证列表,判断认证过程持续时间(T′2-T′1)是否大于阈值ΔT(ΔT需根据终端具体情况设定),若(T′2-T′1)≥ΔT则表明认证失败,断开该电力终端,否则对H(IDT)与D(C(Auth))进行同或运算,计算得到XNOR=H(IDT)⊙D(C(Auth)),比对验证XNOR与上述S7中H(TR2)是否相同,若相同则认证成功并保持电力终端的接入状态,否则认证失败并断开该电力终端。
S9.认证成功后每间隔时间TS,边缘设备将再次发起认证,重复S7-S8步骤;该过程持续生效直至终端断开连接。
在所述S1~S9步骤中,每当发生认证相关数据包的发送时,数据包中所含的操作序列号N加l(N+=1)。操作序列号与对应数据包储存在边缘设备中,每当有操作序列号更新时便将该序列号连同数据包一同存储,并判断与上一条记录是否为连续(或相近)序列号,若不连续或不相近则中止认证并断开该电力终端;其目的是抵御重放攻击,提高认证机制的安全性。
与现有技术相比,本发明的优点有:
(1)本发明提出了一种全新的认证机制,适用于引入边缘计算形成“云-边-端”架构的应用场景,尤其体现在:第一部分接入认证过程由于有云平台参与认证,所以该部分机制安全性优先于简洁性,利用身份标识与挑战握手双重因素进行认证,在安全性上高于传统单因素认证方法;第二部分持续认证过程则仅由边缘设备对终端认证,降低带宽消耗的同时减轻云平台计算压力。
(2)本发明中持续认证过程发生在电力终端正常工作的时间段内,故在不影响终端正常运行的情况下,间断性地对其发起认证,主要目的是识别电力终端在接入后是否存在被劫持攻击的情况,提升系统安全可靠性。
(3)本发明充分考虑终端计算资源受限的现状,尤其是在终端正常工作过程中,其计算资源进一步被压缩,故在持续认证阶段终端仅需进行解码操作,相对于加密解密而言大大降低了计算需求,确保终端不会在认证过程中影响自身正常运行。
(4)本发明引入白名单机制,初步对电力终端进行验证,增加了接入认证因素的多样性,同时也防止非法终端利用合法终端的信息接入边缘设备。
(5)本发明通过随机数、时间戳和操作序列号等因素来抵御重放攻击,有效提升安全性。
(6)本发明利用白名单、数字签名与挑战应答进行机制设计,故在可行性方面具有保障;在安全性上则考虑接入时一次性复杂认证充分确保接入安全,接入后持续性简单认证则是作为补充提高安全性;在简洁性上充分发挥边缘计算的优势,选取简便的认证机制减少计算压力。
附图说明
图1是本发明所设计的整体认证架构图;
图2是本发明白名单建立流程图;
图3是本发明电力终端接入认证阶段流程图;
图4是本发明电力终端持续认证阶段流程图。
具体实施方式
下面结合附图对本发明作更进一步的说明。
传统配电物联网电力终端接入基于“云-端”架构,而随着海量终端的接入,云平台计算压力剧增,故引入边缘设备来分担云平台的压力。边缘设备的引入改变了原来的通信架构,演变为“云-边-端”新型架构,而传统的认证机制基于“云-端”架构设计,故不适用于引入边缘计算的场景,本发明针对这一现状提出新型认证机制,充分考虑边缘设备带来的挑战和机遇,以期克服边缘计算带来的难题,发挥其优势。
图1是本发明所设计的整体认证架构图,涉及三类实体设备:云平台、边缘设备以及终端设备。其中,终端设备是配电物联网内的电力终端,例如智能电表、智能感知设备、分布式电源、储能设备、充电桩等;云平台是指,基于云端的远程服务器搭建的电力终端安全接入认证控制平台;边缘设备是部署在终端设备现场附近,用于针对测量获得的终端设备运行数据进行处理,能有效缓解集中处理数据带来的计算压力,边缘设备可选小型服务器设备、多功能边缘网关设备的硬件设备形式。
图2是本发明白名单建立流程图,主要涉及云平台建立白名单的过程,包括以下步骤:
S1.在云平台建立电力终端的白名单;
白名单的建立过程包括:
(1.1)搜集各电力终端的基本信息;
(1.2)根据电力终端的基本信息计算其杂凑值,并存储于列表中;
(1.3)将所有电力终端的接入标识置为0(Access=0),代表未接入状态。
电力终端的基本信息包括:终端类型、接入方式、唯一标识(MAC地址或产品序列号等)、电力终端所属的边缘设备编号和电力终端接入标识(Access);其中,终端类型、接入方式、唯一标识和所属边缘设备编号以杂凑值形式存储;电力终端接入标识为1或0,代表电力终端接入与否的状态值;在电力终端未接入状态下才会接受其接入请求,1则代表该终端已接入,不再允许发送同一身份标识的终端接入。
图3是本发明电力终端接入认证阶段流程图,主要涉及云平台、边缘设备以及终端设备三者协同的接入认证。由于是接入时的一次性认证,安全性应作为首要目标,故该认证过程选取较为复杂的认证机制,主要为确保接入终端的合法性。
接入认证阶段包括以下步骤:
S2.电力终端IDT发送接入请求,由边缘设备IDE验证其新鲜性后,向云平台发送接入请求;
由电力终端IDT向需要接入的边缘设备IDE发送接入请求,接入请求中包含终端的身份标识、数字签名、时间戳、伪随机数以及操作序列号,上述信息共同构成接入请求数据包AccReq1(IDT,(r,s),T1,R1,N0),其中,T1代表发送接入请求的时间戳;R1代表终端设备产生的伪随机数;N0代表当前数据包在整个认证过程中的操作序列号;(r,s)代表终端根据私钥签名计算所得的数字签名,数字签名算法可根据具体情况选取。现以DSA算法为例,取公钥kpub1=(p,q,α,β),私钥kpr1=(d),随机临时密钥0<kE<q,签名生成过程如下:
IDT代表电力终端设备的身份标识,由于电力终端种类繁多,接入方式各有不同,故不同设备会形成不同种类的唯一标识,以太网、WiFi、4G、5G等接入的设备可选取MAC地址、IPv4或IPv6地址作为唯一标识,串口接入的设备可选取机器码、产品序列号或内嵌CPU的序列号作为唯一标识。除唯一标识(字段identification表示)外,身份标识还包括终端类型(字段type代表)、接入方式(字段mode代表)。
现以RS485接入的智能电表为例,假定该智能电表产品序列号为00000001,则其身份标识如下:
IDT=smartmeter+rs485+00000001
其中,“+”视为连接符,用于分隔不同数据段。
以D/LT645传输规约为例,AccReq1数据包内容如下:
68H | A0 | … | A5 | 68H | C | L | DATA | CS | 16H |
其中,DATA=smartmeter+rs485+00000001+r+s+T1+R1+N0
边缘设备IDE在接收到智能电表接入请求后,先根据时间戳与伪随机数判断消息新鲜性。若消息新鲜性验证失败,则拒绝智能电表接入;若消息新鲜性验证通过,则将操作序列号N0加l(N1=N0+1),并向云平台发送接入请求数据包AccReq2(IDT,(r,s),N1)。
AccReq2.DATA=smartmeter+rs485+00000001+r+s+N1
S3.云平台收到接入请求后,依次进行白名单验证和数字签名验证,然后发送随机数挑战请求信息至边缘设备IDE;
云平台接收接入请求数据包AccReq2后,首先利用智能电表身份标识IDT根据白名单进行验证,白名单验证过程如下:
(3.1)云平台根据数据包内的唯一标识identification=00000001,计算其杂凑值H(00000001)后进行检索,判断是否有对应电力终端存储于白名单内,若不存在则验证失败,不予该智能电表接入;若存在则继续验证。
(3.2)检验接入标识,若该智能电表接入标识Access=1则拒绝当前请求接入的电表接入并对已接入的对应终端进行审计;若接入标识Access=0继续下一步验证。
(3.3)云平台对上传数据的边缘设备的编号IDE计算杂凑值H(IDE),并与白名单内对应数据进行比对,若不同则验证失败,相同则继续验证。
(3.4)根据数据包内的智能电表的IDT信息计算终端类型type=smartmeter与接入方式mode=rs485的杂凑值H(samrtmeter)与H(rs485),与白名单内对应数据进行比对,若存在不同则验证失败,完全相同则验证通过。
若该智能电表通过白名单验证,则根据验签算法对(r,s)进行验签(即数字签名验证),仍以DSA算法为例,验签过程如下:
w≡s-1mod q
u1≡w·H(IDT)mod q
u2≡w·r mod q
满足v≡r mod q时验签成功,云平台产生一个真随机数TR1,由杂凑算法计算真随机数TR1的杂凑值H(TR1),利用公钥kpub2对真随机数TR1和kpubs对杂凑值H(TR1)进行加密,得到密文E2(TR1)和E3(H(TR1)),将操作序列号N1加l(N2=N1+1)后,发送随机数挑战请求包ChaReq1(H(TR1),E2(TR1),E3(H(TR1)),N2)至边缘设备IDE。
ChaReq1.DATA=H(rR1)+E2(TR1)+E3(H(TR1)+N2
S4.边缘设备IDE截取信息中的部分数据,对其中的密文进行计算并与杂凑值比对;如比对相符,则转发该请求信息至电力终端;
边缘设备IDE接收随机数挑战请求包ChaReq1后,截取该数据包中的杂凑值H(TR1)和密文E2(TR1),利用私钥kpr2解密该密文得到D2(E2(TR1)),计算其杂凑值H(D2(E2(TR1)))并与H(TR1)进行比对,若相同则将操作序列号N2加l(N3=N2+1)后,向终端发送随机数挑战请求包ChaReq2(E3(H(TR1)),N3)。
ChaReq2.DATA=E3(H(TR1))+N3
S5.智能电表IDT解密请求信息后,返回响应包至边缘设备IDE;
智能电表对随机数挑战请求包ChaReq2中的E3(H(TR1)进行解密,得到D3(E3(H(TR1))),将操作序列号N3加l(N4=N3+1)后,发送挑战响应包ChaRsp(D3(E3(H(TR1))),N4)至边缘设备IDE。
ChaRsp.DATA=D3(E3(H(TR1)))+N4
S6.边缘设备IDE将响应包中的解密信息与此前截取数据中的杂凑值进行比对,若两者相同则挑战通过;边缘设备IDE将该智能电表IDT记录到本地的认证列表中,并允许其接入配电物联网;
边缘设备IDE对挑战响应包中的D3(E3(H(TR1)))与上述S4中所截取的杂凑值H(TR1)进行比对,如果两者比对相同则挑战通过。在所述边缘设备中建立认证列表,认证列表中的基本信息包含电力终端的身份标识、接入时间戳、断开时间戳、认证时间戳、认证过程持续时间。而后边缘设备IDE将该智能电表记录到认证列表中并允许其接入,记录信息包括身份标识IDT、接入的时间戳T2,其余信息暂时为空。边缘设备IDE将智能电表记录到认证列表中后,云平台中的白名单需将该智能电表对应的接入标识置为l(Access=1),即不再允许利用同一身份标识发起请求的终端接入,智能电表自动断开连接(包括人为断开、故障断开等)或因认证失败被边缘设备断连后接入标识清零(Access=0)。如果比对不相符,则拒绝该智能电表的接入。
图4是本发明电力终端持续认证阶段流程图,主要考虑“云-边”框架,即在此阶段,云平台不参与认证,仅由边缘设备对终端设备进行认证,这一架构缓解了带宽消耗,减轻云平台计算压力,并且充分发挥了边缘设备靠近数据侧就近处理数据的优势。边缘设备每隔一段时间发起认证,但认证机制简便,既实现持续性认证带来的安全性,又顾及终端设备对认证过程的承受能力。持续认证阶段包括以下步骤:
引入心跳检测机制来明确智能电表的接入状态。接入后,智能电表每间断一个心跳周期Tp=5s向边缘设备发送包含自身工作状态的数据包,边缘设备接收到该数据包即可确认该智能电表仍处于接入状态,若间隔3倍心跳周期后仍未接收到该数据包,则将白名单内该智能电表对应的接入标识清零。此过程在该智能电表接入标识置1至清零这一时间段内持续生效。
S7.边缘设备IDE向智能电表IDT发送认证请求信息,智能电表解码后返回认证响应至边缘设备;
基于认证列表内的接入时间戳,边缘设备IDE在智能电表IDT接入后经过时间TS=15min,自主产生一个真随机数TR2,由杂凑算法计算得到真随机数TR2的杂凑值H(TR2)和身份标识IDT的杂凑值H(IDr),H(TR2)与H(IDT)经过异或操作得到认证值对Auth进行Base64编码得到C(Auth),将操作序列号N4加l(N5=N4+1)后,发送认证请求数据包AuthReq(C(Auth),N5)至智能电表,记录当前认证时间戳T′1并更新至认证列表。
AuthReq.DATA=C(Auth)+N5
智能电表接收到认证请求数据包AuthReq后,对C(Auth)进行Base64解码操作得到D(C(Auth)),而后将操作序列号N5加l(N6=N5+1),并向边缘设备IDE发送认证响应数据包AuthRsp(D(C(Auth)),N6)。
AuthRsp.DATA=D(C(Auth))+N6
S8.边缘设备IDE对响应信息进行杂凑值比对,如相同则认证成功,保持智能电表IDT的接入状态;
边缘设备接收到认证响应数据包AuthRsp后,记录当前时间戳T′2,计算认证过程持续时间(T′2-T′1)并更新认证列表,判断(T′2-T′1)是否大于阈值ΔT=5s,若(T′2-T′1)≥ΔT,则表明智能电表与边缘设备IDE的通信可能被截取或智能电表已处于非正常工作状态,认证失败并断开该智能电表;否则对H(IDT)与D(C(Auth))进行同或运算,计算得到XNOR=H(IDT)⊙D(C(Auth)),比对验证XNOR与上述S10中H(TR2)是否相同,若相同则认证成功(保持智能电表的接入状态不变),否则认证失败并断开该智能电表。
S9.认证成功后每间隔时间TS=15min,边缘设备IDE将再次发起认证,重复S7-S8步骤,该过程持续生效直至该智能电表断开连接。
在所述S1-S9步骤中,每当发生认证相关数据包的发送时,数据包中所含的操作序列号N加l(N+=1),操作序列号与对应数据包储存在边缘设备IDE中,每当有操作序列号更新时便将该序列号连同数据包一同存储,并判断与上一条记录是否为连续(或相近)序列号,若不连续或不相近则中止认证并断开该智能电表,其目的是抵御重放攻击,提高认证机制的安全性。
以上所述仅是本发明的优选实施方式,应当指出,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (11)
1.一种基于边缘计算的电力终端云边端协同安全接入认证方法,其特征在于,包括电力终端接入时的一次性认证和电力终端接入后的持续性认证两个部分内容;其中,一次性认证由电力终端、边缘设备和云平台三者共同参与,持续认证只由电力终端和边缘设备参与;
所述一次性认证,包括以下步骤:
(1)在云平台建立电力终端的白名单;
(2)电力终端发送接入请求,由边缘设备验证其新鲜性后,向云平台发送接入请求;
(3)云平台收到接入请求后,依次进行白名单验证和数字签名验证,然后发送随机数挑战请求信息至边缘设备;
如云平台对接入请求中的数字签名验证通过,则产生一个真随机数,由杂凑算法计算真随机数的杂凑值,利用公钥对真随机数和杂凑值进行加密得到密文,将操作序列号加1后,发送随机数挑战请求包至边缘设备;
(4)边缘设备截取随机数挑战请求数据包中的杂凑值和密文,利用私钥解密该密文并计算其杂凑值,然后与截取到的杂凑值进行比对;若相同,则将操作序列号加1后,向电力终端发送随机数挑战请求包;
(5)电力终端解密请求信息后,返回响应包至边缘设备;
(6)边缘设备将响应包中的解密信息与此前截取数据中的杂凑值进行比对,若两者相同则挑战通过;边缘设备将该电力终端记录到本地的认证列表中,并允许其接入配电物联网;
如果以上任一验证不能通过或对比不相符,则拒绝电力终端的接入;
所述持续性认证,包括以下步骤:
(7)边缘设备向电力终端发送认证请求信息,电力终端解码后返回认证响应至边缘设备;
(8)边缘设备对响应信息进行杂凑值比对,如相同则认证成功,保持电力终端的接入状态;
(9)在规定间隔时间后,重复步骤(7)、(8)的操作;
如果电力终端响应认证的时间超过规定的阈值,或杂凑值比对结果不相同导致认证失败,则断开电力终端的连接。
2.根据权利要求1所述的方法,其特征在于,所述步骤(1)中,白名单的建立过程包括:
(1.1)搜集各电力终端的基本信息;
(1.2)根据电力终端的基本信息计算其杂凑值,并存储于列表中;
(1.3)将所有电力终端的接入标识置为0,代表未接入状态。
3.根据权利要求2所述的方法,其特征在于,所述电力终端的基本信息包括:终端类型、接入方式、唯一标识、电力终端所属的边缘设备编号和电力终端接入标识;
其中,终端类型、接入方式、唯一标识和边缘设备编号以杂凑值形式存储;电力终端接入标识为1或0,代表电力终端接入与否的状态值;在电力终端未接入状态下才会接受其接入请求,1则代表该终端已接入,不再允许发送同一身份标识的终端接入。
4.根据权利要求1所述的方法,其特征在于,所述步骤(2)中,接入请求中包含电力终端的身份标识、数字签名、时间戳、伪随机数以及操作序列号,上述信息共同构成接入请求数据包;边缘设备先根据时间戳及伪随机数判断消息的新鲜性,若消息新鲜性验证通过,则将操作序列号加1,并向云平台发送接入请求数据包。
5.根据权利要求1所述的方法,其特征在于,所述步骤(5)中,电力终端对随机数挑战请求包中的密文进行解密,将操作序列号加1后,发送挑战响应包至边缘设备。
6.根据权利要求1所述的方法,其特征在于,所述步骤(6)中,边缘设备获取挑战响应包中的解密信息,并将其与此前截取自随机数挑战请求数据包的杂凑值进行比对,若两者相同则挑战通过,允许其接入配电物联网;将该电力终端记录到边缘设备的认证列表中,同时将云平台的白名单中该电力终端对应的接入标识置为1,即对于利用同一身份标识的电力终端发起请求不再允许其接入。
7.根据权利要求1所述的方法,其特征在于,在所述一次性认证完成且电力终端接入配电物联网后,电力终端每隔一个心跳周期T p向边缘设备发送包含自身工作状态的数据包,边缘设备接收到该数据包即确认该电力终端仍处于接入状态;若在间隔设定周期后仍未接收到该数据包,则将白名单内该电力终端对应的接入标识清零,即允许接入利用同一身份标识的电力终端发起的请求;该心跳检测机制在电力终端接入标识置1直至标识清零这一时间段内持续生效。
8.根据权利要求1所述的方法,其特征在于,所述步骤(7)具体包括:
边缘设备基于认证列表内的接入时间戳,在电力终端接入后经过一段时间自主产生一个真随机数,由杂凑算法计算得到真随机数和身份标识的杂凑值,再经过异或操作得到认证值;对其进行编码,并将操作序列号加1后,发送认证请求数据包至电力终端,记录当前认证时间戳T 1 ′并更新至认证列表;电力终端接收到认证请求数据包后进行解码操作,将操作序列号加1,并向边缘设备发送认证响应数据包。
9.根据权利要求1所述的方法,其特征在于,所述步骤(8)具体包括:
边缘设备接收到认证响应数据包后,记录当前时间戳T 2 ′并更新认证列表,判断认证持续时间 ( T 2 ′- T 1 ′) 是否大于设定阈值ΔT ;若 ( T 2 ′- T 1 ′) ≥ΔT则表明认证失败,断开该电力终端;否则,对响应数据包进行同或运算,并将计算得到的结果与认证请求数据包中的杂凑值比对验证是否相同;若相同则认证成功并保持电力终端的接入状态,否则认证失败并断开该电力终端;
认证成功后,边缘设备将每间隔设定时间再次发起认证,且该过程持续生效直至电力终端断开接入为止。
10.根据权利要求1所述的方法,其特征在于,在认证过程中,每次发生身份认证相关数据包的发送时,均对数据包中所含的操作序列号加1;认证完成后的操作序列号与对应数据包储存在边缘设备中,每当有操作序列号更新时便将该序列号连同数据包一同存储,并判断与上一条记录是否为连续或相近的序列号;若不连续或不相近,则中止认证并断开该电力终端。
11.根据权利要求1所述的方法,其特征在于,在所述边缘设备中建立认证列表,认证列表中的基本信息包含电力终端的身份标识、接入时间戳、断开时间戳、认证时间戳、认证过程持续时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110645583.3A CN113395166B (zh) | 2021-06-09 | 2021-06-09 | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110645583.3A CN113395166B (zh) | 2021-06-09 | 2021-06-09 | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113395166A CN113395166A (zh) | 2021-09-14 |
CN113395166B true CN113395166B (zh) | 2022-06-14 |
Family
ID=77620132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110645583.3A Active CN113395166B (zh) | 2021-06-09 | 2021-06-09 | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113395166B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114172669B (zh) * | 2022-02-15 | 2022-05-03 | 之江实验室 | 一种星地通信中融合时空特性双阶段安全接入认证方法 |
CN114978591B (zh) * | 2022-04-15 | 2024-02-23 | 国网上海能源互联网研究院有限公司 | 一种基于安全防护的场域网数据交互系统及方法 |
CN115085943B (zh) * | 2022-08-18 | 2023-01-20 | 南方电网数字电网研究院有限公司 | 用于电力物联网南北向安全加密的边缘计算方法及平台 |
CN116488910B (zh) * | 2023-04-26 | 2024-01-26 | 国网河南省电力公司信息通信分公司 | 一种基于大数据平台的网络安全分析方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141254A (zh) * | 2007-10-30 | 2008-03-12 | 西安西电捷通无线网络通信有限公司 | 一种适用于ibss网络的接入认证方法 |
CN103024743A (zh) * | 2012-12-17 | 2013-04-03 | 北京航空航天大学 | 一种无线局域网可信安全接入方法 |
CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
CN111107130A (zh) * | 2018-10-26 | 2020-05-05 | 慧与发展有限责任合伙企业 | 运营商级电信区块链 |
CN112437055A (zh) * | 2020-11-10 | 2021-03-02 | 国网宁夏电力有限公司电力科学研究院 | 基于边缘计算的电力物联网络终端ntru安全接入方法 |
CN112601221A (zh) * | 2020-12-23 | 2021-04-02 | 国网宁夏电力有限公司电力科学研究院 | 一种基于时间信息的物联网动态ntru接入认证方法 |
-
2021
- 2021-06-09 CN CN202110645583.3A patent/CN113395166B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141254A (zh) * | 2007-10-30 | 2008-03-12 | 西安西电捷通无线网络通信有限公司 | 一种适用于ibss网络的接入认证方法 |
CN103024743A (zh) * | 2012-12-17 | 2013-04-03 | 北京航空航天大学 | 一种无线局域网可信安全接入方法 |
CN111107130A (zh) * | 2018-10-26 | 2020-05-05 | 慧与发展有限责任合伙企业 | 运营商级电信区块链 |
CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
CN112437055A (zh) * | 2020-11-10 | 2021-03-02 | 国网宁夏电力有限公司电力科学研究院 | 基于边缘计算的电力物联网络终端ntru安全接入方法 |
CN112601221A (zh) * | 2020-12-23 | 2021-04-02 | 国网宁夏电力有限公司电力科学研究院 | 一种基于时间信息的物联网动态ntru接入认证方法 |
Non-Patent Citations (2)
Title |
---|
Impedance-Based Stability Analysis of Constant-Power-Source-Involved and Cascaded-Type DC Distributed Power Systems;Xiaoming Wang;《IEEE Access》;20200901;全文 * |
基于云-边-端协同的电力物联网用户侧数据应用框架;原吕泽芮等;《电力建设》;20200630;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113395166A (zh) | 2021-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113395166B (zh) | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 | |
CN111835752B (zh) | 基于设备身份标识的轻量级认证方法及网关 | |
Wazid et al. | Design of secure key management and user authentication scheme for fog computing services | |
CN112218294B (zh) | 基于5g的物联网设备的接入方法、系统及存储介质 | |
CN110932870B (zh) | 一种量子通信服务站密钥协商系统和方法 | |
CN110234111B (zh) | 一种适用于多网关无线传感器网络的双因素认证密钥协商协议 | |
CN106130716B (zh) | 基于认证信息的密钥交换系统及方法 | |
CN105721153B (zh) | 基于认证信息的密钥交换系统及方法 | |
CN112134892B (zh) | 一种移动边缘计算环境下的服务迁移方法 | |
Wang et al. | A secure and efficient multiserver authentication and key agreement protocol for internet of vehicles | |
CN111435913A (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
CN114143343B (zh) | 雾计算环境中远程访问控制系统、控制方法、终端及介质 | |
CN114070559B (zh) | 一种基于多因子的工业物联网会话密钥协商方法 | |
CN110493177B (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
CN116015807A (zh) | 一种基于边缘计算的轻量级终端安全接入认证方法 | |
Hussain et al. | An improved authentication scheme for digital rights management system | |
CN111106928A (zh) | 一种基于国密算法的ntp协议增强信息处理系统及方法 | |
Ma et al. | A secure authentication scheme for remote diagnosis and maintenance in Internet of Vehicles | |
CN113591103A (zh) | 一种电力物联网智能终端间的身份认证方法和系统 | |
CN111245611B (zh) | 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统 | |
US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
Ma et al. | A robust authentication scheme for remote diagnosis and maintenance in 5G V2N | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN113630255B (zh) | 基于sram puf的轻量级双向认证方法及系统 | |
CN115459975A (zh) | 一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |