CN115001717B - 一种基于标识公钥的终端设备认证方法及系统 - Google Patents

一种基于标识公钥的终端设备认证方法及系统 Download PDF

Info

Publication number
CN115001717B
CN115001717B CN202210924400.6A CN202210924400A CN115001717B CN 115001717 B CN115001717 B CN 115001717B CN 202210924400 A CN202210924400 A CN 202210924400A CN 115001717 B CN115001717 B CN 115001717B
Authority
CN
China
Prior art keywords
public key
key
terminal equipment
random
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210924400.6A
Other languages
English (en)
Other versions
CN115001717A (zh
Inventor
王继业
姜琳
朱朝阳
周亮
朱亚运
张晓娟
缪思薇
曹靖怡
王海翔
蔺子卿
宋小芹
张梦迪
应欢
韩丽芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electric Power Research Institute Co Ltd CEPRI
Original Assignee
China Electric Power Research Institute Co Ltd CEPRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electric Power Research Institute Co Ltd CEPRI filed Critical China Electric Power Research Institute Co Ltd CEPRI
Priority to CN202210924400.6A priority Critical patent/CN115001717B/zh
Publication of CN115001717A publication Critical patent/CN115001717A/zh
Application granted granted Critical
Publication of CN115001717B publication Critical patent/CN115001717B/zh
Priority to PCT/CN2022/138445 priority patent/WO2024027070A1/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/06Electricity, gas or water supply
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本发明公开了一种基于标识公钥的终端设备认证方法及系统,其中方法包括:确定终端设备的接入需求与类型,基于所述接入需求与类型确认所述终端设备的标识指纹;基于所述标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥;基于所述公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。本发明采用的标识公钥技术作为一种轻量化的密钥生成与管理方法,实现终端设备标识与公钥的绑定,降低了密钥体系的建设成本与运维成本,适用于分布式电源海量的密钥管理。

Description

一种基于标识公钥的终端设备认证方法及系统
技术领域
本发明涉及分布式电源及其数据传输网络技术领域 ,更具体地,涉及一种基于标识公钥的终端设备认证方法及系统。
背景技术
当前的电网二次安全防护方案是以横向隔离、纵向加密为基础的边界安全防护体系。但随着分布式电源迅速发展,终端设备开放互动,电力监控系统暴露面显著增大,防护边界模糊,传统边界防护难以保证分布式电源的安全接入。
分布式电源,如分布式光伏,可采用电力调度数据网、基于外部公用数据网的虚拟专用网络(VPN)、无线网络三种方式接入调度机构,实现遥信、遥测数据等信息上送至调控机构主站,并能够接收调控机构主站下发的遥控、遥调命令。在分布式电源主体与电网进行交互时,需要对终端设备进行身份验证和访问控制,避免攻击者通过伪造或者控制分布式电源主体接入调度主站,实施对电网的网络攻击。
在进行身份认证过程中,现有基于公钥基础设施(PKI)的电力调度数字证书体系,依赖成本高昂的CA中心,难以适用于分布式电源大规模终端设备安全接入和数据加解密的要求。
目前电力系统支持设备认证的主流方案是基于PKI的安全认证方案,即是将各个设备作为主体,在进行工作之前需要申请设备自身的设备证书,在与外界交互过程中使用证书来进行身份认证。并且当前电力调度数字证书系统仅为电力调度生产控制大区(I/II区)的系统、用户、关键网络设备、服务器提供数字证书服务,为三公调度安全Web服务、反向隔离装置、纵向加密装置、远程拨号访问系统等提供机密性、完整性、身份认证服务,尚未涉及到发电厂站终端安全服务。
在使用PKI的情况下,系统可以较好的保证通信双方的身份可信,但由于公钥密码算法运算较多所以相对耗时。与此同时,由于各设备的证书都需要同一个CA系统进行审核发放和查询,且证书存储会占用设备的空间,如果设备的数量规模达到千万级以上,系统性能会受到很大影响。分布式电源终端之间的通讯存在窄带通讯、低功耗等要求,同时终端还具有数量众多、广域分布等特点。海量网络末梢大大增加了终端设备在安全接入认证方面的风险管控难度,因此PKI的安全认证方案不适用于分布式电源接入场景下的大规模的终端设备身份认证,分布式电源终端侧接入区域面临的被攻击、被仿冒、被利用安全风险。
因此,需要一种技术,以实现基于标识公钥对终端设备进行认证。
发明内容
本发明技术方案提供一种基于标识公钥的终端设备认证方法及系统,以解决如何基于标识公钥对终端设备进行认证的问题。
为了解决上述问题,本发明提供了一种基于标识公钥的终端设备认证方法,所述方法包括:
确定终端设备的接入需求与类型,基于所述接入需求与类型确认所述终端设备的标识指纹;
基于所述标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥;
基于所述公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。
优选地,所述标识指纹包括:终端设备的唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
优选地,基于所述标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥,包括:
所述终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥;
将所述第一随机公钥和所述标识指纹发送至设备密钥管理中心;
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列;
基于所述映射序列与随机生成的第二随机公钥、第二随机私钥进行矩阵运算,生成终端设备的公钥和私钥;
设备密钥管理中心通过第一随机公钥对所述私钥进行加密,将加密后的私钥发送至所述终端设备;
所述终端设备通过第一随机私钥对所述加密的私钥进行解密,获取所述私钥;
设备密钥管理中心将所述公钥进行公布。
优选地,终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥,还包括:
基于所述随机数、所述标识指纹通过SM9算法生成第一随机公钥和第一随机私钥。
优选地,所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列,还包括:
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行哈希散列运算,获取32组映射序列。
优选地,所述基于所述公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证,包括:
发送方的所述终端设备对所述数据消息与所述标识指纹进行运算,生成第一消息摘要;通过所述终端设备的私钥对所述第一消息摘要进行加密,获取数字签名;将所述数字签名、所述数据消息和所述标识指纹发送至接收方;
所述接收方对所述数据消息和所述标识指纹进行运算,获取第二消息摘要;通过所述终端设备的公钥对所述数字签名进行解密,获取第一消息摘要;判断所述第一消息摘要和所述第二消息摘要是否一致,当判断结果为一致时,所述终端设备通过认证。
优选地,在实现对终端设备的认证后,还包括:
所述终端设备通过接收方的公钥对数据明文基于随机数进行SM4算法加密,将加密后的数据发送至接收方;
所述接收方通过自身的私钥对接收到的加密的数据进行SM4算法解密,获取数据明文。
基于本发明的另一方面,本发明提供一种基于标识公钥的终端设备认证系统,所述系统包括:
确定单元,用于确定终端设备的接入需求与类型,基于所述接入需求与类型确认所述终端设备的标识指纹;
生成单元,用于基于所述标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥;
验证单元,用于基于所述公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。
优选地,所述标识指纹包括:终端设备的唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
优选地,所述生成单元,用于基于所述标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥,具体用于:
所述终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥;
将所述第一随机公钥和所述标识指纹发送至设备密钥管理中心;
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列;
基于所述映射序列与随机生成的第二随机公钥、第二随机私钥进行矩阵运算,生成终端设备的公钥和私钥;
设备密钥管理中心通过第一随机公钥对所述私钥进行加密,将加密后的私钥发送至所述终端设备;
所述终端设备通过第一随机私钥对所述加密的私钥进行解密,获取所述私钥;
设备密钥管理中心将所述公钥进行公布。
优选地,所述生成单元,用于通过终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥,具体用于:
基于所述随机数、所述标识指纹通过SM9算法生成第一随机公钥和第一随机私钥。
优选地,所述生成单元,用于设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列,具体用于:
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行哈希散列运算,获取32组映射序列。
优选地,所述验证单元,用于基于所述公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证,具体用于:
发送方的所述终端设备对所述数据消息与所述标识指纹进行运算,生成第一消息摘要;通过所述终端设备的私钥对所述第一消息摘要进行加密,获取数字签名;将所述数字签名、所述数据消息和所述标识指纹发送至接收方;
所述接收方对所述数据消息和所述标识指纹进行运算,获取第二消息摘要;通过所述终端设备的公钥对所述数字签名进行解密,获取第一消息摘要;判断所述第一消息摘要和所述第二消息摘要是否一致,当判断结果为一致时,所述终端设备通过认证。
优选地,还包括传输单元,用于通过所述终端设备通过接收方的公钥对数据明文基于随机数进行SM4算法加密,将加密后的数据发送至接收方;
所述接收方通过自身的私钥对接收到的加密的数据进行SM4算法解密,获取数据明文。
本发明技术方案提供了一种基于标识公钥的终端设备认证方法及系统,其中方法包括:确定终端设备的接入需求与类型,基于接入需求与类型确认终端设备的标识指纹;基于标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥;基于公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。本发明技术方案采用的标识公钥技术作为一种轻量化的密钥生成与管理方法,实现终端设备标识与公钥的绑定,降低了密钥体系的建设成本与运维成本,适用于分布式电源海量的密钥管理。为分布式电源终端设备身份认证及安全通信提供基础,实现分布式电源并网安全,对公司新型电力系统建设及分布式电源发展应用提供了安全保障。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的一种基于标识公钥的终端设备认证方法流程图;
图2为根据本发明优选实施方式的基于标识公钥的零信任安全接入方法流程图;
图3为根据本发明优选实施方式的电力物联网标识公钥生成算法的用户私钥和公钥生成流程示意图;
图4为根据本发明优选实施方式的数字签名/验签流程示意图;
图5为根据本发明优选实施方式的数据加密传输流程示意图;
图6为根据本发明优选实施方式的一种基于标识公钥的终端设备认证系统结构图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施方式的一种基于标识公钥的终端设备认证方法流程图。
为确保分布式电源及其数据传输网络的安全运行,抵御黑客、恶意代码等通过各种形式利用分布式电源发起对电网监控系统的恶意破坏和攻击,以及其他非法操作,防止电力系统瘫痪和失控,并由此导致的电网一次系统事故,需要强化分布式电源与户外就地采集终端之间的安全防护,确保终端之间实现身份认证、数据加密、访问控制。
随着分布式电源发展以及电力物联网应用扩大,终端的认证要求使得传统的公钥基础设施PKI证书认证技术在物联网应用的不足逐步显现出来。标识公钥IPK基于标识对矩阵的映射关系,实现了标识与密钥的关系绑定,从而以标识替代公钥,简化了海量公钥的管理与分发。IPK签名短,存储和传输占用资源少,更适合于终端设备的窄带框通信。IPK所需的存储资源仅为PKI的1/10,更适合于边缘计算终端。在终端应用中,IPK轻量级密钥技术相比传统的PKI技术,具有更加明显的应用优势,可实现去中心化的、高效离线认证,为物联网终端的安全提供最佳体验,保证分布式电源的终端安全接入,避免攻击从终端蔓延到电网而对电网安全稳定运行造成威胁。
为避免依赖复杂昂贵的基于公钥基础设施的电力调度数据证书体系,本发明选择轻量级的适用于海量物联网终端的标识公钥密码算法,所以成本更低,更适合在大规模分布式电源推广应用,保证分布式能源接入安全,推进能源转型及新型电力系统建设。
本发明分析了分布式电源物联网终端接入的风险,提出了基于标识公钥的分布式电源安全接入方法,实现对分布式电源终端设备的安全认证和数据的加密传输,保证终端接入的安全性以及数据传输不受非法入侵的威胁,提升电网的主动防御能力。
基于标识公钥的零信任安全接入方法包括三个步骤,首先,分析分布式电源接入需要与电网交互的终端设备类型,提取设备指纹;其次,基于设备指纹设计电力物联网终端标识密钥生成算法,生成终端设备公私钥;最后,设计基于标识公钥的分布式电源安全接入方法,包括终端安全认证及数据加密传输。如图2所示。
如图1所示,本发明提供一种基于标识公钥的终端设备认证方法,方法包括:
步骤101:确定终端设备的接入需求与类型,基于接入需求与类型确认终端设备的标识指纹;优选地,标识指纹包括:终端设备的唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
本发明根据分布式电源并网的网络安全需求,确定涉控终端设备的类型,并以保证唯一性和低冗余性为目标确定设备标识指纹。
(1)分布式电源并网的网络安全需求
分布式电源与调度主站交互需进行实时遥信、遥测数据信息、电能量计量等数据信息采集,需要满足电力监控系统安全防护要求。以分布式光伏并网为例,需要满足以下要求:
10千伏及以上分布式光伏并网:分布式光伏站控系统数据采集服务器同户外就地采集终端(例如光伏发电单元测控终端等)之间网络通信应采取加密认证措施,实现身份认证、数据加密、访问控制等安全措施,禁止外部设备的接入,防止单一风机或光伏发电单元的安全风险扩散到站控系统。
低压分布式光伏并网
配电物联网接入:分布式光伏可部署融合终端,接入电网公司配电物联网平台,分布式光伏融合终端与电网公司配电物联网平台的数据交互应具备身份认证、访问控制、数据加密功能。
用电信息采集系统接入:分布式光伏能源控制器与电网公司配电物联网平台的数据交互应具备身份认证、访问控制、数据加密功能。
公网云平台接入:分布式光伏聚合商与电网公司公网云平台的数据交互应具备身份认证、访问控制、数据加密功能。
(2)确定设备指纹类型
光伏发电单元测控终端等感知层终端通常需要获取的数据类型多种多样,如电气量感知、环境量感知、物理量感知、行为量感知等,涵盖了多种传感器、视频采集器、数据采集设备等,根据其功能的复杂程度不同,涵盖的特征标签也不尽相同,如设备编号、性能参数、运行环境参数。
分布式光伏能源控制器及分布式光伏融合终端等智能设备还包含通信模块、计量模块、控制模块等,这些模块又有各自众多特征参数信息。
设备指纹特征信息提取,不仅应全面反映一个设备的特性,且能够唯一标识某设备,同时需要考虑设备算力及能耗等压力。因此,本发明经过基于多变量互信息的多标记特征选择算法,从多维特征信息中筛选得到的特征子集为:设备/模块唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
其中,设备序列号/ID 是生产厂商为设备分配的唯一标识符;设备通用参数,如类型、名称、型号、功能等;内嵌模块运行状态,如安全状态、存储状态等,由于模块的软硬件设计具有高安全等特点,安全性高,且这些状态不容易被复制,唯一性较好。该子集涵盖了尽可能多的类别信息,同时冗余性较小。
步骤102:基于标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥;
优选地,基于标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥,包括:
终端设备生成随机数,基于随机数、标识指纹生成第一随机公钥和第一随机私钥;
将第一随机公钥和标识指纹发送至设备密钥管理中心;
设备密钥管理中心对第一随机公钥和标识指纹进行运算,获取映射序列;
基于映射序列与随机生成的第二随机公钥、第二随机私钥进行矩阵运算,生成终端设备的公钥和私钥;
设备密钥管理中心通过第一随机公钥对私钥进行加密,将加密后的私钥发送至终端设备;
终端设备通过第一随机私钥对加密的私钥进行解密,获取私钥;
设备密钥管理中心将公钥进行公布。
优选地,终端设备生成随机数,基于随机数、标识指纹生成第一随机公钥和第一随机私钥,还包括:
基于随机数、标识指纹通过SM9算法生成第一随机公钥和第一随机私钥。
优选地,设备密钥管理中心对第一随机公钥和标识指纹进行运算,获取映射序列,还包括:
设备密钥管理中心对第一随机公钥和标识指纹进行哈希散列运算,获取32组映射序列。
本发明提供的电力物联网标识公钥生成算法以IPK标识公钥技术为基础,运用SM9算法设计标识密钥对生成方法,将现存的公钥体系转化为结合物联网设备标识的公钥体制,实现标识与公钥的关系绑定,将密钥的生成与分发结合起来,实现海量终端的密钥管理,作为一种轻量化的密钥生成与管理方法,直接简化了密钥生成的复杂度和管理难度,同时降低了密钥体系的建设成本与运维成本。电力物联网标识公钥生成算法的用户私钥和公钥生成流程如图3所示。
本发明提供的电力物联网标识公钥生成算法流程如下:
终端设备提取指纹信息,形成指纹ID;
终端设备生成的随机数s,根据SM9算法生成用户的随机公私钥对(r,R),将 R 和指纹ID传递给设备密钥管理中心;
设备密钥管理中心对设备发来的R和指纹ID进行哈希散列运算得到32组映射序列;
根据32组映射序列与随机生成的公钥和私钥进行矩阵运算,得到公钥PSK(Pre-Shared Key )和设备的私钥 ISK(Identity Secure Key);
设备密钥管理中心再使用以R 为公钥的加密算法加密ISK得到密文回传给设备;
设备使用随机私钥r对密文解密,得到自己的私钥ISK;
设备密钥管理中心会将公钥PSK进行公布,其他用户可以根据设备的公钥,解密设备发来的密文。
通过以上流程使得设备密钥管理中心无法得知设备的私钥,其他用户也不能对密文进行解密,保证了私钥和消息的安全性。
在本发明的标识公钥生成过程中,终端的随机公私钥对生成采用的是SM9国密算法,替换了ECC等国外算法,性能更优更安全,处理速度快、机器性能消耗更小,摆脱对国外密码技术的依赖,实现从密码算法层面掌控核心的信息安全技术。
步骤103:基于公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。
优选地,基于公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证,包括:
发送方的终端设备对数据消息与标识指纹进行运算,生成第一消息摘要;通过终端设备的私钥对第一消息摘要进行加密,获取数字签名;将数字签名、数据消息和标识指纹发送至接收方;
接收方对数据消息和标识指纹进行运算,获取第二消息摘要;通过终端设备的公钥对数字签名进行解密,获取第一消息摘要;判断第一消息摘要和第二消息摘要是否一致,当判断结果为一致时,终端设备通过认证。
本发明基于标识公钥的数字签名实现终端设备身份认证,本发明的终端设备的身份认证是分布式电源安全接入的重要环节,本发明在轻量级标识密钥体系基础上实现终端设备的数字签名,进行终端身份验证。在分布式电源终端设备与调控系统进行消息数据传输时,为了保证消息没有被篡改,需要对消息进行数字签名以及验签,其中边缘侧到终端侧采用轻量级SM2 算法进行签名验证,使用电力物联网标识公钥生成算法进行密钥管理。数字签名以及验签过程如图4所示。
数字签名过程:发送方终端设备首先拼接消息和设备标识进行Hash函数加密,得到加密后的消息摘要;然后将加密后的消息摘要和设备私钥ISK输入加密算法中进行签名运算,得到数字签名。将得到的数字签名和原本的消息标识放入数据包进行传输。
验签过程:接收方接收到数据包时要先进行数字签名信息的验证来保证数据包的真实性。使用公钥对接收的签名信息进行解密,将解密后得到的消息序列与传输过来的消息序列进行比对,若结果一致则签名有效,消息未被篡改,反之签名无效。
在分布式电源终端设备的安全接入过程中,基于电力物联网标识公钥生成算法生成公私钥,基于SM2算法对消息进行数字签名,实现了以电力物联网标识公钥生成算法密钥管理与SM2数字签名的结合,保证相关数据是从合法的设备上获得的真实数据,实现了分布式电源终端设备的安全认证,防止假冒攻击。
优选地,在实现对终端设备的认证后,还包括:
终端设备通过接收方的公钥对数据明文基于随机数进行SM4算法加密,将加密后的数据发送至接收方;
接收方通过自身的私钥对接收到的加密的数据进行SM4算法解密,获取数据明文。
本发明基于电力物联网标识公钥的SM4加解密实现终端数据的安全传输。本发明的分布式电源终端设备在采集完数据信息后,将终端获取到的数据传输到电力物联网管理平台。在传输的过程中,对传输的信息数据采取加密的方式确保接收方收到的信息安全可靠。
本发明对于传输数据的加密方式,采用以电力物联网标识公钥生成算法产生的公私钥为密钥的SM4 数据加解密算法保障其安全性,作为非对称椭圆曲线加密算法,SM4加密解密速度较快,机器性能消耗更小。在数据加密传输过程中,如图5所示,发送发使用接收方公钥对消息进行SM4加密,加密过程中使用了随机数,因此同样的明文数据每一次加密结果都不一样;接收方使用自身私钥对收到的加密数据包进行SM4解密,计算传递的消息明文,进行数据校验,保障了数据传输过程中的完整性,解决网络传输过程中的数据篡改问题,保证业务系统收到的数据是可靠的,即防止对数据的篡改攻击。
本发明的分布式电源终端指纹提取技术,是根据分布式电源并网的网络安全需求,确定涉控终端类型,并以保证唯一性和低冗余性为目标确定设备指纹特征。本发明的分布式电源与调度主站交互需要满足身份认证、访问控制、数据加密电力监控系统安全防护要求。光伏发电单元测控终端等感知层终端及分布式光伏能源控制器等智能设备包含众多特征参数信息。设备指纹特征信息提取,不仅应全面反映一个设备的特性,且能够唯一标识某设备,同时需要考虑设备算力及能耗等压力。因此,本发明经过基于多变量互信息的多标记特征选择算法,从多维特征信息中筛选得到的特征子集为:设备/模块唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
本发明设计的电力物联网标识公钥生成算法是在IPK标识公钥技术基础上发展起来的,基于SM9的标识密钥对生成方法,将现存的公钥体系转化为结合物联网设备标识的公钥体制,实现标识与公钥的关系绑定,将密钥的生成与分发结合起来,为海量的密钥管理提供了思路,作为一种轻量化的密钥生成与管理方法,直接简化了密钥生成的复杂度和管理难度,采用国密算法提高了安全性和自主可控能力,同时降低了密钥体系的建设成本与运维成本。
本发明的终端设备的身份认证是分布式电源安全接入的重要环节,本发明在轻量级标识密钥体系基础上实现终端设备的数字签名,进行终端身份验证。在分布式电源终端设备与调控系统进行消息数据传输时,为了保证消息没有被篡改,对消息进行数字签名以及验签,其中边缘侧到终端侧采用轻量级SM2 算法进行签名验证,使用电力物联网标识公钥生成算法进行密钥管理,保证相关数据是从合法的设备上获得的真实数据,实现了分布式电源终端设备的安全认证,防止假冒攻击。
本发明的应用标识公钥带来的安全性高:PKI是采用单一根密钥的安全体制,IPK是以种子密钥为架构的多种算法的组合,更适用于分布式电源涉控终端的安全认证,能更有效地抵御云计算和量子计算的攻击;本发明的兼容性强:IPK兼容PKI等主流安全应用,在不影响原有业务安全机制的基础上,融合原有业务安全机制,更好地满足分布式电源的安全建设与防御;本发明的容灾性强:IPK认证过程不需要中心证书(公钥)库的支持,这样不仅有利于提高效率,减少资源消耗,而且不会因为由于中心系统的故障和意外灾害等导致系统的瘫痪,非常适合分布式电源并网场景;本发明具有自主可控性:IPK轻量级密钥技术国产自主可控,国密算法支撑,可不依赖第三方,自主控制密钥,实现分布式电源并网进程中的主动安全防御机制;本发明的适用性强:IPK技术对密钥的管理分发非常高效,易用性强,部署简单,完全满足分布式电源并网过程中的终端认证、数据传输等核心安全机制要求。
本发明基于标识公钥的分布式电源安全接入方法在成本节约和风险防范两个层面创造了显著的经济效益。(1)在成本节约层面,基于标识公钥的安全接入方法的成本相比传统电力调度数字证书大幅降低,在大规模部署中,经济效益显著,可大大降低成本;(2)在风险防范层面,由于网络攻击导致的大面积停电会给社会生产带来极大损失。基于标识公钥的分布式电源安全接入方法应用于风机、光伏电站的安全接入,可以实现分布式电源与电网调控系统之间的数据传输过程中的数据机密性、完整性和真实性,进而保护电网安全,从而减少电力突发事件带来的损失。
随着国家“碳达峰、碳中和”战略目标的提出,电网开展新型电力系统建设,新能源占比将大幅提升,保证新能源厂站的入网安全尤为重要。基于标识公钥的分布式电源安全接入方法的应用,提升了新能源厂站与电网调度主站间纵向网络边界的攻击防范能力,避免分布式电源接入给电网带来安全威胁,保障了新能源电厂和国家电网的稳定运行,为经济社会发展提供可靠电力供应。同时,由于基于标识公钥的分布式电源安全接入方法提高了新能源厂站入网的安全性,必将推动清洁能源入网消纳,加速新能源厂站建设,推动能源绿色转型,助力国家实现双碳目标。
图6为根据本发明优选实施方式的一种基于标识公钥的终端设备认证系统结构图。
如图6所示,本发明提供一种基于标识公钥的终端设备认证系统,系统包括:
确定单元601,用于确定终端设备的接入需求与类型,基于接入需求与类型确认终端设备的标识指纹;
优选地,标识指纹包括:终端设备的唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
生成单元602,用于基于标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥;
优选地,生成单元602,用于基于标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥,具体用于:
终端设备生成随机数,基于随机数、标识指纹生成第一随机公钥和第一随机私钥;
将第一随机公钥和标识指纹发送至设备密钥管理中心;
设备密钥管理中心对第一随机公钥和标识指纹进行运算,获取映射序列;
基于映射序列与随机生成的第二随机公钥、第二随机私钥进行矩阵运算,生成终端设备的公钥和私钥;
设备密钥管理中心通过第一随机公钥对私钥进行加密,将加密后的私钥发送至终端设备;
终端设备通过第一随机私钥对加密的私钥进行解密,获取私钥;
设备密钥管理中心将公钥进行公布。
优选地,生成单元602,用于通过终端设备生成随机数,基于随机数、标识指纹生成第一随机公钥和第一随机私钥,具体用于:
基于随机数、标识指纹通过SM9算法生成第一随机公钥和第一随机私钥。
优选地,生成单元602,用于设备密钥管理中心对第一随机公钥和标识指纹进行运算,获取映射序列,具体用于:
设备密钥管理中心对第一随机公钥和标识指纹进行哈希散列运算,获取32组映射序列。
验证单元603,用于基于公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。
优选地,验证单元603,用于基于公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证,具体用于:
发送方的终端设备对数据消息与标识指纹进行运算,生成第一消息摘要;通过终端设备的私钥对第一消息摘要进行加密,获取数字签名;将数字签名、数据消息和标识指纹发送至接收方;
接收方对数据消息和标识指纹进行运算,获取第二消息摘要;通过终端设备的公钥对数字签名进行解密,获取第一消息摘要;判断第一消息摘要和第二消息摘要是否一致,当判断结果为一致时,终端设备通过认证。
优选地,系统还包括传输单元,用于通过终端设备通过接收方的公钥对数据明文基于随机数进行SM4算法加密,将加密后的数据发送至接收方;
接收方通过自身的私钥对接收到的加密的数据进行SM4算法解密,获取数据明文。
本发明优选实施方式的一种基于标识公钥的终端设备认证系统600与本发明优选实施方式的一种基于标识公钥的终端设备认证方法100相对应,在此不再进行赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本发明实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (12)

1.一种基于标识公钥的终端设备认证方法,所述方法包括:
确定终端设备的接入需求与类型,基于所述接入需求与类型确认所述终端设备的标识指纹;
基于所述标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥,包括:
所述终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥;
将所述第一随机公钥和所述标识指纹发送至设备密钥管理中心;
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列;
基于所述映射序列与随机生成的第二随机公钥、第二随机私钥进行矩阵运算,生成终端设备的公钥和私钥;
设备密钥管理中心通过第一随机公钥对所述私钥进行加密,将加密后的私钥发送至所述终端设备;
所述终端设备通过第一随机私钥对所述加密的私钥进行解密,获取所述私钥;
设备密钥管理中心将所述公钥进行公布;
基于所述公钥和所述私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。
2.根据权利要求1所述的方法,所述标识指纹包括:终端设备的唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
3.根据权利要求1所述的方法,所述终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥,还包括:
基于所述随机数、所述标识指纹通过SM9算法生成第一随机公钥和第一随机私钥。
4.根据权利要求1所述的方法,所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列,还包括:
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行哈希散列运算,获取32组映射序列。
5.根据权利要求1所述的方法,基于所述公钥和所述私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证,包括:
发送方的所述终端设备对所述数据消息与所述标识指纹进行运算,生成第一消息摘要;通过所述终端设备的私钥对所述第一消息摘要进行加密,获取数字签名;将所述数字签名、所述数据消息和所述标识指纹发送至接收方;
所述接收方对所述数据消息和所述标识指纹进行运算,获取第二消息摘要;通过所述终端设备的公钥对所述数字签名进行解密,获取第一消息摘要;判断所述第一消息摘要和所述第二消息摘要是否一致,当判断结果为一致时,所述终端设备通过认证。
6.根据权利要求1所述的方法,在实现对终端设备的认证后,还包括:
所述终端设备通过接收方的公钥对数据明文基于随机数进行SM4算法加密,将加密后的数据发送至接收方;
所述接收方通过自身的私钥对接收到的加密的数据进行SM4算法解密,获取数据明文。
7.一种基于标识公钥的终端设备认证系统,所述系统包括:
确定单元,用于确定终端设备的接入需求与类型,基于所述接入需求与类型确认所述终端设备的标识指纹;
生成单元,用于基于所述标识指纹,通过标识密钥生成算法,生成终端设备的公钥和私钥,具体用于:
所述终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥;
将所述第一随机公钥和所述标识指纹发送至设备密钥管理中心;
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列;
基于所述映射序列与随机生成的第二随机公钥、第二随机私钥进行矩阵运算,生成终端设备的公钥和私钥;
设备密钥管理中心通过第一随机公钥对所述私钥进行加密,将加密后的私钥发送至所述终端设备;
所述终端设备通过第一随机私钥对所述加密的私钥进行解密,获取所述私钥;
设备密钥管理中心将所述公钥进行公布;
验证单元,用于基于所述公钥和所述私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证。
8.根据权利要求7所述的系统,所述标识指纹包括:终端设备的唯一序列号、通用参数、产品检测序列号、内嵌模块运行状态。
9.根据权利要求7所述的系统,所述生成单元,用于通过终端设备生成随机数,基于所述随机数、所述标识指纹生成第一随机公钥和第一随机私钥,具体用于:
基于所述随机数、所述标识指纹通过SM9算法生成第一随机公钥和第一随机私钥。
10.根据权利要求7所述的系统,所述生成单元,用于设备密钥管理中心对所述第一随机公钥和所述标识指纹进行运算,获取映射序列,具体用于:
所述设备密钥管理中心对所述第一随机公钥和所述标识指纹进行哈希散列运算,获取32组映射序列。
11.根据权利要求7所述的系统,所述验证单元,用于基于所述公钥和私钥对终端设备发送的数据消息进行签名及验签,基于验签结果,实现对终端设备的认证,具体用于:
发送方的所述终端设备对所述数据消息与所述标识指纹进行运算,生成第一消息摘要;通过所述终端设备的私钥对所述第一消息摘要进行加密,获取数字签名;将所述数字签名、所述数据消息和所述标识指纹发送至接收方;
所述接收方对所述数据消息和所述标识指纹进行运算,获取第二消息摘要;通过所述终端设备的公钥对所述数字签名进行解密,获取第一消息摘要;判断所述第一消息摘要和所述第二消息摘要是否一致,当判断结果为一致时,所述终端设备通过认证。
12.根据权利要求7所述的系统,还包括传输单元,用于通过所述终端设备通过接收方的公钥对数据明文基于随机数进行SM4算法加密,将加密后的数据发送至接收方;
所述接收方通过自身的私钥对接收到的加密的数据进行SM4算法解密,获取数据明文。
CN202210924400.6A 2022-08-03 2022-08-03 一种基于标识公钥的终端设备认证方法及系统 Active CN115001717B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210924400.6A CN115001717B (zh) 2022-08-03 2022-08-03 一种基于标识公钥的终端设备认证方法及系统
PCT/CN2022/138445 WO2024027070A1 (zh) 2022-08-03 2022-12-12 一种基于标识公钥的终端设备认证方法、系统及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210924400.6A CN115001717B (zh) 2022-08-03 2022-08-03 一种基于标识公钥的终端设备认证方法及系统

Publications (2)

Publication Number Publication Date
CN115001717A CN115001717A (zh) 2022-09-02
CN115001717B true CN115001717B (zh) 2022-10-25

Family

ID=83022034

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210924400.6A Active CN115001717B (zh) 2022-08-03 2022-08-03 一种基于标识公钥的终端设备认证方法及系统

Country Status (2)

Country Link
CN (1) CN115001717B (zh)
WO (1) WO2024027070A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115001717B (zh) * 2022-08-03 2022-10-25 中国电力科学研究院有限公司 一种基于标识公钥的终端设备认证方法及系统
CN116204931A (zh) * 2022-12-26 2023-06-02 重庆傲雄在线信息技术有限公司 基于原笔迹生成及验签加密数字签名的方法、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103490901A (zh) * 2013-09-30 2014-01-01 广东南方信息安全产业基地有限公司 基于组合密钥体系的密钥生成和发放方法
CN106161017A (zh) * 2015-03-20 2016-11-23 北京虎符科技有限公司 标识认证安全管理系统
CN113872760A (zh) * 2021-11-03 2021-12-31 中电科鹏跃电子科技有限公司 一种sm9秘钥基础设施及安全系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6613909B2 (ja) * 2016-01-15 2019-12-04 富士通株式会社 相互認証方法、認証装置および認証プログラム
WO2018076365A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 密钥协商方法及装置
CN112311537B (zh) * 2020-10-30 2021-07-30 国网江苏省电力有限公司信息通信分公司 基于区块链的设备接入认证系统及方法
CN112887338B (zh) * 2021-03-18 2022-08-05 南瑞集团有限公司 一种基于ibc标识密码的身份认证方法和系统
CN113704736A (zh) * 2021-07-22 2021-11-26 中国电力科学研究院有限公司 基于ibc体系的电力物联网设备轻量级接入认证方法及系统
CN115001717B (zh) * 2022-08-03 2022-10-25 中国电力科学研究院有限公司 一种基于标识公钥的终端设备认证方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103490901A (zh) * 2013-09-30 2014-01-01 广东南方信息安全产业基地有限公司 基于组合密钥体系的密钥生成和发放方法
CN106161017A (zh) * 2015-03-20 2016-11-23 北京虎符科技有限公司 标识认证安全管理系统
CN113872760A (zh) * 2021-11-03 2021-12-31 中电科鹏跃电子科技有限公司 一种sm9秘钥基础设施及安全系统

Also Published As

Publication number Publication date
WO2024027070A1 (zh) 2024-02-08
CN115001717A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN102983965B (zh) 变电站量子通信模型、量子密钥分发中心及模型实现方法
CN109257327B (zh) 一种配电自动化系统的通信报文安全交互方法及装置
CN115001717B (zh) 一种基于标识公钥的终端设备认证方法及系统
CN106789015B (zh) 一种智能配电网通信安全系统
CN103095696B (zh) 一种适用于用电信息采集系统的身份认证和密钥协商方法
Iyer Cyber security for smart grid, cryptography, and privacy
CN103618610A (zh) 一种基于智能电网中能量信息网关的信息安全算法
Lim et al. Security protocols against cyber attacks in the distribution automation system
CN109412794A (zh) 一种适应电力业务的量子密钥自动充注方法及系统
CN105245326A (zh) 一种基于组合密码的智能电网安全通信方法
CN102111265A (zh) 一种电力系统采集终端的安全芯片加密方法
CN103036684B (zh) 降低主密钥破解和泄露危害的ibe数据加密系统及方法
CN112118106B (zh) 一种基于标识密码的轻量级端到端安全通信认证方法
CN111447067A (zh) 一种电力传感设备加密认证方法
CN111988328A (zh) 一种新能源厂站发电单元采集终端数据安全保障方法及系统
CN111435390A (zh) 一种配电终端运维工具安全防护方法
CN113591103B (zh) 一种电力物联网智能终端间的身份认证方法和系统
CN112311553B (zh) 一种基于挑战应答的设备认证方法
Wang et al. Secure access method of power internet of things based on zero trust architecture
CN111435389A (zh) 一种配电终端运维工具安全防护系统
CN111490874B (zh) 一种配网安全防护方法、系统、装置及存储介质
Yahya et al. On the security of an authentication scheme for smart metering infrastructure
Zhang et al. Design and Implementation of IEC61850 Communication Security Protection Scheme for Smart Substation based on Bilinear Function
CN113329397A (zh) 一种5g通信环境下电力终端安全接入认证方法、装置及系统
CN113347004A (zh) 一种电力行业加密方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant