CN117040765A - 智能电网终端认证方法、装置、存储介质及计算机设备 - Google Patents

Abstract

本申请提供了一种智能电网终端认证方法、装置、存储介质及计算机设备。该方法包括：发送连接请求至服务器；对终端的身份信息及第一随机数进行签名计算生成匿名身份；利用服务器公钥对第二随机数进行加密得到第一加密信息；获取当前时间生成匿名身份的时间戳；以匿名身份、第一加密信息及时间戳及认证加密密钥作为HMAC函数的参数计算消息认证码；将匿名身份、第一加密信息、时间戳及消息认证码发送至服务器进行认证；服务器用于在验证时间戳满足预设时间范围，且计算得到的验证消息认证码与消息认证码一致时，与终端建立连接并在连接期间不定时更新第二随机数重新对终端进行认证。本申请能够提高终端与服务器之间连接的安全性和隐私性。

Description

智能电网终端认证方法、装置、存储介质及计算机设备

技术领域

本申请涉及智能电网技术领域，尤其涉及一种智能电网终端认证方法、装置、存储介质及计算机设备。

背景技术

随着电力行业信息化技术的深入发展，智能电网因其有效性及高效性正在逐步代替传统电网。但针对计算机网络的攻击手法层出不穷，电力系统主站所面临的安全风险不断增大。智能电网中涉及大量的终端以及服务器，终端数量极多并且分布广泛，其远程接入需求也在不断增长。

现如今，电力系统面临着业务种类多、数据规模大、信息交互复杂等问题，非法访问、数据被窃取等风险急剧增加。攻击者会通过伪造合法用户信息，对主站系统展开攻击，造成非法登录、非法入侵、感染病毒等恶意代码的风险，使得电力系统的安全难以保证。

发明内容

本申请实施例提供了一种智能电网终端认证方法、装置、存储介质及计算机设备，能够在隐藏终端的真实身份信息的前提下进行不定时认证，提高终端与服务器之间连接的安全性和隐私性。

第一方面，本申请提供了一种智能电网终端认证方法，应用于终端，所述方法包括：

发送连接请求至服务器；所述服务器为与所述终端达成双向认证的智能电网服务器，所述服务器用于生成第一随机数r及第二随机数CH，并将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至所述终端；

对所述终端的身份信息f及所述第一随机数r进行签名计算生成匿名身份FID；

利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息；

获取当前时间生成所述匿名身份的时间戳T；

以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

将所述匿名身份FID、所述第一加密信息、所述时间戳T及所述消息认证码发送至所述服务器进行认证；

所述服务器用于在验证所述时间戳满足预设时间范围，且根据所述匿名身份FID、所述第一加密信息及所述时间戳计算得到的验证消息认证码与所述消息认证码一致时，与所述终端建立连接并在连接期间不定时更新所述第二随机数CH重新对所述终端进行认证。

在其中一个实施例中，所述对所述终端的身份信息f及所述第一随机数r进行签名计算生成匿名身份FID，包括：

对所述身份信息f与所述第一随机数r进行拼接；

利用所示服务器公钥e对拼接结果进行签名，得到所述匿名身份FID。

在其中一个实施例中，所述以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码，包括：

根据下式计算所述消息认证码：

σ＝HMAC_Sr(FID||E_e(CH)||T)

其中，E_e(CH)为所述第一加密信息。

第二方面，本申请提供一种智能电网终端认证方法，应用于服务器，所述方法包括：

生成第一随机数r；

在满足触发条件时，生成或更新第二随机数CH；

将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至终端；所述终端为与所述服务器达成双向认证的智能电网终端；

获取认证信息；所述认证信息包括所述终端利用所述第一随机数r生成的匿名身份FID、利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息、所述匿名身份的时间戳T，以及以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成的消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

验证所述时间戳T是否满足预设时间范围；

若满足，则以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成验证消息认证码：

若所述验证消息认证码与所述消息认证码一致，则验证通过，与所述终端建立/维持连接。

在其中一个实施例中，所述触发条件为接收到所述终端发送的连接请求，或，满足不定时验证时机。

在其中一个实施例中，所述方法还包括：

若所述时间戳T不满足预设时间范围，或，所述验证消息认证码与所述消息认证码不一致，则拒绝与所述终端建立连接或断开与所述终端之间的连接。

第三方面，本申请提供一种智能电网终端认证装置，应用于终端，所述装置包括：

请求发送模块，用于发送连接请求至服务器；所述服务器为与所述终端达成双向认证的智能电网服务器，所述服务器用于生成第一随机数r及第二随机数CH，并将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至所述终端；

第一计算模块，用于对所述终端的身份信息f及所述第一随机数r进行签名计算生成匿名身份FID；

加密模块，用于利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息；

时间戳固定模块，用于获取当前时间生成所述匿名身份的时间戳T；

第二计算模块，用于以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

信息发送模块，用于将所述匿名身份FID、所述第一加密信息、所述时间戳T及所述消息认证码发送至所述服务器进行认证；

所述服务器用于在验证所述时间戳满足预设时间范围，且根据所述匿名身份FID、所述第一加密信息及所述时间戳计算得到的验证消息认证码与所述消息认证码一致时，与所述终端建立连接并在连接期间不定时更新所述第二随机数CH重新对所述终端进行认证。

第四方面，本申请提供一种智能电网终端认证装置，应用于服务器，所述装置包括：

第一生成模块，用于生成第一随机数r；

第二生成模块，用于在满足触发条件时，生成或更新第二随机数CH；

发送模块，用于将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至终端；所述终端为与所述服务器达成双向认证的智能电网终端；

获取模块，用于获取认证信息；所述认证信息包括所述终端利用所述第一随机数r生成的匿名身份FID、利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息、所述匿名身份的时间戳T，以及以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成的消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

时间戳验证模块，用于验证所述时间戳T是否满足预设时间范围；

计算模块，用于在所述时间戳T满足预设时间范围时，以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成验证消息认证码：

连接控制模块，用于在所述验证消息认证码与所述消息认证码一致时，验证通过，与所述终端建立/维持连接。

第五方面，本申请提供一种存储介质，所述存储介质中存储有计算机可读指令，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如上述任一项所述智能电网终端认证方法的步骤。

第六方面，本申请提供一种计算机设备，包括：一个或多个处理器，以及存储器；

所述存储器中存储有计算机可读指令，所述一个或多个处理器执行时所述计算机可读指令时，执行如上述任一项所述智能电网终端认证方法的步骤。

从以上技术方案可以看出，本申请实施例具有以下优点：

本申请提供的智能电网终端认证方法、装置、存储介质及计算机设备，对达成双向认证的终端与服务器，基于终端主动发起的连接请求进行挑战认证或基于服务器不定时触发挑战认证，服务器生成第一随机数和第二随机数，并与服务器公钥一同发送至终端，终端利用第一随机数及服务器公钥对身份信息进行匿名计算生成匿名身份，在隐藏身份信息的同时，实现身份可通过认证中心进行追溯验证，提高连接的安全性和隐私性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为一个实施例中，应用于终端的智能电网终端认证方法的流程示意图；

图2为一个实施例中，应用于服务器的智能电网终端认证方法的流程示意图；

图3为一个实施例中，应用于终端的智能电网终端认证装置的结构框图；

图4为一个实施例中，应用于服务器的智能电网终端认证装置的结构框图；

图5为一个实施例中，计算机设备为终端的内部结构图；

图6为一个实施例中，计算机设备为服务器的内部结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供的智能电网终端认证方法，应用于智能电网，智能电网中包括多个终端、多个服务器以及认证中心，其中，认证中心用于进行系统启动，如生成公共系统参数，为终端、服务器进行注册并分配密钥等等。

认证中心将随机生成认证加密所需的相应映射函数及安全参数，供身份认证后续注册阶段及认证阶段。认证中心选择双线性映射e：G×G→G_T并且计算g＝e(P,P)，其中P为椭圆曲线上的一个点；选择两个随机数s，s'∈Z_q ^*，其中q为大素数，其具体位数可根据需要设定，并且计算P_pub＝sP和P'_pub＝s'P；选择八个哈希函数：

h₀：{0,1}^*×G→Z_q ^*；

h₁：{0,1}^*→Z_q ^*，

h₂：G_T→{0,1}^*×G，

h₃：{0,1}^*×G×G×G×{0,1}^*→Z_q ^*，

h₄：{0,1}^*×{0,1}^*×G×G_T×{0,1}→Z_q ^*，

h₅：G×{0,1}^*×{0,1}^*×G×G_T→{0,1}^*，

h₆：{0,1}^*×{0,1}^*×Z_q ^*→Z_q ^*，

h₇：Z_q ^*×{0,1}^*→{0,1}^*。

认证中心公布G，G_T，e，P，P_pub，P'_pub，g，h₀···h₇，并存储s和s'作为其私钥。智能电网终端设备向认证中心申请注册时，认证中心检查其ID是否已注册，若未经注册则用其身份信息计算相应的密钥发送回终端；否则结束注册。服务器向认证中心进行注册时，认证中心根据服务器的ID标识及相应随机数为其生成对应的身份信息。具体的，用户注册阶段，用户具有生物信息bio_u(如指纹信息、声音信息、虹膜信息等)，终端计算(γ_u,θ_u)＝Gen(bio_u)，其中Gen是模糊提取器的生成函数。然后终端计算h₇＝(γ_u||ID_u)并且发送这个值和其身份信息ID_u给认证中心。

服务器注册阶段，服务器向认证中心发送注册请求。认证中心一旦接收服务器的注册请求，就选择一个身份ID_s并且计算值h_s＝h₁(ID_s)，SID_s＝(1/(s'+h_s))P。最后，认证中心将SID_s作为私钥发送给服务器。

待智能电网终端与服务器注册成功后，使用认证中心为其生成的密钥执行认证算法，通过一轮交互，来完成智能电网终端与智能电网服务器的双向认证。在此阶段中，终端和服务器可以商定一个安全的共享密钥来相互进行身份验证。服务器使用改进后的CHAP协议对终端进行不定时认证。终端接入服务器后，服务器继续监视终端的性能和实时状态，一旦终端表现出异常的操作，服务器立即断开与终端的连接并发出警示信息。

如图1所示，本申请实施例提供了一种智能电网终端认证方法，应用于智能电网中的终端，所述方法包括：

步骤S101，发送连接请求至服务器。

其中，服务器为与终端达成双向认证的智能电网服务器，服务器用于生成第一随机数r及第二随机数CH，并将第一随机数r、第二随机数CH以及服务器公钥e发送至终端。连接请求为终端发起的请求与服务器建立连接的请求，在终端与服务器未处于连接状态下时发起的请求。

步骤S102，对终端的身份信息f及第一随机数r进行签名计算生成匿名身份FID。

步骤S103，利用服务器公钥e对第二随机数CH进行加密得到第一加密信息。

其中，服务器公钥e为服务器在认证中心注册成功后，认证中心颁发给服务器的密钥对中的公钥，在其中一个实施例中，终端向认证中心获取服务器公钥。在另一个实施例中，终端向服务器获取服务器公钥。

步骤S104，获取当前时间生成匿名身份的时间戳T。

步骤S105，以匿名身份FID、第一加密信息及时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码。

其中，认证加密密钥为认证中心在为终端与服务器进行双向认证通过后下发的密钥。认证加密密钥用于供终端与服务器进行交互时对信息进行加密使用，也可以用于供双方进行身份验证。

步骤S106，将匿名身份FID、第一加密信息、时间戳T及消息认证码发送至服务器进行认证。

其中，服务器用于在验证时间戳满足预设时间范围，且根据匿名身份FID、第一加密信息及时间戳计算得到的验证消息认证码与消息认证码一致时，与终端建立连接并在连接期间不定时更新第二随机数CH重新对终端进行认证。服务器不定时触发验证时更新第二随机数CH，不定时验证时机根据预设的触发规则确定，例如可以随机生成触发时间，或是通过多个周期性触发时间组合成随机选择任意触发时间作为不定时验证时机。

本申请提供的智能电网终端认证方法，对达成双向认证的终端与服务器，基于终端主动发起的连接请求进行挑战认证或基于服务器不定时触发挑战认证，服务器生成第一随机数和第二随机数，并与服务器公钥一同发送至终端，终端利用第一随机数及服务器公钥对身份信息进行匿名计算生成匿名身份，在隐藏身份信息的同时，实现身份可通过认证中心进行追溯验证，提高连接的安全性和隐私性。在现有的身份验证功能的基础之上，增加隐私保护功能，隐藏客户端真实身份，使得使用者不能够关联同一用电设备或同一客户端发送的多个信息。同时，将使用的哈希函数改进为HMAC函数，加强信息的机密性。最后，由于CHAP协议也可以用作初始建立链接，当出现信息泄露的时候，服务器可以向认证中心申请审查终端的真实身份信息，通过伪造的身份和存储在认证中心的真实身份实现信息的追溯功能，以便对客户端的信息进行审查。

在其中一个实施例中，所述对终端的身份信息f及第一随机数r进行签名计算生成匿名身份FID，包括：

对身份信息f与第一随机数r进行拼接；

利用所示服务器公钥e对拼接结果进行签名，得到匿名身份FID。

具体的，根据下式生成匿名身份：

FID＝E_e(f||r)

在其中一个实施例中，以匿名身份FID、第一加密信息及时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码，包括：

根据下式计算消息认证码：

σ＝HMAC_Sr(FID||E_e(CH)||T)

其中，E_e(CH)为第一加密信息。

如图2所示，本申请实施例提供一种智能电网终端认证方法，应用于服务器，所述方法包括：

步骤S201，生成第一随机数r。

步骤S202，在满足触发条件时，生成或更新第二随机数CH。

若当前为与终端初次建立连接，则生成第二随机数；若当前为已与终端处于连接状态下的不定时认证挑战，则更新第二随机数。

步骤S203，将第一随机数r、第二随机数CH以及服务器公钥e发送至终端。

其中，终端为与服务器达成双向认证的智能电网终端。

步骤S204，获取认证信息。

其中，认证信息包括终端利用第一随机数r生成的匿名身份FID、利用服务器公钥e对第二随机数CH进行加密得到第一加密信息、匿名身份的时间戳T，以及以匿名身份FID、第一加密信息及时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成的消息认证码；认证加密密钥为认证中心在为终端与服务器进行双向认证通过后下发的密钥。认证加密密钥用于供终端与服务器进行交互时对信息进行加密使用，也可以用于供双方进行身份验证。

步骤S205，验证时间戳T是否满足预设时间范围。

其中，预设时间范围为用于判断匿名身份是否在允许的时间范围内生成的可验证的身份，避免利用过往生成的匿名身份恶意连接的情况。

步骤S206，若满足，则以匿名身份FID、第一加密信息及时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成验证消息认证码。

步骤S207，若验证消息认证码与消息认证码一致，则验证通过，与终端建立/维持连接。

若当前为与终端初次建立连接，则在验证通过时与终端建立连接；若当前为已与终端处于连接状态下的不定时认证挑战，则在验证通过时维持与终端的连接。

本申请提供的智能电网终端认证方法，对达成双向认证的终端与服务器，基于终端主动发起的连接请求进行挑战认证或基于服务器不定时触发挑战认证，服务器生成第一随机数和第二随机数，并与服务器公钥一同发送至终端，终端利用第一随机数及服务器公钥对身份信息进行匿名计算生成匿名身份，在隐藏身份信息的同时，实现身份可通过认证中心进行追溯验证，提高连接的安全性和隐私性。在现有的身份验证功能的基础之上，增加隐私保护功能，隐藏客户端真实身份，使得使用者不能够关联同一用电设备或同一客户端发送的多个信息。同时，将使用的哈希函数改进为HMAC函数，加强信息的机密性。最后，由于CHAP协议也可以用作初始建立链接，当出现信息泄露的时候，服务器可以向认证中心申请审查终端的真实身份信息，通过伪造的身份和存储在认证中心的真实身份实现信息的追溯功能，以便对客户端的信息进行审查。

在其中一个实施例中，触发条件为接收到终端发送的连接请求，或，满足不定时验证时机。

不定时验证时机根据预设的触发规则确定，例如可以随机生成触发时间，或是通过多个周期性触发时间组合成随机选择任意触发时间作为不定时验证时机。

在其中一个实施例中，方法还包括：

若时间戳T不满足预设时间范围，或，验证消息认证码与消息认证码不一致，则拒绝与终端建立连接或断开与终端之间的连接。

若当前为与终端初次建立连接，则在验证不通过时拒绝与终端建立连接；若当前为已与终端处于连接状态下的不定时认证挑战，则在验证不通过时断开与终端的连接。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

下面对本申请实施例提供的智能电网终端认证装置进行描述，下文描述的智能电网终端认证装置与上文描述的智能电网终端认证方法可相互对应参照。

如图3所示，本申请实施例提供一种智能电网终端认证装置300，应用于终端，所述装置包括：

请求发送模块301，用于发送连接请求至服务器；服务器为与终端达成双向认证的智能电网服务器，服务器用于生成第一随机数r及第二随机数CH，并将第一随机数r、第二随机数CH以及服务器公钥e发送至终端；

第一计算模块302，用于对终端的身份信息f及第一随机数r进行签名计算生成匿名身份FID；

加密模块303，用于利用服务器公钥e对第二随机数CH进行加密得到第一加密信息；

时间戳固定模块304，用于获取当前时间生成匿名身份的时间戳T；

第二计算模块305，用于以匿名身份FID、第一加密信息及时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码；认证加密密钥为认证中心在为终端与服务器进行双向认证通过后下发的密钥；

信息发送模块306，用于将匿名身份FID、第一加密信息、时间戳T及消息认证码发送至服务器进行认证；

其中，服务器用于在验证时间戳满足预设时间范围，且根据匿名身份FID、第一加密信息及时间戳计算得到的验证消息认证码与消息认证码一致时，与终端建立连接并在连接期间不定时更新第二随机数CH重新对终端进行认证。

在其中一个实施例中，第一计算模块被配置为用于执行以下步骤：

对身份信息f与第一随机数r进行拼接；

利用所示服务器公钥e对拼接结果进行签名，得到匿名身份FID。

在其在一个实施例中，第二计算模块被配置为用于执行以下步骤：

根据下式计算消息认证码：

σ＝HMAC_Sr(FID||E_e(CH)||T)

其中，E_e(CH)为第一加密信息。

如图4所示，本申请实施例提供一种智能电网终端认证装置400，应用于服务器，所述装置包括：

第一生成模块401，用于生成第一随机数r；

第二生成模块402，用于在满足触发条件时，生成或更新第二随机数CH；

发送模块403，用于将第一随机数r、第二随机数CH以及服务器公钥e发送至终端；终端为与服务器达成双向认证的智能电网终端；

获取模块404，用于获取认证信息；认证信息包括终端利用第一随机数r生成的匿名身份FID、利用服务器公钥e对第二随机数CH进行加密得到第一加密信息、匿名身份的时间戳T，以及以匿名身份FID、第一加密信息及时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成的消息认证码；认证加密密钥为认证中心在为终端与服务器进行双向认证通过后下发的密钥；

时间戳验证模块405，用于验证时间戳T是否满足预设时间范围；

计算模块406，用于在时间戳T满足预设时间范围时，以匿名身份FID、第一加密信息及时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成验证消息认证码：

连接控制模块407，用于在验证消息认证码与消息认证码一致时，验证通过，与终端建立/维持连接。

在其中一个实施例中，智能电网终端认证装置还包括：

断连控制模块，用于在时间戳T不满足预设时间范围，或，验证消息认证码与消息认证码不一致时，拒绝与终端建立连接或断开与终端之间的连接。

上述智能电网终端认证装置中各个模块的划分仅仅用于举例说明，在其他实施例中，可将智能电网终端认证装置按照需要划分为不同的模块，以完成上述智能电网终端认证装置的全部或部分功能。上述智能电网终端认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，本申请还提供了一种存储介质，所述存储介质中存储有计算机可读指令，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如上述任一项所述智能电网终端认证方法的步骤。

在一个实施例中，本申请还提供了一种计算机设备，所述计算机设备中存储有计算机可读指令，所述一个或多个处理器执行所述计算机可读指令时，执行如上述任一项所述智能电网终端认证方法的步骤。

示意性地，在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种智能电网终端认证方法。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种智能电网终端认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图5、图6中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间可以根据需要进行组合，且相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种智能电网终端认证方法，其特征在于，应用于终端，所述方法包括：

发送连接请求至服务器；所述服务器为与所述终端达成双向认证的智能电网服务器，所述服务器用于生成第一随机数r及第二随机数CH，并将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至所述终端；

对所述终端的身份信息f及所述第一随机数r进行签名计算生成匿名身份FID；

利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息；

获取当前时间生成所述匿名身份的时间戳T；

以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

将所述匿名身份FID、所述第一加密信息、所述时间戳T及所述消息认证码发送至所述服务器进行认证；

所述服务器用于在验证所述时间戳满足预设时间范围，且根据所述匿名身份FID、所述第一加密信息及所述时间戳计算得到的验证消息认证码与所述消息认证码一致时，与所述终端建立连接并在连接期间不定时更新所述第二随机数CH重新对所述终端进行认证。

2.根据权利要求1所述的智能电网终端认证方法，其特征在于，所述对所述终端的身份信息f及所述第一随机数r进行签名计算生成匿名身份FID，包括：

对所述身份信息f与所述第一随机数r进行拼接；

利用所示服务器公钥e对拼接结果进行签名，得到所述匿名身份FID。

3.根据权利要求2所述的智能电网终端认证方法，其特征在于，所述以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码，包括：

根据下式计算所述消息认证码：

σ＝HMAC_Sr(FID||E_e(CH)||T)

其中，E_e(CH)为所述第一加密信息。

4.一种智能电网终端认证方法，其特征在于，应用于服务器，所述方法包括：

生成第一随机数r；

在满足触发条件时，生成或更新第二随机数CH；

将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至终端；所述终端为与所述服务器达成双向认证的智能电网终端；

获取认证信息；所述认证信息包括所述终端利用所述第一随机数r生成的匿名身份FID、利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息、所述匿名身份的时间戳T，以及以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成的消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

验证所述时间戳T是否满足预设时间范围；

若满足，则以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成验证消息认证码：

若所述验证消息认证码与所述消息认证码一致，则验证通过，与所述终端建立/维持连接。

5.根据权利要求4所述的智能电网终端认证方法，其特征在于，所述触发条件为接收到所述终端发送的连接请求，或，满足不定时验证时机。

6.根据权利要求4所述的智能电网终端认证方法，其特征在于，所述方法还包括：

若所述时间戳T不满足预设时间范围，或，所述验证消息认证码与所述消息认证码不一致，则拒绝与所述终端建立连接或断开与所述终端之间的连接。

7.一种智能电网终端认证装置，其特征在于，应用于终端，所述装置包括：

请求发送模块，用于发送连接请求至服务器；所述服务器为与所述终端达成双向认证的智能电网服务器，所述服务器用于生成第一随机数r及第二随机数CH，并将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至所述终端；

第一计算模块，用于对所述终端的身份信息f及所述第一随机数r进行签名计算生成匿名身份FID；

加密模块，用于利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息；

时间戳固定模块，用于获取当前时间生成所述匿名身份的时间戳T；

第二计算模块，用于以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

信息发送模块，用于将所述匿名身份FID、所述第一加密信息、所述时间戳T及所述消息认证码发送至所述服务器进行认证；

所述服务器用于在验证所述时间戳满足预设时间范围，且根据所述匿名身份FID、所述第一加密信息及所述时间戳计算得到的验证消息认证码与所述消息认证码一致时，与所述终端建立连接并在连接期间不定时更新所述第二随机数CH重新对所述终端进行认证。

8.一种智能电网终端认证装置，其特征在于，应用于服务器，所述装置包括：

第一生成模块，用于生成第一随机数r；

第二生成模块，用于在满足触发条件时，生成或更新第二随机数CH；

发送模块，用于将所述第一随机数r、所述第二随机数CH以及服务器公钥e发送至终端；所述终端为与所述服务器达成双向认证的智能电网终端；

获取模块，用于获取认证信息；所述认证信息包括所述终端利用所述第一随机数r生成的匿名身份FID、利用所述服务器公钥e对所述第二随机数CH进行加密得到第一加密信息、所述匿名身份的时间戳T，以及以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成的消息认证码；所述认证加密密钥为认证中心在为所述终端与所述服务器进行双向认证通过后下发的密钥；

时间戳验证模块，用于验证所述时间戳T是否满足预设时间范围；

计算模块，用于在所述时间戳T满足预设时间范围时，以所述匿名身份FID、所述第一加密信息及所述时间戳T及认证加密密钥Sr作为HMAC函数的参数计算生成验证消息认证码：

连接控制模块，用于在所述验证消息认证码与所述消息认证码一致时，验证通过，与所述终端建立/维持连接。

9.一种存储介质，其特征在于：所述存储介质中存储有计算机可读指令，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行如权利要求1至6中任一项所述智能电网终端认证方法的步骤。

10.一种计算机设备，其特征在于，包括：一个或多个处理器，以及存储器；

所述存储器中存储有计算机可读指令，所述一个或多个处理器执行时所述计算机可读指令时，执行如权利要求1至6中任一项所述智能电网终端认证方法的步骤。