CN117118628A - 电力物联网轻量级身份认证方法、装置及电子设备 - Google Patents

电力物联网轻量级身份认证方法、装置及电子设备 Download PDF

Info

Publication number
CN117118628A
CN117118628A CN202310969351.2A CN202310969351A CN117118628A CN 117118628 A CN117118628 A CN 117118628A CN 202310969351 A CN202310969351 A CN 202310969351A CN 117118628 A CN117118628 A CN 117118628A
Authority
CN
China
Prior art keywords
service
key
internet
lightweight
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310969351.2A
Other languages
English (en)
Inventor
王辉
李延
袁艳芳
张彦杰
翟峰
冯云
张磊
李明
张亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
State Grid Anhui Electric Power Co Ltd
Beijing Smartchip Microelectronics Technology Co Ltd
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
State Grid Anhui Electric Power Co Ltd
Beijing Smartchip Microelectronics Technology Co Ltd
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, State Grid Anhui Electric Power Co Ltd, Beijing Smartchip Microelectronics Technology Co Ltd, Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202310969351.2A priority Critical patent/CN117118628A/zh
Publication of CN117118628A publication Critical patent/CN117118628A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请涉及密码安全技术领域,实施例提供了一种电力物联网轻量级身份认证方法、装置及电子设备。其中,电力物联网轻量级身份认证方法应用于融合终端,所述融合终端与物联终端、主站业务系统相连,该方法包括:接收所述物联终端的身份认证请求,所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳;基于所述身份认证请求中的设备业务标识生成设备公钥,并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致;在验证一致的情况下,接收所述物联终端的上报数据请求,所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据等步骤。本申请提供的实施方式提升了身份认证安全性。

Description

电力物联网轻量级身份认证方法、装置及电子设备
技术领域
本申请涉及密码安全技术领域,具体地涉及一种电力物联网轻量级身份认证方法、一种电力物联网轻量级身份认证装置、一种电子设备以及对应的存储介质。
背景技术
现有的基于SM2算法的PKI认证协议,由公钥和私钥形成一个密钥对,其中公钥向公众公开,私钥归密钥持有人单独保管。通讯双方使用非对称密钥对数据进行加密和解密时,必须使用相互匹配的公钥和私钥。它有两种方式:一种是发送方用接收方的公钥来加密信息,接收方用其私钥解密信息,这样接收方可以收到多个发送方传来的加密数据,且此加密数据只有接收方一个用户可以解读;另一种即发送方利用自身的私钥加密信息,接收方用对方公钥解密信息,这样一个信息有可能被多个接收方解密。
现有的基于SM2算法的身份认证协议,当网络规模较大时,面临密码分发、密钥管理等可扩展问题;终端密钥泄露,将会导致与该终端共享密钥的所有其他终端面临通信安全问题在数字证书创建、分发、注销等过程中,面临数字证书体积大,认证时带宽、功耗要求高等问题,由于物联终端计算能力有限,该密码体系需要通过数字证书绑定公钥与身份,应用在物联网环境下海量终端的身份认证场景,存在证书管理成本与密钥分发管理成本较高的问题。
发明内容
本申请实施例的目的是提供一种电力物联网轻量级身份认证方法、装置及电子设备,基于SM9算法身份标识的密码技术(Identity-based Cryptography,IBC),以终端身份标识作为公钥,基于标识密码算法,通过设计面向电力物联网终端的轻量级密钥管理方案,可保障底层终端通信的安全性,以至少解决背景技术中的部分问题。
为了实现上述目的,在本申请中提供了一种电力物联网轻量级身份认证方法,应用于融合终端,所述融合终端与物联终端、主站业务系统相连,该方法包括:接收所述物联终端的身份认证请求,所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳;基于所述身份认证请求中的设备业务标识生成设备公钥,并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致;在验证一致的情况下,接收所述物联终端的上报数据请求,所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据;基于所述上报数据请求中的设备业务标识生成设备公钥,在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时,将所述上报数据转发至所述主站业务系统。
优选地,所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成,所述密码安全模块为轻量级密码软模块或安全元件芯片。
优选地,所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识:密钥离线分发装置获取所述物联终端的设备序列号,并将所述设备序列号转发至密码服务平台;接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识;在所述物联终端的生产过程中,将所述业务密钥和设备业务标识配置至所述物联终端。
优选地,所述密码服务平台通过调用标识管理模块生成所述设备业务标识;所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机,得到所述业务密钥。
优选地,所述轻量级密码微服务被配置为提供以下服务中的至少一者:设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。
优选地,所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。
本申请还提供了一种电力物联网轻量级身份认证装置,应用于融合终端,所述融合终端与物联终端、主站业务系统相连,该装置包括:认证接收模块,用于接收所述物联终端的身份认证请求,所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳;数据验证模块,用于基于所述身份认证请求中的设备业务标识生成设备公钥,并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致;数据接收模块,用于在验证一致的情况下,接收所述物联终端的上报数据请求,所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据;以及数据转发模块,基于所述上报数据请求中的设备业务标识生成设备公钥,在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时,将所述上报数据转发至所述主站业务系统。
优选地,所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成,所述密码安全模块为轻量级密码软模块或安全元件芯片。
优选地,所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识:密钥离线分发装置获取所述物联终端的设备序列号,并将所述设备序列号转发至密码服务平台;接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识;在所述物联终端的生产过程中,将所述业务密钥和设备业务标识配置至所述物联终端。
优选地,所述密码服务平台通过调用标识管理模块生成所述设备业务标识;所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机,得到所述业务密钥。
优选地,所述轻量级密码微服务被配置为提供以下服务中的至少一者:设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。
优选地,所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。
在本申请中还提供了一种电子设备,包括:至少一个处理器;存储器,与所述至少一个处理器连接;其中,所述存储器存储有能被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现前述的电力物联网轻量级身份认证方法的步骤。
在本申请中还提供了一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得处理器被配置成执行实现前述的电力物联网轻量级身份认证方法的步骤。
在本申请中还提供了一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现前述的电力物联网轻量级身份认证方法的步骤。
上述技术方案具有以下有益效果:
(1)简化了部署和管理:相比复杂的PKI架构,本申请实施方式的部署和管理更加简化,其不需要建立和维护复杂的证书颁发机构(CA)体系,减少了复杂的证书管理和密钥分发流程。
(2)轻量级实施:本申请实施方式使用轻量级密码软模块或SE芯片,不需要复杂的加密算法和大型的密钥管理系统,使得方案在资源受限的物联网设备上实施更加轻便。
(3)认证高效性:本申请实施方式利用设备业务密钥发行和时间戳等机制,能够快速验证物联终端设备的身份。相比PKI的证书验证过程,减少了复杂的验证步骤,提高了认证效率。同时微服务形式支持集群方式部署,增加了系统并发量和流畅度。
(4)本地存储和保护:本申请实施方式将设备初始密钥本地存储于物联终端设备中,不依赖外部的证书存储。这提高了密钥的安全性,减少了对网络连接和外部服务器的依赖。
(5)灵活性和可扩展性:方案通过设备业务标识(BID)和设备公钥验证,实现了灵活的认证流程。它可以适应各种物联终端设备和应用场景,并支持批量申请和管理大量设备的初始密钥。
(6)安全可靠:本申请实施方式综合使用国密算法SM9/SM2/SM3/SM4,支持SM9标识密码算法和SM2无证书公钥密码体制,采用挑战应答、数字信封多种安全技术,实现身份和业务认证、数据安全传输、数据加密存储、数据签名与验签等多种安全功能,构建了全方位的安全保护体系。
本申请实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本申请实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本申请实施例,但并不构成对本申请实施例的限制。在附图中:
图1示意性示出了根据本申请实施方式的电力物联网轻量级身份认证方法的步骤示意图;
图2示意性示出了根据本申请实施方式的电力物联网轻量级身份认证方法中的认证流程示意图;
图3示意性示出了根据本申请实施方式的电力物联网轻量级身份认证方法中的分发流程示意图;
图4示意性示出了根据本申请实施方式中轻量级密码微服务的结构示意图;
图5示意性示出了根据本申请实施方式的电力物联网轻量级身份认证装置的结构示意图。
具体实施方式
以下结合附图对本申请实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请实施例,并不用于限制本申请实施例。
图1示意性示出了根据本申请实施方式的电力物联网轻量级身份认证方法的步骤示意图。如图1所示,一种电力物联网轻量级身份认证方法,应用于融合终端,所述融合终端与物联终端、主站业务系统相连,该方法包括:
S01、接收所述物联终端的身份认证请求,所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳;本步骤中的设备业务标识和业务密钥在物联终端生产时被灌装至物联终端中。准确地说,其中业务密钥被存储至集成于物联终端的轻量级密码软模块或安全元件芯片中。物联终端调用轻量级密码软模块或安全元件芯片,生成经业务密钥加密的时间戳,并与设备业务标识、时间戳组成身份认证请求,发送至融合终端。
S02、基于所述身份认证请求中的设备业务标识生成设备公钥,并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致;本步骤中根据设备业务标识生成设备公钥的算法可以综合使用国密算法SM9/SM2/SM3/SM4,支持SM9标识密码算法和SM2无证书公钥密码体制,采用挑战应答、数字信封多种安全技术。其实施主体可以是内置于融合终端的轻量级密码微服务或者调用与融合终端分离设置的轻量级密码微服务。
S03、在验证一致的情况下,接收所述物联终端的上报数据请求,所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据;本步骤仅在身份认证请求成功的情况下实施,其接收的上报数据请求中同样包括设备业务标识,用于加密上报数据的业务密钥与步骤S01中的业务密钥相同。
S04、基于所述上报数据请求中的设备业务标识生成设备公钥,在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时,将所述上报数据转发至所述主站业务系统。本步骤中的验证步骤与S02中的验证步骤类似,生成设备公钥的算法和实施主体均可参考步骤S02进行实施。本步骤中的将所述上报数据转发至所述主站业务系统优选通过安全传输通道进行数据转发。本步骤使用安全传输通道将物联终端的上报数据转发给主站业务系统。安全传输通道采用加密和认证技术,防止数据被未授权方窃取或篡改。通过使用安全传输通道,可以确保物联终端数据的机密性和完整性,并防止中间人攻击等安全威胁。
通过以上实施方式,实现了基于设备业务标识(BID)的设备身份认证。本实施方式引入了设备业务标识作为认证的依据,通过使用设备业务标识,可以实现设备的可信身份认证,而无需复杂的证书管理和验证流程。从而创新简化了身份认证过程,提高了效率和可扩展性。
在本实施方式中,还实现了上报数据的完整性和可信性验证。物联终端设备在生成数据时,生成上报数据校验码或数据签名以保证数据的完整性和未被篡改。融合终端收到上报数据后,调用轻量级密码服务安全模块对数据校验码或数据签名进行验证,确保数据的可信性。
在本申请提供的可选实施方式中,所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成,所述密码安全模块为轻量级密码软模块或安全元件芯片。在本实施方式中,物联终端设备首先集成轻量级密码软模块或安全元件芯片。安全元件芯片,SE(Secure Element)芯片,可封装成各种形式,常见的有智能卡和嵌入式安全模块(eSE)等,其通过安全芯片和芯片操作系统(COS)实现数据安全存储、加解密运算等功能。
图2示意性示出了根据本申请实施方式的电力物联网轻量级身份认证方法中的认证流程示意图。如图2所示,边缘侧的融合终端实现物联终端设备身份认证流程的步骤简要说明如下:
步骤1:物联终端已完成设备业务密钥发行(BID+Service Key);
步骤2:物联终端调用密码软模块或SE芯片,生成时间戳(Time_Stamp);
步骤3:物联终端设备向融合终端申请可信设备身份认证,并上传BID设备业务标识、时间戳(Time_Stamp)和时间签名值(Time_value);其中时间签名值是采用Service Key对时间戳进行签名计算得到的;
步骤4:融合终端调用轻量级密码服务安全模块,首先基于BID生成设备公钥,再使用设备公钥验证时间戳(Time_stamp);
步骤5:向物联终端返回可信设备身份认证结果;
步骤6:经身份认证的物联终端调用密码软模块或SE芯片,生成上报数据校验码(Data Mac)或上报数据签名(Data Sign);
步骤7:物联终端向融合终端上报数据,上传数据请求中包括BID设备业务标识、上报数据、数据校验码(Data Mac)或数据签名(Data Sign);
步骤8:融合终端收到物联终端上报数据请求,调用轻量级密码服务安全模块,验证数据校验码(Data Mac)或基于BID生成设备公钥,并基于设备公钥验证数据签名(DataSign);
步骤9:融合终端通过安全传输通道,转发物联终端的上报数据;该安全通道基于设备证书,与主站安全接入网关建立连接,实现与主站业务系统之间的安全通道。
在本申请提供的实施方式中,所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识:密钥离线分发装置获取所述物联终端的设备序列号,并将所述设备序列号转发至密码服务平台;接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识;在所述物联终端的生产过程中,将所述业务密钥和设备业务标识发送至所述物联终端。本实施方式中提供了物联终端通过密钥离线分发装置获取业务密钥和设备业务标识的步骤。密钥离线分发装置设置于生产系统的生产线中,具有数据转发、数据缓存和批量申请等功能。其与统一密码服务平台相连,并通过设备序列号向统一密码服务平台进行申请,并能够缓存接收到的业务密钥和设备业务标识,在物联终端的生产过程中将业务密钥和设备业务标识灌装至对应的物联终端。
在本申请提供的实施方式中,所述密码服务平台通过调用标识管理模块生成所述设备业务标识;所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机,得到所述业务密钥。标识管理模块是具有生产设备业务标识的功能模块,其可以是软件模块或者硬件模块,可以与密码服务平台合设或分离设置。轻量级密码微服务采用微服务模式,设计灵活,耦合性低而内聚性高,各功能模块之间接口设计合理完善,能够适应不同的物联网类型,非常方便的接入到大型密码服务平台中。
图3示意性示出了根据本申请实施方式的电力物联网轻量级身份认证方法中的分发流程示意图。如图3所示,该流程描述了物联终端关于初始密钥的分发业务流程,其包括了以下步骤:
步骤1:物联终端首先集成轻量级密码软模块或SE安全芯片;
步骤2:密钥离线分发装置向总部的密码服务平台批量申请设备初始密钥,同时上传设备序列号SERIAL_NO信息。
步骤3:密码服务平台调用标识管理模块注册终端设备信息,并批量生成对应设备的通用标识UID。
步骤4:密码服务平台调用轻量级密码服务,批量申请基于UID的设备初始密钥。
步骤5:通过调度服务访问向轻量级密码机批量申请设备的UID对应的设备初始密钥。
步骤6:基于批量UID批量生产并下载基于UID的设备初始密钥Initial_key。
步骤7:密码服务平台将UID和设备Initial_key返还给密钥离线分发装置。
步骤8:密钥离线分发装置在本地暂存设备UID和设备Initial_key;终端设备生产时,密钥离线分发装置再将暂存的UID和对应的设备Initial_key传递给设备生产系统。
步骤9:生产系统在生产线上将UID和设备Initial_key灌装到物联终端中。
步骤10:物联终端调用轻量级密码软模块/SE芯片导入并解封设备Initial_key,并本地安全存储设备初始密钥。
通过以上步骤,物联终端得到UID和设备Initial_key,并具有安全性高的特点。此处的UID和前述的设备业务标识(BID)为出厂和挂网两个不同阶段所使用的设备标识,两者存在可相互转换的关联关系。设备Initial_key可被用于密码软模块或SE芯片中的加密密钥。
在本申请提供的实施方式中,所述轻量级密码微服务被配置为提供以下服务中的至少一者:设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。图4示意性示出了根据本申请实施方式中轻量级密码微服务的结构示意图。如图4所示,轻量级密码微服务设计灵活,耦合性低而内聚性高。本实施方式采用微服务进行设计,各功能模块之间接口设计合理完善,能够适应不同的物联网类型,非常方便的接入到大型密码服务平台中。此处对其提供的各个服务简要介绍如下:
设备管理,负责管理终端设备管理。支持基本的新增、清空、综合查询、导入等操作,便于用户操作。支持终端的分类管理,同时支持日志记录功能,实现数据可回溯性。终端进行下载密钥前,需先将终端信息添加到轻量级密码微服务中,轻量级密码微服务根据终端的设备信息,分发设备私钥。
密钥管理,负责轻量级密码运算所需的密码机以及密钥。
安全策略管理,负责终端的安全访问控制。如终端密钥的有效期、密钥更新周期、密钥下载次数等。
设备监测,通过终端的接口访问数据和接口上报的数据,轻量级密码微服务对业务操作进行终端状态行为分析,监测终端设备的异常行为。
密码运算接口,对外提供密钥分发、身份认证、数据加解密、数据签名、数据验签接口。
设备行为审计,轻量级密码微服务提供行为安全审计功能,可对终端设备行为进行全方位审计,帮助审计人员评估安全信息、掌握安全状态,制定安全策略,确保整个物联网安全体系的完备性。
在本申请提供的实施方式中,所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。本实施方式限定了以上各个功能模块或功能设备的设置方式。通过分离设置,以降低功能的耦合性,使每一功能模块或功能设备的安全性得到保障。
通过以上实施方式,构建了安全性高的密钥分发机制、身份认证机制和数据上传机制,提高了整个电力物联网的安全性。
基于同一发明构思,本申请实施方式还提供了一种电力物联网轻量级身份认证装置。图5示意性示出了根据本申请实施方式的电力物联网轻量级身份认证装置的结构示意图。如图5所示,该装置包括:应用于融合终端,所述融合终端与物联终端、主站业务系统相连,该装置包括:认证接收模块,用于接收所述物联终端的身份认证请求,所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳;数据验证模块,用于基于所述身份认证请求中的设备业务标识生成设备公钥,并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致;数据接收模块,用于在验证一致的情况下,接收所述物联终端的上报数据请求,所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据;以及数据转发模块,基于所述上报数据请求中的设备业务标识生成设备公钥,在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时,将所述上报数据转发至所述主站业务系统。
在一些可选实施方式中,所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成,所述密码安全模块为轻量级密码软模块或安全元件芯片。
在一些可选实施方式中,所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识:密钥离线分发装置获取所述物联终端的设备序列号,并将所述设备序列号转发至密码服务平台;接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识;在所述物联终端的生产过程中,将所述业务密钥和设备业务标识配置至所述物联终端。
在一些可选实施方式中,所述密码服务平台通过调用标识管理模块生成所述设备业务标识;所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机,得到所述业务密钥。
在一些可选实施方式中,所述轻量级密码微服务被配置为提供以下服务中的至少一者:设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。
在一些可选实施方式中,所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。
上述的电力物联网轻量级身份认证装置中的各个功能模块的具体限定可以参见上文中对于电力物联网轻量级身份认证方法的限定,在此不再赘述。上述装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。其同样具有安全性高的优点。
在本申请的一些实施方式中,还提供了一种电子设备,包括:至少一个处理器;存储器,与所述至少一个处理器连接;其中,所述存储器存储有能被所述至少一个处理器执行的指令,所述至少一个处理器通过执行前述的电力物联网轻量级身份认证方法的步骤。此处的控制模块或处理器具有数值计算和逻辑运算的功能,其至少具有数据处理能力的中央处理器CPU、随机存储器RAM、只读存储器ROM、多种I/O口和中断系统等。处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现前述的方法。存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
在本申请提供的一种实施方式中,提供了一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得处理器被配置成执行前述的电力物联网轻量级身份认证方法的步骤。
在本申请提供的一种实施方式中,提供了一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现前述的电力物联网轻量级身份认证方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (14)

1.一种电力物联网轻量级身份认证方法,其特征在于,应用于融合终端,所述融合终端与物联终端、主站业务系统相连,该方法包括:
接收所述物联终端的身份认证请求,所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳;
基于所述身份认证请求中的设备业务标识生成设备公钥,并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致;
在验证一致的情况下,接收所述物联终端的上报数据请求,所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据;
基于所述上报数据请求中的设备业务标识生成设备公钥,在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时,将所述上报数据转发至所述主站业务系统。
2.根据权利要求1所述的方法,其特征在于,所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成,所述密码安全模块为轻量级密码软模块或安全元件芯片。
3.根据权利要求1所述的方法,其特征在于,所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识:
密钥离线分发装置获取所述物联终端的设备序列号,并将所述设备序列号转发至密码服务平台;
接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识;
在所述物联终端的生产过程中,将所述业务密钥和设备业务标识配置至所述物联终端。
4.根据权利要求3所述的方法,其特征在于,
所述密码服务平台通过调用标识管理模块生成所述设备业务标识;
所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机,得到所述业务密钥。
5.根据权利要求4所述的方法,其特征在于,所述轻量级密码微服务被配置为提供以下服务中的至少一者:
设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。
6.根据权利要求4所述的方法,其特征在于,所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。
7.一种电力物联网轻量级身份认证装置,其特征在于,应用于融合终端,所述融合终端与物联终端、主站业务系统相连,该装置包括:
认证接收模块,用于接收所述物联终端的身份认证请求,所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳;
数据验证模块,用于基于所述身份认证请求中的设备业务标识生成设备公钥,并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致;
数据接收模块,用于在验证一致的情况下,接收所述物联终端的上报数据请求,所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据;以及
数据转发模块,基于所述上报数据请求中的设备业务标识生成设备公钥,在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时,将所述上报数据转发至所述主站业务系统。
8.根据权利要求7所述的装置,其特征在于,所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成,所述密码安全模块为轻量级密码软模块或安全元件芯片。
9.根据权利要求7所述的装置,其特征在于,所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识:
密钥离线分发装置获取所述物联终端的设备序列号,并将所述设备序列号转发至密码服务平台;
接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识;
在所述物联终端的生产过程中,将所述业务密钥和设备业务标识配置至所述物联终端。
10.根据权利要求9所述的装置,其特征在于,
所述密码服务平台通过调用标识管理模块生成所述设备业务标识;
所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机,得到所述业务密钥。
11.根据权利要求10所述的装置,其特征在于,所述轻量级密码微服务被配置为提供以下服务中的至少一者:
设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。
12.根据权利要求10所述的装置,其特征在于,所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。
13.一种电子设备,其特征在于,包括:至少一个处理器;
存储器,与所述至少一个处理器连接;
其中,所述存储器存储有能被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现权利要求1至6中任一项权利要求所述的电力物联网轻量级身份认证方法的步骤。
14.一种机器可读存储介质,其特征在于,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得处理器被配置成实现权利要求1至6中任一项权利要求所述的电力物联网轻量级身份认证方法。
CN202310969351.2A 2023-08-02 2023-08-02 电力物联网轻量级身份认证方法、装置及电子设备 Pending CN117118628A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310969351.2A CN117118628A (zh) 2023-08-02 2023-08-02 电力物联网轻量级身份认证方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310969351.2A CN117118628A (zh) 2023-08-02 2023-08-02 电力物联网轻量级身份认证方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN117118628A true CN117118628A (zh) 2023-11-24

Family

ID=88810192

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310969351.2A Pending CN117118628A (zh) 2023-08-02 2023-08-02 电力物联网轻量级身份认证方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN117118628A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596421A (zh) * 2024-01-18 2024-02-23 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596421A (zh) * 2024-01-18 2024-02-23 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统
CN117596421B (zh) * 2024-01-18 2024-04-02 北京智芯微电子科技有限公司 基于融合终端的视频加密传输方法、装置及系统

Similar Documents

Publication Publication Date Title
EP1394982B1 (en) Methods and apparatus for secure data communication links
EP2666316B1 (en) Method and apparatus for authenticating a communication device
US20100266128A1 (en) Credential provisioning
EP3387576B1 (en) Apparatus and method for certificate enrollment
CN107342861B (zh) 一种数据处理方法、装置及系统
CN114503507A (zh) 安全的发布-订阅通信方法和设备
US9608971B2 (en) Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers
GB2401293A (en) Secure data transmission links
CN109450620B (zh) 一种移动终端中共享安全应用的方法及移动终端
CN101720071A (zh) 基于安全sim卡的短消息两阶段加密传输和安全存储方法
WO2016122646A1 (en) Systems and methods for providing data security services
WO2016122581A1 (en) Systems and methods for secure data exchange
US11838409B2 (en) Method and apparatus for transferring data in a publish-subscribe system
CN112804356B (zh) 一种基于区块链的联网设备监管认证方法及系统
Lesjak et al. Hardware-secured and transparent multi-stakeholder data exchange for industrial IoT
CN111181944B (zh) 通信系统及信息发布方法、装置、介质、设备
CN107729760B (zh) 基于Android系统的CSP实现方法及智能终端
CN117118628A (zh) 电力物联网轻量级身份认证方法、装置及电子设备
CN116132043B (zh) 会话密钥协商方法、装置及设备
CN114338091B (zh) 数据传输方法、装置、电子设备及存储介质
CN113722726B (zh) 基于软硬件协同的加解密方法及系统
CN114978698A (zh) 网络接入方法、目标终端、凭证管理网元及验证网元
Grillo et al. Transaction oriented text messaging with Trusted-SMS
KR100974661B1 (ko) 가상 사설망 서버와 송수신하는 데이터를 보안처리 하는방법 및 스마트 카드
Yoon et al. Security enhancement scheme for mobile device using H/W cryptographic module

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination