CN117294539B

CN117294539B - 用户侧终端可信认证方法、装置、设备及存储介质

Info

Publication number: CN117294539B
Application number: CN202311587800.3A
Authority: CN
Inventors: 张强; 张翔; 刘文豪; 林云丹; 李惠成; 叶泽锋; 谢培正; 刘伟杰
Original assignee: Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd
Current assignee: Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date: 2023-11-27
Filing date: 2023-11-27
Publication date: 2024-03-19
Anticipated expiration: 2043-11-27
Also published as: CN117294539A

Abstract

本发明属于用户认证技术领域，公开了一种用户侧终端可信认证方法、装置、设备及存储介质。本发明通过接收用户侧终端发出的加密通信请求，对用户侧终端发出的加密通信请求通过私钥解密，得到用户侧终端的通信请求，接收用户侧终端发起的身份认证信息，对身份认证信息进行验证，得到用户侧终端的真实身份，在用户侧终端的真实身份为可信身份时，建立与用户侧终端的数据通道，并根据数据通道进行信息传输，相对现有技术，能够实现密钥和投票双机制认证，与单纯密钥认证相比，本发明对用户侧终端的敏感度更高，能够更准确对用户侧终端进行身份认证，从而保证电力系统内数据的安全。

Description

用户侧终端可信认证方法、装置、设备及存储介质

技术领域

本发明涉及用户认证技术领域，尤其涉及一种用户侧终端可信认证方法、装置、设备及存储介质。

背景技术

随着电力物联网的建设与发展，电力系统智终端设备的数量不断增长，使得暴露在监测现场的终端应用越来越多，这些智能终端部署范围分布较广，物理环境安全保障不足，这些用户侧终端的智能终端易称为网络攻击的主要目标，存在恶意控制的风险，而目前针对用户侧终端身份认证中，所采用的大多都基于密码进行身份认证，这种方式容易随着密码泄露而导致用户侧终端被入侵，对用户侧终端的身份敏感度低，从而危害电力系统的数据安全。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种用户侧终端可信认证方法、装置、设备及存储介质，旨在解决现有技术中基于密码认证对用户侧终端身份认证的敏感度低的技术问题。

为实现上述目的，本发明提供了一种用户侧终端可信认证方法，所述方法包括以下步骤：

接收用户侧终端发出的加密通信请求，所述用户侧终端发出的加密通信请求由公钥加密；

对所述用户侧终端发出的加密通信请求通过私钥解密，得到所述用户侧终端的通信请求，所述公钥和所述私钥为一一对应关系；

接收所述用户侧终端发起的身份认证信息，对所述身份认证信息进行验证，得到所述用户侧终端的真实身份；

在所述用户侧终端的真实身份为可信身份时，建立与所述用户侧终端的数据通道，并根据所述数据通道进行信息传输。

可选地，所述接收用户侧终端发出的加密通信请求，所述用户侧终端发出的加密通信请求由公钥加密之前，还包括：

接收用户侧终端的注册请求，所述注册请求包括所述用户侧终端的身份信息；

根据所述注册请求中的身份信息生成密钥对，所述密钥对中包括对应的公钥和私钥；

将所述密钥对发送至所述用户侧终端并将所述密钥进行存储，使所述用户侧终端根据所述公钥对通信请求加密，得到加密通信请求。

可选地，所述接收所述用户侧终端发起的身份认证信息，对所述身份认证信息进行验证，得到所述用户侧终端的真实身份，包括：

在接收到所述用户侧终端发起的身份认证信息时，获取其他用户侧终端接收到的身份认证信息；

根据所述用户侧终端发起的身份认证信息和所述其他用户侧终端接收到的身份认证信息得到身份认证向量表，所述其他用户侧终端为除所述用户侧终端之外的全部用户侧终端；

对所述身份认证向量表中的身份认证根据类型确定身份认证数量；

根据所述身份认证数量得到所述用户侧终端的身份认证结果；

根据所述身份认证结果得到所述用户侧终端的真实身份。

可选地，所述根据所述用户侧终端发起的身份认证信息和所述其他用户侧终端接收到的身份认证信息得到身份认证向量表，包括：

将接收到的用户侧终端的身份认证信息进行广播，在所述其他用户侧终端接收到所述用户侧终端的身份认证信息时，能够将所述接收到的所述用户侧终端的身份信息与自身接收到所述用户侧终端的身份认证信息对比，得到身份投票信息；

获取所述其他用户侧终端的身份投票信息，根据所述身份投票信息得到身份认证向量表。

可选地，所述根据所述身份认证结果得到所述用户侧终端的真实身份，包括：

在所述身份认证结果为认证通过时，将所述用户侧终端的真实身份输出为正常用户侧终端；

在所述身份认证结果为认证失败时，将所述用户侧终端设备的真实身份输出为第一异常用户侧终端。

可选地，所述获取所述其他用户侧终端的身份投票信息，根据所述身份投票信息得到身份认证向量表，包括：

对所述其他用户侧的身份投票信息进行检测，在所述身份投票信息为空时，降低所述身份投票信息为空的用户侧终端的投票权重；

统计所述身份投票信息为空的用户侧终端的身份投票信息数量；

在所述身份投票信息数量比例达到预设比例时，将所述用户侧终端标记为第二异常用户侧终端。

可选地，所述根据所述身份认证结果得到所述用户侧终端的真实身份之后，还包括：

将所述用户侧终端的真实身份与其他用户侧终端的身份投票信息比较；

在所述用户侧终端的真实身份与所述其他用户侧终端的身份投票信息一致时，提高所述身份投票信息对应的所述用户侧终端的投票权重；

在所述用户侧终端的真实身份与所述其他用户侧终端的身份投票信息不一致时，降低所述身份投票信息对应的所述用户侧终端的投票权重。

此外，为实现上述目的，本发明还提出一种用户侧终端可信认证装置，所述用户侧终端可信认证装置包括：

请求接收模块，用于接收用户侧终端发出的加密通信请求，所述用户侧终端发出的加密通信请求由公钥加密；

请求处理模块，用于对所述用户侧终端发出的加密通信请求通过私钥解密，得到所述用户侧终端的通信请求，所述公钥和所述私钥为一一对应关系；

身份认证模块，用于接收所述用户侧终端发起的身份认证信息，对所述身份认证信息进行验证，得到所述用户侧终端的真实身份；

通信建立模块，用于在所述用户侧终端的真实身份为可信身份时，建立与所述用户侧终端的数据通道，并根据所述数据通道进行信息传输。

此外，为实现上述目的，本发明还提出一种用户侧终端可信认证设备，所述用户侧终端可信认证设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的用户侧终端可信认证程序，所述用户侧终端可信认证程序配置为实现如上文所述的用户侧终端可信认证方法的步骤。

此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有用户侧终端可信认证程序，所述用户侧终端可信认证程序被处理器执行时实现如上文所述的用户侧终端可信认证方法的步骤。

本发明通过接收用户侧终端发出的加密通信请求，对用户侧终端发出的加密通信请求通过私钥解密，得到用户侧终端的通信请求，接收用户侧终端发起的身份认证信息，对身份认证信息进行验证，得到用户侧终端的真实身份，在用户侧终端的真实身份为可信身份时，建立与用户侧终端的数据通道，并根据数据通道进行信息传输，相对现有技术，能够实现密钥和投票双机制认证，与单纯密钥认证相比，本发明对用户侧终端的敏感度更高，能够更准确对用户侧终端进行身份认证，从而保证电力系统内数据的安全。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的用户侧终端可信认证设备的结构示意图；

图2为本发明用户侧终端可信认证方法第一实施例的流程示意图；

图3为本发明用户侧终端可信认证方法一实施例的身份认证流程图；

图4为本发明用户侧终端可信认证方法第二实施例的流程示意图；

图5为本发明用户侧终端可信认证方法一实施例的用户侧终端身份认证示意图；

图6为本发明用户侧终端可信认证方法一实施例的身份认证向量表；

图7为本发明用户侧终端可信认证装置第一实施例的结构框图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的用户侧终端可信认证设备结构示意图。

如图1所示，该用户侧终端可信认证设备可以包括：处理器1001，例如中央处理器（Central Processing Unit，CPU），通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏（Display）、输入单元比如键盘（Keyboard），可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口（如无线保真（Wireless-Fidelity，Wi-Fi）接口）。存储器1005可以是高速的随机存取存储器（RandomAccess Memory，RAM），也可以是稳定的非易失性存储器（Non-Volatile Memory，NVM），例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对用户侧终端可信认证设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及用户侧终端可信认证程序。

在图1所示的用户侧终端可信认证设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明用户侧终端可信认证设备中的处理器1001、存储器1005可以设置在用户侧终端可信认证设备中，所述用户侧终端可信认证设备通过处理器1001调用存储器1005中存储的用户侧终端可信认证程序，并执行本发明实施例提供的用户侧终端可信认证方法。

本发明实施例提供了一种用户侧终端可信认证方法，参照图2，图2为本发明一种用户侧终端可信认证方法第一实施例的流程示意图。

本实施例中，所述用户侧终端可信认证方法包括以下步骤：

步骤S10：接收用户侧终端发出的加密通信请求，所述用户侧终端发出的加密通信请求由公钥加密。

需要说明的是，本实施例的执行主体是用户侧终端可信认证设备，其中，该用户侧终端可信认证设备具有数据处理，数据通信及程序运行等功能，所述用户侧终端可信认证设备可以为集成控制器，控制计算机等设备，当然还可以为其他具备相似功能的设备，本实施例对此不做限制。

可以理解的是，用户侧终端设备由于分布较广，物理环境安全保障存在不足，因此可能会存在用户侧终端设备故障或是被入侵，成为恶意终端，对于故障的用户侧终端，对于电力系统的数据安全威胁程度较小，而恶意终端则会不断尝试攻击电力系统，试图从电力系统中获取到系统数据。在数据通信时，电力系统的服务器处于高防护环境中，能够保证电力系统的服务器不会被攻击，在此基础上，则需要对接入电力系统的用户侧终端设备进行身份认证，从而保证建立连接的终端身份为可信的。在数据传输的过程中，恶意终端由于为电力系统中不正常的终端节点，目的是骗取到电力系统中的相关数据，因此从主观上，恶意终端会存在欺骗行为，而正常的终端则为诚实，可以通过这一特点进行身份认证。

在具体实现中，在电力系统与用户侧建立正常的数据通信之前，可以搭建一个专用于身份认证的数据传输通道，这一数据传输通道内不会涉及到电力系统的业务数据，数据与其他数据通信通道隔离，保证电力系统在连接时被恶意终端节点通过身份认证通道渗透到电力系统内部，窃取系统数据。在这一过程中，用户侧能够公钥对连接请求进行加密，而电力系统能够对网络环境中的数据请求进行监听，在监听到发送至本电力系统的连接请求时，用户侧终端可信认证设备能够对当前的加密通信请求进行分析，根据加密通信请求确定出对通信请求加密的公钥，用户侧终端可信认证设备能够根据公钥遍历密码本，密码本中存储有所有建立通信的用户侧终端的公钥-私钥对，根据公钥能够在密码本中遍历到对应的私钥，在得到加密通信请求中的公钥对应的私钥后，能够对当前发起通信请求的用户侧终端完成初步验证。

进一步地，所述接收用户侧终端发出的加密通信请求，所述用户侧终端发出的加密通信请求由公钥加密之前，还包括：

在具体实现中，电力系统和用户侧终端之间用于通信的密钥对是在用户侧终端加入到电力系统中分配的，每一个用户侧终端与电力系统之间进行通信的密钥对均不相同，且历史唯一，不会重复。在用户侧终端初次与电力系统进行数据通信时，能够根据电力系统公布的加密方式对通信请求进行加密通信，初次进行加密的密钥由非公开形式进行传输，由电力系统为初次通信的用户侧终端提供。用户侧终端能够根据自身的身份信息，包括设备号，物理地址，访问IP地址，是否为代理网络，请求时间等信息。在用户侧终端可信认证设备接收到用户侧终端的身份信息后，能够根据用户端终端的身份信息生成密钥对，在生成密钥对时，能够根据椭圆曲线加密（ECC）方式来生成密钥对，在加密过程中，可以采用如之类的椭圆曲线进行加密。假设私钥、公钥分别为d、Q，即Q = dG，其中G为基点。在进行公钥加密时，选择随机数r，将消息M生成密文C，该密文是一个点对，,其中Q为公钥。对于私钥解密时，有，其中d、Q分别为私钥、公钥。在生成公钥和私钥之后，用户侧终端能够根据椭圆加密算法得到的密钥对对通信请求进行签名认证。在签名认证过程中，将通信请求生成消息摘要，本实施例可以采用SHA256生成256比特的摘要，在摘要生成后，能够摘要进行签名。具体过程为生成一个随机数k，在生成的随机数k的基础上，计算出两个大数 r和s，将 r和s拼接组合在一起得到消息摘要的签名。需要注意的是，由于随机数k的存在，对于同一条消息，在使用同一算法进行数字签名时，所产生的签名也不一样。

进一步地，在根据所述注册请求中的身份信息生成密钥对，所述密钥对中包括对应的公钥和私钥之后，还包括：

获取密钥对更新周期；

根据当前时间与所述密钥上次更新时间确定所述密钥对的更新时间；

根据所述密钥对的更新时间对所述当前时间判断，在当前时间等于所述密钥对更新时间时，对所述密钥对进行更新，并同步至所述用户侧终端。

在具体实现中，为了保证密钥对的安全性，需要对密钥对进行定时更新，更新周期根据实际情况设置，优选为每周进行更新，也可以为其他时间周期，本实施例对此不作限制。同时获取到用户侧终端当前使用的密钥对的更新时间，并根据获得到的更新周期计算得到密钥对下一次需要进行更新的时间，并根据下一次更新的时间与当前的时间进行判断，在当前时间到达密钥对的更新时间时，可以根据用户侧终端与电力系统预设次数的通信数据为基础生成新的密钥对。预设次数的通信数据，指的是在采用当前密钥对时的第n次的通信数据，其中n可以认为设置，也可以为0至m中的随机数，m为当前密钥对下的通信总次数，在当前的密钥对更新周期内若没有发生数据通信，则以更新时间来生成密钥对。除此之外，为了保证密钥对的安全性，还可以将更新方式设置为根据通信次数进行更新，即当前密钥对被使用k次之后，在k-1次通信时，能够根据k-1次的通信数据得到下一轮密钥对，同时可以将密钥对随第k次的通信一并发送。

步骤S20：对所述用户侧终端发出的加密通信请求通过私钥解密，得到所述用户侧终端的通信请求，所述公钥和所述私钥为一一对应关系。

在具体实现中，用户侧终端可信认证设备在接收到用户侧终端发出的加密通信请求后，能够根据加密通信请求确定出对通信请求加密的公钥，用户侧终端可信认证设备能够根据公钥遍历密码本，密码本中存储有所有建立通信的用户侧终端的公钥-私钥对，根据公钥能够在密码本中遍历到对应的私钥，在得到加密通信请求中的公钥对应的私钥后，能够根据私钥对当前发起通信请求进行解密，得到用户侧终端的通信请求，其中公钥和私钥为一一对应的关系。

步骤S30：接收所述用户侧终端发起的身份认证信息，对所述身份认证信息进行验证，得到所述用户侧终端的真实身份。

需要说明的是，身份认证信息时由用户侧终端向电力系统发送的用于表明身份的信息，身份认证信息传输时也根据ECC算法得到的密钥对进行加密，保证身份认证信息的数据安全。

在具体实现中，参照图3，图3为身份认证流程图。身份认证信息是由用户侧终端向电力系统发送的，主要描述用户侧终端身份以及访问目的，用户侧终端可信认证设备能够根据对用户侧终端身份以及访问目的进行身份认证。用户侧终端设备在向电力系统发送身份认证请求时，该身份认证信息会在当前的系统中广播，在当前电力系统中的每一个用户侧终端都能够收到正在进行身份认证的终端设备的身份认证信息，用户侧终端可信认证设备能够统计所有的身份认证信息，并根据所得到的解决确定最终的身份信息，具体可以根据身份认证的比例确定，在身份认证通过时，再对访问目的进行检测，根据用户的认证身份与访问目的进行匹配，在认证身份的访问权限与访问目的一致时，认可当前的用户侧终端的身份，进而得到用户侧终端的真实身份，在认证身份的访问权限与访问目的一致时，可以降低当前用户侧终端的可信度，并在一定时间内阻隔当前用户侧终端的数据请求。

步骤S40：在所述用户侧终端的真实身份为可信身份时，建立与所述用户侧终端的数据通道，并根据所述数据通道进行信息传输。

在具体实现中，在用户侧终端的真实身份为可信身份，为可信身份的用户侧建立数据通道，用于传输用户侧终端与电力系统之间的业务数据，并且能够根据用户侧终端的公钥接入到区块链中，进行用户侧终端的业务处理，由于区块链的特征，用户侧终端在区块链上的操作均为透明的，此时还可以对用户侧终端的操作进行持续监测，在发现异常行为时，例如大量的读写数据等恶意行为时，切断与当前用户侧终端的数据通信，并对区块链中的数据进行对应的安全防护措施。

本实施例通过接收用户侧终端发出的加密通信请求，对用户侧终端发出的加密通信请求通过私钥解密，得到用户侧终端的通信请求，接收用户侧终端发起的身份认证信息，对身份认证信息进行验证，得到用户侧终端的真实身份，在用户侧终端的真实身份为可信身份时，建立与用户侧终端的数据通道，并根据数据通道进行信息传输，相对现有技术，能够实现密钥和投票双机制认证，与单纯密钥认证相比，本发明对用户侧终端的敏感度更高，能够更准确对用户侧终端进行身份认证，从而保证电力系统内数据的安全。

参考图4，图4为本发明一种用户侧终端可信认证方法第二实施例的流程示意图。

基于上述第一实施例，本实施例用户侧终端可信认证方法在所述步骤S30，还包括：

步骤S301：在接收到所述用户侧终端发起的身份认证信息时，获取其他用户侧终端接收到的身份认证信息；

步骤S302：根据所述用户侧终端发起的身份认证信息和所述其他用户侧终端接收到的身份认证信息得到身份认证向量表，所述其他用户侧终端为除所述用户侧终端之外的全部用户侧终端；

步骤S303：对所述身份认证向量表中的身份认证根据类型确定身份认证数量；

步骤S304：根据所述身份认证数量得到所述用户侧终端的身份认证结果；

步骤S305：根据所述身份认证结果得到所述用户侧终端的真实身份。

需要说明的是，身份认证向量表指的是在对用户侧终端进行身份验证时，除当前被身份认证的用户侧终端外的其他用户侧终端对当前被身份认证的用户侧终端的身份认证结果所形成的向量表。换句话讲，将当前被身份认证的用户侧终端称为a，电力系统中包括若干个用户侧终端，这些用户侧终端形成一个集合A，此时，在集合A中，将不包含用户侧终端a的剩余用户侧终端为B，此时身份认证向量表就是有集合B对用户侧终端a进行身份认证后得到的认证结果。

在具体实现中，假设当前的电力系统中，用户侧终端可信认证设备为M，在当前的电力系统中存在x个恶意终端，包含恶意终端和在用户侧终端可信认证设备内的所有终端总数为y。由于恶意终端的数量相对于终端总数量而言相对较小，因此，此时能够知道此时一定满足y>3x的。因此，身份认证的主导权在正常终端一侧的。由于数据较大，本实施例将对身份认证过程进行简化，如图5所示，图5为用户侧终端身份认证示意图。在图中，假设用户侧终端a为当前的恶意终端，应当知道的是，恶意终端会将真实的信息进行曲解。在用户侧终端可信认证设备M向各个用户侧终端发起身份认证信息时，可以对各个用户侧终端的信息回执信息进行分析，若用户侧终端可信认证设备M向用户侧终端a，用户侧终端b和用户侧终端c，分别发送为T的认证信息，此时，这个认证信息会在用户侧终端之间进行信息传输，此时由于正常的用户侧终端会完整的传输信息，恶意终端会对信息进行曲解，至于曲解为什么无法得知，但可以确定的是，与正确的信息不同，此时用F表示曲解的信息，数据传输如图5所示，每个用户侧终端和用户侧终端可信认证设备均收到其他三个终端/设备传输的数据，并构建出入图6所示的身份认证向量表。此时用户侧终端可信认证设备M得到用户侧终端a，用户侧终端b和用户侧终端c分别回执的信息，此时得到图6所示的身份认证向量表，此时根据图6可知，能够锁定恶意终端为用户侧终端a，此时得到用户侧终端a的真实身份为恶意终端。

进一步地，所述根据所述用户侧终端发起的身份认证信息和所述其他用户侧终端接收到的身份认证信息得到身份认证向量表，包括：

在具体实现中，根据如图6所示的身份认证向量表中读取得到各个用户侧终端的投票信息，也即回执信息，此时根据回执的用户侧终端的名称排序，将结果进行排列，由于用户侧终端可信认证设备为可信的，因此将与用户侧终端可信认证设备发送的不同的信息的用户侧终端投票为恶意终端。

进一步地，所述根据所述身份认证结果得到所述用户侧终端的真实身份，包括：

需要说明的是，异常用户侧终端可以包括恶意终端和故障终端，恶意终端会产生负面数据，危害电力系统数据安全，此时将恶意终端称为第一异常用户侧终端。

在具体实现中，在得到身份认证结果后，对用户侧的真实身份进行检测，在身份认证结果为认证通过时，输出用户侧终端的真实身份输出为正常用户侧终端，若在身份认证结果为认证失败时，所述用户侧终端设备的真实身份输出为第一异常用户侧终端。在用户侧终端设备的真实身份为恶意终端时，可以采取相应措施，禁止当前用户侧终端的连接请求。

进一步的地，所述获取所述其他用户侧终端的身份投票信息，根据所述身份投票信息得到身份认证向量表，包括：

需要说明的是，在用户侧终端因为故障导致掉线或是其他原因导致数据传输异常，这列用户侧终端被称为第二异常用户侧终端。

在具体实现中，在进行身份认证时，由于每个用户侧终端都需要进行投票。因此需要每一个用户侧终端在数据传输中不存在异常，若在身份认证时，出现某个用户侧终端的投票信息丢失，那么可以在身份认证向量表中会出现空数据，并根据空数据锁定故障终端。考虑到可能存在的网络波动，因此给予用户侧终端一定宽容度，也就是说，在用户侧终端设备出现这个情况时，可以统计该用户侧终端出现这种情况的次数，并根据总参与次数之间做比，得到身份信息投票数量比例，在在所述身份投票信息数量比例达到预设比例时，例如10%时，具体根据实际情况设置，本实施例对此不作限制，将所述用户侧终端标记为第二异常用户侧终端。

进一步地，所述根据所述身份认证结果得到所述用户侧终端的真实身份之后，还包括：

在具体实现中，为了保证用户侧终端的身份准确性，可以加入奖惩机制，在每一次身份认证时，可以对每个用户侧终端的投票信息进行检测，确定出该用户侧终端的投票结果，对于当前申请身份认证的用户侧终端的投票结果，若与实际结果保持一致时，可以适当提升当前用户侧终端的投票权重，在用户侧终端的真实身份与其他用户侧终端的身份投票信息不一致时，降低身份投票信息对应的用户侧终端的投票权重，这样，能够扩大正常用户侧终端与异常用户侧终端的投票差距，能够弱化异常用户终端的影响力。

本实施例通过由用户侧终端可信认证设备发起身份证信息来对申请身份验证的用户侧终端进行检查，根据所有用户侧终端反馈的投票信息，生成身份认证向量表，并根据身份认证向量表确定出异常用户侧终端，并对异常用户侧终端进行相应的处理，同时对每一次身份认证的认证结果分析，对投票正确的用户侧终端增加投票权重，对给出错误投票的用户侧终端减少投票权重，实现降低异常用户侧终端的影响力。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有用户侧终端可信认证程序，所述用户侧终端可信认证程序被处理器执行时实现如上文所述的用户侧终端可信认证方法的步骤。

参照图7，图7为本发明用户侧终端可信认证装置第一实施例的结构框图。

如图7所示，本发明实施例提出的用户侧终端可信认证装置包括：

请求接收模块10，用于接收用户侧终端发出的加密通信请求，所述用户侧终端发出的加密通信请求由公钥加密；

请求处理模块20，用于对所述用户侧终端发出的加密通信请求通过私钥解密，得到所述用户侧终端的通信请求，所述公钥和所述私钥为一一对应关系；

身份认证模块30，用于接收所述用户侧终端发起的身份认证信息，对所述身份认证信息进行验证，得到所述用户侧终端的真实身份；

通信建立模块40，用于在所述用户侧终端的真实身份为可信身份时，建立与所述用户侧终端的数据通道，并根据所述数据通道进行信息传输。

在一实施例中，所述请求接收模块10模块，还用于接收用户侧终端的注册请求，所述注册请求包括所述用户侧终端的身份信息；根据所述注册请求中的身份信息生成密钥对，所述密钥对中包括对应的公钥和私钥；将所述密钥对发送至所述用户侧终端并将所述密钥进行存储，使所述用户侧终端根据所述公钥对通信请求加密，得到加密通信请求。

在一实施例中，所述身份认证模块30模块，还用于在接收到所述用户侧终端发起的身份认证信息时，获取其他用户侧终端接收到的身份认证信息；根据所述用户侧终端发起的身份认证信息和所述其他用户侧终端接收到的身份认证信息得到身份认证向量表，所述其他用户侧终端为除所述用户侧终端之外的全部用户侧终端；对所述身份认证向量表中的身份认证根据类型确定身份认证数量；根据所述身份认证数量得到所述用户侧终端的身份认证结果；根据所述身份认证结果得到所述用户侧终端的真实身份。

在一实施例中，所述身份认证模块30模块，还用于将接收到的用户侧终端的身份认证信息进行广播，在所述其他用户侧终端接收到所述用户侧终端的身份认证信息时，能够将所述接收到的所述用户侧终端的身份信息与自身接收到所述用户侧终端的身份认证信息对比，得到身份投票信息；获取所述其他用户侧终端的身份投票信息，根据所述身份投票信息得到身份认证向量表。

在一实施例中，所述身份认证模块30模块，还用于在所述身份认证结果为认证通过时，将所述用户侧终端的真实身份输出为正常用户侧终端；在所述身份认证结果为认证失败时，将所述用户侧终端设备的真实身份输出为第一异常用户侧终端。

在一实施例中，所述身份认证模块30模块，还用于对所述其他用户侧的身份投票信息进行检测，在所述身份投票信息为空时，降低所述身份投票信息为空的用户侧终端的投票权重；统计所述身份投票信息为空的用户侧终端的身份投票信息数量；在所述身份投票信息数量比例达到预设比例时，将所述用户侧终端标记为第二异常用户侧终端。

在一实施例中，所述身份认证模块30模块，还用于将所述用户侧终端的真实身份与其他用户侧终端的身份投票信息比较；在所述用户侧终端的真实身份与所述其他用户侧终端的身份投票信息一致时，提高所述身份投票信息对应的所述用户侧终端的投票权重；在所述用户侧终端的真实身份与所述其他用户侧终端的身份投票信息不一致时，降低所述身份投票信息对应的所述用户侧终端的投票权重。

应当理解的是，以上仅为举例说明，对本发明的技术方案并不构成任何限定，在具体应用中，本领域的技术人员可以根据需要进行设置，本发明对此不做限制。

应该理解的是，虽然本申请实施例中的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。

此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质（如只读存储器（Read Only Memory，ROM）/RAM、磁碟、光盘）中，包括若干指令用以使得一台终端设备（可以是手机，计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种用户侧终端可信认证方法，其特征在于，所述用户侧终端可信认证方法应用于用户侧终端可信认证设备，包括如下步骤：

在得到所述用户侧终端的通信请求时，建立与所述用户侧终端连接的专用于身份认证的数据传输通道；

在所述用户侧终端的真实身份为可信身份时，建立与所述用户侧终端的业务数据通道，并根据所述业务数据通道进行信息传输；

其中，所述接收所述用户侧终端发起的身份认证信息，对所述身份认证信息进行验证，得到所述用户侧终端的真实身份，包括：

当用户侧终端可信认证设备接收所述用户侧终端发起的身份认证信息时，向当前电力系统中各个用户侧终端广播所接收到的身份认证信息；

接收当前电力系统中各个用户侧终端反馈的回执信息，所述回执信息为所述各个用户侧终端设备自身接收到的身份认证信息；同时，当前电力系统中各个用户侧终端之间相互传输各自自身所接收到的身份认证信息；

获取当前电力系统中各个用户侧终端各自接收到全部身份认证信息，该全部身份认证信息包括接收当前电力系统中除自身以外其余用户侧终端传输的身份认证信息，及接收所述用户侧终端可信认证设备广播的身份认证信息；

根据当前电力系统中各个用户侧终端各自接收到全部身份认证信息与各个用户侧终端反馈的回执信息，构建身份认证向量表；

根据所述身份认证向量表中接收到的身份认证信息的类型确定出身份认证数量；

根据所述身份认证结果得到所述用户侧终端的真实身份。

2.如权利要求1所述的方法，其特征在于，所述接收用户侧终端发出的加密通信请求，所述用户侧终端发出的加密通信请求由公钥加密之前，还包括：

将所述密钥对发送至所述用户侧终端并将所述密钥对进行存储，使所述用户侧终端根据所述公钥对通信请求加密，得到加密通信请求。

3.如权利要求1所述的方法，其特征在于，所述根据所述身份认证结果得到所述用户侧终端的真实身份，包括：

在所述用户认证结果为认证通过时，将所述用户侧终端的真实身份输出为正常用户侧终端；

在所述用户认证结果为认证失败时，将所述用户侧终端设备的真实身份输出为第一异常用户侧终端。

4.一种用户侧终端可信认证装置，应用于用户侧终端可信认证设备，其特征在于，所述用户侧终端可信认证装置包括：

请求处理模块，还用于在得到所述用户侧终端的通信请求时，建立与所述用户侧终端连接的专用于身份认证的数据传输通道；

通信建立模块，用于在所述用户侧终端的真实身份为可信身份时，建立与所述用户侧终端的业务数据通道，并根据所述业务数据通道进行信息传输；

根据所述身份认证结果得到所述用户侧终端的真实身份。

5.一种用户侧终端可信认证设备，其特征在于，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的用户侧终端可信认证程序，所述用户侧终端可信认证程序配置为实现如权利要求1至3中任一项所述的用户侧终端可信认证方法的步骤。

6.一种存储介质，其特征在于，所述存储介质上存储有用户侧终端可信认证程序，所述用户侧终端可信认证程序被处理器执行时实现如权利要求1至3任一项所述的用户侧终端可信认证方法的步骤。