[发明专利]一种用于电力物联网感知终端轻量级身份认证的方法

说明书

本发明公开了一种用于电力物联网感知终端轻量级身份认证的方法，步骤一，物联终端向边缘物联代理发密文数据和签名值，进入步骤二；步骤二，边缘物联代理解开密文数据并验证签名值，进入步骤三；步骤三，判断边缘物联代理解开密文数据是否正确，判断边缘物联代理验证签名值是否正确：若边缘物联代理解开密文数据正确并且边缘物联代理验证签名值正确的条件同时满足则进入步骤四；若边缘物联代理解开密文数据不正确或边缘物联代理验证签名值不正确则边缘物联代理向终端发出告警并且进入步骤五，定义告警次数N，N为整数，N=N+L，L为不为0的常数。

技术领域

本发明涉及一种用于电力物联网感知终端轻量级身份认证的方法，属于身份认证技术领域。

背景技术

泛在电力物联网是指任何时间、任何地点、任何人、任何物之间的信息连接和交互，它将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备以及人和物连接起来，产生共享数据，为用户、电网、发电、供应商和政府社会服务。

随着泛在电力物联网的建设与发展，边缘计算逐渐应用于各类业务，业务横向交互需求凸显，安全边界范围不断扩大、难以界定，以隔离为主的现有防护体系难以满足物与物的广泛互联需求，传统的基于数字证书的认证体系并不适用于计算资源受限的海量感知终端的接入身份认证，这将直接导致仿冒终端的非法接入，攻击者以仿冒终端作为跳板，发起对电力业务主站系统的攻击，造成不可估量的损失。因此，为解决上述问题，必须实现一种适合感知终端安全接入并且行之有效的轻量级身份认证机制。

常用的身份认证技术主要有三种，分别为基于口令认证、基于密码学认证、基于生物或设备特征认证。其中，基于口令的认证方式简单易用，也是常用的认证方式，但HTTP和TELNET等应用层协议均采用明文方式传输口令，容易被攻击者窃听，且通过字典及穷举攻击，攻击者容易获得口令，从而直接导致这种认证方式失效；基于密码学的认证方式，主要有PKI、CPK及IBC，CPK即组合公钥技术，IBC即标识密码技术；基于生物或设备特征认证，主要借助于指纹、虹膜等独一无二的特征对生物或设备进行鉴别，针对海量感知终端，设备指纹的获取过于复杂且实施难度大。因此，应基于密码学的认证方式，对海量感知终端进行身份鉴别，具体采用哪种密码学认证方式，还需进一步研究。

PKI技术为实现网络通信保密性、完整性和不可否认性提供一套完整、成熟可靠的解决方案，其基本实施步骤如下：（1）通信双方向可信的CA申请数字证书，CA全名为Certificate Authority即颁发数字证书的机构；（2）CA给通信双方签发数字证书；（3）通信双方基于数字证书及各自的私钥通过非对称密码算法的数字签名、验签等密码服务实现双向认证。

CPK技术将密钥生产和密钥管理结合起来，能够实现数字签名和密钥交换，可以满足超大规模信息网络与非信息网络中的标识鉴别、实体鉴别、数据保密需求，其基本实施步骤如下：（1）通信双方向密钥管理中心提供各自标识；（2）密钥管理中心根据标识给通信双方发放与其标识对应的公钥和私钥；（3）通信双方基于对方的公钥和自身的私钥通过非对称密码算法的数字签名、验签等密码服务实现双向认证。

IBC标识密码技术：以用户的标识信息如姓名、IP地址、电子邮箱地址、手机号码等直接作为用户公钥，为用户提供一套简便的身份认证方案，其基本实施步骤如下：（1）通信双方向密钥生成中心提供各自标识；（2）密钥生成中心根据标识给通信双方发放与其标识对应的私钥；（3）通信双方基于对方的公钥和自身的私钥通过非对称密码算法的数字签名、验签等密码服务实现双向认证。

从数字证书管理成本、算法运算效率及安全性等方面可以看出现有技术方案中的PKI技术及CPK技术应用到物联网业务时将存在不足之处。