一种基于挑战应答的设备认证方法技术

本发明专利技术涉及一种基于挑战应答的设备认证方法，特别涉及无线网络智能电网中的基于挑战应答的设备认证方法，属于电力系统维护技术领域。本发明专利技术方案中采用哈希运算对电力设备的标识进行保护，利用对称加密算法等低开销运算降低通信开销，更好地适应无线通信环境的通信需求。本发明专利技术基于挑战应答的设备认证方案能够有效传输数据，降低通信开销，并且传输的数据是不存在冗余，提高了通信效率。同时能够有效抵抗中间人攻击、假冒攻击、恶意通信注入等常见攻击方式，更加适应智能电网无线通信环境。采用的共享密钥存储列表，共享密钥的更新实现了认证过程的安全性和自愈性。认证过程的安全性和自愈性。

【技术实现步骤摘要】
一种基于挑战应答的设备认证方法


[0001]本专利技术涉及一种基于挑战应答的设备认证方法，特别涉及无线网络智能电网中的基于挑战应答的设备认证方法，属于电力系统维护


技术介绍

[0002]智能电网是在传统电力系统的基础之上，采用各种先进技术建立智能电力网络并且实现对能源的产生、配送、使用等环节的智能化管理。目前，各国智能电网都进入了高速发展的关键时期，随着人工智能等技术的发展，越来越多的智能设备正在通过无线网络接入智能电网并与智能电网中的电力设备进行信息交互。智能电网无线通信的显著特征之一是可靠性、适用性与可扩展性不足。特别是由于智能电网环境中存在海量信息、接入方式多样、信息复杂、外部用户不可控等特点，其信息安全存在很大威胁。
[0003]其中，对接入设备的认证是保证智能电网信息安全的第一关，设备接入认证的安全是保障智能电网的安全性、可靠性和稳定性的第一步，是智能电网安全、稳定、可靠运行的必要条件。如图一所示，智能电网SCADA系统(Supervisoiy Control and DataAcquisition)中备接入认证发生在主从设备之间，例如智能电表和采集器。
[0004]目前智能电网中比较常用的设备接入认证通常分为两个大类：一是基于国家电网数字证书的认证方案，即通过提供公钥加密和数字签名实现密钥和证书的管理；二是基于角色的认证方案，即通过角色将用户和功能进行关联，为角色赋予功能或者访问权限的方式，间接为用户赋予相应的功能和访问权限。随着接入智能电网的设备种类日益增多，以及无线通信在智能电网中更广泛的应用，上述两种方案在通信开销、安全认证等方面不能很好的满足实际需求。特别是：(1)认证过程中需要权威第三方机构的参与，增大系统通信开销；(2)使用基于证书的认证方式进行身份认证时，当通信参与节点数量较多时，要求双方同时持有有效证书，带来额外的通信压力；(3)证书过期提醒与更新、密钥的更新与更新等过程复杂(4)以上两种认证方式对设备的存储能力和通信能力都提出了较高的要求。
[0005]针对智能电网这样存在数量庞大的通信节点的复杂网络中，分析其通信特点以及目标，本专利技术提出一种基于挑战应答的双向认证方案，方案中采用哈希运算对电力设备的标识进行保护，利用对称加密算法等低开销运算降低通信开销，更好地适应无线通信环境的通信需求。

技术实现思路

[0006]针对现有技术的不足，本专利技术提供一种基于挑战应答的设备认证方法。
[0007]本专利技术的技术方案如下：
[0008]一种基于挑战应答的设备认证方案，包括以下步骤：
[0009]步骤一、初始条件：
[0010]主站设备A(ID
i
)的认证列表采用主站设备A(ID
i
)的初始共享
密钥存储列表采用<hash(ID
j
),K
ij
>，主站设备A(ID
i
)存储<hash(ID
j
),N
i
,N
j
>列表；从站设备A(ID
j
)的认证列表采用从站设备A(ID
j
)的初始共享密钥存储列表采用<hash(ID
i
)，K
ij
>，从站设备A(ID
j
)存储<hash(ID
i
),N
i
,N
j
>列表；
[0011]其中，ID
i
/ID
j
为电力设备的身份标识，其中i和j为设备编号，N
i
/N
j
为身份标识为ID
i
/ID
j
的电力设备产生的随机数，K
ij
为身份标识为ID
i
/ID
j
的电力设备的共享密钥， hash()为单向哈希函数；
[0012]步骤二、传递用于认证的随机数：
[0013]1)主站设备向从站设备发送认证请求，发送的消息为{hash(ID
i
),E(N
i
,K
ij
)}；E() 为对称加密算法；
[0014]2)从站设备收到消息后，根据自身存储的hash(ID
i
)扫描列表<hash(ID
i
)，K
ij
>获取主从站之间的共享密钥K
ij
，然后利用该密钥K
ij
对主站设备发送的消息进行解密，获取随机数N
i
；接着将自己的随机数N
j
利用共享密钥K
ij
进行加密，并将加密后的消息发送给主站设备，发送消息的内容为{hash(ID
j
),E({hash(ID
j
),N
i
,N
j
,MAC},K
ij
)}；
[0015]其中，MAC＝hash(hash(ID
j
))，E(hash(ID
j
)，K
ij
)，E(N
i
，K
ij
)，E(N
j
，K
ij
)，是消息验证码；
[0016]3)主站设备收到消息后，首先进行数据完整性校验，若通过，则根据自身存储的 hash(ID
j
)扫描列表<hash(ID
j
),K
ij
>，获得共享密钥K
ij
，然后利用该密钥K
ij
对从站设备发送的消息进行解密，接收随机数N
j
同时得到hash(ID
j
)，若解码出的hash(ID
j
)与自身存储的从站设备hash(ID
j
)相同且随机数N
j
是有效的，则进行下一步操作，否则拒绝设备接入；
[0017]步骤三、进行设备身份验证：
[0018]1)主站设备将自己的匿名身份标识hash(ID
i
)和EMAC
i
发送给从站设备；
[0019]其中，EMAC
i
＝E({hash((hash(ID
i
)，N
i
，N
j
)，IP
IDi
，IP
IDj
，MAC
i
)}，K
ij
)，是对MAC
i
及其他信息进行加密后产生的加密消息；
[0020]MAC
i
＝hash({hash({hash(ID本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于挑战应答的设备认证方案，其特征在于，包括以下步骤：步骤一、初始条件：主站设备A(ID
i
)的认证列表采用主站设备A(ID
i
)的初始共享密钥存储列表采用<hash(ID
j
),K
ij
>，主站设备A(ID
i
)存储<hash(ID
j
),N
i
,N
j
>列表；从站设备A(ID
j
)的认证列表采用从站设备A(ID
j
)的初始共享密钥存储列表采用<hash(ID
i
)，K
ij
>，从站设备A(ID
j
)存储<hash(ID
i
),N
i
,N
j
>列表；其中，ID
i
/ID
j
为电力设备的身份标识，其中i和j为设备编号，N
i
/N
j
为身份标识为ID
i
/ID
j
的电力设备产生的随机数，K
ij
为身份标识为ID
i
/ID
j
的电力设备的共享密钥，hash()为单向哈希函数；步骤二、传递用于认证的随机数：1)主站设备向从站设备发送认证请求，发送的消息为{hash(ID
i
),E(N
i
,K
ij
)}；E()为对称加密算法；2)从站设备收到消息后，根据自身存储的hash(ID
i
)扫描列表<hash(ID
i
)，K
ij
>获取主从站之间的共享密钥K
ij
，然后利用该密钥K
ij
对主站设备发送的消息进行解密，获取随机数N
i
；接着将自己的随机数N
j
利用共享密钥K
ij
进行加密，并将加密后的消息发送给主站设备，发送消息的内容为{hash(ID
j
),E({hash(ID
j
),N
i
,N
j
,MAC},K
ij
)}；其中，MAC＝hash(hash(ID
j
))，E(hash(ID
j
)，K
ij
)，E(N
i
，K
ij
)，E(N
j
，K
ij
)，是消息验证码；3)主站设备收到消息后，首先进行数据完整性校验，若通过，则根据自身存储的hash(ID
j
)扫描列表<hash(ID
j
),K
ij
>，获得共享密钥K
ij
，然后利用该密钥K
ij
对从站设备发送的消息进行解密，接收随机数N
j
同时得到hash(ID
j
)，若解码出的hash(ID
j
)与自身存储的从站设备hash(ID
j
)相同且随机数N
j
是有效的，则进行下一步操作，否则拒绝设备接入；步骤三、进行设备身份验证：1)主站设备将自己的匿名身份标识hash(ID
i
)和EMAC
i
发送给从站设备；其中，EMAC
i
＝E({hash((hash(ID
i
)，N
i
，N
j
)，IP
IDi
，IP
IDj
，MAC
i
)}，K
ij
)，是对MAC
i
及其他信息进行加密后产生的加密消息；MAC
i
＝hash({hash({hash(ID
i
)，N
i

【专利技术属性】
技术研发人员：徐通通，陈浩，
申请(专利权)人：山东卓文信息科技有限公司，
类型：发明
国别省市：