一种基于电力物联网的网络安全身份验证方法技术

本发明专利技术公开了一种基于电力物联网的网络安全身份验证方法，包括以下步骤：获取用户数据信息，并对用户数据信息进行分类，将用户数据信息分为若干数据类型；根据数据类型，将用户数据信息生成对应的DSA参数文件和DSA私钥；生成用户的CA签名证书；根据生成的CA签名证书建立二次访问通讯；基于二次访问通讯过程建立多次访问，并不断更新CA证书认证信息和匹配表。通过CA用户随机发送，生成用户的签名证书，对整体认证流程进行改进，加入去中心化的思想，大大增强了验证安全性和认证流程可靠性，实现标识及证书的快速认证，构建了去中心化、轻量级的密钥管理方法，避免由于中心化的钥匙中心收到攻击导致身份认证系统被攻破，提高了身份认证系统的安全性。身份认证系统的安全性。身份认证系统的安全性。

【技术实现步骤摘要】
一种基于电力物联网的网络安全身份验证方法


[0001]本专利技术涉及身份验证方法，具体涉及一种基于电力物联网的网络安全身份验证方法。

技术介绍

[0002]电力物联网虽然是网络的一种，但比普通的互联网节点更密集，设备种类更复杂。电力物联网采用“数据采集+集中控制+区域自治”模式，由单一功能型终端向综合服务型终端转变，在各类业务或服务以开放型平台方式提供的业务模式转变下，面临着更为复杂的安全威胁。针对于电力物联网复杂的安全状况，如果仅仅依靠技术手段是很难完全实现理想的防护效果的。一是通信协议本身存在设计缺陷，导致信息网络存在被欺骗或被拒绝服务攻击的风险；二是系统软硬件平台存在各类安全漏洞，各种操作系统、数据库、中间件的高危漏洞层出不穷，增加了信息系统的安全防护难度；三是应用系统由于设计和编码问题，导致应用系统存在安全漏洞，进而可能导致敏感信息泄露或系统不可用；四是各种病毒及黑客攻击手段层出不穷，大量自动化攻击工具涌现，黑客进行网络攻击及漏洞利用的技术门槛大幅降低，进一步提升了信息安全风险；五是随着智能电网建设工作的推进，大量的智能电表、手持PDA、移动支付、微信公众服务等业务接入电力物联网，接入设备种类日益增多，电力物联网结构日益复杂，使电力行业信息网络的复杂性及不确定性不断增加。原先的身份验证技术已经满足不了当下身份验证的需求，需要对原先PKI技术进行改进。
[0003]现如今在国网中身份认证技术多采用基于公共密钥基础设施的技术即PKI技术。但PKI技术明显具备这无法大规模产生公钥，和需要在线运行证书目录的痛点，这两点在现如今电网数据多元化，海量化和复杂化的背景下显现出了明显的不足。

技术实现思路

[0004]本专利技术提供一种基于电力物联网的网络安全身份验证方法，通过CA用户随机发送，生成用户的签名证书，对整体认证流程进行改进，加入去中心化的思想，大大增强了验证安全性和认证流程可靠性，实现用户标识及CA证书的快速认证，提高身份认证系统的安全性。
[0005]本专利技术通过下述技术方案实现：
[0006]一种基于电力物联网的网络安全身份验证方法，包括以下步骤：
[0007]S1、获取用户数据信息，并对用户数据信息进行分类，将用户数据信息分为若干数据类型；
[0008]S2、根据数据类型，将用户数据信息生成对应的DSA参数文件和DSA私钥；
[0009]S3、根据DSA参数文件和DSA私钥生成用户的CA签名证书；
[0010]S4、根据生成的CA签名证书建立二次访问通讯，二次访问通讯成功建立后得到对应的匹配表、CA证书认证信息和CPK密钥；
[0011]S5、基于所述二次访问通讯，建立多次访问过程，并不断更新所述匹配表、CA证书
认证信息和CPK密钥。
[0012]由于现有技术中PKI技术明显具备这无法大规模产生公钥，需要在线运行证书目录，经过上述步骤通过CA用户随机发送，生成用户的签名证书，对整体认证流程进行改进，加入去中心化的思想，大大增强了验证安全性和认证流程可靠性，实现用户标识及CA证书的快速认证，提高身份认证系统的安全性。
[0013]进一步地，所述步骤S3中生成用户的CA签名证书具体步骤包括：
[0014]S31、CA中心接收用户请求机发送的含有CA签名的请求包，并将所述请求包中的用户标识ID随机发送给国网指定的内网计算机的其中一台设备中；
[0015]S32、接收到所述用户标识ID的内网计算机根据所述用户标识ID生成CPK密钥，并将所述CPK密钥返回给所述CA中心；
[0016]S33、所述CA中心根据所述CPK密钥和用户标识ID生成CA证书，并对所述CA证书进行签名，生成CA签名证书，并将所述CA签名证书进行广播；
[0017]S34、对应的所述用户请求机通过所述DSA私钥对所述CA签名证书进行认定，并接受所述CA签名证书中的请求；
[0018]S35、接收到所述用户标识ID的内网计算机存储所述CPK密钥和所述CA签名证书。
[0019]在生成CA签名证书的过程中使用在CPK密钥中方入公钥矩阵映射算法计算用户证书，结合软硬件密码保护模块实现标识及证书的快速认证，构建了去中心化、轻量级的密钥管理方法，避免由于中心化的钥匙中心收到攻击导致身份认证系统被攻破，提高了身份认证系统的安全性。
[0020]进一步地，所述步骤S4中的建立二次访问通讯的具体过程包括：
[0021]S41、CA认证中心获取用户发送的访问请求，并且对所述访问请求进行广播；
[0022]S42、拥有所述请求访问用户CPK密钥的内网计算机对CA证书认证信息进行配置，并将配置好的CA证书认证信息返回给CA认证中心，所述CA证书认证信息包括CA证书的有效期、证书链和CRL；
[0023]S43、CA认证中心对所述配置好的CA证书认证信息一一进行验证，直到所有CA证书认证信息全部通过验证，建立起二次访问通讯，并生成匹配表、CA证书认证信息、CPK密钥。
[0024]进一步地，所述步骤S42中的CA认证中心对所述配置好的CA证书认证信息的验证过程具体包括：
[0025]S431、CA认证中心判断所述CA证书的有效期是否失效，若有效，则继续验证所述证书链，若无效，则拒绝用户的访问请求；
[0026]S432、CA认证中心对所述证书链进行验证，若有效，则对CA证书合法签发验证，若无效，则拒绝用户的访问请求；
[0027]S433、CA认证中心验证CA证书签发是否合法，若合法有效则继续验证所述CRL，若不合法，则拒绝用户的访问请求；
[0028]S434、CA认证中心验证所述CRL是否有效，若有效，则将所述CRL加入匹配表，建立访问链接，若无效则拒绝用户的访问请求，并返回错误信息给所述请求用户。
[0029]进一步地，所述步骤S5中所述多次访问的具体过程包括：
[0030]S51、建立二次访问通讯，所述二次访问通讯建立成功后最终生成匹配表、CA证书认证信息、CPK密钥；
[0031]S52、CA认证中心将生成的所述匹配表、CA证书认证信息、CPK密钥重新随机发送给新的国网指定的内网计算机的其中一台设备中，同时，CA认证中心向前一次访问通讯建立时的指定内网计算机发送删除指令；
[0032]S53、所述前一次访问通讯建立时的指定内网计算机根据所述删除指令删除存储的CPK密钥，并将所述匹配表和CA证书认证信息进行留档；
[0033]S54、在下一次建立访问时，重复步骤S51-S53。
[0034]用户每次请求访问时，会重新对用户身份信息进行验证，并不断更新CPK密钥，随机指定内网计算机等大大增强了系统的安全性。
[0035]另外，本专利技术提供了一种基于电力物联网的网络安全身份验证系统，所述系统支持权利要求1-5任一所述方法，包括：数据接收单元、数据处理单元、证书生成单元和通讯单元，
[0036]数据接收单元获取用户数据信息，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于电力物联网的网络安全身份验证方法，其特征在于，包括以下步骤：S1、获取用户数据信息，并对用户数据信息进行分类，将用户数据信息分为若干数据类型；S2、根据数据类型，将用户数据信息生成对应的DSA参数文件和DSA私钥；S3、根据DSA参数文件和DSA私钥生成用户的CA签名证书；S4、根据生成的CA签名证书建立二次访问通讯，二次访问通讯成功建立后得到对应的匹配表、CA证书认证信息和CPK密钥；S5、基于所述二次访问通讯，建立多次访问过程，并不断更新所述匹配表、CA证书认证信息和CPK密钥。2.根据权利要求1所述的一种基于电力物联网的网络安全身份验证方法，其特征在于，所述步骤S3中生成用户的CA签名证书具体步骤包括：S31、CA中心接收用户请求机发送的含有CA签名的请求包，并将所述请求包中的用户标识ID随机发送给国网指定的内网计算机的其中一台设备中；S32、接收到所述用户标识ID的内网计算机根据所述用户标识ID生成CPK密钥，并将所述CPK密钥返回给所述CA中心；S33、所述CA中心根据所述CPK密钥和用户标识ID生成CA证书，并对所述CA证书进行签名，生成CA签名证书，并将所述CA签名证书进行广播；S34、对应的所述用户请求机通过所述DSA私钥对所述CA签名证书进行认定，并接受所述CA签名证书中的请求；S35、接收到所述用户标识ID的内网计算机存储所述CPK密钥和所述CA签名证书。3.根据权利要求1所述的一种基于电力物联网的网络安全身份验证方法，其特征在于，所述步骤S4中的建立二次访问通讯的具体过程包括：S41、CA认证中心获取用户发送的访问请求，并且对所述访问请求进行广播；S42、拥有所述请求访问用户CPK密钥的内网计算机对CA证书认证信息进行配置，并将配置好的CA证书认证信息返回给CA认证中心，所述CA证书认证信息包括CA证书的有效期、证书链和CRL；S43、CA认证中心对所述配置好的CA证书认证信息一一进行验证，直到所有CA证书认证信息全部通过验证，建立起二次访问通讯，并生成匹配表、CA证书认证信息、CPK密钥。4....

【专利技术属性】
技术研发人员：吕磊，靳文星，王电钢，黄林，牛新征，张哲敏，
申请(专利权)人：国网四川省电力公司信息通信公司，
类型：发明
国别省市：