【技术实现步骤摘要】
一种基于电力设备指纹的加密认证方法及系统
[0001]本申请涉及信息安全
,特别是涉及一种基于电力设备指纹的加密认证方法及系统。
技术介绍
[0002]随着智能电网的发展,为对电网的整体运行状态进行全面的感知,越来越多的智能化感知设备在电网中大量应用;这些感知设备存在数量众多、部署分散、无人值守等问题,容易遭到攻击,成为攻击者进一步向电网的核心系统进行攻击的跳板,因此需要对这些接入电网的末梢设备进行接入认证,防止伪造终端接入电网系统。
[0003]由于这些感知设备计算资源有限,成本和功耗要求比较低,采用植入密码芯片进行身份认证的方式不大适用。
[0004]针对上述的现有技术中存在的感知设备计算资源有限,成本和功耗要求比较低,采用植入密码芯片进行身份认证的方式不大适用的技术问题,目前尚未提出有效的解决方案。
技术实现思路
[0005]本公开的实施例提供了一种基于电力设备指纹的加密认证方法,以至少解决现有技术中存在的感知设备计算资源有限,成本和功耗要求比较低,采用植入密码芯片进行身份认证的方式不大适用的技术问题。
[0006]根据本公开实施例的一个方面,提供了一种基于电力设备指纹的加密认证方法,包括:终端设备将登录报文发送至网关,所述登录报文为所述终端设备的基本信息,包括终端设备类型D
t
、终端设备逻辑地址D
a
、通信信道类型C
t
、信道信息长度C
l
、登录计数器Counter以及登陆时间标签T
...
【技术保护点】
【技术特征摘要】
1.一种基于电力设备指纹的加密认证方法,其特征在于,包括:终端设备将登录报文发送至网关,所述登录报文为所述终端设备的基本信息,包括终端设备类型D
t
、终端设备逻辑地址D
a
、通信信道类型C
t
、信道信息长度C
l
、登录计数器Counter以及登陆时间标签T
s
;所述网关接收所述登录报文后,获取所述终端设备的基本信息,根据所述终端设备的基本信息生成动态设备指纹,基于预先设置的特殊码字和所述动态设备指纹计算获得网关加密会话密钥和网关校验会话密钥;所述网关生成第一随机数,并根据所述网关加密会话密钥和所述网关校验会话密钥,计算网关第一密文和网关第一校验值,并将所述第一随机数、所述网关第一密文和所述网关第一校验值组装成身份鉴别请求报文发送至所述终端设备;所述终端设备接收所述身份鉴别请求报文后,对所述身份鉴别请求报文进行验证和解密,生成第二随机数,并根据所述第二随机数,确定身份鉴别响应报文,将所述身份鉴别响应报文发送至所述网关;所述网关接收所述身份鉴别响应报文后,对所述身份鉴别响应报文进行验证和解密,确定身份鉴别确认报文,将所述身份鉴别确认报文发送至所述终端设备;所述终端设备接收所述身份鉴别确认报文后,对所述身份鉴别确认报文进行验证和解密,确定身份鉴别结束报文,并将所述身份鉴别结束报文发送至所述网关。2.根据权利要求1所述的方法,其特征在于,所述网关接收所述登录报文后,获取所述终端设备的基本信息,根据所述终端设备的基本信息生成动态设备指纹,基于预先设置的特殊码字和所述动态设备指纹计算获得会话密钥,终端执行同样的计算步骤得到会话密钥,包括:获取所述终端设备的基本信息的终端设备类型D
t
、终端设备逻辑地址D
a
、通信信道类型C
t
、信道信息长度C
l
、计数器Counter以及登陆时间标签T
s
;根据终端设备类型D
t
、终端设备逻辑地址D
a
、通信信道类型C
t
、信道信息长度C
l
、计数器Counte以及登陆时间标签T
s
,计算所述动态设备指纹C1=Hash
SM3
(D
t
||D
a
||C
t
||C
l
||Counter||T
s
);基于预先设置的特殊码字L1和所述动态设备指纹C1计算获得会话密钥,计算网关加密会话密钥K
e
=(left((C1∧L1),16))^(right((C1^L1),16))和网关校验会话密钥K
m
=(left((C1^L2),16))^(right((C1^L2),16))。3.根据权利要求2所述的方法,其特征在于,所述网关生成第一随机数,并根据所述网关加密会话密钥和所述网关校验会话密钥,计算网关第一密文和网关第一校验值,并将所述第一随机数、所述网关第一密文和所述网关第一校验值组装成身份鉴别请求报文发送至所述终端设备,包括:网关生成第一随机数R1;根据所述网关加密会话密钥K
e
和所述网关校验会话密钥K
m
,计算网关第一密文M1=Enc(K
e
,Counter||R1)和网关第一校验值MAC1=Enc(K
m
,M1),所述网关第一密文M1采用SM4
‑
ECB模式加密;所述网关第一校验值MAC1采用SM4
‑
ECB模式加密后取前4字节得到;将所述第一随机数R1、所述网关第一密文M1和所述网关第一校验值MAC1组装成身份鉴别请求报文发送至所述终端设备。
4.根据权利要求3所述的方法,其特征在于,所述终端设备接收所述身份鉴别请求报文后,对所述身份鉴别请求报文进行验证和解密,生成第二随机数,包括:所述终端设备接收所述身份鉴别请求报文后,计算终端第一密文M1'和终端第一校验值MAC
′1=Enc(K
m
,M1);将所述终端第一校验值MAC1'与所述网关第一校验值MAC1进行对比,若所述终端第一校验值MAC1'与所述网关第一校验值MAC1相同,执行解密密文Dec(K
e
,M1),确定更新后的计数器和第一随机数R1;将所述更新后的计数器与所述登录计数器Counter进行对比,若所述更新后的计数器与所述登录计数器Counter相同,根据所述第一随机数R1,生成第二随机数R2。5.根据权利要求4所述的方法,其特征在于,所述终端设备根据所述第二随机数,确定身份鉴别响应报文,将所述身份鉴别响应报文发送至所述网关,包括:所述终端设备根据所述第二随机数R2,计算终端第二密文M2=Enc(K
e
,R1||R2)和终端第二校验值MAC2=Enc(K
m
,M2);将所述终端第二密文M2和所述终端第二校验值MAC2组装成身份鉴别响应报文,所述终端第二密文M2采用SM4
‑
ECB模式加密;所述终端第二校验值MAC2采用SM4
‑
ECB模式加密后取前4字节得到;将所述身份鉴别响应报文发送至所述网关。6.根据权利要求5所述的方法,其特征在于,所述网关接收所述身份鉴别响应报文后,对所述身份鉴别响应报文进行验证和解密,确定身份鉴别确认报文,将所述身份鉴别确认报文发送至所述终端设备,包括:所述网关接收所述身份鉴别响应报文后,计算网关第二校验值MAC2'=Enc(K
m
,M2);将所述网关第二校验值MAC2'与所述终端第二校验值MAC2进行对比;若所述网关第二校验值MAC2'与所述终端第二校验值MAC2相同,执行解密密文Dec(K
e
,M2),获取更新后的第一随机数和更新后的第二随机数;将更新后的第一随机数的数值与所述第一随机数的数值进行对比,若所述更新后的第一随机数的数值与所述第一随机数的数值相同,记录更新后的第二随机数;根据所述更新后的第一随机数和更新后的第二随机数,计算网关数据加密初始值计算网关第三密文和网关第三校验值MAC3=Enc(K
m
,M3),其中left(Hash(L3||R1||R2),16)是截取Hash(L3||R1||R2)的前16字节数据;right(Hash(L3||R1||R2),16)是截取Hash(L3||R1||R2)的后16字节数据;将所述网关第三密文M3和所述网关第三校验值MAC3组装成身份鉴别确认报文;将所述身份鉴别确认报文发送至所述终端设备。7.根据权利要求6所述的方法,其特征在于,所述终端设备接收所述身份鉴别确认报文后,对所述身份鉴别确认报文进行验证和解密,确定身份鉴别结束报文,并将所述身份鉴别结束报文发送至所述网关,包括:所述终端设备接收所述身份鉴别确认报文后,计算终端第三校验值MAC3'=Enc(K
m
,M3);
将所述终端第三校验值MAC3'与所述网关第三校验值MAC3进行对比,若所述终端第三校验值MAC3'与所述网关第三校验值MAC3相同,执行解密密文Dec(K
e
,M3)运算得到网关数据加密初始值IV;根据所述网关数据加密初始值IV,计算终端数据加密初始值IV',若所述网关数据加密初始值IV与所述终端数据加密IV'相同,记录所述网关数据加密初始值IV,向网关返回身份鉴别结束报文。8.一种基于电力设备指纹的加密认证系统,其特征在于,包括:发送登录报文模块,利用终端设备将登录报文发送至网关,所述登录报文为所述终端设备...
【专利技术属性】
技术研发人员:梁晓兵,翟峰,赵兵,许海清,葛得辉,周晖,岑炜,陈昊,王齐,付义伦,曹永峰,李保丰,徐萌,王晖南,刘佳易,武文萍,杨兆忠,高强,王昱瑾,许进,陈力波,刘鹰,许斌,孔令达,冯云,冯占成,周琪,任博,张庚,韩文博,郑旖旎,
申请(专利权)人:国家电网有限公司国网山西省电力公司营销服务中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。