基于IBC体系的电力物联网设备轻量级接入认证方法及系统技术方案

本发明专利技术公开了一种基于IBC体系的电力物联网设备轻量级接入认证方法及系统，属于信息安全技术领域。本发明专利技术方法，包括：目标设备公私钥对密文的申请，包括：当目标设备生成密钥申请参数后，密钥生成中心KGC根据目标设备的唯一标识ID生成目标设备身份公私钥对，通过使用对称密钥加密后，将公私钥对密文传输至目标设备；目标设备与其他设备的加密密钥协商，包括:当目标设备与其他设备进行信息交互时，基于目标设备和其他设备的身份公私钥对，引入随机数协商主密钥，采用密钥衍生算法计算后生成数据加密密钥，即通过数据加密密钥接入认证。本发明专利技术提出的方法可以实现电力物联网设备的高效安全接入认证，增强物联网设备的安全性和智能化管理水平。化管理水平。化管理水平。

【技术实现步骤摘要】
基于IBC体系的电力物联网设备轻量级接入认证方法及系统


[0001]本专利技术涉及信息安全
，并且更具体地，涉及一种基于IBC体系的电力物联网设备轻量级接入认证方法及系统。

技术介绍

[0002]随着移动互联、人工智能等新技术的发展，电力用户与智能电网的双向交互越来越频繁，用户对电网的服务形式和服务质量要求也越来越高。为了满足电力用户的应用需求，增强电力用户对智能电网的感知度和参与度，电力物联网随之产生。电力物联网网络环境开放复杂、访问控制灵活多变、接入的设备种类繁多、数量巨大且安全性能参差不齐。这些设备在参与电网互动过程中将会产生大量数据，给终端信任管理、网络安全带来严峻挑战，因此需要开展海量电力物联网设备的安全接入认证技术研究。
[0003]传统设备安全认证主要基于PKI体系，采用数字证书实现。然而PKI证书管理较为复杂，需要构建多级CA系统，且证书发布、吊销、验证和保存需要占用较多的资源。基于IBC标识认证体系的设备接入认证技术可以有效避免复杂的证书管理问题，然而传统IBC密码体系存在私钥托管、密码运算相对复杂等问题。上述技术并不适用于海量电力物联网设备的接入认证。

技术实现思路

[0004]针对上述问题，本专利技术提出了一种基于IBC体系的电力物联网设备轻量级接入认证方法，所述方法包括：
[0005]目标设备公私钥对密文的申请，包括：当目标设备生成密钥申请参数后，密钥生成中心KGC根据目标设备的唯一标识ID生成目标设备身份公私钥对，通过使用对称密钥加密后，将公私钥对密文传输至目标设备；
[0006]目标设备与其他设备的加密密钥协商，包括:当目标设备与其他设备进行信息交互时，基于目标设备和其他设备的身份公私钥对，引入随机数协商主密钥，采用密钥衍生算法计算后生成数据加密密钥，即通过数据加密密钥接入认证。
[0007]可选的，目标设备公私钥对密文的申请，具体包括：
[0008]目标设备先选择随机数r1且其中为循环群，的阶为q，并设置的一个安全单向的哈希函数根据r1、q、及目标设备ID，生成目标设备的身份密钥对申请参数paramas0＝{ID,r1,q,H(ID||r1)}，并将申请参数paramas0＝{ID,r1,q,H(ID||r1)}发送至密钥生成中心KGC；
[0009]密钥生成中心KGC收到申请参数paramas0＝{ID,r1,q,H(ID||r1)}后，计算安全参数看k,将安全参数k输入到参数生成器中运算,生成系统参数paramas1；
[0010]其中，
[0011]其中，q是一个安全素数，G1为满足双线性映射性质的椭圆曲线上的q阶加法子群，
G2为有限域上乘法群的q阶子群，为G1×
G1→
G2的双线性映射，n是明文数据长度，P是G1的任意生成元，即P∈G1，P
pub
是系统公钥，P
pub
＝ks
·
P，s是系统的主密钥因子，P
r
＝ks，P
pub
和P
r
为系统公私钥对，H1,H2是系统哈希函数，其中，H1:{0,1}
*
→
G1，H2:{0,1}
n
→
G2；
[0012]密钥生成中心KGC将系统参数paramas1发送至目标设备，并通过目标设备保存系统paramas1；
[0013]目标设备生成随机数r2，针对随机数r2根据密钥衍生算法获取对称密钥k2，k2＝KDF(r2)，通过密钥生成中心KGC对对称密钥k2进行加密，获取加密后的对称密钥并根据目标设备ID计算对称密钥的申请参数，并将对称密钥的申请参数发送至密钥生成中心KGC；
[0014]其中，对称密钥的申请参数为：
[0015]密钥生成中心KGC收到对称密钥的申请参数后，验证对称密钥的申请参数的完整性，若通过验证，解密对称密钥得到并提取目标设备ID，并检测目标设备ID是否合法，若合法，计算目标设备身份公钥P
pub1
，P
pub1
＝H1(ID||T
v
)，其中，T
v
为设备有效期；
[0016]密钥生成中心KGC基于系统主密钥因子和安全参数，计算目标设备身份私钥将目标设备身份私钥用对称密钥k2加密后得到对私钥密文设备身份公钥P
pub1
和T
v
设备有效期签名，获取签名后信息并将发送至目标设备；
[0017]目标设备收到后，验证的签名信息，若通过验证，获取目标设备的身份公钥P
pub1
，采用对称密钥k2解密私钥密文信息后得到目标设备的身份私钥
[0018]可选的，目标设备与其他设备的加密密钥协商，包括：
[0019]将目标设备作为设备1，其他设备作为设备2，通过设备1将设备ID1和私钥有效期T
v1
发送至设备2，设备2收到设备ID1和私钥有效期T
v1
后，确定设备1的公钥，公钥
[0020]设备2将设备ID2和私钥有效期T
v2
发送至设备1，设备1收到设备ID2和私钥有效期T
v2
，确定设备2的公钥，公钥
[0021]设备1选取随机数r1,使用设备2的公钥加密随机数r1后得到密文M1，通过设备1私钥对M1签名后得到签名，签名S1＝H1(M1||r1)，将密文M1和S1发送给设备2；
[0022]设备2收到M1和S1后，解密M1得到并验证签名S1的合法性，若验证通过，选取随机数r2，使用设备1的公钥加密随机数r2后得到密文M2，通过设备2私钥对M2签名后得到签名，签名S2＝H1(M2||r2||r1)，将密文M2和S2发送给设备1；
[0023]设备1收M2和S2后，解密M2得到比较解密后r1是否与随机数r1的值是否相等，若相等，验证签名S2的合法性，若验证通过，得到通过密钥衍生算法得到主密钥
[0024]通过设备2的公钥加密随机数r2后得到密文将验证通过信息V
p
，密文M3，r1，r2签名后得到S3＝H1(V
p
||M3||r1||r2)，并将M3和S3发送给设备2；
[0025]设备2收到M3和S3发送后，解密M3得到比较解密后r2是否与随机数r2相等，若相等，验证签名S3的合法性，若验证通过，得到通过密钥衍生算法得到加密密钥
[0026]设备1与设备2通过加密密钥保护设备1与设备2间的信息交互，即完成电力物联网设备的轻量级接入认证。
[0027]本专利技术还提出了一种基于IBC体系的电力物联网设备轻量级接入认证系统，包括：
[0028]设备身份密钥对申请模块，用于对目标设备公私钥对密文的申请，包括：当目标设备生成密钥申请参数后，密钥生成中心KGC根据目标设备的唯一标识ID生成目标设备身份公私钥对，通过使用对称密钥加密后，将公私钥对密文传输至目标设备；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于IBC体系的电力物联网设备轻量级接入认证方法，所述方法包括：目标设备公私钥对密文的申请，包括：当目标设备生成密钥申请参数后，密钥生成中心KGC根据目标设备的唯一标识ID生成目标设备身份公私钥对，通过使用对称密钥加密后，将公私钥对密文传输至目标设备；目标设备与其他设备的加密密钥协商，包括:当目标设备与其他设备进行信息交互时，基于目标设备和其他设备的身份公私钥对，引入随机数协商主密钥，采用密钥衍生算法计算后生成数据加密密钥，即通过数据加密密钥接入认证。2.根据权利要求1所述的方法，所述目标设备公私钥对密文的申请，具体包括：目标设备先选择随机数r1且其中为循环群，的阶为q，并设置的一个安全单向的哈希函数根据r1、q、及目标设备ID，生成目标设备的身份密钥对申请参数paramas0＝{ID,r1,q,H(ID||r1)}，并将申请参数paramas0＝{ID,r1,q,H(ID||r1)}发送至密钥生成中心KGC；密钥生成中心KGC收到申请参数paramas0＝{ID,r1,q,H(ID||r1)}后，计算安全参数看k,将安全参数k输入到参数生成器中运算,生成系统参数paramas1；其中，其中，q是一个安全素数，G1为满足双线性映射性质的椭圆曲线上的q阶加法子群，G2为有限域上乘法群的q阶子群，为G1×
G1→
G2的双线性映射，n是明文数据长度，P是G1的任意生成元，即P∈G1，P
pub
是系统公钥，P
pub
＝ks
·
P，s是系统的主密钥因子，P
pub
和P
r
为系统公私钥对，H1,H2是系统哈希函数，其中，H1:{0,1}
*
→
G1，H2:{0,1}
n
→
G2；密钥生成中心KGC将系统参数paramas1发送至目标设备，并通过目标设备保存系统paramas1；目标设备生成随机数r2，针对随机数r2根据密钥衍生算法获取对称密钥k2，k2＝KDF(r2)，通过密钥生成中心KGC对对称密钥k2进行加密，获取加密后的对称密钥并根据目标设备ID计算对称密钥的申请参数，并将对称密钥的申请参数发送至密钥生成中心KGC；其中，对称密钥的申请参数为：密钥生成中心KGC收到对称密钥的申请参数后，验证对称密钥的申请参数的完整性，若通过验证，解密对称密钥得到并提取目标设备ID，并检测目标设备ID是否合法，若合法，计算目标设备身份公钥P
pub1
，P
pub1
＝H1(ID||T
v
)，其中，T
v
为设备有效期；密钥生成中心KGC基于系统主密钥因子和安全参数，计算目标设备身份私钥将目标设备身份私钥用对称密钥k2加密后得到对私钥密文设备身份公钥P
pub1
和T
v
设备有效期签名，获取签名后信息并将发送至目标设备；
目标设备收到后，验证的签名信息，若通过验证，获取目标设备的身份公钥P
pub1
，采用对称密钥k2解密私钥密文信息后得到目标设备的身份私钥3.根据权利要求1所述的方法，所述目标设备与其他设备的加密密钥协商，包括：将目标设备作为设备1，其他设备作为设备2，通过设备1将设备ID1和私钥有效期T
v1
发送至设备2，设备2收到设备ID1和私钥有效期T
v1
后，确定设备1的公钥，公钥设备2将设备ID2和私钥有效期T
v2
发送至设备1，设备1收到设备ID2和私钥有效期T
v2
，确定设备2的公钥，公钥设备1选取随机数r1,使用设备2的公钥加密随机数r1后得到密文M1，通过设备1私钥对M1签名后得到签名，签名S1＝H1(M1||r1)，将密文M1和S1发送给设备2；设备2收到M1和S1后，解密M1得到并验证签名S1的合法性，若验证通过，选取随机数r2，使用设备1的公钥加密随机数r2后得到密文M2，通过设备2私钥对M2签名后得到签名，签名S2＝H1(M2||r2||r1)，将密文M2和S2发送给设备1；设备1收M2和S2后，解密M2得到比较解密后r1是否与随机数r1的值是否相等，若相等，验证签名S2的合法性，若验证通过，得到通过密钥衍生算法得到主密钥通过设备2的公钥加密随机数r2后得到密文将验证通过信息V
p
，密文M3，r1，r2签名后得到S3＝H1(V
p
||M3||r1||r2)，并将M3和S3发送给设备2；设备2收到M3和S3发送后，解密M3得到比较解密后r2是否与随机数r2相等，若相等，验证签名S3的合法性，若验证通过，得到通过密钥衍生算法得到加密密钥设备1与设备2通过加密密钥保护设备1与设备2间的信息交互，即完成电力物联网设备的轻量级接入认证。4.一种基于IBC体系的电力物联网设备轻量...

【专利技术属性】
技术研发人员：付义伦，许海清，孙炜，赵兵，岑炜，翟峰，梁晓兵，曹永峰，刘鹰，李保丰，王晖南，刘佳易，许进，武文萍，徐萌，许斌，孔令达，冯云，冯占成，
申请(专利权)人：国家电网有限公司国网山西省电力公司营销服务中心，
类型：发明
国别省市：