一种电力物联网中云边端协同双重认证的终端认证方法技术

一种电力物联网中云边端协同双重认证的终端认证方法，所述方法使用终端身份基本信息与终端身份补充信息共同构成终端身份信息；第一重认证发生在终端与边缘物联代理之间，基于密钥规则集和密钥属性组动态产生加密密钥，由边缘物联代理指定密钥规则，通过对称加密方式对身份信息的签名，实现边缘代理对终端的认证；第二重认证发生在终端、边缘物联代理与云端之间，采用非对称加密方式验证终端、边缘物联代理的身份，并通过云端添加随机选择的终端身份信息属性，使得终端获得真实的边缘物理代理认证结果，在云端的辅助下实现终端与边缘物联代理的相互认证。联代理的相互认证。联代理的相互认证。

【技术实现步骤摘要】
一种电力物联网中云边端协同双重认证的终端认证方法


[0001]本专利技术涉及一种电力物联网中云边端协同双重认证的终端认证方法，属电力物联网


技术介绍

[0002]2015年乌克兰电网事件使人深刻认识到了网络攻击对于电网的危害性。在电网智能化管理的发展趋势下，电网变得越来越开放互连，越来越多的终端加入到电网中完成数据采集、设备监测、数据分析等任务，为避免不可信终端对电网造成危害，海量终端的认证成为电网需要面对的问题。
[0003]现有终端认证的方法主要是采用分区隔离、分区认证，利用设备基本身份信息进行认证，存在设备伪造的风险；引入第三方认证中心机构进行认证，存在第三方认证中心机构多而难以管理的问题；分析设备的数据流等特征，根据设备特征进行认证，存在设备数据流特征难分析难判断的问题。
[0004]同时，随着电力海量数据存储、分析需要，云边端结构的电力物联网成为电网进一步提升智能化水平的趋势。边缘物联代理将成为终端与云端的桥梁，电力物联网架构下需增强终端、边缘物联代理相互认证的有效手段。

技术实现思路

[0005]本专利技术所要解决的技术问题是，针对现有电力物联网中云边端架构中的终端认证存在的风险问题，提出一种电力物联网中云边端协同双重认证的终端认证方法。
[0006]本专利技术实现的技术方案如下，一种电力物联网中云边端协同双重认证的终端认证方法，所述方法使用终端身份基本信息与终端身份补充信息共同构成终端身份信息；第一重认证发生在终端与边缘物联代理之间，基于密钥规则集和密钥属性组动态产生加密密钥，由边缘物联代理指定密钥规则，通过对称加密方式对身份信息的签名，实现边缘代理对终端的认证；第二重认证发生在终端、边缘物联代理与云端之间，采用非对称加密方式验证终端、边缘物联代理的身份，并通过云端添加随机选择的终端身份信息属性，使得终端获得真实的边缘物理代理认证结果，在云端的辅助下实现终端与边缘物联代理的相互认证。
[0007]所述使用终端身份基本信息与终端身份补充信息共同构成终端身份信息的过程为：通过软件收集标签、IP地址、MAC地址作为终端的身份基本信息；同时，每个终端随机生成x份长度为y的字符串，作为终端的身份补充信息，终端的身份基本信息和补充信息构成终端身份信息，并采用与边缘物联代理协商一致的格式组织身份信息，并采用加密的方式发给边缘物联代理。
[0008]所述终端身份信息，由边缘物联代理结合终端身份信息情况对终端进行分类，同一分类中终端身份信息的特征向量的构成相同，每个特征向量的分量所代表的含义相同、取值范围相同，边缘物联代理以密文的形式维持着所辖终端身份信息表。
[0009]所述密钥规则集，由边缘物联代理为每个分类制定密钥规则集，并将该分类所对
应的身份特征向量作为密钥属性组。
[0010]所述边缘物联代理指定密钥规则，当边缘物联代理对终端发起签名认证时，根据终端所对应的分类，查找其对应密钥规则集，随机选取其中一个密钥规则，并将密钥规则发送给终端。
[0011]所述对称加密方式对身份信息的签名过程为，终端依据收到的密钥规则对密钥属性组进行运算生产密钥，并对终端身份信息使用密钥采用加密算法进行加密运算，产生密文并发送给边缘物联代理。
[0012]所述边缘代理对终端的认证过程为，边缘物联代理收到终端发过来的密文后，依据所选密钥规则对相应的密钥属性组进行运算生产密钥，利用密钥解密密文，将得到的信息与终端身份信息进行比对，若包含终端正确的身份信息，则终端身份认证成功，否则终端身份认证失败。
[0013]所述采用非对称加密方式验证终端、边缘物联代理的身份的具体过程为：
[0014](1)从所有终端中选择部分终端作为认证的参与方，所选终端从各自的身份信息中随机选择某一个属性作为各自的明文，分别采用云端公钥和各自私钥进行两次加密得到密文，并各自将密文发给边缘物联代理；
[0015](2)边缘物联代理将收到的密文进行连接得到终端密文合集，并附上边缘物联代理的身份信息中的某一个属性，分别使用自己的私钥和云端的公钥加密终端密文合集和边缘物联代理的身份信息的属性，将密文发给云端；
[0016](3)云端使用自身的私钥和边缘物联代理的公钥解密收到的密文，核对密文中包含的边缘物联代理的属性信息，得到边缘物联代理的认证结果，进一步用各个终端的公钥和云端的私钥解密密文，得到各个终端身份信息的属性，核对属性信息得到终端的认证结果。
[0017](4)云端将终端的结果反馈给边缘物联代理，将边缘物联代理的结果反馈给参与的终端。
[0018]所述云端将终端的结果反馈给边缘物联代理，将边缘物联代理的结果反馈给参与的终端，具体过程为：
[0019](1)云端使用边缘物联代理的加密各个终端的认证结果，将密文发给边缘物联代理；
[0020](2)边缘物联代理收到密文后，使用自身的私钥解密得到各个参与方终端的认证结果；
[0021](3)云端为各个终端随机选择一个身份信息属性，并给出身份属性信息在身份信息中的位置，使用各终端公钥分别加密验证结果、身份信息属性和身份信息属性的位置，将各个终端的密文信息连接起来，使用边缘物联代理的公钥加密连接起来的终端的密文信息，并将密文发送给边缘物联代理；
[0022](4)边缘物联代理使用自身的私钥解密收到的密文，然后分解解密后的密文，分别发送给对应的终端；
[0023](5)各个终端分别使用各自的私钥解密收到的密文，查看密文中所包含的边缘物联代理的身份认证结果，核对密文中所包含的自身的身份信息的属性及其位置。
[0024]本专利技术的有益效果在于，本专利技术对终端身份补充信息，随机生成x个长度为y的字
符串作为终端身份补充信息，扩大了终端身份信息的信息量，大大增加了攻击者猜测终端身份信息的难度，也为利用终端身份信息进行认证提供了更多的信息，有利于提高认证的可靠度。本专利技术关于双重身份认证，针对电力物联网云边端架构，在没有云端的参与下，实现了边缘物联代理对各终端的身份认证，在云端的参与下，实现了边缘物联代理与多终端的身份认证。
[0025]本专利技术关于边缘物联代理指定密钥规则，在边缘物联代理制定为不同终端制定密钥规则集的基础上，通过随机指定的密钥规则动态生成密钥，增加了密钥猜测的难度；本专利技术在云端向终端反馈边缘物联代理认证结果时，引入为终端选定的身份信息属性，避免了边缘物联代理伪造认证结果。
附图说明
[0026]图1为一种电力物联网中云边端协同双重认证的终端认证方法示意图；
[0027]图2为本专利技术边缘物联代理对终端认证的过程示意图；
[0028]图3为云端参与下的边缘物联代理与多个终端之间相互认证的过程示意图。
具体实施方式
[0029]本实施例一种云边端协同双重认证的终端认证方法，在具体实施过程分为两大部分。
[0030]如图1所示，第一重认证为终端与边缘物联代理进行的单独认证，第二重认证为云端参与下终端与边缘物联代本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力物联网中云边端协同双重认证的终端认证方法，其特征在于，所述方法使用终端身份基本信息与终端身份补充信息共同构成终端身份信息；第一重认证发生在终端与边缘物联代理之间，基于密钥规则集和密钥属性组动态产生加密密钥，由边缘物联代理指定密钥规则，通过对称加密方式对身份信息的签名，实现边缘代理对终端的认证；第二重认证发生在终端、边缘物联代理与云端之间，采用非对称加密方式验证终端、边缘物联代理的身份，并通过云端添加随机选择的终端身份信息属性，使得终端获得真实的边缘物理代理认证结果，在云端的辅助下实现终端与边缘物联代理的相互认证。2.根据权利要求1所述的一种电力物联网中云边端协同双重认证的终端认证方法，其特征在于，所述使用终端身份基本信息与终端身份补充信息共同构成终端身份信息的过程为：通过软件收集标签、IP地址、MAC地址作为终端的身份基本信息；同时，每个终端随机生成x份长度为y的字符串，作为终端的身份补充信息，终端的身份基本信息和补充信息构成终端身份信息，并采用与边缘物联代理协商一致的格式组织身份信息，并采用加密的方式发给边缘物联代理。3.根据权利要求1所述的一种电力物联网中云边端协同双重认证的终端认证方法，其特征在于，所述终端身份信息，由边缘物联代理结合终端身份信息情况对终端进行分类，同一分类中终端身份信息的特征向量的构成相同，每个特征向量的分量所代表的含义相同、取值范围相同，边缘物联代理以密文的形式维持着所辖终端身份信息表。4.根据权利要求1所述的一种电力物联网中云边端协同双重认证的终端认证方法，其特征在于，所述密钥规则集，由边缘物联代理为每个分类制定密钥规则集，并将该分类所对应的身份特征向量作为密钥属性组。5.根据权利要求1所述的一种电力物联网中云边端协同双重认证的终端认证方法，其特征在于，所述边缘物联代理指定密钥规则，当边缘物联代理对终端发起签名认证时，根据终端所对应的分类，查找其对应密钥规则集，随机选取其中一个密钥规则，并将密钥规则发送给终端。6.根据权利要求1所述的一种电力物联网中云边端协同双重认证的终端认证方法，其特征在于，所述对称加密方式对身份信息的签名过程为，终端依据收到的密钥规则对密钥属性组进行运算生产密钥，并对终端身份信息使用密钥采用加密算法进行加密运算，产生密文并发送给边缘物联代理。7.根据权利要求1所述的一种电力物联网中云...

【专利技术属性】
技术研发人员：杨浩，肖勇才，徐健，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：