电力物联网轻量级身份认证方法技术

本申请涉及密码安全技术领域，实施例提供了一种电力物联网轻量级身份认证方法

【技术实现步骤摘要】
电力物联网轻量级身份认证方法、装置及电子设备


[0001]本申请涉及密码安全
，具体地涉及一种电力物联网轻量级身份认证方法
、
一种电力物联网轻量级身份认证装置
、
一种电子设备以及对应的存储介质
。

技术介绍

[0002]现有的基于
SM2
算法的
PKI
认证协议，由公钥和私钥形成一个密钥对，其中公钥向公众公开，私钥归密钥持有人单独保管
。
通讯双方使用非对称密钥对数据进行加密和解密时，必须使用相互匹配的公钥和私钥
。
它有两种方式：一种是发送方用接收方的公钥来加密信息，接收方用其私钥解密信息，这样接收方可以收到多个发送方传来的加密数据，且此加密数据只有接收方一个用户可以解读；另一种即发送方利用自身的私钥加密信息，接收方用对方公钥解密信息，这样一个信息有可能被多个接收方解密
。
[0003]现有的基于
SM2
算法的身份认证协议，当网络规模较大时，面临密码分发
、
密钥管理等可扩展问题；终端密钥泄露，将会导致与该终端共享密钥的所有其他终端面临通信安全问题在数字证书创建
、
分发
、
注销等过程中，面临数字证书体积大，认证时带宽
、
功耗要求高等问题，由于物联终端计算能力有限，该密码体系需要通过数字证书绑定公钥与身份，应用在物联网环境下海量终端的身份认证场景，存在证书管理成本与密钥分发管理成本较高的问题
。

技术实现思路

[0004]本申请实施例的目的是提供一种电力物联网轻量级身份认证方法
、
装置及电子设备，基于
SM9
算法身份标识的密码技术
(Identity
‑
based Cryptography
，
IBC)
，以终端身份标识作为公钥，基于标识密码算法，通过设计面向电力物联网终端的轻量级密钥管理方案，可保障底层终端通信的安全性，以至少解决
技术介绍
中的部分问题
。
[0005]为了实现上述目的，在本申请中提供了一种电力物联网轻量级身份认证方法，应用于融合终端，所述融合终端与物联终端
、
主站业务系统相连，该方法包括：接收所述物联终端的身份认证请求，所述身份认证请求包括设备业务标识
、
时间戳和经业务密钥加密的时间戳；基于所述身份认证请求中的设备业务标识生成设备公钥，并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致；在验证一致的情况下，接收所述物联终端的上报数据请求，所述上报数据请求包括设备业务标识
、
上报数据和经业务密钥加密的上报数据；基于所述上报数据请求中的设备业务标识生成设备公钥，在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时，将所述上报数据转发至所述主站业务系统
。
[0006]优选地，所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成，所述密码安全模块为轻量级密码软模块或安全元件芯片
。
[0007]优选地，所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识：密钥离线分发装置获取所述物联终端的设备序列号，并将所述设备序列号转发至密码服务平
台；接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识；在所述物联终端的生产过程中，将所述业务密钥和设备业务标识配置至所述物联终端
。
[0008]优选地，所述密码服务平台通过调用标识管理模块生成所述设备业务标识；所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机，得到所述业务密钥
。
[0009]优选地，所述轻量级密码微服务被配置为提供以下服务中的至少一者：设备管理
、
密钥管理
、
安全策略管理
、
设备监测
、
密码运算接口和设备行为审计
。
[0010]优选地，所述密钥离线分发装置
、
所述密码服务平台和所述轻量级密码机为分离设置
。
[0011]本申请还提供了一种电力物联网轻量级身份认证装置，应用于融合终端，所述融合终端与物联终端
、
主站业务系统相连，该装置包括：认证接收模块，用于接收所述物联终端的身份认证请求，所述身份认证请求包括设备业务标识
、
时间戳和经业务密钥加密的时间戳；数据验证模块，用于基于所述身份认证请求中的设备业务标识生成设备公钥，并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致；数据接收模块，用于在验证一致的情况下，接收所述物联终端的上报数据请求，所述上报数据请求包括设备业务标识
、
上报数据和经业务密钥加密的上报数据；以及数据转发模块，基于所述上报数据请求中的设备业务标识生成设备公钥，在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时，将所述上报数据转发至所述主站业务系统
。
[0012]优选地，所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成，所述密码安全模块为轻量级密码软模块或安全元件芯片
。
[0013]优选地，所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识：密钥离线分发装置获取所述物联终端的设备序列号，并将所述设备序列号转发至密码服务平台；接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识；在所述物联终端的生产过程中，将所述业务密钥和设备业务标识配置至所述物联终端
。
[0014]优选地，所述密码服务平台通过调用标识管理模块生成所述设备业务标识；所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机，得到所述业务密钥
。
[0015]优选地，所述轻量级密码微服务被配置为提供以下服务中的至少一者：设备管理
、
密钥管理
、
安全策略管理
、
设备监测
、
密码运算接口和设备行为审计
。
[0016]优选地，所述密钥离线分发装置
、
所述密码服务平台和所述轻量级密码机为分离设置
。
[0017]在本申请中还提供了一种电子设备，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现前述的电力物联网轻量级身份认证方法的步骤
。
[0018]在本申请中还提供了一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成执行实现前述的电力物联网轻量级身份认证方法的步骤
。
[0019]在本申请中还提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种电力物联网轻量级身份认证方法，其特征在于，应用于融合终端，所述融合终端与物联终端
、
主站业务系统相连，该方法包括：接收所述物联终端的身份认证请求，所述身份认证请求包括设备业务标识
、
时间戳和经业务密钥加密的时间戳；基于所述身份认证请求中的设备业务标识生成设备公钥，并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致；在验证一致的情况下，接收所述物联终端的上报数据请求，所述上报数据请求包括设备业务标识
、
上报数据和经业务密钥加密的上报数据；基于所述上报数据请求中的设备业务标识生成设备公钥，在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时，将所述上报数据转发至所述主站业务系统
。2.
根据权利要求1所述的方法，其特征在于，所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成，所述密码安全模块为轻量级密码软模块或安全元件芯片
。3.
根据权利要求1所述的方法，其特征在于，所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识：密钥离线分发装置获取所述物联终端的设备序列号，并将所述设备序列号转发至密码服务平台；接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识；在所述物联终端的生产过程中，将所述业务密钥和设备业务标识配置至所述物联终端
。4.
根据权利要求3所述的方法，其特征在于，所述密码服务平台通过调用标识管理模块生成所述设备业务标识；所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机，得到所述业务密钥
。5.
根据权利要求4所述的方法，其特征在于，所述轻量级密码微服务被配置为提供以下服务中的至少一者：设备管理
、
密钥管理
、
安全策略管理
、
设备监测
、
密码运算接口和设备行为审计
。6.
根据权利要求4所述的方法，其特征在于，所述密钥离线分发装置
、
所述密码服务平台和所述轻量级密码机为分离设置
。7.
一种电力物联网轻量级身份认证装置，其特征在于，应用于融合终端，所述融合终端与物联终端
、
主站业务系统相连，该装置包括：认证接收模块，用于接收所述物联终端的身份认证请求，所述身份认证请求包括设备业务标识
、
时间戳和经业务密钥加密的时间戳；数据验证模块，用于基于所述身...

【专利技术属性】
技术研发人员：王辉，李延，袁艳芳，张彦杰，翟峰，冯云，张磊，李明，张亮，
申请(专利权)人：国网安徽省电力有限公司信息通信分公司国网安徽省电力有限公司中国电力科学研究院有限公司国家电网有限公司，
类型：发明
国别省市：