一种进行标识信息传输的安全认证方法和系统技术方案

本发明专利技术专利申请提供了一种进行标识信息传输的安全认证方法和系统，包括：标识应用层通过标识解析网络域建立与连接设备之间的数据连接关系；标识应用层将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；所述验证数据由连接设备基于连接设备密文生成；本发明专利技术专利申请通过共享密钥对标识应用层和连接设备进行认证，与传统的托管密钥相比，本发明专利技术专利申请所提的共享密钥更加轻量级，更适合各层之间的高效通信，管理方面也相对简单

【技术实现步骤摘要】
一种进行标识信息传输的安全认证方法和系统


[0001]本专利技术专利申请属于电力系统需求侧互动
，具体涉及一种进行标识信息传输的安全认证方法和系统
。

技术介绍

[0002]工业互联网标识解析系统通过构建人
、
机
、
物全面互联的基础设施，可以实现工业设计
、
研发
、
生产
、
销售
、
服务等产业要素的全面互联，提升协作效率，对促进工业数据的开放流动
、
聚合并推动工业资源的优化集成与自由调度
、
支撑工业集成创新应用具有重要意义
。
[0003]目前工业互联网标识已经形成了一个相对完整的框架体系，包括基础标准
、
编码标准
、
标识标准
、
解析标准和应用标准五个部分，层次清晰
、
结构完整，其二级节点总体架构主要分为四个层次，即接入层
、
标识层
、
管理层和应用层，同时各层应采取必要的安全保障措施
。
接入层实现各类电力用户的异构通信接入，为实现不同行业不同类型设备的负荷数据规范化接入管理，构建统一接口架构与
DSR
的统一数据模型
。
在标识层，主要为企业节点用户提供表示注册
、
标识解析
、
标示查询等服务
。
管理层的作用是对标识编码
、
标识技术标准等进行规范管理
。
应用层则是利用标识解析体系开展一系列电力供需互动标识数据服务，如需求响应
、
新能源消纳
、
多能协同
、
能效分析等
。
[0004]目前，传统的认证方式是托管密钥进行的认证，需要进行大量复杂的计算和处理之后才能得到密钥，效率速度上非常缓慢
。

技术实现思路

[0005]为克服上述现有技术的不足，本专利技术专利申请提出了一种进行标识信息传输的安全认证方法，包括：
[0006]标识应用层通过标识解析网络域建立与连接设备之间的数据连接关系；
[0007]标识应用层将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；
[0008]所述验证数据由连接设备基于连接设备密文生成
。
[0009]作为优选的，所述验证数据包括：标识应用层密文和标识应用层认证摘要
。
[0010]作为优选的，所述对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证，包括：
[0011]标识应用层对验证数据中的标识应用层认证摘要进行解析得到共享密钥并对其进行验证；
[0012]标识应用层对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要发送至连接设备完成共享密钥的认证；
[0013]所述标识应用层认证摘要由连接设备基于共享密钥和标识应用层待认证消息生
成；所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成
。
[0014]作为优选的，所述对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要，包括：
[0015]标识应用层解析标识应用层密文得到连接设备一次性号码和连接设备身份；
[0016]标识应用层基于连接设备一次性号码和连接设备身份，结合自身身份生成连接设备待认证消息；
[0017]标识应用层基于连接设备待认证消息和验证后的共享密钥生成连接设备认证摘要
。
[0018]作为优选的，所述连接设备认证摘要，通过以下式子进行计算：
[0019]S2＝
HMAC(k
BA
,M2)
[0020]式中，
S2为连接设备认证摘要；
k
BA
为共享密钥；
M2为连接设备待认证消息；
HMAC(
…
)
为哈希函数
。
[0021]作为优选的，所述连接设备密文的生成，包括：
[0022]标识应用层基于自身的消息计数器和初始随机值生成标识应用层一次性号码，结合自身身份创建连接设备密文
。
[0023]作为优选的，所述标识应用层一次性号码，通过以下式子进行计算：
[0024]nonce
A
＝
Counter||IV
[0025]式中，
nonce
A
为标识应用层一次性号码；
Counter
为消息计数器；
IV
为初始随机值；
[0026]所述连接设备密文，通过以下式子进行计算：
[0027]C4＝
E
AB
(ID
A
|nonce
A
)
[0028]式中，
C4为连接设备密文；
ID
A
为标识应用层身份；
E
AB
(
…
)
为第二加密函数
。
[0029]基于同一专利技术构思，本专利技术专利申请还提出了一种进行标识信息传输的安全认证系统，包括：
[0030]标识应用层连接建立模块，用于通过标识解析网络域建立与连接设备之间的数据连接关系；
[0031]标识应用层共享密钥认证模块，用于将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；
[0032]所述验证数据由连接设备基于连接设备密文生成
。
[0033]作为优选的，所述标识应用层共享密钥认证模块中的验证数据包括：标识应用层密文和标识应用层认证摘要
。
[0034]作为优选的，所述标识应用层共享密钥认证模块对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证，包括：
[0035]标识应用层对验证数据中的标识应用层认证摘要进行解析得到共享密钥并对其进行验证；
[0036]标识应用层对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要发送至连接设备完成共享密钥的认证；
[0037]所述标识应用层认证摘要由连接设备基于共享密钥和标识应用层待认证消息生
成；所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成
。
[0038]作为优选的，所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种进行标识信息传输的安全认证方法，其特征在于，包括：标识应用层通过标识解析网络域建立与连接设备之间的数据连接关系；标识应用层将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；所述验证数据由连接设备基于连接设备密文生成
。2.
如权利要求1所述的方法，其特征在于，所述验证数据包括：标识应用层密文和标识应用层认证摘要
。3.
如权利要求2所述的方法，其特征在于，所述对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证，包括：标识应用层对验证数据中的标识应用层认证摘要进行解析得到共享密钥并对其进行验证；标识应用层对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要发送至连接设备完成共享密钥的认证；所述标识应用层认证摘要由连接设备基于共享密钥和标识应用层待认证消息生成；所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成
。4.
如权利要求3所述的方法，其特征在于，所述标识应用层对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要，包括：标识应用层解析标识应用层密文得到连接设备一次性号码和连接设备身份；标识应用层基于连接设备一次性号码和连接设备身份，结合自身身份生成连接设备待认证消息；标识应用层基于连接设备待认证消息和验证后的共享密钥生成连接设备认证摘要
。5.
如权利要求4所述的方法，其特征在于，所述连接设备认证摘要，通过以下式子进行计算：
S2＝
HMAC(k
BA
,M2)
式中，
S2为连接设备认证摘要；
k
BA
为共享密钥；
M2为连接设备待认证消息；
HMAC(
…
)
为哈希函数
。6.
如权利要求1所述的方法，其特征在于，所述连接设备密文的生成，包括：标识应用层基于自身的消息计数器和初始随机值生成标识应用层一次性号码，结合自身身份创建连接设备密文
。7.
如权利要求6所述的方法，其特征在于，所述标识应用层一次性号码，通过以下式子进行计算：
nonce
A
＝
Counter||IV
式中，
nonce
A
为标识应用层一次性号码；
Counter
为消息计数器；
IV
为初始随机值；所述连接设备密文，通过以下式子进行计算：
C4＝
E
AB
(ID
A
|nonce
A
)
式中，
C4为连接设备密文；
ID
A
为标识应用层身份；
E
AB
(
…
)
为第二加密函数
。8.
一种进行标识信息传输的安全认证系统，其特征在于，包括：
标识应用层连接建立模块，用于通过标识解析网络域建立与连接设备之间的数据连接关系；标识应用层共享密钥认证模块，用于将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；所述验证数据由连接设备基于连接设备密文生成
。9.
如权利要求8所述的系统，其特征在于，所述标识应用层共享密钥认证模块中的验证数据包括：标识应用层密文和标识应用层认证摘要
。10.
如权利要求9所述的系统，其特征在于，所述标识应用层共享密钥认证模块对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证，包括：标识应用层对验证数据中的标识应用层认证摘要进行解析得到共享密钥并对其进行验证；标识应用层对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要发送至连接设备完成共享密钥的认证；所述标识应用层认证摘要由连接设备基于共享密钥和标识应用层待认证消息生成；所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成
。11.
如权利要求
10
所述的系统，其特征在于，所述标识应用层共享密钥认证模块对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要，包括：标识应用层解析标识应用层密文得到连接设备一次性号码和连接设备身份；标识应用层基于连接设备一次性号码和连接设备身份，结合自身身份生成连接设备待认证消息；标识应用层基于连接设备待认证消息和验证后的共享密钥生成连接设备认证摘要
。12.
如权利要求
11
所述的系统，其特征在于，所述标识应用层共享密钥认证模块中连接设备认证摘要，通过以下式子进行计算：
S2＝
HMAC(k
BA
,M2)
式中，
S2为连接设备认证摘要；
k
BA
为共享密钥；
M2为连接设备待认证消息；
HMAC(
…
)
为哈希函数
。13.
如权利要求8所述的系统，其特征在于，所述标识应用层共享密钥认证模块中连接设备密文的生成，包括：标识应用层基于自身的消息计数器和初始随机值生成标识应用层一次性号码，结合自身身份创建连接设备密文
。14.
如权利要求
13
所述的系统，其特征在于，所述标识应用层共享密钥认证模块中标识应用层一次性号码，通过以下式子进行计算：
nonce
A
＝
Counter||IV
式中，
nonce
A
为标识应用层一次性号码；
Counter
为消息计数器；
IV
为初...

【专利技术属性】
技术研发人员：宫飞翔，祝俊龙，赵立业，石坤，龚桃荣，徐玉婷，陈宋宋，王忠东，杨斌，阮文骏，周颖，张洪志，黄伟，王舒杨，王京菊，
申请(专利权)人：国网江苏省电力有限公司国家电网有限公司，
类型：发明
国别省市：