【技术实现步骤摘要】
本专利技术属于安全认证,特别涉及一种基于改进eap-tls协议的智能变电站终端安全认证方法及系统。
技术介绍
1、由于电力通信网络正在经历即将到来的网络部署,电力行业提出了“智能电网”中“感知、传输、感知”的“物联网”方案,以提高电网运营管理水平。变电站巡检机器人系统、智能变电站物联网智能监控系统是智能电网的重要组成部分,是保证电网安全运行的重要手段。虽然基于技术的终端智能互联等可以促进智能变电站的建设,但针对这些设备的攻击和攻击呈指数级增长。为电力行业带来了更多元化的服务,同时也给智能终端的隐私保护带来了更大的挑战。隐私可以分为三类:数据、位置和身份隐私。eap(extensibleauthentication protocol,扩展认证协议)认证体系结构中的认证协议虽然保护了终端数据的安全性,但并不一定能保证终端身份隐私不被泄露。终端信息的泄露会导致攻击者发动恶意攻击。攻击者能将智能终端的身份信息与位置信息关联起来,并通过保持一个因素不变来确定另一个因素。eap-tls协议是一种基于数字证书的身份认证协议,能够保证身份的真实性和用户数据的安全性。但是在这个协议交换数字证书之前,终端的身份是以明文形式传输的。在不安全的网络信道上,很容易被主动或被动的攻击者截获,从而暴露终端的身份信息。这样一旦某一智能终端想要对某一不安全现象进行报警时,可能提前被恶意攻击者控制,造成威胁漏报,进而使得智能变电站陷入紊乱,严重影响电网的安全性。
2、在eap-tls协议的认证过程中,用户的身份以纯文本的形式直接发送到认证服务器。该标识
技术实现思路
1、本专利技术的目的在于提供一种基于改进eap-tls协议的智能变电站终端安全认证方法及系统,以解决目前eap-tls协议的认证过程中,终端身份容易泄露的技术问题。
2、为了实现上述目的,本专利技术财用如下技术方案:
3、第一方面,本专利技术提供一种基于改进eap-tls协议的智能变电站终端安全认证方法,包括:
4、电力终端发送请求信息给身份验证器以启动身份验证;
5、身份验证器从电力终端请求用户的身份;
6、电力终端使用标识identify、分组gid和预先生成的随机数ru作为输入,执行哈希操作获得身份验证码m0;电力终端将随机数ru、分组gid和身份验证码m0被发送到身份验证器;
7、身份验证器将随机数ru、分组gid和身份验证码m0封装到radius-access-request数据包中,并将封装好的radius-access-request数据包发送到radius服务器;
8、radius服务器接收到来自身份验证器的radius-access-request数据包后,通过分组gid确定电力终端的组,找到分组gid对应组中每个电力终端的标识yk,并使用ru、identifyk和gid逐一计算每个电力终端的身份验证码mk;然后比较m0和mk是否相等,如果相等确认电力终端的真实身份,停止查询组中的其他用户,radius服务器执行后续的身份验证和密钥协商过程;如果搜索gid对应组中的所有用户,并且m0和mk不相等,则停止后续的身份验证过程。
9、本专利技术进一步的改进在于:所述身份验证码m0的计算公式为:
10、m0=hash(ru||identify||gid) (1)
11、其中||是字符串串联。
12、本专利技术进一步的改进在于:身份验证码mk的计算公式为:
13、mk=hash(ru||identifyk||gid) (2)
14、其中||是字符串串联。
15、本专利技术进一步的改进在于:采用sha-1算法计算身份验证码m0和身份验证码mk的哈希值。
16、第二方面,本专利技术提供一种基于改进eap-tls协议的智能变电站终端安全认证方法,包括:
17、电力终端发送请求信息给身份验证器以启动身份验证;
18、电力终端接收身份验证器请求用户身份的信息;
19、电力终端使用标识identify、分组gid和预先生成的随机数ru作为输入,执行哈希操作获得身份验证码m0;电力终端将随机数ru、分组gid和身份验证码m0被发送到身份验证器;
20、电力终端接收radius服务器发送的身份验证通过信息,进行身份验证和密钥协商;或者电力终端接收radius服务器发送的身份验证不通过信息,停止进行身份验证和密钥协商。
21、其中,radius服务器接收到来自身份验证器的radius-access-request数据包,通过分组gid确定电力终端的组,找到分组gid对应组中每个电力终端的标识yk,并使用ru、identifyk和gid逐一计算每个电力终端的身份验证码mk;然后比较m0和mk是否相等,如果相等确认电力终端的真实身份,停止查询组中的其他用户,radius服务器向电力终端发送的身份验证通过信息;如果搜索gid对应组中的所有用户,并且m0和mk不相等,radius服务器向电力终端发送的身份验证不通过信息;所述radius-access-request数据包由随机数ru、分组gid和身份验证码m0封装获得。
22、本专利技术进一步的改进在于:所述身份验证码m0的计算公式为:
23、m0=hash(ru||identify||gid) (1)
24、其中||是字符串串联。
25、本专利技术进一步的改进在于:身份验证码mk的计算公式为:
26、mk=hash(ru||identifyk||gid) (2)
27、其中||是字符串串联。
28、本专利技术进一步的改进在于:采用sha-1算法计算身份验证码m0和身份验证码mk的哈希值。
29、第三方面,本专利技术提供一种基于改进eap-tls协议的智能变电站终端安全认证系统,包括:
30、电力终端,用于向身份验证器发送请求信息给以启动身份验证;收到身份验证器请求用户身份的信息后,使用标识identify、分组gid和预先生成的随机数ru作为输入,执行哈希操作获得身份验证码m0;电力终端将随机数ru、分组gid和身份验证码m0被发送到身份验证器;
31、身份验证器,用于在收到电力终端的请求信息后请求用户身份的信息给电力终端;收到电力终端发送的随机数ru、分组gid和身份验证码m0后,将随机数ru、分组gid和身份验证码m0封装到radius-access-request数据包中,并将封装好的radius-access-request数据包发送到radius服务器;
32、radius服务器,用于接收到来自身份验证器的radius-access-request数据包后,通过分组gid确定电力终端的组,找到分组gid对应组中每个电力终本文档来自技高网...
【技术保护点】
1.基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,包括:
2.根据权利要求1所述的基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,所述身份验证码M0的计算公式为:
3.根据权利要求1所述的基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,身份验证码Mk的计算公式为:
4.根据权利要求1所述的基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,采用SHA-1算法计算身份验证码M0和身份验证码Mk的哈希值。
5.基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,包括:
6.根据权利要求5所述的基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,所述身份验证码M0的计算公式为:
7.根据权利要求5所述的基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,身份验证码Mk的计算公式为:
8.根据权利要求5所述的基于改进EAP-TLS协议的智能变电站终端安全认证方法,其特征在于,采用S
9.基于改进EAP-TLS协议的智能变电站终端安全认证系统,其特征在于,包括:
10.根据权利要求9所述的基于改进EAP-TLS协议的智能变电站终端安全认证系统,其特征在于,所述身份验证码M0的计算公式为:
...【技术特征摘要】
1.基于改进eap-tls协议的智能变电站终端安全认证方法,其特征在于,包括:
2.根据权利要求1所述的基于改进eap-tls协议的智能变电站终端安全认证方法,其特征在于,所述身份验证码m0的计算公式为:
3.根据权利要求1所述的基于改进eap-tls协议的智能变电站终端安全认证方法,其特征在于,身份验证码mk的计算公式为:
4.根据权利要求1所述的基于改进eap-tls协议的智能变电站终端安全认证方法,其特征在于,采用sha-1算法计算身份验证码m0和身份验证码mk的哈希值。
5.基于改进eap-tls协议的智能变电站终端安全认证方法,其特征在于,包括:
6.根据权利要求5...
【专利技术属性】
技术研发人员:曹靖怡,周劼英,胡柏吉,蔺子卿,朱亚运,张晓娟,
申请(专利权)人:中国电力科学研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。