本發明公開了一種用于電力物聯網感知終端輕量級身份認證的方法，步驟一，物聯終端向邊緣物聯代理發密文數據和簽名值，進入步驟二；步驟二，邊緣物聯代理解開密文數據并驗證簽名值，進入步驟三；步驟三，判斷邊緣物聯代理解開密文數據是否正確，判斷邊緣物聯代理驗證簽名值是否正確：若邊緣物聯代理解開密文數據正確并且邊緣物聯代理驗證簽名值正確的條件同時滿足則進入步驟四；若邊緣物聯代理解開密文數據不正確或邊緣物聯代理驗證簽名值不正確則邊緣物聯代理向終端發出告警并且進入步驟五，定義告警次數N，N為整數，N=N+L，L為不為0的常數。

技術領域

本發明涉及一種用于電力物聯網感知終端輕量級身份認證的方法，屬于身份認證技術領域。

背景技術

泛在電力物聯網是指任何時間、任何地點、任何人、任何物之間的信息連接和交互，它將電力用戶及其設備、電網企業及其設備、發電企業及其設備、供應商及其設備以及人和物連接起來，產生共享數據，為用戶、電網、發電、供應商和政府社會服務。

隨著泛在電力物聯網的建設與發展，邊緣計算逐漸應用于各類業務，業務橫向交互需求凸顯，安全邊界范圍不斷擴大、難以界定，以隔離為主的現有防護體系難以滿足物與物的廣泛互聯需求，傳統的基于數字證書的認證體系并不適用于計算資源受限的海量感知終端的接入身份認證，這將直接導致仿冒終端的非法接入，攻擊者以仿冒終端作為跳板，發起對電力業務主站系統的攻擊，造成不可估量的損失。因此，為解決上述問題，必須實現一種適合感知終端安全接入并且行之有效的輕量級身份認證機制。

常用的身份認證技術主要有三種，分別為基于口令認證、基于密碼學認證、基于生物或設備特征認證。其中，基于口令的認證方式簡單易用，也是常用的認證方式，但HTTP和TELNET等應用層協議均采用明文方式傳輸口令，容易被攻擊者竊聽，且通過字典及窮舉攻擊，攻擊者容易獲得口令，從而直接導致這種認證方式失效；基于密碼學的認證方式，主要有PKI、CPK及IBC，CPK即組合公鑰技術，IBC即標識密碼技術；基于生物或設備特征認證，主要借助于指紋、虹膜等獨一無二的特征對生物或設備進行鑒別，針對海量感知終端，設備指紋的獲取過于復雜且實施難度大。因此，應基于密碼學的認證方式，對海量感知終端進行身份鑒別，具體采用哪種密碼學認證方式，還需進一步研究。

PKI技術為實現網絡通信保密性、完整性和不可否認性提供一套完整、成熟可靠的解決方案，其基本實施步驟如下：（1）通信雙方向可信的CA申請數字證書，CA全名為Certificate Authority即頒發數字證書的機構；（2）CA給通信雙方簽發數字證書；（3）通信雙方基于數字證書及各自的私鑰通過非對稱密碼算法的數字簽名、驗簽等密碼服務實現雙向認證。

CPK技術將密鑰生產和密鑰管理結合起來，能夠實現數字簽名和密鑰交換，可以滿足超大規模信息網絡與非信息網絡中的標識鑒別、實體鑒別、數據保密需求，其基本實施步驟如下：（1）通信雙方向密鑰管理中心提供各自標識；（2）密鑰管理中心根據標識給通信雙方發放與其標識對應的公鑰和私鑰；（3）通信雙方基于對方的公鑰和自身的私鑰通過非對稱密碼算法的數字簽名、驗簽等密碼服務實現雙向認證。

IBC標識密碼技術：以用戶的標識信息如姓名、IP地址、電子郵箱地址、手機號碼等直接作為用戶公鑰，為用戶提供一套簡便的身份認證方案，其基本實施步驟如下：（1）通信雙方向密鑰生成中心提供各自標識；（2）密鑰生成中心根據標識給通信雙方發放與其標識對應的私鑰；（3）通信雙方基于對方的公鑰和自身的私鑰通過非對稱密碼算法的數字簽名、驗簽等密碼服務實現雙向認證。

從數字證書管理成本、算法運算效率及安全性等方面可以看出現有技術方案中的PKI技術及CPK技術應用到物聯網業務時將存在不足之處。