本發(fā)明的目的是提供一種基于IBC標識密碼的身份認證方法和系統，系統包括感知層終端、邊緣物聯代理和密鑰生成中心；密鑰生成中心根據邊緣物聯代理發(fā)出的注冊請求信息生成邊緣物聯代理的IBC密鑰；感知層終端在上線時向密鑰生成中心發(fā)送注冊報文；密鑰生成中心根據注冊報文生成感知層終端用戶的私鑰中間值，發(fā)送給相應感知層終端；感知層終端根據私鑰中間值計算本地IBC私鑰；感知層終端與邊緣物聯代理基于各自IBC私鑰進行通信前的身份認證和密鑰協商，利用所得對稱密鑰進行數據通信加密。本發(fā)明能夠實現物聯網設備的可信接入和數據安全傳輸，加強物聯網感知層的安全防護能力，同時減少設備之間的通信和存儲開銷。

技術領域

本發(fā)明涉及電力物聯網終端通信技術領域，特別是一種能夠適用于電力物聯網海量終端，基于IBC標識密碼的輕量級身份認證方法和系統。

背景技術

隨著電力物聯網建設的推進，物聯網終端設備呈現規(guī)模龐大、結構復雜、種類多樣等趨勢，網絡安全防護面臨諸多新問題。一是面向物聯終端的可信身份認證能力不足，導致物聯終端存在被仿冒、敏感數據泄露等風險。海量、異構物聯終端缺少認證機制，難以實現可信網絡準入與數據加密傳輸。二是開放與共享的網絡末梢延伸導致物聯邊界更加模糊。電力物聯網建設突破了原有基于網絡隔離的安全防護體系，網絡安全暴露面不斷增大，邊界安全防護難度日益增大。

電力物聯網的架構形式同其他形式的物聯網系統一樣，分為4層，分別為：感知層、網絡層、平臺層和應用層。感知層主要的功能為負責信息采集和信號處理，由各類現場采集部件、智能業(yè)務終端、本地通信網絡及邊緣物聯代理組合而成。電力物聯網的終端設備數量極其龐大，數據既呈現強時序的特性也有時空的屬性，因此如果計算都在平臺層進行處理，會對服務器集群產生極大的壓力，利用邊緣計算在網關處理一些區(qū)域化的計算任務是減輕平臺層服務器集群計算壓力的很好手段，在感知層就完成了部分數據和信息的整合處理。

雖然現有的PKI體系具備完善的密鑰管理體系，但在物聯網應用時卻存在以下問題：

（1）證書管理和維護復雜。目前物聯網設計的終端數量一般是千萬級，千萬個設備就要創(chuàng)建和維護千萬張證書，與這些證書相關的密鑰要不斷更新，舊密鑰還要保存起來。持有證書的設備銷毀后，就要撤銷相關證書，因此，撤銷列表也要維護、發(fā)布及不斷更新。增加了數字證書管理的復雜度和維護成本；

（2）通信和存儲開銷增加。當設備之間進行身份認證、密鑰協商時，雙方需要先交換數字證書，完成一次完整的身份認證需要13步，降低了通信效率，且證書還要存儲在本地，占用了存儲資源；

（3）業(yè)務系統對證書中心的依賴程度高。各個系統間強耦合，故障易傳導，擁有太多組件，復雜性高，容易導致業(yè)務體系存在安全漏洞，實現流程也會更加復雜；

因此，面對終端數量眾多、計算存儲資源受限的物聯終端，PKI體系無法滿足高性能、經濟性、易用性的要求。

名詞解釋

PKI（Public Key Infrastructure）：公鑰基礎設施。是一個利用非對稱加密算法原理和技術實現并提供安全服務的具有通用性的技術規(guī)范和標準，是管理非對稱加密算法的密鑰和確認信息，整合數字證書、公鑰加密技術和CA的系統。

CA(Certificate Authority)：證書頒發(fā)機構。

RA(Registration Authority)：證書注冊、登記機構。

VA(Validation Authority)：證書驗證機構。

SM9標識密碼算法，是由國密局發(fā)布的一種IBE(Identity-Based Encryption)算法。IBE算法以用戶的身份標識作為公鑰，不依賴于數字證書。

IBC(Identity-Based Cryptograph)：基于標識的密碼體系。

發(fā)明內容