[发明专利]基于ID的配电网自动化通信系统的设备接入认证方法

说明书

技术领域

本发明涉及配电网自动化领域，尤其是一种配电网自动化通信系统的设 备接入认证方法。

技术背景

近年来，计算机技术、信息处理技术和通信技术的迅速发展，对电力系 统产生了巨大的影响：一方面，开放、互连和标准化已成为电力工业中信息 系统的一种发展趋势，另一方面，有关数字化电力系统、智能电网等各种新 概念不断被提出，并已成为输配电网应用技术中令人关注的热点。数字化时 代的电力系统，电力网承载电能流和信息流，信息流导引电能流，电能流依 附信息流。未来电力系统的安全运行将建立在设备的安全运行和信息的安全 维护基础上，而且信息的安全性在很大程度上意味着电网控制系统的安全 性。如何有效保障电力系统及其网络的信息安全已成为一项非常紧迫的任 务。

密码技术是保障电力系统信息安全的核心技术。IEC组织TC57技术委员 会第15工作组制定的IEC62361安全国际标准就是在通信的多个层次上利用 密码技术进行认证或加密。然而IEC62361并未给出一套具体且完整的实现 方案。

配电网是电力系统发电、输电和配电三大系统之一。配电网信息数据在 建设数字化电网中的重要性日渐显露，并且在未来将日益突出。

目前一般网络中存在的安全威胁同样存在于电力通信系统中。配电网自 动化通信系统存在着信息数据被截获、伪造、篡改等诸多问题，导致系统的 可控性、可测性、机密性、完整性等产生了新的变数，需要采取相应的措施 加以解决。在解决网络信息安全问题的所有机制与方案中，合法使用的设备 通常又是保证系统安全的最基本的一步。配电自动化通信系统具有网络结构 相对简单、设备之间的拓扑关系相对固定以及电力自动化系统严格的集中化 管理等特点，使得其安全问题又有其独特之处。若采用基于对称密码算法的 预共享密钥管理方法，由于预共享密钥不便于管理，一般不适合于规模较大 的配电网络。若采用基于PKI的密钥管理方法，则需要配电终端单元具备具 有较强的计算及通信能力。而目前的配电终端单元许多都不具备这种能力。

1984年，Shamir提出了基于身份加密的密码体制，其优点是避免了传 统基于证书的PKI系统使用证书带来的维护成本高、证书链处理过于繁琐等 弊点，而利用椭圆曲线中的Weil对或Tate对构造双线性对为基于身份的密 码体制实用化奠定了基础。基于此，本发明提供一种基于ID的配电网自动 化通信系统的设备接入认证方法。

发明内容

本发明的目的是提供一种基于ID的配电网自动化通信系统的设备接入认 证方法，其特征在于，该方法包括以下步骤：

1)密钥分配

①密钥服务器根据接入设备的ID信息为注册的区域工作站设备生成公 私钥对，并将生成的公私钥对注入该区域工作站；在基于ID的密码体制中， 基于ID的私钥等于主密钥和基于ID的公钥的标量乘；

②密钥服务器根据接入设备的ID信息为注册的终端设备-配电终端单元 计算基于ID的私钥，利用双线性配对的双线性性质，根据该终端设备所属 区域工作站的公钥及为该终端设备生成的私钥计算出认证密钥k并注入终端 设备；

③密钥服务器将注册的终端设备的ID信息发送给所属区域工作站，区 域工作站将终端设备的ID信息存入存储列表；

④密钥服务器将撤消的终端设备的ID信息发送给所属区域工作站，区 域工作站删除存储列表中该终端设备的ID信息；

2)设备认证

①终端设备向区域工作站发送连接请求消息，该消息包含终端设备的ID 信息；

②区域工作站接收终端设备的连接请求消息，并查询终端设备存储列表 中该终端设备的ID信息是否存在，若存在则继续下一步骤，否则终止该认 证过程；

③区域工作站根据所收到的终端设备的ID信息和自己的私钥，利用双 线性性质计算出与终端设备的共享的认证密钥k；

④区域工作站产生一随机数n_i，并用认证密钥k加密，得到密文E_k(n_i)， 发送E_k(n_i)给终端设备；