[发明专利]一种用于电网终端层设备接入的认证方法

权利要求书

1.一种用于电网终端层设备接入的认证方法，其特征在于，所述认证方法包括：

基于自证实公钥，完成电力物联网设备和边缘代理设备之间的接入认证；

基于SIP应用层协议的双向身份认证机制，完成接入认证中的身份认证；

基于BEM的数据认证机制，对已完成身份认证的双方进行数据认证；

所述基于自证实公钥，完成电力物联网设备和边缘代理设备之间的接入认证的步骤包括：

由可信赖机构建立系统参数，并基于以下步骤建立协议双方各自的密钥，其中所述协议双方中的第一方包括电力物联网设备，第二方包括边缘代理设备：

建立系统密钥：由可信赖机构生成RSA密钥数据，所述密钥数据包括一个公开模数、一个公开指数、一个秘密指数和一个公开元素，所述可信赖机构对密钥数据中的公开模数、公开指数和公开元素进行公开并秘密保存秘密指数，所述秘密指数作为私钥；

建立协议双方的用户参数：由可信赖机构与双方各自交互生成各自的公钥；

在相互认证的双方进行接入认证时，第一方向第二方证明自己的身份，证明过程包括：第一方向第二方发起认证请求并发送自己的公钥和身份信息；第二方向第一方发起质询，要求第一方提供证明；第一方选择随机数，基于第一预设计算规则和随机数进行计算得到第一计算结果并将第一计算结果发送至第二方；第二方向第一方发起挑战，选择另一随机数作为挑战发送给第一方；第一方应答挑战，基于第二预设计算规则和另一随机数进行计算得到第二计算结果并将第二计算结果发送至第二方；第二方对接收到的第二计算结果进行验证，如果成立，则接受第一方的身份，发送认证成功信息给第一方，否则发送认证失败信息给第一方；

所述基于BEM的数据认证机制，对已完成身份认证的双方进行数据认证的步骤包括：

基于BEM模型进行信道估计，对已完成身份认证的双方进行数据认证，所述信道估计包括：

选定用于拟合信道的BEM模型，得到对应的基函数；

得到导频处冲击响应，之后得到多条路径的基系数；

根据基系数和随时间变化的基函数，组合得到OFDM符号完整的冲击响应。

2.根据权利要求1所述的认证方法，其特征在于，所述基于SIP应用层协议的双向身份认证机制，完成接入认证中的身份认证的步骤包括：

电力物联网设备验证边缘代理设备的公钥和部分私钥；

电力物联网设备把用边缘代理设备公钥加密的SIP请求的From字段的结果放在secretFrom字段；

电力物联网设备计算得到一个值，附在请求中一同发给边缘代理设备；

边缘代理设备收到请求后，检查请求的From域；

边缘代理设备验证电力物联网设备的公钥；

边缘代理设备进行解密计算，将得到的值与请求中附的值对比，之后又生成一个值，附在请求中发向电力物联网设备；

电力物联网设备对边缘代理设备发来的回应进行解密计算，与附值对比，之后再次生成值并发起INVITE请求；

边缘代理设备验证电力物联网设备身份；

电力物联网设备计算会话密钥；

边缘代理设备发送响应，电力物联网设备回送消息，完成会话建立。

3.根据权利要求1所述的认证方法，其特征在于，所述认证方法还包括：

基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信，其中，电网终端层网络被分为三层架构：管理层、服务层和用户层，管理层的控制中心负责存储整个网络中其他控制中心以及区域内节点的身份公钥信息，并负责节点跨区域通信消息的转发以及存储该区域的区域密钥；服务层的区域服务器负责存储该区域的区域密钥池、节点身份公钥信息，分发区域密钥以及更新区域密钥，用户层的节点存储自身和区域控制中心的身份公钥信息和区域密钥。

4.根据权利要求3所述的认证方法，其特征在于，所述基于椭圆曲线密码体制实现电力物联网设备和边缘代理设备之间的通信包括密钥初始化过程：

基于椭圆曲线密码体制建立密钥系统的初始化参数；

为电力物联网终端层中的每个节点编写特定的身份信息标识，以对节点进行初始化操作；

在区域进行密钥初始化操作：使用AES对称密钥在传感器节点间或节点与信息控制中心间进行数据通信。