[发明专利]一种用于电网终端层设备接入的认证方法

说明书

本申请提供了一种用于电网终端层设备接入的认证方法，所述认证方法包括：基于自证实公钥，完成电力物联网设备和边缘代理设备之间的接入认证；基于SIP应用层协议的双向身份认证机制，完成接入认证中的身份认证；基于BEM的数据认证机制，对已完成身份认证的双方进行数据认证。本发明相对于现有技术，能够有效确保电力物联网终端层设备的身份可信，保障承载业务的协同应用和安全接入。

技术领域

本公开涉及电力物联网领域，尤其涉及一种用于电网终端层设备接入的认证方法。

背景技术

接入认证是物联网安全通信的第一道防线，是防止物联网系统遭受主动攻击的重要技术，发送方和接收方的身份识别和消息真伪判断都建立在可靠的接入认证技术上；密钥是系统安全的基础，是物联网安全及信息保护的关键。通过研究可实现的接入认证和密钥管理技术，从交换机端口、第三方代理、通信隧道等切入点实现多层次、全方位的认证与管理，确保电力物联网终端层设备的身份可信，保障承载业务的协同应用和安全接入。

目前，电力物联网的常用接入认证存在几个问题：1)采用的基于密码的认证并不适用于轻量级设备，无法在电力物联网大规模应用；2)大多数接入认证通常只认证身份而不对后续数据帧认证，易导致中间人攻击等；3)认证机制单一，通常只采用一种认证机制，易被攻击者破解；4)传感器节点数据处理与储存的能力十分有限，复杂的认证方法无法实行。

发明内容

本公开的目的之一是通过提供一种用于电网终端层设备接入的认证方法，以解决背景技术中的至少一个技术问题。

为实现上述目的，根据本公开的一个实施例，提供了一种用于电网终端层设备接入的认证方法，所述认证方法包括：基于自证实公钥，完成电力物联网设备和边缘代理设备之间的接入认证；基于SIP应用层协议的双向身份认证机制，完成接入认证中的身份认证；基于BEM 的数据认证机制，对已完成身份认证的双方进行数据认证。

可选地，所述基于自证实公钥，完成电力物联网设备和边缘代理设备之间的接入认证的步骤包括：由可信赖机构建立系统参数，并基于以下步骤建立协议双方各自的密钥，其中所述协议双方中的第一方包括电力物联网设备，第二方包括边缘代理设备：建立系统密钥：由可信赖机构生成RSA密钥数据，所述密钥数据包括一个公开模数、一个公开指数、一个秘密指数和一个公开元素，所述可信赖机构对密钥数据中的公开模数、公开指数和公开元素进行公开并秘密保存秘密指数，所述秘密指数作为私钥；建立协议双方的用户参数：由可信赖机构与双方各自交互生成各自的公钥；在相互认证的双方进行接入认证时，第一方向第二方证明自己的身份，证明过程包括：第一方向第二方发起认证请求并发送自己的公钥和身份信息；第二方向第一方发起质询，要求第一方提供证明；第一方选择随机数，基于第一预设计算规则和随机数进行计算得到第一计算结果并将第一计算结果发送至第二方；第二方向第一方发起挑战，选择另一随机数作为挑战发送给第一方；第一方应答挑战，基于第二预设计算规则和另一随机数进行计算得到第二计算结果并将第二计算结果发送至第二方；第二方对接收到的第二计算结果进行验证，如果成立，则接受第一方的身份，发送认证成功信息给第一方，否则发送认证失败信息给第一方。

可选地，所述基于SIP应用层协议的双向身份认证机制，完成接入认证中的身份认证的步骤包括：电力物联网设备验证边缘代理设备的公钥和部分私钥；电力物联网设备把用边缘代理设备公钥加密的 SIP请求的From字段的结果放在secretFrom字段；电力物联网设备计算得到一个值，附在请求中一同发给边缘代理设备；边缘代理设备收到请求后，检查请求的From域；边缘代理设备验证电力物联网设备的公钥；边缘代理设备进行解密计算，将得到的值与请求中附的值对比，之后又生成一个值，附在请求中发向电力物联网设备；电力物联网设备对边缘代理设备发来的回应进行解密计算，与附值对比，之后再次生成值并发起INVITE请求；边缘代理设备验证电力物联网设备身份；电力物联网设备计算会话密钥；边缘代理设备发送响应，电力物联网设备回送消息，完成会话建立。