[发明专利]用于电力物联网环境下的可信接入系统及方法

说明书

本发明提供一种用于电力物联网环境下的可信接入系统及方法。该用于电力物联网环境下的可信接入系统包括：策略服务器、策略执行服务器和边缘设备，边缘设备与策略服务器、策略执行服务器进行通信，策略执行服务器还与策略服务器进行通信；边缘设备，用于从策略服务器获取设备入网证书，并将携带有设备入网证书的接入信息发送至策略执行服务器；策略服务器，用于向策略执行服务器发送策略规则以及向边缘设备发送设备入网证书；策略执行服务器，用于接收边缘设备发送的接入信息后，从策略服务器获取策略规则，并依据策略规则和接入信息对边缘设备进行身份验证。本发明能够提高边缘设备的可信认证安全性。

技术领域

本发明涉及物联网接入技术领域，尤其涉及一种用于电力物联网环境下的可信接入系统及方法。

背景技术

电力物联网可信接入是指将新的设备接入开放网络体系的过程。由于设备类型、所处环境复杂多样，以及设备分散程度高，容易遭受攻击。因此，开发用于电力物联网环境下的可信接入系统成为当前必要选择。

目前，用于电力物联网环境下的可信接入系统一般采用可信连接技术，即利用加密算法和哈希算法来实现可信接入。

但是，上述用于电力物联网环境下的可信接入系统中设备的可信认证安全性低。

发明内容

本发明实施例提供了一种用于电力物联网环境下的可信接入系统及方法，以解决现有技术中用于电力物联网环境下的可信接入系统中设备的可信认证安全性低的问题。

第一方面，本发明实施例提供了一种用于电力物联网环境下的可信接入系统，包括：

策略服务器、策略执行服务器和边缘设备，边缘设备与策略服务器、策略执行服务器进行通信，策略执行服务器还与策略服务器进行通信；

边缘设备，用于从策略服务器获取设备入网证书，并将携带有设备入网证书的接入信息发送至策略执行服务器；

策略服务器，用于向策略执行服务器发送策略规则以及向边缘设备发送设备入网证书，其中，策略规则依据证书链判断是否允许边缘设备入网；

策略执行服务器，用于接收边缘设备发送的接入信息后，从策略服务器获取策略规则，并依据策略规则和接入信息对边缘设备进行身份验证。

在一种可能的实现方式中，边缘设备包括：

消息发送模块，用于向策略执行服务器发送接入请求信息，待策略执行服务器对接入请求信息进行应答后，向策略执行服务器发送接入信息，其中，接入信息还携带设备简要信息；

密钥获取模块，用于接收到策略执行服务器发送的可信验证消息后，验证策略执行服务器的证书的合法性，在证书合法的情况下，获取会话密钥；

详细信息发送模块，用于使用会话密钥以对称加密的方式将设备详细信息发送至策略执行服务器。

在一种可能的实现方式中，密钥获取模块包括：

公钥提取单元，用于在证书合法的情况下，从证书中提取公钥；

密钥获取单元，用于利用公钥验证消息签名，并对消息签名进行解密，以确定会话密钥。

在一种可能的实现方式中，策略执行服务器包括：

身份验证模块，用于验证设备入网证书的有效性，在设备入网证书有效的情况下，根据策略规则验证边缘设备是否符合接入条件；

可信验证模块，用于在边缘设备负荷接入条件的情况下，向边缘设备发送可信验证消息；

身份信息确定模块，用于接收设备详细信息，并生成设备编码，通过设备详细信息和设备编码构成设备身份信息。

在一种可能的实现方式中，策略服务器包括：