【技术实现步骤摘要】
一种电力物联终端轻量级认证密钥协商方法
[0001]本专利技术涉及信息安全,云计算和电力物联网
,并且更具体地,涉及一种电力物联终端轻量级认证密钥协商方法。
技术介绍
[0002]随着以新能源为主体的新型电力系统的提出,能源技术与数字技术进一步深度融合,传统电网正在朝向更开放、更融合、更智能的电力物联网方向发展。电力物联网的发展引入了数以亿计、形态各异的物联终端接入,不断外延电网覆盖范围。然而,如分布式光伏逆变器、各类传感器等末端物联感知设备,多通过公开网络环境接入电网,且本身存储和计算资源受限,引入了新的安全风险,亟需面向规模巨大、资源受限的海量设备,建立相应的接入认证与加密传输方案。
[0003]接入认证与加密传输机制的核心是设计认证密钥协商协议(Authenticated Key Agreement,AKA)。传统方案中,一般基于数字签名进行节点的身份认证,并通过密钥协商协议生成相应的会话密钥。然而,数字签名的验证需要首先保证公钥的真实性,因此需要基于第三方CA中心为其发放数字证书,称为基于PKI的密码体制。PKI技术依赖于数字证书,势必带来额外的通信和存储空间开销,不适用于海量感知设备应用场景,亟需建立更加轻量化的认证密钥协商协议设计。
技术实现思路
[0004]为了解决现有技术中针对资源受限的物联网场景,采用基于PKI的密码体制,由于依赖于数字证书,而带来额外的通信和存储空间开销,导致其不适用于海量感知设备应用场景的问题,本专利技术提供一种基于电力物联终端轻量级认证密钥协商方法...
【技术保护点】
【技术特征摘要】
1.一种电力物联终端轻量级认证密钥协商方法,其中,所述电力物联终端包括边缘物联代理类设备和末端传感类设备,其特征在于,所述方法包括:边缘物联代理类设备生成随机数r
edge
,并基于随机数r
edge
、私钥K
edge
和生成元P计算第一边缘参数ψ
edge
和第二边缘参数σ
edge
,以及将信息(ID
edge
,ψ
edge
,σ
edge
)发送至与所述边缘物联代理类设备连接的任意一个末端传感类设备,其中,私钥K
edge
是所述边缘物联代理类设备在标识密钥管理中心KGC进行初始化生成的预认证私钥,P是G的生成元,G是表示阶数为素数N的加法循环群,素数N为λ比特的素数,λ为任意给定的一个安全参数,ID
edge
是边缘物联代理类设备在KGC注册生成的初始标识;所述边缘物联代理类设备接收所述末端代理类设备发送的信息(ID
sensor
,ψ
sensor
,σ
sensor
),并根据所述信息(ID
sensor
,ψ
sensor
,σ
sensor
)、生成元P和KGC的主公钥P
pub
‑
e
验证第一等式,其中,ID
sensor
是末端传感类设备在KGC注册生成的初始标识,私钥K
sensor
是所述末端传感类设备在KGC进行初始化生成的预认证私钥,ψ
sensor
和σ
sensor
是所述末端传感类设备基于生成的随机数r
sensor
,私钥K
sensor
和生成元P计算的第一传感参数和第二传感参数;当第一等式成立时,所述边缘物联代理类设备根据随机数r
edge
、所述信息(ID
edge
,ψ
edge
,σ
edge
)和所述信息(ID
sensor
,ψ
sensor
,σ
sensor
)计算会话密钥k
i
。2.根据权利要求1所述的方法,其特征在于,所述第一边缘参数ψ
edge
和第二边缘参数σ
edge
的计算公式为:ψ
edge
=r
edge
·
Pσ
edge
=r
edge
·
K
edge
。3.根据权利要求1所述的方法,其特征在于,所述第一等式的表达式为:e(σ
sensor
,P
pub
‑
e
+k
sensor
·
P)=e(ψ
sensor
,P
pub
‑
e
)其中,所述第一传感参数ψ
sensor
、第二传感参数σ
sensor
、主公钥P
pub
‑
e
和公钥k
sensor
的计算公式为:ψ
sensor
=r
sensor
·
Pσ
sensor
=r
sensor
·
K
sensor
k
sensor
=H
SM3
(ID
sensor
)P
pub
‑
e
=s
·
P。式中,随机数s是KGC的主私钥,k
sensor
是所述末端传感类设备在KGC进行初始化生成的预认证公钥,H
SM3
()是基于国密SM3算法的密钥杂凑函数,e()是基于国密SM9算法的双线性对。4.根据权利要求1所述的方法,其特征在于,所述会话密钥k
i
的计算公式为:k
i
=H
SM3
(ID
edge
||ID
sensor
||ψ
edge
||ψ
sennsor
||(r
edge
·
ψ
sensor
))。5.根据权利要求1所述的方法,其特征在于,所述边缘物联代理类设备生成随机数r
edge
之前还包括:对所述边缘物联代理类设备和所述末端传感类设备分别进行注册,生成各自的初始标识和初始密钥;以及基于国密SM3算法,根据所述边缘物联代理类设备的初始标识和初始密钥对所述边缘物联代理类设备进行初始化,生成所述边缘物联代理类设备的预认证公私钥对的预认证公私钥对,根据所述末端传感类设备的初始标识和初始密钥对所述末端传感类设备进行初始
化,生成所述末端传感类设备的预认证公私钥对。6.根据权利要求5所述的方法,其特征在于,所述对所述边缘物联代理类设备和所述末端传感类设备分别进行注册,生成各自的初始标识和初始密钥,包括:所述边缘物联代理类设备和所述末端传感类设备的生产厂商通过KGC部署的密钥分发装置获取所述边缘物联代理类设备和所述末端传感类设备的序列号信息,所述序列号信息包括厂商编码、设备类型、设备序列号和注册申请;所述密钥分发装置接收KGC回传的所述边缘物联代理类设备的初始标识ID
edge
和初始密钥,以及所述末端传感类设备的初始标识ID
sensor
和初始密钥,并将所述边缘物联代理类设备的初始标识ID
edge
和初始密钥,以及所述末端传感类设备的初始标识ID
sensor
和初始密钥分别写入对应的所述边缘物联代理类设备和所述末端传感类设备进行安全存储,其中,所述边缘物联代理类设备的初始标识ID
edge
和所述末端传感类设备的初始标识ID
sensor
由KGC根据所述序列号信息生成,所述边缘物联代理类设备的初始密钥和所述末端传感类设备的初始密钥分别由KGC通过所述初始标识ID
edge
和所述初始标识ID
sensor
生成。7.根据权利要求5所述的方法,其特征在于,所述基于国密SM3算法,根据所述边缘物联代理类设备的初始标识和初始密钥对所述边缘物联代理类设备进行初始化,生成所述边缘物联代理类设备的预认证公私钥对,根据所述末端传感类设备的初始标识和初始密钥对所述末端传感类设备进行初始化,生成所述末端传感类设备的预认证公私钥对,包括:KGC接收所述边缘物联代理类设备发送的第一初始化申请,其中,所述第一初始化申请基于边缘物联代理类设备的初始密码进行加密,所述第一初始化申请中包括(ID
edge
,T
edge
),T
edge
为边缘物联代理类设备发送所述第一初始化申请的时间;KGC接收所述末端传感类设备发送的第二初始化申请,其中,所述第二初始化申请基于所述末端传感类设备的初始密码进行加密,所述第二初始化申请中包括(ID
sensor
,T
sensor
),T
sensor
为所述末端传感类设备发送所述第二初始化申请的时间;KGC根据接收的T
edge
验证第一时间判据,以及根据接收的T
sensor
验证第二时间判据,其中,所述第一时间判据和第二时间判据的表达式为:|T
t
‑
T
edge
|≤ΔT|T
t
‑
T
sensor
|≤ΔT式中,T
t
是KGC当前的时间戳,ΔT为预设的时间间隔值;当第一时间判据成立时,KGC根据所述边缘物联代理类设备的初始标识ID
edge
,计算所述边缘物联代理类设备的预认证公私钥对(K
eedg
,k
edge
),并将私钥K
edge
通过其初始密钥加密后,安全返回所述边缘物联代理类设备,其中,私钥K
edge
和公钥k
edge
的计算公式为:k
edge
=H
SM3
(ID
edge
)当第二时间判据成立时,KGC根据所述末端传感类设备的初始标识ID
sensor
,计算所述末端传感类设备的预认证公私钥对(K
sensor
,k
sensor
),并将私钥K
sensor
通过其初始密钥加密后,安全返回所述末端传感类设备,其中,私钥K
sensor
和公钥k
sensor
的计算公式为:
k...
【专利技术属性】
技术研发人员:冯云,翟峰,赵兵,陈昊,梁晓兵,曹永峰,付义伦,李智虎,李保丰,许斌,徐萌,孔令达,赵英杰,蔡翔,张亮,方圆,秦煜,张辰,潘卫红,周琪,冯占成,卢艳,任博,许岳楼,苑立鹏,袁泉,韩文博,张庚,郑旖旎,王楠,
申请(专利权)人:国网安徽省电力有限公司国网安徽省电力有限公司信息通信分公司国网安徽省电力有限公司滁州供电公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。