一种电力物联网智能终端间的身份认证方法和系统
阅读说明:本技术 一种电力物联网智能终端间的身份认证方法和系统 (Identity authentication method and system between intelligent terminals of power internet of things ) 是由 刘宣 唐悦 任毅 李然 张海龙 郑国权 苏涛 林航 于 2021-06-29 设计创作,主要内容包括:本发明提供一种电力物联网智能终端间的身份认证方法和系统,所述方法和系统在电力物联网搭建了安全主平台,安全分平台和智能终端节点的三层认证结构,为每个接入网络的节点配置芯片I D号,根据I D号配置I D公私钥对,基于I D公私钥对完成信息的分发与传递,智能终端节点在分平台进行注册成为注册节点,然后基于节点标识,采用映射算法,从安全主平台的公钥因子矩阵和私钥因子矩阵中提取节点私钥和节点公钥,最后,注册节点之间基于节点私钥与节点公钥完成身份认证。所述方法和系统基于组合公钥体制设计的认证机制能很好地克服现有技术中PKI方案的缺点,解决了PKI的CA权威性与效率降低的问题,具有很强的工程实用性。(The invention provides an identity authentication method and system between intelligent terminals of an electric power Internet of things, wherein a safety main platform, a safety sub-platform and an intelligent terminal node are established in the electric power Internet of things, a chip I D is configured for each node of an access network, a I D public and private key pair is configured according to a I D number, information distribution and transmission are completed based on the I D public and private key pair, the intelligent terminal node is registered to be a registered node on the sub-platform, then a node private key and a node public key are extracted from a public key factor matrix and a private key factor matrix of the safety main platform by adopting a mapping algorithm based on node identification, and finally identity authentication is completed between the registered nodes based on the node private key and the node public key. The method and the system can well overcome the defects of the PKI scheme in the prior art based on the authentication mechanism designed by the combined public key system, solve the problem of the reduction of the CA authority and efficiency of the PKI and have strong engineering practicability.)
技术领域
本发明涉及电力物联网领域,并且更具体地,涉及一种电力物联网智能终端间的身份认证方法和系统。
背景技术
电力物联网智能终端是智能电网中重要的基础设施,广泛应用于电网基础设施监控、电力生产和电网运维、电力业务数据采集和智能业务应用等领域。由于电力系统对可靠性、实时性、安全性要求较高,电力物联网比常规的物联网系统在安全防护方面有更高的要求。
身份认证是通过密码学手段在信息系统中确认实体对某种资源或服务是否有访问权限的方法和机制。随着科技的进步,电力物联网中的智能终端节点数量越来越多,其对身份认证的需求也愈发紧迫。
自上世纪70年代首次被提出以来,公钥密码技术快速发展,基于此的各种身份认证方案和协议层出不穷。在电力物联网领域,PKI公钥体制是目前主流的公钥密码解决方案,但其仍存在消息多层传递导致信任关系不可靠、易遭受第三方攻击、信息传递效率低的问题。
发明内容
为了解决现有技术中,电力物联网的智能终端之间采用公钥密码技术进行身份领证时,消息多层传递导致信任关系不可靠,易遭受第三方攻击,信息传递效率低的技术问题,本发明提供一种电力物联网智能终端间的身份认证方法,所述方法包括:
注册节点A使用节点私钥KPRIA签名节点标识NA,生成签名SA2后,将所述节点标识NA与签名SA2发送至注册节点B处,其中,所述注册节点A和注册节点B是在其所属电力物联网安全分平台注册成功,并获得所述安全分平台发送的节点私钥、节点标识和公钥因子矩阵的智能终端节点,所述公钥因子矩阵由电力物联网安全主平台生成;
基于注册节点A的节点标识NA,注册节点A的节点公钥KPUBA被注册节点B从公钥因子矩阵中提取出来,并根据注册节点A的节点公钥KPUBA验证签名SA2,当验证签名SA2成功时,注册节点A被注册节点B认证通过;
注册节点A接收注册节点B发送的节点标识NB与签名SB2,其中,所述签名SB2由注册节点B使用节点私钥KPRIB签名节点标识NB生成;
注册节点A根据收到的注册节点B的节点标识NB从公钥因子矩阵中提取出注册节点B的节点公钥KPUBB,注册节点A用注册节点B的节点公钥KPUBB验证签名SB2,当验证签名SB2成功时,注册节点A对注册节点B的认证通过,注册节点A和注册节点B的双向认证完成。
进一步地,在注册节点A使用节点私钥KPRIA签名节点标识NA,生成签名SA2后,将所述节点标识NA与签名SA2发送至注册节点B处之前还包括:
智能终端节点A和智能终端节点B所属电力物联网安全分平台接收智能终端节点A在首次接入电力物联网时发送的签名SA1与节点信息MA,用节点ID公钥KIDPUBA验证签名SA1,并审核所述节点信息MA,当签名SA1验证通过且节点信息MA审核通过时,产生节点标识NA;根据节点标识NA从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点A的节点私钥KPRIA与节点公钥KPUBA;接收智能终端节点B在首次接入电力物联网时发送的签名SB1与节点信息MB,用节点ID公钥KIDPUBB验证签名SB1,并审核所述节点信息MB,当签名SB1验证通过且节点信息MB审核通过时,产生节点标识NB,根据节点标识NB从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点B的节点私钥KPRIB与节点公钥KPUBB;其中,签名SA1是智能终端节点A用其ID私钥KIDPRIA对节点信息MA进行的签名,签名SB1是智能终端节点B用其ID私钥KIDPRIB对节点信息MB进行的签名;
智能终端节点A和智能终端节点B所属电力物联网安全分平台用电力物联网安全主平台ID公钥KIDPUB2加密所述节点标识NA、NB、节点公钥KPUBA、KPUBB与节点私钥KPRIA、KPRIB生成第二加密信息后,将所述第二加密信息发送至电力物联网安全主平台,使电力物联网安全主平台用其ID私钥KIDPRI2解密所述第二加密信息,得到所述智能终端节点A的节点标识NA、节点公钥KPUBA与节点私钥KPRIA,以及智能终端节点B的节点标识NB、节点公钥KPUBB与节点私钥KPRIB后保存;
智能终端节点A和智能终端节点B所属电力物联网安全分平台用节点ID公钥KIDPUBA加密节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA生成第三加密信息,并发送所述第三加密信息至智能终端节点A,使申请注册的智能终端节点A成为注册节点A,并利用节点ID私钥KIDPRIA对所述第三加密信息解密得到节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA;使用节点ID公钥KIDPUBB加密节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB生成第三加密信息后,将所述第三加密信息发送给申请注册的智能终端节点B,使申请注册的智能终端节点B成为注册节点B,并利用节点ID私钥KIDPRIB对所述第三加密信息解密得到节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB。
进一步地,所述智能终端节点A在首次接入电力物联网时用其节点ID私钥KIDPRIA对节点信息MA签名,并将签名SA1与节点信息MA发送至节点所属电力物联网安全分平台;智能终端节点B在首次接入电力物联网时用其节点ID私钥KIDPRIB对节点信息MB签名,并将签名SB1与节点信息MB发送至节点所属电力物联网安全分平台之前还包括:
为接入电力物联网的智能终端节点A和智能终端节点B配置芯片ID号,并根据智能终端节点A的芯片ID号配置节点ID私钥KIDPRIA和节点ID公钥KIDPUBA,根据智能终端节点B的芯片ID号配置节点ID私钥KIDPRIB和节点ID公钥KIDPUBB,以及将智能终端节点A和智能终端节点B的节点ID公私钥对记录在所述智能终端节点所属的电力物联网安全分平台;
为电力物联网安全分平台配置分平台ID号,并根据分平台ID号配置分平台ID私钥KIDPRI1和分平台ID公钥KIDPUB1,以及将所述分平台ID公私钥对记录在电力物联网安全主平台;
为电力物联网安全主平台配置主平台ID号,并根据主平台ID号配置主平台ID私钥KIDPRI2和主平台ID公钥KIDPUB2,以及将所述主平台ID公私钥对记录在电力物联网安全分平台。
进一步地,所述电力物联网包括一个安全主平台,以及属于所述安全主平台的不少于两个的安全分平台。
进一步地,一个智能终端节点可以属于多个安全分平台,且一个时间段只能属于一个安全分平台。
根据本发明的另一方面,本发明提供一种电力物联网智能终端间的身份认证系统,所述系统包括:
安全主平台,用于生成公钥因子矩阵,并发送至安全分平台存储;
安全分平台,用于接收其下属的智能终端节点A和智能终端节点B发送的签名和节点信息,并根据所述签名和节点信息对智能终端节点A和智能终端节点B进行注册,并在智能终端节点智能终端节点A和智能终端节点B注册成功,成为注册节点A和注册节点B后,将注册节点A和注册节点B的节点私钥、节点标识和公钥因子矩阵发送至智能终端节点,其中,所述签名是智能终端节点A和智能终端节点B在首次接入电力物联网时用其节点ID私钥对节点信息进行的签名;
智能终端节点A和智能终端节点B,其用于首次接入电力物联网时,在节点所属电力物联网安全分平台进行注册,并在注册成功时成为注册节点A和注册节点B,接收其所属电力物联网安全分平台发送的节点私钥、节点标识和公钥因子矩阵,以及根据所述节点私钥、节点标识和公钥因子矩阵完成身份认证,其中,注册节点A使用节点私钥KPRIA签名节点标识NA,生成签名SA2后,将所述节点标识NA与签名SA2发送至注册节点B处;基于注册节点A的节点标识NA,注册节点A的节点公钥KPUBA被注册节点B从公钥因子矩阵中提取出来,并根据注册节点A的节点公钥KPUBA验证签名SA2,当验证签名SA2成功时,注册节点A被注册节点B认证通过;注册节点A接收注册节点B发送的节点标识NB与签名SB2,其中,所述签名SB2由注册节点B使用节点私钥KPRIB签名节点标识NB生成;注册节点A根据收到的注册节点B的节点标识NB从公钥因子矩阵中提取出注册节点B的节点公钥KPUBB,注册节点A用注册节点B的节点公钥KPUBB验证签名SB2,当验证签名SB2成功时,注册节点A对注册节点B的认证通过,注册节点A和注册节点B的双向认证完成。
进一步地,所述电力物联网安全主平台还用于生成私钥因子矩阵PRIB,并用分平台ID公钥KIDPUB1加密所述公钥因子矩阵PUB和私钥因子矩阵PRI以生成第一加密信息后,将所述第一加密信息分发至给安全分平台;用其ID私钥KIDPRIB2解密所述第二加密信息,得到所述智能终端节点A的节点标识NA、节点公钥KPUBA与节点私钥KPRIA,以及智能终端节点B的节点标识NB、节点公钥KPUBB与节点私钥KPRIB后保存;
所述电力物联网安全分平台还用于用其ID私钥KIDPRI1对所述第一加密信息解密得到公钥因子矩阵PUB和私钥因子矩阵PRI;接收智能终端节点A的签名SA1与节点信息MA,以及和智能终端节点B的签名SB1与节点信息MB;用节点ID公钥KIDPUBA验证签名SA1,并审核所述节点信息MA,当签名SA1验证通过且节点信息MA审核通过时,产生节点标识NA;用节点ID公钥KIDPUBB验证签名SB1,并审核所述节点信息MB,当签名SB1验证通过且节点信息MB审核通过时,产生节点标识NB;根据节点标识NA从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点的节点私钥KPRIA与节点公钥KPUBA,根据节点标识NB从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点的节点私钥KPRIB与节点公钥KPUBB,并用电力物联网安全主平台ID公钥KIDPUB2加密所述节点标识NA、NB、节点公钥KPUBA、KPUBB与节点私钥KPRIA、KPRIB生成第二加密信息后,将所述第二加密信息发送至电力物联网安全主平台;用节点ID公钥KIDPUBA加密节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA生成第三加密信息后,将所述第三加密信息发送给申请注册的智能终端节点A,用节点ID公钥KIDPUBB加密节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB生成第三加密信息后,将所述第三加密信息发送给申请注册的智能终端节点B;
智能终端节点A还用于首次接入电力物联网时用其节点ID私钥KIDPRIA对节点信息MA签名,并将签名SA1与节点信息MA发送至节点所属电力物联网安全分平台进行注册;当智能终端节点A注册成功成为注册节点A后,还用于利用节点ID私钥KIDPRIA对所述第三加密信息解密得到节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA;
智能终端节点B还用于在首次接入电力物联网时用其节点ID私钥KIDPRIB对节点信息MB签名,并将签名SB1与节点信息MB发送至节点所属电力物联网安全分平台;当智能终端节点B注册成功成为注册节点B后,还用于利用节点ID私钥KIDPRIB对所述第三加密信息解密得到节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB。
进一步地,所述系统还包括配置单元,用于为接入电力物联网的智能终端节点A和智能终端节点B配置芯片ID号,并根据智能终端节点A的芯片ID号配置节点ID私钥KIDPRIA和节点ID公钥KIDPUBA,根据智能终端节点B的芯片ID号配置节点ID私钥KIDPRIB和节点ID公钥KIDPUBB,以及将智能终端节点A和智能终端节点B的节点ID公私钥对记录在所述智能终端节点所属的电力物联网安全分平台。
进一步地,所述系统包括一个安全主平台,以及属于所述安全主平台的不少于两个的安全分平台。
进一步地,一个智能终端节点可以属于多个安全分平台,且一个时间段只能属于一个安全分平台。
本发明技术方案提供的电力物联网智能终端间的身份认证方法和系统在电力物联网搭建了安全主平台,安全分平台和智能终端节点的三层认证结构,为每个接入网络的节点配置芯片ID号,根据ID号配置ID公私钥对,基于ID公私钥对完成信息的分发与传递,智能终端节点在分平台进行注册成为注册节点,然后基于节点标识,采用映射算法,从安全主平台的公钥因子矩阵和私钥因子矩阵中提取节点私钥和节点公钥,最后,注册节点之间基于节点私钥与节点公钥完成身份认证。所述方法和系统基于组合公钥体制(CPK)设计的认证机制能很好地克服了现有技术中PKI方案的缺点,针对PKI的第三方攻击问题,CPK体制的结构可以被理解成单层CA的模式,密钥对生成后随即完成身份认证,没有了信息经过多级信任链条层层传递的过程,解决了PKI的CA权威性与效率降低的问题。CPK凭借少量资源产生大量密钥,非常适用于海量电网终端设备的身份认证场景,轻量级的特点使其易于与复杂的智能电力物联网终端适配,具有很强的工程实用性。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的电力物联网智能终端间的身份认证方法的流程图;
图2为根据本发明优选实施方式的电力物联网智能终端间的身份认证系统的结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施方式的电力物联网智能终端间的身份认证方法的流程图。如图1所示,本优选实施方式以新能源汽车A和智能充电桩B为例,具体说明电力物联网智能终端间的身份认证方法。所述电力物联网智能终端间的身份认证方法100从步骤101开始。
在步骤101,为接入电力物联网的智能终端节点A和智能终端节点B配置芯片ID号,并根据智能终端节点A的芯片ID号配置节点ID私钥KIDPRIA和节点ID公钥KIDPUBA,根据智能终端节点B的芯片ID号配置节点ID私钥KIDPRIB和节点ID公钥KIDPUBB,以及将智能终端节点A和智能终端节点B的节点ID公私钥对记录在所述智能终端节点所属的电力物联网安全分平台;为电力物联网安全分平台配置分平台ID号,并根据分平台ID号配置分平台ID私钥KIDPRI1和分平台ID公钥KIDPUB1,以及将所述分平台ID公私钥对记录在电力物联网安全主平台;为电力物联网安全主平台配置主平台ID号,并根据主平台ID号配置主平台ID私钥KIDPRI2和主平台ID公钥KIDPUB2,以及将所述主平台ID公私钥对记录在电力物联网安全分平台;电力物联网安全主平台生成公钥因子矩阵PUB和私钥因子矩阵PRI,并用分平台ID公钥KIDPUB1加密所述公钥因子矩阵PUB和私钥因子矩阵PRI以生成第一加密信息后,将所述第一加密信息分发至给安全分平台;安全分平台用其ID私钥KIDPRI1对所述第一加密信息解密得到公钥因子矩阵PUB和私钥因子矩阵PRI。
在步骤102,智能终端节点A在首次接入电力物联网时用其节点ID私钥KIDPRIA对节点信息MA签名,并将签名SA1与节点信息MA发送至节点所属电力物联网安全分平台;智能终端节点B在首次接入电力物联网时用其节点ID私钥KIDPRIB对节点信息MB签名,并将签名SB1与节点信息MB发送至节点所属电力物联网安全分平台;
在步骤103,节点所属电力物联网安全分平台用节点ID公钥KIDPUBA验证签名SA1,并审核所述节点信息MA,当签名SA1验证通过且节点信息MA审核通过时,产生节点标识NA;用节点ID公钥KIDPUBB验证签名SB1,并审核所述节点信息MB,当签名SB1验证通过且节点信息MB审核通过时,产生节点标识NB;根据节点标识NA从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点A的节点私钥KPRIA与节点公钥KPUBA,根据节点标识NB从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点B的节点私钥KPRIB与节点公钥KPUBB,并用电力物联网安全主平台ID公钥KIDPUB2加密所述节点标识NA、NB、节点公钥KPUBA、KPUBB与节点私钥KPRIA、KPRIB生成第二加密信息后,将所述第二加密信息发送至电力物联网安全主平台。
在本优选实施方式中,所述节点标识是一个变量,将节点标识值输入预设的映射算法中即可从公钥因子矩阵与私钥因子矩阵中提取出节点的公钥与私钥。
在步骤104,电力物联网安全主平台用其ID私钥KIDPRI2解密所述第二加密信息,得到所述智能终端节点A的节点标识NA、节点公钥KPUBA与节点私钥KPRIA,以及智能终端节点B的节点标识NB、节点公钥KPUBB与节点私钥KPRIB后保存。
在步骤105,智能终端节点A所属电力物联网安全分平台用节点ID公钥KIDPUBA加密节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA生成第三加密信息后,将所述第三加密信息发送给申请注册的智能终端节点A,智能终端节点B所属电力物联网安全分平台用节点ID公钥KIDPUBB加密节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB生成第三加密信息后,将所述第三加密信息发送给申请注册的智能终端节点B;
在步骤106,申请注册的智能终端节点A成为注册节点A,并利用节点ID私钥KIDPRIA对所述第三加密信息解密得到节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA;申请注册的智能终端节点B成为注册节点B,并利用节点ID私钥KIDPRIB对所述第三加密信息解密得到节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB。
在步骤107,注册节点A使用节点私钥KPRIA签名节点标识NA,生成签名SA2后,将所述节点标识NA与签名SA2发送至注册节点B处;
在步骤108,基于注册节点A的节点标识NA,注册节点A的节点公钥KPUBA被注册节点B从公钥因子矩阵中提取出来,并根据注册节点A的节点公钥KPUBA验证签名SA2,当验证签名SA2成功时,注册节点A被注册节点B认证通过;
在步骤109,注册节点A接收注册节点B发送的节点标识NB与签名SB2,其中,所述签名SB2由注册节点B使用节点私钥KPRIB签名节点标识NB生成;
在步骤110,注册节点A根据收到的注册节点B的节点标识NB从公钥因子矩阵中提取出注册节点B的节点公钥KPUBB,注册节点A用注册节点B的节点公钥KPUBB验证签名SB2,当验证签名SB2成功时,注册节点A对注册节点B的认证通过,注册节点A和注册节点B的双向认证完成。
优选地,所述电力物联网包括一个安全主平台,以及属于所述安全主平台的不少于两个的安全分平台。
进一步地,一个智能终端节点可以属于多个安全分平台,且一个时间段只能属于一个安全分平台。在本实施例中,智能充电桩由于不可移动,因此,在没拆除移走之前一直属于一个安全分平台,而新能源汽车由于具有可移动性,因此,在不同的时间段,当它位于不同的位置时,可能属于不同的安全分平台。
图2为根据本发明优选实施方式的电力物联网智能终端间的身份认证系统的结构示意图。如图2所示,本优选实施方式所述的电力物联网智能终端间的身份认证系统200包括:
配置单元201,为接入电力物联网的智能终端节点A和智能终端节点B配置芯片ID号,并根据智能终端节点A的芯片ID号配置节点ID私钥KIDPRIA和节点ID公钥KIDPUBA,根据智能终端节点B的芯片ID号配置节点ID私钥KIDPRIB和节点ID公钥KIDPUBB,以及将智能终端节点A和智能终端节点B的节点ID公私钥对记录在所述智能终端节点所属的电力物联网安全分平台;
为电力物联网安全分平台配置分平台ID号,并根据分平台ID号配置分平台ID私钥KIDPRI1和分平台ID公钥KIDPUB1,以及将所述分平台ID公私钥对记录在电力物联网安全主平台;为电力物联网安全主平台配置主平台ID号,并根据主平台ID号配置主平台ID私钥KIDPRI2和主平台ID公钥KIDPUB2,以及将所述主平台ID公私钥对记录在电力物联网安全分平台;电力物联网安全主平台生成公钥因子矩阵PUB和私钥因子矩阵PRI,并用分平台ID公钥KIDPUB1加密所述公钥因子矩阵PUB和私钥因子矩阵PRI以生成第一加密信息后,将所述第一加密信息分发至给安全分平台;安全分平台用其ID私钥KIDPRI1对所述第一加密信息解密得到公钥因子矩阵PUB和私钥因子矩阵PRI。
安全主平台202,用于生成公钥因子矩阵,并发送至安全分平台存储;
安全分平台203,用于接收其下属的智能终端节点A和智能终端节点B发送的签名和节点信息,并根据所述签名和节点信息对智能终端节点A和智能终端节点B进行注册,并在智能终端节点智能终端节点A和智能终端节点B注册成功,成为注册节点A和注册节点B后,将注册节点A和注册节点B的节点私钥、节点标识和公钥因子矩阵发送至智能终端节点,其中,所述签名是智能终端节点A和智能终端节点B在首次接入电力物联网时用其节点ID私钥对节点信息进行的签名,其中,所述签名是智能终端节点A和智能终端节点B在首次接入电力物联网时用节点ID私钥对节点信息进行的签名。
智能终端节点A和智能终端节点B,其用于首次接入电力物联网时,在节点所属电力物联网安全分平台进行注册,并在注册成功时成为注册节点A和注册节点B,接收其所属电力物联网安全分平台发送的节点私钥、节点标识和公钥因子矩阵,以及根据所述节点私钥、节点标识和公钥因子矩阵完成身份认证,其中,注册节点A使用节点私钥KPRIA签名节点标识NA,生成签名SA2后,将所述节点标识NA与签名SA2发送至注册节点B处;基于注册节点A的节点标识NA,注册节点A的节点公钥KPUBA被注册节点B从公钥因子矩阵中提取出来,并根据注册节点A的节点公钥KPUBA验证签名SA2,当验证签名SA2成功时,注册节点A被注册节点B认证通过;注册节点A接收注册节点B发送的节点标识NB与签名SB2,其中,所述签名SB2由注册节点B使用节点私钥KPRIB签名节点标识NB生成;注册节点A根据收到的注册节点B的节点标识NB从公钥因子矩阵中提取出注册节点B的节点公钥KPUBB,注册节点A用注册节点B的节点公钥KPUBB验证签名SB2,当验证签名SB2成功时,注册节点A对注册节点B的认证通过,注册节点A和注册节点B的双向认证完成。
优选地,所述电力物联网安全主平台202还用于生成私钥因子矩阵PRIB,并用分平台ID公钥KIDPUB1加密所述公钥因子矩阵PUB和私钥因子矩阵PRIB以生成第一加密信息后,将所述第一加密信息分发至给安全分平台;用其ID私钥KIDPRIB2解密所述第二加密信息,得到所述智能终端节点A的节点标识NA、节点公钥KPUBA与节点私钥KPRIA,以及智能终端节点B的节点标识NB、节点公钥KPUBB与节点私钥KPRIB后保存;
电力物联网分平台203还用于用于用其ID私钥KIDPRI1对所述第一加密信息解密得到公钥因子矩阵PUB和私钥因子矩阵PRI;接收智能终端节点A的签名SA1与节点信息MA,以及和智能终端节点B的签名SB1与节点信息MB;用节点ID公钥KIDPUBA验证签名SA1,并审核所述节点信息MA,当签名SA1验证通过且节点信息MA审核通过时,产生节点标识NA;用节点ID公钥KIDPUBB验证签名SB1,并审核所述节点信息MB,当签名SB1验证通过且节点信息MB审核通过时,产生节点标识NB;根据节点标识NA从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点的节点私钥KPRIA与节点公钥KPUBA,根据节点标识NB从电力物联网安全主平台生成的公钥因子矩阵PUB和私钥因子矩阵PRI中计算出所述智能终端节点的节点私钥KPRIB与节点公钥KPUBB,并用电力物联网安全主平台ID公钥KIDPUB2加密所述节点标识NA、NB、节点公钥KPUBA、KPUBB与节点私钥KPRIA、KPRIB生成第二加密信息后,将所述第二加密信息发送至电力物联网安全主平台;用节点ID公钥KIDPUBA加密节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA生成第三加密信息后,将所述第三加密信息发送给申请注册的智能终端节点A,用节点ID公钥KIDPUBB加密节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB生成第三加密信息后,将所述第三加密信息发送给申请注册的智能终端节点B;
智能终端节点A还用于首次接入电力物联网时用其节点ID私钥KIDPRIA对节点信息MA签名,并将签名SA1与节点信息MA发送至节点所属电力物联网安全分平台进行注册;当智能终端节点A注册成功成为注册节点A后,还用于利用节点ID私钥KIDPRIA对所述第三加密信息解密得到节点私钥KPRIA、公钥因子矩阵PUB、节点标识NA;
智能终端节点B还用于在首次接入电力物联网时用其节点ID私钥KIDPRIB对节点信息MB签名,并将签名SB1与节点信息MB发送至节点所属电力物联网安全分平台;当智能终端节点B注册成功成为注册节点B后,还用于利用节点ID私钥KIDPRIB对所述第三加密信息解密得到节点私钥KPRIB、公钥因子矩阵PUB、节点标识NB。
优选地,所述系统包括一个安全主平台,以及属于所述安全主平台的不少于两个的安全分平台。
优选地,一个智能终端节点可以属于多个安全分平台,且一个时间段只能属于一个安全分平台。
本发明所述电力物联网智能终端间的身份认证系统实现注册的智能终端节点之间的身份认证的步骤与本发明所述电力物联网智能终端间的身份认证的方法采取的步骤相同,并且达到的技术效果也相同,此处不再赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:一种联盟链跨链中保护数据隐私的方法、装置及系统