一种基于电力设备指纹的加密认证方法及系统与流程

1.本技术涉及信息安全技术领域，特别是涉及一种基于电力设备指纹的加密认证方法及系统。


背景技术：

2.随着智能电网的发展，为对电网的整体运行状态进行全面的感知，越来越多的智能化感知设备在电网中大量应用；这些感知设备存在数量众多、部署分散、无人值守等问题，容易遭到攻击，成为攻击者进一步向电网的核心系统进行攻击的跳板，因此需要对这些接入电网的末梢设备进行接入认证，防止伪造终端接入电网系统。
3.由于这些感知设备计算资源有限，成本和功耗要求比较低，采用植入密码芯片进行身份认证的方式不大适用。
4.针对上述的现有技术中存在的感知设备计算资源有限，成本和功耗要求比较低，采用植入密码芯片进行身份认证的方式不大适用的技术问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本公开的实施例提供了一种基于电力设备指纹的加密认证方法，以至少解决现有技术中存在的感知设备计算资源有限，成本和功耗要求比较低，采用植入密码芯片进行身份认证的方式不大适用的技术问题。
6.根据本公开实施例的一个方面，提供了一种基于电力设备指纹的加密认证方法，包括：终端设备将登录报文发送至网关，所述登录报文为所述终端设备的基本信息，包括终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、登录计数器counter以及登陆时间标签t
s
；所述网关接收所述登录报文后，获取所述终端设备的基本信息，根据所述终端设备的基本信息生成动态设备指纹，基于预先设置的特殊码字和所述动态设备指纹计算获得网关加密会话密钥和网关校验会话密钥；所述网关生成第一随机数，并根据所述网关加密会话密钥和所述网关校验会话密钥，计算网关第一密文和网关第一校验值，并将所述第一随机数、所述网关第一密文和所述网关第一校验值组装成身份鉴别请求报文发送至所述终端设备；所述终端设备接收所述身份鉴别请求报文后，对所述身份鉴别请求报文进行验证和解密，生成第二随机数，并根据所述第二随机数，确定身份鉴别响应报文，将所述身份鉴别响应报文发送至所述网关；所述网关接收所述身份鉴别响应报文后，对所述身份鉴别响应报文进行验证和解密，确定身份鉴别确认报文，将所述身份鉴别确认报文发送至所述终端设备；所述终端设备接收所述身份鉴别确认报文后，对所述身份鉴别确认报文进行验证和解密，确定身份鉴别结束报文，并将所述身份鉴别结束报文发送至所述网关。
7.根据本公开实施例的另一方面，还提供了一种基于电力设备指纹的加密认证系统，包括：发送登录报文模块，利用终端设备将登录报文发送至网关，所述登录报文为所述
终端设备的基本信息，包括终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、登录计数器counter以及登陆时间标签t
s
；获取会话密钥模块，利用所述网关接收所述登录报文后，获取所述终端设备的基本信息，根据所述终端设备的基本信息生成动态设备指纹，基于预先设置的特殊码字和所述动态设备指纹计算获得网关加密会话密钥和网关校验会话密钥；发送身份鉴别请求报文模块，利用所述网关生成第一随机数，并根据所述网关加密会话密钥和所述网关校验会话密钥，计算网关第一密文和网关第一校验值，并将所述第一随机数、所述网关第一密文和所述网关第一校验值组装成身份鉴别请求报文发送至所述终端设备；发送身份鉴别响应报文模块，利用所述终端设备接收所述身份鉴别请求报文后，对所述身份鉴别请求报文进行验证和解密，生成第二随机数，并根据所述第二随机数，确定身份鉴别响应报文，将所述身份鉴别响应报文发送至所述网关；发送身份鉴别确认报文模块，利用所述网关接收所述身份鉴别响应报文后，对所述身份鉴别响应报文进行验证和解密，确定身份鉴别确认报文，将所述身份鉴别确认报文发送至所述终端设备；发送身份鉴别结束报文模块，利用所述终端设备接收所述身份鉴别确认报文后，对所述身份鉴别确认报文进行验证和解密，确定身份鉴别结束报文，并将所述身份鉴别结束报文发送至所述网关。
8.在本发明中，终端设备向安全网关发送联网登陆报文，安全网关接收到联网登陆报文请求后、获取该终端设备的基本信息，并生成第一随机数，以及向终端设备发送身份鉴别请求报文；终端设备对身份鉴别请求报文进行验证或和解密后返回身份鉴别响应报文；安全网关再对身份鉴别响应报文进行验证或和解密比对成功后允许终端设备联网登陆；通过基于设备指纹的身份鉴别保证每一个接入内部网络的终端设备都具有合法的身份，从根源上杜绝非法设备的接入，大大提高了电力内部网络的安全性。
附图说明
9.此处所说明的附图用来提供对本公开的进一步理解，构成本技术的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：
10.图1是根据本公开实施例所述的一种基于电力设备指纹的加密认证方法的流程示意图；
11.图2是根据本公开实施例所述的基于设备指纹的加密认证过程的示意图；
12.图3是根据本公开实施例所述的一种基于电力设备指纹的加密认证系统的示意图。
具体实施方式
13.现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。
14.除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其
相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。
15.根据本技术的第一个方面，提供了一种基于电力设备指纹的加密认证方法100。参考图1所示，该方法100包括：
16.s102:终端设备将登录报文发送至网关，所述登录报文为所述终端设备的基本信息，包括终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、登录计数器counter以及登陆时间标签t
s
；
17.s104:所述网关接收所述登录报文后，获取所述终端设备的基本信息，根据所述终端设备的基本信息生成动态设备指纹，基于预先设置的特殊码字和所述动态设备指纹计算获得网关加密会话密钥和网关校验会话密钥；
18.s106:所述网关生成第一随机数，并根据所述网关加密会话密钥和所述网关校验会话密钥，计算网关第一密文和网关第一校验值，并将所述第一随机数、所述网关第一密文和所述网关第一校验值组装成身份鉴别请求报文发送至所述终端设备；
19.s108:所述终端设备接收所述身份鉴别请求报文后，对所述身份鉴别请求报文进行验证和解密，生成第二随机数，并根据所述第二随机数，确定身份鉴别响应报文，将所述身份鉴别响应报文发送至所述网关；
20.s110:所述网关接收所述身份鉴别响应报文后，对所述身份鉴别响应报文进行验证和解密，确定身份鉴别确认报文，将所述身份鉴别确认报文发送至所述终端设备；
21.s112:所述终端设备接收所述身份鉴别确认报文后，对所述身份鉴别确认报文进行验证和解密，确定身份鉴别结束报文，并将所述身份鉴别结束报文发送至所述网关。
22.具体地，参考图2所示，终端和网关上线部署前，分别预置特殊码字；终端发送登陆报文；
23.网关收到登陆报文，获取登录报文的基本信息，然后根据登陆报文中的基本信息计算生成动态设备指纹，再基于预置特殊码字和动态设备指纹计算获得会话密钥，终端执行同样的计算步骤得到会话密钥；
24.网关生成第一随机数，向所述终端设备发送身份鉴别请求报文；
25.终端对所述身份鉴别请求报文进行验证和解密，验证通过后，生成第二随机数，向所述网关发送身份鉴别响应报文；
26.网关对所述身份鉴别响应报文进行验证和解密，验证通过后，计算会话密钥，向终端返回身份鉴别确认报文；
27.终端对身份鉴别确认报文进行验证和解密，解密后计算会话密钥并进行信息比对，信息比对通过后向网关返回身份鉴别结束报文。
28.所述网关和终端上线部署前，分别预置特殊码字包括：l1、l2、l3。
29.所述终端发送登陆报文包括：终端设备类型d
t
，终端设备逻辑地址d
a
，通信信道类型c
t
及信道信息长度c
l
，计数器counter，登陆时间标签t
s
等。
30.所述网关收到登陆报文，获取登录报文的基本信息，然后根据登陆报文中的基本信息计算生成动态设备指纹，再基于预置特殊码字和动态设备指纹计算获得会话密钥，终端执行同样的计算步骤得到会话密钥，具体计算过程包括：
31.网关收到登陆报文，首先计算设备动态指纹c1＝hash
sm3
(d
t
||d
a
||c
t
||c
l
||counter||t
s
)，然后计算加密会话密钥k
e
＝(left((c1∧l1),16))∧(right((c1∧l1),16))和校验会
话密钥k
m
＝(left((c1∧l2),16))∧(right((c1∧l2),16))；终端执行同样的计算也获取k
e
和k
m
。所述∧为异或计算。所述函数left((a),16)为截取数据a的前16字节数据；所述函数right((a),16)为截取数据a的后16字节数据。
32.所述网关生成第一随机数，向所述终端设备发送身份鉴别请求报文包括：
33.网关生成随机数r1，计算密文m1＝enc(k
e
,counter||r1)；校验值mac1＝enc(k
m
,m1)；将密文m1和校验值mac1组装成身份鉴别报文发送给终端。所述密文m1采用sm4
‑
ecb模式加密；所述mac1采用sm4
‑
ecb模式加密后取前4字节得到。
34.所述终端对所述身份鉴别请求报文进行验证和解密后向网关返回身份鉴别响应报文包括：
35.终端收到报文，首先计算校验值mac1'＝enc(k
m
,m1)，对比mac1'是否与mac1相同，若相同，执行dec(k
e
,m1)，得到counter和r1,对比计数器是否与登陆时发送的数值相同，相同则记录随机数r1。
36.所述的基于电力设备指纹的加密认证方法，其特征在于，所述终端生成第二随机数，向所述网关发送身份鉴别响应报文包括：
37.终端生成随机数r2，计算密文m2＝enc(k
e
,r1||r2)，校验值mac2＝enc(k
m
,m2)；将m2和mac2组装成身份鉴别响应报文发送给网关。所述密文m2采用sm4
‑
ecb模式加密；所述mac2采用sm4
‑
ecb模式加密后取前4字节得到。
38.网关收到身份鉴别响应报文后，首先计算校验值mac2'＝enc(k
m
,m2)，对比mac2'是否与mac2相同，若相同，执行，获得r1和r2,对比r1是否与原来的随机数r1相同，若相同则记录r2；计算数据加密初始值iv＝left(hash(l3||r1||r2),16)∧right(hash(l3||r1||r2),16)；计算密文m3＝enc(k
e
,iv),校验值mac3＝enc(k
m
,m3)；将m3和mac3组装成身份鉴别确认报文发送给终端。所述left(hash(l3||r1||r2),16)是截取的前16字节数据；是截取hash(l3||r1||r2)的后16字节数据。
39.终端收到身份鉴别确认报文，首先计算校验值mac3'＝enc(k
m
,m3)，对比mac3'是否与mac3相同，若相同，执行解密密文dec(k
e
,m3)运算得到iv,按照网关计算iv的方式计算iv'，对比iv与iv'是否相同，相同则记录iv，向网关返回身份鉴别结束报文。
40.身份鉴别结束，后续网关与终端使用k
e
,k
m
和iv，采用sm4
‑
cbc模式对后续交互的报文进行加密和校验值计算，对报文的机密性和完整性进行保护。
41.从而，终端设备向安全网关发送联网登陆报文，安全网关接收到联网登陆报文请求后、获取该终端设备的基本信息，并生成第一随机数，以及向终端设备发送身份鉴别请求报文；终端设备对身份鉴别请求报文进行验证或和解密后返回身份鉴别响应报文；安全网关再对身份鉴别响应报文进行验证或和解密比对成功后允许终端设备联网登陆；通过基于设备指纹的身份鉴别保证每一个接入内部网络的终端设备都具有合法的身份，从根源上杜绝非法设备的接入，大大提高了电力内部网络的安全性。
42.可选地，所述网关接收所述登录报文后，获取所述终端设备的基本信息，根据所述终端设备的基本信息生成动态设备指纹，基于预先设置的特殊码字和所述动态设备指纹计算获得会话密钥，终端执行同样的计算步骤得到会话密钥，包括：获取所述终端设备的基本信息的终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、计数器
counter以及登陆时间标签t
s
；根据终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、计数器以及登陆时间标签t
s
，计算所述动态设备指纹c1＝hash
sm3
(d
t
||d
a
||c
t
||c
l
||counter||t
s
)；基于预先设置的特殊码字l1和所述动态设备指纹c1计算获得会话密钥，计算网关加密会话密钥k
e
＝(left((c1∧l1),16))∧(right((c1∧l1),16))和网关校验会话密钥k
m
＝(left((c1∧l2),16))∧(right((c1∧l2),16))。
43.可选地，所述网关生成第一随机数，并根据所述网关加密会话密钥和所述网关校验会话密钥，计算网关第一密文和网关第一校验值，并将所述第一随机数、所述网关第一密文和所述网关第一校验值组装成身份鉴别请求报文发送至所述终端设备，包括：网关生成第一随机数r1；根据所述网关加密会话密钥k
e
和所述网关校验会话密钥k
m
，计算网关第一密文m1＝enc(k
e
,counter||r1)和网关第一校验值mac1＝enc(k
m
,m1)，所述网关第一密文m1采用sm4
‑
ecb模式加密；所述网关第一校验值mac1采用sm4
‑
ecb模式加密后取前4字节得到；将所述第一随机数r1、所述网关第一密文m1和所述网关第一校验值mac1组装成身份鉴别请求报文发送至所述终端设备。
44.可选地，所述终端设备接收所述身份鉴别请求报文后，对所述身份鉴别请求报文进行验证和解密，生成第二随机数，包括：所述终端设备接收所述身份鉴别请求报文后，计算终端第一密文m1＇和终端第一校验值mac1'＝enc(k
m
,m1)；将所述终端第一校验值mac1＇与所述网关第一校验值mac1进行对比，若所述终端第一校验值mac1＇与所述网关第一校验值mac1相同，执行解密密文dec(k
e
,m1)，确定更新后的计数器和第一随机数r1；将所述更新后的计数器与所述登录计数器counter进行对比，若所述更新后的计数器与所述登录计数器counter相同，根据所述第一随机数r1，生成第二随机数r2。
45.可选地，所述终端设备根据所述第二随机数，确定身份鉴别响应报文，将所述身份鉴别响应报文发送至所述网关，包括：所述终端设备根据所述第二随机数r2，计算终端第二密文m2＝enc(k
e
,r1||r2)和终端第二校验值mac2＝enc(k
m
,m2)；将所述终端第二密文m2和所述终端第二校验值mac2组装成身份鉴别响应报文，所述终端第二密文m2采用sm4
‑
ecb模式加密；所述终端第二校验值mac2采用sm4
‑
ecb模式加密后取前4字节得到；将所述身份鉴别响应报文发送至所述网关。
46.可选地，所述网关接收所述身份鉴别响应报文后，对所述身份鉴别响应报文进行验证和解密，确定身份鉴别确认报文，将所述身份鉴别确认报文发送至所述终端设备，包括：所述网关接收所述身份鉴别响应报文后，计算网关第二校验值mac2'＝enc(k
m
,m2)；将所述网关第二校验值mac2'与所述终端第二校验值mac2进行对比；若所述网关第二校验值mac2'与所述终端第二校验值mac2相同，执行解密密文dec(k
e
,m2)，获取更新后的第一随机数和更新后的第二随机数；将更新后的第一随机数的数值与所述第一随机数的数值进行对比，若所述更新后的第一随机数的数值与所述第一随机数的数值相同，记录更新后的第二随机数；根据所述更新后的第一随机数和更新后的第二随机数，计算网关数据加密初始值iv＝left(hash(l3||r1||r2),16)∧right(hash(l3||r1||r2),16)，计算网关第三密文m3＝enc(k
e
,iv)和网关第三校验值mac3＝enc(k
m
,m3)，其中left(hash(l3||r1||r2),16)是截取hash(l3||r1||r2)的前16字节数据；right(hash(l3||r1||r2),16)是截取hash(l3||r1||r2)的后16字节数据；将所述网关第三密文m3和所述网关第三校验值mac3组装成身份鉴别确认报文；将所述身份鉴别确认报文发送至所述终端设备。
47.可选地，所述终端设备接收所述身份鉴别确认报文后，对所述身份鉴别确认报文进行验证和解密，确定身份鉴别结束报文，并将所述身份鉴别结束报文发送至所述网关，包括：所述终端设备接收所述身份鉴别确认报文后，计算终端第三校验值mac3'＝enc(k
m
,m3)；将所述终端第三校验值mac3'与所述网关第三校验值mac3进行对比，若所述终端第三校验值mac3'与所述网关第三校验值mac3相同，执行解密密文dec(k
e
,m3)运算得到网关数据加密初始值iv；根据所述网关数据加密初始值iv，计算终端数据加密初始值iv＇，若所述网关数据加密初始值iv与所述终端数据加密iv＇相同，记录所述网关数据加密初始值iv，向网关返回身份鉴别结束报文。
48.从而，终端设备向安全网关发送联网登陆报文，安全网关接收到联网登陆报文请求后、获取该终端设备的基本信息，并生成第一随机数，以及向终端设备发送身份鉴别请求报文；终端设备对身份鉴别请求报文进行验证或和解密后返回身份鉴别响应报文；安全网关再对身份鉴别响应报文进行验证或和解密比对成功后允许终端设备联网登陆；通过基于设备指纹的身份鉴别保证每一个接入内部网络的终端设备都具有合法的身份，从根源上杜绝非法设备的接入，大大提高了电力内部网络的安全性。
49.根据本技术的另一个方面，还提供了一种基于电力设备指纹的加密认证系统300。参考图3所示，该系统300包括：发送登录报文模块310，利用终端设备将登录报文发送至网关，所述登录报文为所述终端设备的基本信息，包括终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、登录计数器counter以及登陆时间标签t
s
；获取会话密钥模块320，利用所述网关接收所述登录报文后，获取所述终端设备的基本信息，根据所述终端设备的基本信息生成动态设备指纹，基于预先设置的特殊码字和所述动态设备指纹计算获得网关加密会话密钥和网关校验会话密钥；发送身份鉴别请求报文模块330，利用所述网关生成第一随机数，并根据所述网关加密会话密钥和所述网关校验会话密钥，计算网关第一密文和网关第一校验值，并将所述第一随机数、所述网关第一密文和所述网关第一校验值组装成身份鉴别请求报文发送至所述终端设备；发送身份鉴别响应报文模块340，利用所述终端设备接收所述身份鉴别请求报文后，对所述身份鉴别请求报文进行验证和解密，生成第二随机数，并根据所述第二随机数，确定身份鉴别响应报文，将所述身份鉴别响应报文发送至所述网关；发送身份鉴别确认报文模块350，利用所述网关接收所述身份鉴别响应报文后，对所述身份鉴别响应报文进行验证和解密，确定身份鉴别确认报文，将所述身份鉴别确认报文发送至所述终端设备；发送身份鉴别结束报文模块360，利用所述终端设备接收所述身份鉴别确认报文后，对所述身份鉴别确认报文进行验证和解密，确定身份鉴别结束报文，并将所述身份鉴别结束报文发送至所述网关。
50.可选地，获取会话密钥模块320，包括：获取基本信息子模块，用于获取所述终端设备的基本信息的终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、计数器counter以及登陆时间标签t
s
；计算动态设备指纹子模块，用于根据终端设备类型d
t
、终端设备逻辑地址d
a
、通信信道类型c
t
、信道信息长度c
l
、计数器counter以及登陆时间标签t
s
，计算所述动态设备指纹c1＝hash
sm3
(d
t
||d
a
||c
t
||c
l
||counter||t
s
)；计算会话密钥子模块，用于基于预先设置的特殊码字l1和所述动态设备指纹c1计算获得会话密钥，计算网关加密会话密钥k
e
＝(left((c1∧l1),16))∧(right((c1∧l1),16))和网关校验会话密钥k
m
＝(left((c1∧l2),16))∧(right((c1∧l2),16))。
51.可选地，发送身份鉴别请求报文模块330，包括：生成第一随机数子模块，用于网关生成第一随机数r1；计算网关第一校验值子模块，用于根据所述网关加密会话密钥k
e
和所述网关校验会话密钥k
m
，计算网关第一密文m1＝enc(k
e
,counter||r1)和网关第一校验值mac1＝enc(k
m
,m1)，所述网关第一密文m1采用sm4
‑
ecb模式加密；所述网关第一校验值mac1采用sm4
‑
ecb模式加密后取前4字节得到；发送身份鉴别请求报文子模块，用于将所述第一随机数r1、所述网关第一密文m1和所述网关第一校验值mac1组装成身份鉴别请求报文发送至所述终端设备。
52.可选地，发送身份鉴别响应报文模块340，包括：计算终端第一校验值子模块，用于所述终端设备接收所述身份鉴别请求报文后，计算终端第一密文m1＇和终端第一校验值mac1'＝enc(k
m
,m1)；更新第一随机数子模块，用于将所述终端第一校验值mac1＇与所述网关第一校验值mac1进行对比，若所述终端第一校验值mac1＇与所述网关第一校验值mac1相同，执行解密密文dec(k
e
,m1)，确定更新后的计数器和第一随机数r1；生成第二随机数子模块，用于将所述更新后的计数器与所述登录计数器counter进行对比，若所述更新后的计数器与所述登录计数器counter相同，根据所述第一随机数r1，生成第二随机数r2。
53.可选地，发送身份鉴别响应报文模块340，包括：计算终端第二校验值子模块，用于所述终端设备根据所述第二随机数r2，计算终端第二密文m2＝enc(k
e
,r1||r2)和终端第二校验值mac2＝enc(k
m
,m2)；确定身份鉴别响应报文子模块，用于将所述终端第二密文m2和所述终端第二校验值mac2组装成身份鉴别响应报文，所述终端第二密文m2采用sm4
‑
ecb模式加密，所述终端第二校验值mac2采用sm4
‑
ecb模式加密后取前4字节得到；发送身份鉴别响应报文子模块，用于将所述身份鉴别响应报文发送至所述网关。
54.可选地，发送身份鉴别确认报文模块350，包括：计算网关第二校验值子模块，用于所述网关接收所述身份鉴别响应报文后，计算网关第二校验值mac2'＝enc(k
m
,m2)；对比第二校验值子模块，用于将所述网关第二校验值mac2'与所述终端第二校验值mac2进行对比；更新第二随机数子模块，用于若所述网关第二校验值mac2'与所述终端第二校验值mac2相同，执行解密密文dec(k
e
,m2)，获取更新后的第一随机数和更新后的第二随机数；记录第二随机数子模块，用于将更新后的第一随机数的数值与所述第一随机数的数值进行对比，若所述更新后的第一随机数的数值与所述第一随机数的数值相同，记录更新后的第二随机数；计算网关第三校验值子模块，用于根据所述更新后的第一随机数和更新后的第二随机数，计算网关数据加密初始值iv＝left(hash(l3||r1||r2),16)∧right(hash(l3||r1||r2),16)，计算网关第三密文m3＝enc(k
e
,iv)和网关第三校验值mac3＝enc(k
m
,m3)，其中left(hash(l3||r1||r2),16)是截取hash(l3||r1||r2)的前16字节数据；right(hash(l3||r1||r2),16)是截取hash(l3||r1||r2)的后16字节数据；确定身份鉴别确认报文子模块，用于将所述网关第三密文m3和所述网关第三校验值mac3组装成身份鉴别确认报文；发送身份鉴别确认报文子模块，用于将所述身份鉴别确认报文发送至所述终端设备。
55.可选地，发送身份鉴别结束报文模块360，包括：计算终端第三校验值子模块，用于所述终端设备接收所述身份鉴别确认报文后，计算终端第三校验值mac3'＝enc(k
m
,m3)；得到网关数据加密初始值子模块，用于将所述终端第三校验值mac3'与所述网关第三校验值mac3进行对比，若所述终端第三校验值mac3'与所述网关第三校验值mac3相同，执行解密密文dec(k
e
,m3)运算得到网关数据加密初始值iv；返回身份鉴别结束报文子模块，用于根据所
述网关数据加密初始值iv，计算终端数据加密初始值iv＇，若所述网关数据加密初始值iv与所述终端数据加密iv＇相同，记录所述网关数据加密初始值iv，向网关返回身份鉴别结束报文。
56.本发明的实施例的一种基于电力设备指纹的加密认证系统300与本发明的另一个实施例的一种基于电力设备指纹的加密认证方法100相对应，在此不再赘述。
57.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。本技术实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言java和直译式脚本语言javascript等。
58.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
59.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
60.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
61.尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
62.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。