电力物联网轻量级身份认证方法、装置及电子设备与流程

本技术涉及密码安全，具体地涉及一种电力物联网轻量级身份认证方法、一种电力物联网轻量级身份认证装置、一种电子设备以及对应的存储介质。

背景技术：

1、现有的基于sm2算法的pki认证协议，由公钥和私钥形成一个密钥对，其中公钥向公众公开，私钥归密钥持有人单独保管。通讯双方使用非对称密钥对数据进行加密和解密时，必须使用相互匹配的公钥和私钥。它有两种方式：一种是发送方用接收方的公钥来加密信息，接收方用其私钥解密信息，这样接收方可以收到多个发送方传来的加密数据，且此加密数据只有接收方一个用户可以解读；另一种即发送方利用自身的私钥加密信息，接收方用对方公钥解密信息，这样一个信息有可能被多个接收方解密。

2、现有的基于sm2算法的身份认证协议，当网络规模较大时，面临密码分发、密钥管理等可扩展问题；终端密钥泄露，将会导致与该终端共享密钥的所有其他终端面临通信安全问题在数字证书创建、分发、注销等过程中，面临数字证书体积大，认证时带宽、功耗要求高等问题，由于物联终端计算能力有限，该密码体系需要通过数字证书绑定公钥与身份，应用在物联网环境下海量终端的身份认证场景，存在证书管理成本与密钥分发管理成本较高的问题。

技术实现思路

1、本技术实施例的目的是提供一种电力物联网轻量级身份认证方法、装置及电子设备，基于sm9算法身份标识的密码技术(identity-based cryptography，ibc)，以终端身份标识作为公钥，基于标识密码算法，通过设计面向电力物联网终端的轻量级密钥管理方案，可保障底层终端通信的安全性，以至少解决背景技术中的部分问题。

2、为了实现上述目的，在本技术中提供了一种电力物联网轻量级身份认证方法，应用于融合终端，所述融合终端与物联终端、主站业务系统相连，该方法包括：接收所述物联终端的身份认证请求，所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳；基于所述身份认证请求中的设备业务标识生成设备公钥，并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致；在验证一致的情况下，接收所述物联终端的上报数据请求，所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据；基于所述上报数据请求中的设备业务标识生成设备公钥，在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时，将所述上报数据转发至所述主站业务系统。

3、优选地，所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成，所述密码安全模块为轻量级密码软模块或安全元件芯片。

4、优选地，所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识：密钥离线分发装置获取所述物联终端的设备序列号，并将所述设备序列号转发至密码服务平台；接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识；在所述物联终端的生产过程中，将所述业务密钥和设备业务标识配置至所述物联终端。

5、优选地，所述密码服务平台通过调用标识管理模块生成所述设备业务标识；所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机，得到所述业务密钥。

6、优选地，所述轻量级密码微服务被配置为提供以下服务中的至少一者：设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。

7、优选地，所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。

8、本技术还提供了一种电力物联网轻量级身份认证装置，应用于融合终端，所述融合终端与物联终端、主站业务系统相连，该装置包括：认证接收模块，用于接收所述物联终端的身份认证请求，所述身份认证请求包括设备业务标识、时间戳和经业务密钥加密的时间戳；数据验证模块，用于基于所述身份认证请求中的设备业务标识生成设备公钥，并验证经所述设备公钥加密的时间戳是否与所述经业务密钥加密的时间戳一致；数据接收模块，用于在验证一致的情况下，接收所述物联终端的上报数据请求，所述上报数据请求包括设备业务标识、上报数据和经业务密钥加密的上报数据；以及数据转发模块，基于所述上报数据请求中的设备业务标识生成设备公钥，在经所述设备公钥加密的上报数据与所述经业务密钥加密的上报数据一致时，将所述上报数据转发至所述主站业务系统。

9、优选地，所述经业务密钥加密的时间戳由集成于所述物联终端中密码安全模块生成，所述密码安全模块为轻量级密码软模块或安全元件芯片。

10、优选地，所述物联终端通过以下步骤得到所述业务密钥和所述设备业务标识：密钥离线分发装置获取所述物联终端的设备序列号，并将所述设备序列号转发至密码服务平台；接收所述密码服务平台返回的与所述设备序列号对应的业务密钥和设备业务标识；在所述物联终端的生产过程中，将所述业务密钥和设备业务标识配置至所述物联终端。

11、优选地，所述密码服务平台通过调用标识管理模块生成所述设备业务标识；所述密码服务平台通过调用轻量级密码微服务访问轻量级密码机，得到所述业务密钥。

12、优选地，所述轻量级密码微服务被配置为提供以下服务中的至少一者：设备管理、密钥管理、安全策略管理、设备监测、密码运算接口和设备行为审计。

13、优选地，所述密钥离线分发装置、所述密码服务平台和所述轻量级密码机为分离设置。

14、在本技术中还提供了一种电子设备，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现前述的电力物联网轻量级身份认证方法的步骤。

15、在本技术中还提供了一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成执行实现前述的电力物联网轻量级身份认证方法的步骤。

16、在本技术中还提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现前述的电力物联网轻量级身份认证方法的步骤。

17、上述技术方案具有以下有益效果：

18、(1)简化了部署和管理：相比复杂的pki架构，本技术实施方式的部署和管理更加简化，其不需要建立和维护复杂的证书颁发机构(ca)体系，减少了复杂的证书管理和密钥分发流程。

19、(2)轻量级实施：本技术实施方式使用轻量级密码软模块或se芯片，不需要复杂的加密算法和大型的密钥管理系统，使得方案在资源受限的物联网设备上实施更加轻便。

20、(3)认证高效性：本技术实施方式利用设备业务密钥发行和时间戳等机制，能够快速验证物联终端设备的身份。相比pki的证书验证过程，减少了复杂的验证步骤，提高了认证效率。同时微服务形式支持集群方式部署，增加了系统并发量和流畅度。

21、(4)本地存储和保护：本技术实施方式将设备初始密钥本地存储于物联终端设备中，不依赖外部的证书存储。这提高了密钥的安全性，减少了对网络连接和外部服务器的依赖。

22、(5)灵活性和可扩展性：方案通过设备业务标识(bid)和设备公钥验证，实现了灵活的认证流程。它可以适应各种物联终端设备和应用场景，并支持批量申请和管理大量设备的初始密钥。

23、(6)安全可靠：本技术实施方式综合使用国密算法sm9/sm2/sm3/sm4，支持sm9标识密码算法和sm2无证书公钥密码体制，采用挑战应答、数字信封多种安全技术，实现身份和业务认证、数据安全传输、数据加密存储、数据签名与验签等多种安全功能，构建了全方位的安全保护体系。

24、本技术实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。