一种进行标识信息传输的安全认证方法和系统与流程

本发明专利申请属于电力系统需求侧互动，具体涉及一种进行标识信息传输的安全认证方法和系统。

背景技术：

1、工业互联网标识解析系统通过构建人、机、物全面互联的基础设施，可以实现工业设计、研发、生产、销售、服务等产业要素的全面互联，提升协作效率，对促进工业数据的开放流动、聚合并推动工业资源的优化集成与自由调度、支撑工业集成创新应用具有重要意义。

2、目前工业互联网标识已经形成了一个相对完整的框架体系，包括基础标准、编码标准、标识标准、解析标准和应用标准五个部分，层次清晰、结构完整，其二级节点总体架构主要分为四个层次，即接入层、标识层、管理层和应用层，同时各层应采取必要的安全保障措施。接入层实现各类电力用户的异构通信接入，为实现不同行业不同类型设备的负荷数据规范化接入管理，构建统一接口架构与dsr的统一数据模型。在标识层，主要为企业节点用户提供表示注册、标识解析、标示查询等服务。管理层的作用是对标识编码、标识技术标准等进行规范管理。应用层则是利用标识解析体系开展一系列电力供需互动标识数据服务，如需求响应、新能源消纳、多能协同、能效分析等。

3、目前，传统的认证方式是托管密钥进行的认证，需要进行大量复杂的计算和处理之后才能得到密钥，效率速度上非常缓慢。

技术实现思路

1、为克服上述现有技术的不足，本发明专利申请提出了一种进行标识信息传输的安全认证方法，包括：

2、标识应用层通过标识解析网络域建立与连接设备之间的数据连接关系；

3、标识应用层将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；

4、所述验证数据由连接设备基于连接设备密文生成。

5、作为优选的，所述验证数据包括：标识应用层密文和标识应用层认证摘要。

6、作为优选的，所述对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证，包括：

7、标识应用层对验证数据中的标识应用层认证摘要进行解析得到共享密钥并对其进行验证；

8、标识应用层对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要发送至连接设备完成共享密钥的认证；

9、所述标识应用层认证摘要由连接设备基于共享密钥和标识应用层待认证消息生成；所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成。

10、作为优选的，所述对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要，包括：

11、标识应用层解析标识应用层密文得到连接设备一次性号码和连接设备身份；

12、标识应用层基于连接设备一次性号码和连接设备身份，结合自身身份生成连接设备待认证消息；

13、标识应用层基于连接设备待认证消息和验证后的共享密钥生成连接设备认证摘要。

14、作为优选的，所述连接设备认证摘要，通过以下式子进行计算：

15、s2＝hmac(kba,m2)

16、式中，s2为连接设备认证摘要；kba为共享密钥；m2为连接设备待认证消息；hmac(…)为哈希函数。

17、作为优选的，所述连接设备密文的生成，包括：

18、标识应用层基于自身的消息计数器和初始随机值生成标识应用层一次性号码，结合自身身份创建连接设备密文。

19、作为优选的，所述标识应用层一次性号码，通过以下式子进行计算：

20、noncea＝counter||iv

21、式中，noncea为标识应用层一次性号码；counter为消息计数器；iv为初始随机值；

22、所述连接设备密文，通过以下式子进行计算：

23、c4＝eab(ida|noncea)

24、式中，c4为连接设备密文；ida为标识应用层身份；eab(…)为第二加密函数。

25、基于同一发明构思，本发明专利申请还提出了一种进行标识信息传输的安全认证系统，包括：

26、标识应用层连接建立模块，用于通过标识解析网络域建立与连接设备之间的数据连接关系；

27、标识应用层共享密钥认证模块，用于将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；

28、所述验证数据由连接设备基于连接设备密文生成。

29、作为优选的，所述标识应用层共享密钥认证模块中的验证数据包括：标识应用层密文和标识应用层认证摘要。

30、作为优选的，所述标识应用层共享密钥认证模块对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证，包括：

31、标识应用层对验证数据中的标识应用层认证摘要进行解析得到共享密钥并对其进行验证；

32、标识应用层对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要发送至连接设备完成共享密钥的认证；

33、所述标识应用层认证摘要由连接设备基于共享密钥和标识应用层待认证消息生成；所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成。

34、作为优选的，所述标识应用层共享密钥认证模块对验证数据中的标识应用层密文进行解析，并基于解析后的标识应用层密文和验证后的共享密钥生成连接设备认证摘要，包括：

35、标识应用层解析标识应用层密文得到连接设备一次性号码和连接设备身份；

36、标识应用层基于连接设备一次性号码和连接设备身份，结合自身身份生成连接设备待认证消息；

37、标识应用层基于连接设备待认证消息和验证后的共享密钥生成连接设备认证摘要。

38、作为优选的，所述标识应用层共享密钥认证模块中连接设备认证摘要，通过以下式子进行计算：

39、s2＝hmac(kba,m2)

40、式中，s2为连接设备认证摘要；kba为共享密钥；m2为连接设备待认证消息；hmac(…)为哈希函数。

41、作为优选的，所述标识应用层共享密钥认证模块中连接设备密文的生成，包括：

42、标识应用层基于自身的消息计数器和初始随机值生成标识应用层一次性号码，结合自身身份创建连接设备密文。

43、作为优选的，所述标识应用层共享密钥认证模块中标识应用层一次性号码，通过以下式子进行计算：

44、noncea＝counter||iv

45、式中，noncea为标识应用层一次性号码；counter为消息计数器；iv为初始随机值；

46、所述标识应用层共享密钥认证模块中连接设备密文，通过以下式子进行计算：

47、c4＝eab(ida|noncea)

48、式中，c4为连接设备密文；ida为标识应用层身份；eab(…)为第二加密函数。

49、基于同一发明构思，本发明专利申请又提出了一种进行标识信息传输的安全认证方法，包括：

50、连接设备通过标识解析网络域建立与标识应用层之间的数据连接关系；

51、连接设备接收标识应用层发送的连接设备密文之后，基于连接设备密文生成共享密钥，并基于共享密钥生成验证数据发送到标识应用层，接收标识应用层发送的其处理后的验证数据完成共享密钥的认证。

52、作为优选的，所述基于连接设备密文生成共享密钥，包括：

53、连接设备解析标识应用层发送的连接设备密文得到标识应用层一次性号码；

54、连接设备基于标识应用层一次性号码，结合自身的消息计数器和初始随机值生成的连接设备一次性号码，以及自身身份生成共享密钥。

55、作为优选的，所述验证数据包括：标识应用层密文和标识应用层认证摘要。

56、作为优选的，所述基于共享密钥生成验证数据发送到标识应用层，包括：

57、基于连接设备一次性号码和自身身份生成标识应用层密文发送到标识应用层；

58、基于共享密钥和标识应用层待认证消息生成标识应用层认证摘要发送到标识应用层；

59、所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成。

60、作为优选的，所述共享密钥，通过以下式子进行计算：

61、kba＝hkdf(noncea,nonceb,idb)

62、式中，kba为共享密钥；noncea为标识应用层一次性号码；nonceb为连接设备一次性号码；idb为连接设备身份；hkdf(…)为密钥派生函数。

63、作为优选的，所述处理后的验证数据包括：连接设备认证摘要。

64、基于同一发明构思，本发明专利申请再提出了一种进行标识信息传输的安全认证系统，包括：

65、连接设备连接建立模块，用于通过标识解析网络域建立与标识应用层之间的数据连接关系；

66、连接设备共享密钥认证模块，用于接收标识应用层发送的连接设备密文之后，基于连接设备密文生成共享密钥，并基于共享密钥生成验证数据发送到标识应用层，接收标识应用层发送的其处理后的验证数据完成共享密钥的认证。

67、作为优选的，所述连接设备共享密钥认证模块基于连接设备密文生成共享密钥，包括：

68、连接设备解析标识应用层发送的连接设备密文得到标识应用层一次性号码；

69、连接设备基于标识应用层一次性号码，结合自身的消息计数器和初始随机值生成的连接设备一次性号码，以及自身身份生成共享密钥。

70、作为优选的，所述连接设备共享密钥认证模块中验证数据包括：标识应用层密文和标识应用层认证摘要。

71、作为优选的，所述连接设备共享密钥认证模块基于共享密钥生成验证数据发送到标识应用层，包括：

72、基于连接设备一次性号码和自身身份生成标识应用层密文发送到标识应用层；

73、基于共享密钥和标识应用层待认证消息生成标识应用层认证摘要发送到标识应用层；

74、所述标识应用层待认证消息由连接设备基于连接设备身份，以及解析所述连接设备密文得到的标识应用层一次性号码和标识应用层身份生成。

75、作为优选的，所述连接设备共享密钥认证模块中共享密钥，通过以下式子进行计算：

76、kba＝hkdf(noncea,nonceb,idb)

77、式中，kba为共享密钥；noncea为标识应用层一次性号码；nonceb为连接设备一次性号码；idb为连接设备身份；hkdf(…)为密钥派生函数。

78、作为优选的，所述连接设备共享密钥认证模块中处理后的验证数据包括：连接设备认证摘要。

79、基于同一发明构思，本发明专利申请再提出了一种进行标识信息传输的安全认证系统，包括：

80、标识应用层，用于执行上述标识应用层所执行的方法；

81、标识解析网络域，用于建立标识应用层和连接设备之间的连接关系；

82、连接设备，用于执行上述连接设备所执行的方法。

83、基于同一发明构思，本发明专利申请又提出了一种计算机设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序；

84、当所述一个或多个程序被所述一个或多个处理器执行时，实现上述的一种进行标识信息传输的安全认证方法。

85、基于同一发明构思，本发明专利申请再提出了一种计算机可读存储介质，其上存有计算机程序，所述计算机程序被执行时，实现上述的一种进行标识信息传输的安全认证方法。

86、与最接近的现有技术相比，本发明专利申请具有的有益效果如下：

87、本发明专利申请提供了一种进行标识信息传输的安全认证方法和系统，包括：标识应用层通过标识解析网络域建立与连接设备之间的数据连接关系；标识应用层将自身生成的连接设备密文发送至连接设备后接收连接设备返回的验证数据，对验证数据进行处理，并将处理后的验证数据发送至连接设备完成共享密钥的认证；所述验证数据由连接设备基于连接设备密文生成；本发明专利申请通过共享密钥对标识应用层和连接设备进行认证，与传统的托管密钥相比，本发明专利申请所提的共享密钥更加轻量级，更适合各层之间的高效通信，管理方面也相对简单。