一种5G通信环境下电力终端安全接入认证方法、装置及系统

技术领域

本发明涉及安全认证技术领域，特别涉及一种5G通信环境下电力终端安全接入认证方法、装置及系统。

背景技术

在各种通信网络环境下，网络信息被监听的危险大大增加，同时，大量终端数据的接入，以及相应的数据处理设备构成一个分布式的网络环境，传统的用户身份鉴别和密钥分发，管理机制存在重大的安全漏洞，在大量数据并发处理时，容易被攻击者发现和破解密钥的关键模块，从而破解关键信息，如非法侵入接入网络，造成安全隐患，因此需要合理的用户身份鉴别和用户授权管理机制，将终端的身份验证和授权机制交互进行。

5G时代，电力终端侧、用户侧和各级系统节点将部署海量终端及5G网络接口，恶意攻击者针对电网物理层的攻击面将急剧扩大，且难以全面、实时的进行监控。全面感知的业务需求推动了终端的泛在化，对现有终端接入防护策略产生了较大的冲击，在这样的条件下，当前针对无线接入的边界防护结构与防护设备的性能无法完全满足要求。

因此在5G网络环境下，大量IoT设备接入网络，安全认证问题也随之成为5G网络所要考虑的一个重要问题。海量的IoT设备接入网络，不仅仅会带来高昂的认证成本，也会极大的影响认证效率。目前，在以GPRS、CDMA、LTD等通信技术为主体的电力信息通信环境下，传统的先签名后加密的认证方式效率低下，无法满足5G技术日益成熟，电力5G应用推广迅速的通信安全需求。且传统的聚合签密基于复杂的双线性对映射构造，计算资源消耗巨大。

发明内容

针对现有技术中电力5G应用通信安全的问题，本发明提出一种5G通信环境下电力终端安全接入认证方法、装置及系统，该方法是5G通信环境下的电力终端安全接入认证方法，以实现高效认证，并同时保障数据的机密性及完整性，可广泛应用于大规模多对一和一对多的通信。

为达到上述目的，本发明采用了以下技术方案：

一种5G通信环境下电力终端安全接入认证方法，包括以下步骤：

获取所有表计加密单元关于消息的签密密文；

采用聚合签密方法计算得到所有表计加密单元的聚合签密密文；

发送聚合签密密文用于验证聚合签密的合法性。

作为本发明的进一步改进，所述表计加密单元关于消息的签密密文是通过系统参数和密钥计算得到，具体计算步骤包括：

参与签密的表计加密单元选取随机数a

计算T

计算C

计算S

得到表计加密单元关于消息m

作为本发明的进一步改进，所述系统参数的生成步骤具体包括：

获取安全参数k，生成两个大素数p、q，且满足q|p-1；

构建哈希函数H

随机选取主密钥z∈Z

作为本发明的进一步改进，所述密钥生成步骤具体包括：

表计加密单元随机选取秘密值x

随机选择r

表计加密单元验证私钥的合法性，即验证等式R

得到表计加密单元的私钥为SK

作为本发明的进一步改进，采用聚合签密方法计算得到所有表计加密单元的聚合签密密文具体包括：

根据签密密文δ

作为本发明的进一步改进，验证聚合签密的合法性具体包括：

计算h

验证下面等式是否成立:

如果等式成立，则聚合签密有效则接收，否则拒绝接收。

作为本发明的进一步改进，聚合签密有效则接收后还包括解密聚合签密步骤，所述解密聚合签密步骤包括：

计算Q′

还原出消息m

一种5G通信环境下电力终端安全接入认证装置，包括：

获取模块，用于获取所有表计加密单元关于消息的签密密文；

聚合签密模块，用于采用聚合签密方法计算得到所有表计加密单元的聚合签密密文；

发送模块，用于发送聚合签密密文用于验证聚合签密的合法性。

一种5G通信环境下电力终端安全接入认证系统，包括所述的5G通信环境下电力终端安全接入认证装置。

一种5G通信环境下电力终端安全接入认证系统，包括聚合签密器；所述聚合签密器执行所述的方法。

本发明的有益效果体现在：

本发明提出的5G通信环境下的电力终端安全接入认证方法，在终端与网络之间引入不含双线性对映射的无证书聚合签密技术，利用聚合签密技术实现电力5G终端签名和密码的批量验证，可以使得签密同时实现对消息的签名和加密，并能在单一的逻辑步骤里同时保证机密性和完整性，相比传统的先签名后加密的方式更加高效。传统的聚合签密基于复杂的双线性对映射构造，计算资源消耗巨大，本发明在在终端与网络之间引入不含双线性对映射的无证书聚合签密技术，运算过程中不含双线性对及指数运算，且部分私钥生成不需要安全信道，利用聚合签密技术实现电力5G终端签名和密码的批量验证，以实现高效轻量级认证，并同时保障数据的机密性及完整性，可广泛应用于计算资源受限的电力物联网大规模、多对一和一对多的通信。

附图说明

图1为本发明一种5G通信环境下电力终端安全接入认证方法流程图。

图2为本发明一种5G通信环境下电力终端安全接入认证模块框图。

图3为本发明认证过程原理图；

图4为本发明一种电力物联网终端安全接入流程。

图5为本发明一种5G通信环境下电力终端安全接入认证系统示意图。

具体实施方式

下面将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

以下详细说明均是示例性的说明，旨在对本发明提供进一步的详细说明。除非另有指明，本发明所采用的所有技术术语与本申请所属领域的一般技术人员的通常理解的含义相同。本发明所使用的术语仅是为了描述具体实施方式，而并非意图限制根据本发明的示例性实施方式。

在电力用电信息采集场景中，当用电高峰期时，1个前置服务器通常需要同时处理上万个集中器的台区信息，可以利用聚合签密技术，在短时间内对来自大量的集中器的签密信息进行批量验证。本发明提出一个不含双线性对的无证书聚合签密方案，结合电力用电信息采集场景来详细描述本文方案的实现过程。

基于本发明的内容给出相关名词解释：

IoT：物联网；

GPRS、CDMA、LTD：2G、3G、4G所用的关键技术；

5G：第5代通信技术；

电力5G终端：物联表、计量表。

如图1所示，本发明第一个目的是提供一种5G通信环境下电力终端安全接入认证方法，应用与聚合方，包括以下步骤：

聚合签密器CYR通过表计加密单元SMU

聚合签密器CYR采用聚合签密方法计算得到所有表计加密单元的聚合签密密文；

发送聚合签密密文给聚合签密接收者(采集前置服务器)UR，聚合签密接收者(采集前置服务器)UR验证聚合签密的合法性。

其中，所述表计加密单元关于消息的签密密文是通过系统参数和密钥计算得到。

作为优选实施例，所述表计加密单元包括单相表、三相表及物联表等。

采用本发明的方法具有以下优点：

1、传统的聚合签密基于复杂的双线性对映射构造，计算资源消耗巨大，本方案运算过程中不含双线性对及指数运算，计算资源消耗小，适用于计算资源受限的电力用电信息采集系统采集终端大规模、多对一和一对多的通信。

2、签密将同时实现消息签名和加密，且聚合签密可以实现多设备同时认证，效率较高。

3、部分私钥生成不需要安全信道，节省了计算资源，提高了认证效率。

以下给出具体的实施例，以对本发明进行详细说明：

如图2所示，方案的合法参与者有密钥服务中心CC、表计加密单元SMU

其中，集中器(专变采集终端)ACUM需要针对不同型号、不同厂家的集中器以及专变采集终端设计聚合签密器CYR用来接收聚合签密密文或对现有通信模块进行扩充。具有一定的技术复杂度和工作量。

如图2～图4所示，具体实现过程如下：

1)系统参数生成

根据输入安全参数k，生成两个大素数p、q，且满足q|p-1。G是椭圆曲线上的循环群，P为G中任意一个阶为q的生成元，Z

2)密钥生成阶段

a.表计加密单元SMU

b.CC随机选择r

c.为确保(R

*若需要，CC也可以计算出SMU

d.这样，SMU

*在密钥生成阶段，CC首先计算出SMU

3)签密

假定参与签密的表计加密单元SMU

a)SMU

b)依次计算h

4)聚合签密

聚合签密器CYR收到δ

5)验证聚合签密

给定n个SMU

a)计算哈希值h

b)验证下面等式是否成立:

如果等式成立，证明聚合签密是有效的，否则拒绝接受。

6)解聚合签密

如果聚合签密验证通过，UR则利用自己的私钥SK

a)计算中间值Q′

b)还原出消息m

本发明签密可以同时实现对消息的签名和加密，并能在单一的逻辑步骤里同时保证机密性和完整性，相比传统的先签名后加密的方式更加高效。本发明在终端与网络之间引入无证书聚合签密技术可以实现高效认证，进而有效地解决上述提到的问题。

如图5所示，本发明的另一目的在于提出一种5G通信环境下电力终端安全接入认证装置，包括：

获取模块，用于获取所有表计加密单元关于消息的签密密文；

聚合签密模块，用于采用聚合签密计算得到聚合签密密文；

发送模块，用于发送聚合签密密文用于验证聚合签密的合法性。

结合图2和图4，本发明还提供一种5G通信环境下电力终端安全接入认证系统，包括所述的5G通信环境下电力终端安全接入认证装置。

结合图1和图4，一种5G通信环境下电力终端安全接入认证系统，包括密钥服务中心CC、表计加密单元SMU

所述聚合签密器CYR执行所述的方法，所述方法包括：

聚合签密器CYR通过表计加密单元SMU

聚合签密器CYR采用聚合签密方法计算得到所有表计加密单元的聚合签密密文；

发送聚合签密密文给聚合签密接收者(采集前置服务器)UR，聚合签密接收者(采集前置服务器)UR验证聚合签密的合法性。

本发明在终端与网络之间引入无证书聚合签密技术可以实现高效认证，能在单一的逻辑步骤里同时保证机密性和完整性，相比传统的先签名后加密的方式更加高效。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。