计量器具检测设备动态接入信息化系统的认证方法及系统

技术领域

本发明涉及信息认证技术领域，并且更具体地，涉及一种计量器具检测设备动态接入信息化系统的认证方法及系统。

背景技术

根据计量发展规划的要求，需要开展计量数字化转型研究。其中最重要的就是打通业务系统与试验设备的交互通道，而设备接入系统需要经过安全认证保证网络安全。由于计量器具检测设备通常无人看管，物理及通信安全都非常薄弱，非常容易受到克隆、伪造、冒充、拦截、窃听等攻击，同时设备受算力和功耗限制，很难执行复杂的认证和加密算法。传统的认证方案通常采用椭圆曲线密码算法，计算量大，不能抵抗量子攻击。无法满足计量器具检测设备安全接入的应用要求。

因此，需要一种可信的计量器具检测设备接入信息化系统认证方法。

发明内容

本发明提出一种计量器具检测设备动态接入信息化系统的认证方法及系统，以解决如何安全地实现计量器具检测设备和信息化系统安全接入的问题。

为了解决上述问题，根据本发明的一个方面，提供了一种计量器具检测设备动态接入信息化系统的认证方法，所述方法包括：

智能边缘网关对计量器具检测设备发送的认证请求进行解析，以获取第一认证信息R

智能边缘网关根据所述信息组信息M

智能边缘网关比较所述第一认证信息R

优选地，其中所述方法还包括：

信息系统服务器进行初始化，选择满足NTRU算法的系统参数(N，p，q)和4个多项式集(F

优选地，其中所述方法还包括：

在信息系统服务器初始化完毕后，信息系统服务器通过安全通道向智能边缘网关选择一个多项式f

并根据式h

优选地，其中所述方法还包括：

信息系统服务器通过安全信道为任一个计量器具检测设备B

并根据式

优选地，其中所述方法还包括：

计量器具检测设备利用如下方式确定第一认证信息R

当任一计量器具检测设备B

将根据当前时间t

优选地，其中所述将根据当前时间t

将根据当前时间加设备编码生成的64bit的序列按32bit分割成2个字节{H

将2个字节{H

其中，

优选地，其中所述根据所述网络身份信息P

根据计量器具检测设备公钥信息h

根据本发明的另一个方面，提供了一种计量器具检测设备动态接入信息化系统的认证系统，所述系统包括：

解析单元，用于使智能边缘网关对计量器具检测设备发送的认证请求进行解析，以获取第一认证信息R

第二认证信息计算单元，用于使智能边缘网关根据所述信息组信息M

认证单元，用于智能边缘网关比较所述第一认证信息R

优选地，其中所述系统还包括：

第一初始化单元，用于使信息系统服务器进行初始化，选择满足NTRU算法的系统参数(N，p，q)和4个多项式集(F

优选地，其中所述系统还包括：

第二初始化单元，用于在信息系统服务器初始化完毕后，使信息系统服务器通过安全通道向智能边缘网关选择一个多项式f

并根据式h

优选地，其中所述系统还包括：

第三初始化单元，用于使信息系统服务器通过安全信道为任一个计量器具检测设备B

并根据式

优选地，其中所述系统还包括：

第一认证信息计算单元，用于使计量器具检测设备利用如下方式确定第一认证信息R

当任一计量器具检测设备B

将根据当前时间t

优选地，其中所述第一认证信息计算单元，将根据当前时间t

将根据当前时间加设备编码生成的64bit的序列按32bit分割成2个字节{H

将2个字节{H

其中，

优选地，其中所述第二认证信息计算单元，根据所述网络身份信息P

根据计量器具检测设备公钥信息h

本发明提供了一种计量器具检测设备动态接入信息化系统的认证方法及系统，包括：智能边缘网关对计量器具检测设备发送的认证请求进行解析，以获取第一认证信息R

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明实施方式的计量器具检测设备动态接入信息化系统的认证方法100的流程图；

图2为根据本发明实施方式的计量器具检测设备动态接入信息化系统的认证交互图；

图3为根据本发明实施方式的计量器具检测设备动态接入信息化系统的认证系统300的结构示意图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明实施方式的计量器具检测设备动态接入信息化系统的认证方法100的流程图。如图1所示，本发明实施方式提供的计量器具检测设备动态接入信息化系统的认证方法，通过动态变化时间加设备编号序列通过哈希函数产生了动态密钥，解决了固定哈希函数产生动态密钥的内部攻击安全问题，能够实现计量检测设备动态接入信息化系统的安全认证。

。本发明实施方式提供的计量器具检测设备动态接入信息化系统的认证方法100，从步骤101处开始，在步骤101；其中，第一认证信息R

在步骤102，智能边缘网关根据所述信息组信息M

在步骤103，智能边缘网关比较所述第一认证信息R

优选地，其中所述方法还包括：

信息系统服务器进行初始化，选择满足NTRU算法的系统参数(N，p，q)和4个多项式集(F

优选地，其中所述方法还包括：

在信息系统服务器初始化完毕后，信息系统服务器通过安全通道向智能边缘网关选择一个多项式f

并根据式h

优选地，其中所述方法还包括：

信息系统服务器通过安全信道为任一个计量器具检测设备B

并根据式

优选地，其中所述方法还包括：

计量器具检测设备利用如下方式确定第一认证信息R

当任一计量器具检测设备B

将根据当前时间t

优选地，其中所述将根据当前时间t

将根据当前时间加设备编码生成的64bit的序列按32bit分割成2个字节{H

将2个字节{H

其中，

通常NTRU安全认证算法中，核心参数和多项式级是静态的，需要通过边缘计算服务器进行全网更新，同步使用时间长，更新速度慢，缺少动态变化，网络系统更易被攻击。因此的，本发明提出基于动态变化时间加设备编号的动态哈希函数生成方式，不需要进行全网更新，就可以实现NTRU算法的动态更新。

基于动态变化时间加设备编码的动态哈希函数生成的过程包括：

1.根据国网企业标准Q/GDW1205-2013《电能计量器具条码》，计量器具的标识代码由22位数字组成，代码结构由七部分组成，其结构和代码位数见表1；

表1核查标准器具代码结构及位数

2.根据电力物联网时间同步要求，根据年、月、日、小时、分钟，时间代码由12位数字组成，这个代码随时间动态变化，如表2所示。

表2时间代码结构及位数

3.将动态变化时间加上设备编号，并分配相应的字位数，共得到一组64bit的序列，结构如表3所示。

表3动态变化时间加设备编码的代码结构及位数

在工业强度NTRU安全级别中，采用128bit强度对称加密系统，因此需将64bit的动态变化时间加设备编码的序列扩展至128bit，并按每分钟通过哈希函数动态改变密钥。具体地，将64bit的动态变化时间加设备编码的序列按32bit分割成2个字节{H

通过将2个字节{H

进而得到128bit的哈希函数，哈希函数每分钟变换一次，即

H

结合图2所示，在本发明的实施方式中，在进行认证前可以进行信息系统服务器、智能边缘网关和计量器具检测设备的初始化。具体地，包括：

1.信息系统服务器初始化。首先对信息系统服务器初始化，选择满足NTRU算法的系统参数(N，p，q)(其中N为正素数，p和q互素，且q大于p)和4个多项式集(F

2、智能边缘网关初始化。在信息系统服务器初始化完毕后，信息系统服务器通过安全通道向智能边缘网关选择一个多项式f

并根据式h

3、计量器具检测设备初始化。信息系统服务器通过安全信道为每一个计量器具检测设备B

并根据式

当计量器具检测设备B

优选地，其中所述根据所述网络身份信息P

根据计量器具检测设备公钥信息h

结合图2所示，在本发明的实施方式中，计量器具检测设备首先随机选择一个多项式r

并生成身份验证码

再根据当前时间t

最后，计量器具检测设备将信息{M

本发明中采用的哈希函数

当智能边缘网关验证时，智能边缘网关接收到计量器具检测设备B

本发明的方法通过动态变化时间加设备编号序列通过哈希函数产生了动态密钥，解决了固定哈希函数产生动态密钥的内部攻击安全问题，实现了计量检测设备接入信息化系统的安全认证。

图3为根据本发明实施方式的计量器具检测设备动态接入信息化系统的认证系统300的结构示意图。如图3所示，本发明实施方式提供的计量器具检测设备动态接入信息化系统的认证系统300，包括：解析单元301、第二认证信息计算单元302和认证单元303。

优选地，所述解析单元301，用于使智能边缘网关对计量器具检测设备发送的认证请求进行解析，以获取第一认证信息R

优选地，所述第二认证信息计算单元302，用于使智能边缘网关根据所述信息组信息M

优选地，其中所述第二认证信息计算单元302，根据所述网络身份信息P

根据计量器具检测设备公钥信息h

优选地，所述认证单元303，用于智能边缘网关比较所述第一认证信息R

优选地，其中所述系统还包括：

第一初始化单元，用于使信息系统服务器进行初始化，选择满足NTRU算法的系统参数(N，p，q)和4个多项式集(F

优选地，其中所述系统还包括：

第二初始化单元，用于在信息系统服务器初始化完毕后，使信息系统服务器通过安全通道向智能边缘网关选择一个多项式f

并根据式h

优选地，其中所述系统还包括：

第三初始化单元，用于使信息系统服务器通过安全信道为任一个计量器具检测设备B

并根据式

优选地，其中所述系统还包括：

第一认证信息计算单元，用于使计量器具检测设备利用如下方式确定第一认证信息R

当任一计量器具检测设备B

将根据当前时间t

优选地，其中所述第一认证信息计算单元，将根据当前时间t

将根据当前时间加设备编码生成的64bit的序列按32bit分割成2个字节{H

将2个字节{H

其中，

本发明的实施例的计量器具检测设备动态接入信息化系统的认证系统300与本发明的另一个实施例的计量器具检测设备动态接入信息化系统的认证方法100相对应，在此不再赘述。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。