[发明专利]基于标识加密算法的智能电网终端接入认证方法和系统

说明书

本发明公开了一种基于标识加密算法的智能电网终端接入认证方法和系统，包括以下步骤：采用虹膜识别方式在终端侧对终端操作人员的合法性进行确认；基于SM9标识加密算法对终端进行身份认证，若认证通过则终端接入服务器；服务器基于CHAP协议动态改变认证凭据对终端进行不定时认证；终端接入服务器后，服务器监视终端的性能和实时状态，当终端的状态出现异常时服务器发出警示信息或断开与终端的连接。该认证系统包括终端和服务器，所述终端设有确认模块，所述服务器设有第一认证模块、第二认证模块和终端状态检测模块。本发明的认证方法和系统具有安全性高、海量终端设备的安全接入认证效率高的特点。

技术领域

本发明涉及加密技术领域，尤其涉及基于标识加密算法的智能电网终端接入认证方法和系统。

背景技术

随着信息化技术的发展，电力系统逐渐信息化，且业务范围在不断扩大。在智能电网的构建过程中，产生了越来越多的智能化测控类终端设备，这些设备数量多并且分布广泛，其远程接入需求在不断增长。现如今，电力系统面临着业务种类多、数据规模大、信息交互复杂等问题，非法访问、数据被窃取等风险急剧增加。电网移动业务(移动智能端完成的业务，包括移动办公、移动营销、移动作业等)访问过程中的安全隐患主要来自于终端，具有多渠道、多类型和不确定性的特点，给其安全接入带来困扰，针对终端接入时身份的认证而是当前的急需解决的一个问题。

传统基于公钥基础设施(Public Key Infrastructure，PKI)的身份认证机制安全性高，但依赖于第三方认证机构(CertificateAuthority，CA)，并且需要单独创建一个证书给每一台终端设备，身份认证的过程存在大量的证书交换，其证书管理体系异常复杂，不利于安全应用的部署。而基于身份标识密码技术的认证方式，不需要申请和交换证书，可有效降低密钥管理的复杂性，但也存在着许多缺陷，如可能面临重放攻击，以及用户口令往往过于简单易遭受字典攻击；此外，用于身份认证的私钥存储于用户侧，存在被窃取的风险。

发明内容

本发明的目的在于提出一种基于标识加密算法的智能电网终端接入认证方法，采用基于虹膜的识别方式对终端操作人员的合法性进行确认，采用基于SM9标识加密算法的终端认证机制，确保海量终端设备的接入安全，对CHAP协议加以改进，结合此协议增强身份认证，弥补SM9终端身份认证机制的不足，以及监测终端的实时状态，解决了上述访问过程中的安全问题。

本发明的目的在于提出种基于标识加密算法的智能电网终端接入认证系统，该系统具有终端接入安全、体系简单、终端能介入安全性高的特点。

为达此目的，本发明采用以下技术方案：

一种基于标识加密算法的智能电网终端接入认证方法，包括以下步骤：

采用虹膜识别方式在终端侧对终端操作人员的合法性进行确认；若合法则终端向服务器发出连接申请；

服务器收到连接申请后，基于SM9标识加密算法对终端进行身份认证，若认证通过则终端接入服务器；

终端向服务器发起访问时，服务器基于CHAP协议动态改变认证凭据对终端进行不定时认证，若认证失败则服务器断开与终端的连接；

终端接入服务器后，服务器监视终端的性能和实时状态，当终端的状态出现异常时服务器发出警示信息或断开与终端的连接。

进一步的，采用虹膜识别方式在终端侧对终端操作人员的合法性进行确认的方法为：

用户首次注册时，利用终端的身份标识信息向KGC申请注册，KGC生成对应的公钥和私钥，终端设有用于存储私钥的私钥存储模块，终端采集合法操作人员的虹膜数据信息；

当该终端向服务器申请访问时，终端首先对终端操作人员进行虹膜识别，若识别到的虹膜数据信息与预采集的虹膜数据信息一致，则终端获取私钥的使用权限，向服务器发出连接申请。