【技術實現步驟摘要】
本專利技術實施例涉及通信安全,尤其涉及一種分布式電源業務終端認證方法、系統、設備、介質及產品。
技術介紹
1、隨著光伏和風電等分布式電源(distributed?generation,dg)大規模接入電網,電網的安全穩定性面臨挑戰。這些分布式電源具有數量眾多、分布廣泛的特征。通過5g和wifi的跨域融合組網,可以充分發揮兩者的優勢,滿足分布式電源業務集群調控對通信網絡的需求。
2、目前,非3gpp網絡可以通過非3gpp互通功能(non-3gpp?interworking?function,n3iwf)連接到5g核心網。用戶終端首先連接到非信任的非3gpp網絡,例如wi-fi,然后通過n3iwf安全5g網關接入5g核心網。n3iwf通過n2接口和n3接口分別連接到5g核心網的控制面和用戶面功能,實現終端從非授信的非3gpp網絡接入到5g核心網。面對海量分布式電源業務終端接入5g+wifi融合網絡的情況,如何實現這些終端的統一網絡認證成為一個需要解決的問題。
3、在5g與非3gpp網絡的跨域融合中,目前支持eap-aka和5g-aka兩種接入認證方式。然而,這兩種認證方式依賴于sim卡進行身份驗證,涉及到與認證中心和家庭位置寄存器之間的復雜通信和密鑰派生過程,認證過程較為復雜,效率不高。同時,這兩種認證方式對設備的要求也較高,導致認證效率低、安全性差和成本高的問題。
技術實現思路
1、本專利技術提供了一種分布式電源業務終端認證方法、系統、設備、介質及產品,以解決
2、根據本專利技術的一方面,提供了一種分布式電源業務終端認證方法,應用于分布式電源業務終端認證系統,所述分布式電源業務終端認證系統包括至少一個終端、5g網關和認證服務器,所述方法包括:
3、所述終端在接收到5g網關發送的受保護的可擴展的身份驗證協議peap開啟認證報文后,通過所述5g網關向所述認證服務器發送peap終端hello響應報文,其中,所述peap終端hello響應報文至少包括隨機數、加密算法列表和壓縮算法;
4、所述認證服務器生成第一消息,并利用服務器私鑰和終端公鑰對所述第一消息進行簽密,得到第一密簽消息,通過所述5g網關將所述第一密簽消息和服務器hello消息發送至所述終端,其中,所述服務器hello消息至少包括目標加密算法和所述壓縮算法,所述目標加密算法基于所述加密算法列表確定,所述服務器私鑰基于密鑰生成中心的系統參數和第一初始私鑰確定,所述終端公鑰基于所述系統參數確定;
5、所述終端基于終端私鑰、服務器公鑰和所述第一密簽消息,確定所述認證服務器合法的情況下,生成第二消息,并利用所述終端私鑰和所述服務器公鑰對所述第二消息進行簽密,得到第二密簽消息,將所述第二密簽消息發送至所述認證服務器,其中,所述終端私鑰基于所述系統參數和第二初始私鑰確定,所述服務器公鑰基于所述系統參數確定;
6、所述終端在所述認證服務器基于所述第二密簽消息確認所述終端合法的情況下,利用所述服務器公鑰對預主密鑰進行加密,得到加密預主密鑰,并通過所述5g網關將所述加密預主密鑰發送至所述認證服務器,利用所述目標加密算法對所述預主密鑰和所述隨機數進行計算,得到第一會話密鑰;
7、所述認證服務器利用所述服務器私鑰對所述加密預主密鑰進行解密,得到所述預主密鑰,基于所述預主密鑰和所述隨機數,利用所述目標加密算法,確定第二會話密鑰,并通過所述5g網關發送tsl確認消息至所述終端,其中,所述tsl確認消息包括所述第二會話密鑰和tls?finished消息;
8、所述終端在接收到所述tsl確認消息后,通過5g網關向所述認證服務器發送tlsok報文,確定tsl通道建立成功;
9、所述認證服務器在接收到tlsok報文后,生成第一挑戰消息,并通過所述第二會話密鑰對所述第一挑戰消息進行加密,將得到的第一加密挑戰消息發送至所述終端,并在接收到所述終端發送的挑戰成功消息后,向所述終端發送eap成功消息,完成所述終端認證。
10、根據本專利技術的另一方面,提供了一種基于分布式電源業務終端認證系統,其特征在于,包括至少一個終端、5g網關和認證服務器,其中:
11、所述終端,用于在接收到5g網關發送的受保護的可擴展的身份驗證協議peap開啟認證報文后,通過所述5g網關向所述認證服務器發送peap終端hello響應報文,其中,所述peap終端hello響應報文至少包括隨機數、加密算法列表和壓縮算法;
12、所述認證服務器,用于生成第一消息,并利用服務器私鑰和終端公鑰對所述第一消息進行簽密,得到第一密簽消息,通過所述5g網關將所述第一密簽消息和服務器hello消息發送至所述終端,其中,所述服務器hello消息至少包括目標加密算法和所述壓縮算法,所述目標加密算法基于所述加密算法列表確定,所述服務器私鑰基于密鑰生成中心的系統參數和第一初始私鑰確定,所述終端公鑰基于所述系統參數確定;
13、所述終端,用于基于終端私鑰、服務器公鑰和所述第一密簽消息,確定所述認證服務器合法的情況下,生成第二消息,并利用所述終端私鑰和所述服務器公鑰對所述第二消息進行簽密,得到第二密簽消息,將所述第二密簽消息發送至所述認證服務器,其中,所述終端私鑰基于所述系統參數和第二初始私鑰確定,所述服務器公鑰基于所述系統參數確定;
14、所述終端,用于在所述認證服務器基于所述第二密簽消息確認所述終端合法的情況下,利用所述服務器公鑰對預主密鑰進行加密,得到加密預主密鑰,并通過所述5g網關將所述加密預主密鑰發送至所述認證服務器,利用所述目標加密算法對所述預主密鑰和所述隨機數進行計算,得到第一會話密鑰;
15、所述認證服務器,用于利用所述服務器私鑰對所述加密預主密鑰進行解密,得到所述預主密鑰,基于所述預主密鑰和所述隨機數,利用所述目標加密算法,確定第二會話密鑰,并通過所述5g網關發送tsl確認消息至所述終端,其中,所述tsl確認消息包括所述第二會話密鑰和tls?finished消息;
16、所述終端,用于在接收到所述tsl確認消息后,通過5g網關向所述認證服務器發送tlsok報文,確定tsl通道建立成功;
17、所述認證服務器,用于在接收到tlsok報文后,生成第一挑戰消息,并通過所述第二會話密鑰對所述第一挑戰消息進行加密,將得到的第一加密挑戰消息發送至所述終端,并在接收到所述終端發送的挑戰成功消息后,向所述終端發送eap成功消息,完成所述終端認證。
18、根據本專利技術的另一方面,提供了一種電子設備,所述電子設備被配置為分布式電源業務終端認證系統中的終端或認證服務器,所述電子設備包括:
19、至少一個處理器;以及
20、與所述至少一個處理器通信連接的存儲器;其中,
21、所述存儲器存儲有可被所述至少一個處理器執行的計算機程序,所述計算機程序被所述至少一個處理器本文檔來自技高網...
【技術保護點】
1.一種分布式電源業務終端認證方法,其特征在于,應用于分布式電源業務終端認證系統,所述分布式電源業務終端認證系統包括至少一個終端、5G網關和認證服務器,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,還包括:
3.根據權利要求1所述的方法,其特征在于,所述終端在接收到5G網關發送的PEAP開啟認證報文之前,還包括:
4.根據權利要求3所述的方法,其特征在于,所述認證服務器將得到的第一加密挑戰消息發送至所述終端之后,還包括:
5.根據權利要求1所述的方法,其特征在于,所述終端的身份ID基于物理不可克隆函數確定。
6.根據權利要求1所述的方法,其特征在于,所述第一消息基于所述隨機數、終端身份ID和第一時間戳生成,所述終端身份ID由所述終端發送至所述認證服務器中;
7.一種基于分布式電源業務終端認證系統,其特征在于,包括至少一個終端、5G網關和認證服務器,其中:
8.一種電子設備,其特征在于,所述電子設備被配置為分布式電源業務終端認證系統中的終端或認證服務器,所述電子設備包括:
9
10.一種計算機程序產品,其特征在于,所述計算機程序產品包括計算機程序,所述計算機程序在被處理器執行時實現根據權利要求1-6中任一所述的分布式電源業務終端認證方法。
...【技術特征摘要】
1.一種分布式電源業務終端認證方法,其特征在于,應用于分布式電源業務終端認證系統,所述分布式電源業務終端認證系統包括至少一個終端、5g網關和認證服務器,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,還包括:
3.根據權利要求1所述的方法,其特征在于,所述終端在接收到5g網關發送的peap開啟認證報文之前,還包括:
4.根據權利要求3所述的方法,其特征在于,所述認證服務器將得到的第一加密挑戰消息發送至所述終端之后,還包括:
5.根據權利要求1所述的方法,其特征在于,所述終端的身份id基于物理不可克隆函數確定。
6.根據權利要求1所述的方法,其特征在于,所述第一消息基于所述隨機數、...
【專利技術屬性】
技術研發人員:蔣承伶,李維,陸忞,周昶,劉海璇,史筱瑋,汪春,滕菲,李秋生,孫佳煒,酈競偉,李天一,楊林青,季鈺款,戴然,李靜雅,朱紅勤,
申請(專利權)人:國網江蘇省電力有限公司南京供電分公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。