本發(fā)明屬于物聯(lián)網(wǎng)，具體涉及電力物聯(lián)網(wǎng)場景下wapi雙向接入認(rèn)證系統(tǒng)及方法。

背景技術(shù)：

1、隨著無線網(wǎng)絡(luò)的普及和物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，無線局域網(wǎng)(wlan)的安全性和傳輸效率成為了亟待解決的問題。傳統(tǒng)的wifi標(biāo)準(zhǔn)(如wifi5)在數(shù)據(jù)傳輸速率、網(wǎng)絡(luò)延遲、設(shè)備接入密度及安全性等方面已逐漸難以滿足現(xiàn)代應(yīng)用的需求。wifi6作為新一代無線技術(shù)，通過引入更先進的調(diào)制技術(shù)和信道管理策略，顯著提升了數(shù)據(jù)傳輸速率和網(wǎng)絡(luò)效率。然而，僅僅依靠wifi6的技術(shù)提升并不足以確保無線網(wǎng)絡(luò)的全面安全性，尤其是在面對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境時。

2、wapi是由中國無線局域網(wǎng)國家標(biāo)準(zhǔn)gb15629.11中提出的wlan安全解決方案。標(biāo)準(zhǔn)中包含了全新的wapi(wlan?authentication?and?privacy?infrastructure)安全機制。wapi安全機制由wlan鑒別基礎(chǔ)架構(gòu)(wlan?authentication?infrastructure，wai)和wlan保密基礎(chǔ)架構(gòu)(wlan?privacy?infrastructure，wpi)兩部分組成，wai和wpi分別。實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。wapi能為用戶的wlan系統(tǒng)提供全面的安全保護。在安全處理方面wapi同wep的出發(fā)點相同，但是wapi的身份鑒別和數(shù)據(jù)加密的安全性遠遠超過wep。

3、wapi(無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu))作為我國首個在計算機寬帶無線網(wǎng)絡(luò)通信領(lǐng)域擁有自主創(chuàng)新知識產(chǎn)權(quán)的安全接入技術(shù)標(biāo)準(zhǔn)，通過其獨特的三元對等架構(gòu)和雙向認(rèn)證機制，為無線網(wǎng)絡(luò)提供了高可靠性的安全保障。因此，結(jié)合wapi和wifi6的技術(shù)優(yōu)勢，研究基于wapi的wifi6可信接入增強技術(shù)，具有重要的現(xiàn)實意義和應(yīng)用價值。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于針對現(xiàn)有技術(shù)中存在的問題提供一種電力物聯(lián)網(wǎng)場景下wapi雙向接入認(rèn)證系統(tǒng)及方法，通過這種以接入終端為核心的終端認(rèn)證系統(tǒng)及方法，可以有效地保護網(wǎng)絡(luò)的安全性和可靠性，確保終端設(shè)備的合法性和網(wǎng)絡(luò)連接的安全性，還能提供更靈活和高效的終端接入方式，為用戶提供更好的網(wǎng)絡(luò)體驗和服務(wù)質(zhì)量。

2、本發(fā)明的技術(shù)方案是：

3、一種電力物聯(lián)網(wǎng)場景下wapi雙向接入認(rèn)證方法，包括如下步驟：

4、s1.待入網(wǎng)電力業(yè)務(wù)終端發(fā)出接入請求，接受到認(rèn)證請求的wapi認(rèn)證中心其wapi節(jié)點根據(jù)請求生成隨機數(shù)，并向其余鄰居wapi節(jié)點發(fā)送多跳聚合認(rèn)證請求，用于聚合驗證；收到聚合認(rèn)證請求的節(jié)點會逐跳返回bls算法簽名得到的聚合信息，并在沿途節(jié)點驗證節(jié)點自身隨機數(shù)是否聚合在簽名信息中；如果均驗證成功，才會同意待入網(wǎng)電力業(yè)務(wù)終端的接入請求；否則，拒絕接入；

5、s2.接入終端對接入wapi的電力業(yè)務(wù)終端和新增終端節(jié)點進行分布式終端接入雙向安全認(rèn)證；對合法的業(yè)務(wù)終端進行授權(quán)，實現(xiàn)業(yè)務(wù)終端可信接入，對新增終端節(jié)點進行可信接入驗證；設(shè)備管理、身份認(rèn)證功能從遠程集中認(rèn)證中心下放到邊緣側(cè)接入終端中，完成分布式終端接入雙向認(rèn)證。

6、具體的，所述的聚合驗證具體為：

7、對于多個bls簽名s1,s2,s3...，聚合后的簽名為：

8、sall＝a1*s1+a2*s2+a3*s3+…

9、對應(yīng)聚合后的密鑰：

10、pall＝a1*pka+a2*pkb+a3*pkc+……

11、其中對于系數(shù)ai有：

12、ai＝hash(pi,{p1,p2,p3...})

13、其中s為在接入網(wǎng)節(jié)點及授權(quán)終端間共享的對稱密鑰，作為終端接入必要先驗信息，是第一道認(rèn)證接入防線，pk為公鑰,sk為私鑰，bls_sign基于bls簽名算法，bls簽名信息會在認(rèn)證階段的各節(jié)點間進行傳遞與校驗,bls_signx(y)表示用skx對信息y進行簽名，bls_signall表示簽名聚合操作。

14、具體的，所述的分布式終端接入雙向認(rèn)證具體包括如下步驟：

15、1)a→b：終端a(合法業(yè)務(wù)終端或新增終端)向wapi節(jié)點b發(fā)送認(rèn)證請求,并攜帶a的標(biāo)識,接入節(jié)點b通過遠端數(shù)據(jù)庫查詢id(a)所對應(yīng)的公鑰；

16、2)b→a：

17、wapi節(jié)點b將自身標(biāo)識id(b)用網(wǎng)絡(luò)共享密鑰s加密后發(fā)送給終端a；

18、3)a→b：

19、終端a收到eds{id(b)}后，首先利用網(wǎng)絡(luò)共享密鑰s解密出id(b)；通過id(b)在遠端數(shù)據(jù)庫查詢b的公鑰，然后利用b的公鑰pkb加密自身標(biāo)識id(a)和隨機數(shù)x1，傳遞給節(jié)點b；

20、4)b→c→d→…：多跳聚合認(rèn)證

21、當(dāng)接入節(jié)點b收到電力業(yè)務(wù)終端發(fā)送的id加密信息后，解密，得到id(a)，并向鄰居節(jié)點c發(fā)出多跳聚合認(rèn)證請求，附帶由c公鑰加密的id(a)，鄰居節(jié)點c收到信息會生成x3，并用d公鑰加密id(a)，發(fā)送給d節(jié)點，d節(jié)點用私鑰解密，并在本地生成隨機數(shù)x4；

22、5)…→d→c：eds{id(d),x4},bls_signd(id(a),x1)}

23、鄰居節(jié)點d收到信息，會利用bls算法生成由d私鑰簽名的bls_signd(id(a),x1)，鄰居節(jié)點c收到返回信息，首先利用共享密鑰解密查看鄰居節(jié)點c標(biāo)識是否正確，然后用d的公鑰解密簽名，再利用bls算法生成由c私鑰簽名的id(a)，連同共享密鑰加密的c的標(biāo)識和x4,x3，返回給節(jié)點b；

24、6)c→b：eds{id(c),x3,x4,bls_signc(id(a),x1)}

25、b收到c發(fā)來的信息，使用共享密鑰解密標(biāo)識和其余節(jié)點隨機數(shù)，并使用c的公鑰解密簽名，至此每一個接入網(wǎng)節(jié)點都完成相互驗證，證明接入網(wǎng)節(jié)點均正常；

26、7)b→a：

27、節(jié)點b收到bls_signc(id(a),x1)后，首先用節(jié)點c的公鑰進行解密，得到id(a)，至此，終端a和節(jié)點b交換了各自的身份信息；接著用pka加密x2，并用b的私鑰簽名id(a)與隨機數(shù)x1，發(fā)送給接入網(wǎng)終端a；

28、8)a→b：

29、終端a收到后，首先用ska解密，得到x1，同時，終端a在本地計算(x1)的值，并與解密后的(x1)的值比較，若二者相同，則表明終端a驗證節(jié)點b的身份成功；若結(jié)果不相同，則身份認(rèn)證失敗，認(rèn)證過程結(jié)束，其次，終端a利用bls多重簽名技術(shù)聚合所有私鑰加密信息，然后利用b公鑰加密后發(fā)送給b；

30、9)b→c：

31、節(jié)點b收到后，用skb進行解密，得到bls_signall(id(a),x1)以及x2；經(jīng)終端b認(rèn)定本次接入認(rèn)證成功；則繼續(xù)用c公鑰加密bls_signall(id(a),x1),x3,x4，發(fā)送給c，若不滿足，則終端a接入失敗，認(rèn)證過程結(jié)束，并將結(jié)果告知其余參與節(jié)點，

32、10)c→d:

33、節(jié)點c收到后，用skc進行解

34、密，得到bls_signall(id(a)),x1,x3,x4，同時，節(jié)點c驗證本地存儲的隨機數(shù)是否與解析結(jié)果相同，若二者相同，則表明節(jié)點c驗證終端a的身份成功；若結(jié)果不相同，說明身份認(rèn)證失敗，認(rèn)證過程結(jié)束，若成功，則繼續(xù)用d公鑰加密bls_signall(id(a),x1)，x4發(fā)送給d，d收到后用私鑰解密，按照聚合簽名的方式還原bls_signall信息，驗證各簽名方的合法性。

35、具體的，所述的步驟9)終端b認(rèn)定過程分為兩個部分：

36、1.節(jié)點b驗證自身生成的隨機數(shù)x2是否與解密值一致；

37、2.根據(jù)本次認(rèn)證的各個參與節(jié)點的公鑰與簽名密鑰生成規(guī)則，本地計算pall后解密簽名內(nèi)容，驗證是否能夠得到合法信息。

38、具體的，所述的wapi認(rèn)證中心采用基于sm4的wapi接入認(rèn)證方法。

39、一種電力物聯(lián)網(wǎng)場景下wapi雙向接入認(rèn)證系統(tǒng)，包括接入終端、wapi認(rèn)證中心、ipk標(biāo)識/密鑰管理中心及數(shù)據(jù)庫；

40、所述的接入終端對接入wapi的電力業(yè)務(wù)終端和新增終端節(jié)點進行分布式雙向安全認(rèn)證，對合法的業(yè)務(wù)終端進行授權(quán)，實現(xiàn)業(yè)務(wù)終端可信接入，對新增終端節(jié)點進行可信接入驗證；

41、所述的wapi認(rèn)證中心接受到認(rèn)證請求，并根據(jù)請求生成隨機數(shù)，并向其余鄰居wapi節(jié)點發(fā)送多跳聚合認(rèn)證請求，用于聚合驗證

42、所述的ipk標(biāo)識/密鑰管理中心負(fù)責(zé)生成并管理各個終端節(jié)點和合法業(yè)務(wù)終端的全局唯一標(biāo)識和標(biāo)識的公私鑰對；

43、所述的數(shù)據(jù)庫存儲各個終端節(jié)點和合法業(yè)務(wù)終端的全局唯一標(biāo)識和標(biāo)識的公私鑰對，各個終端節(jié)點可以根據(jù)標(biāo)識查詢公私鑰。

44、本發(fā)明提供的方法針對電網(wǎng)變電站等電力本地?zé)o線局域網(wǎng)環(huán)境涌現(xiàn)出諸如機器人巡檢、智慧安監(jiān)、移動辦公等智能化新型電力本地通信業(yè)務(wù)，形成針對這些典型場景與業(yè)務(wù)的電力本地多業(yè)務(wù)無線可信智能接入增強技術(shù)體系，結(jié)合國內(nèi)當(dāng)前電網(wǎng)建設(shè)現(xiàn)狀及相關(guān)技術(shù)發(fā)展水平，成果應(yīng)用與轉(zhuǎn)化前景廣闊。本發(fā)明從基于wapi的wifi6電力本地?zé)o線接入、wapi認(rèn)證等方面開始研究，支撐新型電力本地?zé)o線通信網(wǎng)的關(guān)鍵基礎(chǔ)理論技術(shù)成果。

45、本發(fā)明采用非對稱安全憑證管理可以實現(xiàn)電力物聯(lián)網(wǎng)場景下的身份管理和wapi接入認(rèn)證，縮短認(rèn)證鏈條，實現(xiàn)快速安全接入，降低認(rèn)證開銷；同時緩解核心網(wǎng)壓力，規(guī)避信令風(fēng)暴以及認(rèn)證，非對稱密鑰體制具有天然的去中心化特點，無需在網(wǎng)絡(luò)側(cè)保存所有終端設(shè)備的密鑰，無需部署永久在線的集中式身份管理節(jié)點。利用基于wapi技術(shù)的無線局域網(wǎng)在帶寬容量大、建設(shè)成本低、安全可控等方面的優(yōu)勢，實現(xiàn)電力本地多業(yè)務(wù)無線可信智能接入增強，提高電力本地業(yè)務(wù)接入智能化和安全可信水平。