CN110601854B - 一种授权客户端、配电终端设备及其授权方法 - Google Patents
一种授权客户端、配电终端设备及其授权方法 Download PDFInfo
- Publication number
- CN110601854B CN110601854B CN201910889169.XA CN201910889169A CN110601854B CN 110601854 B CN110601854 B CN 110601854B CN 201910889169 A CN201910889169 A CN 201910889169A CN 110601854 B CN110601854 B CN 110601854B
- Authority
- CN
- China
- Prior art keywords
- authorization
- power distribution
- distribution terminal
- code
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
本发明涉及一种授权客户端、配电终端设备及其授权方法,包括:授权客户端向待授权配电终端设备发送授权请求;待授权配电终端设备接收授权请求后,根据预设的设备激励,利用PUF技术获取设备指纹,根据设备指纹生成机器码,并返回给授权客户端;授权客户端根据接收到的机器码,利用设定的授权算法生成对应的授权码,并发送给待授权配电终端设备;待授权配电终端设备根据接收到的授权码进行授权。本发明由于采用PUF技术获取设备指纹具有低成本、高可靠性和防篡改等优点,从而提高了配电终端设备身份标识的安全性,消除了配电终端设备接入物联网的安全运行隐患。
Description
技术领域
本发明涉及一种配电终端授权方法,尤其涉及一种授权客户端、配电终端设备及其授权方法。
背景技术
随着能源互联网战略的快速推进,具有智能化、泛在互联以及控制指令交互频繁特征的电力智能终端在电力***各环节得到广泛应用,已经成为电力***的关键基础设施。目前,国家电网***接入的终端设备超过5亿台,这个数字还会随着电力物联网的建设而激增,必然带来终端接入管理等问题,还存在数据泄露、终端伪造及版本外泄的风险。
配电终端设备在出厂前,必须对设备进行注册授权,实现设备身份认证,只有通过授权认证的设备才是合法的,才能投入到现场正常使用,否则设备功能无法使用,设备出厂前的注册授权是现场设备安全运行的第一道防线。现有配电终端设备通常利用预置的芯片ID或设备ID作为身份认证凭证,这种预置的身份标识存在被窃取、欺骗、重放、克隆、物理破解的可能性,给泛在电力物联网的安全运行带来了隐患。
发明内容
本发明的目的是提供一种授权客户端、配电终端设备及其授权方法,用于解决现有配电终端设备的身份标识不安全的问题。
为解决上述技术问题,本发明提供了一种配电终端设备的授权方法,步骤如下:
授权客户端向待授权配电终端设备发送授权请求;
待授权配电终端设备接收授权请求后,根据预设的设备激励,利用PUF技术获取设备指纹,根据设备指纹生成机器码,并返回给授权客户端;
授权客户端根据接收到的机器码,利用设定的授权算法生成对应的授权码,并发送给待授权配电终端设备;
待授权配电终端设备根据接收到的授权码进行授权。
本发明的有益效果是:根据预设的设备激励,利用PUF技术获取设备指纹,并根据设备指纹最终得到授权码,从而完成配电终端设备的授权,实现设备身份标识。由于采用PUF技术获取设备指纹具有低成本、高可靠性和防篡改等优点,从而提高了配电终端设备身份标识的安全性,消除了配电终端设备接入物联网的安全运行隐患。
作为方法的进一步改进,为了进一步提高配电终端设备身份标识的安全性,所述机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。
作为方法的进一步改进,为了验证是否成功授权,还包括:待授权配电终端设备根据机器码及所述设定的授权算法生成授权码,并将生成的授权码与接收到的授权码进行比较,若二者相同,则说明该待授权配电终端设备授权成功。
作为方法的进一步改进,为了便于后续查询和管理,待授权配电终端设备授权成功后,将授权状态返回给授权客户端,授权客户端将对应的授权码及配电终端设备的工程信息进行存储。
为解决上述技术问题,本发明还提供了一种配电终端设备,该配电终端设备用于:
接收授权客户端发送的授权请求后,根据预设的设备激励,利用PUF技术获取设备指纹,根据设备指纹生成机器码,并返回给授权客户端;
根据接收到的授权码进行授权。
本发明的有益效果是:根据预设的设备激励,利用PUF技术获取设备指纹,并根据设备指纹最终得到授权码,从而完成配电终端设备的授权,实现设备身份标识。由于采用PUF技术获取设备指纹具有低成本、高可靠性和防篡改等优点,从而提高了配电终端设备身份标识的安全性,消除了配电终端设备接入物联网的安全运行隐患。
作为设备的进一步改进,为了进一步提高配电终端设备身份标识的安全性,所述机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。
作为设备的进一步改进,为了验证是否成功授权,该配电终端设备还用于:根据机器码及所述设定的授权算法生成授权码,并将生成的授权码与接收到的授权码进行比较,若二者相同,则说明该待授权配电终端设备授权成功。
作为设备的进一步改进,为了便于后续查询和管理,该配电终端设备还用于:授权成功后,将授权状态返回给授权客户端。
为解决上述技术问题,本发明还提供了一种授权客户端,该授权客户端用于:
向待授权配电终端设备发送授权请求;
接收待授权配电终端设备返回的机器码,根据接收到的机器码,利用设定的授权算法生成对应的授权码,并发送给待授权配电终端设备。
本发明的有益效果是:根据接收到的机器码,最终得到授权码,从而完成配电终端设备的授权,实现设备身份标识。由于机器码的获取采用了PUF技术,具有低成本、高可靠性和防篡改等优点,从而提高了配电终端设备身份标识的安全性,消除了配电终端设备接入物联网的安全运行隐患。
作为客户端的进一步改进,为了便于后续查询和管理,该授权客户端还用于:接收到授权状态后,将对应的授权码及配电终端设备的工程信息进行存储。
附图说明
图1是本发明的配电终端设备的授权方法的过程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例对本发明进行进一步详细说明。
配电终端设备的授权方法实施例:
本实施例提供了一种配电终端设备的授权方法,授权过程如图1所示。该方法将FUF技术与授权方法相结合,实现了物联网配电终端设备标识的不可破解、不可复制、不可篡改,提高了物联网配电终端设备的身份安全。具体的,该配电终端设备的授权方法包括以下步骤:
(1)授权客户端向待授权配电终端设备发送授权请求。
其中,授权客户端也称为授权码生成与管理工具,为了实现配电终端设备的授权,必须保证授权客户端可以与待授权配电终端设备可靠通信连接,以实现正常通信。如图1所示,在正常通信条件下,授权客户端通过授权程序向待授权配电终端设备的服务程序发送授权请求。
(2)待授权配电终端设备接收授权请求后,根据预设的设备激励,利用PUF技术获取设备指纹,根据设备指纹生成机器码,并返回给授权客户端。
其中,机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。预设的设备激励和设备类型已默认固定在设备的服务程序中,针对海量的物联网配电终端设备,通过装置上送的唯一识别码,即可快速识别设备类型,便于后台的识别、授权及管理。待授权配电终端设备内设置有基于PUF技术的芯片,利用集成电路在制造过程中不可控制的随机工艺偏差产生设备硬件的身份识别码(也叫设备指纹)。在本实施例中,该芯片可以实现动态可配置多输出ROPUF技术。
待授权配电终端设备的服务程序接收到授权客户端发送的授权请求后,将预先设定的设备激励输入到基于PUF技术的芯片中,该芯片输出响应,从而得到设备指纹,并发送给服务程序。服务程序在设备指纹后面追加预设的设备类型对应的设备类型识别码,也就是根据预设的设备类型在设备指纹的后面追加设备类型识别码,组合在一起作为待授权终端设备的机器码,并将机器码返回给授权客户端的授权程序。
当然,作为其他的实施方式,在生成机器码时,也可以根据预设的设备类型在设备指纹的前面添加设备类型识别码,组合在一起作为待授权终端设备的机器码,或者是直接将获取的设备指纹作为机器码。该机器码可以根据需求随时进行提取并在使用完成后不进行存储,避免了机器码被复制、篡改的风险。
(3)授权客户端根据接收到的机器码,利用设定的授权算法生成对应的授权码,并发送给待授权配电终端设备。
其中,授权算法中加入了设备类型的选项,并进行了哈希运算,更增加了机器码的安全性。在本实施例中,所采用的授权算法为由设备机器码和设备类型作为输入,经过MD5计算得到授权码,MD5为计算机安全领域广泛使用的一种哈希算法,由于MD5的具体计算过程属于现有技术,此处不再赘述。
当然,作为其他的授权算法,也可加入设备的其它信息作为输入信息,或者采用其它广泛应用的哈希算法,如SHA-1、SHA-2等,根据需要生成固定长度的授权码(本实施例中的授权码只是示例)。由于哈希算法具有不可逆特性,进一步增强了设备的安全性。
(4)待授权配电终端设备根据接收到的授权码进行授权。
其中,待授权配电终端设备的服务程序根据机器码及与授权客户端相同的授权算法生成授权码,并将生成的授权码与接收到的授权码进行比较,若二者完全相同,则对设备进行授权,并存储授权码。配电终端设备授权成功后,会将授权状态返回授权客户端,授权客户端添加此配电终端设备的授权码和工程信息(如工程项目名称、设备名称、合同编号、设备编号等),生成一条完整的工程及授权信息记录,并存储于数据库中,便于配电终端设备的查询与管理。
在本实施例中,待授权配电终端设备服务程序预设的设备激励为FTU-1234,采用ROPUF技术利用不同RO振荡频率的差异来生成响应(设备指纹)1234ABCD,预设的设备类型为FTU-XY,将预设的设备类型FTU-XY与设备指纹组合生成唯一的机器码1234ABCD-FTU-XY,并返回给授权客户端。授权客户端根据机器码生成对应的授权码1QAZ2WSX3EDC4RFV,发送给待授权配电终端,配电终端设备进行授权认证,完成设备身份标识。本实施例中
需要说明的是,上述配电终端设备的授权方法的授权流程是新配电终端设备出厂前的授权流程,只有经过授权的合法的设备才能发往现场投入使用,已投运的设备每次重启或者需要检测授权状态的时候,设备也会进行授权认证,如果出现非法异常,则设备立即停止工作。
配电终端设备实施例:
本实施例提供了一种配电终端设备,由于该配电终端设备的工作过程已经在上述的配电终端设备的授权方法实施例中进行了详细介绍,此处不再赘述。
授权客户端实施例:
本实施例提供了一种授权客户端,由于该授权客户端的工作过程已经在上述的配电终端设备的授权方法实施例中进行了详细介绍,此处不再赘述。
本发明在设备合法授权的基础上实现了设备身份识别的唯一性,一旦设备被恶意篡改、克隆、替换等,由于采用了PUF物理不可克隆技术,设备指纹必然发生变化,导致设备授权变为非法状态,设备告警,停止工作,避免其携带的安全风险引入整个网络。本发明解决了配电终端设备的身份标识存在被窃取、欺骗、重放、克隆、物理破解的可能性问题,大大提高物了联网配电终端设备的通信安全。
最后应当说明的是,以上实施例仅用于说明本发明的技术方案而非对其保护范围的限制,尽管参照上述实施例对本申请进行了详细的说明,所属领域的普通技术人员应当理解,本领域技术人员阅读本申请后依然可对申请的具体实施方式进行种种变更、修改或者等同替换,但这些变更、修改或者等同替换,均在本发明的权利要求保护范围之内。
Claims (6)
1.一种配电终端设备的授权方法,其特征在于,所述配电终端设备的授权方法用于新配电终端设备出厂前,步骤如下:
授权客户端向待授权配电终端设备发送授权请求;
待授权配电终端设备接收授权请求后,根据预设的设备激励,利用PUF技术获取设备指纹,根据设备指纹生成机器码,并返回给授权客户端;所述机器码在使用完成后不进行存储;
授权客户端根据接收到的机器码,利用设定的授权算法生成对应的授权码,并发送给待授权配电终端设备;
待授权配电终端设备将生成的授权码与接收到的授权码进行比较,若二者相同,则说明该待授权配电终端设备授权成功。
2.根据权利要求1所述的配电终端设备的授权方法,其特征在于,所述机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。
3.根据权利要求1或2所述的配电终端设备的授权方法,其特征在于,待授权配电终端设备授权成功后,将授权状态返回给授权客户端,授权客户端将对应的授权码及配电终端设备的工程信息进行存储。
4.一种配电终端设备,其特征在于,该配电终端设备用于:
接收授权客户端发送的授权请求后,根据预设的设备激励,利用PUF技术获取设备指纹,根据设备指纹生成机器码,并返回给授权客户端;该配电终端设备还用于:根据机器码及与授权客户端相同的授权算法生成授权码,并将生成的授权码与接收到的授权码进行比较,若二者相同,则授权成功。
5.根据权利要求4所述的配电终端设备,其特征在于,所述机器码是由设备指纹与预设的设备类型对应的设备类型识别码相组合得到的。
6.根据权利要求4或5所述的配电终端设备,其特征在于,该配电终端设备还用于:授权成功后,将授权状态返回给授权客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910889169.XA CN110601854B (zh) | 2019-09-19 | 2019-09-19 | 一种授权客户端、配电终端设备及其授权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910889169.XA CN110601854B (zh) | 2019-09-19 | 2019-09-19 | 一种授权客户端、配电终端设备及其授权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110601854A CN110601854A (zh) | 2019-12-20 |
| CN110601854B true CN110601854B (zh) | 2023-07-14 |
Family
ID=68861489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910889169.XA Active CN110601854B (zh) | 2019-09-19 | 2019-09-19 | 一种授权客户端、配电终端设备及其授权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110601854B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111046367B (zh) * | 2019-12-24 | 2022-05-03 | 思必驰科技股份有限公司 | 语音设备鉴权方法及*** |
| CN113066557B (zh) * | 2021-03-24 | 2024-03-26 | 上海力声特医学科技有限公司 | 一种用于神经刺激设备的安全实现的方法和*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104769907A (zh) * | 2012-10-04 | 2015-07-08 | 西门子公司 | 用于传输数据的装置和方法 |
| CN106503492A (zh) * | 2016-10-27 | 2017-03-15 | 厦门中控生物识别信息技术有限公司 | 一种授权管理方法、服务器、客户设备和*** |
| CN110213248A (zh) * | 2019-05-20 | 2019-09-06 | 武汉市灯塔互动文化传播有限公司 | 一种离线环境下授权方法和装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012219112A1 (de) * | 2012-10-19 | 2014-04-24 | Siemens Aktiengesellschaft | Verwenden einer PUF zur Prüfung einer Authentisierung, insbesondere zum Schutz vor unberechtigtem Zugriff auf eine Funktion eines ICs oder Steuergerätes |
| CN103020552B (zh) * | 2012-12-20 | 2015-05-13 | 天津联芯科技有限公司 | 基于sram的puf的片上自我注册***及其实现方法 |
| CN104166809B (zh) * | 2013-05-17 | 2017-06-16 | 广州杰赛科技股份有限公司 | 运行信息***的控制方法及*** |
| CN105354604B (zh) * | 2015-10-30 | 2018-11-02 | 中山大学 | 一种有效的基于物理不可克隆函数的防伪方法 |
| US10146464B2 (en) * | 2016-06-30 | 2018-12-04 | Nxp B.V. | Method for performing multiple enrollments of a physically uncloneable function |
| CN108540109A (zh) * | 2018-04-11 | 2018-09-14 | 中国电子科技集团公司第五十八研究所 | 基于环形振荡器的物理指纹生成电路及方法 |
| CN108768660B (zh) * | 2018-05-28 | 2021-03-30 | 北京航空航天大学 | 基于物理不可克隆函数的物联网设备身份认证方法 |
| CN108880797B (zh) * | 2018-06-27 | 2021-09-24 | 京信网络***股份有限公司 | 一种物联网设备的认证方法和物联网设备 |
| CN109033762A (zh) * | 2018-07-05 | 2018-12-18 | 南京云信达科技有限公司 | 一种用于解决复杂检验对象软件授权的方法 |
| CN109344595A (zh) * | 2018-07-26 | 2019-02-15 | 广东工业大学 | 一种基于哈希算法与puf电路的物联网设备id认证方法 |
| CN109525399A (zh) * | 2018-10-22 | 2019-03-26 | 国家电网有限公司 | 一种基于puf实现电网智能移动终端***认证的方法 |
| CN109902479B (zh) * | 2019-01-28 | 2023-04-07 | 深圳市纽创信安科技开发有限公司 | 权限控制方法、权限控制设备、用户设备及*** |
-
2019
- 2019-09-19 CN CN201910889169.XA patent/CN110601854B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104769907A (zh) * | 2012-10-04 | 2015-07-08 | 西门子公司 | 用于传输数据的装置和方法 |
| CN106503492A (zh) * | 2016-10-27 | 2017-03-15 | 厦门中控生物识别信息技术有限公司 | 一种授权管理方法、服务器、客户设备和*** |
| CN110213248A (zh) * | 2019-05-20 | 2019-09-06 | 武汉市灯塔互动文化传播有限公司 | 一种离线环境下授权方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110601854A (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| CN110933125B (zh) | 区块链实体、链下实体、认证设备及用于执行协作的方法 | |
| CN109981582B (zh) | 一种基于区块链的物联网设备身份认证方法 | |
| CN1889432B (zh) | 基于智能卡的口令远程认证方法、智能卡、服务器和*** | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN103532963A (zh) | 一种基于物联网设备认证方法、装置和*** | |
| CN107733636B (zh) | 认证方法以及认证*** | |
| CN106789024B (zh) | 一种远程解锁方法、装置和*** | |
| CN103152732B (zh) | 一种云密码***及其运行方法 | |
| CN112231366B (zh) | 一种基于区块链的企业信用报告查询方法、装置及*** | |
| CN113674455B (zh) | 智能门锁远程控制方法、装置、***、设备及存储介质 | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及***、相应设备 | |
| CN110601854B (zh) | 一种授权客户端、配电终端设备及其授权方法 | |
| CN112565265A (zh) | 物联网终端设备间的认证方法、认证***及通讯方法 | |
| CN110740140A (zh) | 一种基于云平台的网络信息****** | |
| CN114758433A (zh) | 一种基于云端的动态密码生成方法、***和智能锁 | |
| CN109635593A (zh) | 电力***中基于电力缴费终端的数据完整性存储保护方法 | |
| CN104469736A (zh) | 一种数据处理方法、服务器及终端 | |
| CN104835038A (zh) | 一种联网支付装置及方法 | |
| KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
| CN109726578A (zh) | 一种新型动态二维码防伪解决办法 | |
| CN114157438A (zh) | 网络设备管理方法、装置及计算机可读存储介质 | |
| US20160055339A1 (en) | Encryption Processing Method and Device for Application, and Terminal | |
| CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和*** | |
| CN114329433A (zh) | 基于区块链的虚实账户管理方法、装置、***及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |