(19)国家知识产权局(12)发明专利申请(10)申请公布号CN116015807A(43)申请公布日2023.04.25(21)申请号202211619939.7(51)Int.Cl.(22)申请日2022.12.15H04L9/40(2022.01)H04L9/08(2006.01)(71)申请人广东电网有限责任公司地址510600广东省广州市越秀区东风东路757号申请人广东电网有限责任公司中山供电局(72)发明人周祥峰蔡春元李永健于恒友周慧彬黄晓东李华梁迪孚张莹杨德强陈振江胡筱曼简玮侠黎礼飞吴浩辉邱军旗戴征献胡长华(74)专利代理机构北京集佳知识产权代理有限公司11227专利代理师李伟贤权利要求书2页说明书8页附图3页(54)发明名称一种基于边缘计算的轻量级终端安全接入认证方法(57)摘要本发明涉及终端安全认证技术领域，公开了一种基于边缘计算的轻量级终端安全接入认证方法，随着配电物联网边缘计算场景下铺设越来越多的嵌入式电力终端，传统的终端身份认证机制不再适用，故针对海量资源受限的电力终端，设计一种轻量级终端认证机制，认证过程仅由哈希函数、异或操作与哈希消息认证码实现，均为轻量级的计算操作，适合资源受限的终端设备与边缘设备。本方法包括注册与认证两个阶段，注册阶段为一次性流程，每个终端仅需完成一次；认证阶段由终端发起，边缘设备响应，在四轮通信内实现了终端与边缘设备的双向认证与密钥协商，充分满足终端计算轻量的要求，易于部署，且满足了海量电力终端异构接入的认证需求。CN116015807ACN116015807A权利要求书1/2页1.一种基于边缘计算的轻量级终端安全接入认证方法，其特征在于，包括以下步骤：通过终端设备向边缘设备进行注册；通过终端设备计算认证参数与消息认证码并向边缘设备发起认证；通过边缘设备对所述终端设备进行认证，若认证通过，则计算认证参数与消息认证码，并向终端设备反馈认证响应；通过所述终端设备对边缘设备进行认证，若认证通过，则计算验证参数与消息认证码，并向边缘设备发起密钥协商；通过所述边缘设备对密钥协商参数进行验证，若验证通过，则计算协商密钥并向终端设备反馈协商响应；通过所述终端设备对所述消息认证码进行验证，若验证通过，则密钥协商完成，并将所述终端设备接入至所述边缘设备。2.根据权利要求1所述的基于边缘计算的轻量级终端安全接入认证方法，其特征在于，通过终端设备向边缘设备进行注册的步骤具体包括：终端设备通过安全信道向边缘设备发送自身唯一终端身份标识ID；通过边缘设备接收到终端设备发送的终端身份标识ID后，生成随机数x，计算预共享密钥PSK，PSK＝H(ID||x)，其中，H(·)表示哈希函数，||为拼接运算符，PSK为相应输入参数经过哈希函数计算的摘要值；边缘设备在本地保存终端身份标识ID与预共享密钥PSK，并将所述终端身份标识ID与其对应的预共享密钥PSK构建映射绑定，边缘设备通过安全信道将所述预共享密钥PSK发送至终端设备；通过终端设备接收到边缘设备发送的预共享密钥PSK后，将所述预共享密钥PSK和终端身份标识ID保存至本地。3.根据权利要求2所述的基于边缘计算的轻量级终端安全接入认证方法，其特征在于，通过终端设备计算认证参数与消息认证码并向边缘设备发起认证的步骤具体包括：通过终端设备生成随机数r1和当前时间戳T1，计算认证参数消息认证码为M1＝HMACPSK(ID||H(r1)||T1)，将终端身份标识ID、认证参数f1、消息认证码M1以及时间戳T1拼接起来发送至边缘设备。4.根据权利要求3所述的基于边缘计算的轻量级终端安全接入认证方法，其特征在于，通过边缘设备对所述终端设备进行认证，若认证通过，则计算认证参数与消息认证码，并向终端设备反馈认证响应的步骤具体包括：通过边缘设备对时间戳T1进行时间戳验证，若验证通过，则基于接收到的终端身份标识ID查找到对应的预共享密钥PSK，还原随机数计算认证参数M1′＝HMACPSK(ID||H(r′1)||T1)，将计算得到的认证参数M1′与接收到的M1进行比对，若比对相同，则边缘设备对终端设备认证通过；通过边缘设备生成随机数r2和当前时间戳T2，计算认证参数计算消息认证码M2＝HMACPSK(H(r2)||T2)，将认证参数f2、消息认证码M2与时间戳T2拼接起来发送至终端设备。5.根据权利要求4所述的基于边缘计算的轻量级终端安全接入认证方法，其特征在于，2CN116015807A权利要求书2/2页通过所述终端设备对边缘设备进行认证，若认证通过，则计算验证参数与消息认证码，并向边缘设备发起密钥协商的步骤具体包括：通过终端设备对时间戳T2进行验证，若验证通过，则还原随机数计算认证参数M2′＝HMACPSK(H(r′2)||T2)，将计算得到的认证参数M2′与接收到的息认证码