配电终端认证方法、系统、装置、计算机设备和存储介质与流程

1.本技术涉及电网技术领域，特别是涉及一种配电终端认证方法、系统、装置、计算机设备和存储介质。


背景技术：

2.随着电网技术的发展和配电自动化建设的不断推进，投运的配电终端数量井喷式增长，覆盖的区域急剧扩大，大量配电终端需要接入配电自动化主站中,给电网信息安全带来了隐患。为保障配电自动化系统的安全运行，可以对接入配电自动化系统的配电终端进行鉴权。
3.在相关技术中，可以将配电终端证书颁发机构对应的鉴权功能集中部署在一台中心可信设备，由该中心可信设备对接入的配电终端进行身份认证。
4.然而，在上述方式中，仅有一台中心可信设备对配电终端鉴权，且需要鉴权的配电终端较多时，将使得鉴权过程耗时较长，无法满足配电自动化系统的实时性要求，且单一的中心可信设备一旦发生故障，容易导致整个鉴权体系失效。因此，相关技术存在配电终端身份认证效率低下的问题。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种配电终端认证方法、系统、装置、计算机设备和存储介质。
6.一种配电终端认证方法，应用于私有链网络中已认证配电终端对应的已认证节点，所述方法包括：
7.获取待认证配电终端对应的待认证节点发送的主节点信息；
8.确定所述主节点信息对应的主节点，并接收所述主节点发送的存储位置；所述主节点为配电主站或配电子站对应的在所述私有链网络中的节点，所述存储位置为所述主节点对所述待认证节点进行身份注册时，用于存储所述待认证配电终端对应的第一终端属性信息的所述私有链网络中的位置；
9.获取所述存储位置下的所述第一终端属性信息，并获取所述待认证节点发送的第二终端属性信息；
10.比对所述第一终端属性信息和所述第二终端属性信息，并根据比对结果，确定是否通过所述待认证节点的身份认证。
11.在其中一个实施例中，所述获取所述待认证节点发送的第二终端属性信息，包括：
12.向所述主节点发送针对所述待认证节点的公钥获取请求，并接收所述主节点发送的所述待认证节点对应的公钥；所述公钥在所述主节点对所述待认证节点进行身份注册时得到；
13.获取所述待认证节点发送的加密后的第二终端属性信息；所述加密后的第二终端属性信息通过所述待认证节点对应的私钥加密；
14.采用所述待认证节点对应的公钥，对所述加密后的第二终端属性信息进行解密，得到所述第二终端属性信息。
15.在其中一个实施例中，所述向所述主节点发送针对所述待认证节点的公钥获取请求，包括：
16.获取所述已认证配电终端对应的第三终端属性信息，并生成包含所述第三终端属性信息的针对所述待认证节点的公钥获取请求；
17.向所述主节点发送所述公钥获取请求，以触发所述主节点在接收到所述公钥获取请求后，当所述第三终端属性信息与所述私有链网络中所述已认证配电终端对应的已认证终端属性信息匹配时，向所述已认证节点发送所述待认证节点对应的公钥。
18.在其中一个实施例中，在所述根据比对结果，确定是否通过所述待认证节点的身份认证之后，还包括：
19.当确定所述待认证节点通过身份认证时，将所述第二终端属性信息作为所述待认证节点对应的已认证终端属性信息，存储到所述私有链网络中，以在所述待认证节点从所述主节点中获取其他待认证节点的公钥时，触发所述主节点基于所述待认证节点对应的终端属性信息，验证所述待认证节点的身份。
20.在其中一个实施例中，所述获取所述存储位置下的所述第一终端属性信息，包括：
21.获取所述存储位置下的加密后的第一终端属性信息；所述加密后的第一终端属性信息通过所述主节点对应的私钥加密；
22.获取所述主节点对应的公钥，并采用所述主节点对应的公钥对所述加密后的第一终端属性信息进行解密，得到所述第一终端属性信息。
23.在其中一个实施例中，所述存储位置下的所述第一终端属性信息，为所述待认证配电终端的终端属性信息所对应的第一哈希值，所述比对所述第一终端属性信息和所述第二终端属性信息，包括：
24.获取所述第二终端属性信息对应的第二哈希值，并对所述第一哈希值和所述第二哈希值进行比对。
25.一种配电终端认证系统，所述系统包括私有链网络中待认证配电终端对应的待认证节点、配电主站或配电子站对应的主节点和已认证配电终端对应的已认证节点；
26.所述待认证节点，用于向所述主节点发送注册请求，所述注册请求中携带有所述待认证配电终端对应的第一终端属性信息；
27.所述主节点，用于在接收到注册请求后，对所述待认证节点进行身份注册，并在注册成功时将所述第一终端属性信息存储到所述私有链网络中设定的存储位置；
28.所述待认证节点，还用于在注册成功后，向所述已认证节点发送所述主节点对应的主节点信息和当前获取的第二终端属性信息；
29.所述已认证节点，用于确定所述主节点信息对应的主节点，从所述主节点发送的所述存储位置中，获取所述第一终端属性信息，比较所述第一终端属性信息和所述第二终端属性信息，并根据比较结果，确定是否通过所述待认证节点的身份认证。
30.一种配电终端认证装置，应用于私有链网络中已认证配电终端对应的已认证节点，所述装置包括：
31.主节点信息接收模块，用于获取待认证配电终端对应的待认证节点发送的主节点
信息；
32.存储位置确定模块，用于确定所述主节点信息对应的主节点，并接收所述主节点发送的存储位置；所述主节点为配电主站或配电子站对应的在所述私有链网络中的节点，所述存储位置为所述主节点对所述待认证节点进行身份注册时，用于存储所述待认证配电终端对应的第一终端属性信息的所述私有链网络中的位置；
33.终端属性信息获取模块，用于获取所述存储位置下的所述第一终端属性信息，并获取所述待认证节点发送的第二终端属性信息；
34.认证模块，用于比对所述第一终端属性信息和所述第二终端属性信息，并根据比对结果，确定是否通过所述待认证节点的身份认证。
35.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现如上任一项所述方法的步骤。
36.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述方法的步骤。
37.上述配电终端认证方法、装置、计算机设备和存储介质，私有链网络中的已认证节点可以获取待认证配电终端对应的待认证节点发送的主节点信息，确定主节点信息对应的主节点，并接收主节点发送的存储位置，该主节点为配电主站或配电子站对应的在私有链网络中的节点，存储位置为该主节点对待认证节点进行身份注册时，用于存储待认证配电终端对应的第一终端属性信息的私有链网络中的位置，进而已认证节点可以获取存储位置下的所述第一终端属性信息，以及获取待认证节点发送的第二终端属性信息，比对第一终端属性信息和第二终端属性信息，并根据比对结果，确定是否通过待认证节点的身份认证。在本实施例中，由于私有链网络中任意已认证节点都可以对待认证节点进行身份认证，能够避免依赖有限的中心可信设备对大量配电终端进行身份认证，提高认证速度，同时可以防止单一的中心可信设备故障而造成鉴权体系时效，因此有效提高了配电终端身份认证效率。
附图说明
38.图1为一个实施例中一种配电终端认证方法的应用环境图；
39.图2为一个实施例中一种配电终端认证方法的流程示意图；
40.图3为一个实施例中待认证节点身份注册步骤的流程示意图；
41.图4为另一个实施例中待认证节点身份认证步骤的流程示意图；
42.图5为一个实施例中一种配电终端认证系统的结构框图；
43.图6为一个实施例中一种配电终端认证装置的结构框图；
44.图7为一个实施例中计算机设备的内部结构图。
具体实施方式
45.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
46.随着电网技术的发展和配电自动化建设的不断推进，投运的配电终端数量井喷式
增长，覆盖的区域急剧扩大，大量配电终端需要接入配电自动化主站中,给电网信息安全带来了隐患。
47.具体而言，配电终端可以通过光纤或无线网络等通信方式接入配电自动化主站，当配电终端的安全防护措施相对薄弱，或者，黑客攻击手段增强，加上配电终端具有点多面广的分布特点，攻击者可通过伪造终端身份、重放攻击等攻击形式对配电自动化主站进行恶意破坏和攻击以及其它非法操作，致使配电自动化主站面临来自公网或专网的网络攻击风险，进而影响配电系统对用户的安全可靠供电。为保障配电自动化系统的安全运行，可以对接入配电自动化系统的配电终端进行鉴权。
48.在相关技术中，可以将配电终端证书颁发机构对应的鉴权功能集中部署在一台中心可信设备，由该中心可信设备对接入的配电终端进行身份认证。该方式也可以称为分布式公钥证书管理方法，相较于传统公钥证书机制过于庞杂的部署方式，中心可信设备可以在离线运行的情况下，实现对配电终端的鉴权。
49.然而，在上述方式中，仅有一台中心可信设备对配电终端鉴权，且需要鉴权的配电终端较多时，将使得鉴权过程耗时较长，无法满足配电自动化系统的实时性要求。若需要实时地对多个配电终端鉴权，则要求中心可信设备具有较高的计算能力，在一定程度上限制了该方式的适用范围。并且，单一的中心可信设备一旦发生故障，容易导致整个鉴权体系失效。
50.因此，相关技术存在配电终端身份认证效率低下的问题。
51.基于此，本技术提供了一种配电终端认证方法，以至少解决相关技术中配电终端身份认证效率低下的问题。本技术提供的一种配电终端认证方法，可以应用于如图1所示的应用环境中，该应用环境可以包括私有链网络和私有链网络中的多个网络节点，多个网络节点可以至少包括已认证配电终端对应的已认证节点、配电自动化系统中配电主站或配电子站对应的主节点，以及，待认证配电终端对应的待认证节点。
52.其中，私有链网络可以是仅对电网企业内部或授权设备开放的区块链网络。已认证节点可以是已进行身份认证(即已进行身份鉴权)的配电终端在私有链网络中对应的节点。主节点可以是配电自动化系统中直接发送或转发调控指令的配电自动化主站和/或子站所对应的节点。待认证节点可以是未进行身份认证(即未进行身份鉴权)的配电终端对应的节点。已认证节点和待认证节点可以统称为一般节点。
53.在一个实施例中，如图2所示，提供了一种配电终端认证方法，以该方法应用于已认证节点为例进行说明，可以包括以下步骤：
54.步骤201，获取待认证配电终端对应的待认证节点发送的主节点信息。
55.作为一示例，主节点信息可以是用于识别出私有链网络中指定主节点的信息，例如可以是主节点对应的节点标识，或者主节点在私有链网络中的网络地址。
56.在实际应用中，待认证配电终端对应的待认证节点可以向私有链网络中的任意一已认证节点发送主节点信息，使已认证节点可以获取到主节点信息。
57.具体例如，待认证节点可以向私有链网络中的任一已认证节点发送身份认证请求，例如可以向距离最近的已认证节点发送身份认证请求，或者，向处于空闲状态的、未在进行身份认证的已认证节点发送身份认证请求。已认证节点在获取到身份认证请求中，可以从身份认证请求中读取主节点信息。
58.步骤202，确定所述主节点信息对应的主节点，并接收所述主节点发送的存储位置。
59.其中，主节点为配电主站或配电子站对应的在所述私有链网络中的节点，实际应用中，在对配电终端进行身份注册和身份认证之前，可以由具有权限的可信工作人员按照配电自动化信息安全防护要求，对配电自动化系统中的多个配电自动化主站和/或子站进行认证，使其具备可信性，成为私有链网络中的主节点。将多个配电自动化主站或子站确定为私有链网络中的主节点，构成了私有链网络中的初始链上节点，并确保私有链鉴权系统初始的安全性。
60.存储位置为主节点对待认证节点进行身份注册时，用于存储待认证配电终端对应的第一终端属性信息的、私有链网络中的位置。具体地，待认证节点在通过已认证节点进行身份认证之前，可以预先在主节点进行身份注册。在进行身份注册时，待认证节点可以向主节点发送第一终端属性信息，主节点在确定对待认证节点进行身份注册后，可以将第一终端属性信息存储到私有链网络中，私有链网络可以第一终端属性信息进行加密存储，例如对第一终端属性信息进行上链操作，进而可以将加密存储后的第一终端属性信息在私有链网络中的存储位置，返回到主节点。
61.具体实现中，已认证节点在获取到主节点信息后，可以确定主节点信息对应的主节点，并向主节点发送针对待认证节点的终端属性信息获取请求，主节点在接收到终端属性信息获取请求后，可以向已认证节点发送第一终端属性信息对应的存储位置。
62.步骤203，获取所述存储位置下的所述第一终端属性信息，并获取所述待认证节点发送的第二终端属性信息。
63.作为一示例，第一终端属性信息可以是待认证节点在主节点进行身份注册时，向主节点发送的终端属性信息。第二终端属性信息可以是待认证节点在已认证节点进行身份认证时，向已认证节点发送的终端属性信息。
64.其中，第一终端属性信息和/或第二终端属性信息可以包括待认证的配电终端的以下至少一种信息：配电终端名称、配电终端标识、配电终端地理位置、配电终端对应的监测对象(也可以称为关联设备)。
65.具体地，在接收到主节点返回的存储位置后，可以从私有链网络中，获取该存储位置下的第一终端属性信息，并获取待认证节点当前发送的第二终端属性信息。
66.步骤204，比对所述第一终端属性信息和所述第二终端属性信息，并根据比对结果，确定是否通过所述待认证节点的身份认证。
67.在实际应用中，在获取到待认证节点在主节点进行身份注册时提供的第一终端属性信息，以及，获取到待认证节点当前发送的第二终端属性信息后，可以对第一终端属性信息和第二终端属性信息进行比对，并获取两者是否匹配的比对结果。进而可以根据比对结果，确定是否通过待认证节点的身份认证。
68.具体而言，若第一终端属性信息和第二终端属性信息匹配成功，如第一终端属性信息与第二终端属性信息相同，则可以确定当前发送第二终端属性信息进行身份认证的待认证节点已在主节点成功注册，若已认证节点未发现待认证节点存在其他异常情况，则可以确定通过待认证节点的身份认证，并且可以向待认证节点返回身份认证成功的信息。
69.若第一终端属性信息与第二终端属性信息匹配失败，例如第一终端属性信息与第
二终端属性信息不相同，则可以确定待认证节点在主节点进行身份注册时发送的第一终端属性信息与其当前发送的第二终端属性信息存在差异，可以确定待认证节点对应的配电终端并非为预先在主节点进行身份注册的配电终端，该待认证节点的配电终端未经过主节点验证，因此，可以确定待认证节点不可信，并确定待认证节点身份认证失败。并且，还可以向待认证节点返回身份认证失败的信息。
70.在本实施例中，私有链网络中的已认证节点可以获取待认证配电终端对应的待认证节点发送的主节点信息，确定主节点信息对应的主节点，并接收主节点发送的存储位置，该主节点为配电主站或配电子站对应的在私有链网络中的节点，存储位置为该主节点对待认证节点进行身份注册时，用于存储待认证配电终端对应的第一终端属性信息的私有链网络中的位置，进而已认证节点可以获取存储位置下的所述第一终端属性信息，以及获取待认证节点发送的第二终端属性信息，比对第一终端属性信息和第二终端属性信息，并根据比对结果，确定是否通过待认证节点的身份认证。在本实施例中，由于私有链网络中任意已认证节点都可以对待认证节点进行身份认证，能够避免依赖有限的中心可信设备对大量配电终端进行身份认证，提高认证速度，同时可以防止单一的中心可信设备故障而造成鉴权体系时效，因此有效提高了配电终端身份认证效率。
71.在另一示例中，也可以基于区块链技术中的公有链网络，对待认证节点进行身份认证，即在证书申请和签发阶段，可以利用公有链网络进行多点分布式验证，代替传统证书颁发机构利用公私钥签发证书的过程，避免单一证书颁发机构存在失效的风险。
72.具体地，证书使用过程中依赖区块链中存储的数字证书进行可信身份认证，区块链中的数据由于经过链上多个节点进行共识验证，具有比单证书颁发机构更强的可靠性，例如在本技术中，待认证节点可以先后经过主节点进行身份注册以及已认证节点进行身份认证。
73.当进行跨域认证时，还可以将多证书颁发机构链引入区块链pki系统，证书用户通过所属证书颁发机构的根证书进行验证。基于区块链技术对证书颁发机构颁发的证书进行有效审计，并通过设计高效查询方法和前向追踪策略减少操作时延，解决传统证书颁发机构的脆弱性，由于任何区块链上的节点都能对证书操作的正确性进行验证，从而有效提升了证书使用的健壮性。
74.而本技术实施例在发挥区块链技术分布式特性进行去中心化鉴权的同时，相较于基于公有链网络进行身份认证的方式，本实施例由私有链网络的内部节点进行身份认证，可以限制不可信节点对待认证节点的身份认证资格，避免任何节点都可以读取、发送或确认网络内部的信息，有效提高配电终端身份认证过程和认证结果的可靠性，为配电自动化提供安全合规、可追溯、不可篡改、自动执行的配电终端鉴权，同时防范来自内部或外部对数据的安全攻击。
75.在一个实施例中，所述获取所述待认证节点发送的第二终端属性信息，可以包括如下步骤：
76.向所述主节点发送针对所述待认证节点的公钥获取请求，并接收所述主节点发送的所述待认证节点对应的公钥；获取所述待认证节点发送的加密后的第二终端属性信息；采用所述待认证节点对应的公钥，对所述加密后的第二终端属性信息进行解密，得到所述第二终端属性信息。
77.作为一示例，公钥在主节点对待认证节点进行身份注册时得到；加密后的第二终端属性信息通过待认证节点对应的私钥加密。
78.在具体实现中，待认证节点在触发已认证节点对其进行身份认证前，可以预先在主节点进行身份注册。
79.具体地，如图3所示，在步骤301中，待认证的配电终端在使用前可以进行出厂设置，设置对应的终端属性信息。
80.在步骤302中，待认证的配电终端作为私有链网络中的待认证节点，向主节点发送注册请求。
81.在步骤303中，主节点在接收到注册请求后，向待认证节点返回注册要求，该注册要求可用于提示待认证节点生成对应的密钥对，并返回指定的终端属性信息，例如配电终端名称、配电终端标识、配电终端地理位置、配电终端对应的监测对象。
82.在步骤304中，待认证节点在接收到注册要求后，生成包含公钥和私钥的密钥对。该密钥对中可以携带有有待认证节点对应的终端身份信息，如配电终端标识，并且该密钥对对于待认证节点、主节点和私有链网络来说都是唯一的。
83.在步骤305中，待认证节点对注册要求进行回复，向主节点发送待认证节点对应的公钥、证明材料和第一终端属性信息。
84.在步骤306中，主节点基于接收到证明材料，验证待认证节点的身份是否合法，若合法，则确定待认证节点身份验证通过，在主节点存储待认证节点对应的公钥。
85.在步骤307中，主节点采用主节点对应的私钥，对第一终端属性信息进行签名加密，并将签名加密后的第一终端属性信息发送到私有链网络。
86.在步骤308中，私有链网络将签名加密后的第一终端属性信，进行加密存储，例如生成对应的区块，并执行上链操作。
87.在步骤309中，主节点向待认证节点返回注册结果，包括注册成功或注册失败。
88.当待认证节点在主节点成功进行身份注册后，可以向已认证节点发送身份认证请求，接收到身份认证请求的已认证节点，可以向主节点发送针对待认证节点的公钥获取请求，并接收主节点针对公钥获取请求返回的待认证节点对应的公钥。
89.并且，待认证节点还可以获取待认证节点发送的加密后的第二终端属性信息，该第二终端属性信息可以携带在身份认证请求中。或者，待认证节点在发送身份认证请求后，已认证节点可以向待认证节点发送身份认证要求，身份认证要求可以提示待认证节点返回指定的终端属性信息，该指定的终端属性信息与主节点指定的终端属性信息相同，进而接收到身份认证要求的待认证节点可以向已认证节点发送对应的第二终端属性信息。而待认证节点在发送第二终端属性信息时，可以采用待认证节点对应的私钥对第二终端属性信息进行签名加密。
90.在获取到待认证节点发送的加密后的第二终端属性信息后，可以采用待认证节点对应的公钥，对加密后的第二终端属性信息进行解密，得到解密后的第二终端属性信息。
91.在本实施例中，通过从主节点获取待认证节点对应的公钥并采用该公钥对待认证节点发送的加密后的第二终端属性信息进行解密，可以验证待认证节点是否为在主节点进行身份注册的节点，当公钥可以成功对加密后的第二终端属性信息进行解密，则可以确定待认证节点与发送公钥的节点匹配。
92.在一个实施例中，所述向所述主节点发送针对所述待认证节点的公钥获取请求，包括：
93.获取所述已认证配电终端对应的第三终端属性信息，并生成包含所述第三终端属性信息的针对所述待认证节点的公钥获取请求；向所述主节点发送所述公钥获取请求，以触发所述主节点在接收到所述公钥获取请求后，当所述第三终端属性信息与所述私有链网络中所述已认证配电终端对应的已认证终端属性信息匹配时，向所述已认证节点发送所述待认证节点对应的公钥。
94.作为一示例，第三终端属性信息可以是已认证节点当前向主节点发送的终端属性信息，第三终端属性信息可以包括以下至少一种信息：配电终端名称、配电终端标识、配电终端地理位置、配电终端对应的监测对象。
95.在具体实现中，已认证节点可以获取已认证配电终端对应的第三终端属性信息，并生成针对待认证节点的公钥获取请求，该公钥获取请求中包含有第三终端属性信息。
96.在生成公钥获取请求后，已认证节点可以将公钥获取请求发送到主节点，主节点在收到公钥获取请求后，可以先基于公钥获取请求中的第三终端属性信息，对已认证节点进行身份验证，防止其他节点冒充已认证节点获取公钥。
97.具体地，主节点在读取公钥获取请求中的第三终端属性信息后，可以从私有链网络中获取预先存储的、已认证配电终端对应的已认证终端属性信息，该已认证终端属性信息可以是在已认证节点进行身份认证时，其他节点获取到并上传到私有链网络的信息，也可以是主节点对已认证节点进行身份注册时获取到的终端属性信息。
98.若第三终端属性信息与私有链网络中当前存储的已认证节点对应的终端属性信息匹配，则主节点可以向已认证节点返回待认证节点对应的公钥；若两者不匹配，主节点可以确定已认证节点身份不可信，可以拒绝向已认证节点发送待认证节点对应的公钥。
99.在本实施例中，通过向主节点发送包含第三终端属性信息的公钥获取请求，可以触发主节点在接收到所述公钥获取请求后，验证已认证节点的身份，并在验证通过后再发送待认证节点对应的公钥，提高了已认证节点的身份可信性，同时避免待认证节点的公钥被其他节点盗取，提高了配电自动化系统的安全。
100.在一个实施例中，在根据比对结果，确定是否通过所述待认证节点的身份认证之后，所述方法还可以包括如下步骤：
101.当确定所述待认证节点通过身份认证时，将所述第二终端属性信息作为所述待认证节点对应的已认证终端属性信息，存储到所述私有链网络中，以在所述待认证节点从所述主节点中获取其他待认证节点的公钥时，触发所述主节点基于所述待认证节点对应的已认证终端属性信息，验证所述待认证节点的身份。
102.作为一示例，已认证终端属性信息可以是私有链网络中的已认证节点对待认证节点进行身份认证时，上传到私有链网络进行存储的终端属性信息。
103.在获取到身份认证结果后，若确定待认证节点通过身份认证，则已认证节点可以将第二终端属性信息作为所述待认证节点对应的已认证终端属性信息，存储到私有链网络中。
104.具体例如，已认证节点可以对待认证节点发送的第二终端属性信息进行哈希处理并采用私钥签名，得到哈希处理和签名处理后的第二终端属性信息，该信息还可以带有时
间戳等元数据，进而可以将其作为待认证节点对应的已认证终端属性信息，存储到私有链网络进行记录。
105.在将待认证节点对应的已认证终端属性信息存储到私有链网络后，后续待认证节点若拟从主节点中获取其他待认证节点的公钥时，则可以触发主节点基于待认证节点对应的已认证终端属性信息，验证所述待认证节点的身份。例如，已认证节点b在确定待认证节点a通过身份认证后，可以对待认证节点a发送的第二终端属性信息进行上述处理后，将处理结果作为待认证节点a对应的已认证终端属性信息a，存储到私有链网络。当待认证节点a作为一已认证节点，接收到待认证节点c的身份认证请求，待认证节点a可以向主节点发送公钥获取请求，主节点可以基于私有链网络中存储的已认证终端属性信息a，对待认证节点a进行身份验证，在验证通过后再返回待认证节点c的公钥。
106.在本实施例中，当确定待认证节点通过身份认证时，可以将第二终端属性信息作为待认证节点对应的已认证终端属性信息，存储到私有链网络，为后续待认证节点从主节点获取其他节点的公钥，提供身份证明材料。
107.在一个实施例中，所述获取所述存储位置下的所述第一终端属性信息，包括：
108.获取所述存储位置下的加密后的第一终端属性信息；获取所述主节点对应的公钥，并采用所述主节点对应的公钥对所述加密后的第一终端属性信息进行解密，得到所述第一终端属性信息。
109.其中，加密后的第一终端属性信息通过主节点对应的私钥加密。
110.在实际应用中，主节点对待认证节点进行身份注册时，可以接收待认证节点发送的第一终端属性信息，并对第一终端属性信息进行存储。具体而言，为避免占用本地存储空间，主节点可以不将第一终端属性信息存储在终端本地，而是采用主节点对应的私钥进行签名处理，得到加密后的第一终端属性信息，进而可以将加密后的第一终端属性信息，发送到私有链，保存到对应的存储位置下。
111.当接收到主节点发送的存储位置时，已认证节点可以从私有链网络中获取该存储位置下通过主节点私钥加密过的第一终端属性信息，并获取主节点对应的公钥，进而可以采用主节点对应的公钥对加密后的第一终端属性信息进行解密，得到解密后的第一终端属性信息。
112.在本实施例中，已认证节点可以取主节点对应的公钥，并采用主节点对应的公钥对加密后的第一终端属性信息进行解密，得到第一终端属性信息，为后续对待认证节点的身份认证提供数据比对基础。
113.在一个实施例中，存储位置下的第一终端属性信息，可以为待认证配电终端的终端属性信息所对应的哈希值，即第一哈希值。具体地，主节点在接收到待认证节点发送的第一终端属性信息后，可以对第一终端属性信息进行哈希处理，将第一终端属性信息以第一哈希值的形式进行存储。
114.所述比对所述第一终端属性信息和所述第二终端属性信息，包括：
115.获取所述第二终端属性信息对应的第二哈希值，并对所述第一哈希值和所述第二哈希值进行比对。
116.在接收到第二终端属性信息后，已认证节点可以对第二终端属性信息进行哈希处理，得到第二哈希值，并对第一哈希值和第二哈希值进行比对，以确定第一终端属性信息和
第二终端属性信息是否一致。例如，当第一哈希值等于第二哈希值时，则可以确定第一终端属性信息与第二终端属性信息相同。
117.在本实施例中，已认证节点通过获取第二终端属性信息对应的第二哈希值，并对第一哈希值和所述第二哈希值进行比对，可以快速确定第一终端属性信息与第二终端属性信息是否一致，验证第二终端属性的有效性，从而提高对待认证节点的鉴权效率。
118.在一个实施例中，在对待认证节点进行身份注册和身份认证过程中，待认证节点、已认证节点和主节点之间的信息交互都可以通过非对称加密技术来保证价值传输的安全性，即数据发送方先采用数据发送方的私钥，对信息进行加密签名，然后再用数据接收方的公钥对签名后的信息进行加密，并发送给数据接收方。数据接收方在接收到信息后，则先采用数据发送方的公钥进行验证，然后再用数据接收方的私钥对信息解密。
119.为了使本领域技术人员能够更好地理解上述步骤，以下通过一个例子对本技术实施例加以示例性说明，但应当理解的是，本技术实施例并不限于此。
120.如图4所示，在步骤401中，待认证节点可以向相邻的已认证节点发起身份认证请求。
121.在步骤402中，已认证节点在收到身份认证请求后，可以向待认证节点发送挑战码和认证要求，该认证要求可用于指示待认证节点需要提交的终端属性信息，在一示例中，认证要求的终端属性信息与图3中注册要求中的终端属性信息相同。
122.在步骤403中，待认证节点可以获取认证要求对应的第二终端属性信息。
123.在步骤404中，待认证节点根据挑战码，以及与已认证节点预先约定的密钥种子，生成挑战码对应的动态口令，并对动态口令签名，进而可以向已认证节点返回挑战码对应的签名后的应答口令，对待认证节点进行身份注册的主节点对应的主节点信息，以及，采用待认证节点私钥加密的第二终端属性信息。
124.在步骤405中，已认证节点按主节点信息查找对应的主节点，并向主节点发送公钥获取请求。
125.在步骤406中，主节点向已认证节点发送待认证节点的公钥以及第一终端属性信息在私有链网络的存储位置。
126.在步骤407中，已认证节点根据存储位置在私有链网络查找第一终端属性信息。
127.在步骤408中，比对获取的第一终端属性信息和第二终端属性信息，确定待认证节点的身份认证是否通过。
128.在步骤409中，已认证节点在确定身份认证通过后，采用私钥对第二终端属性信息签字，并存储到私有链网络。
129.在步骤410中，已认证节点向待认证节点返回身份认证成功的结果。
130.应该理解的是，虽然图2
‑
4的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2
‑
4中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
131.在一个实施例中，如图5所示，提供了一种配电终端认证系统，所述系统包括私有
链网络中待认证配电终端对应的待认证节点501、配电主站或配电子站对应的主节点502和已认证配电终端对应的已认证节点503。
132.所述待认证节点501，用于向所述主节点发送注册请求，所述注册请求中携带有所述待认证配电终端对应的第一终端属性信息。
133.具体地，待认证节点可以向主节点发送注册请求，该注册请求中携带有待认证配电终端对应的第一终端属性信息。
134.所述主节点502，用于在接收到注册请求后，对所述待认证节点进行身份注册，并在注册成功时将所述第一终端属性信息存储到所述私有链网络中设定的存储位置。
135.在实际应用中，在接收到注册请求后，响应于注册请求，主节点可以对待认证节点进行身份注册，并在注册成功时将第一终端属性信息存储到私有链网络中设定的存储位置。
136.所述待认证节点501，还用于在注册成功后，向所述已认证节点发送所述主节点对应的主节点信息和当前获取的第二终端属性信息。
137.在实际应用中，主节点成功对待认证节点进行身份注册后，可以向待认证节点返回注册结果，待认证节点可以根据注册结果确定是否注册成功，在确定注册成功后，待认证节点可以向已认证节点发送主节点对应的主节点信息和当前获取的第二终端属性信息。
138.所述已认证节点503，用于确定所述主节点信息对应的主节点，从所述主节点发送的所述存储位置中，获取所述第一终端属性信息，比较所述第一终端属性信息和所述第二终端属性信息，并根据比较结果，确定是否通过所述待认证节点的身份认证。
139.具体实现中，已认证节点在获取到主节点信息后，可以确定主节点信息对应的主节点，并向主节点发送针对待认证节点的终端属性信息获取请求，主节点在接收到终端属性信息获取请求后，可以向已认证节点发送第一终端属性信息对应的存储位置。
140.在在接收到主节点返回的存储位置后，已认证节点可以从私有链网络中，获取该存储位置下的第一终端属性信息，并对第一终端属性信息和第二终端属性信息进行比对，获取两者是否匹配的比对结果，进而可以根据比对结果，确定是否通过待认证节点的身份认证。
141.在本实施例中，私有链网络中的待认证节点可以向主节点发送携带有待认证配电终端对应的第一终端属性信息的注册请求，主节点在接收到注册请求后，对待认证节点进行身份注册，并在注册成功时将第一终端属性信息存储到私有链网络中设定的存储位置，待认证节点在注册成功后，可以向已认证节点发送主节点对应的主节点信息和当前获取的第二终端属性信息，进而已认证节点可以确定主节点信息对应的主节点，从主节点发送的存储位置中，获取第一终端属性信息，比较第一终端属性信息和第二终端属性信息，并根据比较结果，确定是否通过待认证节点的身份认证。在本实施例中，由于私有链网络中任意已认证节点都可以对待认证节点进行身份认证，能够避免依赖有限的中心可信设备对大量配电终端进行身份认证，提高认证速度，同时可以防止单一的中心可信设备故障而造成鉴权体系时效，因此有效提高了配电终端身份认证效率。
142.在一个实施例中，如图6所示，提供了一种配电终端认证装置，可以应用于私有链网络中已认证配电终端对应的已认证节点，所述装置包括：
143.主节点信息接收模块601，用于获取待认证配电终端对应的待认证节点发送的主
节点信息；
144.存储位置确定模块602，用于确定所述主节点信息对应的主节点，并接收所述主节点发送的存储位置；所述主节点为配电主站或配电子站对应的在所述私有链网络中的节点，所述存储位置为所述主节点对所述待认证节点进行身份注册时，用于存储所述待认证配电终端对应的第一终端属性信息的所述私有链网络中的位置；
145.终端属性信息获取模块603，用于获取所述存储位置下的所述第一终端属性信息，并获取所述待认证节点发送的第二终端属性信息；
146.认证模块604，用于比对所述第一终端属性信息和所述第二终端属性信息，并根据比对结果，确定是否通过所述待认证节点的身份认证。
147.在一个实施例中，所述终端属性信息获取模块，包括：
148.待认证节点公钥获取子模块，用于向所述主节点发送针对所述待认证节点的公钥获取请求，并接收所述主节点发送的所述待认证节点对应的公钥；所述公钥在所述主节点对所述待认证节点进行身份注册时得到；
149.第二加密信息获取子模块，用于获取所述待认证节点发送的加密后的第二终端属性信息；所述加密后的第二终端属性信息通过所述待认证节点对应的私钥加密；
150.第二加密信息解密模块，用于采用所述待认证节点对应的公钥，对所述加密后的第二终端属性信息进行解密，得到所述第二终端属性信息。
151.在一个实施例中，所述待认证节点公钥获取子模块，包括：
152.公钥获取请求生成单元，用于获取所述已认证配电终端对应的第三终端属性信息，并生成包含所述第三终端属性信息的针对所述待认证节点的公钥获取请求；
153.公钥获取请求发送单元，用于向所述主节点发送所述公钥获取请求，以触发所述主节点在接收到所述公钥获取请求后，当所述第三终端属性信息与所述私有链网络中所述已认证配电终端对应的已认证终端属性信息匹配时，向所述已认证节点发送所述待认证节点对应的公钥。
154.在一个实施例中，所述装置还包括：
155.认证终端属性信息存储模块，用于当确定所述待认证节点通过身份认证时，将所述第二终端属性信息作为所述待认证节点对应的已认证终端属性信息，存储到所述私有链网络中，以在所述待认证节点从所述主节点中获取其他待认证节点的公钥时，触发所述主节点基于所述待认证节点对应的终端属性信息，验证所述待认证节点的身份。
156.在一个实施例中，所述终端属性信息获取模块，包括：
157.第一加密信息获取子模块，用于获取所述存储位置下的加密后的第一终端属性信息；所述加密后的第一终端属性信息通过所述主节点对应的私钥加密；
158.第一加密信息解密模块，用于获取所述主节点对应的公钥，并采用所述主节点对应的公钥对所述加密后的第一终端属性信息进行解密，得到所述第一终端属性信息。
159.在一个实施例中，所述存储位置下的所述第一终端属性信息，为所述待认证配电终端的终端属性信息所对应的第一哈希值，所述认证模块具体用于：
160.获取所述第二终端属性信息对应的第二哈希值，并对所述第一哈希值和所述第二哈希值进行比对。
161.关于配电终端认证装置的具体限定可以参见上文中对于配电终端认证方法的限
定，在此不再赘述。上述配电终端认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
162.在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种配电终端认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
163.本领域技术人员可以理解，图7中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
164.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：
165.获取待认证配电终端对应的待认证节点发送的主节点信息；
166.确定所述主节点信息对应的主节点，并接收所述主节点发送的存储位置；所述主节点为配电主站或配电子站对应的在所述私有链网络中的节点，所述存储位置为所述主节点对所述待认证节点进行身份注册时，用于存储所述待认证配电终端对应的第一终端属性信息的所述私有链网络中的位置；
167.获取所述存储位置下的所述第一终端属性信息，并获取所述待认证节点发送的第二终端属性信息；
168.比对所述第一终端属性信息和所述第二终端属性信息，并根据比对结果，确定是否通过所述待认证节点的身份认证。
169.在一个实施例中，处理器执行计算机程序时还实现上述其他实施例中的步骤。
170.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
171.获取待认证配电终端对应的待认证节点发送的主节点信息；
172.确定所述主节点信息对应的主节点，并接收所述主节点发送的存储位置；所述主节点为配电主站或配电子站对应的在所述私有链网络中的节点，所述存储位置为所述主节点对所述待认证节点进行身份注册时，用于存储所述待认证配电终端对应的第一终端属性信息的所述私有链网络中的位置；
173.获取所述存储位置下的所述第一终端属性信息，并获取所述待认证节点发送的第二终端属性信息；
174.比对所述第一终端属性信息和所述第二终端属性信息，并根据比对结果，确定是
否通过所述待认证节点的身份认证。
175.在一个实施例中，计算机程序被处理器执行时还实现上述其他实施例中的步骤。
176.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
177.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
178.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。