轻量级电力物联网终端密钥分发管理系统、方法和装置与流程

本发明涉及密码安全，具体地涉及一种轻量级电力物联网终端密钥分发管理系统、一种轻量级电力物联网终端密钥分发管理方法、一种电子装置以及对应的存储介质。

背景技术：

1、在国家新型电力系统战略目标指引下，电力物联网已广泛开展建设。充电桩、用电采集终端、手持终端、作业终端等电力物联网终端将以数百万级甚至千万级的数量接入电网中，因此入网安全显得格外重要。

2、密码体系通常可分为对称密码体制及非对称密码体制两类。对称密码体制具有运行速度快、配置简单、易于实现等优势，但是也具有缺少数字签名和不可否认性等缺点。且当网络规模较大时，面临密码分发和密钥管理等可扩展问题。而且终端密钥泄露将会导致与该终端共享密钥的所有其他终端面临通信安全问题。现有方案通常采用基于公钥基础设施(public key infrastructure，pki)的身份认证体系，在数字证书创建、分发、注销等过程中，面临数字证书体积大，认证时带宽、功耗要求高等诸多问题。

3、由于物联终端计算能力有限，传统基于公钥基础设施(public keyinfrastructure，pki)的身份认证体系在数字证书创建、分发、注销等过程中，面临数字证书体积大，认证时带宽、功耗要求高等问题，不适用于物联网环境下海量终端的身份认证需求，而且该方法需要通过数字证书绑定公钥与身份，存在证书管理成本与密钥分发管理成本较高的劣势，而未经认证的终端也对密钥的分发管理带来了诸多不利因素。

技术实现思路

1、本发明实施例的目的是提供一种轻量级电力物联网终端密钥分发管理系统、方法和装置，可以有效解决电力物联网系统规模化密钥管理问题。标识密码算法是一种无证书非对称密码认证技术，根据用户标识信息即可生成公私钥用于认证过程，无须第三方认证中心保障公钥合法性，免去了证书创建及维护过程，具有安全、高效、可靠等技术优势，适用于电力物联网环境，以至少解决背景技术中的部分问题。

2、为了实现上述目的，在本发明中提供了一种轻量级电力物联网终端密钥分发管理系统，所述系统包括：

3、第一密码服务装置，用于响应初始密钥请求以生成设备初始标识和初始密钥；业务资产管理装置，用于解析接收到的设备密钥分发请求，并根据所述设备密钥分发请求中的参数生成对应的设备业务标识，以及向所述设备密钥分发请求的请求端返回所述设备业务标识和对应的业务密钥；以及第二密码服务装置，用于根据业务资产管理装置传递的设备业务标识生成对应的业务密钥，并将所述业务密钥返回至所述业务资产管理装置。

4、优选地，所述设备初始标识经sm9算法后得到所述初始密钥，和/或所述设备业务标识经sm9算法后得到所述业务密钥。

5、优选地，所述响应初始密钥请求以生成设备初始标识和初始密钥，包括：所述第一密码服务装置调用标识管理微服务，所述标识管理微服务根据所述初始密钥请求中的参数信息匹配标识生成规则，并根据所述标识生成规则生成所述设备初始标识；所述第一密码服务装置调用标识密码微服务，所述标识密码微服务根据所述设备初始标识生成所述初始密钥。

6、优选地，根据所述设备密钥分发请求中的参数生成对应的设备业务标识，包括：若所述设备密钥分发请求中包含设备序列号和第一类参数，则通过分配方式确定对应的设备业务标识；若所述设备密钥分发请求中包含设备序列号和第二类参数，则通过计算方式确定对应的设备业务标识。

7、优选地，所述系统还包括密钥分发装置，所述密钥分发装置用于：接收所述第一密码服务装置生成的设备初始标识和初始密钥并转发至初始密钥请求的请求端；以及接收所述业务资产管理装置生成的设备业务标识和业务密钥并转发至物联感知设备。

8、优选地，所述系统还包括边缘汇聚设备，所述边缘汇聚设备用于：响应于物联感知设备的触发，生成随机数并下发至所述物联感知设备；接收所述物联感知设备经所述初始密钥签名的且包括所述随机数、设备序列号和第二类参数的密文；向所述业务资产管理装置发送包括所述设备序列号和第二类参数的设备密钥分发请求；将所述业务资产管理装置返回的设备业务标识和业务密钥经所述初始密钥加密后发送至所述物联感知设备。

9、本发明还提供了一种轻量级电力物联网终端密钥分发管理方法，应用于前述的轻量级电力物联网终端密钥分发管理系统，所述方法包括：

10、响应初始密钥请求以生成设备初始标识和初始密钥；解析接收到的设备密钥分发请求，并根据所述设备密钥分发请求中的参数生成对应的设备业务标识，以及向所述设备密钥分发请求的请求端返回所述设备业务标识和对应的业务密钥；以及根据业务资产管理装置传递的设备业务标识生成对应的业务密钥，并将所述业务密钥返回至所述业务资产管理装置。

11、优选地，所述设备初始标识经sm9算法后得到所述初始密钥，和/或所述设备业务标识经sm9算法后得到所述业务密钥。

12、优选地，所述响应初始密钥请求以生成设备初始标识和初始密钥，包括：所述第一密码服务装置调用标识管理微服务，所述标识管理微服务根据所述初始密钥请求中的参数信息匹配标识生成规则，并根据所述标识生成规则生成所述设备初始标识；所述第一密码服务装置调用标识密码微服务，所述标识密码微服务根据所述设备初始标识生成所述初始密钥。

13、优选地，根据所述设备密钥分发请求中的参数生成对应的设备业务标识，包括：若所述设备密钥分发请求中包含设备序列号和第一类参数，则通过分配方式确定对应的设备业务标识；若所述设备密钥分发请求中包含设备序列号和第二类参数，则通过计算方式确定对应的设备业务标识。

14、优选地，所述方法还包括：接收所述第一密码服务装置生成的设备初始标识和初始密钥并转发至初始密钥请求的请求端；以及接收所述业务资产管理装置生成的设备业务标识和业务密钥并转发至物联感知设备。

15、优选地，所述方法还包括：响应于物联感知设备的触发，生成随机数并下发至所述物联感知设备；接收所述物联感知设备经所述初始密钥签名的且包括所述随机数、设备序列号和第二类参数的密文；向所述业务资产管理装置发送包括所述设备序列号和第二类参数的设备密钥分发请求；将所述业务资产管理装置返回的设备业务标识和业务密钥经所述初始密钥加密后发送至所述物联感知设备。

16、在本发明中还提供了一种电子装置，包括：至少一个处理器；存储器，与所述至少一个处理器连接；其中，所述存储器存储有能被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现前述的轻量级电力物联网终端密钥分发管理方法的步骤。

17、在本发明中还提供了一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得处理器被配置成执行实现前述的轻量级电力物联网终端密钥分发管理方法的步骤。

18、在本发明中还提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现前述的轻量级电力物联网终端密钥分发管理方法的步骤。

19、上述技术方案具有以下有益效果：

20、(1)本发明实施方式中提供的两级密钥管理架构，可以实现对终端设备的分级管理，在生产和使用阶段分别使用本级的密码服务平台为终端生成标识，保障了终端在各自系统内的唯一性，也提高了系统对终端设备的管理灵活性。

21、(2)本发明实施方式中提供的sm9密码算法，可以省去通过ca数字证书实现身份认证的繁琐过程，免去了对海量电力物联终端所需要的数字证书的管理。

22、本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。