本发明实施例提供一种电力终端数字身份管理方法及系统,属于数字处理领域。所述电力终端集成有安全芯片,所述方法应用于业务平台,包括:响应于电力终端发起的安全芯片身份绑定请求,调用区块链芯片身份绑定合约,由区块链节点进行安全芯片身份绑定;响应于电力终端发起的电力终端身份绑定请求,调用区块链终端身份绑定合约,由区块链节点将电力终端身份和所述安全芯片身份绑定。该方法以安全芯片应用为基础,结合区块链不可篡改、智能合约、去中心化的特点,实现对接入智能电网的电力终端统一管理与安全接入。
1.一种电力终端数字身份管理方法,应用于业务平台,其特征在于,所述电力终端集成有安全芯片,所述方法包括:响应于电力终端发起的安全芯片身份绑定请求,调用区块链芯片身份绑定合约,由区块链节点进行安全芯片身份绑定;
响应于电力终端发起的电力终端身份绑定请求,调用区块链终端身份绑定合约,由区块链节点将电力终端身份和所述安全芯片身份绑定;
所述电力终端写入有电力终端数字身份TerminalID,所述安全芯片写入有安全芯片数字身份ChipID,所述TerminalID和ChipID由电网主管单元生成并进行脱敏处理后提交区块链节点存储,所述TerminalID脱敏后的值记为第一终端身份脱敏值,所述ChipID脱敏后的值记为第一芯片身份脱敏值;
所述安全芯片还生成密钥对,包括公钥PubKey和私钥PriKey;
所述安全芯片使用所述PriKey对所述ChipID进行签名获得芯片数字身份签名ChipIDsig并存储;
所述电力终端读取所述ChipID、PubKey和ChipIDsig,并发送给所述业务平台;
区块链节点接收来自所述业务平台的所述ChipID、PubKey和ChipIDsig;
区块链节点对所述ChipID进行脱敏处理获得第二芯片身份脱敏值,查询所述第二芯片身份脱敏值是否在区块链上存在,若不存在则终止安全芯片身份绑定;
区块链节点查询所述第二芯片身份脱敏值是否已经绑定过公钥,若已经绑定过公钥则终止;
区块链节点验证所述ChipIDsig是否正确,若不正确则终止;
区块链节点对所述PubKey进行脱敏处理获得第一公钥脱敏值;
区块链节点绑定所述第二芯片身份脱敏值和第一公钥脱敏值并在区块链上存储。
2.根据权利要求1所述的电力终端数字身份管理方法,其特征在于,所述TerminalID和ChipID由电网主管单元生成并进行脱敏处理后提交区块链节点存储中的所述脱敏处理,包括:电网主管单元计算所述ChipID的哈希值获得ChipIDhash,计算所述TerminalID的哈希值获得TerminalIDhash,所述ChipIDhash为所述第一芯片身份脱敏值,所述TerminalIDhash为所述第一终端身份脱敏值。
3.根据权利要求1所述的电力终端数字身份管理方法,其特征在于,所述对所述ChipID进行脱敏处理获得第二芯片身份脱敏值包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第二芯片身份脱敏值;
所述对所述PubKey进行脱敏处理获得第一公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第一公钥脱敏值。
4.根据权利要求1所述的电力终端数字身份管理方法,其特征在于,所述电力终端发起的电力终端身份绑定请求,包括:电力终端读取所述ChipID、PubKey和TerminalID;
电力终端调用所述PriKey对所述TerminalID进行签名获得终端数字身份签名TerminalIDsig;
电力终端将所述ChipID、TerminalID、TerminalIDsig和PubKey发送给业务平台。
5.根据权利要求4所述的电力终端数字身份管理方法,其特征在于,所述由区块链节点将电力终端身份和所述安全芯片身份绑定,包括:区块链节点接收来自所述业务平台的所述ChipID、TerminalID、TerminalIDsig和PubKey;
区块链节点对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,查询所述第二终端身份脱敏值是否在区块链上存在,若不存在则终止电力终端身份绑定;
区块链节点查询所述第二终端身份脱敏值是否已经绑定过安全芯片数字身份,若已经绑定过则终止;
区块链节点对所述ChipID进行脱敏处理获得第三芯片身份脱敏值;
区块链节点查询所述第三芯片身份脱敏值是否在区块链上存在,若不存在则终止;
区块链节点查询所述第三芯片身份脱敏值是否已经绑定过公钥,若未绑定过公钥则终止;
区块链节点对所述PubKey进行脱敏处理获得第二公钥脱敏值;
区块链节点判定所述第二公钥脱敏值是否与区块链存储的与所述第二芯片身份脱敏值绑定的第一公钥脱敏值一致,若不一致则终止;
区块链节点验证所述TerminalIDsig是否正确,若不正确则终止;
区块链节点绑定所述第二终端身份脱敏值和所述第三芯片身份脱敏值并在区块链上存储。
6.根据权利要求5所述的电力终端数字身份管理方法,其特征在于,所述对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,包括:计算所述TerminalID的哈希值获得TerminalIDhash,所述TerminalIDhash为所述第二终端身份脱敏值;
所述对所述ChipID进行脱敏处理获得第三芯片身份脱敏值,包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第三芯片身份脱敏值;
所述对所述PubKey进行脱敏处理获得第二公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第二公钥脱敏值。
7.一种电力终端数字身份管理系统,其特征在于,所述电力终端集成有安全芯片,所述系统包括:业务平台,用于响应于电力终端发起的安全芯片身份绑定请求,调用区块链芯片身份绑定合约;以及响应于电力终端发起的电力终端身份绑定请求,调用区块链终端身份绑定合约;
区块链,该区块链包括区块链节点,用于进行安全芯片身份绑定以及将电力终端身份和所述安全芯片身份绑定;
电网主管单元,用于生成安全芯片数字身份ChipID以及电力终端数字身份TerminalID并将所述ChipID和TerminalID进行脱敏处理后提交区块链存储,所述TerminalID脱敏后的值记为第一终端身份脱敏值,所述ChipID脱敏后的值记为第一芯片身份脱敏值;
电力终端,用于向所述电网主管单元申请所述TerminalID并将所述TerminalID写入电力终端;
生成密钥对,包括公钥PubKey和私钥PriKey;
使用所述PriKey对所述ChipID进行签名获得芯片数字身份签名ChipIDsig并存储;
所述电力终端读取所述ChipID、PubKey和ChipIDsig,并发送给所述业务平台;
接收来自所述业务平台的所述ChipID、PubKey和ChipIDsig;
对所述ChipID进行脱敏处理获得第二芯片身份脱敏值,查询所述第二芯片身份脱敏值是否在区块链上存在,若不存在则终止安全芯片身份绑定;
查询所述第二芯片身份脱敏值是否已经绑定过公钥,若已经绑定过公钥则终止;
验证所述ChipIDsig是否正确,若不正确则终止;
对所述PubKey进行脱敏处理获得第一公钥脱敏值;
绑定所述第二芯片身份脱敏值和第一公钥脱敏值并在区块链上存储。
8.根据权利要求7所述的电力终端数字身份管理系统,其特征在于,所述将所述ChipID和TerminalID进行脱敏处理后提交区块链存储中的所述脱敏处理,包括:所述电网主管单元计算所述ChipID的哈希值获得ChipIDhash,计算所述TerminalID的哈希值获得TerminalIDhash,所述ChipIDhash为所述第一芯片身份脱敏值,所述TerminalIDhash为所述第一终端身份脱敏值。
9.根据权利要求7所述的电力终端数字身份管理系统,其特征在于,所述对所述ChipID进行脱敏处理获得第二芯片身份脱敏值包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第二芯片身份脱敏值;
所述对所述PubKey进行脱敏处理获得第一公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第一公钥脱敏值。
10.根据权利要求7所述的电力终端数字身份管理系统,其特征在于,所述电力终端发起的电力终端身份绑定请求,包括:电力终端读取所述ChipID、PubKey和TerminalID;
电力终端调用所述PriKey对所述TerminalID进行签名获得终端数字身份签名TerminalIDsig;
电力终端将所述ChipID、TerminalID、TerminalIDsig和PubKey发送给业务平台。
11.根据权利要求10所述的电力终端数字身份管理系统,其特征在于,所述区块链节点还用于:接收来自所述业务平台的所述ChipID、TerminalID、TerminalIDsig和PubKey;
区块链节点对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,查询所述第二终端身份脱敏值是否在区块链上存在,若不存在则终止电力终端身份绑定;
区块链节点查询所述第二终端身份脱敏值是否已经绑定过安全芯片数字身份,若已经绑定过则终止;
区块链节点对所述ChipID进行脱敏处理获得第三芯片身份脱敏值;
区块链节点查询所述第三芯片身份脱敏值是否在区块链上存在,若不存在则终止;
区块链节点查询所述第三芯片身份脱敏值是否已经绑定过公钥,若未绑定过公钥则终止;
区块链节点对所述PubKey进行脱敏处理获得第二公钥脱敏值;
区块链节点判定所述第二公钥脱敏值是否与区块链存储的与所述第二芯片身份脱敏值绑定的第一公钥脱敏值一致,若不一致则终止;
区块链节点验证所述TerminalIDsig是否正确,若不正确则终止;
区块链节点绑定所述第二终端身份脱敏值和所述第三芯片身份脱敏值并在区块链上存储。
12.根据权利要求11所述的电力终端数字身份管理系统,其特征在于,所述对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,包括:计算所述TerminalID的哈希值获得TerminalIDhash,所述TerminalIDhash为所述第二终端身份脱敏值;
所述对所述ChipID进行脱敏处理获得第三芯片身份脱敏值,包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第三芯片身份脱敏值;
所述对所述PubKey进行脱敏处理获得第二公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第二公钥脱敏值。
电力终端数字身份管理方法及系统
技术领域
[0001] 本发明涉及数据处理领域,具体地涉及一种电力终端数字身份管理方法及系统。
背景技术
[0002] 随着智能电网的发展和网络通信的复杂化,各种终端在电网业务系统中的使用越来越多样化,受限于厂商的技术水平、生产能力参差不齐,现有的终端设备标准化程度不高,安全接入技术不成熟,且管理方式不统一,无法满足台区精益化管理要求和快速变化的业务服务需求。
[0003] 随着互联网技术的普及,使用数字身份进行身份认证这一方法已被广泛采用,数字身份是信息系统中不可缺少的组成部分,无论是信息系统的使用者或管理者在访问信息系统时,信息系统都会依赖于参与者的数字身份对其进行识别或认证,在识别通过或认证通过后,信息系统方为其提供授权范围内的服务。数字身份安全的核心是非对称算法,基于公钥创建或关联数字身份、数据。数字身份发展还处于初步阶段,主要面临以下几个问题:1、数字身份的私钥需要用户、终端设备自己保存,使用门槛较高、安全性差;2、数字身份以中心化方式存储,这种将身份信息长期存放在中心化机构的方式存在巨大风险。
[0004] 鉴于上述缺陷,亟需一种能够对电力终端数字身份进行安全、标准化管理的方法。
发明内容
[0005] 本发明实施例的目的是提供一种电力终端数字身份管理方法及系统,该方法以安全芯片应用为基础,结合区块链不可篡改、智能合约、去中心化的特点,实现对接入智能电网的电力终端统一管理与安全接入。
[0006] 为了实现上述目的,本发明实施例提供一种电力终端数字身份管理方法,应用于业务平台,所述电力终端集成有安全芯片,所述方法包括:响应于电力终端发起的安全芯片身份绑定请求,调用区块链芯片身份绑定合约,由区块链节点进行安全芯片身份绑定;响应于电力终端发起的电力终端身份绑定请求,调用区块链终端身份绑定合约,由区块链节点将电力终端身份和所述安全芯片身份绑定。
[0007] 可选的,所述电力终端写入有电力终端数字身份TerminalID,所述安全芯片写入有安全芯片数字身份ChipID,所述TerminalID和ChipID由电网主管单元生成并进行脱敏处理后提交区块链节点存储,所述TerminalID脱敏后的值记为第一终端身份脱敏值,所述ChipID脱敏后的值记为第一芯片身份脱敏值。
[0008] 可选的,所述脱敏处理,包括:电网主管单元计算所述ChipID的哈希值获得ChipIDhash,计算所述TerminalID的哈希值获得TerminalIDhash,所述ChipIDhash为所述第一芯片身份脱敏值,所述TerminalIDhash为所述第一终端身份脱敏值。
[0009] 可选的,所述安全芯片还生成密钥对,包括公钥PubKey和私钥PriKey;所述安全芯片使用所述PriKey对所述ChipID进行签名获得芯片数字身份签名ChipIDsig并存储。
[0010] 可选的,所述电力终端发起的安全芯片身份绑定请求,包括:所述电力终端读取所述ChipID、PubKey和ChipIDsig,并发送给所述业务平台。
[0011] 可选的,所述由区块链节点进行安全芯片身份绑定,包括:区块链节点接收来自所述业务平台的所述ChipID、PubKey和ChipIDsig;区块链节点对所述ChipID进行脱敏处理获得第二芯片身份脱敏值,查询所述第二芯片身份脱敏值是否在区块链上存在,若不存在则终止安全芯片身份绑定;区块链节点查询所述第二芯片身份脱敏值是否已经绑定过公钥,若已经绑定过公钥则终止;区块链节点验证所述ChipIDsig是否正确,若不正确则终止;区块链节点对所述PubKey进行脱敏处理获得第一公钥脱敏值;区块链节点绑定所述第二芯片身份脱敏值和第一公钥脱敏值并在区块链上存储。
[0012] 可选的,所述对所述ChipID进行脱敏处理获得第二芯片身份脱敏值包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第二芯片身份脱敏值;所述对所述PubKey进行脱敏处理获得第一公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第一公钥脱敏值。
[0013] 可选的,所述电力终端发起的电力终端身份绑定请求,包括:电力终端读取所述ChipID、PubKey和TerminalID;电力终端调用所述PriKey对所述TerminalID进行签名获得终端数字身份签名TerminalIDsig;电力终端将所述ChipID、TerminalID、TerminalIDsig和PubKey发送给业务平台。
[0014] 可选的,所述由区块链节点将电力终端身份和所述安全芯片身份绑定,包括:区块链节点接收来自所述业务平台的所述ChipID、TerminalID、TerminalIDsig和PubKey;区块链节点对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,查询所述第二终端身份脱敏值是否在区块链上存在,若不存在则终止电力终端身份绑定;区块链节点查询所述第二终端身份脱敏值是否已经绑定过安全芯片数字身份,若已经绑定过则终止;区块链节点对所述ChipID进行脱敏处理获得第三芯片身份脱敏值;区块链节点查询所述第三芯片身份脱敏值是否在区块链上存在,若不存在则终止;区块链节点查询所述第三芯片身份脱敏值是否已经绑定过公钥,若未绑定过公钥则终止;区块链节点对所述PubKey进行脱敏处理获得第二公钥脱敏值;区块链节点判定所述第二公钥脱敏值是否与区块链存储的与所述第二芯片身份脱敏值绑定的第一公钥脱敏值一致,若不一致则终止;区块链节点验证所述TerminalIDsig是否正确,若不正确则终止;区块链节点绑定所述第二终端身份脱敏值和所述第三芯片身份脱敏值并在区块链上存储。
[0015] 可选的,所述对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,包括:计算所述TerminalID的哈希值获得TerminalIDhash,所述TerminalIDhash为所述第二终端身份脱敏值;所述对所述ChipID进行脱敏处理获得第三芯片身份脱敏值,包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第三芯片身份脱敏值;所述对所述PubKey进行脱敏处理获得第二公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第二公钥脱敏值。
[0016] 另一方面,本发明提供一种电力终端数字身份管理系统,所述电力终端集成有安全芯片,所述系统包括:业务平台,用于响应于电力终端发起的安全芯片身份绑定请求,调用区块链芯片身份绑定合约;以及响应于电力终端发起的电力终端身份绑定请求,调用区块链终端身份绑定合约;区块链,该区块链包括区块链节点,用于进行安全芯片身份绑定以及将电力终端身份和所述安全芯片身份绑定。
[0017] 可选的,还包括:电网主管单元,用于生成安全芯片数字身份ChipID以及电力终端数字身份TerminalID并将所述ChipID和TerminalID进行脱敏处理后提交区块链存储,所述TerminalID脱敏后的值记为第一终端身份脱敏值,所述ChipID脱敏后的值记为第一芯片身份脱敏值;安全芯片,写入有所述ChipID;电力终端,用于向所述电网主管单元申请所述TerminalID并将所述TerminalID写入电力终端。
[0018] 可选的,所述脱敏处理,包括:所述电网主管单元计算所述ChipID的哈希值获得ChipIDhash,计算所述TerminalID的哈希值获得TerminalIDhash,所述ChipIDhash为所述第一芯片身份脱敏值,所述TerminalIDhash为所述第一终端身份脱敏值。
[0019] 可选的,所述安全芯片还用于:生成密钥对,包括公钥PubKey和私钥PriKey;使用所述PriKey对所述ChipID进行签名获得芯片数字身份签名ChipIDsig并存储。
[0020] 可选的,所述电力终端发起的安全芯片身份绑定请求,包括:所述电力终端读取所述ChipID、PubKey和ChipIDsig,并发送给所述业务平台。
[0021] 可选的,所述区块链节点还用于:接收来自所述业务平台的所述ChipID、PubKey和ChipIDsig;对所述ChipID进行脱敏处理获得第二芯片身份脱敏值,查询所述第二芯片身份脱敏值是否在区块链上存在,若不存在则终止安全芯片身份绑定;查询所述第二芯片身份脱敏值是否已经绑定过公钥,若已经绑定过公钥则终止;验证所述ChipIDsig是否正确,若不正确则终止;对所述PubKey进行脱敏处理获得第一公钥脱敏值;绑定所述第二芯片身份脱敏值和第一公钥脱敏值并在区块链上存储。
[0022] 可选的,所述对所述ChipID进行脱敏处理获得第二芯片身份脱敏值包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第二芯片身份脱敏值;所述对所述PubKey进行脱敏处理获得第一公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第一公钥脱敏值。
[0023] 可选的,所述电力终端发起的电力终端身份绑定请求,包括:电力终端读取所述ChipID、PubKey和TerminalID;电力终端调用所述PriKey对所述TerminalID进行签名获得终端数字身份签名TerminalIDsig;电力终端将所述ChipID、TerminalID、TerminalIDsig和PubKey发送给业务平台。
[0024] 可选的,所述区块链节点还用于:接收来自所述业务平台的所述ChipID、TerminalID、TerminalIDsig和PubKey;区块链节点对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,查询所述第二终端身份脱敏值是否在区块链上存在,若不存在则终止电力终端身份绑定;区块链节点查询所述第二终端身份脱敏值是否已经绑定过安全芯片数字身份,若已经绑定过则终止;区块链节点对所述ChipID进行脱敏处理获得第三芯片身份脱敏值;区块链节点查询所述第三芯片身份脱敏值是否在区块链上存在,若不存在则终止;区块链节点查询所述第三芯片身份脱敏值是否已经绑定过公钥,若未绑定过公钥则终止;
区块链节点对所述PubKey进行脱敏处理获得第二公钥脱敏值;区块链节点判定所述第二公钥脱敏值是否与区块链存储的与所述第二芯片身份脱敏值绑定的第一公钥脱敏值一致,若不一致则终止;区块链节点验证所述TerminalIDsig是否正确,若不正确则终止;区块链节点绑定所述第二终端身份脱敏值和所述第三芯片身份脱敏值并在区块链上存储。
[0025] 可选的,所述对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,包括:计算所述TerminalID的哈希值获得TerminalIDhash,所述TerminalIDhash为所述第二终端身份脱敏值;所述对所述ChipID进行脱敏处理获得第三芯片身份脱敏值,包括:计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第三芯片身份脱敏值;所述对所述PubKey进行脱敏处理获得第二公钥脱敏值,包括:计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第二公钥脱敏值。
[0026] 通过上述技术方案,以安全芯片应用为基础,结合区块链不可篡改、智能合约、去中心化的特点,实现对接入智能电网的电力终端统一管理与安全接入。
[0027] 本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
[0028] 附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
[0029] 图1是一实施例示出的一种电力终端数字身份管理方法流程图;
[0030] 图2是另一实施例提供一种电力终端数字身份管理系统结构框图;
[0031] 图3是另一实施例示出的一种电力终端数字身份管理方法流程图。
具体实施方式
[0032] 以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
[0033] 下面将参考附图并结合实施例来详细说明本发明。
[0034] 本发明一实施例提供一种电力终端数字身份管理方法,应用于业务平台,所述电力终端集成有安全芯片,如图1所示,该方法包括S102-S104:
[0035] S102,响应于电力终端发起的安全芯片身份绑定请求,调用区块链芯片身份绑定合约,由区块链节点进行安全芯片身份绑定;
[0036] S104,响应于电力终端发起的电力终端身份绑定请求,调用区块链终端身份绑定合约,由区块链节点将电力终端身份和所述安全芯片身份绑定。
[0037] 所述方法中,所述电力终端写入有电力终端数字身份TerminalID,所述安全芯片写入有安全芯片数字身份ChipID,所述TerminalID和ChipID由电网主管单元生成并进行脱敏处理后提交区块链节点存储;其中,所述TerminalID脱敏后的值记为第一终端身份脱敏值,所述ChipID脱敏后的值记为第一芯片身份脱敏值。
[0038] 即电网主管单元为每一个接入智能电网的电力终端分配唯一的数字身份,并且为每一个安全芯片分配唯一的数字身份,优选将该数字身份进行脱敏处理后再存储,能有效保护数字身份信息的安全性及设备的隐私性。
[0039] 优选的,所述脱敏处理,包括:电网主管单元计算所述ChipID的哈希值获得ChipIDhash,计算所述TerminalID的哈希值获得TerminalIDhash,则所述ChipIDhash为所述第一芯片身份脱敏值,所述TerminalIDhash为所述第一终端身份脱敏值。当然,数据脱敏算法不局限于哈希算法,哈希算法包括但不限于SM3、SHA1、SHA256等。
[0040] 该ChipID由安全芯片厂商向电网主管单元申请获得并写入安全芯片OTP(One Time Programmable,一次性可编程)区,所述安全芯片还生成密钥对,包括公钥PubKey和私钥PriKey,密钥算法包括但不限于SM2、ECC、RSA、RC等;所述安全芯片使用所述PriKey对所述ChipID进行签名获得芯片数字身份签名ChipIDsig并存储。
[0041] 所述电力终端集成所述安全芯片后,读取所述ChipID、PubKey和ChipIDsig,并发送给业务平台,此为电力终端向业务平台发起安全芯片身份绑定请求,本实施例中,所述安全芯片身份绑定是指将安全芯片的ChipID和PubKey进行绑定。
[0042] 业务平台响应于电力终端发起的安全芯片身份绑定请求,调用区块链芯片身份绑定合约,由区块链节点进行安全芯片身份绑定,包括步骤1.1-步骤1.6:
[0043] 步骤1.1:区块链节点接收来自所述业务平台的所述ChipID、PubKey和ChipIDsig。
[0044] 步骤1.2:区块链节点对所述ChipID进行脱敏处理获得第二芯片身份脱敏值,查询所述第二芯片身份脱敏值是否在区块链上存在,若不存在则终止安全芯片身份绑定。
[0045] 由于电网主管单元在生成ChipID并将其进行脱敏处理后提交区块链存储,且ChipID脱敏后的值记为第一芯片身份脱敏值,故若区块链节点计算的所述第二芯片身份脱敏值不在区块链上存在,则说明该芯片身份在区块链上未被提前存储,终止安全芯片身份绑定;若存在,则通过采用相同的数据脱敏算法,也一定满足该第二芯片身份脱敏值与第一芯片身份脱敏值相同,继续执行步骤1.3。
[0046] 其中,数据脱敏算法优选采用哈希算法,则脱敏处理即为计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第二芯片身份脱敏值。
[0047] 步骤1.3:区块链节点查询所述第二芯片身份脱敏值是否已经绑定过公钥,若已经绑定过公钥则终止。
[0048] 步骤1.4:区块链节点验证所述ChipIDsig是否正确,若不正确则终止。
[0049] 以密钥算法为RC为例,使用PubKey对所述ChipIDsig进行解密,比对解密后的ChipID是否与接收到的ChipID相同,若相同,则验证通过,ChipIDsig正确,反之则终止安全芯片身份绑定。
[0050] 步骤1.5:区块链节点对所述PubKey进行脱敏处理获得第一公钥脱敏值。
[0051] 步骤1.6:区块链节点绑定所述第二芯片身份脱敏值和第一公钥脱敏值并在区块链上存储。
[0052] 区块链完成对安全芯片身份绑定后,电力终端向业务平台发起电力终端身份绑定请求,包括三个步骤:1、电力终端读取所述ChipID、PubKey和TerminalID;2、电力终端调用所述PriKey对所述TerminalID进行签名获得终端数字身份签名TerminalIDsig;3、电力终端将所述ChipID、TerminalID、TerminalIDsig和PubKey发送给业务平台。
[0053] 业务平台响应该请求,调用区块链终端身份绑定合约,由区块链节点将电力终端身份和所述安全芯片身份绑定,包括步骤2.1-步骤2.10:
[0054] 步骤2.1:区块链节点接收来自所述业务平台的所述ChipID、TerminalID、TerminalIDsig和PubKey。
[0055] 步骤2.2:区块链节点对所述TerminalID进行脱敏处理获得第二终端身份脱敏值,查询所述第二终端身份脱敏值是否在区块链上存在,若不存在则终止电力终端身份绑定。
[0056] 由于电网主管单元在生成TerminalID并将其进行脱敏处理后提交区块链存储,且TerminalID脱敏后的值记为第一终端身份脱敏值,故若区块链节点计算的所述第二终端身份脱敏值不在区块链上存在,则说明该终端身份在区块链上未被提前存储,终止电力终端芯片身份绑定;若存在,则通过采用相同的数据脱敏算法,也一定满足该第二终端身份脱敏值与第一终端身份脱敏值相同,继续执行步骤2.3。
[0057] 其中,数据脱敏算法优选采用哈希算法,则脱敏处理即为计算所述TerminalID的哈希值获得TerminalIDhash,所述TerminalIDhash为所述第二终端身份脱敏值。
[0058] 步骤2.3:区块链节点查询所述第二终端身份脱敏值是否已经绑定过安全芯片数字身份,若已经绑定过则终止。
[0059] 区块链节点在绑定电力终端和安全芯片之前,需要对电力终端和安全芯片的数字身份分别进行验证,上述步骤2.2-步骤2.3为验证电力终端数字身份的过程,步骤2.4-步骤2.6为验证安全芯片数字身份的过程。
[0060] 步骤2.4:区块链节点对所述ChipID进行脱敏处理获得第三芯片身份脱敏值。
[0061] 步骤2.5:区块链节点查询所述第三芯片身份脱敏值是否在区块链上存在,若不存在则终止。
[0062] 为验证安全芯片数字身份,再一次对ChipID进行脱敏处理获得第三芯片身份脱敏值,若区块链节点计算的所述第三芯片身份脱敏值不在区块链上存在,终止安全芯片身份绑定;若存在,则通过采用相同的数据脱敏算法,也一定满足该第三芯片身份脱敏值与第一芯片身份脱敏值相同(并且还与第二芯片身份脱敏值相同),继续执行步骤2.6。
[0063] 其中,数据脱敏算法优选采用哈希算法,则脱敏处理即为计算所述ChipID的哈希值获得ChipIDhash,所述ChipIDhash为所述第三芯片身份脱敏值。
[0064] 步骤2.6:区块链节点查询所述第三芯片身份脱敏值是否已经绑定过公钥,若未绑定过公钥则终止。
[0065] 下述步骤2.7-步骤2.8为验证公钥的过程。
[0066] 步骤2.7:区块链节点对所述PubKey进行脱敏处理获得第二公钥脱敏值。
[0067] 其中,数据脱敏算法优选采用哈希算法,则脱敏处理即为计算所述PubKey的哈希值获得PubKeyhash,所述PubKeyhash为所述第二公钥脱敏值。
[0068] 步骤2.8:区块链节点判定所述第二公钥脱敏值是否与区块链存储的与所述第二芯片身份脱敏值绑定的第一公钥脱敏值一致,若不一致则终止。
[0069] 步骤2.9:区块链节点验证所述TerminalIDsig是否正确,若不正确则终止。
[0070] 以密钥算法为RC为例,使用PubKey对所述TerminalIDsig进行解密,比对解密后的TerminalID是否与接收到的TerminalID相同,若相同,则验证通过,TerminalIDsig正确,反之则终止安全芯片身份绑定。
[0071] 步骤2.10:区块链节点绑定所述第二终端身份脱敏值和所述第三芯片身份脱敏值并在区块链上存储。
[0072] 在前述步骤2.2-步骤2.9均验证通过的情况下,也一定满足以下条件:第三芯片身份脱敏值与第一芯片身份脱敏值、第二芯片身份脱敏值均相等,第二终端身份脱敏值与第一终端身份脱敏值相等,第二公钥脱敏值与第一公钥脱敏值相等。在此基础上,即可将安全芯片的数字身份和电力终端的数字身份进行绑定。
[0073] 需要注意的是,所述电力终端的数字身份可替换为电力终端中模块的数字身份,电网主管单元生成模块数字身份ModuleID,在电力终端模块写入该ModuleID,进行后续的电力终端模块数字身份的注册、存储和验证服务,即只要保证某电力终端数字身份或模块数字身份指代唯一的电力终端即可。
[0074] 本实施例中,电网主管单元为每一个接入智能电网的电力终端和每一个集成于电力终端的安全芯片分配唯一的数字身份,通过引入安全芯片存储数字身份,对数字身份行脱敏处理,保护数字身份信息的安全性及设备的隐私性,后通过区块链记录,确保身份信息的不可篡改和可追溯,并能有效管理每一个接入智能电网的电力终端;业务平台响应于电力终端的发起的安全芯片身份绑定请求,调用智能合约由区块链节点进行安全芯片身份绑定和电力终端身份绑定,期间通过安全芯片提供数字签名技术,提高了安全等级。本方法提供了一种安全可信的电力终端数字身份注册、存储、验证服务。
[0075] 本发明另一实施例提供一种电力终端数字身份管理系统,该系统包括:业务平台、区块链、电力终端(可能包括电力终端模块)、安全芯片以及电网主管单元,该系统结构框图如图2所示。
[0076] 以下以该系统的各模块间交互过程说明上述电力终端数字身份管理方法的流程,参见图3所示:
[0077] S202,电网主管单元生成安全芯片数字身份ChipID以及电力终端数字身份TerminalID。
[0078] S204,电网主管将所述ChipID和TerminalID进行脱敏处理后提交区块链存储:
[0079] (a)电网主管单元将所述ChipID和TerminalID进行脱敏处理获得ChipIDhash和TerminalIDhash;
[0080] (b)电网主管单元调用区块链身份存储合约,区块链存储ChipIDhash和TerminalIDhash。
[0081] S206,安全芯片(厂商)向电网主管单元申请所述ChipID:
[0082] (a)安全生产时将所述ChipID写入安全芯片OTP区;
[0083] (b)安全芯片生成密钥对,包括公钥PubKey和私钥PriKey;
[0084] (c)安全芯片生成数字身份签名ChipIDsig = Sign(PriKey , ChipID)并存储。
[0085] S208,电力终端(厂商)向电网主管单元申请所述TerminalID,安全生产时所述TerminalID写入电力终端,以及集成所述安全芯片。
[0086] S210,电力终端向业务平台发起安全芯片身份绑定请求:
[0087] (a)电力终端读取ChipID、PubKey和ChipIDsig;
[0088] (b)电力终端将信息(ChipID||ChipIDsig||PubKey)发送至业务平台。
[0089] S212,业务平台调用区块链芯片身份绑定合约,区块链节点进行安全芯片身份绑定:
[0090] (a)计算ChipIDhash= HASH(ChipID);
[0091] (b)查询ChipIDhash是否在区块链上存在,若不存在则终止;
[0092] (c)查询ChipIDhash是否已经绑定过PubKey,如已经绑定则终止;
[0093] (d)验证签名Verify(PubKey, ChipID, ChipIDsig )是否正确,如不正确则终止;
[0094] (e)计算PubKeyhash = HASH(PubKey);
[0095] (f)绑定并存储ChipIDhash与PubKeyhash。
[0096] S214,电力终端向业务平台发起电力终端身份绑定请求:
[0097] (a)读取ChipID、PubKey和TerminalID;
[0098] (b)调用PriKey签名TerminalID,即TerminalIDsig= Sign(PriKey, TerminalID);
[0099] (c)将信息(ChipID||TerminalID ||TerminalIDsig || PubKey)发送至业务平台。
[0100] S216,业务平台调用区块链终端身份绑定合约,区块链节点进行电力终端身份绑定:
[0101] (a)计算TerminalIDhash = HASH(TerminalID);
[0102] (b)查询TerminalIDhash是否在区块链上存在,如不存在则终止;
[0103] (c)查询TerminalIDhash是否已经绑定过ChipIDhash,如已经绑定则终止;
[0104] (d)计算ChipIDhash= HASH(ChipID);
[0105] (e)查询ChipIDhash是否在区块链上存在,如不存在则终止;
[0106] (f)查询ChipIDhash是否已经绑定过PubKey,如未绑定则终止;
[0107] (g)计算PubKeyhash = HASH(PubKey);
[0108] (h)判定PubKeyhash是否与区块链上ChipIDhash绑定的PubKeyhash一致,如不一致则终止;
[0109] (i)验证签名Verify(PubKey, TerminalID,TerminalIDsig)是否正确,如不正确则终止;
[0110] (j)绑定并存储TerminalIDhash与ChipIDhash。
[0111] 需要注意的是,所述电力终端的数字身份可替换为电力终端中模块的数字身份,上述TerminalID均可替换为ModuleID,同时将TerminalIDhash替换为ModuleIDhash,TerminalIDsig替换为ModuleIDsig,只要保证某电力终端数字身份或模块数字身份指代唯一的电力终端即可。需要说明的是,上述步骤的执行顺序还有其他排列方式,并不限于本实施例所示出的一种。
[0112] 在本实施例中,电网主管单元为每一个接入智能电网的电力终端和每一个集成于电力终端的安全芯片分配唯一的数字身份,通过引入安全芯片存储数字身份,对数字身份行哈希脱敏处理,保护数字身份信息的安全性及设备的隐私性,后通过区块链记录,确保身份信息的不可篡改和可追溯,并能有效管理每一个接入智能电网的电力终端;业务平台响应于电力终端的发起的安全芯片身份绑定请求,调用智能合约由区块链节点进行安全芯片身份绑定和电力终端身份绑定,期间通过安全芯片提供数字签名技术,提高了安全等级。本系统提供了一种安全可信的电力终端数字身份注册、存储、验证服务。
[0113] 需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0114] 以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
