本發(fā)明屬于電網(wǎng)客戶端登錄認(rèn)證，具體涉及基于數(shù)據(jù)互通聯(lián)動的電網(wǎng)統(tǒng)一身份認(rèn)證方法及系統(tǒng)。

背景技術(shù)：

1、在現(xiàn)代電力系統(tǒng)中，設(shè)備和用戶之間的身份驗證和授權(quán)管理至關(guān)重要。傳統(tǒng)的身份認(rèn)證方法往往存在安全漏洞和效率問題，難以滿足日益增長的電力系統(tǒng)需求。因此，需要一種新的身份認(rèn)證方法來提高電力系統(tǒng)的安全性、可靠性和效率。

2、目前，智能電網(wǎng)調(diào)度控制系統(tǒng)已經(jīng)全面覆蓋了電網(wǎng)公司范圍內(nèi)的所有等保四級系統(tǒng)，保障了電網(wǎng)的安全、穩(wěn)定、經(jīng)濟(jì)、環(huán)保運行，為特大電網(wǎng)調(diào)度提供了不可或缺的重要技術(shù)手段，已成為堅強(qiáng)智能電網(wǎng)的重要組成部分。隨著新型清潔能源的快速發(fā)展，大電網(wǎng)一體化運行、全面監(jiān)視防控的需求日益突出。在此背景下，在充分復(fù)用當(dāng)前電力系統(tǒng)成果的基礎(chǔ)上，新型電力系統(tǒng)利用云計算、大數(shù)據(jù)、人工智能等先進(jìn)成熟技術(shù)，采用“物理分布、邏輯統(tǒng)一”的全新架構(gòu)，將各類應(yīng)用的功能統(tǒng)一以服務(wù)的形式提供給全網(wǎng)調(diào)用，實現(xiàn)“泛在感知、協(xié)調(diào)控制”的全新功能，全面支撐新型電力系統(tǒng)的安全可靠運行。人機(jī)云終端(以下簡稱“云終端”)是新型電力系統(tǒng)在新架構(gòu)下的人機(jī)交互終端，通過人機(jī)交互網(wǎng)接入系統(tǒng)，使用人機(jī)云桌面下載各類應(yīng)用的客戶端(以下簡稱“app客戶端”)，進(jìn)而通過app客戶端進(jìn)行服務(wù)調(diào)用，實現(xiàn)位置無關(guān)、同景展示功能，并支持調(diào)度值班人員進(jìn)行本地、異地?zé)o差別的監(jiān)視控制。在新架構(gòu)下，采用云終端進(jìn)行人機(jī)訪問面臨以下新的安全挑戰(zhàn)。

3、1)云終端廣域接入，缺乏有效的手段驗證其真實性。新架構(gòu)下，云終端基于人機(jī)交互網(wǎng)進(jìn)行廣域互聯(lián)，任何能夠接入人機(jī)交互網(wǎng)的云終端均可接入新型電力系統(tǒng)訪問全網(wǎng)的服務(wù)和數(shù)據(jù)，現(xiàn)有技術(shù)中的客戶端登錄過程中缺乏對云終端設(shè)備進(jìn)行認(rèn)證，驗證云終端的真實性且在云終端認(rèn)證失敗時，阻斷該云終端與新型電力系統(tǒng)的網(wǎng)絡(luò)連接，防止不合法的云終端接入新型電力系統(tǒng)的相關(guān)方法及系統(tǒng)。

4、2)用戶身份認(rèn)證強(qiáng)度不高。當(dāng)前人機(jī)用戶登錄主要采用用戶口令方式，安全性較低，且不符合等保2.0第四級安全要求中對身份鑒別的要求?，F(xiàn)有技術(shù)中的客戶端登錄過程中缺乏結(jié)合密碼技術(shù)、生物特征識別技術(shù)等實現(xiàn)多因子身份認(rèn)證，進(jìn)而實現(xiàn)實現(xiàn)高強(qiáng)度的用戶認(rèn)證的相關(guān)方法及系統(tǒng)。

5、3)服務(wù)總線缺乏驗證機(jī)制，無法避免服務(wù)被非法訪問。新型電力系統(tǒng)中的服務(wù)統(tǒng)一采用服務(wù)總線進(jìn)行服務(wù)訪問，在服務(wù)調(diào)用過程中時，服務(wù)總線沒有對調(diào)用者身份進(jìn)行鑒別，服務(wù)只要收到請求就會立即響應(yīng)，存在被非法調(diào)用的風(fēng)險?，F(xiàn)有技術(shù)中的客戶端登錄過程中缺乏增加服務(wù)驗證方法，進(jìn)而保證服務(wù)訪問安全的相關(guān)方法及系統(tǒng)。

6、4)服務(wù)總線明文傳輸，存在數(shù)據(jù)泄露風(fēng)險。新型電力系統(tǒng)中的服務(wù)訪問時，未對通信數(shù)據(jù)進(jìn)行加密?，F(xiàn)有技術(shù)中的客戶端登錄過程中缺乏使用加密算法對服務(wù)總線進(jìn)行通信加密，進(jìn)而提升服務(wù)交互數(shù)據(jù)的安全性的相關(guān)方法及系統(tǒng)。

技術(shù)實現(xiàn)思路

1、本發(fā)明針對上述缺陷，提供一種基于數(shù)據(jù)互通聯(lián)動的電網(wǎng)統(tǒng)一身份認(rèn)證方法及系統(tǒng)。

2、本發(fā)明提供如下技術(shù)方案：基于數(shù)據(jù)互通聯(lián)動的電網(wǎng)統(tǒng)一身份認(rèn)證方法，所述方法基于數(shù)字簽名及人臉生物學(xué)信息進(jìn)行登錄信息雙重識別，包括以下步驟：

3、s1：多個注冊用戶登錄客戶端，實時采集多個注冊用戶的登錄注冊信息，并在首次登錄注冊時采集人臉生物學(xué)信息；

4、s2：所述客戶端對所述s1步驟實時采集的多個注冊用戶的登錄注冊信息進(jìn)行加密并上傳至云端，訪客登錄客戶端后通過訪客公鑰和訪客私鑰對所述云端的加密信息進(jìn)行依次解密，判斷訪客通過自身的所述訪客公鑰和訪客私鑰得到的注冊信息是否為云端存儲的加密前的用戶注冊信息，若是，則進(jìn)行s3步驟，否則向所述客戶端發(fā)出登錄信息填寫錯誤報告，不允許訪客登錄；

5、s3：進(jìn)一步對訪客人臉生物學(xué)信息識別，與存儲在云端的所述s2步驟解密后對應(yīng)的用戶注冊信息一致的用戶人臉生物學(xué)信息比對，若人臉信息比對成功，則訪客身份認(rèn)證成功，允許其登錄客戶端，否則繼續(xù)向所述客戶端發(fā)出人臉識別錯誤報告，不允許訪客登錄。

6、進(jìn)一步地，所述s2步驟包括以下步驟：

7、s21：實時采集第i個注冊用戶登錄注冊信息mi，i＝1，2，...，n；構(gòu)建多個注冊用戶登錄注冊信息哈希數(shù)列h(mi)：m→fq，其中，m為多個注冊用戶登錄注冊信息集合，m＝{m1，m2，...，mn}，其中，n為登錄注冊用戶的總數(shù)；fq為有關(guān)于第i個注冊用戶登錄信息的乘法階q的哈希數(shù)列信息矩陣；q≠1；

8、s22：客戶端采用云端公鑰對第i個用戶登錄信息進(jìn)行加密，生成密文信息αi，其中，為所述哈希數(shù)列信息矩陣fq的共軛矩陣，即對所述哈希數(shù)列信息矩陣中的每個元素取共軛后得到的矩陣；

9、s23：選取一個只被使用一次的任意或非重復(fù)的隨機(jī)數(shù)值k，構(gòu)建有關(guān)于第i個注冊用戶登錄信息的乘法階p的哈希數(shù)列信息矩陣fp中任一密文信息β的公鑰r(k)計算公式和有關(guān)于第i個注冊用戶登錄信息的乘法階q的哈希數(shù)列信息矩陣fq加密后的共軛矩陣任一密文信息αi的私鑰s(k，mi)計算公式：

10、

11、

12、βq＝1，β∈fp；

13、其中，為對自變量的向上q階取整函數(shù)，的計算結(jié)果處于[1，q-1]范圍，0＜q＜1；為對βk的計算結(jié)果向上p階取整函數(shù)，0＜p<1，p≠q，p和q均為素數(shù)；對第i個注冊用戶登錄注冊信息mi進(jìn)行加密，形成密鑰對(r(k)，s(k，mi))傳輸至云端；

14、s24：云端對客戶端上傳的數(shù)字簽名(r(k)，s(k，mi))以及對第i個用戶登錄信息加密后得到的密文信息αi進(jìn)行存儲；

15、s25：當(dāng)?shù)趈個訪客通過客戶端登錄時，使用訪客公鑰對所述哈希數(shù)列信息矩陣fq的共軛矩陣中的每個元素進(jìn)行解密，得到解密信息集合t＝{t1，t2，...，tj，...tn}，其中，tj為對應(yīng)第i個注冊用戶登錄信息的密文信息αi的第j個解密信息，j＝1，2，...n；i不必一定等于j，s-1(k，mi)為所述私鑰s(k，mi)的逆函數(shù)；

16、s26：采用訪客私鑰對第j個解密信息tj進(jìn)行解密，得到第j個訪客的注冊信息uj：

17、uj＝[tj(r(k)β-q)p-1]k-1；

18、s27：構(gòu)建n個解密信息與q和l相關(guān)的解密誤差限定閾值計算矩陣thr：

19、其中，l為所述隨機(jī)數(shù)值k的最大位數(shù)；

20、s28：計算所述解密誤差限定閾值計算矩陣thr的行列式，得到n個解密信息進(jìn)行解密準(zhǔn)確度限定的閾值q/(2l+1)，判斷所述第j個訪客的注冊信息uj與第i個用戶登錄信息mi之間的誤差是否在n個解密信息進(jìn)行解密準(zhǔn)確度限定的閾值q/(2l+1)之內(nèi)，即|uj-mi|≤q/(2l+1)，若是，則認(rèn)定第j個訪客的注冊信息uj與第i個用戶登陸信息mi相同，即第j個訪客為第i個注冊用戶；否則，重復(fù)所述s21-s27。

21、進(jìn)一步地，所述隨機(jī)數(shù)值k的最大位數(shù)1的計算公式如下：

22、

23、進(jìn)一步地，所述s3步驟包括以下步驟：

24、s31：客戶端通過攝像機(jī)采集多個注冊用戶的人臉實時照片，對存儲在云端的所述s2步驟解密后對應(yīng)的用戶注冊信息一致的用戶人臉生物學(xué)信息中第i個注冊用戶的人臉實時照片形成在圖像物理坐標(biāo)系內(nèi)的人臉生物信息數(shù)據(jù)f(xi，yi)；xi為第i個注冊用戶在圖像物理坐標(biāo)系內(nèi)的人臉生物信息橫坐標(biāo)，xi＝0，1，2，...，x-1；x≠1；yi為第i個注冊用戶在圖像物理坐標(biāo)系內(nèi)的人臉生物信息縱坐標(biāo)，yi＝0，1，2，...，y-1；；y≠1；i＝1，2，...，n；

25、s32：對所述s31步驟采集到的第i個注冊用戶的人臉實時照片在圖像物理坐標(biāo)系(xi，yi)的人臉生物信息轉(zhuǎn)換為像素坐標(biāo)系內(nèi)的人臉生物信息數(shù)據(jù)j(∈i，vi)：

26、

27、其中，∈i為第i個注冊用戶在像素坐標(biāo)系內(nèi)的人臉生物信息橫坐標(biāo)，∈i＝0,1，...，u-1；u≠1；vi＝0,1，...，v-1；v≠1；a(∈i)為像素坐標(biāo)系橫坐標(biāo)轉(zhuǎn)換系數(shù)方程，b(vi)為像素坐標(biāo)系縱坐標(biāo)轉(zhuǎn)換系數(shù)方程；

28、s33：計算所述s32步驟轉(zhuǎn)換得到的第i個注冊用戶人臉實時照片在像素坐標(biāo)系內(nèi)的高斯圖像紋理核特征系數(shù)：

29、

30、其中，為第i個注冊用戶的像素坐標(biāo)核特征向量，為的歐式范數(shù)，σ為n個注冊用戶人臉實時照片在像素坐標(biāo)系內(nèi)距離像素坐標(biāo)系原點距離的方差，η為復(fù)數(shù)，

31、s34：對n個注冊用戶的人臉實時照片在像素坐標(biāo)系內(nèi)的高斯圖像紋理核特征系數(shù)進(jìn)行歸集形成數(shù)據(jù)集上傳至云端，當(dāng)?shù)趈個訪客登錄客戶端時，j＝1，2，....n，重復(fù)所述s31-s33步驟，得到第j個訪客人臉實時照片在像素坐標(biāo)系內(nèi)的高斯圖像紋理核特征系數(shù)q(∈j，vj)：

32、s35：構(gòu)建人臉特征識別閾值p計算方程：

33、

34、s36：判斷所述人臉特征識別閾值p是否小于0.16，若小于，則判斷第j個訪客為第i個注冊用戶，即第j個訪客人臉信息比對成功，訪客身份認(rèn)證成功，允許其登錄客戶端；，否則繼續(xù)向所述客戶端發(fā)出人臉識別錯誤報告，不允許第j個訪客登錄客戶端。

35、進(jìn)一步地，所述步驟s32步驟中的像素坐標(biāo)系橫坐標(biāo)轉(zhuǎn)換系數(shù)方程a(ui)如下：

36、

37、所述步驟s312步驟中的像素坐標(biāo)系縱坐標(biāo)轉(zhuǎn)換系數(shù)方程b(vi)如下：

38、

39、進(jìn)一步地，所述第i個注冊用戶的像素坐標(biāo)核特征向量的計算公式如下：

40、

41、其中，為第i個注冊用戶的像素坐標(biāo)核特征向量在像素坐標(biāo)系的橫軸分量；為第i個注冊用戶的像素坐標(biāo)核特征向量在像素坐標(biāo)系的縱軸分量；μ為n個注冊用戶人臉實時照片在像素坐標(biāo)系內(nèi)距離像素坐標(biāo)系原點距離的平均值，θi0為第i個注冊用戶的像素坐標(biāo)的橫縱坐標(biāo)夾角。

42、進(jìn)一步地，所述第i個注冊用戶的像素坐標(biāo)的橫縱坐標(biāo)夾角θi0的計算公式如下：

43、

44、其中，為第i個注冊用戶的人臉實時照片在像素坐標(biāo)系內(nèi)橫軸向量，∈0為像素坐標(biāo)系原點的橫坐標(biāo)；為i個注冊用戶的人臉實時照片在像素坐標(biāo)系內(nèi)縱軸向量，v0為像素坐標(biāo)系原點的縱坐標(biāo)；為與的內(nèi)積；為的歐式范數(shù)，為的歐式范數(shù)，

45、本發(fā)明還提供一種采用如上述方法的基于數(shù)據(jù)互通聯(lián)動的電網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)，所述系統(tǒng)包括用于存儲用戶注冊數(shù)據(jù)的云端以及安裝在移動設(shè)備存儲介質(zhì)內(nèi)的客戶端，所述系統(tǒng)還包括登錄信息及人臉信息采集模塊、數(shù)字簽名及識別模塊以及人臉識別模塊；

46、所述登錄信息及人臉信息采集模塊，用于多個注冊用戶登錄客戶端，實時采集多個注冊用戶的登錄注冊信息，并在首次登錄注冊時采集人臉生物學(xué)信息；

47、所述數(shù)字簽名及識別模塊，用于所述客戶端對所述s1步驟實時采集的多個注冊用戶的登錄注冊信息進(jìn)行加密并上傳至云端，訪客登錄客戶端后通過訪客公鑰和訪客私鑰對所述云端的加密信息進(jìn)行依次解密，判斷訪客通過自身的所述訪客公鑰和訪客私鑰得到的注冊信息是否為云端存儲的加密前的用戶注冊信息，若是，則進(jìn)行s3步驟，否則向所述客戶端發(fā)出登錄信息填寫錯誤報告；

48、所述人臉識別模塊，用于進(jìn)一步對訪客人臉生物學(xué)信息識別，與存儲在云端的所述數(shù)字密鑰識別模塊解密后對應(yīng)的用戶注冊信息一致的用戶人臉生物學(xué)信息比對，若人臉信息比對成功，則訪客身份認(rèn)證成功，允許其登錄客戶端，否則繼續(xù)向所述客戶端發(fā)出人臉識別錯誤報告，不允許訪客登錄。

49、本發(fā)明的有益效果為：

50、1、本發(fā)明提供了一種基于數(shù)據(jù)互通聯(lián)動的電網(wǎng)統(tǒng)一身份認(rèn)證方法及系統(tǒng)，用于實現(xiàn)電力系統(tǒng)圖中的設(shè)備、用戶和操作員之間的安全、高效的身份驗證和授權(quán)管理。通過使用區(qū)塊鏈技術(shù)、數(shù)字簽名和生物識別技術(shù)，確保電力系統(tǒng)的操作安全和數(shù)據(jù)完整性。

51、2、本發(fā)明通過數(shù)字簽名及識別模塊，進(jìn)行s21-s28的訪客登錄數(shù)字簽名進(jìn)行逐步解密后，是否與云端存儲的用戶注冊信息一致，進(jìn)而驗證訪客登錄身份，通過s21-s28步驟進(jìn)行用戶登錄注冊信息的逐步加密并通過訪客公鑰和訪客私鑰的數(shù)字簽名，可以用來驗證訪客的身份。在訪客通過客戶端登錄時，訪客通過私鑰對信息進(jìn)行簽名，服務(wù)器使用相應(yīng)的公鑰進(jìn)行驗證。如果簽名驗證成功，說明信息確實是由聲稱的用戶(即已經(jīng)在云端存儲的用戶登錄注冊信息的注冊用戶)發(fā)送的。

52、此外，數(shù)字簽名確保數(shù)據(jù)在傳輸過程中沒有被篡改。如果數(shù)據(jù)在傳輸過程中被修改，那么簽名將不再有效，服務(wù)器可以檢測到這一點并拒絕登錄請求。使用密鑰對用戶登錄信息進(jìn)行數(shù)字簽名可以防止中間人攻擊和其他類型的網(wǎng)絡(luò)攻擊。因為只有擁有私鑰的用戶(訪客)才能生成有效的簽名，這增加了攻擊者偽造登錄請求的難度，進(jìn)而提高了電力系統(tǒng)的安全性的同時簡化了身份認(rèn)證流程。

53、3、本發(fā)明通過在數(shù)字簽名認(rèn)證之后，進(jìn)一步通過人臉生物學(xué)信息驗證訪客是否為相對應(yīng)的注冊用戶(即是否為自身注冊賬號登錄)，通過記錄每次登錄時的人臉識別信息，可以進(jìn)行事后審計，有助于追蹤和識別任何異?；蚩梢傻牡卿浶袨椤Ｈ四樧R別作為輔助數(shù)字簽名進(jìn)行電網(wǎng)身份多因素認(rèn)證的一部分，與其他數(shù)字簽名驗證結(jié)合使用，可以為電網(wǎng)客戶端的數(shù)據(jù)隱私保護(hù)提供更全面的安全保護(hù)，并能有效防止匿名盜竊用戶隱私信息或者任意篡改用電量或電費等風(fēng)險事故的發(fā)生。增強(qiáng)了審計能力。

54、4、本發(fā)明通過使用數(shù)字簽名和生物識別技術(shù)，確保電力系統(tǒng)的操作安全和數(shù)據(jù)完整性。