面向分布式储能系统的云边端一体化身份认证方法及系统

本发明属于网络安全，具体涉及一种面向分布式储能系统的云边端一体化身份认证方法及系统。

背景技术：

1、分布式储能系统中往往使用modbus协议作为通信协议，其具备着高效性、易于实现性与高可靠性等优势，但其通信过程中存在着很多安全问题。尽管协议中包含了奇偶校验与crc校验等一些协议固有的报文错误检测方法，但其仅能保证通信数据内容的初步准确性，这对于现今复杂的网络通信环境来说远远不够。因此，实现基于modbus协议的安全通信对于增强分布式储能系统的安全性显得尤为重要。modbus协议的安全问题主要为以下两点：

2、(1)身份认证的缺乏

3、确保电能数据信息从合法用户处得到，此为身份认证的目的。而对于未进行身份认证的用户，如果该用户将指令发送至终端设备，则该指令不能够被终端设备所执行。但对于本文所采用的modbus协议，却没有任何关于身份认证的具体措施。因此，处于通信网络中的第三方即恶意攻击者利用modbus协议的相关功能码能够开启通信进程，进而破坏电能数据信息的通信进程。

4、(2)明文传输

5、在利用modbus协议进行电能信息通信时，相应的指令与目的地址均以明文的方式进行传输，恶意攻击者能够方便的对重要电能数据进行窃取与解析，从而减少其非法操作的难度。因此，为了避免明文传输，防止恶意攻击者对重要电能数据进行窃取及非法利用，需对传输的电能数据利用现代加密算法进行合理的加密处理。

6、同时，随着分布式储能技术的广泛应用，储能终端的数量和产生的数据量越来越大，对于现有基于云-端的物联网架构提出了很大的挑战，利用边缘网关的计算和存储能力，传统的基于云计算的“云-端”网络架构逐渐转型为基于边缘网关的“云-边-端”一体化网络架构。在这种网络架构下，现有的工业物联网安全解决方案面对分布式储能系统存在一定的局限性。传统的“云-端”认证方案基于公钥基础设施pki实现，但存在以下问题：在分布式储能系统环境，终端数量庞大，对证书的维护存储以及用户密钥对的备份恢复带来很大的压力。同时证书的验证过程开销较大，对于资源受限的分布式储能终端不适用。

7、因此，研究分布式储能系统的身份认证方法具有重要的现实应用意义。

技术实现思路

1、本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种面向分布式储能系统的云边端一体化身份认证方法及系统，用于解决分布式储能系统中大量证书维护以及证书验证开销大的技术问题。

2、本发明采用以下技术方案：

3、面向分布式储能系统的云边端一体化身份认证方法，包括以下步骤：

4、s1、边缘网关烧录证书文件；

5、s2、边缘网关携带证书文件与云端建立连接；

6、s3、密钥生成中心kgc进行初始化，生成签名主密钥对和加密主密钥对；

7、s4、边缘网关和储能终端首先向kgc进行身份注册，采用设备的mac地址作为身份标识，获取身份标识之后，由kgc生成对应的公私钥对；根据身边标识生成边端密钥，将生成的边端密钥分发给储能终端；

8、s5、储能终端接入认证和会话密钥协商，完成云边端一体化身份认证。

9、优选地，步骤s1中，证书文件包括根证书、设备端证书私钥和设备端证书。

10、优选地，步骤s3中，密钥生成中心kgc部署于边缘网关，进行sm9密码算法的初始化，完成sm9密码算法系统参数组的选择、系统签名主公钥和系统签名主私钥、系统加密主公钥和加密主私钥的生成。

11、更优选地，随机生成随机数s∈[1,n-1]作为系统签名主私钥，随机数e∈[1,n-1]作为系统加密主私钥；

12、计算g2中的元素ppub-s＝[s]p2作为签名主公钥，签名主密钥对为(s,ppub)；计算g1中的元素ppub-e＝[e]p1作为加密主公钥，加密主密钥对为(e,ppub-e)；

13、密钥生成中心kgc秘密保存签名主私钥s和加密主私钥e，公开签名主公钥ppub-e和加密主公钥ppub-s。

14、更优选地，使用开源密码工具gmssl实现sm9标识密码算法。

15、优选地，步骤s4中，分布式储能系统中的节点在接入网络时，首先向密钥生成中心kgc进行身份注册；获取身份标识之后，由密钥生成中心kgc生成对应的公私钥对；终端从密钥生成中心kgc根据自己的身份标识获取签名私钥用于身份验证。

16、更优选地，终端的私钥生成过程如下：

17、密钥生成中心kgc选择并公开用一个字节表示的私钥生成函数识别符hid，用户a的标识为ida，密钥生成中心kgc在有限域fn上计算t1；若t1＝0，则重新产生主私钥，计算和公开主公钥，并更新已有的私钥；否则根据主私钥s，通过标识计算群g1的基点p1的倍点作为终端的签名私钥da，终端签名私钥da采用离线加密的方式下发到装置中，由终端自己秘密保存，用于后续设备安全接入网络时认证使用。

18、更优选地，当某个终端退出网络，变为非可信设备，对其身份标识进行撤销，密钥生成中心kgc将撤销终端的身份标识添加到撤销列表中，密钥生成中心kgc定期将撤销列表发送给边缘网关；当终端和边缘网关进行身份认证时，边缘网关只需根据该标识即可验证用户身份。

19、优选地，步骤s5中，储能终端接入认证具体为：

20、s501、边缘网关ida向挂载的储能终端idb发送认证请求，认证请求中包含认证请求标识authreq，自己及终端的身份标识；

21、s502、储能终端在接收到认证请求后，向所属的边缘网关回复认证请求，回复请求中包含认证回复标识authrsp，自己及边缘网关的身份标识，以及通过sm9数字签名算法使用自己的私钥计算的数字签名(h,s)，m为待签名消息，r为随机数，r∈[1,n-1]；

22、s503、边缘网关接收到储能终端的响应请求后，使用sm9验签算法对数字签名(h,s)进行验证，在签名验证通过后，边缘网关将该身份标识添加到自身的认证列表中，并加密一个比特长度为klen的会话密钥发送给储能终端；

23、s504、储能终端接收来自边缘网关的响应包后，通过边缘网关的数字签名进行身份验证，身份验证通过后，对接收到的封装密文进行解封装，获取相应的会话密钥key。

24、第二方面，本发明实施例提供了一种面向分布式储能系统的云边端一体化身份认证系统，包括：

25、烧录模块，边缘网关烧录证书文件；

26、连接模块，边缘网关携带证书文件与云端建立连接；

27、初始化模块，边缘网关和储能终端首先向kgc进行身份注册，采用设备的mac地址作为身份标识，获取身份标识之后，由kgc生成对应的公私钥对；

28、分发模块，根据身边标识生成边端密钥，将生成的边端密钥分发给储能终端；

29、认证模块，储能终端接入认证和会话密钥协商，完成云边端一体化身份认证。

30、第三方面，一种芯片，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述面向分布式储能系统的云边端一体化身份认证方法的步骤。

31、第四方面，本发明实施例提供了一种电子设备，包括计算机程序，所述计算机程序被电子设备执行时实现上述面向分布式储能系统的云边端一体化身份认证方法的步骤。

32、与现有技术相比，本发明至少具有以下有益效果：

33、面向分布式储能系统的云边端一体化身份认证方法，整个认证方法的步骤设置旨在实现面向分布式储能系统的云边端一体化身份认证，并具有以下目的和好处：

34、1.确保身份认证：通过步骤s4中的身份注册和生成公私钥对，系统可以对边缘网关和储能终端的身份进行验证。使用设备的mac地址作为身份标识可以确保唯一性。这样可以防止未授权的设备或个体访问系统，增强系统的安全性。

35、2.数据完整性验证：通过使用步骤s3生成的签名主密钥对，储能终端可以对发送的消息进行数字签名，边缘网关可以使用对应的公钥进行验证。这样可以确保在通信过程中消息的完整性，防止消息被篡改或修改。

36、3.机密性保护：通过使用步骤s3生成的加密主密钥对，储能终端可以使用公钥对敏感信息进行加密，只有边缘网关可以使用对应的私钥进行解密。这样可以确保通信过程中传输的数据只能被合法的边缘网关解密，保护数据的机密性。

37、4.双向身份认证：整个认证方法允许边缘网关和储能终端之间进行双向的身份认证，即彼此验证对方的身份。这样可以确保通信的双方都是合法的，并减少中间人攻击的风险。

38、s1：边缘网关烧录证书文件是为了初始化边缘网关的认证凭据，以供后续与云端建立安全连接使用。

39、s2：边缘网关携带证书文件与云端建立连接是为了在安全的通信管道上进行后续的身份认证和密钥交换。

40、s3：密钥生成中心kgc进行初始化，生成签名主密钥对和加密主密钥对，这是为了生成安全的密钥对，用于后续的身份认证和通信加解密过程。

41、s4：边缘网关和储能终端向kgc进行身份注册并获取公私钥对，以确保边缘网关和终端的身份可信，并且为后续的认证和通信提供所需的密钥对。

42、s5：储能终端通过接入认证和会话密钥协商，与边缘网关完成云边端一体化身份认证，确保通信安全和身份的可信性。

43、整个方法基于公钥基础设施(pki)和sm9标识密码算法，结合了数字签名和加密技术，以实现身份认证、数据完整性验证和机密性保护。通过使用密钥对进行身份验证和通信加解密，可以确保系统中的通信安全、数据的保护和解决认证问题。这样可以实现分布式储能系统的云边端一体化身份认证，并提高系统的安全性和可靠性。

44、进一步的，根证书：根证书是颁发其他证书的信任锚点，用于验证和建立信任链。其目的是确保通信中的参与者可以相互验证对方的证书的真实性和可信性。根证书通常由受信任的证书颁发机构(ca)签发并公开分发。使用根证书可以避免中间人攻击和伪装攻击，提供了安全通信所需的信任基础。

45、1.设备端证书私钥：设备端证书私钥是由设备生成并保存在本地的私钥，用于对设备的身份进行数字签名和加密通信。设备端证书私钥的目的是保护设备的私密信息，同时提供数字签名和加密功能，以确保身份认证和通信的安全性。

46、2.设备端证书：设备端证书是由设备的身份信息及其对应的公钥一起打包形成的数字证书，用于在身份认证过程中进行交换和验证。设备端证书的目的是证明设备的身份、完整性和真实性，以便在建立安全连接和通信过程中，确保与其他实体的安全互动。

47、原理分析说明：

48、根证书：根证书的目的是建立一个信任链，验证设备端证书的信任和合法性。根证书通常由权威的证书颁发机构(ca)签发，其公钥嵌入在设备和云端系统中。在证书验证过程中，设备端证书需要通过信任根证书链，追溯到可信任的根证书，以确保证书的合法性和可信度。

49、设备端证书私钥：设备端生成的证书私钥用于对设备的身份信息进行数字签名和加密通信。私钥通常保存在设备的安全存储中，并且只有设备本身具有对私钥的访问权限。通过使用证书私钥，设备可以对发送的数据进行数字签名，从而验证设备的身份和数据的完整性。此外，私钥还可用于解密和加密通信，以确保通信的机密性。

50、设备端证书：设备端证书包括设备的身份信息和对应的公钥，通过数字签名机制确保证书的真实性。设备端证书在设备注册和通信过程中起到重要作用。它用于验证设备的身份，以防止未授权的设备接入系统。同时，云端系统可以使用设备的公钥对数据进行加密，确保通信的机密性。此外，设备端证书还可以用于建立安全通信链路，确保双方之间的通信安全性和数据完整性。

51、通过使用根证书、设备端证书私钥和设备端证书，系统可以确保边缘网关的可信身份，并在通信过程中验证数据的完整性和保护通信的机密性。这样可以保障面向分布式储能系统的云边端一体化身份认证的安全可靠性。

52、进一步的，1.kgc部署于边缘网关：将密钥生成中心(kgc)部署于边缘网关可以带来以下好处：

53、(1)数据本地化：边缘网关位于网络边缘，可以直接与终端设备进行通信和数据交换。通过在边缘网关上部署kgc，可以将密钥生成的过程移至最接近终端设备的位置。这样可以减少数据的传输延迟和带宽消耗，提高密钥生成的效率，并且可以在边缘设备上快速生成所需的密钥，实现数据的本地化处理和安全保护。

54、(2)增强安全性：将kgc部署于边缘网关可以提供更高的安全性。边缘网关作为数据传输和处理的前沿，其具有较强的边界防御和安全监测能力。通过将kgc置于边缘网关，可以在边缘环境中密钥生成的过程中加强安全措施，包括访问控制、身份验证和审计等。这样可以防止未经授权的访问和潜在的攻击，提供更可靠的密钥生成和保护机制。

55、(3)简化管理：通过将kgc部署于边缘网关，可以简化系统的管理和维护。边缘网关通常集成了大量的设备和服务，将kgc与边缘网关集成在一起可以减少独立部署和管理的复杂性。管理员可以通过中心化的边缘管理系统对kgc进行集中管理和配置，降低系统管理的成本和工作量。

56、(4)提高响应速度：边缘网关位于最接近终端设备的位置，可以实现快速的响应和处理。通过将kgc部署于边缘网关，可以减少密钥生成的延迟和响应时间。这对于需要快速生成密钥的场景非常重要，例如大规模终端设备注册、设备身份验证等。密钥生成中心在边缘网关上部署可以更好地满足实时性和响应性的需求。

57、2.系统参数组的选择：在sm9密码算法中，系统参数组包括曲线参数和其他安全参数的集合。kgc负责选择适当的系统参数组来构建sm9密码算法的基础。选择合适的系统参数组可以确保算法的安全性和性能。不同的系统参数组可以根据具体需求进行选择，比如密钥长度、计算复杂度等。

58、3.系统签名主公钥和系统签名主私钥的生成设置：sm9密码算法中，系统签名主公钥用于验证签名，系统签名主私钥用于生成签名。kgc负责生成系统级别的签名主公钥和私钥。系统级别的密钥用于对整个系统的签名操作，确保数据的真实性和完整性。系统级别的签名密钥由kgc生成和管理，以确保系统内各个实体的签名操作的一致性和安全性。

59、4.系统加密主公钥和加密主私钥的生成设置：sm9密码算法中，系统加密主公钥用于加密数据，系统加密主私钥用于解密数据。kgc负责生成系统级别的加密主公钥和私钥。系统级别的密钥用于对整个系统的加密操作，确保数据的保密性。系统级别的加密密钥由kgc生成和管理，以确保系统内各个实体之间的加密通信安全和一致性。

60、原理分析说明：

61、1.系统参数组的选择：选择合适的系统参数组是保证sm9密码算法安全性和性能的基础。系统参数组的选择应考虑到曲线选取的合适性、参数设置的安全性和效率要求。通过合理选择系统参数组，可以使得系统在互操作性、安全性和性能方面达到最佳的平衡点。

62、2.系统签名主公钥和系统签名主私钥的生成设置：系统级别的签名主公钥和私钥的生成是确保整个系统签名的一致性和安全性的关键。kgc生成的系统级别密钥可以用于验证和生成整个系统中各个实体的签名操作，确保数据的真实性和完整性。生成系统级别的签名密钥保证了整个系统中的签名操作一致性，同时能够保护私钥的安全性，防止私钥泄漏或被恶意使用。

63、3.系统加密主公钥和加密主私钥的生成设置：系统级别的加密主公钥和私钥的生成是确保整个系统加密通信安全的关键。kgc生成的系统级别密钥可以用于整个系统中各个实体之间的加密通信，确保数据的保密性。生成系统级别的加密密钥保证了整个系统中的加密通信的一致性，同时能够保护私钥的安全性，防止私钥泄漏或被恶意使用。

64、进一步的，使用开源密码工具gmssl实现sm9标识密码算法的目的是为了在实际应用中使用sm9密码算法作为加密工具，并享受以下好处：

65、1.强大的安全性：sm9是中国国家密码管理局提出的一种基于椭圆曲线密码学的密码算法，具有高度的安全性。该算法采用了先进的密码学算法和数学原理，能够确保数据的机密性、完整性和可靠性。通过使用gmssl工具实现sm9算法，可以利用该算法的强大安全性来保护敏感数据和通信内容。

66、2.标准化和互操作性：gmssl是一个开源密码工具，支持各种国际密码标准和算法，包括sm9。通过使用gmssl实现sm9算法，可以使得sm9在不同系统和平台上的实施更加标准化和统一。这样可以保证在不同的应用环境中，使用gmssl实现的sm9算法能够相互兼容和互操作，提高系统的灵活性和可扩展性。

67、3.开源的透明性：gmssl是一个开源密码工具，用户可以查看和审查其代码，从而获得算法的透明性。通过使用开源工具实现sm9算法，用户可以独立验证算法的正确性和安全性，增强对算法的信任。同时，开源性还促进了安全专家和研究人员对算法的评估和改进，有助于不断提升算法的安全性和可靠性。

68、4.简化开发和部署：gmssl提供了一套完备的密码学工具和接口，包括sm9算法的实现和相关的功能模块。通过使用gmssl，用户可以简化sm9算法的开发和集成过程，减少工作量和开发周期。该工具还提供了丰富的文档和示例代码，方便用户理解和使用sm9算法。

69、原理分析说明：sm9是基于椭圆曲线密码学的一种密码算法。其核心原理是采用椭圆曲线群上的运算来实现安全的密钥交换、数字签名和加密功能。sm9算法利用椭圆曲线离散对数问题的复杂性来保证密钥的安全性，同时采用了可验证加密和身份认证的机制来增强算法的可靠性。

70、使用gmssl工具实现sm9算法，可以通过调用gmssl提供的api函数来实现sm9的各种功能，如密钥生成、签名、加密和解密等。gmssl利用椭圆曲线算术运算库和密码学算法库提供了必要的算法支持和功能实现。通过gmssl的封装，用户可以方便地调用sm9算法的各种功能，并进行相关的安全操作。

71、总之，使用开源密码工具gmssl实现sm9算法可以提供强大的安全性、标准化和互操作性、开源的透明性以及简化开发和部署的好处。这样可以使得sm9算法在实际应用中更加方便和可靠，保护敏感数据和通信内容的安全性。

72、进一步的，步骤s4中的设置旨在实现分布式储能系统中节点的身份认证，并确保安全的通信和数据访问。以下是步骤s4设置的目的和好处以及相关原理分析说明：

73、目的：

74、1.身份注册：通过向密钥生成中心(kgc)进行身份注册，分布式储能系统中的节点可以获取唯一的身份标识。这样可以确保每个节点都具有独特的身份标识，防止冒充和伪造身份。

75、2.公私钥生成：密钥生成中心(kgc)根据节点的身份标识生成对应的公私钥对。这样，每个节点都拥有自己的公钥和私钥，用于后续的身份验证和加密通信。公私钥对的生成可以确保数据的机密性和完整性。

76、3.签名私钥获取：终端从密钥生成中心(kgc)根据自己的身份标识获取签名私钥，用于进行身份验证。签名私钥的获取可以确保节点的身份得到确认，并且签名可以用于验证数据的来源和完整性。

77、好处：

78、1.身份确认和防止伪造：通过身份注册和唯一身份标识的生成，可以确保系统中每个节点的真实身份和防止冒充和伪造身份。

79、2.数据安全和完整性：通过生成公私钥对，可以实现数据的加密和解密操作，确保数据在传输和存储过程中的机密性和完整性。

80、3.身份验证和授权：通过获取签名私钥，可以进行身份验证和授权判断，确保只有合法的节点可以进行访问和操作，增强系统的安全性和稳定性。

81、原理分析：

82、密钥生成中心(kgc)作为一个可信任的第三方机构，负责生成和分发密钥。节点在接入网络时，首先进行身份注册，以便获取独一无二的身份标识。随后，密钥生成中心(kgc)根据节点的身份标识生成对应的公私钥对，其中公钥用于加密数据，私钥用于解密数据和数字签名。

83、终端通过向密钥生成中心(kgc)提供自己的身份标识，可以获取相应的签名私钥。这样，终端可以使用私钥对数据进行数字签名，以确保数据的来源和完整性。其他节点在接收到被签名的数据后，可以通过对签名进行验证，来确认数据的合法性和完整性。

84、总之，步骤s4的设置通过身份注册、公私钥生成和签名私钥获取等步骤，实现了分布式储能系统中节点的身份认证和数据安全性的保护。这样可以确保节点的真实身份，防止伪造和冒充，并保证数据在传输和存储过程中的机密性、完整性以及访问控制的安全性。

85、进一步的，终端的私钥生成设置的目的是确保终端设备在网络接入过程中使用安全且唯一的私钥，以进行身份认证和数据保护。以下是终端私钥生成设置的好处和相关原理分析说明：

86、目的：

87、1.安全性：终端的私钥生成尽可能保证私钥的安全性。私钥是用于进行身份验证和数据签名的关键要素，因此终端设备需要生成私钥并进行安全存储，以防止私钥泄露和未经授权使用。

88、2.唯一性：每个终端设备需要具有唯一的私钥，这样可以确保不同设备之间的身份标识和签名私钥的独特性。唯一的私钥可以防止身份冒充和伪造，提高系统的安全性。

89、好处：

90、1.身份验证：终端使用生成的私钥进行数字签名，以验证其身份的真实性和合法性。生成私钥时，使用终端的标识和主私钥来计算终端的签名私钥，确保了私钥的生成与终端的唯一标识相关联。

91、2.数据完整性：由于终端的签名私钥与终端设备唯一标识和主私钥相关，私钥的生成保证了数据的完整性。终端使用签名私钥对数据进行签名，其他设备可以使用公钥进行验证，从而确保数据的来源和完整性。

92、3.安全接入网络：私钥生成后，终端将签名私钥以离线加密的方式下发到装置中，并由终端自己秘密保存。这样可以保证私钥的机密性，降低私钥在传输过程中的风险，使得终端设备能够安全地接入网络，进行身份认证和访问控制。

93、原理分析：

94、密钥生成中心(kgc)选择一个字节表示的私钥生成函数识别符，并根据用户a的标识，在有限域fn上计算t1。如果t1等于0，表示需要重新生成主私钥，计算和公开主公钥，并更新已有的私钥。这是为了确保主私钥的安全性和唯一性。

95、如果t1不等于0，则使用标识和主私钥s计算群g1的基点p1的倍点，作为终端的签名私钥。该私钥与终端设备的唯一标识相关联，保证了私钥的唯一性和与终端身份的一致性。签名私钥以离线加密的方式下发到终端设备中，并由终端自行保管，以确保私钥的机密性。

96、总之，终端的私钥生成设置旨在确保私钥的安全性和唯一性，以实现终端设备的身份认证和数据完整性。生成的私钥与终端设备的标识和主私钥相关联，并以离线加密的方式进行分发和保存，从而保证了私钥的机密性和使用的安全性。

97、进一步的，当某个终端退出网络，变为非可信设备，对其身份标识进行撤销，密钥生成中心kgc将撤销终端的身份标识添加到撤销列表中，密钥生成中心kgc定期将撤销列表发送给边缘网关；当终端和边缘网关进行身份认证时，边缘网关只需根据该标识即可验证用户身份，1.安全性：通过撤销终端的身份标识，可以防止已退出网络的设备继续访问系统资源或尝试进行身份冒充。撤销列表的更新和发送确保了网络系统对可信设备的识别和认证过程更加安全可靠。2.访问控制：通过撤销终端的身份标识，边缘网关可以根据该标识快速验证终端设备的身份，并决定是否允许其重新接入网络或访问系统资源。这样可以实现对非可信设备的阻止和有效的访问控制管理，提高系统的整体安全性。阻止非可信设备接入：撤销终端的身份标识后，边缘网关在进行身份认证时可以将该标识与撤销列表进行匹配。如果终端的标识出现在撤销列表中，边缘网关将拒绝该终端设备的接入，从而阻止非可信设备进入网络，减少安全威胁。

98、当某个终端设备退出网络后，密钥生成中心(kgc)将撤销该终端的身份标识，并将其添加到撤销列表中。这确保了终端设备被认定为非可信设备，并防止其无权限地访问网络资源。密钥生成中心定期将撤销列表发送给边缘网关。边缘网关在进行身份认证时，只需要根据该标识来验证终端设备的可信性。它会将终端的标识与撤销列表进行比对，如果发现匹配，即可判定该终端为非可信设备，并拒绝其接入或限制其访问权限。这种撤销身份标识并传递给边缘网关的设置，通过集中管理撤销列表，实现了对非可信设备的控制。边缘网关可以快速基于撤销列表进行身份验证，有效地阻止已撤销设备的接入，提高网络系统的安全性和资源的合理分配。总之，终端设备的身份标识撤销设置旨在防止非可信设备被认可和访问网络资源，通过撤销列表的管理和边缘网关的验证，实现了对撤销设备的快速识别和访问控制，从而提高网络安全和资源管理的效果。

99、进一步的，以下是对面向分布式储能系统的云边端一体化身份认证方法中每个步骤设置的目的或好处以及原理分析的说明：

100、1.认证发起：通过发送认证请求，边缘网关确保储能终端处于认证的状态。

101、2.身份传递：认证请求中携带身份标识，以便储能终端能够识别并响应正确的边缘网关。

102、1.确认身份：储能终端通过回复认证请求，确保其身份得到确认，并提供身份标识。

103、2.数字签名：通过使用自己的私钥进行数字签名，确保回复的信息的完整性和真实性。

104、1.验证数字签名：边缘网关使用相应的验签算法对储能终端发送的数字签名进行验证，以确保消息的完整性和真实性。

105、2.认证列表更新：验证通过后，边缘网关将储能终端的身份标识添加到认证列表中，用于后续身份验证和访问控制。

106、3.会话密钥协商：边缘网关加密一个会话密钥，并将其发送给储能终端。这个会话密钥可用于后续的安全通信和数据传输。

107、1.身份验证：储能终端通过使用边缘网关的数字签名对接收到的响应进行验证，确保通信环节的安全性。

108、2.会话密钥获取：储能终端解封装接收到的密文，获得加密的会话密钥，用于后续的安全通信和数据传输。

109、综上所述，面向分布式储能系统的云边端一体化身份认证方法能够实现以下目的和好处：确保身份的有效性和真实性，防止身份冒充和伪造。确立双方的认证状态，建立互信关系，实现安全通信和数据传输。更新边缘网关的认证列表以进行访问控制和管理。增强数据传输的机密性，保护敏感信息的安全性。该身份认证方法通过认证请求、数字签名、验签算法、身份验证和会话密钥协商等步骤，实现了储能终端的身份认证和安全通信的目的，提高了系统的安全性和可信性。

110、可以理解的是，上述第二方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

111、综上所述，本发明面向分布式储能系统的云边端一体化身份认证方法具有隐私保护、安全通信、身份认证、中心化管理和增强系统可靠性等优势，可以为分布式储能系统提供安全和可信的身份认证机制。

112、下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。