本发明属于安全认证技术领域，公开一种基于改进EAP‑TLS协议的智能变电站终端安全认证方法及系统；所述方法，包括：电力终端将随机数RU、分组GID和身份验证码M0被发送到身份验证器；身份验证器将封装到Radius‑Access‑Request数据包中发送到Radius服务器；Radius服务器接使用RU、Identifyk和GID逐一计算每个电力终端的身份验证码Mk；然后比较M0和Mk是否相等，如果相等确认电力终端的真实身份，停止查询组中的其他用户；如果搜索GID对应组中的所有用户，并且M0和Mk不相等，则停止后续的身份验证过程。本发明通过引入用户分组机制，发送的消息不包含用户的真实身份，有效的防止攻击者通过不安全的网络信道窃取用户的真实身份信息。