CN107819778A - 一种应用tls协议的电能表证书初始化方法 - Google Patents
一种应用tls协议的电能表证书初始化方法 Download PDFInfo
- Publication number
- CN107819778A CN107819778A CN201711145291.3A CN201711145291A CN107819778A CN 107819778 A CN107819778 A CN 107819778A CN 201711145291 A CN201711145291 A CN 201711145291A CN 107819778 A CN107819778 A CN 107819778A
- Authority
- CN
- China
- Prior art keywords
- mac
- electric energy
- energy meter
- meter
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
本发明涉及一种应用TLS协议的电能表证书初始化方法,它包括以下步骤:抄表客户端和电能表设立共同的主密钥;电能表上电后,HDLC协议层建立协议类型为SYM的连接;电能表与抄表客户端进行加密的数据帧信息交互,预存双方的证书。本发明自定义的证书初始化流程,保证了证书传递过程中的安全性及有效性,为TLS协议在电能表中的实施提供坚实的安全保障。
Description
技术领域
本发明涉及电力设备技术领域,尤其涉及一种应用TLS协议的电能表证书初始化方法。
背景技术
随着智能电网的日益发展,世界各国对于智能化用户终端的需求日益增大,据统计,在未来5年,随着智能电网在世界各国的建设,智能电表在全球安装的数量将高达2亿余只。同样,随着我国智能电网建设的进展,作为用户端的智能电表的需求也会大幅增长,保守预计市场将会有1.7亿只左右的需求。然而,智能电表会不经意地泄露用户使用电量的详细信息给电力公司。例如,智能电表会记录用户在任意时刻的电量使用情况。而由智能电表收集到得大量信息可能会给消费者带来严重的后果。因此,用户对智能电表的中隐私问题越来越关心。所以,在智能电网中,研发具有隐私保护的智能电表是非常重要的。
作为当前最好的网络传输加密协议,SSL/TLS协议应用于智能电表上,能够大幅度提高电能表远程通信中的数据安全问题,但现有技术中还没有应用TLS协议的电能表的证书初始化方法。
发明内容
本发明的目的是提供一种应用TLS协议的电能表证书初始化方法,使移植到智能电表上的SSL/TLS协议能够遵循智能电表通信规则,进行客户端和服务端双向认证。
本发明的技术方案是:
一种应用TLS协议的电能表证书初始化方法,其特征在于包括以下步骤:
步骤一:抄表客户端和电能表设立共同的主密钥;
步骤二:电能表上电后,HDLC协议层建立协议类型为SYM的连接;
步骤三:电能表与抄表客户端进行加密的数据帧信息交互,预存双方的证书。
上述的步骤一具体为:
步骤101:在厂内设置抄表客户端和电能表的主密钥MK为初始秘钥initial MK;
步骤102:在厂外更新主密钥MK,将初始秘钥initial MK更改为厂外主秘钥currentMK即MK’,计算公式为:
MK’=MAC(MK,Z1)
其中,MK为主密钥,Z1为用户自定义的参数;
步骤103:清空电能表内的数据帧信息。
上述的步骤三中数据帧信息包括帧序号,帧长度,帧计数值,加密信息和MAC值;其中,所述的MAC值通过AES_CMAC算法由帧序号,帧长度,帧计数值和加密信息算出,所述的加密信息包括安全套件清单、证书和最大帧长。
上述步骤三包括以下步骤:
步骤301:抄表客户端向电能表请求帧计数值,电能表回复存储在表端的帧计数值;
步骤302:抄表客户端向电能表请求表端支持的安全套件,电能表回复表端支持的安全套件清单;
步骤303:抄表客户端向电能表发送证书和私钥,电能表验证证书的有效性和证书内公钥和私钥的配对性,然后存储证书和私钥;
步骤304:抄表客户端向电能表发送抄表客户端的证书,电能表验证证书有效性并存储;
步骤305:抄表客户端向电能表请求表端支持的最大帧长,电能表回复电能表端支持的最大帧长。
上述加密通信过程中加密和解密具体包括以下步骤:
步骤3001:初始化加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC
步骤3002:数据解密;电能表端判断加密后的数据帧信息中帧计数值是否大于电能表端的帧计数值,若大于,通过AES_CMAC算法根据加密后的数据帧信息计算MAC’值,计算公式为;
MAC’=MAC(L_MAC,message);
其中,message为不包括MAC值的数据帧信息;
验证MAC’值和MAC值是否相等,若相等,根据解密秘钥L_enc 对抄表客户端发送的数据帧信息中的加密信息进行解密,计算公式为:
plaintext=MAC(L_enc,encodedmessage);
其中,encodedmessage为加密信息,plaintext为加密信息解密后的明文信息;
步骤3003:数据处理与准备,电能表根据相应的帧序号准备和处理对应的数据;
步骤3004:数据加密;电能表将帧计数值FC加1得到回复的帧计数值FC’,然后根据加密秘钥K_enc加密数据帧信息,计算公式为:
encodedmessage=MAC(K_enc,plaintext);
然后根据加密MAC秘钥计算电能表需向抄表客户端发送的 MAC值,附于数据帧信息尾,计算公式为:
MAC=MAC(K_MAC,message)。
上述步骤3001中加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC通过AES_CMAC_128由主密钥MK’计算得到,计算公式为:
L_MAC=MAC(MK’,0x11||FC||Meter_ID);
L_enc=MAC(MK’,0x10||FC||Meter_ID);
K_enc=MAC(MK’,0x00||FC||Meter_ID);
K_MAC=MAC(MK’,0x01||FC||Meter_ID)。
上述证书初始化过程中,若MAC值验证失败即MAC’值和MAC 值不相等,或解密后证书验证及证书中公私钥对验证失败,则证书初始化失败,断开当前HDLC协议连接。
本发明的有益效果:
本发明自定义的证书初始化流程,保证了证书传递过程中的安全性及有效性,为TLS协议在电能表中的实施提供坚实的安全保障。
附图说明
图1是本发明的证书初始化流程图。
图2是本发明的整体处理流程图。
图3是本发明的解密流程图。
图4是本发明的加密流程图。
具体实施方式
下面将参照附图更详细地描述本发明的优选实施方式。虽然附图中显示了本发明的优选实施方式,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。
作为移植到智能电表上SSL/TLS协议,需要遵循智能电表通信规则,通信连接的建立基于双方的身份认证,因此,TLS握手流程需要进行客户端和服务端双向认证,这就需要在TLS握手前在表内预先存储双方的证书,即进行证书初始化。
该操作由由自定义的SYM协议实现,主要分五步进行:
(1)SYM1:GW向表请求表帧计数值;
(2)SYM2:GW向表请求所支持的安全套件(List of the cipher suites);
(3)SYM3:GW向表发送表端证书和私钥,表端存储证书和私钥;
(4)SYM4:GW向表发送GW证书,表端存储GW证书;
(5)SYM5:GW向表请求支持的最大数据长度;
数据帧信息采用加密加认证的加密方式,数据帧格式为:
帧序号帧长度帧计数值加密信息(或空)MAC值
采用AES_CBC_128算法进行数据加密,AES_CMAC算法计算 MAC值。各秘钥通过AES_CMAC_128算法由主密钥MK扩展而来:
K_enc=MAC(MK,0x00|(|FC|)|Meter_ID)
K_MAC=MAC(MK,0x01|(|FC|)|Meter_ID)
L_enc=MAC(MK,0x10|(|FC’|)|Meter_ID)
L_MAC=MAC(MK,0x11|(|FC’|)|Meter_ID)
其中,K_enc,K_MAC,L_enc,L_MAC分别为加密秘钥,加密MAC秘钥,解密秘钥,解密MAC秘钥。C表示当前帧计数值, Meter_ID标识所述电能表的ID,MK为主密钥,初始MK在厂内设置为initial MK,MK通过MK’=MAC(MK,Z1)计算新的主秘钥 current MK,其中MK’为新的主密钥,MK为当前使用的主密钥, Z1通过厂外命令下发,当获得新的主密钥时,清零帧计数值FC。
电能表通信中,若HDLC建立了协议类型为SYM的连接时,开始进行SYM通信。当收到SYM数据帧时,电能表中解密与加密处理方法(附图3)如下,其中,出厂前,表内主密钥MK初始值已设置:
(1)数据解密。表端先判断当前的FC是否大于电能表端的帧计数值,如果FC判断无误,根据接收到帧信息中FC值与表中存储的MK,Meter_ID计算解密用的秘钥。
L_enc=MAC(MK,0x10|(|FC|)|Meter_ID)
L_MAC=MAC(MK,0x11|(|FC|)|Meter_ID)
根据解密MAC秘钥LMAC计算MAC值,验证接收帧数据中 MAC值是否正确,在MAC正确的基础上,如果有加密数据,则采用L_enc解密。(2)数据处理与准备。根据相应的数据帧作相应的数据处理与回复。
(3)数据加密。将FC加1得FC’,作为回复的帧计数值,采用FC’与MK,Meter_ID计算加密用的秘钥。
K_enc=MAC(MK,0x00|(|FC’|)|Meter_ID)
K_MAC=MAC(MK,0x01|(|FC’|)|Meter_ID)
若有回复的数据内容,则加密该数据,并计算所有帧数据的MAC,附于帧尾。
若证书初始化过程中,MAC验证失败或者证书验证无效,则证书初始化失败,断开当前HDLC连接。证书初始化完成后,存储当前帧计数值。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。
Claims (7)
1.一种应用TLS协议的电能表证书初始化方法,其特征在于所述方法的实现步骤为:
步骤一:抄表客户端和电能表设立共同的主密钥;
步骤二:电能表上电后,HDLC协议层建立协议类型为SYM的连接;
步骤三:电能表与抄表客户端进行加密的数据帧信息交互,预存双方的证书。
2.根据权利要求1所述的一种应用TLS协议的电能表证书初始化方法,其特征在于所述的步骤一具体为:
步骤101:在厂内设置抄表客户端和电能表的主密钥MK为初始秘钥initial MK;
步骤102:在厂外更新主密钥MK,将初始秘钥initial MK更改为厂外主秘钥currentMK即MK’,计算公式为:
MK’=MAC(MK,Z1)
其中,MK为主密钥,Z1为用户自定义的参数;
步骤103:清空电能表内的数据帧信息。
3.根据权利要求2所述的一种应用TLS协议的电能表证书初始化方法,其特征在于所述的步骤三中数据帧信息包括帧序号,帧长度,帧计数值,加密信息和MAC值;其中,所述的MAC值通过AES_CMAC算法由帧序号,帧长度,帧计数值和加密信息算出,所述的加密信息包括安全套件清单、证书和最大帧长。
4.根据权利要求3所述的一种应用TLS协议的电能表证书初始化方法,其特征在于步骤三包括以下步骤:
步骤301:抄表客户端向电能表请求帧计数值,电能表回复存储在表端的帧计数值;
步骤302:抄表客户端向电能表请求表端支持的安全套件,电能表回复表端支持的安全套件清单;
步骤303:抄表客户端向电能表发送证书和私钥,电能表验证证书的有效性和证书内公钥和私钥的配对性,然后存储证书和私钥;
步骤304:抄表客户端向电能表发送抄表客户端的证书,电能表验证证书有效性并存储;
步骤305:抄表客户端向电能表请求表端支持的最大帧长,电能表回复电能表端支持的最大帧长。
5.根据权利要求4所述的一种应用TLS协议的电能表证书初始化方法,其特征在于加密数据帧信息交互过程中加密和解密具体包括以下步骤:
步骤3001:初始化加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC
步骤3002:数据解密;电能表端判断加密后的数据帧信息中帧计数值是否大于电能表端的帧计数值,若大于,通过AES_CMAC算法根据加密后的数据帧信息计算MAC’值,计算公式为;
MAC’=MAC(L_MAC,message);
其中,message为不包括MAC值的数据帧信息;
验证MAC’值和MAC值是否相等,若相等,根据解密秘钥L_enc对抄表客户端发送的数据帧信息中的加密信息进行解密,计算公式为:
plaintext=MAC(L_enc,encodedmessage);
其中,encodedmessage为加密信息,plaintext为加密信息解密后的明文信息;
步骤3003:数据处理与准备,电能表根据相应的帧序号准备和处理对应的数据;
步骤3004:数据加密;电能表将帧计数值FC加1得到回复的帧计数值FC’,然后根据加密秘钥K_enc加密数据帧信息,计算公式为:
encodedmessage=MAC(K_enc,plaintext);
然后根据加密MAC秘钥计算电能表需向抄表客户端发送的MAC值,附于数据帧信息尾,计算公式为:
MAC=MAC(K_MAC,message)。
6.根据权利要求5所述的一种应用TLS协议的电能表证书初始化方法,其特征在于步骤3001中所述的加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC通过AES_CMAC_128由主密钥MK’计算得到,计算公式为:
L_MAC=MAC(MK’,0x11||FC||Meter_ID);
L_enc=MAC(MK’,0x10||FC||Meter_ID);
K_enc=MAC(MK’,0x00||FC||Meter_ID);
K_MAC=MAC(MK’,0x01||FC||Meter_ID)。
7.根据权利要求5所述的一种应用TLS协议的电能表证书初始化方法,其特征在于证书初始化过程中,若MAC值验证失败即MAC’值和MAC值不相等,或解密后证书验证及证书中公私钥对验证失败,则证书初始化失败,断开当前HDLC协议连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711145291.3A CN107819778B (zh) | 2017-11-17 | 2017-11-17 | 一种应用tls协议的电能表证书初始化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711145291.3A CN107819778B (zh) | 2017-11-17 | 2017-11-17 | 一种应用tls协议的电能表证书初始化方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107819778A true CN107819778A (zh) | 2018-03-20 |
CN107819778B CN107819778B (zh) | 2020-02-28 |
Family
ID=61608693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711145291.3A Active CN107819778B (zh) | 2017-11-17 | 2017-11-17 | 一种应用tls协议的电能表证书初始化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107819778B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111555875A (zh) * | 2020-05-14 | 2020-08-18 | 杭州海兴电力科技股份有限公司 | 一种集中抄表系统的密钥同步方法、装置、设备及介质 |
CN112019342A (zh) * | 2020-06-30 | 2020-12-01 | 宁波三星医疗电气股份有限公司 | 一种电能表与主站之间的数据传输方法及其电能表 |
FR3133965A1 (fr) * | 2022-05-24 | 2023-09-29 | Sagemcom Energy & Telecom Sas | Procede de calcul de donnees qualimetriques, dispositif de qualimetrie, compteur et systeme mettant en œuvre ledit procede |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020184489A1 (en) * | 2001-06-05 | 2002-12-05 | International Business Machines Corporation | High volume secure internet server |
CN103095696A (zh) * | 2013-01-09 | 2013-05-08 | 中国电力科学研究院 | 一种适用于用电信息采集系统的身份认证和密钥协商方法 |
CN105577386A (zh) * | 2015-12-23 | 2016-05-11 | 中国电力科学研究院 | 一种双向互动智能电能表的数据加密方法 |
CN105610773A (zh) * | 2015-09-17 | 2016-05-25 | 浙江瑞银电子有限公司 | 一种电能表远程抄表的通讯加密方法 |
CN106254355A (zh) * | 2016-08-10 | 2016-12-21 | 武汉信安珞珈科技有限公司 | 一种网络协议数据包的安全处理方法和系统 |
-
2017
- 2017-11-17 CN CN201711145291.3A patent/CN107819778B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020184489A1 (en) * | 2001-06-05 | 2002-12-05 | International Business Machines Corporation | High volume secure internet server |
CN103095696A (zh) * | 2013-01-09 | 2013-05-08 | 中国电力科学研究院 | 一种适用于用电信息采集系统的身份认证和密钥协商方法 |
CN105610773A (zh) * | 2015-09-17 | 2016-05-25 | 浙江瑞银电子有限公司 | 一种电能表远程抄表的通讯加密方法 |
CN105577386A (zh) * | 2015-12-23 | 2016-05-11 | 中国电力科学研究院 | 一种双向互动智能电能表的数据加密方法 |
CN106254355A (zh) * | 2016-08-10 | 2016-12-21 | 武汉信安珞珈科技有限公司 | 一种网络协议数据包的安全处理方法和系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111555875A (zh) * | 2020-05-14 | 2020-08-18 | 杭州海兴电力科技股份有限公司 | 一种集中抄表系统的密钥同步方法、装置、设备及介质 |
CN112019342A (zh) * | 2020-06-30 | 2020-12-01 | 宁波三星医疗电气股份有限公司 | 一种电能表与主站之间的数据传输方法及其电能表 |
CN112019342B (zh) * | 2020-06-30 | 2023-05-23 | 宁波三星医疗电气股份有限公司 | 一种电能表与主站之间的数据传输方法及其电能表 |
FR3133965A1 (fr) * | 2022-05-24 | 2023-09-29 | Sagemcom Energy & Telecom Sas | Procede de calcul de donnees qualimetriques, dispositif de qualimetrie, compteur et systeme mettant en œuvre ledit procede |
EP4283312A1 (fr) * | 2022-05-24 | 2023-11-29 | Sagemcom Energy & Telecom SAS | Procede de calcul de donnees qualimetriques, dispositif de qualimetrie, compteur et systeme mettant en oeuvre ledit procede |
Also Published As
Publication number | Publication date |
---|---|
CN107819778B (zh) | 2020-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
JP3816337B2 (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
US10652738B2 (en) | Authentication module | |
CN101600204B (zh) | 一种文件传输方法及系统 | |
US20070083766A1 (en) | Data transmission links | |
CN102497581B (zh) | 基于数字证书的视频监控数据传输方法和系统 | |
CN105610773B (zh) | 一种电能表远程抄表的通讯加密方法 | |
CN107294937A (zh) | 基于网络通信的数据传输方法、客户端及服务器 | |
TW200950441A (en) | Mobile station and base station and method for deriving traffic encryption key | |
GB2384403A (en) | Establishing secure data transmission links using the Diffie-Hellman key exchange protocol and public key cryptography | |
EP2460331A1 (en) | Methods and device for secure transfer of symmetric encryption keys | |
JP2005515701A6 (ja) | データ伝送リンク | |
CN108234114A (zh) | 一种基于硬件加密算法的ssl的实现方法 | |
CN107819778A (zh) | 一种应用tls协议的电能表证书初始化方法 | |
CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
CN108900540A (zh) | 一种基于双重加密的配电终端的业务数据处理方法 | |
CN102413144A (zh) | 一种用于c/s架构业务的安全接入系统及相关接入方法 | |
CN107104888B (zh) | 一种安全的即时通信方法 | |
CN105791301B (zh) | 一种面向多用户组群信密分离的密钥分发管理方法 | |
CN112019351B (zh) | 基于SDKey的移动终端信息交互方法 | |
CN113973000A (zh) | 一种预共享密钥psk的处理方法及装置 | |
CN104994096B (zh) | 一种动态加载于智能变电站通讯管理机的安全加固机制模块的配置方法 | |
CN114363086B (zh) | 基于流密码的工业互联网数据加密传输方法 | |
CN111162901B (zh) | 非sim终端的应用共享密钥获取方法 | |
WO2022135385A1 (zh) | 一种身份鉴别方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210915 Address after: No.188, Tianyuan East Road, Jiangning District, Nanjing City, Jiangsu Province, 210000 Patentee after: JIANGSU HUAYUAN APPARATUS AND INSTR Co.,Ltd. Address before: 226200 NO.666, Linyang Road, Qidong Economic Development Zone, Nantong City, Jiangsu Province Patentee before: JIANGSU LINYANG ENERGY Co.,Ltd. |