CN111698238A - 电力物联网终端层设备密钥的管理方法、系统及存储介质 - Google Patents

Abstract

本发明一种电力物联网终端层设备密钥的管理方法、系统及存储介质；所述方法包括：密钥初始化；将终端层设备作为节点进行初始化，完成区域密钥初始化；密钥池生成；对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池；密钥协商；当两个节点进行加密的数据通信前，从密钥池中随机选择对应节点的子密钥，对通信双方子密钥进行相互验证，子密钥中身份信息验证正确后，通过密钥参数计算会话密钥；基于所述会话密钥进行会话密钥协商，协商成功，双方发送通信标识符，开启会话，开始以会话密钥加密的数据通信。

Description

电力物联网终端层设备密钥的管理方法、系统及存储介质

技术领域

本发明涉及智能电网安全技术领域，尤其涉及一种电力物联网终端层设备密钥的管理方法、系统及存储介质。

背景技术

随着科学技术的不断发展，泛在电力物联网概念已经进入到人们的视野。泛在电力物联网(UEIOT；Ubiquitous Electric Internet of Things)，就是围绕电力系统各环节，充分应用移动互联、人工智能等现代信息技术、先进通信技术，实现电力系统各环节万物互联、人机交互，具有状态全面感知、信息高效处理、应用便捷灵活特征的智慧服务系统。由于泛在电力物联网中海量终端、节点及自组网方式，这给传统的加密体制和密钥管理带来了严峻的挑战。传统物联网密钥管理方案在网络节点部署和密钥共享阶段消耗资源过大，节点抵抗能力较弱，成为了亟待解决的技术难题。

发明内容

针对现有技术中，物联网密钥管理方案在网络节点部署和密钥共享阶段消耗资源过大，节点抵抗能力较弱等不足，本发明提供一种电力物联网终端层设备密钥的管理方法、系统及存储介质，设计合理，结构简单，降低网络节点部署和密钥共享阶段消耗资源，提高节点抵抗能力。

一种电力物联网终端层设备密钥的管理方法，包括：

S1、密钥初始化；

将终端层设备作为节点进行初始化，确定节点的身份信息和密钥；

将区域内每个节点进行数据通信时存储的对称密钥作为初始密钥，集合所有节点初始密钥得到区域的初始密钥，完成区域密钥初始化；

S2、密钥池生成；

对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；

从每个节点身份信息位数中选取设定位数与该节点的初始密钥和随机编号构成该节点的子密钥；

根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池；

S3、密钥协商；

当两个节点进行加密的数据通信前，从密钥池中随机选择对应节点的子密钥，对通信双方子密钥进行相互验证，子密钥中身份信息验证正确后，通过密钥参数计算会话密钥，验证错误则放弃会话；基于所述会话密钥进行会话密钥协商，协商成功，双方发送通信标识符，开启会话，开始以会话密钥加密的数据通信。

优选的，将电力物联网终端层设备按照区域服务器划分为若干区域，每个区域的区域服务器分别与该区域的终端层设备和区域控制中心交互。

优选的，所述S1密钥初始化中，还包括采用基于椭圆曲线的ECC密码体制，构造电力物联网终端层设备的密钥参数，用于确定各节点的密钥。

再进一步，构造电力物联网终端层设备的密钥参数时，具体步骤如下，

假设素数域中的椭圆曲线方程为E:y²＝(x³+ax+b)mod p，曲线参数为E：{a,b,G,N,P}；其中G为曲线E|F(P)上的基点，N为G的阶；用G＝(x_G,y_G),来表示G，设密钥中私钥为S；则相对应的密钥中公钥为曲线上的sG，sG＝(x_s,y_s)，其中s∈Z_P为随机选取的整数。

优选的，S1中，所述节点的身份信息包括节点所在的区域号、身份标识和节点编号。

优选的，每个节点进行数据通信时，每次进行预设字节长度分组加密，每个节点存储的对称密钥为预设字节长度的对称密钥。

优选的，密钥协商时，数据通信的两个节点执行如下步骤，

数据通信双方的第一端和第二端相互进行身份验证；

若验证通过，则通过密钥参数计算，并进行会话密钥的完整性检查；

若检查为完整，则通过第一端确定会话密钥协商结果；

然后通过第二端验证所述会话密钥协商结果，若验证成功，则完成第一端和第二端之间的会话密钥协商过程。

优选的，所述会话密钥协商过程采用ElGamal算法轻量级认证密钥协商协议方式。

一种设备密钥的管理系统，包括：

节点初始化模块，用于将终端层设备作为节点进行初始化，确定节点的身份信息和密钥；

区域初始密钥确定模块，用于将区域内每个节点进行数据通信时存储的对称密钥作为初始密钥，集合所有节点初始密钥得到区域的初始密钥，完成区域密钥初始化；

区域密钥构建模块，

用于对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；

用于从每个节点身份信息位数中选取设定位数与该节点的初始密钥和随机编号构成该节点的子密钥；

用于根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池；

会话密钥协商模块，用于从密钥池中随机选择对应节点的子密钥，对通信双方节点子密钥进行相互验证，验证子密钥中身份信息正确后，通过密钥参数计算会话密钥；基于所述会话密钥进行会话密钥协商，开启会话。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的电力物联网终端层设备密钥的管理方法。

与现有技术相比，本发明具有以下有益的技术效果：

本发明所提供的技术方案，针对传统物联网密钥管理方案在网络节点部署和密钥共享阶段消耗资源过大，节点抵抗能力较弱等不足，提出电力物联网终端层设备的密钥管理方案，通过分区域进行密钥初始化，减小整体开销，采用汉密尔顿算法对编号进行随机排序，选取根据排序结果选择每一个节点的子密钥，以构建完整的区域密钥，从而通过汉密尔顿算法构造密钥池，可以提高区域密钥的安全性，避免被破解，造成节点间交互的数据被窃听等；最后配合基于密码池的相互验证和会话协商，实现对节点间的加密通信，对密钥实现高效管理。

进一步的，本发明采用将电力物联网按照区域服务器进行分层，按照节点、区域服务器和区域控制中心划分，从而分担节点密钥协商的资源消耗。

进一步的，本发明结合ElGamal密码体系设计通信双方的会话密钥协商，然后提出基于ECC的轻量级认证密钥协商协议，使得双方通过计算得到共享密钥，然后通过此密钥加密进行会话协商密钥，提高了密钥协商的效率。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例提供的电力物联网终端层设备密钥的管理方法的流程图；

图2是本发明实施例提供的基于ECC的物联网WSN网络模型示意图；

图3是本发明实施例提供的电力物联网终端层设备密钥的管理系统的结构示意图；

具体实施方式

下面将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

以下详细说明均是示例性的说明，旨在对本发明提供进一步的详细说明。除非另有指明，本发明所采用的所有技术术语与本发明所属领域的一般技术人员的通常理解的含义相同。本发明所使用的术语仅是为了描述具体实施方式，而并非意图限制根据本发明的示例性实施方式。

图1是本发明实施例提供的设备密钥的管理方法的流程图，本实施例可适用于设备密钥的管理的情况，该方法可以由本发明实施例所提供的设备密钥的管理系统执行，该装置可以由软件和/或硬件的方式来实现，并可集成于电子设备中。

如图1所示，所述电力物联网终端层设备密钥的管理方法包括：

S1、密钥初始化；

将终端层设备作为节点进行初始化，确定节点的身份信息和密钥；

将区域内每个节点进行数据通信时存储的对称密钥作为初始密钥，集合所有节点初始密钥得到区域的初始密钥，完成区域密钥初始化；

其中，在节点初始化之前，还可以进行密钥参数构造。

在本实施例中，可选的，在初始化设备在网络中的节点，确定设备的公钥和私钥之前，所述方法还包括：采用椭圆曲线加密算法，基于系统私钥进行密钥参数构造。

具体的，采用ECC密码体制，假设素数域中的椭圆曲线方程为E:y²＝(x³+ax+b)modp曲线参数为E：{a,b,G,N,P}。其中G为曲线E|F(P)上的基点，N为G的阶。用G＝(x_G,y_G),来表示G，设系统私钥为S。则相对应的系统公钥为曲线上的sG，sG＝(x_s,y_s)，其中s∈Z_P。密钥参数由离线密钥分配中心管理和更新，本优选实例中可以采用区域控制中心进行处理。

节点初始化的过程，要在节点部署之前进行。假设无线传感器网络中有T×M个节点，将整个网络分成M个区域，设U为任一用户设备节点。其完整的身份信息ID_u如下表所示：

区域号

身份标识

编号

其中区域号为节点U所在区域，每个节点都有唯一的ID标识，节点初始化：ID_u，公钥为uID_usG，私钥u，其中u∈Z_P为节点随机选取的整数。

进行区域初始密钥时，在本实施例中，可选的，所述预设字节长度为128bit字节长度。这样设置可以确保密钥的安全性。

具体的，区域密钥初始化要在节点部署之前进行，因为节点间数据通信，节点与区域服务器，区域服务器与控制中心都采用AES对称密钥进行加密传输。每次进行128bit分组加密，加密方式为ECB。每个节点存储128bit的对称密钥K作为区域的初始密钥。

S2、密钥池生成；

对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；

从每个节点身份信息位数中选取设定位数与该节点的初始密钥和随机编号构成该节点的子密钥；

根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池。

图2是本发明实施例提供的基于ECC的物联网WSN网络模型示意图。首先建立WSN网络模型，其中，区域控制中心和区域服务器分别承担区域的密钥更新、身份认证等功能，因此本方案将WSN网络模型分为三层：管理层即区域控制中心、服务器层即区域服务器、用户层即设备节点。如图2所示，其中，区域控制中心S₁，区域控制中心S₂一直到区域控制中心S_M，区域服务器U₁,区域服务器U₂一直到区域服务器U_M，用户U₁₁,U₁₂一直到U_1T。设网络中包含T×M个节点，划分成M个区域，每个区域T个节点，初始化时，服务器存储该区域内所有节点的身份信息，对节点进行随机编号，然后通过汉密尔顿算法对编号进行随机排序，区域密钥的选取根据排序结果选择对应每一个节点的子密钥，构成完整的区域密钥。具体方式如下表所示：

身份信息	编号	密钥信息
			ID<sub>1</sub>	1	K<sub>1</sub>
ID<sub>2</sub>	2	K<sub>2</sub>
			ID<sub>3</sub>	3	K<sub>3</sub>
…	…	…
			ID<sub>T</sub>	T	K<sub>T</sub>

其中ID为该区域内所有节点的身份信息，1，2，3，…，T为服务器对区域内的节点进行随机编号，从对称密钥Kbit中取每个节点身份信息的L bit，则每个节点共有C_k ^L种取法，即完整的区域密钥长度为L×T bit。

在本实施例中，可选的，采用汉密尔顿算法对编号进行随机排序，以构建完整的区域密钥，包括：采用汉密尔顿算法对编号进行随机排序，选取根据排序结果选择每一个节点的子密钥，以构建完整的区域密钥。通过采用汉密尔顿算法，可以提高区域密钥的安全性，避免被破解，造成节点间交互的数据被窃听等。

S3、密钥协商；

当两个节点进行加密的数据通信前，从密钥池中随机选择对应节点的子密钥，对通信双方子密钥进行相互验证，子密钥中身份信息验证正确后，通过密钥参数计算会话密钥，验证错误则放弃会话；基于所述会话密钥进行会话密钥协商，协商成功，双方发送通信标识符，开启会话，开始以会话密钥加密的数据通信。

在本实施例中，可选的，所述会话密钥协商过程采用ElGamal算法轻量级认证密钥协商协议方式。

针对电力物联网终端设备节点资源相对受限，本发明设计了一种基于ECC的密码体制和ElGamal算法轻量级认证密钥协商协议，双方通过计算得到共享密钥，然后通过此密钥加密，从而进行会话协商密钥。主要过程包括身份认证、完整性检查、会话密钥协商、防重放检查等。

在本实施例中，可选的，密钥协商时，数据通信的两个节点执行如下步骤，包括：数据通信双方的第一端和第二端相互进行身份验证；若验证通过，则通过密钥参数计算，并进行会话密钥的完整性检查；若检查为完整，则通过第一端确定会话密钥协商结果；然后通过第二端验证所述会话密钥协商结果，若验证成功，则完成第一端和第二端之间的会话密钥协商过程。

以两个用户Alice和Bob为例进行密钥协商，具体协议过程如下：

(1)A→B：ID_A||R_A||(x₁ID_A,y₁R_A)

(2)B→A：ID_B||R_B||E_K(R_A||ID_A||bsGy₂||(x₁ID_B,y₁R_B))

(3)A→B：E_K(R_B||ID_B||asGy₂)

(4)B→A：E_K(L||start)

(5)A→B：E_K(M||ID_A||L)

其中，A的私钥：a，公钥：aID_AsG，R_A＝F_AsG，F_A是新鲜随机数。

B的私钥：b，公钥：bID_BsG，R_B＝F_BsG，F_B是新鲜随机数。

a,b,F_A，F_B∈Z_P

L为通信计数器，每通信一次，L+1，L达到阈值后，更新密钥。Start是通信开始的正式标志，K为对称密钥。节点A和B的E_K的会话密钥从x₂中提取，采用AES分组加密技术进行加密，y₂作为签名密钥，用作密钥参数验证。

步骤1，Alice首先通过Bob的身份信息计算：

abID_BsG·ID_B ^-1＝absG＝(x₁,y₁)

并对ID_A，R_A进行加密。

步骤2，Bob通过Alice的身份信息开始计算：

baID_AsG·ID_A ^-1＝basG＝(x₁,y₁)

验证ID_A，R_A是否被篡改，若是，则放弃会话，否则计算

(x₂,y₂)＝F_AF_BsG＝F_AR_B＝F_BR_A

会话密钥从x₂中提取，采用AES分组加密技术，同时计算bsGy₂。

步骤3，A计算：

(x₂,y₂)＝F_AF_BsG＝F_AR_B＝F_BR_A

对密文进行解密，然后验证ID_B，R_B是否被篡改，若是，则放弃会话，否则验证等式；

bsG＝bsGy₂·y₂ ^-1

是否成立，若成立说明会话密钥协商成功，否则放弃会话。

步骤4，B验证：

asG＝asGy₂·y₂ ^-1

是否成立，若成立，则发送L和通信标识start，否则放弃会话。

步骤5，Alice发送明文M，L和ID信息进行通信。

本发明提出一种设备密钥管理方法，时基于椭圆曲线ECC的电力物联网终端层设备实现的。首先建立基于节点位置信息的WSN分层网络模型,降低了资源的消耗和网络资源的开销，之后进行密钥初始化，生成密钥池，最后设计了一种基于ECC的密码体制和ElGamal算法轻量级认证密钥协商协议，双方通过计算得到共享密钥，然后通过此密钥加密进行会话协商密钥，提高了密钥协商的效率。

图3是本发明实施例提供的设备密钥的管理系统的结构示意图。如图3所示，所述设备密钥的管理系统包括：

节点初始化模块310，用于将终端层设备作为节点进行初始化，确定节点的身份信息和密钥；

区域初始密钥确定模块320，用于将区域内每个节点进行数据通信时存储的对称密钥作为初始密钥，集合所有节点初始密钥得到区域的初始密钥，完成区域密钥初始化；

区域密钥构建模块330，

用于对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；

用于从每个节点身份信息位数中选取设定位数与该节点的初始密钥和随机编号构成该节点的子密钥；

用于根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池；

会话密钥协商模块340，用于从密钥池中随机选择对应节点的子密钥，对通信双方节点子密钥进行相互验证，验证子密钥中身份信息正确后，通过密钥参数计算会话密钥；基于所述会话密钥进行会话密钥协商，开启会话。

上述产品可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果。

本发明实施例还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种设备密钥的管理方法，该方法为如本实施例中所述的任一方法。

存储介质——任何的各种类型的存储器电子设备或存储电子设备。术语“存储介质”旨在包括：安装介质，例如CD-ROM、软盘或磁带装置；计算机系统存储器或随机存取存储器，诸如DRAM、DDR RAM、SRAM、EDO RAM，兰巴斯(Rambus)RAM等；非易失性存储器，诸如闪存、磁介质(例如硬盘或光存储)；寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外，存储介质可以位于程序在其中被执行的计算机系统中，或者可以位于不同的第二计算机系统中，第二计算机系统通过网络(诸如因特网)连接到计算机系统。第二计算机系统可以提供程序指令给计算机用于执行。术语“存储介质”可以包括可以驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。

当然，本发明实施例所提供的一种包含计算机可执行指令的存储介质，其计算机可执行指令不限于如上所述的设备密钥的管理操作，还可以执行本发明任意实施例所提供的设备密钥的管理方法中的相关操作。

本发明实施例提供的系统，可以针对传统物联网密钥管理方案在网络节点部署和密钥共享阶段消耗资源过大，节点抵抗能力较弱等不足，提出基于ECC的物联网密钥管理方案，采用汉密尔顿算法构造密钥池，结合ElGamal密码体系设计通信双方的会话密钥协商，采用将网络进行分层分担节点密钥协商的资源消耗，然后提出基于ECC的轻量级认证密钥协商协议。

上述实施例中提供的设备密钥的管理系统及存储介质可执行本发明任意实施例所提供的设备密钥的管理方法，具备执行该方法相应的功能模块和有益效果。未在上述实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的设备密钥的管理方法。

由技术常识可知，本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此，上述公开的实施方案，就各方面而言，都只是举例说明，并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。

Claims (10)

1.一种电力物联网终端层设备密钥的管理方法，其特征在于，包括：

S1、密钥初始化；

将终端层设备作为节点进行初始化，确定节点的身份信息和密钥；

将区域内每个节点进行数据通信时存储的对称密钥作为初始密钥，集合所有节点初始密钥得到区域的初始密钥，完成区域密钥初始化；

S2、密钥池生成；

对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；

从每个节点身份信息位数中选取设定位数与该节点的初始密钥和随机编号构成该节点的子密钥；

根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池；

S3、密钥协商；

当两个节点进行加密的数据通信前，从密钥池中随机选择对应节点的子密钥，对通信双方子密钥进行相互验证，子密钥中身份信息验证正确后，通过密钥参数计算会话密钥，验证错误则放弃会话；基于所述会话密钥进行会话密钥协商，协商成功，双方发送通信标识符，开启会话，开始以会话密钥加密的数据通信。

2.根据权利要求1所述的一种电力物联网终端层设备密钥的管理方法，其特征在于，将电力物联网终端层设备按照区域服务器划分为若干区域，每个区域的区域服务器分别与该区域的终端层设备和区域控制中心交互。

3.根据权利要求1所述的一种电力物联网终端层设备密钥的管理方法，其特征在于，所述S1、密钥初始化中，还包括采用基于椭圆曲线的ECC密码体制，构造电力物联网终端层设备的密钥参数，用于确定各节点的密钥。

4.根据权利要求3所述的一种电力物联网终端层设备密钥的管理方法，其特征在于，构造电力物联网终端层设备的密钥参数时，具体步骤如下，

假设素数域中的椭圆曲线方程为E:y²＝(x³+ax+b)mod p，曲线参数为E：{a,b,G,N,P}；其中G为曲线E|F(P)上的基点，N为G的阶；用G＝(x_G,y_G),来表示G，设密钥中私钥为S；则相对应的密钥中公钥为曲线上的sG，sG＝(x_s,y_s)，其中s∈Z_P为随机选取的整数。

5.根据权利要求1所述的一种电力物联网终端层设备密钥的管理方法，其特征在于，S1中，所述节点的身份信息包括节点所在的区域号、身份标识和节点编号。

6.根据权利要求1所述的一种电力物联网终端层设备密钥的管理方法，其特征在于，S1中，每个节点进行数据通信时，每次进行预设字节长度分组加密，每个节点存储的对称密钥为预设字节长度的对称密钥。

7.根据权利要求1所述的一种电力物联网终端层设备密钥的管理方法，其特征在于，S3中，密钥协商时，数据通信的两个节点执行如下步骤，

数据通信双方的第一端和第二端相互进行身份验证；

若验证通过，则通过密钥参数计算，并进行会话密钥的完整性检查；

若检查为完整，则通过第一端确定会话密钥协商结果；

然后通过第二端验证所述会话密钥协商结果，若验证成功，则完成第一端和第二端之间的会话密钥协商过程。

8.根据权利要求1或7所述的一种电力物联网终端层设备密钥的管理方法，其特征在于，所述会话密钥协商过程采用ElGamal算法轻量级认证密钥协商协议方式。

9.一种设备密钥的管理系统，其特征在于，包括：

节点初始化模块，用于将终端层设备作为节点进行初始化，确定节点的身份信息和密钥；

区域初始密钥确定模块，用于将区域内每个节点进行数据通信时存储的对称密钥作为初始密钥，集合所有节点初始密钥得到区域的初始密钥，完成区域密钥初始化；

区域密钥构建模块，

用于对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；

用于从每个节点身份信息位数中选取设定位数与该节点的初始密钥和随机编号构成该节点的子密钥；

用于根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池；

会话密钥协商模块，用于从密钥池中随机选择对应节点的子密钥，对通信双方节点子密钥进行相互验证，验证子密钥中身份信息正确后，通过密钥参数计算会话密钥；基于所述会话密钥进行会话密钥协商，开启会话。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-8中任一项所述的电力物联网终端层设备密钥的管理方法。

Images