CN111769937A - 面向智能电网高级测量体系的两方认证密钥协商协议 - Google Patents

Abstract

本发明针对现有协议在设备离线状态下，未能实现设备之间的两方匿名安全认证并且在两方会话临时信息泄露条件下无法实现密钥安全协商的问题，提出协商式方法来实现安全注册，提出基于椭圆曲线加密(Elliptic Curve Cryptography,ECC)技术的单向散列函数匿名校验法来实现两方匿名安全认证，并提出基于椭圆曲线加密技术的临时会话信息和长期密钥组合计算法来实现密钥安全协商。分析表明，本发明在安全性、计算代价和通信开销方面均优于现有代表性协议。

Description

面向智能电网高级测量体系的两方认证密钥协商协议

技术领域

本发明涉及应用密码学领域，具体是一种面向智能电网高级测量体系的两方认证密钥协商协议。

背景技术

智能电网是下一代电网的发展方向，它利用最新的信息和通信技术，实现了从发电站到用户终端的电力输送以及双向信息交换。传统电网一般用于将电力从几个中央发电机输送到大量用户或客户，运行方式为单向运行；相比之下，智能电网的运行方式为双向运行且具有实时性、自愈性和兼容性等特点。

作为电网智能化部署第一步，高级测量体系(Advanced MeteringInfrastructure，AMI)是智能电网发展的关键因素。高级测量体系是用于测量、收集并分析用户用电信息的开放式双向通信系统，是智能电网的信息基础平台。智能电网AMI系统主要由智能电网终端设备、智能电表集中器、系统主站三个部分组成。

作为终端设备，智能电表主要完成对用电数据的采集与上传工作，同时也执行上级系统下发的控制指令。智能电表集中器主要完成智能电表采集数据汇集工作，将汇集后的数据上传至系统主站，并接收系统主站的相关控制请求，下发至智能电网终端设备。系统主站主要接收智能电表集中器上传的用电数据，对数据加以分析与管理，并提供可供用户交互的客户服务模块。

智能电网AMI如今在智能计量、智慧家庭、电网监控等方面的广泛应用推动了社会经济的快速发展，也为人们的日常生活带来诸多便利；但与此同时，智能电网AMI也面临不容忽视的安全问题，主要表现为智能电网AMI的通信保密性问题、数据完整性问题和可用性问题以及不可抵赖性问题等，其中通信保密性问题是智能电网AMI所面临的首要安全问题。通信保密性要求使用者访问数据时必须经过安全认证，并且数据传输时必须加密传输。攻击者可以通过窃听、欺骗、伪造等方式破坏智能电网AMI的通信保密性：例如，攻击者可以伪造成智能电表集中器与系统主站、智能电表通信；也可以通过窃听信道的方式获取业务数据。智能电表与智能电表集中器之间通过串行总线短距离传输，该部分的安全性可由智能电表与智能电表集中器之间的访问控制机制保证；智能电表集中器与系统主站之间在开放信道下进行数据传输，易受攻击者控制。因此，保障智能电网AMI系统的安全的核心为保障智能电表集中器与系统主站之间的通信保密性。

设计实现适用于智能电网AMI的认证密钥协商协议需要考虑安全性、计算代价与通信开销等因素。为确保身份认证与密钥协商的安全性，所设计实现的认证密钥协商协议需要满足用户匿名性、抗已知会话特定临时信息攻击、抗密钥泄露伪装攻击、完全前向安全性等标准安全属性。除此之外，与传统互联网环境不同，智能电网AMI的通信延时要求更低，具有实时性需求，因此所设计实现的认证密钥协商协议需要具有更低的计算代价和通信开销。综上所述，如何设计足够安全的认证密钥协商方案并且能够有效应用到低延迟要求的智能电网AMI场景，是目前亟待解决的问题。

发明内容

本发明提供了一种面向智能电网高级测量体系的认证密钥协商协议ETA-KASG(ECC based two-party authenticated key agreement protocol for smart gridAMI)。

本发明采用的技术方案如下：

面向智能电网高级测量体系的认证密钥协商协议主要包含四个阶段，即初始化阶段、注册阶段、认证密钥协商阶段与身份标识更新阶段。

初始化阶段，远程注册中心产生全局私钥，并以此私钥生成全局公钥，通过公开信道发送给智能电网设备。

注册阶段，智能电网设备利用身份ID完成注册，远程注册中心生成对应协议参与者的注册密钥，并通过私有信道下发给协议参与者。

认证密钥协商阶段，智能电表集中器与系统主站之间借助注册密钥完成会话密钥计算与身份认证的工作。

身份标识更新阶段，智能电网设备快速更新各自的身份ID。

与现有方案相比，本发明所提出的面向智能电网高级测量体系的认证密钥协商协议能够满足所有典型的安全属性，并且在计算代价、通信开销方面优于主流的安全协议。

附图说明

图1 ETA-KASG协议注册阶段示意图。

图2 ETA-KASG协议认证密钥协商阶段示意图。

图3 ETA-KASG协议身份标识更新阶段示意图。

图4 ETA-KASG协议流程图。

具体实施方式

下面结合附图对本发明的实施方式进行详细阐述，以使本发明的优点和特征更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

本发明大略可以分为四个阶段，初始化阶段、注册阶段、认证密钥协商阶段、身份标识更新阶段。

ETA-KASG协议初始化阶段主要包含以下步骤：

第一步：TA(可信锚节点，即远程注册中心)选择两个大素数p,q，F_p作为椭圆曲线E(a,b):y²＝x³+ax+b上的有限域，选择a,b∈F_p，并且满足4a³+27b²(mod p)≠0。除此之外，点P∈E(F_p)是椭圆曲线的基点，q作为由P生成的子群的阶。

第二步：TA选择五个单向哈希函数

其中i＝1,2,3,4,5。

第三步：TA将可信任的协议实体x身份标识的哈希值H₁(id_x)录入数据库。其中每个协议实体设备的身份标识id_x采用硬件保护。

第四步：TA选择一个随机数

作为TA的私钥，计算TA的公钥：

PK_TA＝sk_ta·P。

第五步：TA向所有协议参与者公布所有的公开参数(E(a,b),p,q,P,PK_TA,H_i(.))。

ETA-KASG协议注册阶段如图1所示，以智能电表集中器的注册过程为例，ETA-KASG协议的注册阶段执行步骤如下：

智能电表集中器A注册执行过程详细步骤如下：

第一步：协议实体A选择一个随机数

作为A的注册私钥，A计算KA＝k_a·P，作为A的注册公钥。A使用TA的公钥PK_TA，将id_a进行ECC加密操作，

最后，A将

和KA发送给TA。

第二步：TA接收到A的消息后，采用TA的私钥进行解密，得到id_a。TA随后计算H₁(id_a)，并且与数据库进行对比，若数据库中包含H₁(id_a)，则选择一个随机数

并计算XTA＝x_ta·P。计算私钥生成种子y_a＝x_ta+sk_ta·H₂(H₁(id_a)||XTA)。

第三步：TA利用协议实体A发送的注册公钥KA计算用于对称加密的加密密钥ksa＝sk_ta·KA＝sk_ta·k_a·P。选取对称加密方式对y_a,XTA进行加密E(y_a,XTA)_ksa，并且将E(y_a,XTA)_ksa传输至协议实体A。

第四步：协议实体A接收到TA的消息后，首先计算用于对称加密的加密密钥k_sa＝k_a·PK_TA＝k_a·sk_ta·P，随后A解密得到y_a以及XTA：设E(y_a,XTA)_ksa＝K；y_a,XTA＝E^-1(K)_ksa。

第五步：协议实体A选择一个随机数

计算SAP＝s_a·P并且计算出长期私钥

sk_a＝s_a+y_a·H₃(SAP||H₁(id_a)),并将长期私钥sk_a保存。注册结束后，协议实体A

删除注册密钥k_a。

ETA-KASG协议的认证密钥协商阶段执行过程如图2所示，ETA-KASG协议认证密钥协商阶段设计方案主要包含以下几个步骤：

第一步：协议实体A选择一个随机数

作为A的临时会话私钥，A

计算M_a＝r_a·y_a·P。A生成时间戳TS_a，并且生成匿名信息H₁(id_a)，计算摘要值V_a＝H₄(H₁(id_a)||TS_a||M_a)。之后，A利用在注册阶段生成的长期私钥sk_a，以及私钥生成种子y_a计算由私钥sk_a签名后的摘要值w_a＝r_a·y_a+sk_a·V_a。然后，利用由注册阶段获取的XTA，通过异或运算，将摘要值w_a隐SAP藏并得到

最后，协议实体A将V_a,H₁(id_a),TS_a,l_a,发送给协议实体B。

第二步：B接收到A的消息后，首先利用注册阶段获取的XTA，通过异或运算得到

B通过以下形式获取M_a'：M_a'＝w_a'·P-(SAP+(XTA+PK_TA·H₂(H₁(id_a)||XTA))·H₃(SAP||H₁(id_a)))·V_a。

由第一步知，M_a可证明满足以下关系式：

M_a＝w_a·P-sk_a·P·V_a

＝w_a·P-(s_a+y_a·H₃(SAP||H₁(id_a)))·P·V_a

＝w_a·P-(SAP+(XTA+PK_TA·H₂(H₁(id_a)||XTA))·H₃(SAP||H₁(id_a)))·V_a

B通过计算得到V_a'＝H₄(H₁(id_a)||TS_a||M_a')，如果满足V_a＝V_a'

则通过验证。

第三步：协议实体B选择一个随机数

作为B的临时会话私钥，B

计算M_b＝r_b·y_b·P。B生成时间戳TS_b，并且生成匿名信息H₁(id_b)，计算摘要值V_b＝H₄(H₁(id_b)||TS_b||M_b)。之后，B利用在注册阶段生成的长期私钥sk_b，以及私钥生成种子y_b计算由私钥sk_b签名后的摘要值w_b＝r_b·y_b+sk_b·V_b。然后，利用由注册阶段获取的XTA，通过异或运算，将摘要值w_b隐藏并得到

随后B计算部分会话密钥

计算共享会话密钥

并且生成业务数据APP_data，利用SSK_AB对业务数据APP_data进行对称加密

最后，将V_b,H₁(id_b),TS_b,l_b,SBP以及加密数据

一并发送给A。

第四步：A接收到B的消息后，首先利用注册阶段获取的XTA，通过异或运算得到

A通过以下形式获取M_b'：M_b'＝w_b'·P-(SBP+(XTA+PK_TA·H₂(H₁(id_b)||XTA))·H₃(SBP||H₁(id_b)))·V_b。

由第三步知，M_b可证明满足以下关系式：

M_b＝w_b·P-sk_b·P·V_b

＝w_b·P-(s_b+y_b·H₃(SBP||H₁(id_b)))·P·V_b

＝w_b·P-(SBP+(XTA+PK_TA·H₂(H₁(id_b)||XTA))·H₃(SBP||H₁(id_b)))·V_b

A通过计算

如果满足V_b＝V_b'

则通过验证。随后，A计算部分会话密钥

，计算共享会话密钥

利用会话密钥SSK_AB加密数据

进行解密，若成功解密且数据可读，则会话密钥协商成功。

如图3所示，ETA-KASG协议的身份标识更新阶段详细步骤如下：

第一步：协议实体A选取随机数

利用长期密钥y_a计算：GA＝g_a·y_a·P并计算ID更新阶段对称加密密钥：gas＝g_a·y_a·PK_TA；随后利用密钥gas将身份ID加密：E_gas(ID_A)并将E_gas(ID_A)以及GA发送至TA。

第二步：远程注册中心TA计算ID更新阶段对称加密密钥：gsa＝sk_ta·GA并利用gsa解密E_gas(ID_A)得到ID_A：ID_A＝D_gsa(E_gas(ID_A))；随后计算ID_A的散列值：H(ID_A)，并验证H(ID_A)是否与数据库中对应值相等；验证成功后，生成协议实体A的新身份ID值NID_A存储并将H(ID_A)替换成H(NID_A)并利用gsa加密NID_A：E_gsa(NID_A)，并将E_gsa(NID_A)发送至协议实体A。

第三步：协议实体A利用gas解密E_gsa(NID_A)得到ID_A：NID_A＝D_gas(E_gsa(NID_A))并存储NID_A。

Claims (5)

1.面向智能电网高级测量体系的两方认证密钥协商协议，其特征在于：该协议主要包含四个阶段，即初始化阶段、注册阶段、认证密钥协商阶段与身份标识更新阶段；初始化阶段，远程注册中心产生全局私钥，并借助椭圆曲线标量乘运算生成全局公钥，通过公开信道发送给协议参与者；注册阶段，协议参与者利用身份标识完成注册，远程注册中心生成对应协议参与者的长期密钥，并通过私有信道下发给协议参与者；认证密钥协商阶段，智能电网设备之间借助长期密钥完成会话密钥计算与身份认证的工作；身份标识更新阶段，智能电网设备借助远程注册中心安全更新身份标识。

2.如权利要求1所述的面向智能电网高级测量体系的两方认证密钥协商协议初始化阶段，其特征在于：该阶段主要完成公开参数下发工作；所述的公开参数包括椭圆曲线加密算法的全局参数、单向散列函数、对称加密解密算法以及全局公钥。

3.如权利要求1所述的面向智能电网高级测量体系的两方认证密钥协商协议注册阶段，其特征在于：注册阶段，实现远程注册中心通过公开信道对智能电网设备安全下发长期密钥；智能电网设备首先利用全局公钥，借助椭圆曲线标量乘运算计算对称加密密钥，并借助该加密密钥安全传输身份标识，远程注册中心计算与智能电网设备相等的对称密钥，解密身份标识，生成对应的长期密钥并将该长期密钥加密后通过公开信道下发至智能电网设备。

4.如权利要求1所述的面向智能电网高级测量体系的两方认证密钥协商协议认证密钥协商阶段，采用基于椭圆曲线加密技术的单向散列函数匿名校验法来实现两方匿名安全认证，并采用基于椭圆曲线加密技术的临时会话信息和长期密钥组合计算法来实现密钥安全协商。

5.如权利要求1所述的面向智能电网高级测量体系的两方认证密钥协商协议身份标识更新阶段，智能电网设备首先与远程注册中心预协商对称密钥，并利用该对称密钥加密原身份标识，并发送给远程注册中心，远程注册中心解密后，验证原身份标识，并生成新的身份标识，加密后传输给智能电网设备，以此来实现身份标识安全更新。

Images