CN114070570A - 一种电力物联网的安全通信方法 - Google Patents

一种电力物联网的安全通信方法 Download PDF

Info

Publication number
CN114070570A
CN114070570A CN202111355055.0A CN202111355055A CN114070570A CN 114070570 A CN114070570 A CN 114070570A CN 202111355055 A CN202111355055 A CN 202111355055A CN 114070570 A CN114070570 A CN 114070570A
Authority
CN
China
Prior art keywords
key
user
things
power internet
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111355055.0A
Other languages
English (en)
Other versions
CN114070570B (zh
Inventor
吴克河
程瑞
崔文超
徐慧艳
张继宇
李为
雷煜卿
仝杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electric Power Research Institute Co Ltd CEPRI
North China Electric Power University
Original Assignee
China Electric Power Research Institute Co Ltd CEPRI
North China Electric Power University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electric Power Research Institute Co Ltd CEPRI, North China Electric Power University filed Critical China Electric Power Research Institute Co Ltd CEPRI
Priority to CN202111355055.0A priority Critical patent/CN114070570B/zh
Publication of CN114070570A publication Critical patent/CN114070570A/zh
Application granted granted Critical
Publication of CN114070570B publication Critical patent/CN114070570B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/35Utilities, e.g. electricity, gas or water
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种电力物联网的安全通信方法,利用椭圆曲线的标量乘法以及改进标识密码的密钥生成机制,实现电力物联网通信双方的双向身份认证及密钥协商,包括以下步骤:步骤1:初始化;步骤2:生成部分私钥;步骤3:私钥生成;步骤4:公钥生成;步骤5:身份认证与密钥协商。本发明提出了基于标识密码算法的电力物联网安全通信方法,通过优化了标识密码算法中的设备私钥生成算法,将设备的私钥分两部分生成,一部分由密钥生成中心生成,另一部分由设备内部生成,避免了因密钥生成中心被破坏而造成的密钥托管问题;该方法有着更高的效率,减少了系统资源的消耗,节约运算和通信成本,同时更好的保障了通信的安全性。

Description

一种电力物联网的安全通信方法
技术领域
本发明涉及一种电力物联网的安全通信方法,属于电力物联网安全技术领域。
背景技术
随着物联网技术的快速发展,电力物联网将物联网技术广泛应用在智能电网的业务 中,而网络界限的模糊使得安全威胁与风险超越了固有边界,终端在可信操作、身份合法 性等方面具有了非常大的安全风险,随着当前电力物联网中业务终端的急剧增加且种类多 样化,在业务交互时鉴别设备终端身份、保护隐私信息、维护系统安全等方面提出了更大 的需求。
目前基于数字证书的认证方式在电力信息网络的身份认证方面得到广泛应用。数字证 书认证即PKI/CA数字证书认证,需要建立完善的PKI/CA证书管理系统,包括证书管理系统和密码平台等。密码基础设施管理对称密钥和非对称数字证书,通过密码服务平台对业务提供统一密码服务。然而,由于数字证书的管理流程覆盖了证书申请、审批、生成、 发布、应用、更新和废止等等诸多流程,当前海量的电力物联网终端环境下管理成本过高。 此外,使用数字证书进行身份认证的重要原因是,数字证书系统所使用的非对称密钥算法 资源开销较大,会过多占用电力物联网终端的计算资源,且占用网络带宽资源。同时,基 于数字证书的身份认证仅能对用户身份进行认证,并不能对终端软硬件身份和应用程序身 份等进行合法性认证,因此依旧无法很好解决非法终端接入的问题。
针对基于数字证书的身份认证方式的技术局限性,基于标识密码算法的电力终端身份 认证技术引发了诸多关注。基于标识终端身份认证技术与基于数字证书的认证方案不同, 其核心思想是系统中不再使用证书,而是通过标识生成公私钥对完成认证。在基于标识的 身份认证机制下,终端的公钥通过提取系统内唯一硬件标识生成,私钥由密钥生成中心 (KGC)计算得到并通过安全隧道传送给终端。这种机制实现了公钥与认证实体身份的捆绑,使得认证双方在不需交换公钥的情况下即可完成认证,简化了传统公钥密码机制中的密钥管理开销。
但基于身份标识的密码体系中仍存在两点不足:
1)用户私钥完全由KGC决定,当KGC受到恶意攻击或者KGC本身不可信时,会 存在密钥托管问题,给系统带来难以估量的风险。
2)标识算法的计算过程中大量使用双线性配对运算,计算复杂,计算成本高,系统资源消耗多。
发明内容
本发明为了解决传统的基于数字证书的公钥机制身份认证体系无法应对电力物联网 中出现的终端数量剧增交互复杂化所带来的巨大的证书管理和存储问题,以及基于身份标 识的密码体系中由于用户私钥完全由KGC决定而出现的密钥托管问题,提出了基于标识 密码算法的电力物联网安全通信方法。
为解决上述技术问题,本发明所采用的技术方案如下:
一种电力物联网的安全通信方法,利用椭圆曲线的标量乘法以及改进标识密码的密钥 生成机制,实现电力物联网通信双方的双向身份认证及密钥协商,包括以下步骤:步骤1: 初始化;步骤2:生成部分私钥;步骤3:私钥生成;步骤4:公钥生成;步骤5:身份认 证与密钥协商。
本发明使用基于身份的公钥体制避免了证书管理存储问题,并且提出了一种新型密钥 生成机制,用户的密钥由用户及可信的KGC共同生成,避免了密钥托管的问题。使用椭圆曲线上的简单标量乘法代替复杂的双线性配对运算实现对国产标识算法SM9改进进而实现轻量级身份认证机制,极大地减少了设备的计算成本和通信成本,使其更适用于资源受限的电力物联网终端。最后详细阐述了该安全通信方法在电力物联网中具体应用过程,有效提升电力物联网的终端安全接入防护水平。
上述步骤1中,初始化为:KGC执行此方法为方案生成一些公共参数。一条定义在有限域GF(p)上的椭圆曲线E可以表示为y2=x3+ax+b(mod p),4a3+27b2≠0,KGC 选择一个定义的椭圆曲线E,确定参数a,b及生成元G,并选择一个随机数s∈Zr作为主私 钥,其中Zr为r阶素数域,从而生成主公钥Ppub=s*G和两个作为公共参数的哈希函数H1和H2,其中哈希函数
Figure RE-RE-GDA0003390626080000021
可以将用户的身份匹配为Zr中的元素,哈希函数 H2:{0,1}→{0,1}k可以用于计算会话密钥,公共参数是PP={GF(q),G,E,Ppub,H1,H2}, KGC将PP公布给系统中的所有用户。
上述步骤2中,生成部分私钥的过程为:用户i发送对应的唯一身份标识IDi到KGC,KGC通过计算得出部分私钥dl=sH1(IDi),并通过秘密通道将密钥发送给用户。
上述步骤3中,私钥生成的过程为:用户i随机选择秘密值xi∈Zv组成私钥 si=(xi,di),其中部分私钥di来自KGC;步骤4中,公钥生成的过程为:用户i计算Xi=xiG 作为其公钥参与后面运算。
上述步骤5中,身份认证与密钥协商方法为:身份为IDA的用户A可以和身份为IDB的B建立连接,并且经过下面的计算后可以获得相同的会话密钥:
1)用户A随机选择临时密钥tA∈Zv并计算临时公钥TA=tAG,发送(IDA,XA,TA)给 用户B,其中的XA是上述的公钥;
2)用户B接受到来自A的消息(IDA,XA,TA)后随机选择临时密钥tB∈Zv,并计算临时公钥TB=tBG,发送(IDB,XB,TB)到用户A;
3)用户B使用自己的私钥sB计算密钥元素
Figure RE-GDA0003390626080000031
并生成会话密钥
Figure RE-GDA0003390626080000032
4)用户A收到来自B的消息后,使用自己的私钥sA计算
Figure RE-GDA0003390626080000033
并生成会话密钥
Figure RE-GDA0003390626080000034
由以下过程可证得
Figure RE-GDA0003390626080000035
Figure RE-GDA0003390626080000036
Figure RE-GDA0003390626080000041
若SKBA=SKAB,则表示A和B协商成功,获得了相同的会话密钥,由于密钥协商 过程中的tA和tB都是随机生成的随机数,所以所述安全通信方法实现了通信双方的双向身 份认证及密钥协商功能,实现动态密钥协商、密钥更换、密钥销毁等功能。
本发明未提及的技术均参照现有技术。
本发明提出了基于标识密码算法的电力物联网安全通信方法,通过优化了标识密码算 法中的设备私钥生成算法,将设备的私钥分两部分生成,一部分由密钥生成中心生成,另 一部分由设备内部生成,避免了因密钥生成中心被破坏而造成的密钥托管问题;采用基于 SM9算法改进的轻量级身份认证机制,结合终端指纹作为唯一标识,完成接入认证,在算 法中使用简单标量乘法代替双线性配对运算,简化运算过程,降低运算成本和通信成本, 减少系统资源消耗;将基于标识密码算法的电力物联网安全通信方法与实际应用场景结 合,在身份认证过程中引入密钥协商机制,更适合实现电力物联网下海量终端的安全接入; 该方法有着更高的效率,减少了系统资源的消耗,节约运算和通信成本,同时更好的保障 了通信的安全性。
附图说明
图1是本发明步骤5中身份认证与密钥协商流程示意图;
图2是电力物联网安全接入流程电力物联网SM9应用场景图;
图3是电力物联网应用中的密钥协商过程示意图。
具体实施方式
为了更好地理解本发明,下面结合实施例进一步阐明本发明的内容,但本发明的内容 不仅仅局限于下面的实施例。
一种电力物联网的安全通信方法,利用椭圆曲线的标量乘法以及改进标识密码的密钥 生成机制,实现电力物联网通信双方的双向身份认证及密钥协商。具体为以下步骤:
步骤1:初始化:
KGC执行此方法为方案生成一些公共参数。一条定义在有限域GF(p)上的椭圆曲线E 可以表示为y2-x3+ax+b(mod p),4a2+27b2≠0,KGC选择一个定义的椭圆曲线E, 确定参数a,b及生成元G。并选择一个随机数s∈zr作为主私钥,其中Zr为r阶素数域, 从而生成主公钥Ppub=s*G和两个作为公共参数的哈希函数H1和H2。其中哈希函数
Figure BDA0003357143410000051
可以将用户的身份匹配为Zr中的元素,哈希函数H2:{0.1}→{0,1}k可以用于 计算会话密钥。公共参数是PP={GF(q),G,E,Ppub,H1,H2},KGC将PP公布给系统中的所 有用户。
步骤2:生成部分私钥:
用户i发送对应的唯一身份标识IDi到KGC,KGC通过计算得出部分私钥 di=sH1(IDi),并通过秘密通道将密钥发送给用户。
步骤3:私钥生成
用户i随机选择秘密值xi∈Zr组成私钥si=(xi,di),其中部分私钥di来自KGC。
步骤4:公钥生成
用户i计算Xi=xiG作为其公钥参与后面运算。
步骤5:身份认证与密钥协商
身份为IDA的用户A可以和身份为IDB的B建立连接,并且经过下面的计算后可以获得相同的会话密钥:
1)用户A随机选择临时密钥tA∈Zr并计算临时公钥TA=tAG,发送(IDA,XA,TA)给 用户B,其中的XA是上述的公钥;
2)用户B接受到来自A的消息(IDA,XA,TA)后随机选择临时密钥tB∈Zr,并计算临时公钥TB=tBG,发送(IDB,XB,TB)到用户A;
3)用户B使用自己的私钥sB计算密钥元素
Figure RE-GDA0003390626080000051
并生成会话密钥
Figure RE-GDA0003390626080000052
4)用户A收到来自B的消息后,使用自己的私钥sA计算
Figure RE-GDA0003390626080000061
并生成会话密钥
Figure RE-GDA0003390626080000062
由以下过程可证得
Figure RE-GDA0003390626080000063
Figure RE-GDA0003390626080000064
Figure RE-GDA0003390626080000065
若SKBA=SKAB,则表示A和B协商成功,获得了相同的会话密钥,由于密钥协商 过程中的tA和tB都是随机生成的随机数,所以所述安全通信方法实现了通信双方的双向身 份认证及密钥协商功能,实现动态密钥协商、密钥更换、密钥销毁等功能。
将上述电力物联网安全通信方法与电力物联网的实际应用场景结合,实现更为高效安 全的通信,其流程图如图1所示,具体过程如下:
典型的电力物联网业务场景有配电站房、台区管理、输变电状态监测等,具体应用场 景如图2所示。基于改进SM9算法的轻量级身份认证的步骤如下:
1.利用指纹产生SM9密码标识。
在标识密码系统中,可将用户的身份标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥,通过数学方式生成与之对应的用户私钥。本专利将电力物联网终端层和边缘处设备指纹作为该设备的SM9算法公钥,公钥即为该设备的SM9密码标识。
2.设备完成注册和私钥的申请分发工作。
终端(或边缘物联代理)向KGC发送设备标识、密钥申请时间、密钥有效期,除终 端(或边缘物联代理)标识外,其他信息需用密钥生成中心的公钥进行加密后发送,KGC 收到注册信息后用私钥解密,获取注册相关信息,并向终端(或边缘物联代理)反馈注册 结果。另外终端(或边缘物联代理)计算相关参数,向KGC申请部分私钥,KGC对终端 (或边缘物联代理)发送的参数进行计算,将计算结果(部分私钥)发送给终端(或边缘 物联代理),终端(或边缘物联代理)随机选择一个秘密值与KGC返回的部分私钥结合 计算出私钥。
3.利用公私密钥对完成身份认证及密钥协商。
用户私钥由KGC和用户共同生成,用户公钥由用户标识唯一确定,从而用户不需要通过第三方保证其公钥的真实性,简化了密钥管理环节,同时也解决了密钥托管问题。若SM9密码标识更改,则需要重新产生。下级终端的SM9密码标识更改,表示下级终端的 公钥发生变化,即设备指纹发生变化,该终端需要进行重新认证,否则就会引入非法终端 接入的风险。具体密钥协商认证过程如图3所示,过程如下:
(1)密钥协商请求。终端生成一个临时密钥tA并计算临时公钥TA=tAG,用物联接入系统的公钥XB对终端标识IDA、公钥XA及TA进行加密得到C1=Enc(IDA||XA||TA,XB), 并使用SM3算法计算密文C1的哈希值H=SM3((Enc(IDA||XA||TA,XB)),用自己的私钥sA对 哈希值H进行签名得到签名值S1=Sign(H,sA),将密文数据、当前时间戳TIME和签名值 (C1||TIME||S1)发送给物联接入系统。
(2)密钥协商响应。物联接入系统收到协商请求后,利用时间戳判断时间新鲜度,通过后用自己的私钥sB对终端的密文数据进行解密,得到终端的IDA、XA和TA,并用终 端的公钥XA验证签名值。然后,物联接入系统生成临时密钥tB并计算临时公钥TB=tBG, 用终端的公钥XA对物联接入系统标识IDB、公钥XB及TB加密得到C2=Enc(IDB||XB||TB,XA), 并使用SM3算法计算密文C2的哈希值H=SM3((Enc(IDB||XB||TB,XA)),用自己的私钥sB对 哈希值H进行签名得到签名值S2=Sign(H,sB),向终端发送将密文数据、当前时间戳TIME 和签名值(C2||TIME||S2),同时计算得到会话密钥。
(3)密钥协商确认。终端对自己的会话密钥素材进行运算得到会话密钥,计算会话密钥的HASH值并发送TIME||SM3(SKAB)给物联接入系统。物联接入系统收到密钥协商 确认后通过比较自身的会话密钥HASH值与终端是否一致,如果一致,表明身份认证与 密钥协商成功。否则向对端设备进行告警,告警次数超过阈值则直接阻断对端设备接入。 协商完成后,应基于国家密码局发布的SM1或SM4对称加密算法,以协商好的会话密钥 作为对称密钥,对终端与物联接入系统之间的传输数据进行加密传输。
由此,终端与物联接入系统之间不仅实现了认证,还完成了密钥协商以及对敏感数据 的传输加密。
上述提出了基于标识密码算法的电力物联网安全通信方法,通过优化了标识密码算法 中的设备私钥生成算法,将设备的私钥分两部分生成,一部分由密钥生成中心生成,另一 部分由设备内部生成,避免了因密钥生成中心被破坏而造成的密钥托管问题;采用基于 SM9算法改进的轻量级身份认证机制,结合终端指纹作为唯一标识,完成接入认证,在算法中使用简单标量乘法代替双线性配对运算,简化运算过程,降低运算成本和通信成本,减少系统资源消耗;将基于标识密码算法的电力物联网安全通信方法与实际应用场景结合,在身份认证过程中引入密钥协商机制,更适合实现电力物联网下海量终端的安全接入;该方法有着更高的效率,减少了系统资源的消耗,节约运算和通信成本,同时更好的保障了通信的安全性。

Claims (5)

1.一种电力物联网的安全通信方法,其特征在于:利用椭圆曲线的标量乘法以及改进标识密码的密钥生成机制,实现电力物联网通信双方的双向身份认证及密钥协商,包括以下步骤:步骤1:初始化;步骤2:生成部分私钥;步骤3:私钥生成;步骤4:公钥生成;步骤5:身份认证与密钥协商。
2.如权利要求1所述的电力物联网的安全通信方法,其特征在于:步骤1中,初始化过程为:一条定义在有限域GF(p)上的椭圆曲线E可以表示为y2=x3+ax+b(mod p),4a3+27b2≠0,KGC选择一个定义的椭圆曲线E,确定参数a,b及生成元G,并选择一个随机数s∈Zr作为主私钥,其中Zr为r阶素数域,从而生成主公钥Ppub=s*G和两个作为公共参数的哈希函数H1和H2,其中哈希函数
Figure RE-FDA0003390626070000011
可以将用户的身份匹配为Zr中的元素,哈希函数H2:{0,1}→{0,1}k可以用于计算会话密钥,公共参数是PP={GF(q),G,E,Ppub,H1,H2},KGC将PP公布给系统中的所有用户。
3.如权利要求2所述的电力物联网的安全通信方法,其特征在于:步骤2中,生成部分私钥的过程为:用户i发送对应的唯一身份标识IDi到KGC,KGC通过计算得出部分私钥di=sH1(IDi),并通过秘密通道将密钥发送给用户。
4.如权利要求3所述的电力物联网的安全通信方法,其特征在于:步骤3中,私钥生成的过程为:用户i随机选择秘密值xi∈Zp组成私钥si=(xi,di),其中部分私钥di来自KGC;步骤4中,公钥生成的过程为:用户i计算Xi=xiG作为其公钥参与后面运算。
5.如权利要求4所述的电力物联网的安全通信方法,其特征在于:步骤5中,身份认证与密钥协商方法为:身份为IDA的用户A可以和身份为IDB的B建立连接,并且经过下面的计算后可以获得相同的会话密钥:
1)用户A随机选择临时密钥tA∈Zr并计算临时公钥TA=tAG,发送(IDA,XA,TA)给用户B,其中的XA是上述的公钥;
2)用户B接受到来自A的消息(IDA,XA,TA)后随机选择临时密钥tB∈Zr,并计算临时公钥TB=tBG,发送(IDB,XB,TB)到用户A;
3)用户B使用自己的私钥sB计算密钥元素
Figure RE-FDA0003390626070000021
并生成会话密钥
Figure RE-FDA0003390626070000022
4)用户A收到来自B的消息后,使用自己的私钥sA计算
Figure RE-FDA0003390626070000023
并生成会话密钥
Figure RE-FDA0003390626070000024
由以下过程可证得
Figure RE-FDA0003390626070000025
Figure RE-FDA0003390626070000026
Figure RE-FDA0003390626070000027
若SKBA=SKAB,则表示A和B协商成功,获得了相同的会话密钥,由于密钥协商过程中的tA和tB都是随机生成的随机数,所以所述安全通信方法实现了通信双方的双向身份认证及密钥协商功能,实现动态密钥协商、密钥更换、密钥销毁等功能。
CN202111355055.0A 2021-11-16 2021-11-16 一种电力物联网的安全通信方法 Active CN114070570B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111355055.0A CN114070570B (zh) 2021-11-16 2021-11-16 一种电力物联网的安全通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111355055.0A CN114070570B (zh) 2021-11-16 2021-11-16 一种电力物联网的安全通信方法

Publications (2)

Publication Number Publication Date
CN114070570A true CN114070570A (zh) 2022-02-18
CN114070570B CN114070570B (zh) 2023-07-21

Family

ID=80272707

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111355055.0A Active CN114070570B (zh) 2021-11-16 2021-11-16 一种电力物联网的安全通信方法

Country Status (1)

Country Link
CN (1) CN114070570B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363858A (zh) * 2022-03-21 2022-04-15 苏州浪潮智能科技有限公司 蜂窝车联网协同通信的会话及注册方法、系统及相关组件

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070211893A1 (en) * 2006-03-09 2007-09-13 Motorola, Inc. Encryption and verification using partial public key
CN110912692A (zh) * 2019-11-19 2020-03-24 武汉大学 一种基于轻型证书的传感器网络认证密钥建立方法及其实施装置
CN110971401A (zh) * 2019-11-19 2020-04-07 武汉大学 一种基于交叉互锁机制的认证密钥协商方法及其实施装置
CN112367175A (zh) * 2020-11-12 2021-02-12 西安电子科技大学 基于sm2数字签名的隐式证书密钥生成方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070211893A1 (en) * 2006-03-09 2007-09-13 Motorola, Inc. Encryption and verification using partial public key
CN110912692A (zh) * 2019-11-19 2020-03-24 武汉大学 一种基于轻型证书的传感器网络认证密钥建立方法及其实施装置
CN110971401A (zh) * 2019-11-19 2020-04-07 武汉大学 一种基于交叉互锁机制的认证密钥协商方法及其实施装置
CN112367175A (zh) * 2020-11-12 2021-02-12 西安电子科技大学 基于sm2数字签名的隐式证书密钥生成方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363858A (zh) * 2022-03-21 2022-04-15 苏州浪潮智能科技有限公司 蜂窝车联网协同通信的会话及注册方法、系统及相关组件

Also Published As

Publication number Publication date
CN114070570B (zh) 2023-07-21

Similar Documents

Publication Publication Date Title
CN107919956B (zh) 一种面向物联网云环境下端到端安全保障方法
CN111740828B (zh) 一种密钥生成方法以及装置、设备、加解密方法
CN108989053B (zh) 一种基于椭圆曲线的无证书公钥密码体制实现方法
CN102318258B (zh) 基于身份的认证密钥协商协议
CN106789042B (zh) Ibc域内的用户访问pki域内的资源的认证密钥协商方法
JP2005515701A6 (ja) データ伝送リンク
CN110048849B (zh) 一种多层保护的会话密钥协商方法
JP2005515701A (ja) データ伝送リンク
JP2005515715A (ja) データ伝送リンク
CN112887338A (zh) 一种基于ibc标识密码的身份认证方法和系统
CN112104453B (zh) 一种基于数字证书的抗量子计算数字签名系统及签名方法
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
CN110535626B (zh) 基于身份的量子通信服务站保密通信方法和系统
CN111953479B (zh) 数据处理的方法及装置
JP2004364303A (ja) メッセージを暗号化及び復号化するためのリンク鍵を確立する方法及びシステム
CN114398602B (zh) 一种基于边缘计算的物联网终端身份认证方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
KR100658301B1 (ko) 무선통신시스템에서의 공개키 기반 상호 인증 방법
CN113676448B (zh) 一种基于对称秘钥的离线设备双向认证方法和系统
CN113411801B (zh) 一种基于身份签密的移动终端认证方法
CN113329371B (zh) 一种基于puf的5g车联网v2v匿名认证与密钥协商方法
CN113098681B (zh) 云存储中口令增强且可更新的盲化密钥管理方法
CN116599659B (zh) 无证书身份认证与密钥协商方法以及系统
GB2543359A (en) Methods and apparatus for secure communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant