CN114070570B - 一种电力物联网的安全通信方法 - Google Patents
一种电力物联网的安全通信方法 Download PDFInfo
- Publication number
- CN114070570B CN114070570B CN202111355055.0A CN202111355055A CN114070570B CN 114070570 B CN114070570 B CN 114070570B CN 202111355055 A CN202111355055 A CN 202111355055A CN 114070570 B CN114070570 B CN 114070570B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- private key
- generating
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/35—Utilities, e.g. electricity, gas or water
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明公开了一种电力物联网的安全通信方法,利用椭圆曲线的标量乘法以及改进标识密码的密钥生成机制,实现电力物联网通信双方的双向身份认证及密钥协商,包括以下步骤:步骤1:初始化;步骤2:生成部分私钥;步骤3:私钥生成;步骤4:公钥生成;步骤5:身份认证与密钥协商。本发明提出了基于标识密码算法的电力物联网安全通信方法,通过优化了标识密码算法中的设备私钥生成算法,将设备的私钥分两部分生成,一部分由密钥生成中心生成,另一部分由设备内部生成,避免了因密钥生成中心被破坏而造成的密钥托管问题;该方法有着更高的效率,减少了系统资源的消耗,节约运算和通信成本,同时更好的保障了通信的安全性。
Description
技术领域
本发明涉及一种电力物联网的安全通信方法,属于电力物联网安全技术领域。
背景技术
随着物联网技术的快速发展,电力物联网将物联网技术广泛应用在智能电网的业务中,而网络界限的模糊使得安全威胁与风险超越了固有边界,终端在可信操作、身份合法性等方面具有了非常大的安全风险,随着当前电力物联网中业务终端的急剧增加且种类多样化,在业务交互时鉴别设备终端身份、保护隐私信息、维护系统安全等方面提出了更大的需求。
目前基于数字证书的认证方式在电力信息网络的身份认证方面得到广泛应用。数字证书认证即PKI/CA数字证书认证,需要建立完善的PKI/CA证书管理系统,包括证书管理系统和密码平台等。密码基础设施管理对称密钥和非对称数字证书,通过密码服务平台对业务提供统一密码服务。然而,由于数字证书的管理流程覆盖了证书申请、审批、生成、发布、应用、更新和废止等等诸多流程,当前海量的电力物联网终端环境下管理成本过高。此外,使用数字证书进行身份认证的重要原因是,数字证书系统所使用的非对称密钥算法资源开销较大,会过多占用电力物联网终端的计算资源,且占用网络带宽资源。同时,基于数字证书的身份认证仅能对用户身份进行认证,并不能对终端软硬件身份和应用程序身份等进行合法性认证,因此依旧无法很好解决非法终端接入的问题。
针对基于数字证书的身份认证方式的技术局限性,基于标识密码算法的电力终端身份认证技术引发了诸多关注。基于标识终端身份认证技术与基于数字证书的认证方案不同,其核心思想是系统中不再使用证书,而是通过标识生成公私钥对完成认证。在基于标识的身份认证机制下,终端的公钥通过提取系统内唯一硬件标识生成,私钥由密钥生成中心(KGC)计算得到并通过安全隧道传送给终端。这种机制实现了公钥与认证实体身份的捆绑,使得认证双方在不需交换公钥的情况下即可完成认证,简化了传统公钥密码机制中的密钥管理开销。
但基于身份标识的密码体系中仍存在两点不足:
1)用户私钥完全由KGC决定,当KGC受到恶意攻击或者KGC本身不可信时,会存在密钥托管问题,给系统带来难以估量的风险。
2)标识算法的计算过程中大量使用双线性配对运算,计算复杂,计算成本高,系统资源消耗多。
发明内容
本发明为了解决传统的基于数字证书的公钥机制身份认证体系无法应对电力物联网中出现的终端数量剧增交互复杂化所带来的巨大的证书管理和存储问题,以及基于身份标识的密码体系中由于用户私钥完全由KGC决定而出现的密钥托管问题,提出了基于标识密码算法的电力物联网安全通信方法。
为解决上述技术问题,本发明所采用的技术方案如下:
一种电力物联网的安全通信方法,利用椭圆曲线的标量乘法以及改进标识密码的密钥生成机制,实现电力物联网通信双方的双向身份认证及密钥协商,包括以下步骤:步骤1:初始化;步骤2:生成部分私钥;步骤3:私钥生成;步骤4:公钥生成;步骤5:身份认证与密钥协商。
本发明使用基于身份的公钥体制避免了证书管理存储问题,并且提出了一种新型密钥生成机制,用户的密钥由用户及可信的KGC共同生成,避免了密钥托管的问题。使用椭圆曲线上的简单标量乘法代替复杂的双线性配对运算实现对国产标识算法SM9改进进而实现轻量级身份认证机制,极大地减少了设备的计算成本和通信成本,使其更适用于资源受限的电力物联网终端。最后详细阐述了该安全通信方法在电力物联网中具体应用过程,有效提升电力物联网的终端安全接入防护水平。
上述步骤1中,初始化为:KGC执行此方法为方案生成一些公共参数。一条定义在有限域GF(p)上的椭圆曲线E可以表示为y2=x3+ax+b(mod p),4a3+27b2≠0,KGC选择一个定义的椭圆曲线E,确定参数a,b及生成元G,并选择一个随机数s∈Zr作为主私钥,其中Zr为r阶素数域,从而生成主公钥Ppub=s*G和两个作为公共参数的哈希函数H1和H2,其中哈希函数可以将用户的身份匹配为Zr中的元素,哈希函数H2:{0,1}→{0,1}k可以用于计算会话密钥,公共参数是PP={GF(q),G,E,Ppub,H1,H2},KGC将PP公布给系统中的所有用户。
上述步骤2中,生成部分私钥的过程为:用户i发送对应的唯一身份标识IDi到KGC,KGC通过计算得出部分私钥di=sH1(IDi),并通过秘密通道将密钥发送给用户。
上述步骤3中,私钥生成的过程为:用户i随机选择秘密值xi∈Zr组成私钥si=(xi,di),其中部分私钥di来自KGC;步骤4中,公钥生成的过程为:用户i计算Xi=xiG作为其公钥参与后面运算。
上述步骤5中,身份认证与密钥协商方法为:身份为IDA的用户A可以和身份为IDB的B建立连接,并且经过下面的计算后可以获得相同的会话密钥:
1)用户A随机选择临时密钥tA∈Zr并计算临时公钥TA=tAG,发送(IDA,XA,TA)给用户B,其中的XA是上述的公钥;
2)用户B接受到来自A的消息(IDA,XA,TA)后随机选择临时密钥tB∈Zr,并计算临时公钥TB=tBG,发送(IDB,XB,TB)到用户A;
3)用户B使用自己的私钥sB计算密钥元素
并生成会话密钥
4)用户A收到来自B的消息后,使用自己的私钥sA计算
并生成会话密钥由以下过程可证得/>
若SKBA=SKAB,则表示A和B协商成功,获得了相同的会话密钥,由于密钥协商过程中的tA和tB都是随机生成的随机数,所以所述安全通信方法实现了通信双方的双向身份认证及密钥协商功能,实现动态密钥协商、密钥更换、密钥销毁等功能。
本发明未提及的技术均参照现有技术。
本发明提出了基于标识密码算法的电力物联网安全通信方法,通过优化了标识密码算法中的设备私钥生成算法,将设备的私钥分两部分生成,一部分由密钥生成中心生成,另一部分由设备内部生成,避免了因密钥生成中心被破坏而造成的密钥托管问题;采用基于SM9算法改进的轻量级身份认证机制,结合终端指纹作为唯一标识,完成接入认证,在算法中使用简单标量乘法代替双线性配对运算,简化运算过程,降低运算成本和通信成本,减少系统资源消耗;将基于标识密码算法的电力物联网安全通信方法与实际应用场景结合,在身份认证过程中引入密钥协商机制,更适合实现电力物联网下海量终端的安全接入;该方法有着更高的效率,减少了系统资源的消耗,节约运算和通信成本,同时更好的保障了通信的安全性。
附图说明
图1是本发明步骤5中身份认证与密钥协商流程示意图;
图2是电力物联网安全接入流程电力物联网SM9应用场景图;
图3是电力物联网应用中的密钥协商过程示意图。
具体实施方式
为了更好地理解本发明,下面结合实施例进一步阐明本发明的内容,但本发明的内容不仅仅局限于下面的实施例。
一种电力物联网的安全通信方法,利用椭圆曲线的标量乘法以及改进标识密码的密钥生成机制,实现电力物联网通信双方的双向身份认证及密钥协商。具体为以下步骤:
步骤1:初始化:
KGC执行此方法为方案生成一些公共参数。一条定义在有限域GF(p)上的椭圆曲线E可以表示为y2=x3+ax+b(modp),4a3+27b2≠0,KGC选择一个定义的椭圆曲线E,确定参数a,b及生成元G。并选择一个随机数s∈Zr作为主私钥,其中Zr为r阶素数域,从而生成主公钥Ppub=s*G和两个作为公共参数的哈希函数H1和H2。其中哈希函数可以将用户的身份匹配为Zr中的元素,哈希函数H2:{0,1}→{0,1}k可以用于计算会话密钥。公共参数是PP={GF(q),G,E,Ppub,H1,H2},KGC将PP公布给系统中的所有用户。
步骤2:生成部分私钥:
用户i发送对应的唯一身份标识IDi到KGC,KGC通过计算得出部分私钥di=sH1(IDi),并通过秘密通道将密钥发送给用户。
步骤3:私钥生成
用户i随机选择秘密值xi∈Zr组成私钥si=(xi,di),其中部分私钥di来自KGC。
步骤4:公钥生成
用户i计算Xi=xiG作为其公钥参与后面运算。
步骤5:身份认证与密钥协商
身份为IDA的用户A可以和身份为IDB的B建立连接,并且经过下面的计算后可以获得相同的会话密钥:
1)用户A随机选择临时密钥tA∈Zr并计算临时公钥TA=tAG,发送(IDA,XA,TA)给用户B,其中的XA是上述的公钥;
2)用户B接受到来自A的消息(IDA,XA,TA)后随机选择临时密钥tB∈Zr,并计算临时公钥TB=tBG,发送(IDB,XB,TB)到用户A;
3)用户B使用自己的私钥sB计算密钥元素
并生成会话密钥
4)用户A收到来自B的消息后,使用自己的私钥sA计算
并生成会话密钥由以下过程可证得/>
若SKBA=SKAB,则表示A和B协商成功,获得了相同的会话密钥,由于密钥协商过程中的tA和tB都是随机生成的随机数,所以所述安全通信方法实现了通信双方的双向身份认证及密钥协商功能,实现动态密钥协商、密钥更换、密钥销毁等功能。
将上述电力物联网安全通信方法与电力物联网的实际应用场景结合,实现更为高效安全的通信,其流程图如图1所示,具体过程如下:
典型的电力物联网业务场景有配电站房、台区管理、输变电状态监测等,具体应用场景如图2所示。基于改进SM9算法的轻量级身份认证的步骤如下:
1.利用指纹产生SM9密码标识。
在标识密码系统中,可将用户的身份标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥,通过数学方式生成与之对应的用户私钥。本专利将电力物联网终端层和边缘处设备指纹作为该设备的SM9算法公钥,公钥即为该设备的SM9密码标识。
2.设备完成注册和私钥的申请分发工作。
终端(或边缘物联代理)向KGC发送设备标识、密钥申请时间、密钥有效期,除终端(或边缘物联代理)标识外,其他信息需用密钥生成中心的公钥进行加密后发送,KGC收到注册信息后用私钥解密,获取注册相关信息,并向终端(或边缘物联代理)反馈注册结果。另外终端(或边缘物联代理)计算相关参数,向KGC申请部分私钥,KGC对终端(或边缘物联代理)发送的参数进行计算,将计算结果(部分私钥)发送给终端(或边缘物联代理),终端(或边缘物联代理)随机选择一个秘密值与KGC返回的部分私钥结合计算出私钥。
3.利用公私密钥对完成身份认证及密钥协商。
用户私钥由KGC和用户共同生成,用户公钥由用户标识唯一确定,从而用户不需要通过第三方保证其公钥的真实性,简化了密钥管理环节,同时也解决了密钥托管问题。若SM9密码标识更改,则需要重新产生。下级终端的SM9密码标识更改,表示下级终端的公钥发生变化,即设备指纹发生变化,该终端需要进行重新认证,否则就会引入非法终端接入的风险。具体密钥协商认证过程如图3所示,过程如下:
(1)密钥协商请求。终端生成一个临时密钥tA并计算临时公钥TA=tAG,用物联接入系统的公钥XB对终端标识IDA、公钥XA及TA进行加密得到C1=Enc(IDA||XA||TA,XB),并使用SM3算法计算密文C1的哈希值H=SM3((Enc(IDA||XA||TA,XB)),用自己的私钥sA对哈希值H进行签名得到签名值S1=Sign(H,sA),将密文数据、当前时间戳TIME和签名值(C1||TIME||S1)发送给物联接入系统。
(2)密钥协商响应。物联接入系统收到协商请求后,利用时间戳判断时间新鲜度,通过后用自己的私钥sB对终端的密文数据进行解密,得到终端的IDA、XA和TA,并用终端的公钥XA验证签名值。然后,物联接入系统生成临时密钥tB并计算临时公钥TB=tBG,用终端的公钥XA对物联接入系统标识IDB、公钥XB及TB加密得到C2=Enc(IDB||XB||TB,XA),并使用SM3算法计算密文C2的哈希值H=SM3((Enc(IDB||XB||TB,XA)),用自己的私钥sB对哈希值H进行签名得到签名值S2=Sign(H,sB),向终端发送将密文数据、当前时间戳TIME和签名值(C2||TIME||S2),同时计算得到会话密钥。
(3)密钥协商确认。终端对自己的会话密钥素材进行运算得到会话密钥,计算会话密钥的HASH值并发送TIME||SM3(SKAB)给物联接入系统。物联接入系统收到密钥协商确认后通过比较自身的会话密钥HASH值与终端是否一致,如果一致,表明身份认证与密钥协商成功。否则向对端设备进行告警,告警次数超过阈值则直接阻断对端设备接入。协商完成后,应基于国家密码局发布的SM1或SM4对称加密算法,以协商好的会话密钥作为对称密钥,对终端与物联接入系统之间的传输数据进行加密传输。
由此,终端与物联接入系统之间不仅实现了认证,还完成了密钥协商以及对敏感数据的传输加密。
上述提出了基于标识密码算法的电力物联网安全通信方法,通过优化了标识密码算法中的设备私钥生成算法,将设备的私钥分两部分生成,一部分由密钥生成中心生成,另一部分由设备内部生成,避免了因密钥生成中心被破坏而造成的密钥托管问题;采用基于SM9算法改进的轻量级身份认证机制,结合终端指纹作为唯一标识,完成接入认证,在算法中使用简单标量乘法代替双线性配对运算,简化运算过程,降低运算成本和通信成本,减少系统资源消耗;将基于标识密码算法的电力物联网安全通信方法与实际应用场景结合,在身份认证过程中引入密钥协商机制,更适合实现电力物联网下海量终端的安全接入;该方法有着更高的效率,减少了系统资源的消耗,节约运算和通信成本,同时更好的保障了通信的安全性。
Claims (1)
1.一种电力物联网的安全通信方法,其特征在于:利用椭圆曲线的标量乘法以及改进标识密码的密钥生成机制,实现电力物联网通信双方的双向身份认证及密钥协商,包括以下步骤:步骤1:初始化;步骤2:生成部分私钥;步骤3:私钥生成;步骤4:公钥生成;步骤5:身份认证与密钥协商;
步骤1中,初始化过程为:一条定义在有限域GF(p)上的椭圆曲线E表示为y2=x3+ax+b(mod p),4a3+27b2≠0,密钥生成中心KGC选择一个定义的椭圆曲线E,确定参数a,b及生成元G,并选择一个随机数s∈Zr作为主私钥,其中Zr为r阶素数域,从而生成主公钥Ppub=s*G和两个作为公共参数的哈希函数H1和H2,其中哈希函数将用户的身份匹配为Zr中的元素,哈希函数H2:{0,1}→{0,1}k用于计算会话密钥,公共参数是PP={GF(ρ),G,E,Ppub,H1,H2},KGC将PP公布给系统中的所有用户;
步骤2中,生成部分私钥的过程为:用户i发送对应的唯一身份标识IDi、密钥申请时间和密钥有效期到KGC,密钥申请时间和密钥有效期需用KGC的公钥进行加密后发送,KGC收到来自用户i的信息后用私钥解密,获取IDi、密钥申请时间和密钥有效期,并向用户i反馈结果,KGC通过计算得出部分私钥di=sH1(IDi),并通过秘密通道将部分私钥发送给用户i;
步骤3中,私钥生成的过程为:用户i随机选择秘密值xi∈Zr组成私钥si=(xi,di),其中部分私钥di来自KGC;
步骤4中,公钥生成的过程为:用户i计算Xi=xiG作为其公钥参与后面运算;
步骤5中,身份认证与密钥协商方法为:身份为IDA的用户A和身份为IDB的用户B建立连接,并且经过下面的计算后获得相同的会话密钥:
1)密钥协商请求:用户A随机选择临时密钥tA∈Zr并计算临时公钥TA=tAG,用用户B的公钥XB对用户A标识IDA、公钥XA及TA进行加密得到C1=Enc(IDA||XA||TA,XB),并使用SM3算法计算密文C1的哈希值Hi=SM3((Enc(IDA||XA||TA,XB)),用自己的私钥sA对哈希值H1进行签名得到签名值S1=Sign(H1,sA),将密文数据、当前时间戳TIME1和签名值(C1||TIME1||S1)发送给用户B;
2)密钥协商响应:用户B收到密钥协商请求后,利用时间戳TIME1判断时间新鲜度,用自己的私钥sB对密文数据进行解密,得到用户A的IDA、XA和TA,并用用户A的公钥XA验证签名值,然后,用户B生成临时密钥tB并计算临时公钥TB=tBG,用用户A的公钥XA对用户B标识IDB、公钥XB及TB加密得到C2=Enc(IDB||XB||TB,XA),并使用SM3算法计算密文C2的哈希值H2=SM3((Enc(IDB||XB||TB,XA)),用自己的私钥sB对哈希值H2进行签名得到签名值S2=Sign(H2,sB),向用户A发送密文数据、当前时间戳TIME2和签名值(C2||TIME2||S2);
3)密钥协商确认:用户B使用自己的私钥sB计算密钥元素并生成会话密钥
用户A收到来自B的消息后,使用自己的私钥sA计算密钥元素并生成会话密钥以下过程证明和/>和/>成立:
若SKBA=SKAB,则表示用户A和用户B协商成功,获得了相同的会话密钥,由于密钥协商过程中的tA和tB都是随机生成的随机数,所以所述安全通信方法实现了通信双方的双向身份认证及密钥协商功能,实现了动态密钥协商、密钥更换和密钥销毁功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111355055.0A CN114070570B (zh) | 2021-11-16 | 2021-11-16 | 一种电力物联网的安全通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111355055.0A CN114070570B (zh) | 2021-11-16 | 2021-11-16 | 一种电力物联网的安全通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114070570A CN114070570A (zh) | 2022-02-18 |
CN114070570B true CN114070570B (zh) | 2023-07-21 |
Family
ID=80272707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111355055.0A Active CN114070570B (zh) | 2021-11-16 | 2021-11-16 | 一种电力物联网的安全通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114070570B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114363858A (zh) * | 2022-03-21 | 2022-04-15 | 苏州浪潮智能科技有限公司 | 蜂窝车联网协同通信的会话及注册方法、系统及相关组件 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7664259B2 (en) * | 2006-03-09 | 2010-02-16 | Motorola, Inc. | Encryption and verification using partial public key |
CN110912692B (zh) * | 2019-11-19 | 2022-03-04 | 武汉大学 | 一种基于轻型证书的传感器网络认证密钥建立方法及其实施装置 |
CN110971401B (zh) * | 2019-11-19 | 2021-10-22 | 武汉大学 | 一种基于交叉互锁机制的认证密钥协商方法及其实施装置 |
CN112367175B (zh) * | 2020-11-12 | 2021-07-06 | 西安电子科技大学 | 基于sm2数字签名的隐式证书密钥生成方法 |
-
2021
- 2021-11-16 CN CN202111355055.0A patent/CN114070570B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114070570A (zh) | 2022-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989053B (zh) | 一种基于椭圆曲线的无证书公钥密码体制实现方法 | |
CN107919956B (zh) | 一种面向物联网云环境下端到端安全保障方法 | |
CN102318258B (zh) | 基于身份的认证密钥协商协议 | |
CN104270249B (zh) | 一种从无证书环境到基于身份环境的签密方法 | |
CN106789042B (zh) | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 | |
US20070083766A1 (en) | Data transmission links | |
US20030210789A1 (en) | Data transmission links | |
CN112104453B (zh) | 一种基于数字证书的抗量子计算数字签名系统及签名方法 | |
JP2005515701A6 (ja) | データ伝送リンク | |
CN110120939B (zh) | 一种基于异构系统的可否认认证的加密方法和系统 | |
CN110113150B (zh) | 基于无证书环境的可否认认证的加密方法和系统 | |
CN112087428B (zh) | 一种基于数字证书的抗量子计算身份认证系统及方法 | |
CN110535626B (zh) | 基于身份的量子通信服务站保密通信方法和系统 | |
CN104301108A (zh) | 一种从基于身份环境到无证书环境的签密方法 | |
CN113630248A (zh) | 一种会话密钥协商方法 | |
CN111769937A (zh) | 面向智能电网高级测量体系的两方认证密钥协商协议 | |
CN103414559A (zh) | 一种云计算环境下的基于类ibe系统的身份认证方法 | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
KR100658301B1 (ko) | 무선통신시스템에서의 공개키 기반 상호 인증 방법 | |
CN113676448B (zh) | 一种基于对称秘钥的离线设备双向认证方法和系统 | |
CN113329371B (zh) | 一种基于puf的5g车联网v2v匿名认证与密钥协商方法 | |
CN113098681B (zh) | 云存储中口令增强且可更新的盲化密钥管理方法 | |
CN114070570B (zh) | 一种电力物联网的安全通信方法 | |
CN111669275B (zh) | 一种无线网络环境下可选择从节点的主从协作签名方法 | |
CN116599659B (zh) | 无证书身份认证与密钥协商方法以及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |