CN117278330A - 一种电力物联网设备网络的轻量级组网与安全通信方法 - Google Patents

一种电力物联网设备网络的轻量级组网与安全通信方法 Download PDF

Info

Publication number
CN117278330A
CN117278330A CN202311551370.XA CN202311551370A CN117278330A CN 117278330 A CN117278330 A CN 117278330A CN 202311551370 A CN202311551370 A CN 202311551370A CN 117278330 A CN117278330 A CN 117278330A
Authority
CN
China
Prior art keywords
request
authentication
equipment
response
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311551370.XA
Other languages
English (en)
Other versions
CN117278330B (zh
Inventor
肖勇才
葛晶晶
喻宝禄
杜江龙
杨浩
徐健
刘旷也
章玲玲
姚保明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Jiangxi Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202311551370.XA priority Critical patent/CN117278330B/zh
Publication of CN117278330A publication Critical patent/CN117278330A/zh
Application granted granted Critical
Publication of CN117278330B publication Critical patent/CN117278330B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于物联网技术领域,涉及一种电力物联网设备网络的轻量级组网与安全通信方法,包括预认证阶段、初认证阶段、通信阶段和续认证阶段四个阶段;设备向网络中心发送预认证请求,网络中心对设备进行验证并回复预认证响应,设备根据预认证响应,确认网络中心的身份和信任;在请求设备与目标设备通信之前,请求设备向其他设备发送一个初认证请求,目标设备验证并回复初认证响应;请求设备和应答设备在通信过程中,定期更新会话密钥和验证对方的更新密钥;请求设备向应答设备发送续认证请求,如果验证通过,请求设备更新并共享会话密钥,并继续通信。本发明利用会话密钥协商和更新机制实现了设备之间的安全通信。

Description

一种电力物联网设备网络的轻量级组网与安全通信方法
技术领域
本发明属于物联网技术领域,涉及一种电力物联网设备网络的轻量级组网与安全通信方法。
背景技术
电力物联网是指将物联网技术应用于电力系统,实现电力设备、电力用户和电力服务的智能化、互联化和协同化,从而提高电力系统的可靠性、安全性和效率。电力物联网设备网络是指由多个电力物联网设备组成的通信网络,如智能电表、智能变压器、智能配电网等。
电力物联网设备网络的组网和通信是实现电力物联网功能的基础和关键,也是面临诸多挑战和问题的领域。一方面,由于电力物联网设备网络涉及到大量的设备和数据,需要实现快速、灵活和可扩展的组网方式,降低组网成本和复杂度;另一方面,由于电力物联网设备网络涉及到关键的电力信息和服务,需要实现安全、可靠和高效的通信方式,防止通信数据被窃取、篡改或者拒绝服务。
由于电力物联网设备网络涉及到大量的设备和数据,需要实现快速、灵活和可扩展的组网方式,降低组网成本和复杂度。传统的组网方法,如基于预共享密钥(PSK)的方法、基于公钥基础设施(PKI)的方法、基于身份密码学(IDC)的方法等,都存在一些不足和局限,如密钥管理困难、密钥泄露风险高、密钥更新效率低、需要建立复杂和昂贵的公钥基础设施或者依赖于第三方机构的可信性和安全性等缺点。
由于电力物联网设备网络涉及到关键的电力信息和服务,需要实现安全、可靠和高效的通信方式,防止通信数据被窃取、篡改或者拒绝服务。传统的通信方法,如基于PSK、PKI或者IDC技术进行数据加密和解密等,都存在一些不足和局限,如数据传输效率低、数据保护能力弱、数据处理能力差等缺点。
发明内容
因此针对现有技术的不足,本发明提出了一种电力物联网设备网络的轻量级组网与安全通信方法,利用SRAM PUF(基于静态随机存取存储器的物理不可克隆函数)技术实现了电力物联网设备网络的轻量级组网,无需预先部署或存储密钥,降低了成本和复杂度。
本发明通过下述技术方案来实现。一种电力物联网设备网络的轻量级组网与安全通信方法,包括预认证阶段、初认证阶段、通信阶段和续认证阶段四个阶段;
所述预认证阶段:设备向网络中心发送预认证请求,网络中心对设备进行验证并回复预认证响应,设备根据预认证响应,确认网络中心的身份和信任;
所述初认证阶段过程如下:
请求设备发送初认证请求:在请求设备与目标设备通信之前,请求设备向其他设备发送一个初认证请求,该初认证请求包含请求设备的唯一身份标识和目标设备的唯一身份标识,以及用请求设备的根密钥加密后的第一随机数R1;该初认证请求还包含用请求设备的会话密钥对请求内容进行签名后的一个消息验证码;
目标设备验证:目标设备收到请求后,用目标设备的验证密钥对消息验证码进行验证;
目标设备回复初认证响应:如果验证通过,目标设备用自己的根密钥解密请求中的第一随机数R1,并用目标设备自己的验证密钥加密后回复初认证响应,该初认证响应包含目标设备自己的唯一身份标识和加密后的第一随机数验证值R1 *;该初认证响应还包含用自己的会话密钥对响应内容进行签名后的一个消息验证码;
请求设备验证:请求设备收到初认证响应后,请求设备用的验证密钥对消息验证码进行验证;如果验证通过,请求设备用自己的验证密钥解密响应中的第一随机数验证值R1*,并与请求中发送的第一随机数R1进行比较,验证目标设备是否拥有有效的根密钥;如果验证通过,初认证阶段完成,并进入通信阶段;
所述续认证阶段:请求设备和应答设备在通信过程中,定期更新会话密钥和验证对方的更新密钥;请求设备向应答设备发送续认证请求,包含请求设备自己的唯一身份标识、应答设备的请求设备和一个随机数;应答设备验证续认证请求的真实性和完整性,并回复续认证响应,包含应答设备的请求设备和加密后的随机数。请求设备验证续认证响应的真实性和完整性,并比较随机数,验证应答设备是否拥有有效的更新密钥;如果验证通过,请求设备更新并共享会话密钥,并继续通信。
进一步优选,所述预认证阶段过程如下:
设备发送预认证请求:在设备加入网络之前,设备需要向网络中心发送一个预认证请求,该预认证请求包含设备的唯一身份标识和数字证书;
网络中心验证:网络中心收到预认证请求后,用网络中心自己的私钥对数字证书进行验证,确认设备的身份和公钥;
网络中心发送预认证响应:如果验证通过,网络中心将设备的唯一身份标识和公钥存入一个白名单,并向设备发送一个预认证响应,该预认证响应包含网络中心的数字签名;
设备认证:设备收到预认证响应后,用网络中心的公钥对数字签名进行验证,确认网络中心的身份和信任,如果验证通过,预认证阶段完成,并进入下一阶段。
进一步优选,所述续认证阶段的过程如下:
请求设备发送续认证请求:在请求设备与其他设备通信过程中,请求设备需要定期向目标设备发送一个续认证请求,该续认证请求包含自己的唯一身份标识和目标设备的唯一身份标识,以及用请求设备自己的更新密钥加密后的第二随机数R2;该续认证请求还包含用自己的会话密钥对请求内容进行签名后的一个消息验证码;
目标设备验证:目标设备收到续认证请求后,用目标设备的验证密钥对消息验证码进行验证,确保请求的真实性和完整性;
目标设备回复续认证响应:如果验证通过,目标设备用自己的更新密钥解密请求中的第二随机数R2,并用目标设备自己的更新密钥加密后回复一个续认证响应,该续认证响应包含目标设备的唯一身份标识和加密后的第二随机数验证值R2*;该续认证响应还包含用自己的会话密钥对响应内容进行签名后的一个消息验证码;
请求设备验证:请求设备收到续认证响应后,用自己的验证密钥对消息验证码进行验证;如果验证通过,请求设备用自己的更新密钥解密响应中的第二随机数验证值R2*,并与请求中发送的第二随机数R2进行比较,验证目标设备是否拥有有效的更新密钥;如果验证通过,续认证阶段完成,并继续通信;如果验证失败,请求设备中断通信,并重新发起初认证请求。
进一步优选,所述通信阶段过程如下:
请求设备和目标设备通过会话密钥处理数据,包括加密和解密;
使用流密码操作模式的SM4算法对加密数据进行进一步处理;
通信结束后,销毁会话密钥,并在下次通信时重新生成新的会话密钥。
进一步优选,请求设备和目标设备通过会话密钥处理数据,包括加密和解密是指:
当应答设备通过验证,为目标设备,则请求设备和应答设备之间使用会话密钥对通信数据进行加密和解密,实现安全通信。
进一步优选,所述使用流密码操作模式的SM4算法对加密数据进行进一步处理为:
请求设备将通信数据用会话密钥加密后得到加密数据,然后用流密码操作模式的SM4算法对加密数据进行处理后发送给应答设备;
应答设备收到请求设备发送的数据后,先用流密码操作模式的SM4算法对数据进行还原,然后用会话密钥解密得到通信数据。
本发明利用SRAM PUF技术生成每个设备的唯一且不可克隆的身份标识和根密钥,无需预先部署或存储密钥,降低了密钥泄露、密钥冲突等安全隐患,降低了密钥管理的成本和复杂度。同时,利用会话密钥协商和更新机制实现了设备之间的安全通信,防止了中间人攻击和重放攻击。此外,利用流密码操作模式(CTR模式)的SM4算法增强了数据传输的安全性,抵抗了差分分析和线性分析等密码攻击。
本发明利用非对称加密算法从根密钥中生成公钥和私钥,并由网络中心为每个公钥签发数字证书,实现了设备之间的快速、灵活和可扩展的组网方式,提高了组网效率和灵活性。同时,利用会话密钥协商和更新机制实现了设备之间的动态生成和销毁会话密钥,提高了通信效率和灵活性。此外,利用流密码操作模式(CTR模式)的SM4算法提高了数据传输的性能,减少了数据处理的时间和资源消耗。
本发明利用会话密钥协商和更新机制实现了设备之间的安全通信,防止了中间人攻击和重放攻击,无需依赖于第三方机构或者复杂和昂贵的公钥基础设施,降低了通信管理的成本和复杂度。此外,利用流密码操作模式(CTR模式)的SM4算法增强了数据传输的性能和安全性,实现了数据传输的轻量级处理,降低了数据处理的硬件资源要求。
附图说明
图1为本发明的方法流程图;
图2为预认证阶段流程图;
图3为初认证阶段流程图;
图4为通信阶段流程图;
图5为续认证阶段流程图。
具体实施方式
下面结合实施例进一步详细阐明本发明。
如图1所示,一种电力物联网设备网络的轻量级组网与安全通信方法,包括预认证阶段、初认证阶段、通信阶段和续认证阶段四个阶段。
如图2所示,预认证阶段过程如下:
设备发送预认证请求:在设备加入网络之前,设备需要向网络中心发送一个预认证请求,该预认证请求包含设备的唯一身份标识(ID)和数字证书;
网络中心验证:网络中心收到预认证请求后,用网络中心自己的私钥对数字证书进行验证,确认设备的身份和公钥;
网络中心发送预认证响应:如果验证通过,网络中心将设备的唯一身份标识(ID)和公钥存入一个白名单,并向设备发送一个预认证响应,该预认证响应包含网络中心的数字签名;
设备认证:设备收到预认证响应后,用网络中心的公钥对数字签名进行验证,确认网络中心的身份和信任,如果验证通过,预认证阶段完成,并进入下一阶段。
在电力物联网设备网络中,每个设备都具有一个基于SRAM PUF的唯一身份标识(ID),该唯一身份标识由设备上的SRAM单元在上电时产生的随机比特模式决定;每个设备还具有一个基于SRAM PUF的根密钥(RK),该根密钥(RK)由安全芯片中的PUF函数从唯一身份标识(ID)中提取出来。每个设备还具有一个基于SRAM PUF的会话密钥(SK)和一个验证密钥(VK),该会话密钥(SK)和验证密钥(VK)由安全芯片中的非对称加密算法从根密钥(RK)中生成;每个设备还具有一个数字证书(Cert),该数字证书(Cert)由网络中心为每个验证密钥(VK)签发,并包含了设备的唯一身份标识(ID)、验证密钥(VK)和数字签名等信息。数字签名是用网络中心的私钥对验证密钥(VK)和唯一身份标识(ID)进行签名后的结果,可以用网络中心的公钥进行验证。
如图3所示,所述初认证阶段过程如下:
请求设备发送初认证请求:在请求设备与目标设备通信之前,请求设备需要向其他设备发送一个初认证请求,该初认证请求包含请求设备的唯一身份标识和目标设备的唯一身份标识,以及用请求设备的根密钥加密后的第一随机数R1;该初认证请求还包含用请求设备的会话密钥对请求内容进行签名后的一个消息验证码(MAC);
目标设备验证:目标设备收到请求后,用目标设备的验证密钥对消息验证码(MAC)进行验证,确保请求的真实性和完整性;
目标设备回复初认证响应:如果验证通过,目标设备用自己的根密钥解密请求中的第一随机数R1,并用目标设备自己的验证密钥加密后回复初认证响应,该初认证响应包含目标设备自己的唯一身份标识和加密后的第一随机数验证值R1 *;该初认证响应还包含用自己的会话密钥对响应内容进行签名后的一个消息验证码(MAC);
请求设备验证:请求设备收到初认证响应后,请求设备用的验证密钥对消息验证码(MAC)进行验证,确保响应的真实性和完整性;如果验证通过,请求设备用自己的验证密钥解密响应中的第一随机数验证值R1 *,并与请求中发送的第一随机数R1进行比较,验证目标设备是否拥有有效的根密钥(RK);如果验证通过,初认证阶段完成,并进入下一阶段。
在设备完成初认证阶段后进行通信;通信阶段的目的是实现设备间的安全数据传输和管理。如图4所示,所述通信阶段过程如下:
请求设备和目标设备通过会话密钥处理数据,包括加密和解密,保证数据的机密性和完整性;
使用流密码操作模式(CTR模式)的SM4算法对加密数据进行进一步处理,提高数据的效率和安全性;
通信结束后,销毁会话密钥,并在下次通信时重新生成新的会话密钥,防止会话密钥被重用或泄露。
当请求设备需要与其他设备通信时,请求设备首先向网络中广播一个请求消息(ReqMsg),该请求消息包含请求设备自己的唯一身份标识和目标设备的唯一身份标识,以及用请求设备自己的根密钥加密后的第一随机数R1。该请求消息还包含用请求设备自己的会话密钥对消息内容进行签名后的一个消息验证码(MAC)。消息验证码(MAC)是用请求设备的根密钥生成的一个广播密钥(BK)与消息内容进行哈希运算后的结果,可以用广播密钥(BK)进行验证。该请求消息可以表示为:
ReqMsg={IDreq,IDtar,ERKreq(R1),ESKreq(IDreq,IDtar,ERKreq(R1))};
其中,IDreq表示请求设备的唯一身份标识,IDtar表示目标设备的唯一身份标识,ERKreq(R1)表示用请求设备的根密钥对第一随机数R1进行加密后的结果,ESKreq(IDreq,IDtar,ERKreq(R1))表示用请求设备的SK对消息内容进行签名后的结果。
网络中的其他设备收到请求消息后,根据自己的唯一身份标识和目标设备的唯一身份标识判断是否是通信对象;如果是,那么该设备即为请求设备的应答设备,则用自己的验证密钥对请求消息中的消息验证码(MAC)进行验证,确保请求消息的真实性和完整性。如果验证通过,则用自己的根密钥解密请求消息中的第一随机数R1,并用应答设备的验证密钥加密后回复一个应答消息(AnsMsg),该应答消息包含应答设备的唯一身份标识和加密后的第一随机数验证值R1*。该应答消息还包含用应答设备的会话密钥对消息内容进行签名后的一个消息验证码(MAC)。该应答消息还包含应答设备自己的数字证书(Cert),用于证明应答设备自己的身份和公钥。该应答消息可以表示为:
AnsMsg={IDans,EVKtar(R1*),ESKans(IDans,EVKtar(R1*)),Cert};
其中,IDans表示应答设备的唯一身份标识,EVKtar(R1*)表示用应答设备的验证密钥对第一随机数验证值R1*进行加密后的结果,ESKans(IDans,EVKtar(R1*))表示用应答设备的会话密钥对消息内容进行签名后的结果,Cert表示应答设备的数字证书。
请求设备收到应答消息后,用自己的公钥对应答设备的数字证书进行验证,确保应答设备的身份和公钥。如果验证通过,请求设备用自己的VK对应答消息中的消息验证码(MAC)进行验证,确保应答消息的真实性和完整性。如果验证通过,请求设备用自己的验证密钥解密应答消息中的第一随机数验证值R1*,并与请求消息中发送的第一随机数R1进行比较,验证应答设备是否拥有有效的根密钥。如果验证通过,则生成一个会话密钥(SK),并将该会话密钥与应答设备共享;该会话密钥可以由请求设备和应答设备各自使用自己的更新密钥和对方的唯一身份标识进行计算得到,即:
SK=UFreq(UKreq,IDans)=UFans(UKans,IDreq);
其中,UFreq表示请求设备的更新函数,UFans表示应答设备的更新函数,UKreq表示请求设备的更新密钥;UKans表示应答设备的更新密钥。
请求设备和应答设备之间使用会话密钥对通信数据进行加密和解密,实现安全通信。同时,使用流密码操作模式(CTR模式)的SM4算法对加密数据进行进一步处理,提高数据传输的效率和安全性。具体地,请求设备将通信数据(Data)用会话密钥加密后得到加密数据(EncData),然后用流密码操作模式(CTR模式)的SM4算法对加密数据进行处理后发送给应答设备,即:
EncData=ESK(Data);
SM4−CTR(EncData)→Ans;
其中,ESK(Data)表示用会话密钥对通信数据进行加密后的结果,SM4−CTR(EncData)表示用流密码操作模式的SM4算法对加密数据进行处理后的结果,Ans表示应答设备。应答设备收到请求设备发送的数据后,先用流密码操作模式(CTR模式)的SM4算法对数据进行还原,然后用会话密钥解密得到通信数据,即:
SM4−CTR−1(Ans)→EncData;
DSK(EncData)→Data;
其中,SM4−CTR−1(Ans)表示用流密码操作模式(CTR模式)的SM4算法对请求设备发送的数据进行还原后的结果,DSK(EncData)表示用会话密钥对加密数据进行解密后的结果。
请求设备和应答设备在通信结束后,销毁会话密钥,并在下次通信时重新生成新的会话密钥。
如图5所示,所述续认证阶段的过程如下:
请求设备发送续认证请求:在请求设备与其他设备通信过程中,请求设备需要定期向目标设备发送一个续认证请求,该续认证请求包含自己的唯一身份标识和目标设备的唯一身份标识,以及用请求设备自己的更新密钥加密后的第二随机数R2。该续认证请求还包含用自己的会话密钥对请求内容进行签名后的一个消息验证码;
目标设备验证:目标设备收到续认证请求后,用目标设备的验证密钥对消息验证码进行验证,确保请求的真实性和完整性;
目标设备回复续认证响应:如果验证通过,目标设备用自己的更新密钥解密请求中的第二随机数R2,并用目标设备自己的更新密钥加密后回复一个续认证响应,该续认证响应包含目标设备的唯一身份标识和加密后的第二随机数验证值R2*。该续认证响应还包含用自己的会话密钥对响应内容进行签名后的一个消息验证码;
请求设备验证:请求设备收到续认证响应后,用自己的验证密钥对消息验证码进行验证,确保响应的真实性和完整性。如果验证通过,请求设备用自己的更新密钥解密响应中的第二随机数验证值R2*,并与请求中发送的第二随机数R2进行比较,验证目标设备是否拥有有效的更新密钥;如果验证通过,续认证阶段完成,并继续通信;如果验证失败,请求设备中断通信,并重新发起初认证请求。
请求设备和应答设备在通信过程中,定期更新会话密钥和验证对方的更新密钥;请求设备向应答设备发送续认证请求,包含请求设备自己的唯一身份标识、应答设备的请求设备和一个随机数;应答设备验证续认证请求的真实性和完整性,并回复续认证响应,包含应答设备的请求设备和加密后的随机数。请求设备验证续认证响应的真实性和完整性,并比较随机数,验证应答设备是否拥有有效的更新密钥。如果验证通过,请求设备更新并共享会话密钥,并继续通信。具体步骤如下:
请求设备生成一个第二随机数R2,并用请求设备的更新密钥UKreq加密后得到请求设备加密的随机数EUKreq(R2)。
请求设备用请求设备的会话密钥SKreq对自己的唯一身份标识、应答设备的唯一身份标识和请求设备加密的随机数EUKreq(R2)进行签名后得到请求设备的消息验证码MACreq
请求设备将请求设备的唯一身份标识、应答设备的唯一身份标识、请求设备加密的随机数EUKreq(R2)、请求设备的消息验证码MACreq和请求设备的数字证书Certreq发送给应答设备,作为续认证请求。
应答设备收到续认证请求后,用网络中心的公钥对请求设备的数字证书进行验证,确保请求设备的身份和公钥。
应答设备用请求设备的验证密钥VKreq,对请求设备的消息验证码MACreq进行验证,确保请求的真实性和完整性。
应答设备用应答设备的更新密钥UKans解密请求设备加密的随机数EUKreq(R2),得到第二随机数R2*,并用应答设备的UKans加密后得到应答设备加密的随机数EUKans(R2*)。
应答设备用自己的会话密钥SKans对自己的唯一身份标识和应答设备加密的随机数EUKans(R2*)进行签名后得到应答设备的消息验证码MACans
应答设备将应答设备的唯一身份标识、应答设备加密的随机数EUKans(R2*)、应答设备的消息验证码MACans和应答设备的数字证书Certans发送给请求设备,作为续认证响应。
请求设备收到续认证响应后,用网络中心的公钥对应答设备的数字证书进行验证,确保应答设备的身份和公钥。
请求设备用应答设备的验证密钥VKans对应答设备的消息验证码MACans进行验证,确保响应的真实性和完整性。
请求设备用请求设备的更新密钥UKreq解密应答设备加密的随机数EUKans(R2*),得到第二随机数验证值R2,并与请求中发送的第二随机数R2进行比较,验证应答设备是否拥有有效的更新密钥UKans
如果验证通过,请求设备使用自己和应答设备各自生成的更新函数以及各自持有的更新密钥以及对方的唯一身份标识计算出新的会话密钥SK,并与应答设备共享,即:
SK=UFreq(UKreq,IDans)=UFans(UKans,IDreq)。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该本发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (6)

1.一种电力物联网设备网络的轻量级组网与安全通信方法,其特征在于,包括预认证阶段、初认证阶段、通信阶段和续认证阶段四个阶段;
所述预认证阶段:设备向网络中心发送预认证请求,网络中心对设备进行验证并回复预认证响应,设备根据预认证响应,确认网络中心的身份和信任;
所述初认证阶段过程如下:
请求设备发送初认证请求:在请求设备与目标设备通信之前,请求设备向其他设备发送一个初认证请求,该初认证请求包含请求设备的唯一身份标识和目标设备的唯一身份标识,以及用请求设备的根密钥加密后的第一随机数R1;该初认证请求还包含用请求设备的会话密钥对请求内容进行签名后的一个消息验证码;
目标设备验证:目标设备收到请求后,用目标设备的验证密钥对消息验证码进行验证;
目标设备回复初认证响应:如果验证通过,目标设备用自己的根密钥解密请求中的第一随机数R1,并用目标设备自己的验证密钥加密后回复初认证响应,该初认证响应包含目标设备自己的唯一身份标识和加密后的第一随机数验证值R1*;该初认证响应还包含用自己的会话密钥对响应内容进行签名后的一个消息验证码;
请求设备验证:请求设备收到初认证响应后,请求设备用的验证密钥对消息验证码进行验证;如果验证通过,请求设备用自己的验证密钥解密响应中的第一随机数验证值R1*,并与请求中发送的第一随机数R1进行比较,验证目标设备是否拥有有效的根密钥;如果验证通过,初认证阶段完成,并进入通信阶段;
所述续认证阶段:请求设备和应答设备在通信过程中,定期更新会话密钥和验证对方的更新密钥;请求设备向应答设备发送续认证请求,包含请求设备自己的唯一身份标识、应答设备的请求设备和一个随机数;应答设备验证续认证请求的真实性和完整性,并回复续认证响应,包含应答设备的请求设备和加密后的随机数;请求设备验证续认证响应的真实性和完整性,并比较随机数,验证应答设备是否拥有有效的更新密钥;如果验证通过,请求设备更新并共享会话密钥,并继续通信。
2.根据权利要求1所述的电力物联网设备网络的轻量级组网与安全通信方法,其特征在于,所述预认证阶段过程如下:
设备发送预认证请求:在设备加入网络之前,设备需要向网络中心发送一个预认证请求,该预认证请求包含设备的唯一身份标识和数字证书;
网络中心验证:网络中心收到预认证请求后,用网络中心自己的私钥对数字证书进行验证,确认设备的身份和公钥;
网络中心发送预认证响应:如果验证通过,网络中心将设备的唯一身份标识和公钥存入一个白名单,并向设备发送一个预认证响应,该预认证响应包含网络中心的数字签名;
设备认证:设备收到预认证响应后,用网络中心的公钥对数字签名进行验证,确认网络中心的身份和信任,如果验证通过,预认证阶段完成,并进入下一阶段。
3.根据权利要求1所述的电力物联网设备网络的轻量级组网与安全通信方法,其特征在于,所述续认证阶段的过程如下:
请求设备发送续认证请求:在请求设备与其他设备通信过程中,请求设备需要定期向目标设备发送一个续认证请求,该续认证请求包含自己的唯一身份标识和目标设备的唯一身份标识,以及用请求设备自己的更新密钥加密后的第二随机数R2;该续认证请求还包含用自己的会话密钥对请求内容进行签名后的一个消息验证码;
目标设备验证:目标设备收到续认证请求后,用目标设备的验证密钥对消息验证码进行验证,确保请求的真实性和完整性;
目标设备回复续认证响应:如果验证通过,目标设备用自己的更新密钥解密请求中的第二随机数R2,并用目标设备自己的更新密钥加密后回复一个续认证响应,该续认证响应包含目标设备的唯一身份标识和加密后的第二随机数验证值R2 *;该续认证响应还包含用自己的会话密钥对响应内容进行签名后的一个消息验证码;
请求设备验证:请求设备收到续认证响应后,用自己的验证密钥对消息验证码进行验证;如果验证通过,请求设备用自己的更新密钥解密响应中的第二随机数验证值R2 *,并与请求中发送的第二随机数R2进行比较,验证目标设备是否拥有有效的更新密钥;如果验证通过,续认证阶段完成,并继续通信;如果验证失败,请求设备中断通信,并重新发起初认证请求。
4.根据权利要求1所述的电力物联网设备网络的轻量级组网与安全通信方法,其特征在于,所述通信阶段过程如下:
请求设备和目标设备通过会话密钥处理数据,包括加密和解密;
使用流密码操作模式的SM4算法对加密数据进行进一步处理;
通信结束后,销毁会话密钥,并在下次通信时重新生成新的会话密钥。
5.根据权利要求4所述的电力物联网设备网络的轻量级组网与安全通信方法,其特征在于,请求设备和目标设备通过会话密钥处理数据,包括加密和解密是指:
当应答设备通过验证,为目标设备,则请求设备和应答设备之间使用会话密钥对通信数据进行加密和解密,实现安全通信。
6.根据权利要求5所述的电力物联网设备网络的轻量级组网与安全通信方法,其特征在于,所述使用流密码操作模式的SM4算法对加密数据进行进一步处理为:
请求设备将通信数据用会话密钥加密后得到加密数据,然后用流密码操作模式的SM4算法对加密数据进行处理后发送给应答设备;
应答设备收到请求设备发送的数据后,先用流密码操作模式的SM4算法对数据进行还原,然后用会话密钥解密得到通信数据。
CN202311551370.XA 2023-11-21 2023-11-21 一种电力物联网设备网络的轻量级组网与安全通信方法 Active CN117278330B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311551370.XA CN117278330B (zh) 2023-11-21 2023-11-21 一种电力物联网设备网络的轻量级组网与安全通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311551370.XA CN117278330B (zh) 2023-11-21 2023-11-21 一种电力物联网设备网络的轻量级组网与安全通信方法

Publications (2)

Publication Number Publication Date
CN117278330A true CN117278330A (zh) 2023-12-22
CN117278330B CN117278330B (zh) 2024-03-12

Family

ID=89210853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311551370.XA Active CN117278330B (zh) 2023-11-21 2023-11-21 一种电力物联网设备网络的轻量级组网与安全通信方法

Country Status (1)

Country Link
CN (1) CN117278330B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835752A (zh) * 2020-07-09 2020-10-27 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
GB202015541D0 (en) * 2020-09-30 2020-11-11 Nchain Holdings Ltd Authentication system and method
CN114915970A (zh) * 2022-04-02 2022-08-16 北京航空航天大学 基于puf的轻量级智能表批量认证方法及网关
US20230032099A1 (en) * 2021-07-15 2023-02-02 Nanyang Technological University Physical unclonable function based mutual authentication and key exchange
CN116055177A (zh) * 2023-01-12 2023-05-02 中京天裕科技(北京)有限公司 一种适用于物联网设备的轻量级认证及密钥协商方法
WO2023124245A1 (zh) * 2021-12-30 2023-07-06 珠海奔图电子有限公司 验证方法、耗材芯片、耗材和图像形成装置
WO2023147785A1 (zh) * 2022-02-07 2023-08-10 南京理工大学 基于国密算法的车联网通信安全认证方法、系统及设备
CN117041956A (zh) * 2023-07-25 2023-11-10 中国电信股份有限公司技术创新中心 通信认证方法、装置、计算机设备和存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835752A (zh) * 2020-07-09 2020-10-27 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
GB202015541D0 (en) * 2020-09-30 2020-11-11 Nchain Holdings Ltd Authentication system and method
US20230032099A1 (en) * 2021-07-15 2023-02-02 Nanyang Technological University Physical unclonable function based mutual authentication and key exchange
WO2023124245A1 (zh) * 2021-12-30 2023-07-06 珠海奔图电子有限公司 验证方法、耗材芯片、耗材和图像形成装置
WO2023147785A1 (zh) * 2022-02-07 2023-08-10 南京理工大学 基于国密算法的车联网通信安全认证方法、系统及设备
CN114915970A (zh) * 2022-04-02 2022-08-16 北京航空航天大学 基于puf的轻量级智能表批量认证方法及网关
CN116055177A (zh) * 2023-01-12 2023-05-02 中京天裕科技(北京)有限公司 一种适用于物联网设备的轻量级认证及密钥协商方法
CN117041956A (zh) * 2023-07-25 2023-11-10 中国电信股份有限公司技术创新中心 通信认证方法、装置、计算机设备和存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王振宇: "基于PUF实现物联网设备的轻量级密钥共享协议", 湖南大学学报(自然科学版) *

Also Published As

Publication number Publication date
CN117278330B (zh) 2024-03-12

Similar Documents

Publication Publication Date Title
CN107919956B (zh) 一种面向物联网云环境下端到端安全保障方法
CN111371730B (zh) 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
CN111083131B (zh) 一种用于电力物联网感知终端轻量级身份认证的方法
CN110932870B (zh) 一种量子通信服务站密钥协商系统和方法
CN101090316B (zh) 离线状态下存储卡与终端设备之间的身份认证方法
CN106789042B (zh) Ibc域内的用户访问pki域内的资源的认证密钥协商方法
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
CN110048849B (zh) 一种多层保护的会话密钥协商方法
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN110535626B (zh) 基于身份的量子通信服务站保密通信方法和系统
WO2014069985A1 (en) System and method for identity-based entity authentication for client-server communications
WO2022143030A1 (zh) 基于国密标识密码算法的私钥分发系统
CN112235108B (zh) 一种基于802.1x的eap-tls认证系统
He et al. An accountable, privacy-preserving, and efficient authentication framework for wireless access networks
CN114024757A (zh) 基于标识密码算法的电力物联网边缘终端接入方法及系统
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN105450623A (zh) 一种电动汽车的接入认证方法
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN111245611B (zh) 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统
CN108600240A (zh) 一种通信系统及其通信方法
KR100456624B1 (ko) 이동 통신망에서의 인증 및 키 합의 방법
CN103856463A (zh) 基于密钥交换协议的轻量目录访问协议实现方法和装置
CN113676330B (zh) 一种基于二级密钥的数字证书申请系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant