CN105245326A

CN105245326A - 一种基于组合密码的智能电网安全通信方法

Info

Publication number: CN105245326A
Application number: CN201510575551.5A
Authority: CN
Inventors: 李发根; 韩亚楠; 洪姣姣; 郑朝慧
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2015-09-10
Filing date: 2015-09-10
Publication date: 2016-01-13
Anticipated expiration: 2035-09-10
Also published as: CN105245326B

Abstract

本发明公开了一种基于组合密码的智能电网安全通信方法。本发明采用组合密码，用一个密钥对完成会话密钥协商、加密、签名等操作，并且此方法采用离线/在线方式，对于智能电表这种存储空间和计算能力受限的环境来说，能够降低所需存储空间和提升计算速度。在智能电表和电表数据管理中心(MDMS)之间设定一个中转站，由密钥生成中心(PKG)生成电表、中转站和MDMS对应的私钥。电表和中转站之间首先生成会话密钥，利用会话密钥实现双向认证并进行通信。然后采用链式传输方式，将中转站对其管辖范围内的电表数据收集后进行一些安全操作并传递给与其相邻的下一个中转站，以此类推，直到到达MDMS。

Description

一种基于组合密码的智能电网安全通信方法

技术领域

本发明属于保密通信技术领域，具体涉及智能电网中智能电表和MDMS之间的安全通信方法。

背景技术

智能电网作为新时代的产物，未来将完全取代目前的电网架构，为人类生活提供更可靠、更安全、更便利的服务。智能电网的一大特色就是实现了用户和电力公司的双向通信，因此能够更加客观的预测用户的能源需求，避免了生产过量的电力造成的浪费。与此同时，随着通信的增加和整合，智能电网中的网络漏洞也应运而生，例如，如果用户的用电信息被非法用户窃听，攻击者就可以根据这些信息猜测用户的生活习惯，从而实现智能窃取和智能跟踪。智能电网的目标之一就是接近实时的向消费者提供他们的能源消费信息，比如消费者每个小时都可以得到他们的能源消费情况，从而使他们能够为了削减电力账单而改变消费习惯，而现在的消费者一个月才可以看到这些消费信息。然而，这就使得攻击者可以监测访问这些私密信息，通过用户的用电信息推测用户的生活习惯，从而实现智能窃取和跟踪。此外，智能电网还需要具备完整性和认证性，来避免恶意用户篡改通信消息以及乱发消息从而对智能电网造成威胁。因此为了保护信息的机密性、完整性和认证性，密码学在智能电网中的应用成为研究的热点。

传统的密码体制要求不同的密码算法使用不同的密钥对，例如加密时使用一个密钥对，签名就要使用另一个密钥对。但是在实际的应用中，人们希望能够在不同的密码体制中使用相同的密钥对对来实现加密体制和签名体制以适用存储资源和计算能力有限的***环境，即组合公钥密码体制的出现。这种密码体制打破了传统的密钥分割原则，将一个密钥对用于不同的密码体制，例如加密体制和签名体制，并且保证这两种密码体制的独立安全性。因此组合公钥密码体制并不是简单的将加密体制和签名体制组合起来。使用组合公钥密码体制能够有效地减少密钥的存储，公钥证书的存储，以及公钥证书验证所需要的时间，所以这种密码体制在存储资源和计算资源有限的环境中具有广泛的应用。然而使用这种方法给密码体制带来的安全问题是不可忽视的。例如广泛使用的RSA体制，如果仅仅使用一个密钥对来实现加密和签名，则本来安全的加密和签名体制都不再安全。换句话说，独立安全的密码体制构一旦使用相同的或相关的密钥对则会损害其本来的安全性。

信息的完整性、机密性以及用户的双向认证是智能电网的关键问题。完整性和认证性可以通过数字签名来保障，机密性则主要通过加密机制来实现。智能电网大致可以划分为三层：控制中心、配电站、智能电器。配电站和智能电器以智能电表为媒介通过网络进行通信，然后配电站将智能电器的用电需求信息转发给控制中心，最后控制中心根据用户的用电需求进行智能配电。监测控制和数据采集***可以保护控制中心和配电站之间的安全通信，但配电站和智能电器之间的通信则容易受到安全攻击，例如消息伪造、篡改和窃听。因此，当前的法的主要目标都是针对配电站和智能电器之间的安全问题。例如使用防篡改设备的方式规避该安全问题，但该案只有配电站可以认证智能电器，并且不能实现密钥协商。以及基于计算性Diffie-Hellman问题的轻量级消息认证协议，实现了双向认证并通过Diffie-Hellman实现了密钥协商。为了进一步加强安全性，基于一个相互认证和密钥建立机制，使得数据收集中心和智能设备可以通过数据收集中心的公钥证书以及事先共享的长期密钥进行相互认证，但是如何分配共享的长期密钥的技术问题使得该方案不能广泛推广。另外，出现了使用公钥证书、零知识认证和访问控制技术来实现多因素认证体制，基于椭圆曲线的认证协议等，以及使用对称密码体制实现同时具备双向认证和机密性的协议，但此协议需要大量的密钥协商过程，通信之前需要进行多次认证。

发明内容

本发明的发明目的在于：针对智能电网中通信的安全问题，提出了一种基于组合密码的智能电网用电信息保护方法，以保证智能电表和MDMS之间能实现安全可靠的通信。

一种基于组合密码的智能电网安全通信方法，包括下列步骤：

步骤1：设置n(n大于1)个中转站，每个中转站分别对应一个以上智能电表；n个中转站中仅一个中转站与电表数据管理中心MDMS直接通信，且n个中转站之间为链式通信；

步骤2：每个实体(包括智能电表、中转站和MDMS)根据自己的身份ID生成对应公钥并发送至密钥生成中心PKG，PKG基于各实体所发送的公钥生成私钥并通过安全信道发送给对应的实体；

步骤3：逐跳链路传输进行智能电表与MDMS的安全通信：

步骤3-1：生成智能电表和对应中转站的会话密钥：智能电表基于对应中转站的公钥对第一预设密钥协商消息(通常可设置为智能电表和对应中转站的身份标识符、密钥协商参数w和时间戳TM1等信息)进行加密并把密文发送给对应中转站，中转站解密后基于所述智能电表的公钥对第二预设密钥协商消息进行加密并发送给该智能电表，所述第二预设密钥协商消息包括第一预设密钥协商消息，通常可设置为智能电表和对应中转站的身份标识符、密钥协商参数w、v和时间戳TM1、TM2等；基于第二预设密钥协商消息得到智能电表和对应中转站的会话密钥，例如基于实体(智能电表、中转站)的身份标识符的组合公钥密码和Diffie-Hellman协议进行安全的密钥协商，以生成对应的会话密钥；

步骤3-2：智能电表基于会话密钥对电表数据进行加密并发送至对应中转站，中转站基于会话密钥进行验证，若验证成功则执行步骤3-3；

步骤3-3：基于MDMS的公钥对所接收的电表数据进行加密，得到本地密文；

判断当前中转站是否为与MDMS的通信跳数最大的中转站(可通过中转站的标识符进行判断，例如对所有中转站顺序编号，编号最大的中转站与MDMS直接通信，编号最小的与MDMS的通信跳数最大，或者也可以基于当前中转站上是否存在其他中转站所发送的签名和/或中转站密文来进行判断)，若否，则当前中转站的中转站密文为本地密文；若是，则基于上一跳中转站(从与MDMS的通信跳数最大的中转站到MDMS的传输方向)的公钥对其发送的签名和中转站密文进行验证，若验证通过，则当前中转站的中转站密文为本地密文和所接收的中转站密文；基于当前中转站的私钥对其中转站密文进行签名，并连同中转站密文一同发送给下一跳中转站；

步骤3-4：重复步骤3-3，直到将对应签名和中转站密文发送至MDMS；MDMS基于与其直接通信的中转站的公钥对所接收的签名和中转站密文进行验证，若验证通过，则基于MDMS的私钥对每个中转站的本地密文进行解密恢复各智能电表的电表数据。

基于上述步骤，本发明采用组合公钥密码体制，能够有效的减少用户保存密钥的数量。相对于基于PKI的组合密码，用户不需要在验证公钥证书的合法性，同时减少保存和维护证书所带来的开销。相对于对称密码学，采用基于身份的密码学，可以避免大量的密钥协商。

进一步的，本发明还可设置MDMS与智能电表的安全通信，以实现智能电表和MDMS之间双向安全通信，即本发明还包括步骤4：逐跳链路传输进行MDMS与智能电表的安全通信：MDMS分别基于各中转站的公钥对控制消息进行加密，得到对应的控制密文，并基于MDMS的私钥对各控制密文分别签名后连同各控制密文发送至与其直接通信的中转站；当前中转站存储与本端对应的签名和控制密文，并将非对应本端的签名和控制密文发送至上一跳(从MDMS到智能电表的传输方向)中转站，直到n个中转站中与MDMS的通信跳数最大的中转站；各中转站基于MDMS的公钥验证与本端对应的签名，若验证通过，则基于本端的私钥对控制密文进行解密恢复控制消息，最后基于与智能电表的会话密钥将控制发送至各对应智能电表。

为了进一步适应智能电网中各实体的计算能力有限的工作环境，提高***处理速度，以保证智能电网的实时性，本发明的步骤3中，在处理加密和签名时，可由设置的服务器离线进行对应加密、签名的计算过程，并将计算结果发送至对应实体(如智能电表、中转站)以在线计算对应的加密、签名结果。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

(1)将组合公钥密码体制用于智能电网中，保证了智能电网通信的认证性和机密性，并且有效的减少了智能电网中存储密钥的数量。

(2)使用离线/在线的密码体制进行组合提高了通信过程的处理速度，保证了智能电网的实时性。

附图说明

图1是实施例的网络拓扑示意图；

图2是实施例的安全通信过程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

实施例1

参见图1，设置n个中转站，每个中转站用j进行标识，每个中转站分别对多个智能电表(图1中的Meter1，Metern、Meterm等)；n个中转站中仅一个中转站与电表数据管理中心MDMS直接通信(图中所示的中转站n)，且n个中转站之间为链式通信。

由PKG设定***参数，从而生成智能电网中各个实体的基于身份环境的密钥对、密钥协商过程：

(1)设定***参数，生成所需密钥对。

给定一个循环加法群G₁，阶为素数q，G₂为具有相同阶的循环乘法群。P是群G₁中的一个生成元，e：G₁×G₁→G₂是一个双线性映射。定义四个安全哈希hash函数 H₃:{0,1}^*→{0,1}^M，其中M代表明文长度，表示模q的乘法循环群(群中元素不包括0)。PKG随机选择作为主密钥，计算P_pub＝sP，g＝e(P,P)，PKG公开***参数(G₁,G₂,P,P_pub,g,e,H₁,H₂,H₃,H₄)，并保存主密钥s。

智能电网中的各个实体(智能电表、中转站和MDMS)将自己的身份信息ID∈{0,1}^*发送给PKG，PKG根据上述生成的***参数及主密钥s为智能电网中的每个实体生成公私钥对(Q_ID,S_ID)，其中私钥S_ID＝(Q_ID+s)^-1P，公钥Q_ID＝H₁(ID)，最后PKG通过安全信道将私钥发送给对应的实体。

(2)密钥协商过程

参考图2，在智能电表和MDMS进行通信之前，智能电表和中转站之间先要进行密钥协商生成共享的会话密钥。智能电表i随机选择密钥协商参数并计算wP，然后使用中转站j的公钥Q_j对密钥协商消息(i||j||wP||TM₁)进行加密并把密文发送给中转战j。其中i和j分别代表智能电表i和中转站j的身份信息，TM₁表示时间戳。中转战j使用自己的私钥S_i(即S_i＝S_ID＝(Q_ID+s)^-1P)进行解密恢复出wP，然后随机选择密钥协商参数并计算vP，然后使用智能电表i的公钥Q_i(即Q_i＝Q_ID＝H₁(ID))对密钥协商消息(i||j||w||vP||TM₁||TM₂)进行加密并把密文发送给智能电表i，TM₂表示时间戳。智能电表i使用自己的私钥S_i解密恢复出消息，由wP可以确保与其进行密钥协商的是中转站j。最后智能电表i可以根据w和vP的值生成会话密钥K_i,j＝w(vP)，同时中转战j可以根据v和wP的值生成会话密钥K_i,j＝v(wP)。为了使中转站j确保与其通信的是智能电表i，智能电表i可以使用共享会话秘钥K_i,j加密并发送给中转站j。这样就可以保证双向认证。

(3)智能电表读数传输过程

智能电表i用其电表数据m(用户用电信息)以及上述过程中生成的会话密钥K_i,j生成消息认证码E代表对称加密算法，下标用于标识智能电表i和中转站j及所对应的会话密钥K_i,j，然后将(m||c)发送给中转战j，中转战j使用共享的会话密钥计算如果c'＝c，则验证成功，否则丢弃该智能电表所发送的电表数据。中转战j对验证成功的所有电表数据先加密后签名，具体步骤为：首先由安全服务器计算离线密文，随机选择计算U_j＝uP，R_j＝g^x，β_j＝H₃(R)，T_1j＝a^-1xP，T_2j＝x(b+s)P，然后将离线密文φ＝(u,x,a,b,U_j,R_j,T_1j,T_2j,β_j)发送给中转站j，中转站j利用MDMS的公钥Q_MD计算在线密文t_1j＝a(Q_MD-b)modq，t_2j＝H₂(m,R_j,U_j,T_1j,T_2j,t_1j)x+umodq，c_j＝β_j⊕m。中转站j的本地密文为σ_j＝(U_j,T_1j,T_2j,t_1j,t_2j,c_j)。若中转站标识符j等于1，则直接将本地密文作为其中转站密文；否则，中转站j使用中转站j-1的公钥对其发来的消息(h_j-1,θ_j-1,S'_j-1)和(σ₁||σ₂||…||σ_j-1)进行验证，若验证成功则执行签名处理，否则丢弃。具体步骤为：中转站j计算S_j-1＝θS'_j-1，如果h_j-1＝H₄(σ₁||σ₂||…||σ_j-1,r_j-1,S'_j-1)，则接受签名(h_j-1,θ_j-1,S'_j-1)并对前j个中转战的本地密文进行统一签名，即将第1～j个中转站的本地密文作为中转站j的中转站密文，再对当前中转站的中转站密文进行签名处理：首先由安全服务器计算离线签名，随机选择参数l,计算r_j＝g^l，S'_j＝αSK_j，然后将离线签名δ＝(l,α^-1,r_j,S'_j)发送给中转站j，中转站j计算在线签名h_j＝H₄(σ₁||σ₂||…||σ_j,r_j,S'_j)，θ_j＝(x+h)α^-1modq，然后将签名(h_j,θ_j,S'_j)和密文(σ₁||σ₂||…||σ_j)发送给中转站j+1。之后后续的中转站执行类似的操作，直到链路中的最后一个中转站n将数据转交给MDMS。

MDMS对收到的数据进行验证和解密，具体步骤为：MDMS首先利用第n个中转站的公钥Q_n对签名(h_n,θ_n,S'_n)进行验证，计算S_n＝θ_nS'_n，如果h_n＝H₄(σ₁||σ₂||…||σ_n,r_n,S'_n)，则接受密文(σ₁||σ₂||…||σ_n)，并用自己的私钥SK_MD对各个密文分别进行解密。以σ_j＝(U_j,T_1j,T_2j,t_1j,t_2j,c_j)为例，MDMS计算R＝e(T_2j+t_1jT_1j,SK_MD)，m_j＝c_j⊕H₃(R)，H＝H₂(m_j,R,U_j,T_1j,T_2j,t_1j)，如果满足R^H＝e(t₂P-U,P)，则接受消息m_j，其中m_j表示与中转站j所对应的各智能电表发送的电表数据。

(4)控制信息传输过程

MDMS将控制消息传输给智能电表是上述过程的一个逆过程。MDMS首先分别使用中转站的公钥对控制消息进行加密并用自己的私钥对密文分别签名然后传递给中转站n，中转战n首先将前n-1个中转站的的密文和签名以逐跳链路传输的方式传给上一个中转站n-1，中转站n-1类似地将前n-2个中转站的的密文和签名再传给上一个中转站，以此类推，直到链路中的第一个中转站。在收到密文和签名后，各个中转站首先利用MDMS的公钥对签名进行验证并利用自己的私钥进行解密，最后利用和智能电表共享的会话密钥将控制消息转发给各个电表。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。

Claims

1.一种基于组合密码的智能电网安全通信方法，其特征在于，包括下列步骤：

步骤1：设置n个中转站，每个中转站分别对应一个以上智能电表；n个中转站中仅一个中转站与电表数据管理中心MDMS直接通信，且n个中转站之间为链式通信，其中n大于1；

步骤2：每个实体根据自己的身份ID生成对应公钥并发送至密钥生成中心PKG，PKG基于各实体所发送的公钥生成私钥并通过安全信道发送给对应的实体，所述实体包括智能电表、中转站和MDMS；

步骤3：逐跳链路传输进行智能电表与MDMS的安全通信：

步骤3-1：生成智能电表和对应中转站的会话密钥：智能电表基于对应中转站的公钥对第一预设密钥协商消息进行加密并把密文发送给对应中转站，中转站解密后基于所述智能电表的公钥对第二预设密钥协商消息进行加密并发送给该智能电表，所述第二预设密钥协商消息包括第一预设密钥协商消息；基于第二预设密钥协商消息得到智能电表和对应中转站的会话密钥；

判断当前中转站是否为与MDMS的通信跳数最大的中转站，若否，则当前中转站的中转站密文为本地密文；若是，则基于上一跳中转站的公钥对其发送的签名和中转站密文进行验证，若验证通过，则当前中转站的中转站密文为本地密文和所接收的中转站密文；

基于当前中转站的私钥对其中转站密文进行签名，并连同中转站密文一同发送给下一跳中转站；

2.如权利要求1所述的方法，其特征在于，还包括步骤4：逐跳链路传输进行MDMS与智能电表的安全通信：

MDMS分别基于各中转站的公钥对控制消息进行加密，得到对应的控制密文，并基于MDMS的私钥对各控制密文分别签名后连同各控制密文发送至与其直接通信的中转站；

当前中转站存储与本端对应的签名和控制密文，并将非对应本端的签名和控制密文发送至上一跳中转站，直到n个中转站中与MDMS的通信跳数最大的中转站；

各中转站基于MDMS的公钥验证与本端对应的签名，若验证通过，则基于本端的私钥对控制密文进行解密恢复控制消息，最后基于与智能电表的会话密钥将控制发送至各对应智能电表。

3.如权利要求1或2所述的方法，其特征在于，步骤3-1中，所述第一预设密钥协商消息包括智能电表和对应中转站的身份标识符、密钥协商参数w和时间戳TM₁，所述第二预设密钥协商消息包括智能电表和对应中转站的身份标识符、密钥协商参数w、v和时间戳TM₁、TM₂。

4.如权利要求1或2所述的方法，其特征在于，步骤3中，在处理加密和签名时，由设置的服务器离线进行对应加密、签名的计算过程，并将计算结果发送至对应实体以在线计算对应的加密、签名结果。

5.如权利要求4所述的方法，其特征在于，各实体涉及的离线加密、在线加密、解密、离线签名、在线签名和认证的具体过程为：

离线加密:服务器随机选择参数并计算U＝uP，R＝g^x，β＝H₃(R)，T₁＝a^-1xP，T₂＝x(b+s)P，并将离线密文φ＝(u,x,a,b,U,R,T₁,T₂,β)发送给对应密文的发送端；

在线加密:给定(m,ID,φ),发送端计算t₁＝a(H₁(ID)-b)modq，t₂＝H₂(m,R,U,T₁,T₂,t₁)x+umodq，然后将生成的密文σ＝(U,T₁,T₂,t₁,t₂,c)发送给解密端；

解密：给定(σ,ID,S_ID)，接收对应密文的接收端计算R＝e(T₂+t₁T₁,S_ID)，H＝H₂(m,R,U,T₁,T₂,t₁)，若R^H＝e(t₂P-U,P)，则输出m，否则拒绝；

离线签名：服务器随机选择参数l,并计算r＝g^l，S’＝αS_ID，然后将离线密文δ＝(l,α^-1,r,S’)发送给对应签名的发送端；

在线签名：给定(ID,δ)，发送端计算h＝H₄(m,r,S’)，θ＝(l+h)α^-1modq，生成签名σ＝(h,θ,S’)并发送给对应接收端；

认证：给定(m,ID,σ)，接收端计算S＝θS’，r＝e(S,H₁(ID)P+P_pub)g^-h，如果h＝H₄(m,r,S’)接收端接受签名，否则拒绝；

其中，表示模q的乘法循环群，P表示q阶加法循环群G₁的生成元，g＝e(P,P)，其中双线性映射e为：G₁×G₁→G₂，G₂表示q阶乘法循环群，哈希函数哈希函数哈希函数H₃:{0,1}^*→{0,1}^M，哈希函数其中M为预设明文长度，s表示***主密钥，m表示智能电表的电表数据，ID表示对应实体的身份标识符，S_ID表示对应实体的私钥。

6.如权利要求5所述的方法，其特征在于，步骤3-3中，得到本地密文的具体过程为：

由安全服务器计算离线密文φ_j＝(u,x,a,b,U_j,R_j,T_1j,T_2j,β_j)并发送给中转站j，其中j表示当前中转站标识符，U_j＝uP，R_j＝g^x，β_j＝H₃(R)，T_1j＝a^-1xP，T_2j＝x(b+s)P；

中转站j基于MDMS的公钥Q_MD计算在线密文t_1j＝a(Q_MD-b)modq，t_2j＝H₂(m,R_j,U_j,T_1j,T_2j,t_1j)x+umodq，从而得到本地密文：σ_j＝(U_j,T_1j,T_2j,t_1j,t_2j,c_j)；

中转站j使用中转站j-1的公钥对其发来的签名(h_j-1,θ_j-1,S'_j-1)和中转站密文(σ₁||σ₂||…||σ_j-1)进行验证：计算S_j-1＝θS'_j-1，若h_j-1＝H₄(σ₁||σ₂||…||σ_j-1,r_j-1,S'_j-1)，则验证通过；

中转站j的中转站密文为(σ₁||σ₂||…||σ_j)，并对其进行签名处理：由安全服务器计算离线签名，随机选择参数l,计算r_j＝g^l，S'_j＝αSK_j，然后将离线签名δ＝(l,α^-1,r_j,S'_j)发送给中转站j，中转站j计算在线签名h_j＝H₄(σ₁||σ₂||…||σ_j,r_j,S'_j)，θ_j＝(l+h)α^-1modq，然后将签名(h_j,θ_j,S'_j)和中转站密文(σ₁||σ₂||…||σ_j)发送给中转站j+1；

步骤3-4中，MDMS对收到的签名和中转站密文进行验证和解密，具体步骤为：MDMS基于与其直接通信的中转站n的公钥Q_n对签名(h_n,θ_n,S'_n)进行验证，计算S_n＝θ_nS'_n，若h_n＝H₄(σ₁||σ₂||…||σ_n,r_n,S'_n)，则基于MDMS的私钥SK_MD对各个本地密文分别进行解密。

7.如权利要求6所述的方法，其特征在于，所述步骤4中，MDMS将控制消息传输给智能电表的具体步骤为权利要求6中关于步骤3-3和3-4的逆过程。