CN107819778B - 一种应用tls协议的电能表证书初始化方法 - Google Patents

一种应用tls协议的电能表证书初始化方法 Download PDF

Info

Publication number
CN107819778B
CN107819778B CN201711145291.3A CN201711145291A CN107819778B CN 107819778 B CN107819778 B CN 107819778B CN 201711145291 A CN201711145291 A CN 201711145291A CN 107819778 B CN107819778 B CN 107819778B
Authority
CN
China
Prior art keywords
mac
electric energy
meter
energy meter
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711145291.3A
Other languages
English (en)
Other versions
CN107819778A (zh
Inventor
季海涛
尹建丰
黄柳胜
竹贝芬
滕锋雷
柏龙青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JIANGSU HUAYUAN APPARATUS AND INSTR Co.,Ltd.
Original Assignee
Jiangsu Linyang Solarfun Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Linyang Solarfun Co Ltd filed Critical Jiangsu Linyang Solarfun Co Ltd
Priority to CN201711145291.3A priority Critical patent/CN107819778B/zh
Publication of CN107819778A publication Critical patent/CN107819778A/zh
Application granted granted Critical
Publication of CN107819778B publication Critical patent/CN107819778B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种应用TLS协议的电能表证书初始化方法,它包括以下步骤:抄表客户端和电能表设立共同的主密钥;电能表上电后,HDLC协议层建立协议类型为SYM的连接;电能表与抄表客户端进行加密的数据帧信息交互,预存双方的证书。本发明自定义的证书初始化流程,保证了证书传递过程中的安全性及有效性,为TLS协议在电能表中的实施提供坚实的安全保障。

Description

一种应用TLS协议的电能表证书初始化方法
技术领域
本发明涉及电力设备技术领域,尤其涉及一种应用TLS协议的电能表证书初始化方法。
背景技术
随着智能电网的日益发展,世界各国对于智能化用户终端的需求日益增大,据统计,在未来5年,随着智能电网在世界各国的建设,智能电表在全球安装的数量将高达2亿余只。同样,随着我国智能电网建设的进展,作为用户端的智能电表的需求也会大幅增长,保守预计市场将会有1.7亿只左右的需求。然而,智能电表会不经意地泄露用户使用电量的详细信息给电力公司。例如,智能电表会记录用户在任意时刻的电量使用情况。而由智能电表收集到得大量信息可能会给消费者带来严重的后果。因此,用户对智能电表的中隐私问题越来越关心。所以,在智能电网中,研发具有隐私保护的智能电表是非常重要的。
作为当前最好的网络传输加密协议,SSL/TLS协议应用于智能电表上,能够大幅度提高电能表远程通信中的数据安全问题,但现有技术中还没有应用TLS协议的电能表的证书初始化方法。
发明内容
本发明的目的是提供一种应用TLS协议的电能表证书初始化方法,使移植到智能电表上的SSL/TLS协议能够遵循智能电表通信规则,进行客户端和服务端双向认证。
本发明的技术方案是:
一种应用TLS协议的电能表证书初始化方法,其特征在于包括以下步骤:
步骤一:抄表客户端和电能表设立共同的主密钥;
步骤二:电能表上电后,HDLC协议层建立协议类型为SYM的连接;
步骤三:电能表与抄表客户端进行加密的数据帧信息交互,预存双方的证书。
上述的步骤一具体为:
步骤101:在厂内设置抄表客户端和电能表的主密钥MK为初始秘钥initial MK;
步骤102:在厂外更新主密钥MK,将初始秘钥initial MK更改为厂外主秘钥currentMK即MK’,计算公式为:
MK’=MAC(MK,Z1)
其中,MK为主密钥,Z1为用户自定义的参数;
步骤103:清空电能表内的数据帧信息。
上述的步骤三中数据帧信息包括帧序号,帧长度,帧计数值,加密信息和MAC值;其中,所述的MAC值通过AES_CMAC算法由帧序号,帧长度,帧计数值和加密信息算出,所述的加密信息包括安全套件清单、证书和最大帧长。
上述步骤三包括以下步骤:
步骤301:抄表客户端向电能表请求帧计数值,电能表回复存储在表端的帧计数值;
步骤302:抄表客户端向电能表请求表端支持的安全套件,电能表回复表端支持的安全套件清单;
步骤303:抄表客户端向电能表发送证书和私钥,电能表验证证书的有效性和证书内公钥和私钥的配对性,然后存储证书和私钥;
步骤304:抄表客户端向电能表发送抄表客户端的证书,电能表验证证书有效性并存储;
步骤305:抄表客户端向电能表请求表端支持的最大帧长,电能表回复电能表端支持的最大帧长。
上述加密通信过程中加密和解密具体包括以下步骤:
步骤3001:初始化加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC
步骤3002:数据解密;电能表端判断加密后的数据帧信息中帧计数值是否大于电能表端的帧计数值,若大于,通过AES_CMAC算法根据加密后的数据帧信息计算MAC’值,计算公式为;
MAC’=MAC(L_MAC,message);
其中,message为不包括MAC值的数据帧信息;
验证MAC’值和MAC值是否相等,若相等,根据解密秘钥L_enc 对抄表客户端发送的数据帧信息中的加密信息进行解密,计算公式为:
plaintext=MAC(L_enc,encodedmessage);
其中,encodedmessage为加密信息,plaintext为加密信息解密后的明文信息;
步骤3003:数据处理与准备,电能表根据相应的帧序号准备和处理对应的数据;
步骤3004:数据加密;电能表将帧计数值FC加1得到回复的帧计数值FC’,然后根据加密秘钥K_enc加密数据帧信息,计算公式为:
encodedmessage=MAC(K_enc,plaintext);
然后根据加密MAC秘钥计算电能表需向抄表客户端发送的 MAC值,附于数据帧信息尾,计算公式为:
MAC=MAC(K_MAC,message)。
上述步骤3001中加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC通过AES_CMAC_128由主密钥MK’计算得到,计算公式为:
L_MAC=MAC(MK’,0x11||FC||Meter_ID);
L_enc=MAC(MK’,0x10||FC||Meter_ID);
K_enc=MAC(MK’,0x00||FC||Meter_ID);
K_MAC=MAC(MK’,0x01||FC||Meter_ID)。
上述证书初始化过程中,若MAC值验证失败即MAC’值和MAC 值不相等,或解密后证书验证及证书中公私钥对验证失败,则证书初始化失败,断开当前HDLC协议连接。
本发明的有益效果:
本发明自定义的证书初始化流程,保证了证书传递过程中的安全性及有效性,为TLS协议在电能表中的实施提供坚实的安全保障。
附图说明
图1是本发明的证书初始化流程图。
图2是本发明的整体处理流程图。
图3是本发明的解密流程图。
图4是本发明的加密流程图。
具体实施方式
下面将参照附图更详细地描述本发明的优选实施方式。虽然附图中显示了本发明的优选实施方式,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。
作为移植到智能电表上SSL/TLS协议,需要遵循智能电表通信规则,通信连接的建立基于双方的身份认证,因此,TLS握手流程需要进行客户端和服务端双向认证,这就需要在TLS握手前在表内预先存储双方的证书,即进行证书初始化。
该操作由由自定义的SYM协议实现,主要分五步进行:
(1)SYM1:GW向表请求表帧计数值;
(2)SYM2:GW向表请求所支持的安全套件(List of the cipher suites);
(3)SYM3:GW向表发送表端证书和私钥,表端存储证书和私钥;
(4)SYM4:GW向表发送GW证书,表端存储GW证书;
(5)SYM5:GW向表请求支持的最大数据长度;
数据帧信息采用加密加认证的加密方式,数据帧格式为:
帧序号帧长度帧计数值加密信息(或空)MAC值
采用AES_CBC_128算法进行数据加密,AES_CMAC算法计算 MAC值。各秘钥通过AES_CMAC_128算法由主密钥MK扩展而来:
K_enc=MAC(MK,0x00|(|FC|)|Meter_ID)
K_MAC=MAC(MK,0x01|(|FC|)|Meter_ID)
L_enc=MAC(MK,0x10|(|FC’|)|Meter_ID)
L_MAC=MAC(MK,0x11|(|FC’|)|Meter_ID)
其中,K_enc,K_MAC,L_enc,L_MAC分别为加密秘钥,加密MAC秘钥,解密秘钥,解密MAC秘钥。C表示当前帧计数值, Meter_ID标识所述电能表的ID,MK为主密钥,初始MK在厂内设置为initial MK,MK通过MK’=MAC(MK,Z1)计算新的主秘钥 current MK,其中MK’为新的主密钥,MK为当前使用的主密钥, Z1通过厂外命令下发,当获得新的主密钥时,清零帧计数值FC。
电能表通信中,若HDLC建立了协议类型为SYM的连接时,开始进行SYM通信。当收到SYM数据帧时,电能表中解密与加密处理方法(附图3)如下,其中,出厂前,表内主密钥MK初始值已设置:
(1)数据解密。表端先判断当前的FC是否大于电能表端的帧计数值,如果FC判断无误,根据接收到帧信息中FC值与表中存储的MK,Meter_ID计算解密用的秘钥。
L_enc=MAC(MK,0x10|(|FC|)|Meter_ID)
L_MAC=MAC(MK,0x11|(|FC|)|Meter_ID)
根据解密MAC秘钥LMAC计算MAC值,验证接收帧数据中 MAC值是否正确,在MAC正确的基础上,如果有加密数据,则采用L_enc解密。(2)数据处理与准备。根据相应的数据帧作相应的数据处理与回复。
(3)数据加密。将FC加1得FC’,作为回复的帧计数值,采用FC’与MK,Meter_ID计算加密用的秘钥。
K_enc=MAC(MK,0x00|(|FC’|)|Meter_ID)
K_MAC=MAC(MK,0x01|(|FC’|)|Meter_ID)
若有回复的数据内容,则加密该数据,并计算所有帧数据的MAC,附于帧尾。
若证书初始化过程中,MAC验证失败或者证书验证无效,则证书初始化失败,断开当前HDLC连接。证书初始化完成后,存储当前帧计数值。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。

Claims (3)

1.一种应用TLS协议的电能表证书初始化方法,其特征在于所述方法的实现步骤为:
步骤一:抄表客户端和电能表设立共同的主密钥;
步骤二:电能表上电后,HDLC协议层建立协议类型为SYM的连接;
步骤三:电能表与抄表客户端进行加密的数据帧信息交互,预存双方的证书;
所述的步骤一具体为:
步骤101:在厂内设置抄表客户端和电能表的主密钥MK为初始秘钥initial MK;
步骤102:在厂外更新主密钥MK,将初始秘钥initial MK更改为厂外主秘钥currentMK即MK’,计算公式为:
MK’=MAC(MK,Z1)
其中,MK为主密钥,Z1为用户自定义的参数;
步骤103:清空电能表内的数据帧信息;
所述的步骤三中数据帧信息包括帧序号,帧长度,帧计数值,加密信息和MAC值;其中,所述的MAC值通过AES_CMAC算法由帧序号,帧长度,帧计数值和加密信息算出,所述的加密信息包括安全套件清单、证书和最大帧长;
步骤三包括以下步骤:
步骤301:抄表客户端向电能表请求帧计数值,电能表回复存储在表端的帧计数值;
步骤302:抄表客户端向电能表请求表端支持的安全套件,电能表回复表端支持的安全套件清单;
步骤303:抄表客户端向电能表发送证书和私钥,电能表验证证书的有效性和证书内公钥和私钥的配对性,然后存储证书和私钥;
步骤304:抄表客户端向电能表发送抄表客户端的证书,电能表验证证书有效性并存储;
步骤305:抄表客户端向电能表请求表端支持的最大帧长,电能表回复电能表端支持的最大帧长;
加密数据帧信息交互过程中加密和解密具体包括以下步骤:
步骤3001:初始化加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC
步骤3002:数据解密;电能表端判断加密后的数据帧信息中帧计数值是否大于电能表端的帧计数值,若大于,通过AES_CMAC算法根据加密后的数据帧信息计算MAC’值,计算公式为;
MAC’=MAC(L_MAC,message);
其中,message为不包括MAC值的数据帧信息;
验证MAC’值和MAC值是否相等,若相等,根据解密秘钥L_enc对抄表客户端发送的数据帧信息中的加密信息进行解密,计算公式为:
plaintext=MAC(L_enc,encodedmessage);
其中,encodedmessage为加密信息,plaintext为加密信息解密后的明文信息;
步骤3003:数据处理与准备,电能表根据相应的帧序号准备和处理对应的数据;
步骤3004:数据加密;电能表将帧计数值FC加1得到回复的帧计数值FC’,然后根据加密秘钥K_enc加密数据帧信息,计算公式为:
encodedmessage=MAC(K_enc,plaintext);
然后根据加密MAC秘钥计算电能表需向抄表客户端发送的MAC值,附于数据帧信息尾,计算公式为:
MAC=MAC(K_MAC,message)。
2.根据权利要求1所述的一种应用TLS协议的电能表证书初始化方法,其特征在于步骤3001中所述的加密秘钥K_enc、加密MAC秘钥K_MAC、解密秘钥L_enc和解密MAC秘钥L_MAC通过AES_CMAC_128由主密钥MK’计算得到,计算公式为:
L_MAC=MAC(MK’,0x11||FC||Meter_ID);
L_enc=MAC(MK’,0x10||FC||Meter_ID);
K_enc=MAC(MK’,0x00||FC||Meter_ID);
K_MAC=MAC(MK’,0x01||FC||Meter_ID)。
3.根据权利要求1所述的一种应用TLS协议的电能表证书初始化方法,其特征在于证书初始化过程中,若MAC值验证失败即MAC’值和MAC值不相等,或解密后证书验证及证书中公私钥对验证失败,则证书初始化失败,断开当前HDLC协议连接。
CN201711145291.3A 2017-11-17 2017-11-17 一种应用tls协议的电能表证书初始化方法 Active CN107819778B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711145291.3A CN107819778B (zh) 2017-11-17 2017-11-17 一种应用tls协议的电能表证书初始化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711145291.3A CN107819778B (zh) 2017-11-17 2017-11-17 一种应用tls协议的电能表证书初始化方法

Publications (2)

Publication Number Publication Date
CN107819778A CN107819778A (zh) 2018-03-20
CN107819778B true CN107819778B (zh) 2020-02-28

Family

ID=61608693

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711145291.3A Active CN107819778B (zh) 2017-11-17 2017-11-17 一种应用tls协议的电能表证书初始化方法

Country Status (1)

Country Link
CN (1) CN107819778B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111555875A (zh) * 2020-05-14 2020-08-18 杭州海兴电力科技股份有限公司 一种集中抄表***的密钥同步方法、装置、设备及介质
CN112019342B (zh) * 2020-06-30 2023-05-23 宁波三星医疗电气股份有限公司 一种电能表与主站之间的数据传输方法及其电能表
FR3133965A1 (fr) * 2022-05-24 2023-09-29 Sagemcom Energy & Telecom Sas Procede de calcul de donnees qualimetriques, dispositif de qualimetrie, compteur et systeme mettant en œuvre ledit procede

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集***的身份认证和密钥协商方法
CN105577386A (zh) * 2015-12-23 2016-05-11 中国电力科学研究院 一种双向互动智能电能表的数据加密方法
CN105610773A (zh) * 2015-09-17 2016-05-25 浙江瑞银电子有限公司 一种电能表远程抄表的通讯加密方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7085923B2 (en) * 2001-06-05 2006-08-01 International Business Machines Corporation High volume secure internet server
CN106254355B (zh) * 2016-08-10 2019-04-05 武汉信安珞珈科技有限公司 一种网络协议数据包的安全处理方法和***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095696A (zh) * 2013-01-09 2013-05-08 中国电力科学研究院 一种适用于用电信息采集***的身份认证和密钥协商方法
CN105610773A (zh) * 2015-09-17 2016-05-25 浙江瑞银电子有限公司 一种电能表远程抄表的通讯加密方法
CN105577386A (zh) * 2015-12-23 2016-05-11 中国电力科学研究院 一种双向互动智能电能表的数据加密方法

Also Published As

Publication number Publication date
CN107819778A (zh) 2018-03-20

Similar Documents

Publication Publication Date Title
CN111835752B (zh) 基于设备身份标识的轻量级认证方法及网关
US11233639B2 (en) Method and device for quantum key fusion-based virtual power plant security communication and medium
CN111416807B (zh) 数据获取方法、装置及存储介质
JP6226197B2 (ja) 証明書発行システム、クライアント端末、サーバ装置、証明書取得方法、及び証明書発行方法
CN105610773B (zh) 一种电能表远程抄表的通讯加密方法
CN109495274A (zh) 一种去中心化智能锁电子钥匙分发方法及***
CN103763356A (zh) 一种安全套接层连接的建立方法、装置及***
CN110048849B (zh) 一种多层保护的会话密钥协商方法
CN111314056A (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
CN111756529B (zh) 一种量子会话密钥分发方法及***
CN107819778B (zh) 一种应用tls协议的电能表证书初始化方法
JP2017529807A (ja) 事前共有鍵に基づくエンティティ認証方法及び装置
CN111526007B (zh) 一种随机数生成方法及***
CN110299995A (zh) 一种基于rlwe支持国产密码算法的双向认证密钥协商方法与***
CN111769937A (zh) 面向智能电网高级测量体系的两方认证密钥协商协议
CN110932850A (zh) 通信加密方法及***
CN109547413B (zh) 具有数据源认证的可转换的数据云存储的访问控制方法
CN112165386B (zh) 一种基于ecdsa的数据加密方法及***
CN105612728A (zh) 隐含共享密钥的安全数据通道鉴权
KR101481403B1 (ko) 차량용 데이터의 인증 및 획득 방법
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证***及方法
CN112383917A (zh) 一种基于商密算法的北斗安全通信方法和***
KR101645705B1 (ko) 장비들간의 인증방법
CN105406961A (zh) 密钥协商方法、终端及服务器
CN111489462B (zh) 一种个人用蓝牙钥匙***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210915

Address after: No.188, Tianyuan East Road, Jiangning District, Nanjing City, Jiangsu Province, 210000

Patentee after: JIANGSU HUAYUAN APPARATUS AND INSTR Co.,Ltd.

Address before: 226200 NO.666, Linyang Road, Qidong Economic Development Zone, Nantong City, Jiangsu Province

Patentee before: JIANGSU LINYANG ENERGY Co.,Ltd.