CN112564918B - 智能电网中的轻量级主动式跨层认证方法 - Google Patents
智能电网中的轻量级主动式跨层认证方法 Download PDFInfo
- Publication number
- CN112564918B CN112564918B CN202011398339.3A CN202011398339A CN112564918B CN 112564918 B CN112564918 B CN 112564918B CN 202011398339 A CN202011398339 A CN 202011398339A CN 112564918 B CN112564918 B CN 112564918B
- Authority
- CN
- China
- Prior art keywords
- signal
- intelligent gateway
- authentication
- gateway
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开涉及一种智能电网中的轻量级主动式跨层认证方法,其特征在于,该轻量级主动式跨层认证方法是多级网络中的任意相邻级次网络对应的智能网关之间进行相互认证的认证方法,多级网络中的任意相邻级次网络包括上级网络和下级网络,下级网络对应的智能网关为第一智能网关,上级网络对应的智能网关为第二智能网关,认证方法包括上层认证和物理层认证。在这种情况下,能够同时实现上层的身份认证和物理层的消息认证,能够减小计算复杂度和通信开销且使第一智能网关和第二智能网关之间进行相互认证。
Description
技术领域
本公开具体涉及一种智能电网中的轻量级主动式跨层认证方法。
背景技术
智能电网***是一种集成网络,通过双向通信使终端用户参与进电力传输与分配中,具有非常好的便捷性和灵活性,可以极大的提高电力传输的效率。在智能电网***中,***安全是一个无法回避的问题,节点的安全和传输信息的安全都需要得到保障。
在智能电网***中需要对每个实体的身份进行认证,以此来保证智能电网***的安全性,因为不是所有实体都是可信的。如果智能电网***没有严格的访问认证,非法端可能会恶意收集终端用户数据或恶意损耗电力资源。验证对应的发送端的真实性是一项基本的要求。传统方案的认证技术是基于加密机制并在上层进行身份认证。
然而,传统方案的认证技术存在一些问题,其具有较高的通信开销和较高的计算复杂度。
发明内容
本公开是有鉴于上述的状况而提出的,其目的在于提供一种在智能电网***中减小计算复杂度和通信开销的智能电网中的轻量级主动式跨层认证方法。
为此,本公开提供了一种智能电网中的轻量级主动式跨层认证方法,其特征在于,该轻量级主动式跨层认证方法是多级网络中的任意相邻级次网络对应的智能网关之间进行相互认证的认证方法,多级网络中的任意相邻级次网络包括上级网络和下级网络,所述下级网络对应的智能网关为第一智能网关,所述上级网络对应的智能网关为第二智能网关,所述认证方法包括上层认证和物理层认证,所述上层认证包括:所述第一智能网关基于所述第二智能网关的公钥和第一认证信息向所述第二智能网关发送第一加密信号;所述第二智能网关接收所述第一加密信号并基于所述第二智能网关的私钥获得所述第一认证信息,并基于所述第一智能网关的公钥、所述第一认证信息和第二认证信息获得第二加密信号并发送给所述第一智能网关,且所述第二智能网关基于所述第一认证信息和所述第二认证信息获得共享密钥;所述第一智能网关接收所述第二加密信号,若所述第一智能网关基于所述第二加密信号和所述第一智能网关的私钥获得所述第一认证信息,则所述第一智能网关对所述第二智能网关认证通过,且所述第一智能网关基于所述第二加密信号获得所述第二认证信息;并且所述物理层认证包括:所述第一智能网关基于所述第一认证信息和所述第二认证信息获得所述共享密钥,基于所述共享密钥和第一目标信号获得第一加密目标信号,进而基于所述共享密钥、所述第一加密目标信号和哈希函数获得第一认证标签,所述第一智能网关基于所述第一认证标签和所述第一加密目标信号获得第一叠加信号,进而获得第一目标信息信号并向所述第二智能网关发送,所述第二智能网关接收所述第一目标信息信号,基于所述第一目标信息信号获得第一残差信号,并基于所述第一残差信号进行第一阈值测试,若所述第一阈值测试通过,则所述第二智能网关对所述第一智能网关认证通过;并且所述第二智能网关基于第二目标信号和所述共享密钥获得第二加密目标信号,基于所述共享密钥、所述第二加密目标信号和所述哈希函数获得第二认证标签,所述第二智能网关基于所述第二认证标签和所述第二加密目标信号获得第二叠加信号,进而获得第二目标信息信号并向所述第一智能网关发送,所述第一智能网关接收所述第二目标信息信号,基于所述第二目标信息信号获得第二残差信号,并基于所述第二残差信号进行第二阈值测试,若所述第二阈值测试通过,则所述第一智能网关对所述第二智能网关认证通过,其中,所述上层认证是基于所述第一智能网关和所述第二智能网关的上层网络实现的,所述物理层认证是基于所述第一智能网关和所述第二智能网关的物理层实现的。
在本公开中,多级网络中的相邻级次网络对应的智能网关之间可以相互认证,相邻级次网络对应的智能网关之间分别进行上层认证和物理层认证。在这种情况下,能够同时实现上层的身份认证和物理层的消息认证,能够减小计算复杂度和通信开销且使第一智能网关和第二智能网关之间进行相互认证。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,所述第一智能网关具有对应的公钥和私钥,所述第二智能网关具有对应的公钥和私钥。由此,能够便于对各自对应的智能网关进行认证。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,所有的智能网关共享一个素数阶群G=<g>,素数阶为q。由此,能够便于后续获得第一认证信息和第二认证信息。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,所述第一智能网关基于a和所述素数阶群获得所述第一认证信息,其中,a为第一智能网关选择的随机数,且满足:a∈Zq,所述第二智能网关基于随机数b和所述素数阶群获得所述第二认证信息,其中,b为第二智能网关选择的随机数,且满足:b∈Zq,Zq表示为一个数据集合。由此,能够获得第一认证信息和第二认证信息。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,所述多级网络包括多个区域网、多个楼域网和多个家域网,其中,各个区域网对应若干个楼域网,该区域网为对应的楼域网的上级网络,该楼域网为该区域网的下级网络,各个楼域网对应若干个家域网,该楼域网为对应的家域网的上级网络,该家域网为该楼域网的下级网络。由此能够实现区域网与楼域网、楼域网与家域网之间各自对应的智能网关相互进行信号传输。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,各个所述区域网分别具有一个智能网关,各个所述楼域网分别具有一个智能网关,各个所述家域网分别具有一个智能网关。由此能够实现区域网与楼域网、楼域网与家域网之间各自对应的智能网关相互进行信号传输。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,所述多级网络还包括多个终端用户,各个家域网对应若干个终端用户,任一终端用户包括多个设备,任一终端用户和对应的家域网通过所述认证方法进行相互认证,其中,该终端用户为该家域网的下级网络,该家域网为该终端用户的上级网络,该终端用户对应的多个设备作为所述第一智能网关,该家域网对应智能网关作为所述第二智能网关。由此能够使家域网与终端用户之间进行相互认证,并进行信号传输。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,所述第一认证标签满足:ti=c(si,k),其中,si表示为第一加密目标信号,k表示为共享密钥,c(·)是一个安全加密的哈希函数。由此能够获得第一认证标签。
本公开所涉及的轻量级主动式跨层认证方法中,可选地,所述第一叠加信号满足:xi=ρssi+ρtti,其中,si表示为第一加密目标信号,ρs表示为第一加密目标信号的能量系数,ti表示为第一认证标签,ρt表示为第一认证标签的能量系数,ρs和ρt满足:si和ti满足:E{·}是期望算子。由此能够获得第一叠加信号。
根据本公开,能够提供一种在智能电网***中减小计算复杂度和通信开销的智能电网中的轻量级主动式跨层认证方法。
附图说明
图1是示出了本公开的示例所涉及的智能电网中的轻量级主动式跨层认证方法的应用场景示意图。
图2是示出了本公开的示例所涉及的信号的基本帧包结构示意图。
图3是示出了本公开的示例所涉及的智能电网中的轻量级主动式跨层认证方法的流程示意图。
图4是示出了本公开的示例所涉及的智能网关之间信号传输的应用场景示意图。
图5是示出了本公开的示例所涉及的智能电网中的轻量级主动式跨层认证方法的分布示意图。
图6是示出了本公开的示例所涉及的图5对应的通信开销随终端用户的数量和传输的帧包的数量变化的波形图。
图7是示出了本公开的示例所涉及的图5对应的平均延迟随终端用户的数量和传输的帧包的数量变化的波形图。
图8是示出了本公开的示例所涉及的图5对应的信息熵和总信息熵随能量系数变化的波形图。
具体实施方式
以下,参考附图,详细地说明本公开的优选实施方式。在下面的说明中,对于相同的部件赋予相同的符号,省略重复的说明。另外,附图只是示意性的图,部件相互之间的尺寸的比例或者部件的形状等可以与实际的不同。
本公开提供一种智能电网中的轻量级主动式跨层认证方法(也可以简称“认证方法”)。在本公开中,智能电网中的轻量级主动式跨层认证方法可以应用在智能电网***,能够实现智能电网***中的智能网关之间进行相互认证和信号传输,并能够较为明显地减小计算复杂度和的通信开销。以下结合附图进行详细描述本公开。
图1是示出了本公开的示例所涉及的智能电网中的轻量级主动式跨层认证方法的应用场景示意图。轻量级主动式跨层认证方法可以是具有多级网络的认证方法,并且能够提供一种在智能电网***中减小计算复杂度和通信开销的认证方法。
在一些示例中,智能电网***(也称“智能电网”和“***”)可以划分为多级网络。其中,发电厂附近的输电变电站与配电网之间可以采用网状网络连接,可以通过光纤技术实现通信。在一些示例中,由于无线通信技术可以提供极大的方便和灵活性,所有的下级网络通信都是通过无线通信技术实现。在一些示例中,智能电网***中的较低的分销网络可以划分为多级网络,包括区域网、楼域网、家域网和终端用户(稍后描述),其中每个区域网可以包括多个楼域网,每个楼域网可以包括多个家域网。
在一些示例中,假设每个配电所只覆盖一个小区,可以让一个区域网管理该小区的通信业务。各个区域网、楼域网和家域网都可以分别具有一个智能网关。由此能够实现区域网与楼域网、楼域网与家域网之间各自对应的智能网关相互进行信号传输。例如,如图1所示,该小区的区域网对应的智能网关101,该区域网包括的各个楼域网分别对应的智能网关201、智能网关202和智能网关203等,其中一个楼域网(即智能网关201对应的楼域网)包括的各个家域网分别对应的智能网关301、智能网关302和智能网关303等,其他楼域网也可以包括多个家域网(未图示)。
在一些示例中,各个智能网关可以具有两个不同的端口,其中一个端口可以用于获取电力资源,另一个端口可以作为通信网关,可以基于该端口实现两个智能网关之间相互的信号传输(稍后描述)。在一些示例中,各个家域网可以包括多个终端用户,各层网络具有的智能网关可以支持终端用户与供电商之间的双向通信,例如,该终端用户可以基于这些智能网关通过运行或关闭某些设备来改变其用电情况。在一些示例中,各层网络对应的智能网关具有的功能可以是不同的,例如区域网对应的智能网关101可以具有最强大的功能,楼域网对应的智能网关(例如智能网关201等)具有的功能可以次之,家域网对应的智能网关(例如智能网关301等)具有的功能可以最差。
在一些示例中,多级网络中的任意相邻级次网络包括上级网络和下级网络,上级网络和下级网络各自对应的智能网关之间可以进行信号传输。在一些示例中,多级网络包括多个区域网、多个楼域网和多个家域网,其中,各个区域网可以包括若干个楼域网,该区域网可以为对应的楼域网的上级网络,楼域网可以为该区域网的下级网络,各个楼域网可以包括若干个家域网,该楼域网可以为对应的家域网的上级网络,家域网可以为该楼域网的下级网络。由此能够实现区域网与楼域网、楼域网与家域网之间各自对应的智能网关相互进行信号传输。例如,如图1所示,区域网对应的智能网关101可以分别和该区域网包括的多个楼域网对应的智能网关201、智能网关202和智能网关203等之间相互进行信号传输(也称“双向通信”),其中一个楼域网对应的智能网关201可以和该楼域网包括的多个家域网对应的智能网关301、智能网关302和智能网关303等之间相互进行信号传输。
在一些示例中,第一智能网关和第二智能网关之间可以通过全球微波接入互操作性技术(即WiMax)和/或低功耗局域网协议(也称紫峰协议,即ZigBee)进行信号传输。由此能够实现第一智能网关和第二智能网关之间的信号传输。例如在一些示例中,区域网与楼域网、楼域网与家域网之间各自对应的智能网关可以通过全球微波接入互操作性技术(即WiMax)进行信号传输。在一些示例中,各个家域网对应的智能网关可以和多个终端用户通过低功耗局域网协议(也称紫峰协议,即ZigBee)进行信号传输。
在一些示例中,如上所述,区域网与楼域网、楼域网与家域网之间各自对应的智能网关可以通过全球微波接入互操作性技术进行信号传输。由此能够实现上级网络对应的智能网关和下级网络对应的智能网关之间的信号传输。在一些示例中,下级网络对应的智能网关可以为第一智能网关,上级网络对应的智能网关可以为第二智能网关。
在一些示例中,多级网络还包括多个终端用户,各个家域网对应若干个终端用户,任一终端用户包括多个设备,任一终端用户和对应的家域网通过认证方法进行相互认证,其中,该终端用户为该家域网的下级网络,该家域网为该终端用户的上级网络,该终端用户对应的多个设备可以作为第一智能网关,该家域网对应智能网关可以作为第二智能网关。由此能够使家域网与终端用户之间进行相互认证,并进行信号传输。
在一些示例中,如上所述,各个家域网对应的智能网关可以和多个终端用户通过紫蜂协议进行信号传输。例如,如图1所示,图1中的虚线圆圈401内可以示出家域网对应的智能网关301可以对应多个设备,其中一个设备对应一个不同的终端用户,各个设备(各个终端用户)可以作为第一智能网关,智能网关301可以作为第二智能网关,智能网关301可以和多个设备(也即多个终端用户)通过紫蜂协议进行通信(也即信号传输)。
图2是示出了本公开的示例所涉及的信号的基本帧包结构示意图。
在一些示例中,如图2所示,智能电网***中的信号传输,其中,信号的基本帧包结构可以包括:安全报头、TCP/IP报头和消息报头,其中,安全报头可以是安全包的一部分,可以包括所有安全信息,如密钥标识、安全级别指示、校验和数字签名;TCP/IP报头可以包括信号的发送地址及其该信号的发送者对应的地址;消息报头可以包括电表ID地址、设备状态和消息类型;原始信息。在一些示例中,本实施方式中可以使信号的帧包结构包括哈希报头(参见图4)。
图3是示出了本公开的示例所涉及的智能电网中的轻量级主动式跨层认证方法的流程示意图。图4是示出了本公开的示例所涉及的智能网关之间相互认证和信号传输的应用场景示意图。
在一些示例中,如图3和图4所示,图3中的步骤S10~步骤S40可以和图4中的信号传输过程一一对应。
在本实施方式中,认证方法可以是任意相邻级次网络对应的智能网关之间(例如,第一智能网关和第二智能网关)进行信号传输和相互认证的认证方法。如图3所示,认证方法可以包括以下步骤:第一智能网关可以基于第二智能网关的公钥和第一认证信息向第二智能网关发送第一加密信号,第二智能网关可以接收第一加密信号并可以基于第二智能网关的私钥获得第一认证信息(步骤S10);第二智能网关可以基于第一智能网关的公钥、第一认证信息和第二认证信息获得第二加密信号并发送给第一智能网关,且第二智能网关可以基于第一认证信息和第二认证信息获得共享密钥。第一智能网关可以接收第二加密信号,若第一智能网关基于第二加密信号和第一智能网关的私钥获得第一认证信息,则第一智能网关对第二智能网关认证通过,且第一智能网关可以基于第二加密信号获得第二认证信息(步骤S20);第一智能网关可以基于第二认证信息和第一认证信息获得共享密钥,可以基于共享密钥和第一目标信号获得第一加密目标信号,进而可以基于共享密钥、第一加密目标信号和哈希函数获得第一认证标签,第一智能网关可以基于第一认证标签和第一加密目标信号获得第一叠加信号,进而可以获得第一目标信息信号并向第二智能网关发送,第二智能网关可以接收第一目标信息信号,可以基于第一目标信息信号获得第一残差信号,并基于第一残差信号进行第一阈值测试,若第一阈值测试通过,则第二智能网关对第一智能网关认证通过(步骤S30);第二智能网关可以基于第二目标信号和共享密钥获得第二加密目标信号,基于共享密钥、第二加密目标信号和哈希函数获得第二认证标签,第二智能网关可以基于第二认证标签和第二加密目标信号获得第二叠加信号,进而可以获得第二目标信息信号并向第一智能网关发送,第一智能网关可以接收第二目标信息信号,可以基于第二目标信息信号获得第二残差信号,并基于第二残差信号进行第二阈值测试,若第二阈值测试通过,则第一智能网关可以对第二智能网关认证通过(步骤S40)。
在本公开中,多级网络中的相邻级次网络互相发送信息(即信息传输)用于相互认证各自的合法性,其中,任意相邻级次网络包括上级网络和下级网络,下级网络对应的智能网关为第一智能网关,上级网络对应的智能网关为第二智能网关。第一智能网关可以和第二智能网关之间进行信号传输。第一智能网关可以基于第二智能网关的公钥和第一认证信息向第二智能网关发送第一加密信号。第二智能网关可以接收第一加密信号并基于其私钥获得第一认证信息,进而基于其公钥和第二认证信息获得第二加密信号并发送给第一智能网关,其中第二智能网关可以基于第一认证信息和第二认证信息获得共享密钥,若第一智能网关基于第二加密信号获得第一认证信息,则第一智能网关对第二智能网关认证通过,其中,第一智能网关可以基于第二加密信号获得第二认证信息。第一智能网关可以基于第一认证信息和第二认证信息获得共享密钥,基于共享密钥和第一目标信号获得第一加密目标信号,进而基于共享密钥、第一加密目标信号和哈希函数获得第一认证标签,第一智能网关可以基于第一认证标签和第一加密目标信号获得第一叠加信号,进而可以获得第一目标信息信号并向第二智能网关发送,第二智能网关接收第一目标信息信号并从中获得第一残差信号,第二智能网关可以基于第一残差信号进行第一阈值测试,若第一阈值测试通过,则第二智能网关可以对第一智能网关认证通过,即第一目标信息信号可以是合法的。第二智能网关可以基于第二目标信号、共享密钥获得第二加密目标信号,基于共享密钥、第二加密目标信号和哈希函数获得第二认证标签,第二认证标签和第二加密目标信号获得第二叠加信号,进而获得第二目标信息信号并向第一智能网关发送,第一智能网关接收第二目标信息信号,基于第二目标信息信号获得第二残差信号,并基于第二残差信号进行第二阈值测试,若第二阈值测试通过,则第一智能网关可以对第二智能网关认证通过,即第二目标信息信号可以是合法的。由此能够使第一智能网关和第二智能网关进行相互认证并进行信号传输。
在一些示例中,各个步骤(步骤S10~步骤S40)中发送信号的一方可以分别作为发射端,接收信号的一方可以分别作为接收端。例如,在步骤S10中,第一智能网关可以向第二智能网关发送第一加密信号,其中,第一智能网关为发送信号的一方,第二智能网关为接收信号的一方,故此时第一智能网关可以作为发射端,第二智能网关可以作为接收端。在一些示例中,可以假设各个步骤中发射端向接收端发送的信号仅包括一个数据包(也称“帧包”),即各个步骤中发射端仅发送一个数据包。
在一些示例中,认证方法可以包括上层认证和物理层认证,其中,上层认证可以包括步骤S10~步骤S20,物理层认证可以包括步骤S30~步骤S40。在一些示例中,上层认证可以是基于第一智能网关和第二智能网关的上层网络(例如,网络层)实现的,物理层认证可以是基于第一智能网关和第二智能网关的物理层实现的。在一些示例中,上层可以指的是计算机中的上层概念,可以是按照计算机网络体系结构来划分的。在计算机网络体系结构中,最底层的可以是物理层,物理层之上的统称为上层。例如,上层认证可以由第一智能网关和第二智能网关对应的网络层来实现。在一些示例中,上层认证可以实现第一智能网关和第二智能网关之间的上层的身份认证,物理层认证可以实现第一智能网关和第二智能网关之间的物理层的消息认证。
在一些示例中,假设第一智能网关和第二智能网关具有各自的公私密钥对(也称公钥和私钥)。在一些示例中,公钥可以由第一智能网关和第二智能网关双方获知。私钥可以仅由对应的智能网关获知。例如,第一智能网关可以获知第二智能网关的公钥,但不可获知第二智能网关的私钥。第二智能网关可以获知第一智能网关的公钥,但不可获知第一智能网关的私钥。在一些示例中,如图4所示,第一智能网关可以为智能网关300,第二智能网关可以为智能网关200。智能网关300可以和智能网关200相对应。其中,智能网关300的公私密钥对可以分别表示为PubHANi和PriHANi,智能网关200的公私密钥对可以分别表示为PubBANj和PriBANj。
在一些示例中,第一智能网关和第二智能网关之间的初步认证(即上层的身份认证,参见步骤S10和步骤S20,稍后描述)可以采用上层协议建立密钥,例如迪菲-赫尔曼密钥交换协议。在一些示例中,步骤S10~步骤S20中的发射端和接收端可以利用两对非对称协议(例如,PubHANi/PriHANi和PubBANj/PriBANj)进行解密和加密,从而实现第一智能网关和第二智能网关的初步认证。在一些示例中,第一智能网关和第二智能网关可以采用物理层认证机制在相互的信号传输(双向通信)中实现信息认证(也即,物理层的消息认证)的目的(参见步骤S30至步骤S40,稍后描述)。在一些示例中,步骤S30~步骤S40中可以利用物理层的认证方案(稍后描述),使接收端对发射端进行认证,由此能够保证安全性。
在一些示例中,假设第一智能网关和第二智能网关包括终端用户(也即终端用户对应的设备)可以共享一个素数阶群G=<g>,素数阶为q。在一些示例中,素数阶群G可以满足可计算的迪菲-赫尔曼假设,即在a,b∈Zq,其中a和b可以为随机数,Zq表示为一个数据集合,在基于素数阶群G生成ga和gb,不容易获得其中,g表示为从素数阶群G中取的一个值,ga和gb属于G的集合。由此,能够便于获得第一认证信息和第二认证信息(稍后描述)。
在步骤S10中,第一智能网关可以基于第二智能网关的公钥和第一认证信息向第二智能网关发送第一加密信号,第二智能网关接收第一加密信号并基于第二智能网关的私钥获得第一认证信息。
在一些示例中,第一智能网关可以选择一个随机数a且满足:a∈Zq,并基于素数阶群G生成ga获得第一认证信息。由此,能够获得第一认证信息。在一些示例中,第一智能网关可以基于第二智能网关具有的公钥对第一认证信息进行加密获得加密后的第一认证信息进而获得第一加密信号,例如,可以将加密后的第一认证信息放入数据包(也称“帧包”)中获得第一加密信号。第一加密信号可以包括安全报头、TCP/IP报头、消息报头和加密后的第一认证信息。其中,加密后的第一认证信息可以为发送的第一加密信号的帧包结构中的原始信息。在一些示例中,第一智能网关可以向第二智能网关发送第一加密信号,第二智能网关可以接收第一加密信号并基于第二智能网关具有的私钥对第一加密信号进行解密,可以从第一加密信号中获得第一认证信息ga。例如,如图4所示,智能网关300可以基于公钥PubBANj(即智能网关200的公钥)对第一认证信息ga进行加密获得加密后的第一认证信息,可以表示为{ga}PubBANj,进而获得第一加密信号,智能网关300可以向智能网关200发送第一加密信号并被智能网关200接收,智能网关200可以基于私钥PriBANj(即智能网关200的私钥)对第一加密信号进行解密获得第一认证信息。
在步骤S20中,第二智能网关基于第一智能网关的公钥、第一认证信息和第二认证信息获得第二加密信号并发送给第一智能网关,其中,第二智能网关基于第一认证信息和第二认证信息获得共享密钥,第一智能网关接收第二加密信号,若第一智能网关基于第二加密信号和第一智能网关的私钥获得第一认证信息,则第一智能网关对第二智能网关认证通过。也就是说,第二智能网关可以基于第一认证信息、第二认证信息和第一智能网关具有的公钥获得第二加密信号并发送给第一智能网关。若第一智能网关基于第二加密信号和第一智能网关的私钥获得第一认证信息,则第一智能网关对第二智能网关认证通过。
在一些示例中,第二智能网关可以选择一个随机数b且满足:b∈Zq,并基于素数阶群G生成gb获得第二认证信息。由此,能够获得第二认证信息。
在一些示例中,第二智能网关可以将第二认证信息和在步骤S10中获得的第一认证信息组合成一个序列(即序列信息),并基于第一智能网关具有的公钥对序列信息进行加密获得加密后的序列信息,进而获得第二加密信号,例如,可以将加密后的序列信息放入数据包中获得第二加密信号。第二加密信号可以包括安全报头、TCP/IP报头、消息报头和加密后的序列信息。其中,加密后的序列信息可以为发送的第二加密信号的帧包结构中的原始信息。
在一些示例中,第二智能网关可以向第一智能网关发送第二加密信号,第一智能网关可以接收第二加密信号并基于第一智能网关具有的私钥对第二加密信号进行解密。若第一智能网关可以从第二加密信号中获得第一认证信息ga,即第一智能网关可以对第二加密信号进行解密并从第二加密信号中恢复出第一认证信息ga,则第一智能网关可以对第二智能网关初步认证通过。
在一些示例中,第一智能网关可以基于第一智能网关具有的私钥对第二加密信号进行解密并从第二加密信号中获得第二认证信息gb。例如,如图4所示,智能网关200可以将第二认证信息gb和第一认证信息ga组合成一个序列(即序列信息),并基于公钥PubHANi(即智能电表300的公钥)对序列信息进行加密,可以表示为{ga|gb}PubHANi,进而可以生成第二加密信号并向智能网关300发送,智能网关300可以基于私钥PriHANi(即智能电表300的私钥)对第二加密信号进行解密,若智能网关300可以从第二加密信号恢复出第一认证信息ga,则智能网关300可以对智能网关200认证通过,并且智能网关300可以从第二加密信号中获得第二认证信息gb。
在步骤S30中,第一智能网关可以基于第二认证信息和第一认证信息获得共享密钥,可以基于共享密钥、第一加密目标信号和哈希函数获得第一认证标签,第一智能网关可以基于第一认证标签和第一加密目标信号获得第一叠加信号,进而可以获得第一目标信息信号并向第二智能网关发送,第二智能网关可以接收第一目标信息信号,可以基于第一目标信息信号获得第一残差信号,并基于第一残差信号进行第一阈值测试,若第一阈值测试通过,则第二智能网关对第一智能网关认证通过,即第一目标信息信号可以是合法的。
在一些示例中,第一智能网关可以基于共享密钥对第一目标信号进行加密,之后经过信道编码和信道调制获得第一加密目标信号。其中,第一目标信号可以包含第一智能网关所要传输给第二智能网关的信息。第一智能网关可以基于第一加密目标信号和共享密钥使用哈希函数生成第一认证标签,其中,哈希函数可以为c(·)。在一些示例中,第一智能网关可以基于第一认证标签和第一加密目标信号构建出第一叠加信号。在一些示例中,第一智能网关可以基于第一叠加信号获得第一目标信息信号,例如,可以将第一叠加信号加入数据包中获得第一目标信息信号,第一目标信息信号可以包括安全报头、TCP/IP报头、消息报头和第一叠加信号。第一叠加信号可以作为第一目标信息信号的帧包结构中的原始信息。例如,如图4所示,智能网关300可以基于共享密钥k对第一目标信号mi进行加密,可以表示为{mi}k,之后进过信道编码和信道调制可以获得第一加密目标信号si。智能网关300可以基于si和k使用哈希函数c(·)生成第一认证标签ti,第一认证标签可以满足:ti=c(si,k)(1)。由此能够获得第一认证标签。智能网关300可以基于ti和si构建出第一叠加信号并满足:xi=ρssi+ρtti,其中,si表示为第一加密目标信号,ρs表示为第一加密目标信号的能量系数,ti表示为第一认证标签,ρt表示为第一认证标签的能量系数,ρs和ρt满足:由此能够获得第一叠加信号。智能网关300可以将第一叠加信号xi加入数据包中获得第一目标信息信号。在一些示例中,第一加密目标信号si和第一认证标签ti可以满足:其中,E{·}是期望算子。
在一些示例中,第一智能网关可以向第二智能网关发送第一目标信息信号,第二智能网关可以接收第一目标信息信号并从中获得第一残差信号。在一些示例中,在合法的情况下,第一残差信号可以是包含第一认证标签的信号。例如,在合法的情况下,第一残差信号可以和第一认证标签相同,满足:ri=ti。在一些示例中,在不合法的情况下,第一残差信号可以是未包含第一认证标签的信号。例如,在不合法的情况下,第一残差信号可以满足:ri=0。在一些示例中,第二智能网关可以基于第一残差信号进行第一阈值测试,也即第二智能网关可以基于第一残差信号进行基于假设检验的第一阈值测试对第一智能网关进行认证。例如,如图4所示,智能网关300可以向智能网关200发送第一目标信息信号,智能网关200可以接收第一目标信息信号并从中获得第一残差信号ri,智能网关200可以基于第一残差信号构建基于假设检验的第一阈值测试,可以满足于其中,表示为步骤S30中第一目标信息信号的发送者(即智能网关300)对于智能网关200是非法的,即步骤S30中的发射端对于步骤S30中的接收端是非法的,也就是说,此时智能网关200接收的信号是非法的,即第一目标信息信号是非法的。表示为步骤S30中第一目标信息信号的发送者对于智能网关200是合法的,即步骤S30中的发射端对于步骤S30中的接收端是合法的,也即智能网关200对智能网关300认证通过,也就是说,此时智能网关200接收的信号是合法的,即第一目标信息信号是合法的。由此能够通过认证以检测第一目标信息信号的合法性。
在一些示例中,可以误判成若误判成则称为虚警,虚警率可以由PFA表示。基于奈曼一皮尔逊(Neyman-Pearson)定理,可以获得式(1)的最佳决策,即当PFA≤εPFA时,最佳阈值可以由最大检测概率确定,其中,εPFA是***容许的虚警率上限。
在步骤S40中,第二智能网关可以基于第二目标信号和共享密钥获得第二加密目标信号,基于共享密钥、第二加密目标信号和哈希函数获得第二认证标签,第二智能网关可以基于第二认证标签和第二加密目标信号获得第二叠加信号,进而可以获得第二目标信息信号并向第一智能网关发送,第一智能网关可以接收第二目标信息信号,可以基于第二目标信息信号获得第二残差信号,并基于第二残差信号进行第二阈值测试,若第二阈值测试通过,则第一智能网关可以对第二智能网关认证通过。
在一些示例中,第二智能网关可以基于共享密钥对第二目标信号进行加密,之后经过信道编码和信道调制获得第二加密目标信号。第二智能网关可以基于第二加密目标信号和共享密钥使用哈希函数生成第二认证标签,其中,哈希函数可以为c(·)。在一些示例中,第一智能网关可以基于第二认证标签和第二加密目标信号构建出第二叠加信号。在一些示例中,第二智能网关可以基于第二叠加信号获得第二目标信息信号,例如,可以将第二叠加信号加入数据包中获得第二目标信息信号,第二目标信息信号可以包括安全报头、TCP/IP报头、消息报头和第二叠加信号。第二叠加信号可以作为第二目标信息信号的帧包结构中的原始信息。例如,如图4所示,智能网关200可以基于共享密钥k对第二目标信号mj进行加密,可以表示为{mj}k,之后进过信道编码和信道调制可以获得第二加密目标信号sj。智能网关200可以基于sj和k使用哈希函数c(·)生成第二认证标签tj,第二认证标签可以满足:tj=c(sj,k)。由此能够获得第二认证标签。智能网关200可以基于tj和sj构建出第二叠加信号并满足:xj=ρssj+ρttj,其中,sj表示为第二加密目标信号,ρs表示为第二加密目标信号的能量系数,tj表示为第二认证标签,ρt表示为第二认证标签的能量系数,ρs和ρt满足:由此能够获得第二叠加信号。智能网关200可以将xj加入数据包中获得第二目标信息信号。在一些示例中,第二加密目标信号sj和第二认证标签tj可以满足:其中,E{·}是期望算子。
在一些示例中,第二智能网关可以向第一智能网关发送第二目标信息信号,第一智能网关可以接收第二目标信息信号并从中获得第二残差信号,第一智能网关可以基于第二残差信号和第二认证标签进行第二阈值测试,也即第一智能网关可以基于第二残差信号进行基于假设检验的第二阈值测试对第二智能网关进行认证。例如,如图4所示,智能网关200可以向智能网关300发送第二目标信息信号,智能网关300可以接收第二目标信息信号并从中获得第二残差信号rj,智能网关300可以基于第二残差信号构建基于假设检验的第二阈值测试,可以满足于其中,表示为步骤S40中第二目标信息信号的发送者(即智能网关200)对于智能网关300是非法的,即步骤S40中的发射端对于步骤S40中的接收端是非法的,也就是说,此时智能网关300接收的信号是非法的,即第二目标信息信号是非法的。表示为步骤S40中第二目标信息信号的发送者对于智能网关300是非法的,即步骤S40中的发射端对于步骤S40中的接收端是合法的,也即智能网关300对智能网关200认证通过,也就是说,此时智能网关300接收的信号是合法的,即第二目标信息信号是合法的。由此能够通过认证检测第二目标信息信号的合法性。
在一些示例中,可以误判成若误判成则称为虚警,虚警率可以由PFA表示。基于奈曼一皮尔逊(Neyman-Pearson)定理,可以获得式(1)的最佳决策,即当PFA≤εPFA时,最佳阈值可以由最大检测概率确定,其中,εPFA是***容许的虚警率上限。
在一些示例中,步骤S10和步骤S20可以在第一智能网关和第二智能网关对应的上层网络(例如网络层)实现。步骤S30和步骤S40可以在第一智能网关和第二智能网关的物理层实现。在一些示例中,物理层对上层的应用可以是可靠的和透明的。在一些示例中,信道调制和信道编码的修正能力可以修正信道衰落和接收噪声等信道损耗导致的误差。因此在步骤S10和步骤S20中的信道损耗可以忽略。
在一些示例中,可以以步骤S30分析***进行双向认证的情况用于验证本公开的目标方法。在一些示例中,在无线衰落信道中,步骤S30中智能网关200(即第二智能网关)可以接收智能网关300(即第一智能网关)发送的第一目标信息信号,可以去除第一目标信息信号中的多种报头(例如,安全报头、TCP/IP报头、消息报头等),由此能够获得消息信号满足:yi=hixi+ni,其中,hi表示为智能网关200和智能网关300之间的第一信道响应,xi表示为第一叠加信号,ni表示为零均值复高斯白噪声,方差为在一些示例中,假设第一信道响应hi为零均值复高斯随机变量,方差可以为αd是信道路线衰落系数且满足:αd≥2,d是智能网关200和智能网关300之间的距离,λ是第一叠加信号的波长满足:λ=c/fc,c=3×108m/s,fc是第一叠加信号的载波频率。
在一些示例中,假设智能网关200可以获得完美的信道估计,即可以对第一叠加信号的估计值进行信道解调和信道解码并重新进行信道编码和信道调制。在这种情况下,智能网关200能够估计出第一加密目标信号在一些示例中,若的值足够小,或智能网关200的解调和解码的纠错能力足够强,智能网关200可以无误地估计出第一加密目标信号,即在一些示例中,智能网关200可以基于第一认证信息和第二认证信息获得共享密钥k,智能网关200可以基于和k获得第一认证标签的估计值可以满足:
在一些示例中,智能网关200可以从消息信号中获得残差信号ri,可以满足:从而可以使智能网关200对智能网关300进行认证。智能网关200可以基于式(1)进行阈值测试,可以获得实数测试统计量δi,可以满足:其中,R{·}表示为取实部。
在一些示例中,基于式(1),不同假设下的测试统计量τi可以满足:其中,L表示为第一叠加信号的长度,si,k、ti,k和ni,k分别表示第k个符号的si、ti,和ni。在一些示例中,由于可以获得和由此可得,其中,E{·}是期望算子。
如上,可以将式(2)转换为:第一认证标签的检测的虚警率可以表示为:其中,θi表示为测试阈值,Q(·)表示为标准正态分布的尾概率函数。在一些示例中,可以基于最佳阈值θ0获得零均值复高斯信道的平均虚警率,可以满足:其中,表示为平均信噪比且满足:
在一些示例中,假设虚警率的上限为εPFA,可以获得最佳阈值θ0且可以满足:在一些示例中,第一认证标签的检测概率可以满足:并基于最佳阈值θ0可以获得零均值复高斯信道的平均检测概率,可以满足:其中,sign(x)表示为符号函数。当x≥0时,sign(x)=1,否则,sign(x)=-1。
在一些示例中,如上所述,可以获得平均虚警率和平均检测概率的显式闭环公式。
在一些示例中,本公开的公钥加密技术可以是安全的,例如,第一智能网关可以通过第二智能网关具有的公钥对包含ga和/或gb的信息进行加密,可以只有第二智能网关通过第二智能网关具有的私钥才能解密。相似的,第二智能网关可以通过第一智能网关具有的公钥对包含ga和/或gb的信息进行加密,可以只有第一智能网关通过第一智能网关具有的私钥才能解密。
在一些示例中,本公开的智能网关和终端用户(也即终端用户对应的多个设备)可以共享一个素数阶群,并且该素数阶群可以满足可计算的迪菲-赫尔曼假设,在这种情况下,能够建立一个较为安全的共享密钥,能够提高***的安全性,能够抑制非法攻击端从密钥空间中随机抽取的密钥中区分出正确的共享密钥。在一些示例中,即使第一智能网关或第二智能网关的私钥被非法攻击端获得,但也可以使非法攻击端无法获得共享密钥,即本公开的认证方法可以实现完美的正向保密。
在一些示例中,第一智能网关和第二智能网关均可以作为合法的发射端,也可以作为合法的接收端。例如,第一智能网关发送信息给第二智能网关,则此时第一智能网关可以作为合法的发射端,第二智能网关可以作为合法的接收端,反之亦然。在一些示例中,第一智能网关或第二智能网关基于共享密钥和传输的原始信息获得认证标签(例如,第一认证标签或第二认证标签),并可以将获得的认证标签叠加在传输的信号(例如第一加密目标信号或第二目标加密信号)上进而发送给各自对应的接收端(例如,第二智能网关或第一智能网关),之后接收端可以根据认证标签对接收到的信息进行认证。因此,本公开的认证方法可以提供双向信息认证。
在一些示例中,从式(1)可知,基于完整的接收信息才能生成认证标签。如果接收到的信息是被修改的,接收信息的接收端无法根据式(3)恢复认证标签,无法进行信息认证。并且在本公开的认证方法中可以对传输的信息进行加密处理(例如,第一加密目标信号和第二加密目标信号)。在这种情况下,能够保证信息的完整性和隐私性。
在一些示例中,假设非法接收端可以实现知道本公开的认证方法但不知道共享密钥,非法接收端可以从合法的发射端窃听到任何信号并可以发送无线信号。在一些示例中,本实施方式中采用的物理层认证在估计传播延迟、多径等产生的错误可以导致非连续的中断,在这种情况下,能够抑制非法攻击端连续地干扰合法信号。
在一些示例中,本实施方式可以假设基于式(1)获得的第一认证标签是时变的,合法的接收端可以不再次接收非法攻击端发送的重复的无线信号,其中无线信号可以为合法的发射端发送的信号。在这种情况下,能够抑制合法的接收端接收非法攻击端发送重复的无线信号。
在一些示例中,非法接收端可以伪造一个第三认证标签并叠加到其发送的无线信号上,以使合法的接收端进行接收。认证标签(第一认证标签或第二认证标签)可以基于安全加密的哈希函数c(·)来构建(例如,步骤S30中的第一认证标签),安全加密的哈希函数c(·)可以作为一个伪随机数生成器,由此能够使认证标签不容易被非法攻击端预测到,在这种情况下,能够抑制非法攻击端伪造一个认证标签并叠加到无线信号中被合法接收端(例如智能网关300或智能网关200)接收到。
在一些示例中,非法接收端可以通过窃听到足够多的信号并从中获得共享密钥进行攻击,可以成为窃听攻击。但无线环境中,认证标签将会带有噪声,共享密钥的正确恢复将会是一个概率性事件。在这种情况下,即使非法攻击端具有很高的隐蔽性并窃听到足够多的信号,也能够抑制非法攻击端对共享密钥的正确恢复。
在一些示例中,本实施方式中可以引入熵的概念来衡量窃听攻击,即去过所有观测共享密钥的信息熵,进而可以较为准确的表示共享密钥的恢复概率。在一些示例中,当对认证标签进行无噪声的观测且观测的信号长度足够长时,熵的值可以为零,共享密钥可以在有限时间内被恢复。在一些示例中,在有噪声的情况下,对于有限多的观测,熵的值可以为不为零,共享密钥的恢复概率将会小于1。在一些示例中,假设非法攻击端从观测到的信号yi中获得认证标签的估计值非法攻击端将可以计算每个认证标签的符号汉明距离,可以满足:其中,ti,k表示为认证标签的第k个符号,表示为认证标签的估计值的第k个符号。
在一些示例中,认证标签的平均符号错误率可以满足:其中,表示为平均标签噪声比且满足:在一些示例中,ti,k的熵值可以满足:其中,H(·)表示为二进制熵算子。在一些示例中,对于一个信号长度为L的认证标签,非法攻击端将可以估计出2L个不同的认证标签的估计值。在这种情况下可以获得总信息熵,可以满足:ψ2LH(ti,k|yi)。在一些示例中,本公开的认证方法的物理层引入了不确定性,由此能够使共享密钥的搜索空间非常大。当的值非常小时,非法攻击端恢复共享密钥将会变得较为困难,将会使共享密钥具有足够大的熵抑制非法攻击端的攻击。
图5是示出了本公开的示例所涉及的智能电网中的轻量级主动式跨层认证方法的分布示意图。其中,横坐标X和纵坐标Y表示智能电网***的空间分布。A表示为终端用户,B是家域网对应的智能网关,C是楼域网对应的智能网关,D是区域网对应的智能网关。在一些示例中,如图5所示,该智能电网由一个区域网组成,该区域网包括3个楼域网,每个楼域网包括3个家域网,每个家域网可以包括12个终端用户,其中,各个区域网、楼域网、家域网可以各自具有一个智能网关,假设每个终端用户仅连接一个设备。所有的终端用户可以遵循独立的泊松分布,随机分布在各自对应的家域网的周围。在本实施方式中可以利用紫蜂协议作为家域网对应的智能网关与对应的终端用户之间的通信协议,并设定载波频率为2.4GHz,带宽为2MHz。在本实施方式中可以利用全球微波接入互操作性技术作为家域网与对应的楼域网、楼域网与对应的区域网之间的通信协议,并设定载波频率为2.3GHz,带宽分别为5MHz和10MHz。本智能电网中,信号的帧包结构中安全报头的大小为16字节,TCP/IP报头的大小为20字节,消息报头的大小为50字节,原始信息的大小为32字节,除此之外,ga或gb的大小为2字节,哈希报头的大小为16字节。
在一些示例中,本公开引入了通信开销、平均延迟、传输信息的平均错误概率和信息熵评估本公开的认证方法和传统方案。如图6~图8以及表1所示,其中,可以通过2000多个独立实验的结果进行平均获得不同方案的实验数据。
图6是示出了本公开的示例所涉及的图5对应的通信开销随终端用户的数量和传输的帧包的数量变化的波形图。其中,图6(a)中A为传统方案对应的通信开销随终端用户的数量变化曲线,B为本公开的认证方法对应的通信开销随终端用户的数量变化曲线。图6(b)中A为传统方案对应的通信开销随传输的帧包的数量变化曲线,B为本公开的认证方法对应的通信开销随传输的帧包的数量变化曲线。
在一些示例中,如图6(a)所示,图6(a)为每个家域网包括的终端用户的数量对通信开销的影响,也即每个家域网连接的设备的数量对通信开销的影响,其中每次信号传输可以只传输一个帧包。如图6(a)所示,随着家域网对应的终端用户(连接的设备的数量)增加,本公开的认证方法和传统方案的通信开销都在增加,但本公开的认证方法的通信开销明显低于传统方案,具体来说,通信开销降低了27%。因为传统方案需要一个额外的帧包进行初始认证,并且传统方案需要基于哈希的消息认证编码算法(MAC)来确保信息的完整性,这将使传统方案引入额外的通信开销。随着家域网对应的终端用户的数量增加,本公开的认证方法和传统方案的通信开销差异越来越大。例如,当每个家域网只包括4个终端用户时,通信开销差异为0.536Kbytes;当每个家域网包括10个终端用户时,通信开销差异为1.340Kbyte。
在一些示例中,如图6(b)所示,图6(b)示出了信号传输过程中,一次发送的帧包的数量对通信开销的影响。其中,每个家域网包括12个终端用户,也即每个家域网连接12个设备。随着传输的帧包的数量的增加,本公开的认证方法和传统方案的通信开销都在增加,但传统方案的通信开销明显大于本公开的认证方法。
图7是示出了本公开的示例所涉及的图5对应的平均延迟随终端用户的数量和传输的帧包的数量变化的波形图。其中,图7(a)中A为传统方案对应的平均延迟随终端用户的数量变化曲线,B为本公开的认证方法对应的平均延迟随终端用户的数量变化曲线。图7(b)中A为传统方案对应的平均延迟随传输的帧包的数量变化曲线,B为本公开的认证方法对应的平均延迟随传输的帧包的数量变化曲线。
在一些示例中,平均延迟可以由处理延迟和传输延迟组成。处理延迟表示解密加密信息所导致的延迟,可以通过安全套接字层密码库(OpenSSL包)来评估。在一些示例中,本公开的认证方法可以使用相同的对称加密算法和相同的非对称加密算法,在这种情况下,本公开的认证方法可以具有相似的处理延迟。由此能够使用传输延迟来表示平均延迟。
在一些示例中,如图7(a)所示,图7(a)示出了每个家域网包括的终端用户的数量对平均延迟的影响,其中每次信号传输可以只传输一个帧包。如图7(a)所示,随着家域网对应的终端用户(连接的设备的数量)的数量增加,本公开的认证方法和传统方案的通信开销都在增加,与图6(a)中的通信开销的结论相似,本公开的认证方法比传统方案的平均延迟要低得多。具体来说,本公开的认证方法比传统方案的平均延迟低20%左右。因为本公开的认证方法不需要额外的帧包来完成初始认证,同时也不需要基于哈希的消息认证编码算法(MAC)来确保信息的完整性,而传统方案需要,这两者都不可避免地会引入额外的传输延迟,从而使传统方案的平均延迟较高,与图6(a)的原因相同。如图7(a)所示,随着家域网对应的终端用户的数量增加,本公开的认证方法与传统方案的平均延迟差异越来越大,例如,当每个家域网只包括4个终端用户时,平均延迟差异为0.708ms;当每个家域网包括10个终端用户时,平均延迟差异为1.440ms。
在一些示例中,如图7(b)所示,图7(b)示出了信号传输过程中,一次传输的帧包的数量对平均延迟的影响。其中,每个家域网包括12个终端用户,也即每个家域网连接12个设备。如图7(b)所示,随着传输的帧包的数量的增加,本公开的认证方法和传统方案的平均延迟都在增加,但传统方案的平均延迟明显大于本公开的认证方法。
在一些示例中,表1示出了在图5的情况下信噪比与能量系数ρt 2对传输信息的平均错误概率的影响,包括解调误差和解码误差,其中的信道编码的方案可以采用卷积编码,本公开的认证方法可以采用二进制相移键控调制。详见下表1。
表1
在一些示例中。如表1所示,随着能量系数的值增加,本公开的认证方法的认证的准确性越来越高,但是也提高了传输信息的平均错误概率。在能量系数的值不太大或者信噪比不太小的情况下,能量系数对于传输信息的平均错误概率的影响是可以接收的。例如,当信噪比达到14dB时,解调误差为0;当信噪比达到10dB时,解码误差为0。
图8是示出了本公开的示例所涉及的图5对应的信息熵和总信息熵随能量系数变化的波形图。其中,图8(a)中A为传统方案对应的信息熵随能量系数变化曲线,B为本公开的认证方法对应的信息熵随能量系数变化曲线。图8(b)中A为传统方案对应的总信息熵随能量系数变化曲线,B为本公开的认证方法对应的总信息熵随能量系数变化曲线。
在一些示例中,如图8所示,图8(a)示出了能量系数对信息熵的影响,图8(b)示出了能量系数对总信息熵的影响,其中信噪比为20dB,信号长度为32比特。图8(a)的信息熵可以由式(6)获得,图8(b)的总信息熵可以由式(7)获得。如图8(a)所示,随着能量系数的值减小,本公开的认证方法比传统方案具有更高的信息熵。如图8(a)和图8(b)所示,本公开的认证方法比传统方案具有更高的安全性。
在本公开中,如上所述,能够提供一种具有较小的通信开销、延迟和解调解码错误以及较高的安全性的智能电网中的轻量级主动式跨层认证方法。
虽然以上结合附图和实施例对本公开进行了具体说明,但是可以理解,上述说明不以任何形式限制本公开。本领域技术人员在不偏离本公开的实质精神和范围的情况下可以根据需要对本公开进行变形和变化,这些变形和变化均落入本公开的范围内。
Claims (10)
1.一种智能电网中的轻量级主动式跨层认证方法,其特征在于,该轻量级主动式跨层认证方法是多级网络中的任意相邻级次网络对应的智能网关之间进行相互认证的认证方法,多级网络中的任意相邻级次网络包括上级网络和下级网络,所述下级网络对应的智能网关为第一智能网关,所述上级网络对应的智能网关为第二智能网关,所述认证方法包括上层认证和物理层认证,所述上层认证包括:所述第一智能网关基于所述第二智能网关的公钥和第一认证信息向所述第二智能网关发送第一加密信号;所述第二智能网关接收所述第一加密信号并基于所述第二智能网关的私钥获得所述第一认证信息,并基于所述第一智能网关的公钥、所述第一认证信息和第二认证信息获得第二加密信号并发送给所述第一智能网关,且所述第二智能网关基于所述第一认证信息和所述第二认证信息获得共享密钥;所述第一智能网关接收所述第二加密信号,若所述第一智能网关基于所述第二加密信号和所述第一智能网关的私钥获得所述第一认证信息,则所述第一智能网关对所述第二智能网关认证通过,且所述第一智能网关基于所述第二加密信号获得所述第二认证信息;以及所述物理层认证包括:所述第一智能网关基于所述第一认证信息和所述第二认证信息获得所述共享密钥,基于所述共享密钥和第一目标信号获得第一加密目标信号,进而基于所述共享密钥、所述第一加密目标信号和哈希函数获得第一认证标签,所述第一智能网关基于所述第一认证标签和所述第一加密目标信号获得第一叠加信号,进而获得第一目标信息信号并向所述第二智能网关发送,所述第二智能网关接收所述第一目标信息信号,
所述第二智能网关接收所述第一智能网关发送的所述第一目标信息信号时,去除所述第一目标信息信号中的多种报头,消息信号满足:
yi=hixi+ni,
yi表示消息信号,hi表示所述第二智能网关和所述第一智能网关之间的第一信道响应并且为零均值复高斯随机变量,xi表示为第一叠加信号,ni表示为零均值复高斯白噪声,所述白噪声的方差为满足:
表示所述白噪声的方差,αd表示信道路线衰落系数且满足:αd≥2,d表示所述第二智能网关和所述第一智能网关之间的距离,λ表示第一叠加信号的波长并满足:λ=c/fc,c=3×108m/s,fc表示第一叠加信号的载波频率,
基于所述第一目标信息信号获得第一残差信号,
所述第一残差信号满足:
并基于所述第一残差信号进行第一阈值测试,若所述第一阈值测试通过,则所述第二智能网关对所述第一智能网关认证通过;并且所述第二智能网关基于第二目标信号和所述共享密钥获得第二加密目标信号,基于所述共享密钥、所述第二加密目标信号和所述哈希函数获得第二认证标签,所述第二智能网关基于所述第二认证标签和所述第二加密目标信号获得第二叠加信号,进而获得第二目标信息信号并向所述第一智能网关发送,所述第一智能网关接收所述第二目标信息信号,基于所述第二目标信息信号获得第二残差信号,并基于所述第二残差信号进行第二阈值测试,若所述第二阈值测试通过,则所述第一智能网关对所述第二智能网关认证通过,其中,所述上层认证是基于所述第一智能网关和所述第二智能网关的上层网络实现的,所述物理层认证是基于所述第一智能网关和所述第二智能网关的物理层实现的。
2.根据权利要求1的轻量级主动式跨层认证方法,其特征在于:
所述第一智能网关具有对应的公钥和私钥,所述第二智能网关具有对应的公钥和私钥。
3.根据权利要求1的轻量级主动式跨层认证方法,其特征在于:
所有的智能网关共享一个素数阶群G=<g>,素数阶为q,所述素数阶群满足可计算的迪菲-赫尔曼假设。
4.根据权利要求3的轻量级主动式跨层认证方法,其特征在于:
所述第一智能网关基于a和所述素数阶群获得所述第一认证信息,其中,a为第一智能网关选择的随机数,且满足:a∈Zq,所述第二智能网关基于随机数b和所述素数阶群获得所述第二认证信息,其中,b为第二智能网关选择的随机数,且满足:b∈Zq,Zq表示为一个数据集合。
5.根据权利要求4的轻量级主动式跨层认证方法,其特征在于:
所述共享密钥满足k=c((ga)b),其中,k表示共享密钥,c(·)是一个安全加密的哈希函数。
6.根据权利要求1的轻量级主动式跨层认证方法,其特征在于:
所述多级网络包括多个区域网、多个楼域网和多个家域网,其中,各个区域网对应若干个楼域网,该区域网为对应的楼域网的上级网络,该楼域网为该区域网的下级网络,各个楼域网对应若干个家域网,该楼域网为对应的家域网的上级网络,该家域网为该楼域网的下级网络。
7.根据权利要求6的轻量级主动式跨层认证方法,其特征在于:
各个所述区域网分别具有一个智能网关,各个所述楼域网分别具有一个智能网关,各个所述家域网分别具有一个智能网关。
8.根据权利要求6的轻量级主动式跨层认证方法,其特征在于:
所述多级网络还包括多个终端用户,各个家域网对应若干个终端用户,任一终端用户包括多个设备,任一终端用户和对应的家域网通过所述认证方法进行相互认证,其中,该终端用户为该家域网的下级网络,该家域网为该终端用户的上级网络,该终端用户对应的多个设备作为所述第一智能网关,该家域网对应智能网关作为所述第二智能网关。
9.根据权利要求1的轻量级主动式跨层认证方法,其特征在于:
所述第一认证标签满足:ti=c(si,k),其中,si表示为第一加密目标信号,k表示为共享密钥,c(·)是一个安全加密的哈希函数。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011398339.3A CN112564918B (zh) | 2020-12-03 | 2020-12-03 | 智能电网中的轻量级主动式跨层认证方法 |
PCT/CN2020/138739 WO2022116314A1 (zh) | 2020-12-03 | 2020-12-23 | 智能电网中的轻量级主动式跨层认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011398339.3A CN112564918B (zh) | 2020-12-03 | 2020-12-03 | 智能电网中的轻量级主动式跨层认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112564918A CN112564918A (zh) | 2021-03-26 |
CN112564918B true CN112564918B (zh) | 2022-08-12 |
Family
ID=75047731
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011398339.3A Active CN112564918B (zh) | 2020-12-03 | 2020-12-03 | 智能电网中的轻量级主动式跨层认证方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112564918B (zh) |
WO (1) | WO2022116314A1 (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105873042A (zh) * | 2016-05-31 | 2016-08-17 | 西安大唐电信有限公司 | 一种轻量级的5g接入认证方法 |
CN108966232A (zh) * | 2018-09-28 | 2018-12-07 | 深圳大学 | 基于服务网络的无线物联网物理层混合认证方法及*** |
CN109168166A (zh) * | 2018-11-22 | 2019-01-08 | 深圳大学 | 物理层认证***的安全性检测方法 |
CN109819444A (zh) * | 2019-01-11 | 2019-05-28 | 杭州电子科技大学 | 一种基于无线信道特征的物理层初始认证方法及*** |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2922705B1 (fr) * | 2007-10-23 | 2011-12-09 | Sagem Defense Securite | Passerelle bidirectionnelle a niveau de securite renforce |
CN103618610B (zh) * | 2013-12-06 | 2018-09-28 | 上海上塔软件开发有限公司 | 一种基于智能电网中能量信息网关的信息安全算法 |
CN105162778B (zh) * | 2015-08-19 | 2018-06-26 | 电子科技大学 | 基于射频指纹的跨层认证方法 |
CN111082920A (zh) * | 2019-12-27 | 2020-04-28 | 西南石油大学 | 面向智能电网的非交互式可验证的多类型加密数据聚合方法 |
CN111130802A (zh) * | 2019-12-27 | 2020-05-08 | 沈阳航空航天大学 | 基于物理层激励-响应机制的物理层安全认证算法 |
CN111147228B (zh) * | 2019-12-28 | 2022-04-01 | 西安电子科技大学 | 基于以太坊IoT实体轻量级认证方法、***、智能终端 |
CN111835752B (zh) * | 2020-07-09 | 2022-04-12 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
-
2020
- 2020-12-03 CN CN202011398339.3A patent/CN112564918B/zh active Active
- 2020-12-23 WO PCT/CN2020/138739 patent/WO2022116314A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105873042A (zh) * | 2016-05-31 | 2016-08-17 | 西安大唐电信有限公司 | 一种轻量级的5g接入认证方法 |
CN108966232A (zh) * | 2018-09-28 | 2018-12-07 | 深圳大学 | 基于服务网络的无线物联网物理层混合认证方法及*** |
CN109168166A (zh) * | 2018-11-22 | 2019-01-08 | 深圳大学 | 物理层认证***的安全性检测方法 |
CN109819444A (zh) * | 2019-01-11 | 2019-05-28 | 杭州电子科技大学 | 一种基于无线信道特征的物理层初始认证方法及*** |
Non-Patent Citations (2)
Title |
---|
Physical-layer authentication;P. L. Yu;《 IEEE Transactions on Information Forensics and Security》;20081212;正文第2节 * |
智能电网中的轻量级物理层辅助认证技术研究;马婷;《中国优秀硕士学位论文全文数据库 工程科技辑》;20160215;正文第4-6章 * |
Also Published As
Publication number | Publication date |
---|---|
WO2022116314A1 (zh) | 2022-06-09 |
CN112564918A (zh) | 2021-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356054B2 (en) | Method for establishing a secure private interconnection over a multipath network | |
Mathur et al. | Radio-telepathy: extracting a secret key from an unauthenticated wireless channel | |
US7349545B2 (en) | Key agreement method in secure communication system using multiple access method | |
Alagheband et al. | Dynamic and secure key management model for hierarchical heterogeneous sensor networks | |
Kim | Location-based authentication protocol for first cognitive radio networking standard | |
Sudharson et al. | Security Protocol Function Using Quantum Elliptic Curve Cryptography Algorithm. | |
Zhang et al. | Security issues in wireless mesh networks | |
Li et al. | {PhyAuth}:{Physical-Layer} Message Authentication for {ZigBee} Networks | |
Saraswathi et al. | Multi-stage key management scheme for cluster based WSN | |
CN112564918B (zh) | 智能电网中的轻量级主动式跨层认证方法 | |
CN116017451A (zh) | 一种利用5G NR物理层信息的IPv6终端身份认证方法 | |
CN112637837B (zh) | 智能电网中的轻量级被动式跨层认证方法 | |
Zhang et al. | Security-aware device-to-device communications underlaying cellular networks | |
CN106604274A (zh) | 无线传感器网络中基于信息论及密码学的安全通信方法 | |
Fang et al. | Towards phy-aided authentication via weighted fractional fourier transform | |
Aman et al. | Data Provenance for IoT using Wireless Channel Characteristics and Physically Unclonable Functions | |
Wang et al. | A Survey on Authentication in Satellite Internet | |
Andreas et al. | Physical layer security based key management for LoRaWAN | |
Zhao et al. | The Cooperative Authentication Mechanism and Performance Evaluation for Unmanned Systems | |
Wan et al. | SRDA: A Secure Routing and Data Aggregation Approach for Wireless Smart Meter. | |
Khan et al. | Beyond key-based authentication: A novel continuous authentication paradigm for IoTs | |
Saniyyah et al. | Analysis of key generation which extracted from RSS for handover system in V2I communication | |
Ma et al. | Physical Layer Authentication for Two-User Two-Way Large-Scale Antennas Relay Systems | |
Mishra et al. | Transmission of encrypted data in WSN: An implementation of hybridized RSA-TDES algorithm | |
Kesavulu et al. | Enhanced packet delivery techniques using crypto-logic riddle on jamming attacks for wireless communication medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |