适用于智能电网的三方认证密钥交换协议

王圣宝，周鑫，文康，翁柏森

（杭州师范大学信息科学与技术学院，浙江 杭州 311121）

智能电网是在传统电力系统的基础上，通过集成新能源、新材料、新设备和先进传感技术、信息技术、控制技术、储能技术等新技术，形成的新一代电力系统，具有高度信息化、自动化、互动化等特征，可以更好地实现电网安全、可靠、经济、高效运行[1]。智能电网不仅能满足日益增长的用电需求，还能规避社会用电量爆发式增长、用电需求快速上升、电网规模不断升级以及线路复杂度迅速增加所带来的安全风险，同时也能增加电力需求端和电力供给端的双向互动，降低运营成本，并最大限度地减少资源浪费[2]。因此，全面建立统一“坚强智能电网”是中国电网的发展方向[1]。

随着智能电网基础设施建设的推进，海量电力终端设备投入运营，其种类繁多、部署分散、通信手段多样。这些特点给智能电网的安全防护带来了新的挑战[3-4]。信息和系统安全成已为智能电网广泛部署的一个关键挑战[5]。

此外，隐私保护也是智能电网面临的挑战。智能电表收集的数据（如用电负载、功耗、用电时长等）的泄露可能导致严重的隐私问题。例如，攻击者可以利用功耗和负载信息推断用户类型，利用用电记录推断用户用电时间段，根据用电习惯推送个性化广告等；
攻击者可使用简单的统计工具从高分辨率的消费信息中提取复杂的用户使用模式，继而实现对用户进行画像和监控[6]。

为了保障智能电网环境下信息和隐私安全，需要对通信参与者进行身份认证，并在公开信道上安全有效地建立会话密钥。Wu 等[7]提出了一种容错和可扩展的密钥分发方案，采用基于Needham-Schroeder 认证协议的对称和基于椭圆曲线密码学（ECC,elliptic curve cryptography）的非对称密钥组合方法。由于该方案使用公钥基础设施，因此存在管理密钥和证书的问题，这会导致通信开销增加。Xia 等[8]进一步的研究证明，上述方案不能保证密钥的安全性，并提出了一种新的密钥分发方案，可抵抗多种攻击。Wazid 等[9]提出了一种智能电网环境下的三因子认证方案。在该方案中，用户和远程仪表之间可以进行双向认证并建立会话密钥。文献[10]提出了一种基于椭圆曲线的智能电网轻量级认证方案，然而Abbasinezhad-mood 等[11]进一步的研究证明该方案并不安全并提出了一个改进方案。2019 年，Chen 等[12]针对上述方案的不足，提出了一种基于双线性映射的通信认证方案。文献[13]在V2G（vehicle-to-grid）环境下，为电动汽车充电引入了三方多因素认证。文献[14]在智慧医疗场景下，采用椭圆曲线实现医生和传感器节点的相互认证和密钥建立。

然而，存储在非易失性存储器（NVM,non-volatile memory）中的密钥信息容易遭受侧信道攻击，破坏协议的整体安全。因此，物理不可克隆函数（PUF,physical uncloneable function）被广泛用于认证协议中。作为一种轻量级基本安全模块，PUF无须使用NVM，且对侵入式攻击反应灵敏[15]。PUF提供了数字输入（激励）到数字输出（响应）的不可逆映射。但与加密哈希函数不同的是，其安全性来自物理无序和不可预测性，而非计算复杂性理论。这种“激励-响应”机制的触发不需要存储、易实现且能耗低，多应用于资源受限的物联网设备的安全认证[16]。2018 年，贺章擎等[17]提出了一种基于PUF 的两方认证与会话密钥交换协议，该协议能抵抗网络和物理攻击。夏艳东等[18]提出了在工业物联网环境下基于PUF 的轻量级密钥交换协议，适用于资源受限设备的同时能抵抗多种已知攻击。Liyanage 等[19]提出了一种使用PUF 和公共集群节点在2 个物联网设备之间进行认证的方案，该方案中的“激励-响应”对（CRP，challenge response pair）不是显式存储的，因此攻击者无法将相关联的存储数据绑定到机器学习算法中。Bian 等[20]则采用不同的方法，将PUF 和模糊提取器相结合，构造了一种生物认证方案。该方案利用模糊提取器来保护隐私输入，增强生物特征数据的安全性，从而提高了方案的稳健性。

通过对比分析，本文发现已有方案主要存在以下4 个问题。

1) 性能过低。文献[7-8]方案需要使用公钥基础设施，文献[10-12]方案需要多次椭圆曲线乘法运算或双线性配对运算。因此这些方案运行性能低，不适用于资源受限设备（如传感器节点、智能电表）。

2) 需要人工干预。文献[9,20]方案用到了生物识别，因此需要人工输入指纹。这显然不满足智能电表可以自动、周期性地向控制中心（CC）发送数据，而不需要用户实时参与的特点。因此文献[9,20]方案不适用于智能电网环境。

3) 不能抵抗侧信道攻击。大部分工作没有防范侧信道攻击从集成电路中提取秘密信息[21]，如文献[8-14]。然而，智能电表通常安装在远程恶劣环境下，更容易遭受侧信道攻击。

4) 通信效率低。文献[10-12,17,19]所提出的方案都是两方协议，要实现智能电表、服务提供商和控制中心三方安全通信，就需要在两两之间运行两方协议，这就造成了通信轮数的大量增加，大大降低了通信效率。

针对上述问题，本文设计了一个高效的三方认证密钥交换协议。本文协议的运行不需要人工干预，并且使用了PUF 模块以对抗侧信道攻击。本文分别采用形式化的BAN 逻辑证明和非形式化方法验证和分析了本文协议的安全性，并通过性能分析和比较证明本文协议更加高效和实用。

1.1 单向哈希函数

单向哈希函数H(·) 从任意长度的输入生成固定长度的输出。其安全属性如下[22-23]。

1) 抗原像性。对于给定哈希值h和单向哈希函数H(·)，很难找出任何原像m使h=H(m)。

2) 抗次原像性。对于给定的原像a，很难找到另一个原像b，使H(a) =H(b)。

3) 抗碰撞性。对同一个单向哈希函数H(·)，很难找到2 个不同的输入，使H(a) =H(b)。

4) 单向性。对于给定哈希值h和单向哈希函数H(·)，提取相对应的输入m是困难的。

1.2 物理不可克隆函数

物理不可克隆函数[24]是嵌入物理结构（如集成芯片）中的物理实体，通过R← PUF(C)的方式，其可以为给定的输入（激励）生成相对应的输出（响应）。物理不可克隆函数提供了一种在不安全环境下认证设备和保护设备免受物理威胁的有效方法。换言之，PUF(·) 可以充当设备的数字指纹。PUF 安全性质如下。

1) 唯一性。对任意2 个不同的PUF，即PUF1(·)和PUF2(·)，给定同一输入C，其输出R1←PUF1(C)和R2← PUF2(C)是不同的。

2) 可再现性。多次对任一相同PUF 给定相同的输入，其响应是相同的。

3) 不可克隆性。由于物理结构和技术原因，已嵌入设备的特定PUF 不可能被克隆。

4) 单向性。PUF 类似于密码学中的单向函数，即给定响应R和特定的PUF(·)，生成相应的激励C是困难的。

1.3 系统模型

如图1 所示，本文提出的基于智能电网环境下的认证密钥交换协议由三方组成，分别为智能电表、控制中心和服务提供商[25-26]。

图1 系统模型

1) 智能电表。智能电表广泛部署于智能电网的需求端（如家庭用电、充电桩等），主要用于收集电力数据，如用电负载、用电量，并将这些数据以及故障信息定期发送给控制中心。这些信息对于控制中心智能调度非常重要。

2) 控制中心。类似于网关和聚合器，控制中心可整合智能电表的数据、估算功耗、智能调控电力服务以及动态定价，从而节省能源、降低电费。

3) 服务提供商。服务提供商部署于智能电网的供给端（如风力发电站、太阳能发电站等），提供能源服务，向控制中心发送发电容量数据以及故障信息等，便于控制中心智能调度。需要注意的是，本文只考虑服务提供商的数据收集、通信元件，不考虑其电力生产元件。

1.4 安全模型

本文采用经典DY（Dolev-Yao）模型[27]来评估协议的安全性。该模型假设协议中所使用的密码学原语都是安全的，并且攻击者可以截取、篡改、删除、存储和重放来自公开信道的任何消息。除此之外，在智能电网的场景下，本文还额外假设攻击者能够捕获传感器节点，继而发起侧信道攻击以获取节点秘密数据。

本节详细描述所提三方认证密钥交换协议。协议分为智能电表注册阶段、服务提供商注册阶段以及认证密钥交换阶段3 个阶段。其中，注册阶段采用安全信道，认证密钥交换阶段基于公开信道。这里，本文给定以下假设。

1) 制造商在制造智能设备的过程中，已经将PUF 嵌入该设备的集成电路（IC）中，并且每一个设备对应的PUF 具有唯一性。

2) 控制中心计算能力较强并且是安全可信的，既可以完成复杂计算，又能保证其内部服务器或数据库的安全。

3) 智能电表和服务提供商为资源受限设备。本文协议中所使用的符号说明如表1 所示。

表1 符号说明

2.1 智能电表注册阶段

在部署之前，每个智能电表都需要向控制中心注册。智能电表SMi提取其唯一身份标识（序列号）IDi，并向控制中心CC 发送IDi以及注册请求Reqi，接收到该请求后，控制中心选择随机数ai，并计算 TIDi=h1（IDi‖s‖ai）作为SMi的伪身份。控制中心随机生成激励Ci，并将Ci和TIDi通过安全信道发送给智能电表SMi。接收到控制中心发送的消息后，智能电表SMi输出响应Ri← PUFi(Ci)，并将其通过安全信道发送给控制中心。最后，智能电表SMi将Ci,TIDi存储在其内存中，控制中心将存储在数据库中的列表 L1上。

2.2 服务提供商注册阶段

服务提供商分布于智能电网的另一端，这些设备同样也需要在部署前向控制中心注册。该注册阶段与智能电表的注册阶段相同，这里不再详细描述。最终，服务提供商SPj将Cj,TIDj存储在其内存中，控制中心将存储在数据库中的列表 L2上。

2.3 认证密钥交换阶段

由于智能电网参与方主要通过不可靠的信道进行通信，因此参与者之间有必要进行相互认证并协商会话密钥。本节详细描述了参与方认证及密钥交换的过程，如图2 所示。

图2 认证及密钥交换过程

3.1 BAN 逻辑证明

BAN 逻辑[28]在认证协议的形式化分析中被广泛应用。本节采用BAN 逻辑证明协议可以实现相互认证。表2 给出了BAN 逻辑符号和含义，表3给出了BAN 逻辑规则。

表2 BAN 逻辑符号和含义

表3 BAN 逻辑规则

1) 进行BAN 逻辑分析的理想化前提如下。

消息1：

消息2：

消息3：

消息4：

2) 需要证明的安全目标如下。

3) 本文协议的初始假设定义如下。

4) 证明过程如下。

3.2 非形式化证明

3.2.1 相互认证性

3.2.2 匿名性

3.2.3 抗克隆和物理攻击

假设敌手A 可以尝试篡改SMi、S Pj的内存或者实施侧信道攻击获取内存中存储的数据[29]。然而，这种尝试将改变PUF 的功能，敌手将获得无法产生任何输出的PUF。因此，敌手的这种尝试将变得毫无意义。因为物理不可克隆函数具有不可复制的性质，所以本文协议能抵抗克隆和物理攻击。

3.2.4 抗伪装攻击

假设敌手A 截取智能电表SMi向控制中心发送的消息M1←{V1,MAC1,TIDi,T1}，然后试图伪装成SMi重新发送篡改后的消息，它必须重新计算V1和 MAC1。然而，V1和 MAC1中涉及秘密值IDi与Ri。通过前述匿名性、抗克隆和物理攻击分析可知，敌手无法获得这些秘密值，因此，所提协议可以抵抗智能电表伪装攻击。类似地，敌手也无法成功冒充控制中心CC 和服务提供商SPj。

3.2.5 抗重放攻击

本文协议引入了时间戳Tn(n= 1,2,3,…)，参与方会检查时间戳的有效性，因此敌手A 无法直接转发消息发起重放攻击。并且，在本文协议中，每个时间戳都添加到消息验证码MACn(n= 1,2,3,…)中，若敌手A 通过替换新的时间戳发起重放攻击，则MACn无法通过验证，导致参与方会中断协议的执行。因此，本文协议可以抵抗重放攻击。

3.2.6 抗DoS 攻击

拒绝服务（DoS）攻击意味着攻击者可以发送大量的非法消息来消耗实体的计算资源[30]。如前文所述，每个参与方都会检查时间戳Tn的有效性并且验证消息验证码MACn。任何一个验证不成功，参与方都会终止协议的执行。因此，本文协议能够抵抗DoS 攻击。

3.2.7 关于CRP 泄露攻击

在CRP 泄露攻击中，敌手首先收集足够多的CRP 子集，然后试图从这些CRP 中创建数据模型以预测PUF 对新“激励”的“响应”。然而在本文协议中，智能电表端和服务提供商端都只保存了激励C。而认证阶段所需的响应R都是在协议运行时临时生成的。因此，本文协议从根本上规避了CRP泄露攻击。

本节从安全性、计算量和通信开销3 个方面，将本文协议与Irshad 等[13]和Chen 等[14]的三方认证方案进行比较。其中，Irshad 等[13]采用生物信息和智能卡来保证密钥的安全性，网关参与认证及密钥协商过程。Chen 等[14]采用椭圆曲线Diffie-Hellman密钥交换协议和智能卡来保证密钥的安全性，同时身份信息被加密来保证匿名性。其中，网关只协助认证，不参与密钥的协商。

4.1 安全性对比

表4 对比了各方案的安全性。其中，“Y”表示方案可以抵抗攻击；
“N”表示方案无法抵抗攻击。从表4 可以看出，本文协议具有更好的安全性。

表4 安全性对比

4.2 计算开销对比

为统一计算开销的评判标准，本文参考文献[31]中的统计结果，Gope 等[31]使用基于ARM Cortex-A9 MPCore 890 MHz CPU、Android 5.1 系统、4 GB RAM 的设备模拟资源受限设备，同时使用基于Intel Core i5-4300 2.9 GHz CPU、Ubuntu 12.04 系统、16 GB RAM 的设备模拟非资源受限设备，使用JPBC库计算上述方案中密码运算的执行时间，如表5 所示。上述方案计算开销对比如表6 及图3(a)所示。

表5 密码运算的执行时间

表6 计算开销对比

图3 性能分析

4.3 通信开销对比

通信开销是指参与者在完成认证过程时交换或传输的数据量。这里，本文统一做出如下假设：随机数、身份标识以及时间戳长度为160 bit，加解密以及哈希函数的输出为256 bit，椭圆曲线点为512 bit。各方案中智能电表/需求端、控制中心/网关端和服务提供商/供给端所需的通信开销对比如表7 及图3(b)所示。

表7 通信开销对比

针对智能电网环境下智能电表、控制中心和服务提供商三方之间的身份认证和会话密钥交换问题，本文提出了一个新的认证密钥交换协议。安全性分析证明，本文协议不仅能抵抗常见的网络攻击，还能抵抗物理攻击。另外，本文协议运行过程中不需要用户实时参与，并且具有较高的运行性能。因此，本文协议在智能电网环境下更加安全、实用和高效。

猜你喜欢服务提供商电表密钥巧判电表测量对象中学生数理化·中考版(2022年10期)2022-11-10电表“对”与“错”归类巧掌握中学生数理化·中考版(2021年10期)2021-11-22密码系统中密钥的状态与保护*北京电子科技学院学报(2020年2期)2020-11-20论品牌出海服务型跨境电商运营模式中国经贸导刊(2020年2期)2020-06-01最新调查：约三成云服务提供商正迅速改变其业务模式计算机世界(2018年36期)2018-10-15一种对称密钥的密钥管理方法及系统信息安全研究(2018年1期)2018-02-07基于ECC的智能家居密钥管理机制的实现电信科学(2017年6期)2017-07-01网络非中立下内容提供商与服务提供商合作策略研究软科学(2017年3期)2017-03-31图表OTT电视技术(2014年4期)2014-04-17一种电表模拟软件的应用研究河南科技(2014年6期)2014-02-27

推荐访问:密钥 适用于 电网