《電子技術(shù)應用》
您所在的位置:首頁 > 模擬設計 > 設計應用 > 電力物聯(lián)網(wǎng)下終端密鑰全生命周期安全管理方案
電力物聯(lián)網(wǎng)下終端密鑰全生命周期安全管理方案
電子技術(shù)應用
王輝1,袁家輝1,時振通1,房牧2
1.北京智芯微電子科技有限公司;2.國網(wǎng)山東省電力公司電力科學研究院
摘要: 針對電力物聯(lián)網(wǎng)下的終端規(guī)?;尤爰敖K端通信安全問題,提出了一種電力物聯(lián)網(wǎng)下終端密鑰全生命周期安全管理方案。首先,方案基于國密算法采用兩級密鑰分發(fā)架構(gòu),實現(xiàn)了電力終端在不同階段的安全接入認證;其次,方案基于邏輯密鑰層次結(jié)構(gòu)采用組密鑰管理模式,實現(xiàn)了對單播和廣播數(shù)據(jù)的輕量級加密,保障電力終端的通信安全;另外,方案按照密鑰用途不同采取不同的存儲和訪問管理策略,實現(xiàn)了終端密鑰的混合式存儲和管理,縮短終端密鑰的訪問時間。通過性能分析可知,相較于傳統(tǒng)的接入認證和基于邏輯密鑰層次結(jié)構(gòu)的密鑰管理方案,所提方案優(yōu)化了終端計算量,減少了計算開銷,簡化了密鑰更新過程,相較于常規(guī)終端密鑰的存儲和管理方式,所提方案在不改變現(xiàn)有硬件平臺的基礎上提升了密鑰訪問性能。
中圖分類號:TN309 文獻標志碼:A DOI: 10.16157/j.issn.0258-7998.245481
中文引用格式: 王輝,袁家輝,時振通,等. 電力物聯(lián)網(wǎng)下終端密鑰全生命周期安全管理方案[J]. 電子技術(shù)應用,2025,51(1):103-112.
英文引用格式: Wang Hui,Yuan Jiahui,Shi Zhentong,et al. Full lifecycle security management scheme for terminal keys under power IoT[J]. Application of Electronic Technique,2025,51(1):103-112.
Full lifecycle security management scheme for terminal keys under power IoT
Wang Hui1,Yuan Jiahui1,Shi Zhentong1,F(xiàn)ang Mu2
1.Beijing Smart-Chip Microelectronics Technology Company Limited; 2.State Grid Shandong Electric Power Research Institute
Abstract: Aiming at the terminal access and terminal communication security problems under Power IoT, a full lifecycle security management scheme for terminal keys under Power IoT is proposed in this paper. Firstly, the two-stage key distribution architecture based on the state secret algorithm is adopted in the scheme to achieve secure access authentication of power terminals at different stages. Secondly, the group key management model based on logical key hierarchy is adopted in the scheme to achieve lightweight encryption of unicast and broadcast data to secure the communication of power terminals. In addition, different storage and access management strategies are adopted in the scheme to shorten the access time of terminal keys by implementing hybrid storage and management of terminal keys according to key usage. The performance analysis shows that compared to the traditional access authentication and key management scheme based on logical key hierarchy, the scheme of this paper optimizes the terminal computation, reduces the computational overhead and simplifies the key update process. Compared to conventional terminal key storage and management methods, the scheme of this paper improves key access performance without changing the existing hardware platform.
Key words : power IoT;access authentication;data encryption;key storage

引言

電力系統(tǒng)是國家關(guān)鍵基礎設施,其可靠性直接關(guān)系到社會經(jīng)濟的穩(wěn)定運行,電力物聯(lián)網(wǎng)設備需要具備高可靠性,以確保電力供應的連續(xù)性和穩(wěn)定性。電力物聯(lián)網(wǎng)通過使用信息、通信和智能感知等關(guān)鍵技術(shù)徹底改變了電力系統(tǒng)提供的傳統(tǒng)服務,有效地提高了電力系統(tǒng)的效率和可靠性[1-2]。然而,由于網(wǎng)絡攻擊手段的多樣性,非法終端接入、虛假數(shù)據(jù)注入和通信攔截等攻擊手段為電力系統(tǒng)安全帶來極大的風險隱患。然而,電力物聯(lián)網(wǎng)涉及的設備數(shù)量遠超傳統(tǒng)物聯(lián)網(wǎng),包括智能電表、傳感器、控制器、通信模塊等。管理如此龐大的設備群需要高效的設備注冊、配置、監(jiān)控和更新機制。目前,電力物聯(lián)網(wǎng)中設備認證機制不統(tǒng)一,導致不同設備之間的互操作性差,易被冒充和攻擊。此外,現(xiàn)有認證機制復雜且效率低,難以滿足大規(guī)模電力設備快速認證的需求。因此,如何有效鑒別終端身份,建立安全穩(wěn)定高效的認證加密交互機制,有效解決電力終端規(guī)?;尤牒捅U辖K端通信安全已成為亟待解決的難題[3-4]。

對于解決終端規(guī)?;尤雴栴},文獻[5]提出了一個綜合用戶名-密碼認證技術(shù)和USBKey認證的身份認證系統(tǒng)來提高系統(tǒng)安全性。文獻[6]提出了一種基于PKI證書服務系統(tǒng)的終端安全接入的立體保護模型,并根據(jù)該模型設計了電力移動終端安全接入系統(tǒng),但當終端數(shù)量逐漸增加時,系統(tǒng)的穩(wěn)定性會變得越來越差。文獻[7]針對電力移動端接入電力信息網(wǎng)存在的信息安全問題,設計了基于SM2密碼體系的SD卡安全接入方案。但是隨著海量異構(gòu)終端接入的需求日益增加,電力系統(tǒng)中的設備認證要求既要快速高效,又要能適應資源受限的終端設備,以上基于PKI技術(shù)的接入認證方案面臨著維護困難、建設難度增大和無法有效應用在輕量級感知設備中等新的挑戰(zhàn)[8]。相比于PKI體系,標識密碼(Identity-Based Cryptography, IBC)體系具有計算成本低、維護簡單和部署方便等特點[9],適合輕量級設備的接入認證[10]。

隨著電力物聯(lián)網(wǎng)的規(guī)模不斷變大,保障終端通信安全的單密鑰管理機制必將被高效的組密鑰管理機制所代替[11]。電力設備的密鑰管理不僅僅是簡單的分發(fā)和存儲,還包括密鑰的更新、撤銷和恢復等全生命周期管理,傳統(tǒng)方案在密鑰的全生命周期管理上缺乏靈活性和安全性。文獻[12]針對電力物聯(lián)網(wǎng)下傳統(tǒng)的單密鑰管理機制不能滿足一對多的通信需求,提出了一種基于LU對稱矩陣的密鑰管理方案,但該方案無法實現(xiàn)有效的密鑰更新和撤銷機制。目前在處理大規(guī)模的組密鑰管理問題時應用最為廣泛的是邏輯密鑰層次(Logical Key Hierarchy , LKH)結(jié)構(gòu)[13],它可以將計算時間、信息交換和存儲空間等資源減少到對數(shù)大小。文獻[14]在LKH的模型框架下,提出了一種新的方案LKH++,通過利用單向散列函數(shù)的特性和用戶在LKH模型中已經(jīng)共享的消息來提高方案性能。文獻[15]在LKH++方案的基礎之上,通過改進LKH++方案的初始化計算方式和組密鑰的持有方式,提出了一種新的組密鑰管理方案W-LKH++。文獻[16]為了優(yōu)化LKH結(jié)構(gòu)在密鑰更新過程的計算和傳輸開銷,提出了一種構(gòu)建最優(yōu)密鑰樹的啟發(fā)式搜索算法,通過在LKH結(jié)構(gòu)的不同層中搜索最優(yōu)的分支數(shù)量來減少密鑰更新過程中的處理開銷。文獻[17]提出了一種嚴格的二進制邏輯密鑰層次結(jié)構(gòu)的密鑰算法SBLKH,該算法在用戶離開和加入階段會保持密鑰樹的平衡,在密鑰更新過程中的成本始終保持對數(shù)大小。

為了保障終端設備密鑰的安全,減少終端設備的資源消耗,文獻[18]提出了一種基于密鑰矩陣派生的密鑰存儲管理方案,由根密鑰直接派生文件加密密鑰,用戶只需存儲管理密鑰矩陣配置及根密鑰即可動態(tài)生成文件加密密鑰,降低密鑰存儲開銷和計算開銷。文獻[19]提出一種輕量級的動態(tài)密鑰管理方法,通過動態(tài)多項式建立密鑰,并根據(jù)密鑰輪換機制更新密鑰,可保證密鑰前/后向安全,同時簡化密鑰計算模型和優(yōu)化系數(shù)存儲結(jié)構(gòu)。文獻[20]為了解決云存儲數(shù)據(jù)加密背景下海量密鑰存儲造成的存儲空間損耗問題,提出了一種基于矩陣的密鑰派生方案和基于SM2門限算法的密鑰分發(fā)方案,降低了密鑰存儲空間,并提高了密鑰分發(fā)的安全性。然而以上文獻未考慮終端密鑰的訪問效率,在安全芯片使用場景的外部設備需要快速進行安全計算時,利用密鑰文件來訪問密鑰的方法不能保證密鑰的訪問效率。例如,在配電饋線自動化終端中,當某一個終端發(fā)生故障時,需要在20 ms內(nèi)將安全故障信息廣播到其他終端,安全芯片進行數(shù)據(jù)安全計算的時間必須保證在2 ms以內(nèi),采用密鑰文件訪問密鑰的方法無法達到該性能需求。

基于以上方案的分析,本文為了實現(xiàn)電力終端從生產(chǎn)到使用的全生命周期的安全管理,設計了一種電力物聯(lián)網(wǎng)下終端密鑰全生命周期安全管理方案。方案中通過采用兩級標識密鑰管理機制,基于國密SM9算法生成終端保護密鑰,實現(xiàn)電力終端的輕量級認證;通過采用基于改進的LKH結(jié)構(gòu)的密鑰管理方案,對單播和組播的信息進行輕量級加密,既保證了數(shù)據(jù)的機密性和完整性,又提升了加密的效率,適應了電力物聯(lián)網(wǎng)的高頻通信需求;通過設計終端混合式密鑰存儲和管理方法,不僅提高了密鑰的訪問性能,還確保了密鑰在整個生命周期內(nèi)的安全管理,特別適合電力物聯(lián)網(wǎng)的復雜環(huán)境。


本文詳細內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006290


作者信息:

王輝1,袁家輝1,時振通1,房牧2

(1.北京智芯微電子科技有限公司,北京102200;

2.國網(wǎng)山東省電力公司電力科學研究院,山東 濟南250000)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。