一种基于IEC62056数据传输安全标准的三方密钥管理方法

技术领域

本发明应用于智能电网通信领域，具体是一种基于IEC62056数据传输安 全标准的主站、集中器、智能电表三方的密钥管理方案。

背景技术

近年来智能电网迅猛发展，电力公司与各终端用户间实现安全通信的需 求越来越强。根据IEC62056标准规范，使用GCM(Galois/Counter Mode)对 称加密算法分组密码工作模式，以保证通信数据的机密性与完整性。然而密 码技术靠密码算法实现，密码技术的控制却依赖密钥控制，GCM只提供了一 种加密模式，还需要有一套方案对数据加密密钥EK及数据验证密钥AK进行 严格的管理控制。

目前，IEC62056有建议的密钥管理模式：在EK、AK之上设有主密钥 MK，由主站定期更新EKAK，将更新后的EKAK以MK作为密钥加密成密 文发送到智能电表，并以某种方式将EKAK同步发送至主站与电能表之间的 集中器，电能表和集中器收到密文后解出EKAK，确保三方EKAK同步；MK 需要定期升级；

以上，MK升级方案未确定，同时主站、集中器、电能表三者之间使用的 通信信道复杂多变，通信准确率无法保证，若以上述方案，则不能保证三方 更新EKAK的同步性，同时在非安全的信道上传输EKAK，即使有MK的保 护，也同样存在被截取破解的风险。

发明内容

本发明的目的是针对信道的不稳定性和不安全性的问题，提出一种基于 IEC62056数据传输安全标准的三方密钥管理方法，包括从MK到EK、AK的 整体密钥管理方案，解决通信信道复杂多变时如何保证三方更新MK、EK、 AK的同步性及安全性的问题。本方案在密钥升级过程中，信道上传输的数据 皆为可反复传输的非机密数据，保证各级密钥的安全性及同步性。

本发明的技术方案是：

一种基于IEC62056数据传输安全标准的三方密钥管理方法，所述的三方 包括主站、集中器和智能电表，所述的集中器和智能电表均为终端，该三方 密钥管理方法包括：

主密钥MK的生成步骤：主站向终端发起MK协商请求，主站和终端利 用D-H算法得出协商密钥XK，主站和终端各自计算得出MK；

数据加密密钥EK和数据验证密钥AK的生成步骤：采用GHash算法， 以终端身份ID、时间DateTime作为参数；主站向终端发起EKAK生成请求， 终端收到后回复主站确认信号，主站将对各终端的确认信号做记录，对没有 回复确认的终端将在后期再次发送请求；其中，主站计算所有集中器和智能 电表的EK、AK，集中器计算自身以及下挂的所有智能电表的EK、AK，智 能电表计算自身的EK、AK。

本发明的主密钥MK的生成步骤具体为：主站向终端发起MK生成请求， 主站与终端之间采用Diffie_Hellman Key Exchange算法进行密钥协商：

(1)、设置一个大素数q和q的一个本根α，q和α由主站、集中器和智能电表 三方共享；

(2)、设置一个小于素数P的整数作为主站私钥Kzs，计算得出主站公钥Kzp ＝α^Kzs|mod q；

(3)、设置另一个由集中器和智能电表共享的终端私钥Kms，各终端自行算 出Kmp＝^Kmsmod q，；

(4)、主站和终端交换公钥，

主站算出XK1＝(Kmp)^kzsmod q

＝(α^Kmsmod q)^Kzs mod q

＝(α^Kms)^Kzs mod q

各终端算出XK2＝(Kzp)^kmsmod q

＝(α^Kzsmod q)^Kms mod q

＝(α^Kzs)^Kms mod q

XK1＝XK2,主站和各终端拥有相同的协商密钥XK；

(5)、主站和终端各自计算得出MK，计算方法为：

(5-a)、取协商密钥XK后64bit位、8字节，将其分8组即每个字节作为一 组，得到XKn，n＝0-7，Kzp、Kmp同样处理；

(5-b)、主密钥MK共128bit位、16字节，将其分16组即每个字节作为一组， 得到MKn，n＝0-15，按照下述公式分别计算MKn；

MKn＝XK7-n^Kzpn，其中n＝0-7；

MKn＝XK15-n^Kmp15-n，其中n＝8-15；

(5-c)、MK＝MK1||MK15||MK14||MK2||MK3||MK13||MK12||MK4|

           |MK5||MK11||MK10||MK6||MK7||MK9||MK8

其中：^表示按位异或；||表示串联。

本发明的数据加密密钥EK和数据验证密钥AK的生成步骤具体为：

(1)、主站选择当前时间作为DateTime(YYYYMMDDHHMMSS 14个字符， 一个字符8bit)并保存，在主密钥MK生成以后，主站发送DateTime和终端 需要计算的秘钥种类至各终端，终端收到后，回复确认信号；其中，需要计 算的秘钥种类占8bit，包括数据加密密钥EK:0X01，数据验证密钥AK:0X02， 或者前述二者同时计算:0X03；(当此次需要计算的秘钥种类为EK时，主站和 各终端将DateTime作为DateTimeE，当需要计算的秘钥种类为AK时，主站 和各终端将DateTime作为DateTimeA，当需要计算的秘钥种类为EK和AK 时，各终端将DateTime同时作为DateTimeE和DateTimeA)

(2)、根据GHash算法，主站计算所有集中器和智能电表的EK、AK，集中 器计算自身以及下挂的所有智能电表的EK、AK，智能电表计算自身的EK、 AK，EK、AK的计算公式如下：

EK＝GHash(MK*((MK*DateTimeE)^ID))；

AK＝GHash(ID*((ID*DateTimeE)^MK))；

其中：ID表示所计算的集中器或智能电表的身份ID，*表示按位乘，^表示按 位异或，DateTimeE表示主站发送的要求生成EK的时间参数，DateTimeA表 示主站发送的要求生成AK的时间参数。

本发明的方法还包括EKAK的更新步骤：主站选择一未来时间DateTime 告知整个系统，DateTime即作为EKAK的生成算法GHash的参数，亦作为新 密钥生效时间参考，按照数据加密密钥EK和数据验证密钥AK的生成步骤更 新EKAK。

本发明的方法还包括MK的更新步骤：当需要更新MK时，重新设定主 站私钥Kzs，主站发起MK协商请求，即可使整个系统的MK重新赋值。

本发明的方法还包括各级密钥修复步骤：终端的MK生成后，将MK生 成标志位置位，当MK生成标志位未置位时，拒绝除MK协商外的任何命令； 当终端的EK和/或AK生成后，将EK和/或AK生成标志位置位，当EK和/ 或AK生成标志位未置位时，拒绝除MK协商和EKAK升级外的任何命令， 并能够主动要求主站发起协商更新。

本发明的有益效果：

本发明中，EK、AK从未在信道中传输，并可实时更新，且各终端各不 相同，若需要破解通信数据，必须要破解EK、AK，破解EK、AK必须从 MK入手，而MK的确认需要4个要素，一是素数q和其本根，二是主站私 有密钥Kzs，三是终端共享另一私钥Kms，四是MK生成算法；在用户系统 新建时，可将前三个要素的赋值权交给第三方用户，这样要得到MK需要同 时攻破三个要素，并得到算法；即使攻击方仿冒终端并得到系统MK，也没有 其它终端相关信息，无法得出各终端EK、AK，由此系统的安全得以保证， 同时，各端拥有标志位，若有MK协商失败，或EKAK生成失败，也可及时 重新协商生成直至成功，使得整个系统处于一个安全、稳定、可靠的状态。

附图说明

图1是本发明的结构示意图。

图2是Diffie_Hellman Key Exchange算法示意图；

图3主站系统新建时协商密钥，及通信中的密钥确认流程图；

图4终端系统新建时协商密钥流程图；

图5密钥生成标志位示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的说明。

如图1所示，主站与集中器、智能电表进行密钥协商，系统拥有统一MK； 主站发起EKAK生成命令，主站与集中器、智能电表各自生成应有的EKAK； 此后即可加密通信。

MK的生成：利用Diffie_Hellman Key Exchange算法进行密钥协商，需要 一个大素数q和q的一个本根α，q和α三方共享；主站为MK生成的发起者， 拥有MK设定权者设定一个小于素数P的整数作为主站的私有密钥Kzs，计 算得出主站公钥Kzp＝α^Kzs mod q。终端共享另一私钥Kms,各终端自行算出 Kmp＝α^Kms mod q，主站和终端交换公开密钥，

主站算出XK1＝(Kmp)^kzsmod q

＝(α^Kmsmod q)^Kzs mod q

＝(α^Kms)^Kzs mod q

终端算出XK2＝(Kzp)^kmsmod q

＝(α^Kzsmod q)^Kms mod q

＝(α^Kzs)^Kms mod q

XK1＝XK2,主站和各终端拥有相同的交换密钥XK(由于嵌入式产品计 算能力的限制，q需控制在10位数以内，以保证运算生成XK时间控制在毫 秒以内)。

此时，主站、终端(集中器和电表)共享XK、Kzp、Kmp，各端以这三个 参数再做如下运算：取协商密钥XK后64bit位、8字节，将其分8组得到XKn， n＝0-7，Kzp、Kmp同样处理；主密钥MK共128bit位、16字节，将其分16 组得到MKn，n＝0-15，按照下述公式分别计算MKn；

MKn＝XK7-n^Kzpn，其中n＝0-7；

MKn＝XK15-n^Kmp15-n，其中n＝8-15；

最终得到 MK＝MK1||MK15||MK14||MK2||MK3||MK13||MK12||MK4|

            |MK5||MK11||MK10||MK6||MK7||MK9||MK8

最终主站、终端(集中器和电表)都拥有相同的MK，并置位MK生成标志位。

当系统需要更新MK时，只需要MK设定权者重新设定主站的私有密钥Kzs， 发起MK协商，即可使整个系统的MK重新赋值。

MK的确认需要4个要素，一是素数q和其本根α，二是主站私有密钥Kzs， 三是终端共享另一私钥Kms，四是MK生成算法；在用户系统新建时，可将前 三个要素的赋值权交给三方，这样要得到MK需要同时攻破3方，并得到算 法，这样电表生产厂家没有系统安全责任。

EK、AK的生成采用GHash算法，以终端身份ID、时间DateTime作为参数， 由主站控制生成更新。具体公式为：

EK＝GHash(MK+ID+DateTimeE)；

AK＝GHash(MK^ID^DateTimeA)；

系统新建时，主站选择当前时间yyyymmddhhss作为DateTime并保存，MK 生成以后，主站发送DateTime||0X03至各终端，终端收到后回复确认信号并根 据GHash算法、MK、自身身份ID和DateTime计算得出EKAK，并置EKAK生 成标志位(若终端为集中器，集中器生成自己的EKAK的同时，计算其所有下 挂表EKAK)；主站同时生成所有回复确认信号的终端EKAK。

当EK需要升级时，主站选择一个未来时间作为DateTimeE并保存，发送 DateTimeE||0X01至各终端，各终端收到信号后回复并算出EK(若终端为集中 器，集中器升级自身EK的同时，升级其所有下挂表EK)，主站同时升级所有 回复确认信号的终端EK；在DateTimeE当天结束后，系统销毁旧EK，使用新 EK。

AK同样处理，主站发送数据为DateTimeA||0X02。

新终端接入系统，首先等待MK的协商，MK生成后等待DateTime，即时生 成EKAK；主站检测到新终端即开始密钥协商。

后续通信过程中，主站通过各终端的标志位(在通信协商过程中置位具 体见图3、图4)，辨别该终端是否已经生成MK、EK、AK，是否可以进行 GCM加密通信，并可以主动重新发起密钥协商；表端根据标志位可以回复主 站密钥生成出现问题要求重新协商密钥；集中器与表端通信时表端密钥若有 问题，表端同样回复密钥出现问题，并向主站要求协商密钥。如此，若有MK 协商失败，或EKAK生成失败，也可及时重新协商生成直至成功，整个系统 处于一个安全、稳定、可靠的状态。

本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。