梁 捷，梁廣明，黃水蓮

(1.廣西電網(wǎng)有限責(zé)任公司計(jì)量中心，南寧 530023; 2.南寧百會藥業(yè)集團(tuán)有限公司，南寧 530003)

0 引 言

南方電網(wǎng)公司2015年的技術(shù)標(biāo)準(zhǔn)給智能電表定義了本地和遠(yuǎn)程兩種費(fèi)控模式，利用本地模式下電表存儲用戶的剩余金額和購電次數(shù)等信息，可實(shí)現(xiàn)本地計(jì)費(fèi)和對電表的費(fèi)控拉合閘操作[1]。但通過購電卡傳輸費(fèi)控信息需要用戶到指定電力客服網(wǎng)點(diǎn)寫卡，且由于遠(yuǎn)程費(fèi)控系統(tǒng)建設(shè)滯后等原因，目前使用最多的仍是遠(yuǎn)程模式智能電表。該模式存在的問題是，用戶購電后遠(yuǎn)程合閘復(fù)電經(jīng)常因?yàn)橛?jì)量自動化系統(tǒng)信道干擾和終端失電掉線等問題導(dǎo)致合閘失敗[2]。

為了提升用戶購電和復(fù)電過程的便捷性和安全性，研究一種既能提供方便快捷服務(wù)，又能保證費(fèi)控系統(tǒng)信息交互安全性的本地費(fèi)控方案，成為供電公司的工作目標(biāo)。

隨著新標(biāo)準(zhǔn)智能電能表在南方電網(wǎng)的推廣使用，結(jié)合現(xiàn)有技術(shù)標(biāo)準(zhǔn)以及電網(wǎng)公司本地費(fèi)控業(yè)務(wù)的實(shí)際應(yīng)用需求，基于“一次一密”的密鑰安全機(jī)制，設(shè)計(jì)一種基于二維碼虛擬介質(zhì)的本地費(fèi)控業(yè)務(wù)信息傳輸方案。

1 本地費(fèi)控信息二維碼傳輸方案

隨著網(wǎng)絡(luò)信息化發(fā)展和移動應(yīng)用的推廣使用，用戶需求傾向于采用移動支付等手段完成購電充值等業(yè)務(wù)。為了滿足用戶足不出戶的需求，須提高智能電表本地費(fèi)控業(yè)務(wù)辦理的便利性。

基于二維碼虛擬介質(zhì)的本地費(fèi)控業(yè)務(wù)信息傳輸方案的特點(diǎn)在于，當(dāng)計(jì)量系統(tǒng)對用戶遠(yuǎn)程購電成功但充值復(fù)電指令下發(fā)失敗或因故延遲時(shí)，用戶可通過智能手機(jī)申請獲取自主購電復(fù)電虛擬介質(zhì)，而后只需經(jīng)過智能交互終端讀取識別該介質(zhì)并完成兩者間的安全認(rèn)證，即可對電表傳輸充值、復(fù)電指令，從而自主實(shí)現(xiàn)本地費(fèi)控業(yè)務(wù)。

如圖1，以基于二維碼介質(zhì)的本地復(fù)電業(yè)務(wù)為例，其信息交互流程為：

圖1 基于二維碼介質(zhì)的本地復(fù)電過程

1) 用戶網(wǎng)上購電付費(fèi)成功后，費(fèi)控系統(tǒng)主站調(diào)用虛擬介質(zhì)模塊接口發(fā)起遠(yuǎn)程復(fù)電業(yè)務(wù)請求流程，虛擬介質(zhì)模塊接收復(fù)電請求，利用該報(bào)文內(nèi)的戶號、表號、充值金額、充值時(shí)間等購電信息生成復(fù)電虛擬介質(zhì)；

2)通過加密模塊接口調(diào)用加密機(jī)對該介質(zhì)進(jìn)行加密并計(jì)算交互終端數(shù)據(jù)認(rèn)證校驗(yàn)碼MAC1，并將該介質(zhì)的密文和MAC1返回給費(fèi)控系統(tǒng)；

3)費(fèi)控系統(tǒng)通過短信服務(wù)模塊發(fā)送包含虛擬介質(zhì)鏈接的短信至用戶手機(jī)；用戶接收到短信后，訪問短信中的鏈接，獲取加密后的虛擬介質(zhì)二維碼；

4)用戶在電表安裝現(xiàn)場或電網(wǎng)購電營業(yè)廳設(shè)置的智能交互終端上以掃碼方式識讀虛擬介質(zhì)。交互終端通過其內(nèi)置的安全模塊對虛擬介質(zhì)二維碼進(jìn)行解密和MAC1驗(yàn)證，生成復(fù)電/充值指令，并計(jì)算形成電表復(fù)電數(shù)據(jù)認(rèn)證校驗(yàn)碼MAC2，從而組成遠(yuǎn)程復(fù)電指令，并發(fā)送給指定電表；

5)電表對復(fù)電指令進(jìn)行解密和認(rèn)證，從戶號、表號是否匹配，剩余金額是否充足等方面判斷是否滿足復(fù)電條件，若滿足則對電表進(jìn)行合閘復(fù)電操作。

所述智能交互終端根據(jù)南方電網(wǎng)現(xiàn)行費(fèi)控交互終端技術(shù)規(guī)范設(shè)計(jì)，并在其基礎(chǔ)上增加虛擬介質(zhì)識讀功能。

2 二維碼傳輸方案的安全機(jī)制設(shè)計(jì)

為保證第1節(jié)所述方案中信息傳遞過程的安全性，設(shè)計(jì)了一種二維碼數(shù)據(jù)傳輸?shù)陌踩用軝C(jī)制。

加密算法采用國密SM1對稱密鑰算法，該算法不公開，僅以IP核的形式存在于加密芯片中，使用時(shí)通過加密芯片的接口進(jìn)行調(diào)用[3]。二維碼的安全加密采用“一次一密”方式，其密鑰傳輸過程如圖2所示。該算法要求每次對明文的加密采用不同的過程密鑰來完成，過程密鑰是密鑰傳輸時(shí)在隨機(jī)數(shù)參與下對主密鑰進(jìn)行分散產(chǎn)生的。采用這種加密方式時(shí)，除非攻擊者知道主密鑰信息，否則須經(jīng)過2n(n為明文長度)次破解嘗試才能獲得密鑰，當(dāng)明文較長時(shí)計(jì)算量劇增，難以在有限的時(shí)間內(nèi)完成，故該加密機(jī)制理論上具有較高的安全性。

圖2 “一次一密”密鑰傳輸過程

2.1 密鑰生成

密鑰管理系統(tǒng)是生成和管理密鑰的專用系統(tǒng)。密鑰生成時(shí)，計(jì)量主站和智能交互終端首先通過密鑰管理系統(tǒng)獲得共同的傳輸主密鑰和認(rèn)證密鑰。主站端的主密鑰保存于專用加密機(jī)內(nèi)，智能交互終端的主密鑰保存于終端安全模塊(ESAM)內(nèi)，僅能在芯片內(nèi)部解密時(shí)使用，無法從外部讀取破解。

2.2 報(bào)文加密

加密時(shí)首先生成128位隨機(jī)數(shù)，利用隨機(jī)數(shù)對傳輸主密鑰執(zhí)行分散操作。分散過程包括左右循環(huán)、分組和單向HASH變換[4]等，目的是為了提高數(shù)字串的混亂程度，進(jìn)而優(yōu)化生成密鑰的安全性。

使用經(jīng)過分散獲得的過程密鑰，對二維碼數(shù)據(jù)明文進(jìn)行加密獲得密文，同時(shí)使用認(rèn)證密鑰對數(shù)據(jù)明文進(jìn)行HASH轉(zhuǎn)換獲得數(shù)據(jù)認(rèn)證驗(yàn)證碼A。

2.3 密文發(fā)送

將數(shù)據(jù)密文、隨機(jī)數(shù)和驗(yàn)證碼A打包形成傳輸報(bào)文，然后轉(zhuǎn)換為二維碼發(fā)送給用戶。

2.4 報(bào)文解密

用戶獲取二維碼后在智能交互終端掃碼識別。交互終端將二維碼解碼后送入ESAM，ESAM利用內(nèi)部存儲的傳輸主密鑰和報(bào)文中的隨機(jī)數(shù)進(jìn)行同樣的分散操作獲得傳輸過程密鑰，再利用該密鑰對數(shù)據(jù)密文進(jìn)行解密獲得二維碼明文。然后，ESAM利用內(nèi)部存儲的認(rèn)證密鑰對數(shù)據(jù)明文進(jìn)行HASH轉(zhuǎn)換獲得驗(yàn)證碼B，比較報(bào)文中驗(yàn)證碼A與B是否相同即可確定接收報(bào)文與傳輸報(bào)文是否一致。

3 智能交互終端硬件設(shè)計(jì)

智能交互終端硬件設(shè)計(jì)如圖3，主要由RFID模塊[5]、虛擬介質(zhì)識別模塊、安全模塊、通信模塊、主控模塊構(gòu)成。除了傳統(tǒng)購電卡的讀取功能，智能交互終端還支持二維碼等虛擬介質(zhì)的讀取，并與營銷主站及手持服務(wù)終端等維護(hù)設(shè)備構(gòu)成智能化的用戶費(fèi)控業(yè)務(wù)信息管理系統(tǒng)。

圖3 智能交互終端硬件設(shè)計(jì)框圖

南方電網(wǎng)公司本地費(fèi)控智能電表購電卡使用13.56 MHz的射頻IC卡，又稱非接觸式IC卡，屬于高頻標(biāo)簽的一種，具有較高的數(shù)據(jù)傳輸速率和響應(yīng)速度[6]。圖3中，智能交互終端的RFID模塊主要是通過射頻天線產(chǎn)生一個(gè)能量來供給購電卡工作，使購電卡內(nèi)芯片完成數(shù)據(jù)讀取、修改和存儲，并返回相關(guān)信息給RFID模塊。主控模塊主要根據(jù)用戶命令調(diào)度交互終端中其他功能模塊完成購電卡或二維碼等虛擬介質(zhì)中的用戶信息采集及其他指定功能。

虛擬介質(zhì)識別模塊主要由攝像頭、補(bǔ)光設(shè)備、圖像識別算法單元組成。其中，虛擬介質(zhì)識別模塊對當(dāng)前數(shù)字或圖形信號進(jìn)行捕獲，并將捕獲到的信號進(jìn)行處理，得到虛擬介質(zhì)承載的二進(jìn)制原始數(shù)據(jù)，并發(fā)送至相關(guān)模塊進(jìn)行下一步處理。

為了用戶敏感數(shù)據(jù)的安全，購電卡和虛擬介質(zhì)的數(shù)據(jù)均需進(jìn)行加密，因此終端內(nèi)嵌專用安全模塊。數(shù)據(jù)交互過程中的安全認(rèn)證及加、解密流程均在安全模塊內(nèi)完成。安全模塊符合中國南方電網(wǎng)公司《費(fèi)控電能表信息交換安全認(rèn)證技術(shù)要求》中的安全性和功能性要求，支持SM1國密算法，具有真隨機(jī)數(shù)發(fā)生器[7]。

4 案例測試

為了驗(yàn)證所設(shè)計(jì)的信息傳輸方案的可行性和智能交互終端的功能，搭建測試平臺對二維碼復(fù)電和充值功能進(jìn)行模擬測試。

4.1 二維碼復(fù)電功能測試

二維碼復(fù)電功能測試平臺架構(gòu)如圖4，主要包括ESAM工裝、讀卡器和上位機(jī)。測試時(shí)，交互ESAM安裝在工裝內(nèi)，將卡片形式封裝的電表安全芯片插入讀卡器主卡槽，然后分別連接到測試主機(jī)的USB口，在測試主機(jī)上運(yùn)行交互終端安全模塊測試軟件進(jìn)行二維碼復(fù)電功能驗(yàn)證。軟件界面如圖5所示。

圖4 二維碼復(fù)電功能測試平臺

圖5 虛擬介質(zhì)交互終端專用安全模塊流程測試

在測試軟件內(nèi)選擇執(zhí)行復(fù)電指令測試命令，進(jìn)行智能交互終端安全模塊的二維碼復(fù)電命令測試。測試結(jié)果如圖6所示，上位機(jī)下發(fā)模擬復(fù)電命令至模擬智能交互ESAM工裝后，安全模塊能夠正常解讀。然后轉(zhuǎn)發(fā)至電表ESAM芯片，該芯片解密后，從電表芯片中能夠讀取出復(fù)電命令明文(即遠(yuǎn)程控制命令)，解密報(bào)文與所下發(fā)的一致，則表明測試成功。

圖6 復(fù)電命令測試

4.2 二維碼充值功能測試

二維碼充值功能測試平臺包括上位機(jī)和智能交互終端，上位機(jī)用于產(chǎn)生充值復(fù)電密文二維碼，智能交互終端內(nèi)置專用ESAM，并具備二維碼掃碼設(shè)備，可以直接掃描識別測試主機(jī)產(chǎn)生的密文二維碼。

在測試軟件內(nèi)執(zhí)行二維碼充值指令測試命令，上位機(jī)生成充值命令二維碼，使用智能交互終端掃描讀取該二維碼。測試結(jié)果如圖7，可見，交互終端完成了與電表的交互充值，充值命令發(fā)送成功。

圖7 充值命令測試

若重復(fù)掃描二維碼，由于“一次一密”的安全機(jī)制，可觀察到電表內(nèi)充值金額未重復(fù)增加，驗(yàn)證了充值二維碼一次性使用的特點(diǎn)。

5 結(jié) 語

設(shè)計(jì)了一種通過二維碼等虛擬介質(zhì)為費(fèi)控電能表進(jìn)行充值及復(fù)電的信息傳輸方案，解決了遠(yuǎn)程費(fèi)控模式下，智能電表實(shí)現(xiàn)充值及復(fù)電功能必須依賴計(jì)量自動化系統(tǒng)的問題。同時(shí)，結(jié)合該方案設(shè)計(jì)了一種智能交互終端，它能夠讀取識別以二維碼形式傳輸?shù)馁忞姾蛷?fù)電信息，并通過本地通信信道下發(fā)給智能電表，使其執(zhí)行本地費(fèi)控功能。為了防止該過程可能發(fā)生的偽造、篡改、重復(fù)攻擊等信息安全問題，設(shè)計(jì)了基于“一次一密”的安全加密機(jī)制。

該方案的傳輸及充值復(fù)電過程操作簡便，不僅可為電網(wǎng)公司減少業(yè)務(wù)成本，還可提升用戶用電滿意度。