王圣寶，周鑫，文康，翁柏森

（杭州師范大學(xué)信息科學(xué)與技術(shù)學(xué)院，浙江 杭州 311121）

0 引言

智能電網(wǎng)是在傳統(tǒng)電力系統(tǒng)的基礎(chǔ)上，通過集成新能源、新材料、新設(shè)備和先進(jìn)傳感技術(shù)、信息技術(shù)、控制技術(shù)、儲(chǔ)能技術(shù)等新技術(shù)，形成的新一代電力系統(tǒng)，具有高度信息化、自動(dòng)化、互動(dòng)化等特征，可以更好地實(shí)現(xiàn)電網(wǎng)安全、可靠、經(jīng)濟(jì)、高效運(yùn)行[1]。智能電網(wǎng)不僅能滿足日益增長(zhǎng)的用電需求，還能規(guī)避社會(huì)用電量爆發(fā)式增長(zhǎng)、用電需求快速上升、電網(wǎng)規(guī)模不斷升級(jí)以及線路復(fù)雜度迅速增加所帶來(lái)的安全風(fēng)險(xiǎn)，同時(shí)也能增加電力需求端和電力供給端的雙向互動(dòng)，降低運(yùn)營(yíng)成本，并最大限度地減少資源浪費(fèi)[2]。因此，全面建立統(tǒng)一“堅(jiān)強(qiáng)智能電網(wǎng)”是中國(guó)電網(wǎng)的發(fā)展方向[1]。

隨著智能電網(wǎng)基礎(chǔ)設(shè)施建設(shè)的推進(jìn)，海量電力終端設(shè)備投入運(yùn)營(yíng)，其種類繁多、部署分散、通信手段多樣。這些特點(diǎn)給智能電網(wǎng)的安全防護(hù)帶來(lái)了新的挑戰(zhàn)[3-4]。信息和系統(tǒng)安全成已為智能電網(wǎng)廣泛部署的一個(gè)關(guān)鍵挑戰(zhàn)[5]。

此外，隱私保護(hù)也是智能電網(wǎng)面臨的挑戰(zhàn)。智能電表收集的數(shù)據(jù)（如用電負(fù)載、功耗、用電時(shí)長(zhǎng)等）的泄露可能導(dǎo)致嚴(yán)重的隱私問題。例如，攻擊者可以利用功耗和負(fù)載信息推斷用戶類型，利用用電記錄推斷用戶用電時(shí)間段，根據(jù)用電習(xí)慣推送個(gè)性化廣告等；攻擊者可使用簡(jiǎn)單的統(tǒng)計(jì)工具從高分辨率的消費(fèi)信息中提取復(fù)雜的用戶使用模式，繼而實(shí)現(xiàn)對(duì)用戶進(jìn)行畫像和監(jiān)控[6]。

為了保障智能電網(wǎng)環(huán)境下信息和隱私安全，需要對(duì)通信參與者進(jìn)行身份認(rèn)證，并在公開信道上安全有效地建立會(huì)話密鑰。Wu 等[7]提出了一種容錯(cuò)和可擴(kuò)展的密鑰分發(fā)方案，采用基于Needham-Schroeder 認(rèn)證協(xié)議的對(duì)稱和基于橢圓曲線密碼學(xué)（ECC,elliptic curve cryptography）的非對(duì)稱密鑰組合方法。由于該方案使用公鑰基礎(chǔ)設(shè)施，因此存在管理密鑰和證書的問題，這會(huì)導(dǎo)致通信開銷增加。Xia 等[8]進(jìn)一步的研究證明，上述方案不能保證密鑰的安全性，并提出了一種新的密鑰分發(fā)方案，可抵抗多種攻擊。Wazid 等[9]提出了一種智能電網(wǎng)環(huán)境下的三因子認(rèn)證方案。在該方案中，用戶和遠(yuǎn)程儀表之間可以進(jìn)行雙向認(rèn)證并建立會(huì)話密鑰。文獻(xiàn)[10]提出了一種基于橢圓曲線的智能電網(wǎng)輕量級(jí)認(rèn)證方案，然而Abbasinezhad-mood 等[11]進(jìn)一步的研究證明該方案并不安全并提出了一個(gè)改進(jìn)方案。2019 年，Chen 等[12]針對(duì)上述方案的不足，提出了一種基于雙線性映射的通信認(rèn)證方案。文獻(xiàn)[13]在V2G（vehicle-to-grid）環(huán)境下，為電動(dòng)汽車充電引入了三方多因素認(rèn)證。文獻(xiàn)[14]在智慧醫(yī)療場(chǎng)景下，采用橢圓曲線實(shí)現(xiàn)醫(yī)生和傳感器節(jié)點(diǎn)的相互認(rèn)證和密鑰建立。

然而，存儲(chǔ)在非易失性存儲(chǔ)器（NVM,non-volatile memory）中的密鑰信息容易遭受側(cè)信道攻擊，破壞協(xié)議的整體安全。因此，物理不可克隆函數(shù)（PUF,physical uncloneable function）被廣泛用于認(rèn)證協(xié)議中。作為一種輕量級(jí)基本安全模塊，PUF無(wú)須使用NVM，且對(duì)侵入式攻擊反應(yīng)靈敏[15]。PUF提供了數(shù)字輸入（激勵(lì)）到數(shù)字輸出（響應(yīng)）的不可逆映射。但與加密哈希函數(shù)不同的是，其安全性來(lái)自物理無(wú)序和不可預(yù)測(cè)性，而非計(jì)算復(fù)雜性理論。這種“激勵(lì)-響應(yīng)”機(jī)制的觸發(fā)不需要存儲(chǔ)、易實(shí)現(xiàn)且能耗低，多應(yīng)用于資源受限的物聯(lián)網(wǎng)設(shè)備的安全認(rèn)證[16]。2018 年，賀章擎等[17]提出了一種基于PUF 的兩方認(rèn)證與會(huì)話密鑰交換協(xié)議，該協(xié)議能抵抗網(wǎng)絡(luò)和物理攻擊。夏艷東等[18]提出了在工業(yè)物聯(lián)網(wǎng)環(huán)境下基于PUF 的輕量級(jí)密鑰交換協(xié)議，適用于資源受限設(shè)備的同時(shí)能抵抗多種已知攻擊。Liyanage 等[19]提出了一種使用PUF 和公共集群節(jié)點(diǎn)在2 個(gè)物聯(lián)網(wǎng)設(shè)備之間進(jìn)行認(rèn)證的方案，該方案中的“激勵(lì)-響應(yīng)”對(duì)（CRP，challenge response pair）不是顯式存儲(chǔ)的，因此攻擊者無(wú)法將相關(guān)聯(lián)的存儲(chǔ)數(shù)據(jù)綁定到機(jī)器學(xué)習(xí)算法中。Bian 等[20]則采用不同的方法，將PUF 和模糊提取器相結(jié)合，構(gòu)造了一種生物認(rèn)證方案。該方案利用模糊提取器來(lái)保護(hù)隱私輸入，增強(qiáng)生物特征數(shù)據(jù)的安全性，從而提高了方案的穩(wěn)健性。

通過對(duì)比分析，本文發(fā)現(xiàn)已有方案主要存在以下4 個(gè)問題。

1) 性能過低。文獻(xiàn)[7-8]方案需要使用公鑰基礎(chǔ)設(shè)施，文獻(xiàn)[10-12]方案需要多次橢圓曲線乘法運(yùn)算或雙線性配對(duì)運(yùn)算。因此這些方案運(yùn)行性能低，不適用于資源受限設(shè)備（如傳感器節(jié)點(diǎn)、智能電表）。

2) 需要人工干預(yù)。文獻(xiàn)[9,20]方案用到了生物識(shí)別，因此需要人工輸入指紋。這顯然不滿足智能電表可以自動(dòng)、周期性地向控制中心（CC）發(fā)送數(shù)據(jù)，而不需要用戶實(shí)時(shí)參與的特點(diǎn)。因此文獻(xiàn)[9,20]方案不適用于智能電網(wǎng)環(huán)境。

3) 不能抵抗側(cè)信道攻擊。大部分工作沒有防范側(cè)信道攻擊從集成電路中提取秘密信息[21]，如文獻(xiàn)[8-14]。然而，智能電表通常安裝在遠(yuǎn)程惡劣環(huán)境下，更容易遭受側(cè)信道攻擊。

4) 通信效率低。文獻(xiàn)[10-12,17,19]所提出的方案都是兩方協(xié)議，要實(shí)現(xiàn)智能電表、服務(wù)提供商和控制中心三方安全通信，就需要在兩兩之間運(yùn)行兩方協(xié)議，這就造成了通信輪數(shù)的大量增加，大大降低了通信效率。

針對(duì)上述問題，本文設(shè)計(jì)了一個(gè)高效的三方認(rèn)證密鑰交換協(xié)議。本文協(xié)議的運(yùn)行不需要人工干預(yù)，并且使用了PUF 模塊以對(duì)抗側(cè)信道攻擊。本文分別采用形式化的BAN 邏輯證明和非形式化方法驗(yàn)證和分析了本文協(xié)議的安全性，并通過性能分析和比較證明本文協(xié)議更加高效和實(shí)用。

1 預(yù)備知識(shí)

1.1 單向哈希函數(shù)

單向哈希函數(shù)H(·) 從任意長(zhǎng)度的輸入生成固定長(zhǎng)度的輸出。其安全屬性如下[22-23]。

1) 抗原像性。對(duì)于給定哈希值h和單向哈希函數(shù)H(·)，很難找出任何原像m使h=H(m)。

2) 抗次原像性。對(duì)于給定的原像a，很難找到另一個(gè)原像b，使H(a) =H(b)。

3) 抗碰撞性。對(duì)同一個(gè)單向哈希函數(shù)H(·)，很難找到2 個(gè)不同的輸入，使H(a) =H(b)。

4) 單向性。對(duì)于給定哈希值h和單向哈希函數(shù)H(·)，提取相對(duì)應(yīng)的輸入m是困難的。

1.2 物理不可克隆函數(shù)

物理不可克隆函數(shù)[24]是嵌入物理結(jié)構(gòu)（如集成芯片）中的物理實(shí)體，通過R← PUF(C)的方式，其可以為給定的輸入（激勵(lì)）生成相對(duì)應(yīng)的輸出（響應(yīng)）。物理不可克隆函數(shù)提供了一種在不安全環(huán)境下認(rèn)證設(shè)備和保護(hù)設(shè)備免受物理威脅的有效方法。換言之，PUF(·) 可以充當(dāng)設(shè)備的數(shù)字指紋。PUF 安全性質(zhì)如下。

1) 唯一性。對(duì)任意2 個(gè)不同的PUF，即PUF1(·)和PUF2(·)，給定同一輸入C，其輸出R1←PUF1(C)和R2← PUF2(C)是不同的。

2) 可再現(xiàn)性。多次對(duì)任一相同PUF 給定相同的輸入，其響應(yīng)是相同的。

3) 不可克隆性。由于物理結(jié)構(gòu)和技術(shù)原因，已嵌入設(shè)備的特定PUF 不可能被克隆。

4) 單向性。PUF 類似于密碼學(xué)中的單向函數(shù)，即給定響應(yīng)R和特定的PUF(·)，生成相應(yīng)的激勵(lì)C是困難的。

1.3 系統(tǒng)模型

如圖1 所示，本文提出的基于智能電網(wǎng)環(huán)境下的認(rèn)證密鑰交換協(xié)議由三方組成，分別為智能電表、控制中心和服務(wù)提供商[25-26]。

圖1 系統(tǒng)模型

1) 智能電表。智能電表廣泛部署于智能電網(wǎng)的需求端（如家庭用電、充電樁等），主要用于收集電力數(shù)據(jù)，如用電負(fù)載、用電量，并將這些數(shù)據(jù)以及故障信息定期發(fā)送給控制中心。這些信息對(duì)于控制中心智能調(diào)度非常重要。

2) 控制中心。類似于網(wǎng)關(guān)和聚合器，控制中心可整合智能電表的數(shù)據(jù)、估算功耗、智能調(diào)控電力服務(wù)以及動(dòng)態(tài)定價(jià)，從而節(jié)省能源、降低電費(fèi)。

3) 服務(wù)提供商。服務(wù)提供商部署于智能電網(wǎng)的供給端（如風(fēng)力發(fā)電站、太陽(yáng)能發(fā)電站等），提供能源服務(wù)，向控制中心發(fā)送發(fā)電容量數(shù)據(jù)以及故障信息等，便于控制中心智能調(diào)度。需要注意的是，本文只考慮服務(wù)提供商的數(shù)據(jù)收集、通信元件，不考慮其電力生產(chǎn)元件。

1.4 安全模型

本文采用經(jīng)典DY（Dolev-Yao）模型[27]來(lái)評(píng)估協(xié)議的安全性。該模型假設(shè)協(xié)議中所使用的密碼學(xué)原語(yǔ)都是安全的，并且攻擊者可以截取、篡改、刪除、存儲(chǔ)和重放來(lái)自公開信道的任何消息。除此之外，在智能電網(wǎng)的場(chǎng)景下，本文還額外假設(shè)攻擊者能夠捕獲傳感器節(jié)點(diǎn)，繼而發(fā)起側(cè)信道攻擊以獲取節(jié)點(diǎn)秘密數(shù)據(jù)。

2 基于PUF 的三方認(rèn)證密鑰交換協(xié)議

本節(jié)詳細(xì)描述所提三方認(rèn)證密鑰交換協(xié)議。協(xié)議分為智能電表注冊(cè)階段、服務(wù)提供商注冊(cè)階段以及認(rèn)證密鑰交換階段3 個(gè)階段。其中，注冊(cè)階段采用安全信道，認(rèn)證密鑰交換階段基于公開信道。這里，本文給定以下假設(shè)。

1) 制造商在制造智能設(shè)備的過程中，已經(jīng)將PUF 嵌入該設(shè)備的集成電路（IC）中，并且每一個(gè)設(shè)備對(duì)應(yīng)的PUF 具有唯一性。

2) 控制中心計(jì)算能力較強(qiáng)并且是安全可信的，既可以完成復(fù)雜計(jì)算，又能保證其內(nèi)部服務(wù)器或數(shù)據(jù)庫(kù)的安全。

3) 智能電表和服務(wù)提供商為資源受限設(shè)備。本文協(xié)議中所使用的符號(hào)說明如表1 所示。

表1 符號(hào)說明

2.1 智能電表注冊(cè)階段

在部署之前，每個(gè)智能電表都需要向控制中心注冊(cè)。智能電表SMi提取其唯一身份標(biāo)識(shí)（序列號(hào)）IDi，并向控制中心CC 發(fā)送IDi以及注冊(cè)請(qǐng)求Reqi，接收到該請(qǐng)求后，控制中心選擇隨機(jī)數(shù)ai，并計(jì)算 TIDi=h1（IDi‖s‖ai）作為SMi的偽身份?？刂浦行碾S機(jī)生成激勵(lì)Ci，并將Ci和TIDi通過安全信道發(fā)送給智能電表SMi。接收到控制中心發(fā)送的消息后，智能電表SMi輸出響應(yīng)Ri← PUFi(Ci)，并將其通過安全信道發(fā)送給控制中心。最后，智能電表SMi將Ci,TIDi存儲(chǔ)在其內(nèi)存中，控制中心將存儲(chǔ)在數(shù)據(jù)庫(kù)中的列表 L1上。

2.2 服務(wù)提供商注冊(cè)階段

服務(wù)提供商分布于智能電網(wǎng)的另一端，這些設(shè)備同樣也需要在部署前向控制中心注冊(cè)。該注冊(cè)階段與智能電表的注冊(cè)階段相同，這里不再詳細(xì)描述。最終，服務(wù)提供商SPj將Cj,TIDj存儲(chǔ)在其內(nèi)存中，控制中心將存儲(chǔ)在數(shù)據(jù)庫(kù)中的列表 L2上。

2.3 認(rèn)證密鑰交換階段

由于智能電網(wǎng)參與方主要通過不可靠的信道進(jìn)行通信，因此參與者之間有必要進(jìn)行相互認(rèn)證并協(xié)商會(huì)話密鑰。本節(jié)詳細(xì)描述了參與方認(rèn)證及密鑰交換的過程，如圖2 所示。

圖2 認(rèn)證及密鑰交換過程

3 安全性分析

3.1 BAN 邏輯證明

BAN 邏輯[28]在認(rèn)證協(xié)議的形式化分析中被廣泛應(yīng)用。本節(jié)采用BAN 邏輯證明協(xié)議可以實(shí)現(xiàn)相互認(rèn)證。表2 給出了BAN 邏輯符號(hào)和含義，表3給出了BAN 邏輯規(guī)則。

表2 BAN 邏輯符號(hào)和含義

表3 BAN 邏輯規(guī)則

1) 進(jìn)行BAN 邏輯分析的理想化前提如下。

消息1：

消息2：

消息3：

消息4：

2) 需要證明的安全目標(biāo)如下。

3) 本文協(xié)議的初始假設(shè)定義如下。

4) 證明過程如下。

3.2 非形式化證明

3.2.1 相互認(rèn)證性

3.2.2 匿名性

3.2.3 抗克隆和物理攻擊

假設(shè)敵手A 可以嘗試篡改SMi、S Pj的內(nèi)存或者實(shí)施側(cè)信道攻擊獲取內(nèi)存中存儲(chǔ)的數(shù)據(jù)[29]。然而，這種嘗試將改變PUF 的功能，敵手將獲得無(wú)法產(chǎn)生任何輸出的PUF。因此，敵手的這種嘗試將變得毫無(wú)意義。因?yàn)槲锢聿豢煽寺『瘮?shù)具有不可復(fù)制的性質(zhì)，所以本文協(xié)議能抵抗克隆和物理攻擊。

3.2.4 抗偽裝攻擊

假設(shè)敵手A 截取智能電表SMi向控制中心發(fā)送的消息M1←{V1,MAC1,TIDi,T1}，然后試圖偽裝成SMi重新發(fā)送篡改后的消息，它必須重新計(jì)算V1和 MAC1。然而，V1和 MAC1中涉及秘密值IDi與Ri。通過前述匿名性、抗克隆和物理攻擊分析可知，敵手無(wú)法獲得這些秘密值，因此，所提協(xié)議可以抵抗智能電表偽裝攻擊。類似地，敵手也無(wú)法成功冒充控制中心CC 和服務(wù)提供商SPj。

3.2.5 抗重放攻擊

本文協(xié)議引入了時(shí)間戳Tn(n= 1,2,3,…)，參與方會(huì)檢查時(shí)間戳的有效性，因此敵手A 無(wú)法直接轉(zhuǎn)發(fā)消息發(fā)起重放攻擊。并且，在本文協(xié)議中，每個(gè)時(shí)間戳都添加到消息驗(yàn)證碼MACn(n= 1,2,3,…)中，若敵手A 通過替換新的時(shí)間戳發(fā)起重放攻擊，則MACn無(wú)法通過驗(yàn)證，導(dǎo)致參與方會(huì)中斷協(xié)議的執(zhí)行。因此，本文協(xié)議可以抵抗重放攻擊。

3.2.6 抗DoS 攻擊

拒絕服務(wù)（DoS）攻擊意味著攻擊者可以發(fā)送大量的非法消息來(lái)消耗實(shí)體的計(jì)算資源[30]。如前文所述，每個(gè)參與方都會(huì)檢查時(shí)間戳Tn的有效性并且驗(yàn)證消息驗(yàn)證碼MACn。任何一個(gè)驗(yàn)證不成功，參與方都會(huì)終止協(xié)議的執(zhí)行。因此，本文協(xié)議能夠抵抗DoS 攻擊。

3.2.7 關(guān)于CRP 泄露攻擊

在CRP 泄露攻擊中，敵手首先收集足夠多的CRP 子集，然后試圖從這些CRP 中創(chuàng)建數(shù)據(jù)模型以預(yù)測(cè)PUF 對(duì)新“激勵(lì)”的“響應(yīng)”。然而在本文協(xié)議中，智能電表端和服務(wù)提供商端都只保存了激勵(lì)C。而認(rèn)證階段所需的響應(yīng)R都是在協(xié)議運(yùn)行時(shí)臨時(shí)生成的。因此，本文協(xié)議從根本上規(guī)避了CRP泄露攻擊。

4 安全與性能對(duì)比

本節(jié)從安全性、計(jì)算量和通信開銷3 個(gè)方面，將本文協(xié)議與Irshad 等[13]和Chen 等[14]的三方認(rèn)證方案進(jìn)行比較。其中，Irshad 等[13]采用生物信息和智能卡來(lái)保證密鑰的安全性，網(wǎng)關(guān)參與認(rèn)證及密鑰協(xié)商過程。Chen 等[14]采用橢圓曲線Diffie-Hellman密鑰交換協(xié)議和智能卡來(lái)保證密鑰的安全性，同時(shí)身份信息被加密來(lái)保證匿名性。其中，網(wǎng)關(guān)只協(xié)助認(rèn)證，不參與密鑰的協(xié)商。

4.1 安全性對(duì)比

表4 對(duì)比了各方案的安全性。其中，“Y”表示方案可以抵抗攻擊；“N”表示方案無(wú)法抵抗攻擊。從表4 可以看出，本文協(xié)議具有更好的安全性。

表4 安全性對(duì)比

4.2 計(jì)算開銷對(duì)比

為統(tǒng)一計(jì)算開銷的評(píng)判標(biāo)準(zhǔn)，本文參考文獻(xiàn)[31]中的統(tǒng)計(jì)結(jié)果，Gope 等[31]使用基于ARM Cortex-A9 MPCore 890 MHz CPU、Android 5.1 系統(tǒng)、4 GB RAM 的設(shè)備模擬資源受限設(shè)備，同時(shí)使用基于Intel Core i5-4300 2.9 GHz CPU、Ubuntu 12.04 系統(tǒng)、16 GB RAM 的設(shè)備模擬非資源受限設(shè)備，使用JPBC庫(kù)計(jì)算上述方案中密碼運(yùn)算的執(zhí)行時(shí)間，如表5 所示。上述方案計(jì)算開銷對(duì)比如表6 及圖3(a)所示。

表5 密碼運(yùn)算的執(zhí)行時(shí)間

表6 計(jì)算開銷對(duì)比

圖3 性能分析

4.3 通信開銷對(duì)比

通信開銷是指參與者在完成認(rèn)證過程時(shí)交換或傳輸?shù)臄?shù)據(jù)量。這里，本文統(tǒng)一做出如下假設(shè)：隨機(jī)數(shù)、身份標(biāo)識(shí)以及時(shí)間戳長(zhǎng)度為160 bit，加解密以及哈希函數(shù)的輸出為256 bit，橢圓曲線點(diǎn)為512 bit。各方案中智能電表/需求端、控制中心/網(wǎng)關(guān)端和服務(wù)提供商/供給端所需的通信開銷對(duì)比如表7 及圖3(b)所示。

表7 通信開銷對(duì)比

5 結(jié)束語(yǔ)

針對(duì)智能電網(wǎng)環(huán)境下智能電表、控制中心和服務(wù)提供商三方之間的身份認(rèn)證和會(huì)話密鑰交換問題，本文提出了一個(gè)新的認(rèn)證密鑰交換協(xié)議。安全性分析證明，本文協(xié)議不僅能抵抗常見的網(wǎng)絡(luò)攻擊，還能抵抗物理攻擊。另外，本文協(xié)議運(yùn)行過程中不需要用戶實(shí)時(shí)參與，并且具有較高的運(yùn)行性能。因此，本文協(xié)議在智能電網(wǎng)環(huán)境下更加安全、實(shí)用和高效。