一个在电力线通信之外的安全智能电表协议.docx

《一个在电力线通信之外的安全智能电表协议.docx》由会员分享，可在线阅读，更多相关《一个在电力线通信之外的安全智能电表协议.docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一个基于电力线通信的安全智能电表协议Sungwook Kim, Eun Young Kwon, Myungsun Kim, Jung Hee Cheon, Seong-ho Ju, Yong-hoon Lim, andMoon-seok Choi摘要：一个智能计量系统是一个能够计量电，燃气及水的消耗并能通过测量设备的远程控制管理他们的供应的系统。电力线通讯（PLC）并不需要一个单独的通信线路就能很容易地利用电力线基础设施进行安装。PLC也允许用户通过将电源线插入电源插座的方式方便地连接PLC网络的测量设备。因此，一个基于PLC的智能计量系统的已被视为一个最合适的技术用来自动抄表控制，这对于实现

2、智能电网是至关重要的。我们提出一个安全的智能电表协议包括：1）未曝光的生成和配置的设备的关键材料;2）交换数据之前，在设备之间初始化网络中的验证设备和共享密钥，（3）安全传输抄表数据，以及4）撤销对于网络上被丢弃的设备的处理的管理。特别是，我们的协议提供强大的身份验证设备和数据，它可以采用秘密共享通过多种认证的方式来防止单点当局。它也能降低逐跳认证服务器传输的到服务器的终端节点的数据的服务攻击的风险。关键词 ： 电力线通讯（PLC），安全，智能，计量。一介绍PLC是一种承载数据同时通过电源线发送电力的技术。由于电力线已经广泛建立，PLC不需要单独的通信线路，就能很容易地安装。而且它也可以通过骨

3、干网连接到不同的网络。此外，设备可以通过将电源线插入电源插座轻松地访问系统。因此，PLC一直被认为是用远程抄表系统和自动化控制系统来实现先进的计量基础设施（AMI）系统最合适的技术，这也是智能电网的一个重要组成部分。手稿收到于2010年9月24日，于2011年3月8日修订;于2011年5月15日接受。出版日期2011年7月11日；当前版本日期2011年10月07。这项工作获得了韩国能源技术评价研究所发电和电力交付（KETEP）的支持，这是由韩国政府知识经济部（R-2005-1-397-004号）规划的无偿资助。材料非纸质。 TPWRD-00732-2010。S. Kim, E. Y. Kwon

4、, M. Kim, and J. H. Cheon来自于韩国首尔151-747，首尔国立大学，数学科学学院（电子邮箱：; ; ;）。S. Ju, Y. Lim, and M. Choi来自于韩国大田305-380韩国电力科学研究所（电子邮箱：; ）。数字对象标识符10.1109/TPWRD.2011.2158671智能计量是指安装智能抄表系统，远程抄表，并发送向用户的读数的步骤，。读数可以包括气体，水，电的消耗的详细信息。智能电表所需的个人技术大多处在被固定的状态。在这方面目前的主要问题之一是防止在读数抄表或数据传输期间篡改计量和读数。近年来，世界各地的许多国家采用智能电表系统来进行远程抄表。

5、目前针对改善仪表读数的准确性，设计网络传输仪表读数，并制定保护仪表的读数方法的研究正在进行中。美国（USA）对先进计量基础设施（AMI）设置了安全要求的在2008年12月13。国家标准与技术研究所（NIST）提出智能电网的互操作性的框架，改框架包括2010年1月提出的网络安全的智能电网标准10，和2010年8月提出的智能电网网络安全的策略和要求11。除了对安全性要求的研究，基于Certicom所提供的安全解决方案的实施正在进步，然而，一个对于系统的详细描述不会被释放。欧洲联盟（EU）正在推进智能电网安全标准化成为智能电网标准化的一部分，推动贯穿在 “智能电网欧洲技术平台” 整个项目中。该项目由

6、5个研究部分实施出来的19个详细的研究组成 16。 “OPEN meter”项目12，欧盟正在进行中，和它奠定了在2009年7月提出的安全要求规范15。国际电工委员会（IEC）的智能电网战略组（SG3）在2010年6月提出了中日智能电网标准化路线图 14。它包括介绍现有的库存标准，实际的标准和未来要求之间的差距分析，进化的建议。正如前面提到的，关于安全智能计量的最前沿的研究专注于绘画的安全要求。对于使协议满足安全要求的发展的研究是在早期阶段。到目前为止只有几个具体的协议建议，此外，很少有关于他们的资料描述的信息被释放。据我们所知，这是在公共场所的安全智能电表的第一个协议。在本文中，我们定义并设

7、计一个安全的智能电表协议（SSMP）。在SSMP中我们描述的所有数据结构和程序包括：1）关键材料产生并提供给设备而不会暴露;2）在发送和接收数据之前，初始化对网络中的设备进行身份验证并且在设备之间共享密钥;3）抄表数据的安全传输;4）撤销对网络丢弃的装置的处理的管理。拟议的协议会对一些加密的原语产生攻击性。公开密钥密码体制，如公钥加密方案和数字签名，正在被用于产生和验证密钥，以此在PLC网络中验证设备并且在设备之间共享密钥。由于读出的数据需要经常进行加密，一个用于认证的加密方案用来保证系统的效率和安全性，保密性，完整性，和数据的真实性。数字签名的用于任意的提供认可的仪表读数。在管理协议中，废弃

8、设备依据证书吊销列表（CRL）的管理被处理。该协议在两方面提供强有力的设备和数据的认证。首先，安全认证公共键被加强，以防止单点故障。在公钥密码体制基础上的协议里，它是保证关公共密钥认证安全的核心（即曝光整个的认证密钥的安全性失败的原因系统）。因此，该协议的目的是通过把分裂一个认证密钥和分发多个证书颁发机构的主要股份来分散证书颁发机构。用同样的方法，即使有一定数量的当局之间的勾结也没有一个认证密钥的信息被显示。此外，即使当一个认证密钥被泄露，多重认证密钥可以用来将损害限制到一个特定的范围内。其次，该协议进行逐跳认证，以减少在服务器上拒绝服务（DoS）攻击的风险。在PLC网络中，恶意用户可以以压倒

9、性的数据饱和，导致服务器崩溃。在该协议中，中间节点上的设备验证所有从终端节点发送到服务器的数据，以便无效的数据可以被过滤。二 SSMP的体系结构和功能在本节中，我们引入了SSMP的组件和网络拓扑结构的。我们还考虑远程抄表系统，加密原语的安全性的要求，这在该协议中作为构建块。A. SSMP的组件服务器：服务器可分为证书颁发机构（CA），注册机构（RA）和计量机构（MA）的服务器。 SSMP逻辑处理这三种功能服务器成为一台服务器的关系。制造商：这意味着生产IRM和PLC调制解调器的企业，PLC调制解调器构成PLC远程计量读表网络。IRM：这是一个中间节点连接的服务器和在一个网络中的PLC调制解调器

10、。它已经达到PLC调制解调器的高度。它传送每个由PLC调制解调器发送的相关的服务器的测量值，并执行主消息认证。PLC调制解调器接：它收到每个家庭的电表读数，并且将它们发送到IRM。由于电表读数直接连接到PLC调制解调器，所以在SSMP中PLC调制解调器和电表被认为是相同的。两者有相同的密钥。 图1所示SSMP的拓扑结构。B攻击的类型和攻击者的目标最弱的攻击者是窃听节点之间通讯的窃听者。这些攻击者能够收集仅加密水表读数。攻击的例子随着强度的增加在下面给出。密文攻击（COA）：在COA中，攻击者通过窃听，试图推断来自密文的解密密钥或明文;已知明文攻击（KPA）：在一个KPA中，攻击者可以获得很多明

11、文和相应的密文。攻击者，其中可能包括户主，可以通过读表得到这些明文和密文，然后窃听通过计量发送的加密的值;选择明文攻击（CPA）：在CPA中，攻击可能选择明文和对应的密文;一个家可以控制消耗的电量然后窃听他通过计量发送的加密值;选择密文攻击（CCA）：在SSMP中，因为每个加密抄表都会生成一个消息认证码，攻击者不能伪造一个合法的密文为任意值，但是，他/她可以通过公开加密在SSMP里的密钥发动攻击。攻击者的目标，大致可分为四类：1）服务器或IRM过载，例如DoS攻击；2）伪造身份验证的加密的抄表方式;；3）估计抄表是加密的被传输的；4）确定网络组件的私有密钥或秘密密钥。C 安全性要求SSMP的安

12、全性的是以它的为基础，四个加密协议使用不同的密钥。SSMP的第一协议处理设备的生产管理以及初始化。它定义了为每个网络设备安全地生成密钥，发行公钥证书，并将这些传送到各自的设备的方法。第二个协议处理相互认证和网络设备之间的密钥共享，这是在嵌入式键的基础上进行操作。该协议使用第一个协议产生的键，来对设备对的真实性进行验证，并安全的定义了称为共享密钥的密钥分享的方法。第三个协议通过加密/解密安全地处理提供抄表，这是SSMP的核心。它还定义了推导密钥用于此目的的方法;该方法从每对设备之间的共享密来演绎仪表加密/解密的密钥钥，这些设备由第二条协议生成；该方法能传送加密抄表方法发送加密抄表;该方法为各自产

13、生的加密抄表设备提供不可否认性。第四个协议定义管理证书被撤销设备的方法，也就是，证书吊销管理列表（CRL）。SSMP的安全特性如下：为了尽量减少的概率密钥泄漏的可能性，设备密钥和公共密钥/私有密钥在每个装置中生成，而密钥托管不会被允许；当认证负责人使用认证密钥颁发证书时，可能发生单点故障。为了避免单点故障，权威认证是分散的；当用于为每个设备颁发证书的认证密钥被损坏，为了减少这时受到攻击的风险，多个认证密钥生成，一个认证键是用来确保只有有限数量的设备；为了保证安装在表，PLC调制解调器，IRM中程序的完整性，所有在SSMP中的程序代码都不得不被认证服务器进行身份验证；SSMP节点必须在传送和接受

14、来自其他设备的数据之前，执行明确的密钥认证和相互实体认证；SSMP节点在它传送或者接受来自其他目标设备的数据之前，不得不检查目标设备证书是否已被撤销；由于IRM可以将每个仪表和MA服务器在PLC网络中连接起来，安全性最容易受到威胁，它提供终端到终端的安全性；所有仪表读数在SSMP设备之间传输，保证数据的完整性；它对从仪表传送到服务器上的抄表提供了不可否认性；它可以防止服务器上DoS攻击；SSMP是在设计时考虑到可扩展性功能，这样在未来能够包括更多的服务。D.加密基元在本节中，我们简要地介绍了用于SSMP的密码原语，这种SSMP具有要求的安全概念。对于每一个安全概念的定义，请参阅1。块密码算法应

15、用在仪表读数传输协议中，同时在推导一个共享密钥到一个会话密钥的过程中也有运用。 SSMP的分组密码算法中应至少具有安全128-B键的IND-CPA。SSMP使用经过验证的加密方案来加密仪表的读数。该方案保证了保密完整性和数据的真实性。认证加密涉及通过使用分组密码算法获得的密文的消息块，以及anMAC的明文或密文。有三种方法结合加密和MAC，即Encrypt-and-MAC, MAC-then-Encrypt，还有EncryptthenMAC。Rogaway在7 提出的相关数据的认证加密（AEAD）是一种经过验证的加密。它能保证数据的保密性和完整性以及相关的数据的完整性。通过对密文增加平原相关的

16、数据来保证相关数据的完整性。AEAD的代表性方法是CCM9，CWC5，OCB8，EAX2，和GCM6。 SSMP认可AEAD的使用。在通过身份验证的加密算法中分组密码和MAC算法应该分别在IND-CPA和SUF-CMA上是安全的。在Encrypt-and-MAC的情况下，分组密码算法应该是IND-CCA安全1。SSMP的认证加密方案的输入是块密码的秘密密钥，初始值，信息和相关联的数据。其输出是一对密文和检查数据完整性所必需的标记，即在这里，是在每次运行中选择的一个独特的乱数。当发送数据，和包含在标题中。此后，我们通过下式表示认证加密在SSMP中，公共密钥加密方案用于共享密钥交通协议的共享密钥的

17、加密。这个计划应该是IND-CCA安全的。公钥密码体制的A键须达到80-B的安全性。每一个在SSMP中协议利用数字签名计划。在SSMP中的数字签名方案EU-CMA安全的4。为了分发CA，门槛数字签名方案3是必需的。门限数字签名的安全性是以底层的数字签名计划为基础的。三SSMP的设计 在本节中，我们描述了协议。拟议的议定书包括生产管理，设备初始化，密钥管理，仪表读数安全传输和CRL的管理的所有进程。表I列出了在本文中使用的符号。A. 生产管理和设备的初始化在本节中，服务器指被认证人员处理过的CA服务器。生产管理和设备的初始化阶段处理了生成公钥/私钥的进程，并对他们签发证书。这阶段是通过服务器和制

18、造商来实施，考虑下列事项：对于一个设备的public-key/private-key安全生成和存储；CA的下放；减少由于认证密钥泄漏的伤害。表I条款主公钥/私钥对来验证证书的公钥/私钥对，证书的公钥/私钥对来对设备进行认证服务器IRMPLC调制解调器一个实体A的位唯一标示符实体A的认证/实体A的公钥/私钥对实体A的公钥加密传输实体A的私密签名传输实体A的设备密钥认证加密的密钥实体A和实体B之间的共享密钥实体A和实体B共享的会话密钥实体A的随机数发生器加密散列函数通过身份验证的加密的初始向量通过身份验证的加密的相关数据实体A和实体B共享的时间计数器消息认证码在设备安装和远程抄表期间，设备的公钥/

19、密钥对的安全生成和存储成为一个关键的安全要素。这些操作需要私钥的绝对安全。因此，公钥/密钥对应通过使用一个随机数生成，这种随机数利用只可以由相关设备确定的热或噪声。此外，私用密钥应该存储在一个安全的区域，或通过一个安全的方法存储，这样它才不能在设备安装过程中被发现或修改。这意味着，设备密钥应该保存在物理上来说安全的存储器中。其他按键应在使用设备密钥加密之后保存在这个区域或通用的内存。在远程抄表过程中验证需要使用设备所产生的公钥/密钥对。认证应该由负责认证的人演示，证书应该是很难伪造的。此外，当制造商将认证嵌入在设备中，检查该证书是否为相关公共密钥是必要的。CA的权力下放要求避免单点故障。当认证

20、通过使用认证密钥发出，该并且该认证密钥由负责认证的人实施，那么单点故障可能会出现。如果一个负责认证的人发出认证，整个PLC系统的安全性将取决于此人。通过使用多种认证人员认证的认证密钥来颁发认证可以避免这种风险。即使所有的认证人员批准产生所述认证密钥，如果此认证密钥公开或丢失，或损坏，PLC系统将有曝光的风险。因此，如果认证密钥被破坏，通过使用密钥颁发的认证不得不被撤销。这意味着，如果对所有使用相同的认证密钥的设备颁发证书，在所有网络中的设备的证书都被撤销。在这种情况下，损害的程度将是巨大的。因此，在颁发证书时，即使认证密钥被破坏，应采取措施将损坏限定特定范围。1）主密钥和认证密钥的生成：假设有

21、认证人员说，一个验证密钥颁发个证书。然后，为了满足的安全性要求，主密钥和认证密钥产生如下：主密钥通过生成-门限签名生成认证密钥进行身份验证。主密钥由服务器生成，并且由主公开公共密钥和主私有密钥组成。划分成个秘密的股份。，。然后，每个拥有相对应的。可通过超过个认证人员，但小于或等于个对一无所知的人员，来进行重构；认证密钥通过服务器产生的次数取决于和生成的设备的数目。第个认证密钥包括第个认证公共密钥和第个认证私有密钥。一个认证密钥对于它的证书是有效的，这些证书由，发行。一个认证密钥能颁发个证书。例如，如果是100 000，生成的设备的数量是100000 000，那么认证密钥生成1 000次。此后，

22、为方便起见，在中我们忽略；2）服务器证书的嵌入：在服务器完成它的主密钥的生成和发布，每一个制造商将证书嵌入的相关的设备中，如图2。生产管理和初始化阶段的安全性取决于数字签名方案。如果数字签名是EU-CMA安全的，并且基于它的门限签名具有相同的安全级别，那么即使给定证书也不可能伪造证书和与主公开密钥相应的认证的公共密钥。此外，在这种情况下，不可能推断主私有密钥。同时也不能推断从给定的认证证书和认证的公共密钥而来的私钥。主密钥只生成唯一一次。假设总生成的设备的数量是，一个认证密钥发放个证书，那么认证密钥被产生次，由主密钥的门限签名将需要每个认证密钥的认证。因此在生产管理和设备的初始化阶段，一个总数

23、为的签名门限和个数字签名都是需要的。B. 初始认证和共享密钥设置每对服务器和IRM，服务器和PLC调制解调器，以及IRM和PLC调制解调器，均共同享有共享密钥来生成会话密钥，绘画密钥在某些会话的认证加密方案中被用于加密电表读数。 “会话密钥的生命周期依赖于系统的政策。通过使用公钥加密方案，来设定共享密钥传输协议，以此达到设置共享密钥的目的。共享密钥传输协议有以下四种情况：图2 证书嵌入协议。1. 制造商会被给以带有第I个公共报价的主公共密钥MPK。2. 制造商生产n个设备。每一个设备通过运行设备密钥生成器生成设备密钥，通过运行公钥/私钥生成器生成公钥以及私钥。然后，发布。然后制造商发送n个的列

24、表以及相对应的公钥对到服务器。3. 个认证人员对第I个认证密钥和颁发证书。服务器为设备发布证书。最终，对制造商发送的列表。4. 制造商验证每个被给的证书并且把它嵌入到相关联的设备中。1）当引入新设备到网络中，一个新的IRM连接到服务器，并且一个在网络中的一个新的PLC调制解调器连接到IRM时协议才将会被适用；2）当网络拓扑结构根据政策变化；3）当网络的拓扑结构由于网络中的意外故障重新配置；4）当共享密钥的寿命已过期。在两个设备之间的共享密钥传输协议中，共享密钥由一个被传送到父节点的子节点确定。该协议开始于一个子节点的要求。在中间节点，每个服务器位于根节点，IRM;PLC调制解调器，以及终端节点

25、。在共享密钥的传输协议应用期间，两个实体的协议应该能够相互验证。由于只有服务器可以验证设备拥有CRL的高效管理，当IRM和PLC调制解调器尝试发送共享密钥时，其有效性应由服务器来验证。因此，共享密钥传输协议有两种情况：服务器和IRM共享的一个密钥；服务器，IRM，PLC调制解调器共享一个密钥。在这两种情况下，一个子节点产生一个128-B的随机数和与父节点分享的分享密钥。共享密钥的寿命等同于证书。1） 服务器和IRM之间的共享密钥传输协议：图3显示了服务器和IRM之间的共享密钥传输协议在共享密钥的传输协议步骤2中，服务器将验证IRM是否是一个合法的网络组件。在步骤3中，在IRM通过在中用验证签名

26、验证服务器，这在证书嵌入协议中给出。因此，服务器和IRM之间的共享密钥的传输协议使两个实体能在协议中验证彼此。在该协议中，IRM在步骤1产生的随机数在步骤3中确定，在步骤2中生成的随机数在步骤4中确定：，因此，该协议提供了相互明确的密钥认证，被认为能安全抵抗重复攻击。服务器和IRM之间的传输协议共享密钥是一个三通协议。 IRM进行两项公钥操作，在每个步骤1和3中。服务器在步骤2中执行4个公共密钥的操作。2） 在服务器，IRM，和PLC调制解调器之间的共享密钥传输协议：在IRM和PLC调制解调器之间，最多可以有两个其他的PLC调制解调器位于通信路径中。在这种情况下，所有的中间设备在两个端部之间中

27、继通信。服务器，IRM，和PLC调制解调器之间的共享密钥传输协议在图 4描述。作为该协议的结果，在服务器和PLC之间和IRM和PLC调制解调器之间建立两个共享密钥。在步骤5中的协议，服务器将验证IRM与PLC调制解调器是否是合法的组件的网络以及是否将结果发送到IRM。IRM检查在第5步中的结果，PLC调制解调器也在第7步中确认它。因此，共享密钥传输协议，使所有对能够彼此进行身份验证。在该协议中，相互明确的密钥验证提供如下。每一个在步骤3中的PLC调制解调器生成的随机数和，通过第5步中的服务器和步骤8中的IRM8，由步骤7中的PLC调制解调器识别。在第5步中生成的随机数通过步骤9中的服务器，被步

28、骤7中PLC调制解调器确定。第8步中的IRM产生的随机数量是通过第7步中的PLC调制解调器，由第8步的IRM确定。由于一个时间戳使用时和在步骤5中的协议构成，在有限的时间内，它证明了IRM和PLC调制解调器是合法的的网络。服务器，IRM，PLC调制解调器之间的共享密钥传输协议是八通协议。 PLC调制解调器在步骤3和步骤7中分别执行4个和5个公共密钥操作。IRM在步骤6中执行五次公共密钥操作，服务器在步骤5中执行六次公共密钥操作。C. 抄表传输1）会话密钥的生成和管理：一个会话密钥一个月定期更新一次。在两个组件和之间的会话密钥，是从一个共享密钥和会话信息计算而来。会话信息由计数器获得。计数器不包

29、含机密信息，它是由20XX年XX月XX天，XX个抄表组成。在每月的第一天，以计数器的20xxyear，XX月来谈论，和计算图 3服务器和IRM之间共享密钥传输协议1.IRM I 生成共享密钥并且用它的随机数生成器生成一个32位的随机数。I建立一个包含它自己独特标识符，的数据块，并且对块进行加密。这是I运用服务器的公共密钥加密变换：。I通过运用它的私人签名变换签署的哈希值来计算块：，然后将它发送给。2. 检验来自CRL的的合法性，并且验证中的签名。如果所有的检查都是积极的，那么将解密成和。下一步，用生成，建立一个包含，的数据块，并且对块进行加密。这是通过运用I的公共密钥加密变换：。然后，通过运用

30、它的私人签名变换签署的哈希值来计算块：，并且把它发送到I。3.I确认中的签名，对解码，并且检查接受的值是否与在步骤1中生成的随机数相符合。如果所有的检查都是积极的，I建立一个包含的数据块，然后把它发送给。4. 检查接受到的是否与在步骤2中生成的随机数相符合。如果检查是积极的，则发送协议。在发送或接收一个抄表之后，和使用计数器同步它们之间的会话。这是很重要的。会话信息也可以被密文同步。由于由发送者认证加密生成的相关数据包含会话信息，接收器可以将它与自己的会话比较，并获取会话信息。2） 抄表传输协议：抄表传输协议利用一个经过验证的加密计划加密验证仪表读数和用来创建签名的公钥密码体制。在SSMP中，

31、认证加密的相关数据由一个设备UID和计数器信息组成。 在远程抄表环境中，每个IRM管理N个PLC调制解调器，称为, 。对于每一个抄表周期，IRM对其管理下的PLC调制解调器发出电表读数传输的请求。代理申请，每个PLC调制解调器计算两个密文并且将它们发送到IRM。第一份密文是用会话密钥加密的一个抄表的身份验证，该会话密钥与服务器共享。第二份密文是PLC调制解调器一些额外的信息的身份验证，这些额外信息应该使用会与IRM共享的话密钥发送到IRM。IRM对接受于每个PLC调制解调器消息中的第二份密文进行解密和验证。如果验证失败，信息将被丢弃。否则，IRM读出附加信息，并存储在缓冲区的第一份密文中。当从

32、服务器接收抄表的请求，IRM发送缓冲区中的读数到服务器。以这种方式，IRM可以通过验证密文过滤无效数据。逐跳验证可以防止在服务器上的DoS攻击。图5示出了抄表的传输协议。如果认证加密方案是IND-CPA安全的分组密码和SUF-CMA安全的MAC算法组成，认证加密方案是IND-CCA安全的，则所有的密文是安全的。从在步骤1和4中使用的时间戳可以发现在这些步骤中的语句是在一定的时间段之内有效的。这可以防止攻击者发动同样的攻击。由于抄表数据都是被服务器通过会话密钥加密，所以该协议可以提供抄表读数终端到终端的安全性。在步骤2中，为了降低通信成本，而不是被放在的标头的第二项中。在第三步中，IRM可以通过

33、串联和哈希值来恢复。该协议提供自步骤2 的仪表读数的不可否认性，第一密文包含一个在抄表上的签名。生成会话密钥需要分组密码操作。在步骤2中，PLC调制解调器执行一个加密操作，该操作验证来自于两个生成两个密文的声明，以及生成签名的一个公共密钥操作。IRM执行两种身份验证的加密操作为了步骤1和5中的加密或解密的声明，以及为了步骤3中的解密。D.CRL的管理CRL不得不被管理，以处理被丢弃的设备。有两种方法来管理CRL。在第一个方法中，维护CRL的服务器，将定期发送CRL到IRM。然后，IRM保存被给的CRL，并检查列表，以确定一种装置的有效性，以上是需要请认证的。第二种方法是发送一个装置的查询有关的

34、有效性到服务器。图 4服务器，IRM，和PLC调制解调器之间的共享密钥传输协议。1. PLC调制解调器要求IRM I发送I的证书给。2. I发送它的证书给。3. 运用一个随机数生成器，生成和。和分别是服务器和IRM I 的共享密钥。也生成两个32位的随机数和。构造一个的数据块。该数据块包含来自它自己独特标识符的一个密文，在的公共密钥加密变换下与，共享的密钥，以及一个在密文的哈希值上的签名同样的，构造一个I的数据块最终，建立一个包含,的数据块，并且把它发送给I。4. I建立一个包含和的数据块，并且把它发送到。5. 检查和的有效性，并且确认在中的签名。如果所有的检查都是积极的，那么通过解密中的密文

35、，获得和。下一步，生成一个32位的随机数。构造一个数据块，该数据块包含一个在的公共密钥加密变换下的来自，的密文，以及一个在密文的哈希值上的签名。最后，建立两个和的数据块。每一个都包含对方证书的验证结果，一个时间戳，和在它们上面的哈希值上的签名 ， ，发送一个快给。6. 检查来自的的有效性，并且确认在中的签名。如果所有的检查都是积极的，那么通过解密中的密文，获得和，并且储存或者的公共密钥。下一步，生成。构造一个数据块，该数据块包含一个在的公共密钥加密变换下的来自，的密文，以及一个在密文的哈希值上的签名。最后，I建立一个包含，和的数据块，并且把它发送到。7. 检查来自的的有效性，确认和中的签名，解

36、密密文。然后，检查接受到的和是否与步骤3中生成的数字相符合。如果所有的检查是积极的，建立两个数据块，然后把它们发送到。8. 检查接收到的值是否与步骤6中生成的数字相符合。如果检查是成功的，就将中继到上。9. 检查接受到的值是否与步骤5中生成的数字相符合。如果检查是成功的，结束协议。在前者的情况下，服务器的通信成本将由IRM的数量被丢弃的设备的数目确定。在后者的情况下，成本是注册的设备的数量+废弃的设备的数量。假设IRM的数量，废旧设备的数量， 1个 IRM的监督下PLC调制解调器的数量分别是，和。然后，从可以发现当时，后者的方法是更有效。因此，SSMP采用后者的方法来进行CRL的管理。图5抄表

37、传输协议1. IRM I 生成一个时间戳。然后，I建立相关联的数据，包含它自己的独特标识符，运用PLC调制解调器生成会话密钥时用到的计数器，以及 ，。下一步，I生成一个96位的随机数作为认证加密的初始向量，并建立一个对空值认证加密的电表读数数值要求声明，然后把它发送给每个。2. 每个PLC调制解调器对解码。如果认证是成功的，在仪表读数的哈希值上生成一个签名。然后建立相关联的数据，包含它自己的独特标识符以及用服务器生成会话密钥时用到的计数器，。下一步，生成一个96位的随机数作为认证加密的初始向量，并建立第一个到的密文，是用会话密钥和来进行的的认证加密，。我们注意到一个仪表读数上的签名可能仅在一个

38、敏感读数的情况下才会产生。从关于它自己的额外信息计算第二个密文。它建立起相关联的数据，包含,通过服务器生成会话密钥时的计数器以及的哈希值，。下一步，生成一个96位的随机数作为验证加密的初始向量，并且建立的第二个密文，这是用具有的会话密钥来进行的的认证加密。然后将和发送到。3. 从和的哈希值计算。然后，对解码。如果认证成功，对读取，并将存储在缓冲区中。4. 生成一个时间戳和一个抄表请求信息 。然后，建立相关联的数据，包含，带有的会话密钥的生成时的计数器 以及，。下一步，下一步，生成一个96位的随机数作为验证加密的初始向量，并且建立仪表读数数值请求声明，这是空值的认证加密过程，然后，将它发送到。5

39、. 对进行解码。如果身份验证是成功的，建立包含所有的的一个数据块，并且将它发送到。6. 通过对所有的进行解码来读出仪表读数，如果密文包含签名，对签名进行确认。在共享密钥传输中，IRM和PLC调制解调器储存对方的证书或公钥。当相关设备被丢弃，这些数据就会更新。如果IRM I被丢弃，服务器就生成一个时间戳，并发送到所有的I下的PLC调制解调器。然后，PLC调制解调器从他们的记忆中删除关于I的信息。如果一个PLC调制解调器被丢弃，服务器将生成一个时间戳并发送到管理者PLC调制解调器的IRM I。然后，IRM I 删除关于PLC调制解调器的信息。四讨论在本节中，我们将讨论每个设备的存储大小，秘密信息泄

40、漏时造成的破坏程度。A.IRM与PLC调制解调器的存储大小一个PLC调制解调器必须存储自己的证书和设备密钥，服务器证书，共享密钥，计数器，会话密钥以及管理它的IRM和服务器。它也要求保存IRM和服务器的UID。表中列出信息的类型和数量以及PLC调制解调器必须保存的它的总和。表IIPLC调制解调器信息的类型和数量：2个证书大约1KB2设备密钥128bits2个UID48bits22个计数器64bits22个共享密钥128bits22个会话密钥128bits2总计大约2.1KB表IIIIRM信息的类型和数量(N=200）2个证书大约1KB2设备密钥128bits200个公共密钥160bits200

41、201个UID48bits201201个计数器64bits201201个共享密钥128bits201201个会话密钥128bits201总计大约15.3KB对于IRM，首先，它必须存储其自己的证书以及服务器的证书。如果IRM控制达到N个PLC调制解调器，它必须存储每个PLC调制解调器的UID，公共密钥，共享密钥，计数器和具有设备的会话密钥。此外，它必须要存储服务器的UID，计数器和会话密钥，具有服务器的会话密钥。表中列出当N=200时，IRM必须存储的信息的类型，内容和总和。当一个160-B的椭圆曲线公钥密码体制被使用时，公共密钥的大小可以被假定。B.机密外泄造成的破坏程度万一PLC调制解调器

42、的私有密钥暴露给一个攻击者，他/她可以在PLC调制解调器所有上层节点实现共享密钥传输协议并能完全从网络上消除它。此外，攻击者可以修改私钥暴露处的PLC调制解调器的仪表读数并将它发送到服务器，这将影响到抄表的保密性和完整性。虽然损坏程度限制到已经暴露了私有密钥的PLC调制解调器，但是它可以不断地修改，直到其证书过期。因此，必须保持完整的安全的私有密钥。万一只有PLC调制解调器的共享密钥暴露给攻击者，他/她可以修改抄表的值，并实现抄表的传输协议。但是，攻击者无法实现共享密钥传输协议。因此，损害将被限制到暴露共享密钥的PLC调制解调器，攻击也将有效的直到共享密钥的生命周期到期。如果PLC调制解调器的

43、会话密钥暴露给攻击者，他们可以通过施加抄表的传输协议修改抄表。但是，他们不能实施共享密钥传输协议。在这种情况下，损坏限于共享密钥被暴露的PLC调制解调器，而且攻击将一直有效直到会话密钥被更新。如果IRM的私有密钥被暴露给攻击者，他/她可以实现共享密钥的传输协议来控制所有设备的共享密钥，这些设备与IRM共享共享密钥并且私钥被暴露。因此，损坏将延伸到所有的IRM管理的PLC调制解调器。然而，由于服务器和每个PLC调制解调器之间的会话密钥加密之后仪表读数才被传输，即使攻击者获得IRM的私人密钥，它也不会影响抄表读数传输协议中的加密仪表的安全性。如果IRM的共享密钥或会话密钥暴露在风险中，它只能损坏共

44、享这些共享密钥或会话密钥的设备。在这种情况下，它不会影响仪表读数协议中加密的抄表的安全性。当共享密钥传输协议再次在共享密钥的情况下被执行，以及当会话密钥在会话密钥的情况下被更新，这时的攻击才是有效的。五结论PLC不需要单独的通信线路，并可以易于安装。由于用户只需要在家里将电源插头插入电源插座中，所以它提供了便利的通道。此外，由于它可以通过骨干网络被连接到不同的网络，所以它被评价为用于抄表系统以及自动化控制系统最合适的技术之一。在这项研究中，我们分析了基于PLC的远程抄表系统安全性要求，提出了一个协议以满足安全要求。该协议适用于基于公共密钥加密系统的密钥管理系统，并保证基于PLC的远程抄表的可扩

45、展性和安全性。另外，它设计时考虑到从网络中设备的生产管理到设备密钥和初始化的生成的所有要求的进程。它是一种管理密钥，共享密钥，安全传输仪表读数以及传输仪表读数撤销认证的方式。六参考文献1 M. Bellare and C. Namprempre, “Authenticated encryption: Relationsamong notions and analysis of the generic composition, paradigm,” J.Cryptol., vol. 21, no. 4, pp. 469491, Sep. 2008.2 M. Bellare, P. Rogaway

46、, and D. Wagner, “The EAX mode of operation,”in Proc. Fast Software Encryption, Feb. 2004, vol. 3017, LectureNotes Comput. Sci., pp. 389407.3 Y. Desmest, “Threshold cryptography,” Eur. Trans. Telecommun., vol.5, no. 4, pp. 449457, Jul. 1994.4 S. Goldwasser, S. Micali, and R. Rivest, “A digital signa

47、ture schemesecure against adaptive chosen message attacks,” SIAM J. Comput., vol.17, no. 2, pp. 281308, Apr. 1988.5 T. Kohno, J. Viega, and D. Whiting, “CWC: A high-performanceconventional authenticated encryption mode,” in Proc. Fast SoftwareEncryption, Feb. 2004, vol. 3017, Lecture Notes Comput. S

48、ci., pp.408426.6 D. McGrew and J. Viega, “The security and performance of the Galois/Counter Mode (GCM) of operation,” in Proc. Progr. Cryptol., Dec.2004, vol. 3348, Lecture Notes Comput. Sci., pp. 377413.7 P. Rogaway, “Authenticated-encryption with associated-data,” in Proc.9th ACM Conf. Comput. Commu