动态口令认证技术在计量自动化终端数据通信安全中的应用探讨.docx

《动态口令认证技术在计量自动化终端数据通信安全中的应用探讨.docx》由会员分享，可在线阅读，更多相关《动态口令认证技术在计量自动化终端数据通信安全中的应用探讨.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、动态口令认证技术在计量自动化终端数据通信安全中的应用探讨 【 摘 要 】 在计量自动化系统建设实施时通过分析了系统主站与现场终端之间的数据通信全过程，对GPRS通信的计量自动化终端在数据传输过程中存在的平安性问题进行了探讨，提出将动态口令身份认证技术用于终端数据通信传输的设想和方案，提高主站系统与现场终端数据在传输过程中的平安性。 【 关键词 】 身份认证；动态口令；主站系统；HOTP；计量自动化终端 The Discussion of Dynamic Password Authentication Technique in Metering Automation Terminal Data

2、Communication Security Liu Zheng-you ） 【 Abstract 】 The measurement automation system construction through the analysis of the system when implemented the whole process of data communication between master station and the terminal， for the measurement of the GPRS communication automation terminal se

3、curity problems in the process of data transmission are discussed in this paper， put forward the dynamic password authentication technology used for terminal data communication transmission of ideas and plan， improve the master station system with the terminal data security in the transmission proce

4、ss. 【 Keywords 】 identity authentication； dynamic password； the main system； hotp； metering automation terminal. 1 引言 通过近几年的计量自动化系统建设，计量自动化终端的覆盖率得到了很大程度的提高，已安装终端的用户数量越来越多，并通过计量自动化系统实现了终端数据的远程采集、负荷限制。在满意自动化抄表，电量统计等应用的同时，还对计量装置监测、用电检查、电能质量监测、负荷管理、线损管理都供应了特别重要的数据和依据。计量自动化系统由系统主站、现场运行的终端和主站与终端间的通信信道组成。目

5、前绝大部分用电客户侧的计量自动化终端上传通信信道主要采纳GPRS、CDMA通信，终端通信方式也主要以GPRS、CDMA移动公用网络为主。为保障终端在接收、存储和发送过程中数据通信平安问题，尽管采纳APN专网方式对终端、通讯服务器做了肯定的平安防护，提高了系统的平安性，但主要是依靠GPRS本身的平安机制，在数据平安性方面依旧存在隐患。因为计量自动化终端通讯规约是公开的，一旦主站系统与终端通信的信道被攻击者打通，主站系统与终端通信的数据平安就受到严峻威逼，影响着终端执行主站下发吩咐的正确性，还可能会造成用电客户侧断路器误动作的事故，给电力系统平安稳定运行带来隐患。本文结合计量自动系统建设阅历和对终

6、端数据传输过程分析，探讨动态口令身份认证技术在计量自动化终端通信传输过程中的数据平安应用问题。 2 基本概念 用户身份认证技术是计算机信息平安体系中特别重要的组成部分。目前大部分系统还是采纳静态口令认证技术，即通过用户名和密码来进行用户身份的识别。随着计算机应用技术的快速发展，这种静态口令认证技术起先面临很多平安方面的挑战，已经无法实现高平安性的要求。 2.1 动态口令 动态口令认证技术又称一次性口令认证技术，是依据特别算法得到一个无法预料的随机数字组合，作为密码，一个密码只能用于一次认证。动态口令认证技术已成为身份认证技术的主流，已经广泛应用于电子政务、电子商务、网银、电信运营、企业管理等领

7、域。 2.2 计量自动化终端数据通信过程分析 GPRS是一种基于GSM 系统的无线分组交换技术，是利用“包交换”的概念所发展出的一套无线传输方式。供应端到端的、广域的无线IP连接。目前大部分安装于客户侧和小区集抄的计量自动化终端主要通过GPRS与主站进行通信，大部分供电局主要以专用APN组网方式为主。 在运用专用APN通信方式时，计量自动化主站管理系统通过专线和通信运营商GPRS网的GGSN相连，运用企业在通信运营商GGSN上申请一个专用的APN接入点，从而在主站系统和终端之间构成一条VPN通道。 现场计量自动化终端投入运行时每台终端须要安装一张运营商的SIM卡，当终端GPRS无线模块向GGS

8、N发送登录恳求时，GGSN核对SIM卡的IMEI号码及APN名称，正确无误后，通过DNS将APN解析成域内安排的SIM卡指定的IP地址，并把该IP地址信息经SGSN送回给计量自动化终端。 当终端要发送数据时，向SGSN 发送PDP上下文激活恳求，SGSN通过验证后，PDP上下文激活过程完成，至此，计量自动化终端客户端业务应用软件就启动了，并与计量自动化系统前置通信服务器建立TCP/IP连接，进行相关业务操作和数据传输。 GPRS通信方式供应端到端的IP连接，但端到端的数据平安性得不到全面保证，它只保证SGSN-MS的数据平安，数据只在SGSN-MS之间进行加密解密，而未明确主站系统到SGSN之

9、间是否加密及采纳何种方式加密。 目前，对于APN专网方式，一般未对数据进行加密处理，而大部分计量自动化主站系统前置机等与终端间的GPRS通讯基本都运用APN方式，部分地区由于区域与范围等因素无法实现APN方式，也存在运用公网Internet方式进行组网。在终端和主站系统之间的数据传输没有经过任何处理，数据的平安性就完全依靠于GPRS的数据平安措施。假如数据完全依靠GPRS本身的平安机制以及APN等方式，那么计量自动化终端在通信过程中的数据平安性就没有平安保障。 2.3 动态口令算法介绍 HOTP是基于HMAC的一次性口令算法，在OATH组织的努力下，于2022年10月发布在“IETF RFC

10、4226”报告中。 自发布以来，该算法被全世界的很多公司广为运用，成为世界上较为领先的基于事务的一次性口令认证标准。HOTP算法是一个免费的开放标准。用户可以自行确定算法的具体实现和平安认证协议。 HOTP算法的学问点可以进行如下分解： HOTP MAC HMAC OTP 3 动态口令算法详解 HOTP就是基于HMAC的一次性口令算法，是Initiative For Open Authentication组织的基石。 3.1 HOTP公式 HOTP= Truncate）&0x7FFFFFFF； HOTP-Value = HOTP mod 10d Truncate是动态截短函数； HMAC代表H

11、MAC算法； Key代表密钥； Message代表将要被验证的数据； d是期望输出数据的位数，一般是68位。 3.2 HOTP=Truncate）&0x7FFFFFFF详解 将HMACValue分解w为String0. String19； 从String19中获得低4位，得到偏移量Offset，Offset的取值范围在015之间； 将StringOffSet+0.StringOffSet+3作为P，总共有32字节； 从P中获得低31位，得到结果A； 举例如下： HMAC Value内容： 0x1f86101690e02ca166185d0ef7f19da8e945b555a -00010203

12、04050607380910111213141516173819 -*-* 计算过程： HMACValue分解为String0.String19； 偏移量Offset取String19的第四位； 取String10 String11 String12 String13的值，即0xd0ef7f19作为P； 从P中获得低31位，即P&0x7fffffff得到结果0x50ef7f19。 3.3 HOTP-Value = HOTP mod 10d详解 举例如下： HOTP的结果是0x50ef7f19，转为10进制就是1357873921； 假如希望保留6位十进制的数据，则d取值为6，HOTP-Valu

13、e就是873921；假如希望保留8位十进制的数据，则d取值为8，HOTP-Value就是57873921。 4 终端动态口令认证方案 4.1 数据验证 本文采纳了基于事务同步认证技术和异步认证技术相结合的平安认证协议，来实现数据传输过程中的平安认证。采纳基于事务同步认证技术，来实现计量自动化系统主站与远程终端交互时的身份认证和数据完整性保证。认证方案设计步骤。 通信主站和远程终端各自拥有一个递增计数器，初始为0。通信主站和远程终端还有一个对称密钥。 当主站与终端通信时，将自身计数器与通信报文中用户数据区的数据连接，将此数据作为动态数据，与密钥一起根据前文所述的HOTP算法计算得到6位的10进制

14、密码数据ClientPassword，将此密码保存在在报文的消息认证码区域，与报文一起发送到终端。 终端收到报文后，将其中的用户数据区数据取出，与自身的计数器值连接，与自己这端的密钥一起也根据前文所述的HOTP算法计算得到6位的10进制密码数据ServerPassword，假如ClientPassword与ServerPassword相等，则为通过验证，终端将自身的计数器自增。然后依据报文内容进行后续业务操作，并回复主站报文。假如验证失败，采纳回溯计数器值的方法来进行操作。 主站收到终端的回复报文以后，也将自身的计数器自增，以此来保证双方计数器的同步。 4.2 回溯计数器值同步 通过前文的描述

15、可以看到终端一方验证通过以后，自身的计数器就会自增。但是主站一方，必需是收到终端的回复以后才进行自身的计数器的自增，在此过程中，可能会因为网络通信不稳定等因素，导致回复报文的丢失。此时接着通信时就会出现双方计数器不同步的问题。 本文采纳回溯计数器值的方法来解决此问题。 在终端一方，当验证无法通过时，尝试运用“自身计数器-1自身计数器-n”来进行ServerPassword的计算。 假如有ClientPassword与ServerPassword相等的状况，则为通过验证。 验证通过以后，终端须要据此调整自身的计数器，以保证后续的同步。这里n的取值须要进行权衡，假如取值过大，可能会增加终端的计算及

16、验证耗时。假如取值过小，可能无法有效缓解因通信丢包导致的无法有效同步。 假如依旧验证无法通信，终端对主站回复验证错误应答。 4.3 计数器值重新同步 当终端采纳回溯计数器依旧无法实现与主站的同步时，就须要双方协商进行计数器重新同步了。本文采纳异步认证，即挑战/应答方式Challenge/Response）的方式来实现计数器重新同步。 计数器重新同步的触发机制：主站一方，假如收到了终端的验证错误应答，则m加1，假如验证通过了，则此m重置为0。假如m大于maxRetry，则须要进行双方的计数器重新同步。 主站向终端发出认证恳求信息。 终端收到此恳求后，生成一个随机数Radom，将这个随机数Rado

17、m传给主站。 主站将收到的随机数Radom作为动态数据，与密钥一起根据前文所述的HOTP算法计算得到6位的10进制密码数据ApplyPassword，将这个ApplyPassword传给终端。 终端也将随机数Radom作为动态数据，与密钥一起根据前文所述的HOTP算法计算得到6位的10进制密码数据ConfirmPassword，假如ApplyPassword与ConfirmPassword相等，则确认主站是合法的。终端将自身的计数器值传给主站。 主站收到计数器值以后调整自身的计数器。 5 平安性分析 密钥Key是通信双方事先约定的，通信双方对此密钥的管理不再此探讨，可以假定为是平安的、不为外人

18、所知的。从前文所描述的算法中可以看到，攻击者只能获得到摘要信息的片段，而攻击者是无法依据已有的明文传输的数据来推导密钥的。因为不知道密钥信息，所以攻击者无法伪造出可以通过接收端验证的响应数据。 因为采纳了HMAC算法，所以有效地解决了“length-extensionattack”对加密哈希函数的攻击，而且通过迭代哈希的方式，避开了对哈希函数的碰撞攻击。 采纳了OTP认证技术，攻击者虽然可以截获或是侦听到用户的动态口令，但是因为每个动态口令之间是没有干脆联系的，无法通过已有的动态口令进行数据信息破译。 文本中主要探讨了终端对主站一方的平安认证及数据完整性验证，完全可以在此基础上添加双向认证，来

19、保证双方通信的平安性。 6 结束语 本文提出的终端动态口令认证方案采纳了基于事务同步认证技术和异步认证技术相结合的方式，在主站系统与计量自动化终端进行数据通信时采纳这种算法和平安认证方式，可以极大提高计量自动化系统数据传输过程中的平安性。同时可以有效地实现对数据来源有效性的推断及对数据完整性的甄别，解决了通信中因为网络超时等缘由导致的不同步问题。这些认证算法和平安认证协议经过适当调整后，可以适用于其他类型的网络通信传输时的身份认证及数据验证，对加强智能电网的系统平安性应用有着重要的作用。 参考文献 1 云南电网公司四合一计量自动化系统技术规范S，云南电网公司，2022.8. 2 杨波. GPR

20、S技术在电力系统中的应用分析J.电信工程技术与标准化，2022，：8-11. 3 云南电网公司用电信息采集与管理系统数据传输规约S.云南电网公司，2022.8. 4 李如雄，张波，苏杏志.基于GPRS的大客户负荷管理终端J.电测与仪表，2022，：29-31. 5 姜开山.GPRS远程抄表系统应用实践M.北京：中国电力出版社，2022. 6 文志成.GPRS网络技术M.北京：北京电子工业出版社，2022：60-74. 作者简介： 刘正友，男，云南楚雄人，工程师，技师，主要从事电力营销信息化、计量自动化系统建设及管理工作。 第12页 共12页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页第 12 页 共 12 页