中文引用格式: 王輝,袁家輝,時振通,等. 電力物聯網下終端密鑰全生命周期安全管理方案[J]. 電子技術應用,2025,51(1):103-112.
英文引用格式: Wang Hui,Yuan Jiahui,Shi Zhentong,et al. Full lifecycle security management scheme for terminal keys under power IoT[J]. Application of Electronic Technique,2025,51(1):103-112.
引言
電力系統是國家關鍵基礎設施,其可靠性直接關系到社會經濟的穩定運行,電力物聯網設備需要具備高可靠性,以確保電力供應的連續性和穩定性。電力物聯網通過使用信息、通信和智能感知等關鍵技術徹底改變了電力系統提供的傳統服務,有效地提高了電力系統的效率和可靠性[1-2]。然而,由于網絡攻擊手段的多樣性,非法終端接入、虛假數據注入和通信攔截等攻擊手段為電力系統安全帶來極大的風險隱患。然而,電力物聯網涉及的設備數量遠超傳統物聯網,包括智能電表、傳感器、控制器、通信模塊等。管理如此龐大的設備群需要高效的設備注冊、配置、監控和更新機制。目前,電力物聯網中設備認證機制不統一,導致不同設備之間的互操作性差,易被冒充和攻擊。此外,現有認證機制復雜且效率低,難以滿足大規模電力設備快速認證的需求。因此,如何有效鑒別終端身份,建立安全穩定高效的認證加密交互機制,有效解決電力終端規模化接入和保障終端通信安全已成為亟待解決的難題[3-4]。
對于解決終端規模化接入問題,文獻[5]提出了一個綜合用戶名-密碼認證技術和USBKey認證的身份認證系統來提高系統安全性。文獻[6]提出了一種基于PKI證書服務系統的終端安全接入的立體保護模型,并根據該模型設計了電力移動終端安全接入系統,但當終端數量逐漸增加時,系統的穩定性會變得越來越差。文獻[7]針對電力移動端接入電力信息網存在的信息安全問題,設計了基于SM2密碼體系的SD卡安全接入方案。但是隨著海量異構終端接入的需求日益增加,電力系統中的設備認證要求既要快速高效,又要能適應資源受限的終端設備,以上基于PKI技術的接入認證方案面臨著維護困難、建設難度增大和無法有效應用在輕量級感知設備中等新的挑戰[8]。相比于PKI體系,標識密碼(Identity-Based Cryptography, IBC)體系具有計算成本低、維護簡單和部署方便等特點[9],適合輕量級設備的接入認證[10]。
隨著電力物聯網的規模不斷變大,保障終端通信安全的單密鑰管理機制必將被高效的組密鑰管理機制所代替[11]。電力設備的密鑰管理不僅僅是簡單的分發和存儲,還包括密鑰的更新、撤銷和恢復等全生命周期管理,傳統方案在密鑰的全生命周期管理上缺乏靈活性和安全性。文獻[12]針對電力物聯網下傳統的單密鑰管理機制不能滿足一對多的通信需求,提出了一種基于LU對稱矩陣的密鑰管理方案,但該方案無法實現有效的密鑰更新和撤銷機制。目前在處理大規模的組密鑰管理問題時應用最為廣泛的是邏輯密鑰層次(Logical Key Hierarchy , LKH)結構[13],它可以將計算時間、信息交換和存儲空間等資源減少到對數大小。文獻[14]在LKH的模型框架下,提出了一種新的方案LKH++,通過利用單向散列函數的特性和用戶在LKH模型中已經共享的消息來提高方案性能。文獻[15]在LKH++方案的基礎之上,通過改進LKH++方案的初始化計算方式和組密鑰的持有方式,提出了一種新的組密鑰管理方案W-LKH++。文獻[16]為了優化LKH結構在密鑰更新過程的計算和傳輸開銷,提出了一種構建最優密鑰樹的啟發式搜索算法,通過在LKH結構的不同層中搜索最優的分支數量來減少密鑰更新過程中的處理開銷。文獻[17]提出了一種嚴格的二進制邏輯密鑰層次結構的密鑰算法SBLKH,該算法在用戶離開和加入階段會保持密鑰樹的平衡,在密鑰更新過程中的成本始終保持對數大小。
為了保障終端設備密鑰的安全,減少終端設備的資源消耗,文獻[18]提出了一種基于密鑰矩陣派生的密鑰存儲管理方案,由根密鑰直接派生文件加密密鑰,用戶只需存儲管理密鑰矩陣配置及根密鑰即可動態生成文件加密密鑰,降低密鑰存儲開銷和計算開銷。文獻[19]提出一種輕量級的動態密鑰管理方法,通過動態多項式建立密鑰,并根據密鑰輪換機制更新密鑰,可保證密鑰前/后向安全,同時簡化密鑰計算模型和優化系數存儲結構。文獻[20]為了解決云存儲數據加密背景下海量密鑰存儲造成的存儲空間損耗問題,提出了一種基于矩陣的密鑰派生方案和基于SM2門限算法的密鑰分發方案,降低了密鑰存儲空間,并提高了密鑰分發的安全性。然而以上文獻未考慮終端密鑰的訪問效率,在安全芯片使用場景的外部設備需要快速進行安全計算時,利用密鑰文件來訪問密鑰的方法不能保證密鑰的訪問效率。例如,在配電饋線自動化終端中,當某一個終端發生故障時,需要在20 ms內將安全故障信息廣播到其他終端,安全芯片進行數據安全計算的時間必須保證在2 ms以內,采用密鑰文件訪問密鑰的方法無法達到該性能需求。
基于以上方案的分析,本文為了實現電力終端從生產到使用的全生命周期的安全管理,設計了一種電力物聯網下終端密鑰全生命周期安全管理方案。方案中通過采用兩級標識密鑰管理機制,基于國密SM9算法生成終端保護密鑰,實現電力終端的輕量級認證;通過采用基于改進的LKH結構的密鑰管理方案,對單播和組播的信息進行輕量級加密,既保證了數據的機密性和完整性,又提升了加密的效率,適應了電力物聯網的高頻通信需求;通過設計終端混合式密鑰存儲和管理方法,不僅提高了密鑰的訪問性能,還確保了密鑰在整個生命周期內的安全管理,特別適合電力物聯網的復雜環境。
本文詳細內容請下載:
http://www.jysgc.com/resource/share/2000006290
作者信息:
王輝1,袁家輝1,時振通1,房牧2
(1.北京智芯微電子科技有限公司,北京102200;
2.國網山東省電力公司電力科學研究院,山東 濟南250000)
