基于椭圆曲线密码的智能电网通信认证协议

刘欣东 徐水帅 陈建华

摘 要：为了确保通信在智能电网中的安全可靠，越来越多的认证协议被应用在通信过程中。针对Mahmood等（MAHMOOD K， CHAUDHRY S A， NAQVI H， et al. An elliptic curve cryptography based lightweight authentication scheme for smart grid communication. Future Generation Computer Systems， 2018，81： 557-565）提出的认证协议，指出此协议易受到内部特权人员攻击，缺少更换口令阶段，对用户缺少亲和性，无法保证用户有唯一的用户名，并有一个公式的错误。为改进此协议，提出一个基于椭圆曲线的认证协议。首先，增加用户与设备之间的登录阶段，其次，利用椭圆曲线密码学难题进行信息交互，最后补充口令更换阶段。通过BAN逻辑形式化分析，改进协议安全可行，能抵挡住内部人员攻击，并具有口令更换、用户名唯一、对用户有亲和性的特点。

关键词：智能电网;认证;密钥协商;椭圆曲线密码学;BAN逻辑

中图分类号： TN918

文献标志码：A

文章编号：1001-9081（2019）03-0779-05

Abstract： To ensure the security and reliability of communication in the smart grid， more and more authentication protocols have been applied in the communication process. For the authentication protocol proposed by Mahmood et al. （MAHMOOD K， CHAUDHRY S A， NAQVI H， et al. An elliptic curve cryptography based lightweight authentication scheme for smart grid communication. Future Generation Computer Systems. 2018，81： 557-565）， some defects were pointed out in this article. For example， this protocol can be easily attacked by internal privileged personnel， is lack of password replacement phase and unfriendly to users， in which unique username cannot be guaranteed， even a formula error exists. To improve this protocol， an authentication protocol based on elliptic curve was proposed. Firstly， a login phase between the user and the device was added in the improved protocol. Secondly， elliptic curve cryptography puzzle was used to realize information exchange. Finally， the password replacement phase was added. Through the formal analysis by BAN （Burrows-Abadi-Needha） logic， the improved protocol is safe and feasible， which can resist internal personnel attacks， has password replacement and unique username， and is more friendly to users.

Key words： smart grid; authentication; key agreement; Elliptic Curve Cryptography （ECC）; BAN （Burrows-Abadi-Needha） logic

0 引言

隨着城市信息化的不断推进，智能城市已开始步入人们的生活。智能城市不是一个纯技术概念，它是信息技术与网络技术渗透到城市生活的一个具体体现。智能电网就是电网的智能化，它是建立在集成的、高速双向通信网络的基础上，通过先进的传感技术、先进的设备技术、先进的控制方法以及先进的决策支持系统技术的应用，建立高速、双向、实时、集成的通信系统是实现智能电网的基础，没有这样的通信系统，任何智能电网的特征都无法实现，因为智能电网的数据获取、保护和控制都需要这样的通信系统的支持，因此建立这样的通信系统是迈向智能电网的第一步。在智能电网的通信系统中，最主要的是各种用户之间的通信。并且为了确保与合法用户通信，必须先在可信任的第三方机构进行注册成为合法用户以及在通信时进行验证，也因此一个安全的认证协议对于智能电网来说至关重要。

2015年12月23日，乌克兰发生突然停电事故，引发乌克兰70多万居民家庭停电数小时。事后达拉斯信息安全公司工程师表示这是黑客入侵导致的。2016年12月，乌克兰基辅的变电所发生停机事故，导致基辅大面积停电。同是在2016年12月初，媒体报道国家电网的两款APP电e宝以及掌上电力出现数据泄露，数千万的用户信息流向黑市。所以在应对网络中出现的各种攻击时，智能电网应完善严格的认证机制，将标准协议与安全散列算法（Secure Hash Algorithm，SHA）等技术混合采用，从而对网络信道数据进行校验。

2015年Nicanfar等[1]提出了一个基于混合机制多方认证的认证协议，它的实现依赖于零化证明、公钥验证、访问控制技术;但是由于使用了公钥验证而大大提高了计算复杂度。这之后，Nicanfar等[2]在2015年又提出了一个基于椭圆曲线加密的认证协议。尽管他们的方案大大降低了计算复杂度，但是由于可信任的第三方需要密码表来保存用户信息而易受到表丢失或被窃取的攻击。之后，Li等[3]提出一个新的密码协议，但同样也被证明易受到窃听，并且由于缺少密钥协商而易受到模仿攻击。

最近，Mahmood等[4] 提出了一个基于圆曲线加密体制的轻量级验证协议，他们声称能够抵御各种各样的攻击，并且与之前的协议相比，他们的协议更能够在提升安全性水平的同时降低计算复杂度。但本文经过分析可以得出，他们的方案易受到内部特权人员攻击，缺少更换口令阶段，对用户缺少亲和性，无法保证用户有唯一的用户名，还有一个公式的错误。本文提出了一个改进的认证协议。该协议对于Mahmood等的协议的漏洞进行了改进，并用BAN（Burrows-Abadi-Needha）逻辑[5]确定了其正确性，最后的安全性和效率分析比较也显示出改进的协议更加安全和实用。

1 预备工作

1.1 椭圆曲线密码学

首先，叙述本文中用到的椭圆曲线密码学（Elliptic Curve Cryptography， ECC）[6]。与先前传统的密码学（例如DSA （Digital Signature Algorithm）、RSA （Rivest-Shamir-Adleman）和DH（Diffie-Hellman）相比，椭圆曲线密码学在相同的安全等级下拥有更高的加密效率[7]，因为ECC可以用较小长度的密钥实现相同的安全等级[8]。椭圆曲线方程：

1.2 敌手模型

在本文中我们假定攻击者有如下的能力[10]：

1）攻擊者可以获取公共传输通道中的一切信息，并且可以修改、重放、伪造任何新的信息去传输给接收者。

2）攻击者可以知道这个通信系统中的所有用户的用户名。

3）攻击者可以作为一个合法的用户在这个通信系统中。

1.3 符号及说明

2 回顾Mahmood等的认证协议

文献[3]设计了一个基于椭圆曲线的轻量型的认证方案。这个方案包括3个部分：初始阶段、注册阶段、认证阶段。详细的信息如下，整个流程如图1。

2.1 初始阶段

2.2 注册阶段

3 Mahmood协议的安全性分析

本文找到Mahmood协议的一个错误并仔细分析了协议的安全缺陷：其协议不能够抵挡内部特权攻击。

3.1 Mahmood协议的错误

3.2 内部特权人员攻击

3.3 缺少更改口令更换阶段

Mahmood等的协议并没有口令更换阶段。在实际生活中，用户的秘密口令有可能泄露，而用户察觉到口令不安全之后应立即更换口令，防止口令泄露导致的安全问题。而该协议缺少口令更换，将导致合法用户无法更换口令。

3.4 对用户缺少亲和性

3.5 无法保证用户有唯一的用户名

Mahmood等的协议没有办法应对不同的用户选择相同的用户名。如果攻击者使用了与合法用户Ui相同的用户名IDi，那么攻击者就可以伪装成用户Ui与在同一智能电网中的用户进行通信，这样会造成严重的信息泄露与不必要的纠纷。

4 本文改进协议

本文提出一个新的基于椭圆曲线密码学的协议，克服了Mahmood等的协议设计的安全缺陷。改进的协议增加了一个用户的口令更改阶段，有3个阶段，即用户注册阶段、用户间认证阶段与用户更改口令阶段。整个流程见图2。

4.1 初始阶段

改进协议的初始阶段与文献[3]协议的初始阶段一致，所用的符号与之前一致。

4.2 注册阶段

4.3 用户间认证与建立临时会话密钥阶段

为了能够在智能网络中与其他的用户通信，需要在通信前与其他的用户进行相互验证，详细的过程如下：

4.4 用户更改口令阶段

在改进协议当中，若用户想要更换口令，可以直接在设备中进行，不必通过可信任的第三方，减小了第三方计算开销：

5 改进协议的安全性分析

本章将对改进协议的安全性进行分析，这是建立在1.2节本文假设的攻击者模型下进行的。

5.1 用户间的相互认证

5.2 回放攻击

5.3 伪装攻击

5.4 内部特权人员攻击

5.5 中间人攻击

根据5.3节的分析可知，攻击者没有办法伪装成用户Ui或Uj进行通信，并且攻击者无法伪造出合法的认证信息，所以这个协议可以抵挡住中间人攻击。

5.6 完美前向安全性

5.7 用户名的唯一性

在协议的注册阶段，可信任的第三方收到用户的注册信息时会检查用户名是否存在，这保证了在同一智能电网中用户的用户名是唯一的，所以此协议能够保证用户名的唯一性。

5.8 BAN逻辑证明

在这一节应用BAN（Burrows-Abadi-Needham）逻辑去形式化的证明改进设计的协议是正确的。

6 改进协议的性能分析

本章对改进的协议与文献[3]的协议、Chim[11]的协议、Fouda[12]的协议、Zhang[13]的协议作了计算效率的比较。Mahmood等在个人计算机上进行的实验，电脑的CPU为酷睿I5，2.50GHz处理器，RAM为4.0GB。在进行比较之前，先对比较中所用到的符号进行说明：

TME為点幂的模所花费的时间;

TSM为椭圆曲线点乘所花费时间;

TH为哈希函数所花费时间;

TPA为椭圆曲线点加所花费时间;

TSE为对称加密所花费时间;

TSD为对称解密所花费时间;

TAE为非对称加密所花费时间;

TAD为非对称解密所花费时间;

THMAC为基于哈希函数的消息认证码所花费时间。

改进的协议消耗的时间为5TSM+2TH+TPA，则改进的效率分析如表1所示。

改进的协议与文献[3]的协议的安全性能分析如表2所示。

综上分析可知，与文献[11]、文献[12]与文献[13]的协议相比，改进的协议的计算效率更高、安全性能更好;与文献[3]相比，改进的协议计算效率稍低，但是安全性能提高了，并且对用户的亲和性更好，所以改进的协议在实际的智能电网通信中要优于其他协议。

7 结语

本文分析了Mahmood等提出的基于椭圆曲线密码的认证协议的安全性能，并找出了其认证阶段中的一个公式错误，并且其协议存在不能够抵挡住内部特权人员攻击、缺少更换口令阶段、对用户缺少亲和性、无法保证用户拥有唯一的用户名等不足。在Mahmood等的协议的基础上本文提出了一个改进的协议，并使得改进的协议能够克服这些缺陷，并证明了该协议能够抵挡住各种攻击，最后用BAN逻辑形式化地证明了改进协议的正确性和可行性。

参考文献 （References）

[1] NICANFAR H， LEUNG V C M. Password-authenticated cluster-based group key agreement for smart grid communication [J]. Security and Communication Networks， 2014， 7（1）： 221-233.

[2] NICANFAR H， LEUNG V C M. Multilayer Consensus ECC-based Password Authenticated Key-exchange （MCEPAK） protocol for smart grid system [J]. IEEE Transactions on Smart Grid， 2013， 4（1）： 253-264.

[3] LI D， AUNG Z， WILLIAMS J R， et al. Efficient and fault-diagnosable authentication architecture for AMI in smart grid [J]. Security and Communication Networks， 2015， 8（4）： 598-616.

[4] MAHMOOD K， CHAUDHRY S A， NAQVI H， et al. An elliptic curve cryptography based lightweight authentication scheme for smart grid communication [J]. Future Generation Computer Systems， 2018， 81： 557-565.

[5] BURROWS M， ABADI M， NEEDHAM R. A logic of authentication[C]// Proceedings of the Royal Society of London A： Mathematical， Physical and Engineering Sciences. London： Royal Society， 1989， 426： 233-271.

[6] KOBLITZ N. Elliptic Curve Cryptosystem [M]. Platt Boulevard， Claremon： Mathematics Computing， 1987： 203-209.

[7] HE D， KUMAR N， CHILAMKURTI N. A secure temporal-credential-based mutual authentication and key agreement scheme for wireless sensor networks [C]// Proceedings of the 2014 International Symposium on Wireless and Pervasive Computing. Piscataway， NJ： IEEE， 2014： 263-277.

[8] LI Q， CAO G. Multicast authentication in the smart grid with one-time signature [J]. IEEE Transactions on Smart Grid， 2011， 2（4）： 686-696.

[9] NAM J， CHOO K R， HAN S， et al. Efficient and anonymous two-factor user authentication in wireless sensor networks： achieving user anonymity with lightweight sensor computation [J]. PLoS One， 2015， 10（4）： e0116709.

[10] CAO X， ZHONG S. Breaking a remote user authentication scheme for multiserver architecture [J]. IEEE Communications Letters， 2006， 10（8）： 580-581.

[11] CHIM T W， YIU S M， HUI L C K， et al. PASS： privacy-preserving authentication scheme for smart grid network [C]// Proceedings of the 2011 IEEE International Conference on Smart Grid Communications. Piscataway， NJ： IEEE， 2011： 196-201.

[12] FOUDA M M， FADLULLAH Z M， KATO N， et al. A lightweight message authentication scheme for smart grid communications [J]. IEEE Transactions on Smart Grid， 2011， 2（4）： 675-685.

[13] ZHANG L， TANG S， LUO H. Elliptic curve cryptography-based authentication with identity protection for smart grids [J]. PLoS One， 2016， 11（3）： e0151253.

[14] 夏鵬真，陈建华.基于椭圆曲线密码的多服务器环境下三因子认证协议[J].计算机应用研究，2017，34（10）：3061-3067.（XIA P Z， CHEN J H. Three-factor authentication scheme for multi-server environments based on elliptic curve cryptography [J]. Application Research of Computers， 2017， 34（10）： 3061-3067.）

[15] VERGADOS D， STERGIOU G. An authentication scheme for Ad-Hoc networks using threshold secret sharing [J]. Wireless Personal Communications， 2007， 43（4）： 1767-1780.