一个基于智能电网数据传输的无证书签密方案

王启明，王建玺，樊爱宛

一个基于智能电网数据传输的无证书签密方案

王启明，王建玺，樊爱宛

为了提高加密与签名的耦合度，减少数字证书存储空间和计算开销，结合无证书签密技术，设计一种基于智能电网的数字签密安全方案，简单阐述密码技术在智能电网中的应用，分析智能电网数据传输中的安全问题。将可信第三方与智能节点共同产生的密钥对引入智能电网通信，提高了通信的安全性，将加密过程融入签名过程中，提高了通信的传输效率。与现有密码算法在安全上相比，该方案具有消息的保密性、完整性、抗否认性和抗伪造性等特点。测试结果表明，该方案不仅能够满足智能电网数据传输中的安全性需求，还能够满足智能电网数据传输的实时性要求。

数据传输；无证书签密；椭圆曲线密码；密钥生成中心

0 引言

智能电网数据传输安全的目标是确保数据的机密性、完整性、不可否认性、不可伪造性和可验证性。为满足以上目标，近几年一些以密码学为基础的安全策略相继被提出。2009年，文献[1]根据智能电网的安全特点，提出了利用数字证书解决智能电网可信环境策略。2011年，文献[2]针对智能电网中的电力调度的安全问题，设计了分层的数字认证体系结构；文献[3]为了防止智能配网通信系统中非法的终端设备的接入，提出一种基于密码技术身份认证的配网访问控制方案；文献[4]在将ECC椭圆曲线数字签名算法引入配电自动化系统中，针对控制指令传输的消息，采用单向认证与数字签名结合的方式对系统进行防护；文献[5]设计一套基于SSL通信协议和数字签名机制的通信模式，从而提高智能电网的安全防护能力。2013年，文献[6]为了实现电力数据的安全高效传输，提出了一种轻量级认证密钥协商协议。以上文献中的数字证书及数字签名方案虽然提高了系统安全性，但是也存在影响智能电网数据传输的实时性的两点弊端：（1）存储证书和验证证书的有效性，需要大量的存储空间和计算开销；（2）数字签名和加密两个功能算法独立完成，增加了计算复杂度和通信次数。

信息安全领域中的无证书签密技术的提出，既消除了传统密码体制对证书的依赖，也提升了加密与数字签名两个功能的耦合度[7]。鉴于此，相关学者开始将无证书签密技术引入应用领域。智能电网数据传输系统安全既具有计算机网络信息安全的特性，又具有电力传输可靠性和实时性的特征，所以无证书签密技术在智能电网中的应用研究具有一定的实用价值。然而到目前为止，从文献和应用现场来看，有关智能电网中无证书签密技术的研究并不多。

1 无证书签密技术

本节将阐述本文应用研究的技术理论基础。2003年Al-Riyami等人提出了无证书公钥密码学概念[8]。在无证书密码体制中，由密钥生成中心（Key Generation Center，KGC）生成用户的部分私钥和部分公钥；同时，用户选择一个秘密值和部分私钥相结合，生成自己独立的私钥和公钥[9]。无证书公钥密码学既消除了基于传统公钥基础设施中公钥证书的管理复杂性问题，同时也克服基于身份密码学中用户密钥托管问题。签密的概念于1997年由Zheng[10]提出。签密在计算量和通信成本上都要低于传统的先签名后加密方式，是信息安全中的一个重要工具，它提供了保密性、不可否认性、不可伪造性等安全服务。随着签密技术的发展，2008年，第一个无证书签密方案由Barbosa等人提出[11]。

无证书签密机制有3个合法参与者：密钥生成中心、签密者和接收者[12]。无证书签密机制由系统参数建立、用户秘密值生成、用户部分密钥生成、用户私钥生成、用户公钥生成、签密和解密等7种算法构成。其中，前两个算法由KGC执行，而其它算法由签密者或接收者执行[13]。

面向智能电网信息传输的无证书签密方案安全性是构建在以下数学难题之上。

定义1（椭圆曲线离散对数问题，DLP）：P是G1的生成元，任取Q∈G1。在已知P和Q的条件下，求Q=nP中的n是一个数学难题。

定义2（Diffie-Hellman问题，CDHP）：P是G1的生成元，aP∈G1，bP∈G1。在不知道a和b的情况下，求abP是一个数学难题。

在无证书签密的安全模型中，一般存在两类敌手攻击，这两种敌手攻击同样存在智能电网信息传输过程中：

Type-I攻击者AⅠ：不能获取KGC主密钥，但可以替换任意用户公钥。

Type-Ⅱ攻击者AⅡ：拥有主密钥，可以自己产生部分私钥，但是不能替换用户的公钥。

2 基于数据传输的无证书签密方案

智能电网数据传输安全性要求为目标，在约定的应用环境中，说明一个适应于智能电网数据传输的无证书签密方案的设计过程。

2.1 系统初始化

智能电网中的KGC具体执行系统初始化工作：参数的选择和KGC主秘钥的设定。

（1）参数的选择

设Fq为有限域，整数q是Fq的阶；无证书签密技术的实现以椭圆曲线密码计算为基础，设椭圆曲线的两个系数a，b∈Fq，构建椭圆曲线E：y2=x3+ax+b，其中x和y为有限域Fq中的元素；G为E的一个生成元；n是G的阶数；为保证信息的完整性，选择三个单向哈希函数H1、H2和H3，其中H1：

（2）KGC主秘钥的设定

KGC选择主秘钥s(0＜s＜n)，求Ppub=sG。

KGC公布参数D={q,FR,a,b,G,n,h,Ppub,H1,H2和H3}。KGC公开智能节点身份为ID。

2.2 设置秘密值

2.3 部分私钥生成

KGC为智能设备节点生成另一部分私钥。KGC收到ZID和ID后，随机选取KGC计算RID=rIDP；计算

DID=rID+H1(ID,RID,ZID)s+H3(sZID)；KGC将（RID,DID）通过智能电网传输信道发送给智能节点。

2.4 部分私钥验证

智能设备节点验证部分私钥是否是KGC生成。节点计算等式DIDP=RID+H1(ID,RID,ZID)Ppub+H3(zIDPpub)是否成立。若成立，则计算另一部分私钥dID=DID－H3(zIDPpub)；否则，拒绝接收KGC的消息。

2.5 设置公钥

智能设备节点设置并保存其公钥PKID=(ZID,RID)。为抵抗公钥替换攻击，KGC通过公告板对节点公钥PKID公示。

2.6 设置私钥

智能设备节点设置并保存其私钥SKID=(zID,dID)。

为了提高通信效率，降低运行成本，该区域设备节点的公钥与私钥只能定期协商更改，避免频繁更换。

在智能电网数据传输过程中，通信比较频繁的工作是签密和签密验证接受两个阶段。假设有两个智能节点A和B的身份分别为IDA和IDB。节点A的公钥为PKA=(ZA,RA)，其私钥为SKA=(zA,dA)；节点B的公钥为PKB=(ZB,RB)，其私钥为SKB=(zB,dB)。

2.7 签密

输入一个消息m∈Zq*，智能节点A按以下方式对消息m进行签密：

（1）选取k，0＜k＜n；计算K=kP。

（2）计算h1=H1(IDB,RB,ZB)，h=H2(K,IDA,m,ZA,RA)，v=k/(zA+dA+h)，生成签名(h,s)。

（3）计算签名VA=k(ZB+RB+h1Ppub)，计算密文

（4）发送（h,v,C）给用户B。

2.8 签密验证接受

智能节点B按如下方式解密智能节点A的消息m，并进行签名有效性的验证：

（1）计算h’1=H1(IDB,RB,ZB)。

（2）计算K’=v(ZA+RA+h’1Ppub+hP)。

（3）V’A=(zB+dB)K’。

（5）判断h=H2(K’,IDA,m,ZA,RA)等式是否成立。若成立则验证通过，并接受m；否则验证未通过，并拒绝接受m。

3 性能分析

3.1 安全性分析

本节从签密方案的正确性、有效性、不可否认性、不可伪造性和完整性等五方面，进行安全性分析。

（2）签密方案中消息签密的有效性。

在智能电网中的无证书签密方案中有两处验证。

一是智能节点根据DIDP=RID+H1(ID,RID,ZID)Ppub+ H3(zIDPpub)等式是否成立，对dID是否来源于KGC的验证。算法有效性的验证如下：

二是智能节点通过h=H2(K’,IDA,m,ZA,RA)是否成立，判断信息签名的有效性。算法有效性的验证如下：

（3）不可否认性。智能电网KGC发送给智能节点的私钥dID中含有节点的身份ID，智能节点在签密计算过程中，h1=H1(IDB,RB,ZB)，h=H2(K,IDA,m,ZA,RA)两个算式都含有了签密者A的身份和接受者B的身份，故在数据传输过程中，信息具有不可否认性。

（4）不可伪造性。由于一个智能设备节点的私钥是由自身与KGC共同产生，故私钥的安全性主要是以节点与KGC的安全为基础。攻击者AⅠ为智能电网中智能设备节点，AⅠ攻击为节点企图绕过KGC主密钥，进行伪造签密的过程；攻击者AⅡ为智能电网中KGC节点，AⅡ攻击为KGC节点企图绕过智能设备节点私有密钥，进行伪造签密的过程。如果基于智能电网数据传输中无证书签密方案能抵抗攻击者AⅠ和AⅡ的攻击，则签密方案具有不可伪造性。

方案能够抵抗攻击者AⅠ进行的伪造攻击。首先，攻击者AⅠ不知道系统的主密钥s，也不知道KGC为智能节点产生的rID，故不知道智能节点的部分私钥dID，如果攻击者AⅠ求解rID，则必须通过RID=rIDP推算，这是求解DLP难题。其次，攻击者AⅠ试图替换智能节点的公钥，就必须修改KGC的公告板中的公钥信息，由于公告板是公开的，并且公钥与智能节点身份ID是对应的，故攻击的行为会暴露。

方案能够抵抗攻击者AⅡ进行的伪造攻击。攻击者AⅡ若利用智能节点公钥和部分私钥ZID求解出智能节点另一部分私钥zID，只能通过ZID=zIDP进行，但是这是求解DLP难题。故求解私钥zID不可行。攻击者AⅡ如果伪造消息m的签密，需要绕过部分私钥zID，伪造h和v，以便满足h=H2(K’,IDA,m,ZA,RA)，这又是求解DLP难题。

（5）信息的完整性。在签名时使用HASH函数，将m、ID和公钥进行捆绑，保证信息的完整性。

本文基于ECC无证书数字签密方案与其他数字签名方案在安全性上的比较如表1所示：

表1 方案在安全性上的比较

（其中，“√”表示“具有”。） 文献[6]是基于证书的智能电网数据传输的数字签名方案，该方案是以证书存储为安全基础，采用对随机数的数字签名方式实现挑战响应安全机制，由于挑战响应的局限性，故该方案无法保证数据的完整性和机密性。文献[14]是智能电网AMI通信系统数据安全策略研究方案，该方案使用AES保证了数据的机密性，采用了Blom算法进行了密钥分配，确定AES的对称密码，由于对称密码无法进行数字签名技术的应用，故该方案无法保证数据的不可伪造性与不可否认性。文献[15]是基于双线性对的无证书签密方案，文献[16]为基于无线性对的无证书签密方案，这两个签密方案虽然保证了数据完整性、机密性、不可否认性与不可伪造性，但是由于KGC没有采用公告板形式，故方案无法抵抗公钥替换攻击，由于部分私钥必须通过安全通道传递到用户端，故方案无法保证私钥传递的机密性。

3.2 效率分析

本节通过方案的效率分析，从而说明方案能够满足智能电网数据传输的实时性要求。按照文献[17]统一无证书签密的运算时间单位。假定以乘运算时间M为参考，加运算时间和模运算时间、ECC加运算时间和哈希函数运算时间均可忽略不计，指数运算时间E相当于240M，ECC标量乘运算时间EM相当于29M，逆运算时间I相当于12M，双线性对运算时间D相当于609M。

在系统初始化过程中，用到1次标量乘运算。在设置秘密值过程中，用到1次标量乘。在部分秘钥生产过程中，用到2次标量乘运算。在验证私钥过程中，用到2次标量乘。在公钥与私钥产生的过程中，共消耗6次标量乘，约174M个运算。在签密过程中，用到3次标量乘，1次逆运算，共消耗约99M个运算。在签密验证过程中，用到4个标量乘，共消耗约116M个运算。

本文方案与其它方案在运算时间的比较如表2所示：

表2 方案在运算时间上的比较

文献[6]挑战响应安全机制一般采用的是RSA算法，该算法是以指数运算为基础的，故该方案比本方案中的任意阶段消耗的时间都长。文献[14]中的方案只有加密模块，若在此基础上加入数字签名模块，则会造成两个模块的耦合度偏低，消耗的时间是两个模块的总和，另外在使用公钥密码体制产生对称密钥过程中，采用了指数运算，1次指数运算相当于240M，比本方案中的任意阶段消耗的时间都长。文献[15]中的双线性对运算相当于609M，比本方案中的任意阶段消耗的时间都长。文献[16]虽然为无线性对的无证书签密方案，但在该方案中的数字签密验证过程中，比本文方案多使用了2个标量乘运算。

通过方案在运算时间的比较可以看出，本文方案的运算时间明显小于其他方案，也不会因为证书而消耗存储空间，说明本文方案具有较高的运行效率，便于应用到智能设备节点中。

4 总结

本文以无证书签密技术为理论基础，着手分析智能电网数据传输中的安全问题，构建智能电网无证书签密应用环境，设计适应于智能电网数据传输的无证书签密方案，与同类应用算法，在安全性及实时性等方面相比，本文方案不仅能够满足智能电网数据传输中的安全性需求，还能够满足智能电网数据传输的实时性要求。

[1]张文亮,刘壮志,王明俊等.智能电网的研究进展及发展趋势[J].电网技术,2009,33(13):1-11.

[2]徐茹枝,郭健,李衍辉.智能电网中电力调度数字证书系统[J].中国电力,2011,44(01):37-40.

[3]项彬,陈泓,祁兵等.密码技术在配网自动化中的访问控制研究[J].电气技术,2012,(06):83-86.

[4]张志华.非对称数字签名技术在配电自动化系统的应用[J].电气自动化,2012,34(03):39-41.

[5]卢士达,SSL在构建安全智能电网中的研究和应用[J].计算机应用与软件,2012,29(06):282-284.

[6]赵兵等,适用于用电信息采集的轻量级认证密钥协商协议[J].电力系统自动化,2013.37(12):81-86.

[7]Li FG,Shirase M,Takagi T.Certificateless hybrid sig ncryption.In:Proc.of the ISPEC 2009.LNCS 5451,Berlin[C].Heidelberg:Springer-Verlag,2009,112～123.[d oi:10.1007/978-3-642-00843-6_11]

[8]AL-RIYAMI S,PATERSON,K G.Certificateless publ ic key cryptography[A].Proc of Asiacrypt 2003[C].S pringer-Verlag,Berlin，2003,452-473.

[9]Tso R,Kim C,Yi X.Certificateless message recovery signatures providing girault’s level-3 security[J].Jour nal of Shanghai Jiaotong University(Science).2011,16 (5):577-583.

[10]Zheng Y.Digital signcryption or how to achieve cost (signature&encryption)＜＜cost(signature)+cost(encrypti on)[C].Advances in Cryptology-Crypto’97.LNCS 1294,Berlin:Springer-Verlag,1997,291～312.[doi:10.1007 /BFb0052234]

[11]Barbosa M,Farshim P.Certificateless signcryption.In: Proc.of the ACM Symp.on Information[C].Compute r and Communications Security(ASIACCS 2008).AC M Press,2008,369～372.[doi:10.1145/1368310.13683 64]

[12]刘文,杨慧霞.祝斌等.智能电网技术标准体系研究综述[J].电力系统保护与控制,2012,40(10):120-126.

[13]淮晓烨.基于无证书公钥密码、RBAC的智能配电网访问控制方案[D].成都:西南交通大学,2012,DOI:10.7666/d. y2107404.

[14]路保辉,马永红.智能电网AMI通信系统及其数据安全策略研究[J].电网技术,2013,37(08):2244-2249.

[15]刘志远.一个安全的无证书签密方案[J].计算机应用研究,2013,30(05):1533-1535.

[16]何德彪,无证书签密机制的安全性分析[J].软件学报,2013,24(03):618-622.

[17]Courtoi N,Klimov A,Patarin J.Efficient Algorithms for Solving Overdefined Systems of Multivariate Poly nomial Equations[C].Berlin Germany:Springer-Verla g,2000,392-407.

Study of Certificateless Signcryption Based on Smart Grid Data Transmission

Wang Qiming1,Wang Jianxi2,FanAiwan2
(1.School of Computer Science and Technology Department,Pingdingshan University,Pingdingshan 467002,China; 2.Software School of Pingdingshan College,Pingdingshan 467000,China)

In order to increase the degree of coupling for encryption and signature,and reduce storage space and computational requirement of the digital certificate,a digital signcryption scheme to smart grid is designed,combining with certificateless signcryption technology.It simply illustrates the application of cryptography in the smart grid and analyzes the security problem in data transmission.Then introduce the key pair produced by both the trusted third party and intelligent nodes into the communication of smart grid.The method improves the security of communication.It also integrates the encryption process into the sign process to improve the transmission efficiency of communication.Compared with the existing algorithm to smart grid in the security,this scheme has features of confidentiality,integrality,nonrepudiation and anti-forgery.The application test results show that the scheme can not only meet the requirements of data transmission security,but also meet the real-time requirements of data transmission in smart grid.

Data Transmission;Certificateless Signcryption;Elliptic Curve Cryptography;Key Generation Center

TP393

A

1007-757X(2015)06-0011-04

2015.03.18)

王启明（1980-），男（汉族），河南鲁山人，平顶山学院，计算机科学与技术学院，讲师，硕士，研究方向：软件工程算法和物联网，平顶山，467002

王建玺（1981-），河南社旗人，平顶山学院，软件学院，讲师，硕士，研究方向：计算机应用，平顶山，467002

樊爱宛（1978-），男，平顶山学院，软件学院，副教授，硕士，研究方向：信息安全研究，平顶山，467002