劉欣東 徐水帥 陳建華

摘 要：為了確保通信在智能電網(wǎng)中的安全可靠，越來越多的認證協(xié)議被應(yīng)用在通信過程中。針對Mahmood等（MAHMOOD K， CHAUDHRY S A， NAQVI H， et al. An elliptic curve cryptography based lightweight authentication scheme for smart grid communication. Future Generation Computer Systems， 2018，81： 557-565）提出的認證協(xié)議，指出此協(xié)議易受到內(nèi)部特權(quán)人員攻擊，缺少更換口令階段，對用戶缺少親和性，無法保證用戶有唯一的用戶名，并有一個公式的錯誤。為改進此協(xié)議，提出一個基于橢圓曲線的認證協(xié)議。首先，增加用戶與設(shè)備之間的登錄階段，其次，利用橢圓曲線密碼學(xué)難題進行信息交互，最后補充口令更換階段。通過BAN邏輯形式化分析，改進協(xié)議安全可行，能抵擋住內(nèi)部人員攻擊，并具有口令更換、用戶名唯一、對用戶有親和性的特點。

關(guān)鍵詞：智能電網(wǎng);認證;密鑰協(xié)商;橢圓曲線密碼學(xué);BAN邏輯

中圖分類號： TN918

文獻標(biāo)志碼：A

文章編號：1001-9081（2019）03-0779-05

Abstract： To ensure the security and reliability of communication in the smart grid， more and more authentication protocols have been applied in the communication process. For the authentication protocol proposed by Mahmood et al. （MAHMOOD K， CHAUDHRY S A， NAQVI H， et al. An elliptic curve cryptography based lightweight authentication scheme for smart grid communication. Future Generation Computer Systems. 2018，81： 557-565）， some defects were pointed out in this article. For example， this protocol can be easily attacked by internal privileged personnel， is lack of password replacement phase and unfriendly to users， in which unique username cannot be guaranteed， even a formula error exists. To improve this protocol， an authentication protocol based on elliptic curve was proposed. Firstly， a login phase between the user and the device was added in the improved protocol. Secondly， elliptic curve cryptography puzzle was used to realize information exchange. Finally， the password replacement phase was added. Through the formal analysis by BAN （Burrows-Abadi-Needha） logic， the improved protocol is safe and feasible， which can resist internal personnel attacks， has password replacement and unique username， and is more friendly to users.

Key words： smart grid; authentication; key agreement; Elliptic Curve Cryptography （ECC）; BAN （Burrows-Abadi-Needha） logic

0 引言

隨著城市信息化的不斷推進，智能城市已開始步入人們的生活。智能城市不是一個純技術(shù)概念，它是信息技術(shù)與網(wǎng)絡(luò)技術(shù)滲透到城市生活的一個具體體現(xiàn)。智能電網(wǎng)就是電網(wǎng)的智能化，它是建立在集成的、高速雙向通信網(wǎng)絡(luò)的基礎(chǔ)上，通過先進的傳感技術(shù)、先進的設(shè)備技術(shù)、先進的控制方法以及先進的決策支持系統(tǒng)技術(shù)的應(yīng)用，建立高速、雙向、實時、集成的通信系統(tǒng)是實現(xiàn)智能電網(wǎng)的基礎(chǔ)，沒有這樣的通信系統(tǒng)，任何智能電網(wǎng)的特征都無法實現(xiàn)，因為智能電網(wǎng)的數(shù)據(jù)獲取、保護和控制都需要這樣的通信系統(tǒng)的支持，因此建立這樣的通信系統(tǒng)是邁向智能電網(wǎng)的第一步。在智能電網(wǎng)的通信系統(tǒng)中，最主要的是各種用戶之間的通信。并且為了確保與合法用戶通信，必須先在可信任的第三方機構(gòu)進行注冊成為合法用戶以及在通信時進行驗證，也因此一個安全的認證協(xié)議對于智能電網(wǎng)來說至關(guān)重要。

2015年12月23日，烏克蘭發(fā)生突然停電事故，引發(fā)烏克蘭70多萬居民家庭停電數(shù)小時。事后達拉斯信息安全公司工程師表示這是黑客入侵導(dǎo)致的。2016年12月，烏克蘭基輔的變電所發(fā)生停機事故，導(dǎo)致基輔大面積停電。同是在2016年12月初，媒體報道國家電網(wǎng)的兩款A(yù)PP電e寶以及掌上電力出現(xiàn)數(shù)據(jù)泄露，數(shù)千萬的用戶信息流向黑市。所以在應(yīng)對網(wǎng)絡(luò)中出現(xiàn)的各種攻擊時，智能電網(wǎng)應(yīng)完善嚴格的認證機制，將標(biāo)準(zhǔn)協(xié)議與安全散列算法（Secure Hash Algorithm，SHA）等技術(shù)混合采用，從而對網(wǎng)絡(luò)信道數(shù)據(jù)進行校驗。

2015年Nicanfar等[1]提出了一個基于混合機制多方認證的認證協(xié)議，它的實現(xiàn)依賴于零化證明、公鑰驗證、訪問控制技術(shù);但是由于使用了公鑰驗證而大大提高了計算復(fù)雜度。這之后，Nicanfar等[2]在2015年又提出了一個基于橢圓曲線加密的認證協(xié)議。盡管他們的方案大大降低了計算復(fù)雜度，但是由于可信任的第三方需要密碼表來保存用戶信息而易受到表丟失或被竊取的攻擊。之后，Li等[3]提出一個新的密碼協(xié)議，但同樣也被證明易受到竊聽，并且由于缺少密鑰協(xié)商而易受到模仿攻擊。

最近，Mahmood等[4] 提出了一個基于圓曲線加密體制的輕量級驗證協(xié)議，他們聲稱能夠抵御各種各樣的攻擊，并且與之前的協(xié)議相比，他們的協(xié)議更能夠在提升安全性水平的同時降低計算復(fù)雜度。但本文經(jīng)過分析可以得出，他們的方案易受到內(nèi)部特權(quán)人員攻擊，缺少更換口令階段，對用戶缺少親和性，無法保證用戶有唯一的用戶名，還有一個公式的錯誤。本文提出了一個改進的認證協(xié)議。該協(xié)議對于Mahmood等的協(xié)議的漏洞進行了改進，并用BAN（Burrows-Abadi-Needha）邏輯[5]確定了其正確性，最后的安全性和效率分析比較也顯示出改進的協(xié)議更加安全和實用。

1 預(yù)備工作

1.1 橢圓曲線密碼學(xué)

首先，敘述本文中用到的橢圓曲線密碼學(xué)（Elliptic Curve Cryptography， ECC）[6]。與先前傳統(tǒng)的密碼學(xué)（例如DSA （Digital Signature Algorithm）、RSA （Rivest-Shamir-Adleman）和DH（Diffie-Hellman）相比，橢圓曲線密碼學(xué)在相同的安全等級下?lián)碛懈叩募用苄蔥7]，因為ECC可以用較小長度的密鑰實現(xiàn)相同的安全等級[8]。橢圓曲線方程：

1.2 敵手模型

在本文中我們假定攻擊者有如下的能力[10]：

1）攻擊者可以獲取公共傳輸通道中的一切信息，并且可以修改、重放、偽造任何新的信息去傳輸給接收者。

2）攻擊者可以知道這個通信系統(tǒng)中的所有用戶的用戶名。

3）攻擊者可以作為一個合法的用戶在這個通信系統(tǒng)中。

1.3 符號及說明

2 回顧Mahmood等的認證協(xié)議

文獻[3]設(shè)計了一個基于橢圓曲線的輕量型的認證方案。這個方案包括3個部分：初始階段、注冊階段、認證階段。詳細的信息如下，整個流程如圖1。

2.1 初始階段

2.2 注冊階段

3 Mahmood協(xié)議的安全性分析

本文找到Mahmood協(xié)議的一個錯誤并仔細分析了協(xié)議的安全缺陷：其協(xié)議不能夠抵擋內(nèi)部特權(quán)攻擊。

3.1 Mahmood協(xié)議的錯誤

3.2 內(nèi)部特權(quán)人員攻擊

3.3 缺少更改口令更換階段

Mahmood等的協(xié)議并沒有口令更換階段。在實際生活中，用戶的秘密口令有可能泄露，而用戶察覺到口令不安全之后應(yīng)立即更換口令，防止口令泄露導(dǎo)致的安全問題。而該協(xié)議缺少口令更換，將導(dǎo)致合法用戶無法更換口令。

3.4 對用戶缺少親和性

3.5 無法保證用戶有唯一的用戶名

Mahmood等的協(xié)議沒有辦法應(yīng)對不同的用戶選擇相同的用戶名。如果攻擊者使用了與合法用戶Ui相同的用戶名IDi，那么攻擊者就可以偽裝成用戶Ui與在同一智能電網(wǎng)中的用戶進行通信，這樣會造成嚴重的信息泄露與不必要的糾紛。

4 本文改進協(xié)議

本文提出一個新的基于橢圓曲線密碼學(xué)的協(xié)議，克服了Mahmood等的協(xié)議設(shè)計的安全缺陷。改進的協(xié)議增加了一個用戶的口令更改階段，有3個階段，即用戶注冊階段、用戶間認證階段與用戶更改口令階段。整個流程見圖2。

4.1 初始階段

改進協(xié)議的初始階段與文獻[3]協(xié)議的初始階段一致，所用的符號與之前一致。

4.2 注冊階段

4.3 用戶間認證與建立臨時會話密鑰階段

為了能夠在智能網(wǎng)絡(luò)中與其他的用戶通信，需要在通信前與其他的用戶進行相互驗證，詳細的過程如下：

4.4 用戶更改口令階段

在改進協(xié)議當(dāng)中，若用戶想要更換口令，可以直接在設(shè)備中進行，不必通過可信任的第三方，減小了第三方計算開銷：

5 改進協(xié)議的安全性分析

本章將對改進協(xié)議的安全性進行分析，這是建立在1.2節(jié)本文假設(shè)的攻擊者模型下進行的。

5.1 用戶間的相互認證

5.2 回放攻擊

5.3 偽裝攻擊

5.4 內(nèi)部特權(quán)人員攻擊

5.5 中間人攻擊

根據(jù)5.3節(jié)的分析可知，攻擊者沒有辦法偽裝成用戶Ui或Uj進行通信，并且攻擊者無法偽造出合法的認證信息，所以這個協(xié)議可以抵擋住中間人攻擊。

5.6 完美前向安全性

5.7 用戶名的唯一性

在協(xié)議的注冊階段，可信任的第三方收到用戶的注冊信息時會檢查用戶名是否存在，這保證了在同一智能電網(wǎng)中用戶的用戶名是唯一的，所以此協(xié)議能夠保證用戶名的唯一性。

5.8 BAN邏輯證明

在這一節(jié)應(yīng)用BAN（Burrows-Abadi-Needham）邏輯去形式化的證明改進設(shè)計的協(xié)議是正確的。

6 改進協(xié)議的性能分析

本章對改進的協(xié)議與文獻[3]的協(xié)議、Chim[11]的協(xié)議、Fouda[12]的協(xié)議、Zhang[13]的協(xié)議作了計算效率的比較。Mahmood等在個人計算機上進行的實驗，電腦的CPU為酷睿I5，2.50GHz處理器，RAM為4.0GB。在進行比較之前，先對比較中所用到的符號進行說明：

TME為點冪的模所花費的時間;

TSM為橢圓曲線點乘所花費時間;

TH為哈希函數(shù)所花費時間;

TPA為橢圓曲線點加所花費時間;

TSE為對稱加密所花費時間;

TSD為對稱解密所花費時間;

TAE為非對稱加密所花費時間;

TAD為非對稱解密所花費時間;

THMAC為基于哈希函數(shù)的消息認證碼所花費時間。

改進的協(xié)議消耗的時間為5TSM+2TH+TPA，則改進的效率分析如表1所示。

改進的協(xié)議與文獻[3]的協(xié)議的安全性能分析如表2所示。

綜上分析可知，與文獻[11]、文獻[12]與文獻[13]的協(xié)議相比，改進的協(xié)議的計算效率更高、安全性能更好;與文獻[3]相比，改進的協(xié)議計算效率稍低，但是安全性能提高了，并且對用戶的親和性更好，所以改進的協(xié)議在實際的智能電網(wǎng)通信中要優(yōu)于其他協(xié)議。

7 結(jié)語

本文分析了Mahmood等提出的基于橢圓曲線密碼的認證協(xié)議的安全性能，并找出了其認證階段中的一個公式錯誤，并且其協(xié)議存在不能夠抵擋住內(nèi)部特權(quán)人員攻擊、缺少更換口令階段、對用戶缺少親和性、無法保證用戶擁有唯一的用戶名等不足。在Mahmood等的協(xié)議的基礎(chǔ)上本文提出了一個改進的協(xié)議，并使得改進的協(xié)議能夠克服這些缺陷，并證明了該協(xié)議能夠抵擋住各種攻擊，最后用BAN邏輯形式化地證明了改進協(xié)議的正確性和可行性。

參考文獻 （References）

[1] NICANFAR H， LEUNG V C M. Password-authenticated cluster-based group key agreement for smart grid communication [J]. Security and Communication Networks， 2014， 7（1）： 221-233.

[2] NICANFAR H， LEUNG V C M. Multilayer Consensus ECC-based Password Authenticated Key-exchange （MCEPAK） protocol for smart grid system [J]. IEEE Transactions on Smart Grid， 2013， 4（1）： 253-264.

[3] LI D， AUNG Z， WILLIAMS J R， et al. Efficient and fault-diagnosable authentication architecture for AMI in smart grid [J]. Security and Communication Networks， 2015， 8（4）： 598-616.

[4] MAHMOOD K， CHAUDHRY S A， NAQVI H， et al. An elliptic curve cryptography based lightweight authentication scheme for smart grid communication [J]. Future Generation Computer Systems， 2018， 81： 557-565.

[5] BURROWS M， ABADI M， NEEDHAM R. A logic of authentication[C]// Proceedings of the Royal Society of London A： Mathematical， Physical and Engineering Sciences. London： Royal Society， 1989， 426： 233-271.

[6] KOBLITZ N. Elliptic Curve Cryptosystem [M]. Platt Boulevard， Claremon： Mathematics Computing， 1987： 203-209.

[7] HE D， KUMAR N， CHILAMKURTI N. A secure temporal-credential-based mutual authentication and key agreement scheme for wireless sensor networks [C]// Proceedings of the 2014 International Symposium on Wireless and Pervasive Computing. Piscataway， NJ： IEEE， 2014： 263-277.

[8] LI Q， CAO G. Multicast authentication in the smart grid with one-time signature [J]. IEEE Transactions on Smart Grid， 2011， 2（4）： 686-696.

[9] NAM J， CHOO K R， HAN S， et al. Efficient and anonymous two-factor user authentication in wireless sensor networks： achieving user anonymity with lightweight sensor computation [J]. PLoS One， 2015， 10（4）： e0116709.

[10] CAO X， ZHONG S. Breaking a remote user authentication scheme for multiserver architecture [J]. IEEE Communications Letters， 2006， 10（8）： 580-581.

[11] CHIM T W， YIU S M， HUI L C K， et al. PASS： privacy-preserving authentication scheme for smart grid network [C]// Proceedings of the 2011 IEEE International Conference on Smart Grid Communications. Piscataway， NJ： IEEE， 2011： 196-201.

[12] FOUDA M M， FADLULLAH Z M， KATO N， et al. A lightweight message authentication scheme for smart grid communications [J]. IEEE Transactions on Smart Grid， 2011， 2（4）： 675-685.

[13] ZHANG L， TANG S， LUO H. Elliptic curve cryptography-based authentication with identity protection for smart grids [J]. PLoS One， 2016， 11（3）： e0151253.

[14] 夏鵬真，陳建華.基于橢圓曲線密碼的多服務(wù)器環(huán)境下三因子認證協(xié)議[J].計算機應(yīng)用研究，2017，34（10）：3061-3067.（XIA P Z， CHEN J H. Three-factor authentication scheme for multi-server environments based on elliptic curve cryptography [J]. Application Research of Computers， 2017， 34（10）： 3061-3067.）

[15] VERGADOS D， STERGIOU G. An authentication scheme for Ad-Hoc networks using threshold secret sharing [J]. Wireless Personal Communications， 2007， 43（4）： 1767-1780.