安全增強的智能電網輕量級匿名認證方案

摘要：現有的智能電網身份認證方案大多存在計算成本高和認證流程復雜的問題，不適用于智能電網中資源受限的智能設備。而一些輕量級的方案卻存在多種安全漏洞，這些方案都無法在效率和安全性之間實現所需的權衡。針對上述問題，基于橢圓曲線加密算法設計了一個增強的可證明安全的智能電網輕量級匿名認證方案。引入輔助驗證器，擺脫在認證階段對于電力供應商的依賴，在保護智能電表真實身份的條件下實現網關和智能電表之間的相互認證。同時，可以通過偽身份對惡意智能電表進行身份的溯源和撤銷。通過在隨機預言模型下的安全性分析和仿真工具ProVerif證明了方案具備較高的安全屬性。性能分析表明，所提方案能夠滿足智能電網環境下對于安全性和高效性的要求。

關鍵詞：智能電網；身份認證；橢圓曲線；隨機預言模型；ProVerif

中圖分類號：TP309.2文獻標志碼：A文章編號：1001-3695（2022）10-038-3124-06

doi： 10.19734/j.issn.1001-3695.2022.03.0118

Security enhanced lightweight anonymous authentication scheme for smart grid

Ding Zhifana， Hu Hongboa，b， Yang Qingyua， Xiao Siyuana

（a.College of Electronic Information amp; Automation， b.Network amp; Information Management Center， Xiangtan University， Xiangtan Hunan 411105， China）

Abstract：

Most of the existing smart grid authentication schemes suffer from high computational costs and complex authentication processes， which are not suitable for resource-constrained smart devices in the smart grid， while some lightweight schemes suffer from various security vulnerabilities， none of which can achieve the required trade-off between efficiency and security. To solve these problems， this paper designed an enhanced provably secure smart grid lightweight anonymous authentication scheme based on elliptic curve encryption algorithm. It introduced auxiliary validator to get rid of the reliance on the power supplier in the authentication phase and to achieve mutual authentication between the gateway and the smart meter under the condition of protecting the true identity of the smart meter. In addition， the scheme could trace and revoke the identity of malicious smart meters through pseudo identity. Through the security analysis under the random oracle model and simulation tool ProVerif verifies that the proposed scheme has high security properties. Performance analysis shows that the proposed scheme can meet the requirements for security and efficiency in smart grid environment.

Key words：smart grid; identity authentication; elliptic curve; random oracle model; ProVerif

0引言

傳統的電力系統因其自身的局限性，已不足以應對新興工業生產以及社會經濟發展的挑戰。智能電網作為下一代電力系統，將傳感、計算和通信等先進技術嵌入電網中，以提供可行、高效、可持續、具有經濟效益和安全的電力供應，顯著提高現有電網的效率［1］。在發電端通過將可再生能源并入電網，智能電網可以實現更準確的監控、潮流優化和更環保的綠色能源發電［2］。在用戶端為了實現對用戶用電量的實時監控，智能電表等智能計量基礎設施被部署在智能電網中，每個用戶都配備一個智能電表，用于定期收集用戶的用電數據，網關定期聚合區域內一組用戶的用電數據，電力供應商分析聚合的用電數據并動態更新價格以實施用戶側管理［3］。

盡管智能電網有許多優點，但它的互連性和動態性以及對信息通信技術和網絡系統的高度依賴使得智能計量基礎設施容易受到許多安全威脅，如中間人攻擊、假冒攻擊和重放攻擊等各類已知攻擊［4］。由于電力供應商，網關和智能電表之間的通信是雙向流動的，攻擊者能夠從多個入口滲入智能電網系統并竊取用戶的用電數據信息，并進一步入侵電力供應商的電力數據庫。因此，網絡安全成為智能電網最關鍵的問題［5］。然而，傳統的網絡安全技術如密碼保護、反惡意軟件和防火墻等都有其自身的局限性［6］。為了解決這些問題，需要將安全高效的認證機制集成到智能電網的通信系統中，以支持通信實體之間安全的信息交換，同時保護其隱私。身份認證和密鑰協商方案是安全高效的認證機制，能夠保障智能電網各通信方的遠程安全通信，實現數據機密性、用戶隱私和消息完整性，為智能電網提供可靠的電力服務。

為了應對智能電網中存在的安全問題，研究人員近年提出了許多適用于智能電網的身份認證和密鑰協商方案，但仍存在以下兩個主要問題：

a）現有的方案大部分都被指出存在多種安全漏洞，容易遭受各類已知攻擊，不能提供會話密鑰的安全性或智能電表的匿名性，無法滿足在智能電網環境下的安全需求。

b）現有的一些方案由于使用了指數運算或雙線性配對此類高開銷的操作而導致了較高的計算和通信成本，而智能電表的資源十分有限，難以滿足方案的需求。

最近，文獻［7］提出一個空間數據聚合方案，用于在智能電網中安全獲取電力需求，該方案包括認證和數據聚合兩個階段，并聲稱其方案是安全的，在認證階段能夠實現安全的認證和密鑰協商，并且具備對已知攻擊的抵抗能力，是智能電網環境的最佳選擇。但是，本文發現該方案無法抵抗密鑰泄露偽裝攻擊，并且其會話密鑰是不安全的，這會嚴重影響智能電網通信系統的安全性。

為了解決上述問題，本文基于橢圓曲線加密算法，提出一種新的且可證明安全的智能電網輕量級匿名認證方案，能夠滿足智能電網環境的安全需求，在性能上也更具優勢。本文的主要貢獻有：

a）對文獻［7］的認證階段進行安全性分析，證明該方案無法抵抗密鑰泄露偽裝攻擊，并且其會話密鑰安全性薄弱。

b）設計了適用于智能電網的身份認證和密鑰協商方案，引入一個輔助驗證器，使得電力供應商不介入方案的認證階段。

c）本文方案在消息認證時不暴露智能電表的身份信息，保證了智能電表的匿名性和不可追蹤性，通過對稱加密算法實現了輕量級的偽身份更新，特定情況下通過偽身份對惡意智能電表進行溯源和撤銷。

d）使用隨機預言模型以及仿真工具ProVerif證明了會話密鑰的安全性以及抵御已知攻擊的能力，與相關方案對比分析顯示所提方案在安全性，計算成本以及通信量三個方面都有優勢。

1相關研究

近年來已經提出了多種加密協議，包括數字簽名、加密、數據聚合、安全數據存儲和身份認證方案作為學術界和工業界保護智能電網安全的解決方案［8］，其中身份認證方案是保障智能電網數據安全和實施隱私保護的第一道防線，是智能電網部署的重要要求。2015年，文獻［9］采用雙線性配對提出了基于身份的簽名方案和基于身份的加密方案，實現了服務提供商和智能電表的相互認證。2016年，Odelu等人［10］指出文獻［9］無法保證智能電表秘密憑證的隱私和會話密鑰的安全性，并提出了一個安全高效的認證密鑰協商方案，成功解決了文獻［9］存在的潛在隱私泄露問題。2017年，Chen等人［11］表明文獻［10］容易遭受假冒攻擊，并且可以通過密鑰生成中心追蹤智能電表。為了解決文獻［10］的問題，文獻［11］改變了智能電表在密鑰生成中心的注冊方式，智能電表的身份在發送前被加密，并且智能電表的私鑰不會泄露給密鑰生成中心，因此不受密鑰生成中心發起的各種潛在攻擊的影響。然而，上述方案［9～11］使用了雙線性配對和指數運算，并且存在密鑰托管問題，因此會產生較高的計算成本。

為了滿足輕量級的需求，越來越多的研究人員采用橢圓曲線加密（ECC）算法構建智能電網認證方案。2016年，He等人［12］為了降低文獻［9］中使用雙線性配對和指數運算而導致的高計算成本，提出了一個基于橢圓曲線加密算法的輕量級匿名密鑰協商方案，在沒有可信第三方的情況下實現智能電表和服務供應商的相互認證。2018年，Abbasinezhad等人［13］指出文獻［12］無法抵抗已知會話的臨時信息攻擊和智能電表的臨時秘密值泄露攻擊，并提出了一個基于橢圓曲線加密算法的密鑰協商方案，能夠提供會話密鑰的安全性并且解決了以往方案的密鑰托管問題，然而被指出缺乏智能電表的匿名性［14］。2020年，Garg等人［15］提出了一種安全的身份認證方案，將完全散列Menezes-QuVanstone（FHMQV）密鑰交換機制和橢圓曲線加密算法相結合，能夠抵御各類已知攻擊，計算成本低，但是被證明無法實現智能電表的匿名性和不可追蹤性［16］。2021年，Srinivas等人［17］結合橢圓曲線加密算法和Schnorr的簽名方案設計了一種新的基于匿名簽名的認證密鑰交換方案，支持在初始部署后添加新的動態智能電表，但是被指出無法抵抗中間人攻擊和假冒攻擊，并且不提供匿名功能［18］。

為了保護智能電表的匿名性，偽身份生成技術也在不斷發展。2021年，Irshad等人［19］提出了一種用于智能電網需求響應管理的輕量級認證密鑰方案，使用哈希散列函數生成偽身份以確保智能電網設備的匿名性，并且支持偽身份的更新。然而，由于哈希散列函數的單向不可逆，文獻［19］不支持偽身份的溯源。2022年，Safkhani等人［20］提出一種智能電網的認證和密鑰協商方案，使用物理不可克隆函數（PUF）和對稱加密算法構建用戶的偽身份保證了匿名性。但是，文獻［20］不支持偽身份的更新和溯源。文獻［7］在智能電表上傳用戶用電數據前，電力供應商、智能電表和第三方聚合器進行身份認證，確保通信實體的合法性。該方案使用對稱加密算法構建偽身份以提供智能電表的匿名性，具備對常見已知攻擊的抵抗力，并且使用低成本的加密原語實現了通信實體之間的輕量級認證。然而，本文通過安全性分析發現，文獻［7］無法抵抗密鑰泄露偽裝攻擊，并且會話密鑰安全性薄弱。

2預備知識

2.1困難性問題

a）橢圓曲線離散對數難題（ECDLP）。假設q是一個大素數，G是一個階為q的加法循環群，對于給定的P∈G和a·P∈G，計算a∈Z*q是困難的。

b）橢圓曲線Diffie-Hellman難題（ECDHP）。對于給定的P，a·P，b·P∈G，其中a，b∈Z*q，計算a，b∈Z*q是困難的。

2.2系統模型

如圖1所示，在已有模型［7，21］的基礎上提出本文方案的系統模型，該模型中有電力供應商（PS）、網關（GW）、相應家庭局域網中的智能電表（SM）和輔助驗證器（AV）四個通信實體。

a）電力供應商（PS）。它是整個智能電網的管理員，主要負責生成和發放安全參數，對來自網關的聚合用電數據進行監控和分析并調整電價，與文獻［7，21］相比，本文方案中電力供應商只提供注冊服務，不介入智能電表和網關的身份認證和密鑰協商。

b）網關（GW）。它具有龐大的存儲空間和優秀的計算能力，收集并聚合來自其負責區域內家庭局域網的智能電表加密用電數據，將處理好的數據發送給電力供應商。這是一個誠實但對智能電表的加密用電數據好奇的半可信第三方實體，收到輔助驗證器的用電數據聚合請求后，對其進行身份認證，認證通過即發起與智能電表的相互認證并建立會話密鑰。

c）智能電表（SM）。它是智能電網的終端設備，負責定期收集并加密用戶的用電數據，這是一種資源受限的智能設備，存儲空間和計算能力有限。

d）輔助驗證器（AV）。它是一個第三方智能防竄改設備，向電力供應商注冊獲取相關安全參數，收到電力供應商的用電數據收集指令后，向網關發送用電數據聚合請求，網關需對其認證后方才同智能電表協商會話密鑰。

2.3安全目標

一個安全高效的智能電網身份認證和密鑰協商方案需為通信實體提供良好的安全性，應實現以下安全目標：

a）相互認證。為確保智能電表的數據上傳給授權合法的網關以及網關接收來自合法智能電表的加密用電數據，在智能電表和網關之間應能提供相互認證。

b）智能電表的匿名性不可追蹤性。確保攻擊者無法追蹤到智能電表的真實身份以及智能電表在通信網絡中的任何活動蹤跡。

c）會話密鑰的前向安全性。即使攻擊者獲得網關和智能電表的長期秘密參數，也能確保先前已建立會話密鑰的安全性。

d）抵抗密鑰泄露偽裝攻擊。即使網關或智能電表一方的私鑰泄露，攻擊者也無法偽裝成私鑰泄露方同另一方進行密鑰協商。

e）抵抗各類已知的攻擊。能夠抵抗假冒攻擊、重放攻擊、中間人攻擊和智能電表臨時秘密值泄露攻擊。

2.4攻擊者模型

本文結合Dolev-Yao威脅模型和CK攻擊者模型，構造了一個強大的攻擊者，其在概率多項式時間內具有以下能力：

a）A可以任意竊聽、攔截、修改、刪除、注入通信通道上的消息。

b）A可以獲取系統先前的會話密鑰。

c）在評估對密鑰泄露偽裝攻擊的抵抗時，A可以獲取通信實體的私鑰。

3文獻［7］的安全性分析

3.1文獻［7］認證階段的回顧

電力供應商（PS）為家庭局域網內的每個智能電表（SMi）生成偽身份PIDi和私鑰ki，并與第三方聚合器（TPA）共享私鑰Kas。在收集用戶用電數據聚合前，電力供應商、第三方聚合器和智能電表進行三方之間的相互認證，下面是具體過程。

a）SMi生成隨機數Ns，計算V0=h{PIDi‖Ns‖ki}，將消息MA1：{PIDi，Ns，V0}發送給TPA。

b）TPA生成隨機數Na，計算V1=h{IDA‖Na‖Kas}，發送消息MA2={（PIDi，Ns，V0）‖（IDA，Na，V1）}給PS。

c）PS依據偽身份PIDi在數據庫中找尋對應SMi的真實身份IDSMi，并驗證V0和V1的正確性，驗證通過則表明PS認證了SMi和TPA的身份，為SMi生成新的偽身份PIDnewi，計算T=h（IDSMi‖Kas‖Ns），x=h（ki‖T‖Ns）⊕h（Kas‖Na），y=h（T‖Ns‖ki）⊕Na，z=h（T‖IDSMi‖ki）⊕PIDnewi，V2=h（Kas‖Na‖x），V3=h（T‖y‖z‖ki），發送消息MA3：{x，y，z，V2，V3}給TPA。

d）TPA驗證V2的正確性，驗證通過后計算TK=x⊕h（Kas‖Na），生成會話密鑰khi=h（TK‖Na‖Ns），生成一組SMi的臨時身份TIDiq={tidi1，tidi2，…，tidiq}，使用khi加密TIDiq即TID*iq=Ekhi［TIDiq］，計算V4=h（TID*iq‖khi‖IDA），存儲{TIDiq，khi}，并發送消息MA4：{（y，z，V3）‖（TID*iq，V4）}給SMi。

e）SMi計算T=h（IDSMi‖Kas‖Ns），驗證V3的正確性，驗證通過即認證了PS的身份，計算Na=h（T‖Na）⊕ki⊕y，TK=h（ki‖T‖Ns），khi=h（TK‖Ns‖Na），PIDnewi=h（T‖IDSMi‖ki）⊕z，驗證V4的正確性，驗證通過即認證了TPA的身份，最后SMi使用khi解密TID*iq獲得TIDiq，存儲參數{PIDnewi，TIDiq，khi}。

3.2文獻［7］的安全漏洞

本節展示文獻［7］的認證階段無法抵抗2.4節構建的攻擊者A進行的密鑰泄露偽裝攻擊，且無法提供會話密鑰的安全性。

攻擊者A竊聽TPA和SMi以及TPA和PS之間的通信通道，并獲取參數{PIDi，Ns，V0}和{IDA}，根據密鑰泄露偽裝攻擊的假設［22］，攻擊者可以獲取PS和TPA的共享私鑰Kas，偽裝成TPA，同PS進行會話。具體攻擊過程如下：

a）A竊聽并攔截消息MA1：{PIDi，Ns，V0}和{IDA}，生成隨機數NA，計算VA=h（IDA‖NA‖Kas），發送消息MA2={（PIDi，Ns，V0）‖（IDA，NA，VA）}給PS。

b）PS依據偽身份PIDi在數據庫中找尋對應SMi的真實身份，并驗證V0和VA的正確性，驗證通過則表明PS認證了SMi和A的聚合器身份，為SMi生成新的偽身份PIDnewi，計算T=h（IDSMi‖Kas‖Ns），x=h（ki‖T‖Ns）⊕h（Kas‖NA），y=h（T‖Ns‖ki）⊕NA，z=h（T‖IDSMi‖ki）⊕PIDnewi，V2=h（Kas‖NA‖x），V3=h（T‖y‖z‖ki），發送消息MA3：{x，y，z，V2，V3}給A。

c）A驗證V2的正確性，驗證通過后計算TK=x⊕h（Kas‖NA），生成會話密鑰khi=h（TK‖NA‖Ns），偽造一組SMi的臨時身份TIDiAq={tidiA1，tidiA1，…，tidiAq}，使用khi加密TIDiAq即TID*iAq=Ekhi［TIDiAq］，計算V4=h（TID*iAq‖khi‖IDA）并存儲{TIDiAq，khi}，發送消息MA4：{（y，z，V3）‖（TID*iAq，V4）}給SMi。

d）SMi計算T=h（IDSMi‖Kas‖Ns），驗證V3的正確性，驗證通過即認證了PS的身份，計算NA=h（T‖NA）⊕ki⊕y，TK=h（ki‖T‖Ns），khi=h（TK‖Ns‖NA），PIDnewi=h（T‖IDSMi‖ki）⊕z，驗證V4的正確性，驗證通過即認證了A聚合器身份，最后SMi使用khi解密TID*iAq獲得TIDiAq，存儲參數{PIDnewi，TIDiAq，khi}。

綜上，A成功偽裝成TPA同PS和SMi進行會話，可見文獻［7］無法抵抗密鑰泄露偽裝攻擊，并且在PS和TPA的共享私鑰Kas丟失的情況下，A能夠成功計算出會話密鑰khi，所以文獻［7］無法提供會話密鑰的安全性。

4提出的方案及正確性證明

為了抵抗文獻［7］存在的安全漏洞，并確保智能電網的通信安全，本文提出了一個增強的且可證明安全的身份認證和密鑰協商方案。該方案由初始化、注冊、身份認證和密鑰協商以及惡意智能電表撤銷四個階段組成。

4.1初始化

在此階段，電力供應商PS初始化生成以下參數：

a）選擇大素數p、q，基于Fp選擇一條橢圓曲線E，Fp表示為模p的有限域，選擇點P為橢圓曲線E上階為q的基點。

b）選擇隨機數skPS∈Z*q作為PS的私鑰，計算pkPS=skPS·P作為PS的公鑰。

c）選取安全的單向哈希散列函數h。

d）定義一種對稱加密算法Enc（k），使得Dec（k）（Enc（k）（message））=message，其中k是加密和解密的密鑰，Dec（k）是對稱解密，message為需要被加密的參數。

最后公布參數{p，q，E，P，pkPS，h，Enc（k）}。

4.2注冊

在此階段，輔助驗證器（AV）、網關（GW）和第i個智能電表（SMi）通過電力供應商（PS）進行注冊，生成下一階段所需的參數，通過秘密通道進行傳輸。

4.2.1AV注冊

AV選定身份標識符IDAV發送給PS請求注冊，PS選擇隨機數skGW∈Z*q返回，AV選擇隨機數rAV∈Z*q，計算RAV=h（skGW‖rAV）并將{rAV，RAV}發送給PS完成注冊。

4.2.2GW注冊

a）GW在AV注冊完成后即選定身份標識符IDGW發送給PS請求注冊。

b）PS計算RGW=h（skGW‖IDGW）·P，選擇隨機數rPS∈Z*q，生成GW的簽名sGW=h（RGW‖IDGW）skPS+rPS，計算B1=h（IDAV‖pkPS），B2=rAV⊕B1，B3=h（IDGW‖IDAV）⊕rPS，VAV=h（RAV‖rPS）作為AV的認證令牌，為第i個智能電表SMi選定身份標識符IDSMi，將參數{skGW，sGW，B2，B3，VAV，IDSMi}發送給GW。

c）GW將skGW作為私鑰，計算pkGW=skGW·P作為公鑰，存儲參數{B2，B3，VAV，IDSMi，skGW，sGW，pkGW}，選擇隨機數rPID∈Z*q，利用私鑰skGW加密SMi的真實身份標識符IDSMi，生成SMi的偽身份PIDSMi=EncskGW（IDSMi‖rPID）并將其發送給PS完成注冊。

4.2.3SMi注冊

PS在GW注冊完成后生成SMi的簽名sSMi=h（PIDSMi‖sGW）skPS，將參數{sSMi，IDSMi，PIDSMi，IDGW}發送給SMi，SMi選擇隨機數rSMi∈Z*q，計算skSMi=rSMisSMi，pkSMi=rSMi·pkPS分別作為私鑰和公鑰，最后存儲參數{IDSMi，IDGW，skSMi，pkSMi，PIDSMi}注冊完成。

4.3身份認證和密鑰協商

在此階段，輔助驗證器AV向網關GW發送用戶用電數據聚合請求，網關GW對輔助驗證器AV進行身份認證，驗證通過即發起與智能電表SMi的相互認證并協商會話密鑰。

a）AV將IDSMi發送給GW，GW計算B1=h（IDAV‖pkPS），rAV=B1⊕B2，RAV=h（skGW‖rAV），rPS=h（IDGW‖IDAV）⊕B3，驗證h（RAV‖rPS）=VAV是否成立，成立則AV身份驗證通過。GW選擇隨機數qGW∈Z*q，計算QGW=qGW·pkGW，將消息M1：{QGW}發送給SMi。

b）SMi選擇一個隨機數qSMi∈Z*q，計算QSMi=qSMi·pkSMi，kSG=skSMiqSMi·QGW，生成認證令牌VSMi=h（kSG）⊕h（IDSMi‖IDGW），將消息M2：{PIDSMi，QSMi，VSMi}發送給GW。

c）GW計算kGS=QSMi·qGWskGWh（PIDSMi‖sGW），驗證h（kGS）⊕h（IDSMi‖IDGW）=VSMi是否成立，成立則SMi身份驗證通過。GW選擇隨機數rnewPID∈Z*q，利用私鑰skGW對SMi的偽身份進行解密，即（IDSMi‖rPID）=DecskGW（PIDSMi），得到SMi的真實身份標識符IDSMi，并為SMi生成一個新的偽身份PIDnewSMi=EncskGW（IDSMi‖rnewPID），生成會話密鑰SKGS=h（QSMi‖QGW‖kGS），計算XP=PIDnewSMi⊕h（SKGS），生成認證令牌VGW=h（PIDnewSMi‖SKGS）⊕h（IDSMi‖IDGW），將消息M3：{XP，VGW}發送給SMi。

d）SMi生成會話密鑰SKSG=h（QSMi‖QGW‖kSG），計算PIDnewSMi=XP⊕h（SKSG），驗證等式h（PIDnewSMi‖SKSG）⊕h（IDSMi‖IDGW）=VGW是否成立，成立則GW身份驗證通過，SMi更新自己的偽身份PIDnewSMi用于下一次認證。

最后GW和SMi存儲會話密鑰SK（SKGS=SKSG）用于它們之間的進一步交互。

4.4惡意智能電表撤銷

當GW檢測到其管轄區域內的智能電表存在惡意行為，如發送錯誤的認證信息或電力消費數據異常等，向PS提出身份溯源請求。PS對該智能電表的數據和行為進行審核后，將惡意智能電表的偽身份PIDSMi發送給GW進行溯源。由于智能電表的偽身份是由GW生成的，所以只有GW能夠對智能電表的偽身份進行溯源。

GW利用私鑰skGW對惡意智能電表的偽身份PIDSMi進行解密鎖定其真實身份，并將其通過秘密通道傳輸給PS，PS將惡意智能電表的真實身份和偽身份一起添加到撤銷列表中，通信系統中的所有成員均可查詢撤銷列表以避免與列表中的惡意智能電表交互。

4.5正確性證明

證明GW生成的會話密鑰SKGS=h（QSMi‖QGW‖kGS）與SMi生成的會話密鑰SKSG=h（QSMi‖QGW‖kSG）相等，需要證明kGS與kSG相等，證明過程由以下方程式示出。

kGS=QSMi·qGWskGWh（PIDSMi‖sGW）=

pkSMi·qSMiqGWskGWh（PIDSMi‖sGW）=

pkPS·rSMiqSMiqGWskGWh（PIDSMi‖sGW）=

P·skPSrSMiqSMiqGWskGWh（PIDSMi‖sGW）=

rSMih（PIDSMi‖sGW）skPSqSMiqGWskGW·P

kSG=skSMiqSMi·QGW=rSMisSMiqSMi·QGW=

rSMih（PIDSMi‖sGW）skPSqSMi·QGW=

rSMih（PIDSMi‖sGW）skPSqSMiqGW·pkGW=

rSMih（PIDSMi‖sGW）skPSqSMiqGWskGW·P

5隨機預言模型下形式化安全性分析

使用安全模型進行形式化分析成為現代密碼學中強有力的安全證明之一。在現有的安全模型中，本文使用隨機預言模型來執行本方案的形式化分析。

5.1隨機預言安全模型

本文方案的身份認證和密鑰協商階段，SMi和GW是兩個主要的參與者，假設每個SMi和GW能夠運行多個會話，Si 表示SMi的第i個會話實例，Gj表示GW的第j個會話實例，每個會話實例都被稱為一個預言機。當攻擊者對預言機發起預言查詢時，預言機需要返回相應的響應參數。定義實例ο∈{Si，Gj}，在隨機預言模型中，ο代表兩個會話實例Si和Gj之一。概率多項式時間內的攻擊者A可以任意竊聽、攔截、修改、刪除，注入通信通道上的消息，其攻擊能力由以下預言查詢體現。

a）extract（ο）。此查詢用于模擬A的被動攻擊，A可以獲取各個通信方在公共通信通道上的所有消息。

b）send（ο，M）。此查詢用于模擬A的主動攻擊，A將在通信通道上獲取到的消息M發送給ο，ο將相應的消息返回。

c）corrupt（ο）。此查詢使A獲取實例ο的長期秘密參數。

d）test（ο）。此查詢用于模擬實例ο會話密鑰的語義安全性。進行test（ο）查詢后，ο拋擲一個硬幣b，如果b=1（硬幣為正面），ο將會話密鑰返回給A，如果b=0（硬幣為反面），則返回給A一個隨機字符串，其長度跟會話密鑰相等。

5.2安全性定義

本文方案的安全性通過游戲Gi（i=0，1，2，3，4，5）進行評估。在游戲中A可以對ο發起多次test（ο）查詢，收到查詢后ο拋擲硬幣b（結果為0或1），如果A正確猜中b值，則認為A贏得游戲，將攻擊者A攻破本文方案S安全性的優勢定義為

AdvS（A）=|2Pr［SuccA］－1|lt;ε（1）

其中：Pr［SuccA］是A在游戲Gi中猜中b值的概率；ε是一個極其小可忽略的值。

5.3安全性分析

定理1攻擊者A在概率多項式時間內贏得游戲Gi的概率是可以忽略的，A最多能夠執行qh次哈希查詢，qs次send查詢以及qe次execute查詢，A攻破方案S安全性的最大優勢為

AdvS（A）=q2h|hash|+（qs+qe）2p+2（qs|hash|+AdvE（k）（A）+AdvECDLP（A））

（2）

其中：|hash|是哈希查詢的規模；AdvE（k）（A）表示A違反對稱加密算法Enc（k）的優勢；AdvECDLP（A）表示概率多項式時間內A解決ECDLP的優勢。

證明通過游戲Gi（i=0，1，2，3，4，5）推導A攻破本文方案S的優勢，Pr［Succi］表示A猜中游戲Gi中硬幣b值的概率。

a）游戲G0。該游戲模擬的是真實的攻擊場景，得到

AdvS（A）=|2Pr［Succ0］－1|（3）

b）游戲G1。該游戲通過執行extract（ο）查詢模擬A的被動攻擊。A通過竊聽得到消息M1：{QGW}，M2：{PIDSMi，QSMi，VSMi}，M3：{XP，VGW}，但是A無法通過這些消息計算會話密鑰SK。所以在該游戲結束時，A進行test（ο）查詢無法判斷ο返回的參數是真實的會話密鑰還是等長隨機字符串。因此，與真實的攻擊場景相比，A在該游戲中并沒有增加優勢，所以有

Pr［Succ0］=Pr［Succ1］（4）

c）游戲G2。該游戲去除游戲G1中存在的兩種碰撞情形，模擬A的主動攻擊。

情形1根據生日悖論［23］，哈希查詢的輸出發生碰撞，其概率小于等于q2h/2|hash|。

情形2選取的隨機數發生碰撞，其概率小于等于（qs+qe）2/2p。

除非發生上述碰撞，否則G2與G1不可區分，因此有

Pr［Succ2］－Pr［Succ1］≤q2h2|hash|+（qs+qe）22p（5）

d）游戲G3。該游戲去除游戲G2中A無須進行哈希查詢而猜測到認證令牌VSMi或VGW的情形，這種情形的概率小于等于qs/|hash|。因此有

Pr［Succ3］－Pr［Succ2］≤qs|hash|（6）

e）游戲G4。該游戲去除游戲G3中A對PIDSMi成功解密獲得IDSMi的情形，因此有

Pr［Succ4］－Pr［Succ3］≤AdvE（k）（A）（7）

f）游戲G5。該游戲對游戲G4進行修改，模擬A的密鑰泄露偽裝攻擊。在該游戲中A執行extract（ο）查詢獲取通信通道上的參數，執行corrupt（ο）查詢獲得Si和Gj的長期秘密參數。在已知{skSMi，QGW，QSMi，pkSMi}的情況下，要想獲得Si的會話密鑰SKSG=h（QSMi‖QGW‖kSG），需要計算kSG=skSMiqSMi·QGW，但從QSMi=qSMi·pkSMi中得到qSMi需要解決橢圓曲線離散對數難題（ECDLP），對于Gj同理。因此，比較該游戲與游戲G4的區別可以得出

Pr［Succ5］－Pr［Succ4］≤AdvECDLP（A）（8）

在該游戲中，A在猜測b值上并沒有增加優勢，因此

Pr［Succ5］=12（9）

根據式（3）（4）得到

12AdvS（A）=|Pr［Succ0］－12|=|Pr［Succ1］－12|（10）

根據式（9）（10）得到

12AdvS（A）=|Pr［Succ1］－Pr［Succ5］|（11）

根據式（5）～（8）和三角不等式，得到

|Pr［Succ1］－Pr［Succ5］|=|Pr［Succ1］－Pr［Succ2］+Pr［Succ2］－

Pr［Succ3］+

Pr［Succ3］－Pr［Succ4］+Pr［Succ4］－Pr［Succ5］|≤

|Pr［Succ1］－Pr［Succ2］|+|Pr［Succ2］－Pr［Succ3］|+

|Pr［Succ3］－Pr［Succ4］|+|Pr［Succ4］－Pr［Succ5］|≤

q2h2|hash|+（qs+qe）22p+qs|hash|+AdvE（k）（A）+AdvECDLP（A）（12）

根據式（11）（12），得到式（2）。

由此，定理1證畢。以上證明過程意味著A在游戲中獲勝的概率是可忽略的，因此，本文方案在隨機預言模型下是安全的。

6ProVerif仿真分析

ProVerif是一個被廣泛使用的自動化密碼協議仿真工具，支持多種密碼學原語，如加密、解密、數字簽名、散列函數等，并指定了重寫規則和方程式。該工具能夠證明可達性、認證性以及觀測等效性。它由協議輸入、系統處理和結果輸出三個部分組成，系統輸入部分是運用Pi演算或Horn邏輯來編碼的協議，系統處理部分是運用一階邏輯對編碼的協議的安全性進行推導，結果輸出部分能夠在編碼的協議不滿足某種特定的安全屬性時給出相應的攻擊序列。此外，ProVerif中還具有一個攻擊者模型，可以進行竊聽、攔截、修改或重新傳輸消息，這些攻擊僅受到加密方法的限制。

將所提方案在ProVerif中建模為四個不同的場景，以便證明所提方案對已知攻擊的抵抗能力，并且進一步驗證方案具備智能電表的匿名性和會話密鑰的前向安全性。

場景1沒有泄露任何的秘密參數，僅對方案在ProVerif中進行建模，對一些常見的攻擊進行查詢，證明了智能電表的匿名性和方案的可達性，仿真結果如圖2所示，結果a）是對方案可達性的查詢，證明了會話密鑰的安全性；結果b）證明了智能電表的匿名性；結果c）d）表明智能電表和網關可以進行相互認證，并且能夠抵抗假冒、重放、中間人等常見的攻擊。

場景2驗證本文方案具備會話密鑰的前向安全性，使用命令（（！pGW）|（！pPS）|（！pSMi）|（！pAV）|（phase1;out（net，（pkSMi，pkGW，skSMi，skGW，sGW））））向攻擊者泄露會話密鑰中的長期秘密參數，查詢結果如圖3所示，攻擊者獲取會話密鑰失敗。

場景3驗證本文方案具備密鑰泄露偽裝攻擊的抵抗力，使用命令（（！pGW）|（！pPS）|（！pSMi）|（！pAV）|（phase2;out（net，（skSMi，skGW））））向攻擊者泄露智能電表和網關的私鑰，查詢結果如圖4所示，攻擊者獲取會話密鑰失敗。

場景4驗證本文方案具備智能電表臨時秘密值泄露的抵抗力，使用命令（（！pGW）|（！pPS）|（！pSMi）|（！pAV）|（phase3;out（net，（qSMi，QSMi））））向攻擊者泄露智能電表的臨時秘密值，查詢結果如圖5所示，攻擊者獲取會話密鑰失敗。

7性能分析

本章從安全性、計算成本以及通信量三個方面對本文方案進行性能分析，將本文方案與文獻［7，9，10，12，17，19，20］進行比較。

如表1所示，在安全性上，本文方案能夠提供相互認證、智能電表的匿名性和不可追蹤性、會話密鑰的安全性以及抵抗各類已知的攻擊。文獻［7］無法提供相互認證和會話密鑰的安全性，并且無法抵抗密鑰泄露偽裝攻擊。其他文獻［9，10，12，17，19，20］也均存在各種安全缺陷，因此就安全性而言，本文方案優于現有方案。

采用文獻［24］在Ubuntu 12.04.1 LTS 32位操作系統上獲得的實驗結果對比八個方案在認證階段的計算成本。哈希操作的計算成本Th≈0.002 3 ms；對稱加/解密的計算成本Ted≈0.004 6 ms；ECC點乘的計算成本Tm≈2.226 ms；ECC點加的計算成本Ta≈0.028 8 ms；指數運算的計算成本Te≈3.85 ms；雙線性配對的計算成本為Tp≈5.811 ms，個別操作由于計算成本過低忽略不計［25］。通信量是協議執行期間通過網絡傳輸的總位數，較低的通信量可提供更快的數據傳輸和更少的時間延遲，為了計算通信量，假設身份標識、隨機數、哈希散列輸出、時間戳、對稱加/解密塊等為160 bit；橢圓曲線上的點為320 bit；雙線性映射組的生成元G1為1 024 bit。表2為計算成本和通信量的對比結果。

注：P1表示相互認證；P2表示智能電表匿名性和不可追蹤性；P3表示抗中間人攻擊；P4表示抗重放攻擊；P5表示抗假冒攻擊；P6表示會話密鑰的前向安全性；P7表示抗智能電表臨時秘密值泄露攻擊；P8表示抗密鑰泄露偽裝攻擊。

在計算成本方面，本文方案主要采用哈希散列函數和二進制運算此類輕量級運算，同時輔以ECC點乘運算和對稱加/解密運算，計算成本為8.952 3 ms。文獻［9，10］采用雙線性配對運算和指數運算，大幅增加了計算量。文獻［12，17，20］主要采用ECC點乘運算，然而ECC點乘運算的使用次數均超過本文方案。本文方案的計算成本相比于文獻［9，10，12，17，20］分別減少了74.4%、70.8%、60.0%、33.4%、42.7%。文獻［7］主要采用哈希散列函數構建其認證方案，沒有額外的高成本運算，計算成本較低。然而由表1可知，文獻［7］由于使用輕量級的加密原語導致其安全性不足，容易遭受安全攻擊。

在通信量方面，本文方案在保證安全性的情況下將認證階段的消息傳輸次數減少至3次，實現了通信過程的精簡化，通信量僅為1 760 bit。而文獻［7］在認證階段的消息傳輸次數為4次，通信量達到了3 040 bit。本文方案的通信量相比于文獻［7，9，10，12，17，19］分別減少了42.1%、50.5%、52.6%、21.4%、15.4%、9.0%，大大降低了通信時延。

由表1、2可知，本文方案在提供足夠安全性的同時，也能夠保證較低的計算成本和通信量。文獻［7］足夠輕量級，然而卻存在安全性不足和認證流程復雜進而導致通信量過高的問題，無法兼顧高效性和安全性。此外，文獻［7］不支持偽身份的更新和溯源，而本文方案GW在會話中能夠生成新的智能電表偽身份PIDnewSMi并發放給SMi，SMi則更新偽身份用于下一次會話。同時，本文方案能夠通過偽身份溯源惡意智能電表的真實身份并將其撤銷。

8結束語

本文針對現有智能電網通信認證方案安全性不足和效率低的問題，分析證明了文獻［7］的安全漏洞，并基于橢圓曲線加密算法提出了一個適用于智能電網的身份認證和密鑰協商方案，通過仿真工具ProVerif和理論分析驗證了所提方案的安全性，與同類認證方案對比表明，所提方案在安全性、計算成本和通信量三個方面均具有優勢，能夠滿足智能電網在通信過程中對于安全性和高效性的要求。

本文方案僅支持網關對智能電表進行一對一的單點認證，網關的計算成本與其管轄區域內的智能電表數量成線性關系。在智能電表部署愈發完善的情況下，網關可能在同一時間段需要進行大量的認證服務，這將會導致很高的網絡時延，并且對網關的計算能力也是一個極大的考驗。下一步將研究單個網關對多個智能電表進行批量認證以減少網關的計算負擔。

參考文獻：

［1］Sadhukhan D，Ray S，Obaidat M S，et al. A secure and privacy preserving lightweight authentication scheme for smart-grid communication using elliptic curve cryptography［J］. Journal of Systems Architecture，2021，114： 101938.

［2］Ferrag M A，Maglaras L A，Janicke H，et al. A systematic review of data protection and privacy preservation schemes for smart grid communications［J］. Sustainable Cities and Society，2018，38： 806-835.

［3］Mahmood K，Chaudhry S A，Naqvi H，et al. A lightweight message authentication scheme for smart grid communications in power sector［J］. Computers amp; Electrical Engineering，2016，52： 114-124.

［4］Li Xiong，Wu Fan，Saru K，et al. A provably secure and anonymous message authentication scheme for smart grids［J］. Journal of Parallel and Distributed Computing，2019，132： 242-249.

［5］Dua A，Kumar N，Singh M，et al. Secure message communication among vehicles using elliptic curve cryptography in smart cities ［C］// Proc of International Conference on Computer，Information and Telecommunication Systems. Piscataway，NJ： IEEE Press，2016： 1-6.

［6］Wang Wenye，Lu Zhou. Cyber security in the smart grid： survey and challenges［J］. Computer Networks，2013，57（5）： 1344-1371.

［7］Gope P，Sikdar B. Lightweight and privacy-friendly spatial data aggregation for secure power supply and demand management in smart grids［J］. IEEE Trans on Information Forensics and Security，2019，14（6）： 1554-1566.

［8］Wu Libing，Wang Jing，Sherali Z，et al. Anonymous and efficient message authentication scheme for smart grid［J/OL］. Security and Communication Networks.（2019-05-12）. https：//doi.org/10.1155/ 2019/4836016.

［9］Tsai J L，Lo N W. Secure anonymous key distribution scheme for smart grid［J］. IEEE Trans on Smart Grid，2016，7（2）： 906-914.

［10］Odelu V，Das A K，Wazid M，et al. Provably secure authenticated key agreement scheme for smart grid［J］. IEEE Trans on Smart Grid，2018，9（3）： 1900-1910.

［11］Chen Yuwen，Martínez J F，Castillejo P，et al. An anonymous authentication and key establish scheme for smart grid： FAuth［J］. Energies，2017，10（9）： 1354-1377.

［12］He Debiao，Wang Huaqun，Khan M K，et al. Lightweight anonymous key distribution scheme for smart grid using elliptic curve cryptography［J］. IET Communications，2016，10（14）： 1795-1802.

［13］Abbasinezhad M D，Ostad S A，Nikooghadam M. et al. A secure and efficient key establishment scheme for communications of smart meters and service providers in smart grid［J］. IEEE Trans on Industrial Informatics，2020，16（3）： 1495-1502.

［14］Fan Wu，Xu Lili，Li Xiong，et al. A lightweight and provably secure key agreement system for a smart grid with elliptic curve cryptography［J］. IEEE Systems Journal，2019，13（3）： 2830-2838.

［15］Garg S，Kaur K，Kaddoum G，et al. Secure and lightweight authentication scheme for smart metering infrastructure in smart grid［J］. IEEE Trans on Industrial Informatics，2020，16（5）： 3548-3557.

［16］Fatty S，Osama E. A lightweight authenticated key establishment scheme for secure smart grid communications［J］. International Journal of Safety and Security Engineering，2020，10（4）： 549-558.

［17］Srinivas J，Das A K，Li Xiong，et al. Designing anonymous signature-based authenticated key exchange scheme for Internet of Things-enabled smart grid systems［J］. IEEE Trans on Industrial Informa-tics，2021，17（7）： 4425-4436.

［18］Tanveer M，Khan A U，Shah H，et al. ARAP-SG： anonymous and reliable authentication protocol for smart grids［J］. IEEE Access，2021，9： 143366-143377.

［19］Irshad A，Chaudhry S A，Alazab M，et al. A secure demand response management authentication scheme for smart grid［J］. Sustainable Energy Technologies and Assessments，2021，48： 101571.

［20］Safkhani M，Kumari S，Shojafar M，et al. An authentication and key agreement scheme for smart grid［J］. Peer-to-Peer Networking and Applications，2022，15： 1595-1616.

［21］Huang Chengpeng，Wang Xiaoming，Gan Qingqing，et al. A lightweight and fault-tolerable data aggregation scheme for privacy-friendly smart grids environment［J］. Cluster Computing，2021，24： 3495-3514.

［22］Daniel R M，Rajsingh E B，Silas S. An efficient eCK secure identity based two party authenticated key agreement scheme with security against active adversaries［J］. Information and Computation，2020，275： 104630.

［23］齊小晨，黎妹紅，杜曄. 多服務器環境下基于動態ID的輕量級身份認證協議［J］. 北京航空航天大學學報，2021，47（12）： 2632-2640. （Qi Xiaochen，Li Meihong，Du Ye. Lightweight identity authentication protocol based on dynamic ID in multi-server environment［J］. Journal of Beijing University of Aeronautics and Astronautics，2021，47（12）： 2632-2640.）

［24］Kilinc H H，Yanik T. A survey of sip authentication and key agreement schemes［J］. IEEE Communications Surveys amp; Tutorials，2014，16（2）： 1005-1023.

［25］李曉天，陳建華. 更安全的匿名三因子多服務器身份認證協議研究［J］. 計算機應用研究，2020，37（9）： 2781-2788. （Li Xiaotian，Chen Jianhua. Research on security-enhanced three-factor multi-server authentication scheme with anonymity［J］. Application Research of Computers，2020，37（9）： 2781-2788.）

收稿日期：2022-03-28；修回日期：2022-05-16

作者簡介：丁志帆（1998-），男，廣東潮州人，碩士研究生，主要研究方向為智能電網信息安全、密碼學（202021002542@smail.xtu.edu.cn）；胡洪波（1972-），男，湖南湘潭人，高級實驗師，碩士，主要研究方向為電力物聯網、智能電網信息安全；楊慶余（1997-），男，湖南長沙人，碩士，主要研究方向為智能電網隱私保護、霧計算；肖思遠（1997-），男，湖南婁底人，碩士研究生，主要研究方向為智能電網信息安全.