一种适用于用电信息采集系统的身份认证和密钥协商方法技术方案

本发明专利技术提供一种适用于用电信息采集系统的身份认证和密钥协商方法，在传统身份认证和密钥协商方法基础上引入数字证书身份标识机制、权威机构对数字证书有效性查询签名认证机制和基于对称密钥的挑战应答机制来实现主站和终端的身份认证和密钥协商，该方法可以有效抵抗假冒主站、通信业务流分析、密码分析等攻击，增强用电信息采集系统的安全性。

【技术实现步骤摘要】

本专利技术属于信息安全
，具体涉及。
技术介绍
用电信息采集系统是对电力用户的用电信息进行采集、处理和实时监控的系统，该系统中涉及的电量、电费、费率等信息涉及到国计民生，信息的非法使用和泄漏将会给国家安全、社会经济和电网运行带来较大威胁，因此，用电信息采集系统应采用较为安全的身份认证和密钥协商方法来保证传输数据的机密性和完整性。目前，通信实体之间较常采用SSL通信协议和数字证书认证机制进行身份认证和密钥协商。在用电信息采集系统中，主站和采集终端是关键部件，由于采集终端始终位于主站下方，它们与主站属于上下级关系，而主站和采集终端的数字证书又都是由同一级CA签发的，受用电信息采集系统网络拓扑结构的限制，主站可以直接查询采集终端数字证书的有效性，而采集终端却不能直接查询主站数字证书的有效性，因此，传统的SSL协议和数字证书认证方式在这里并不适用。
技术实现思路
为了解决传统SSL协议和数字证书认证方式在用电信息采集系统中不适用等问题，本专利技术提供了，具体方案如下:提供，所述方法包括如下步骤:步骤1:主站组成报文I，将所述报文I发送给采集终端；步骤2:采集终端接收报文I并验证报文I信息本文档来自技高网...

【技术保护点】
一种适用于用电信息采集系统的身份认证和密钥协商方法，其特征在于：所述方法包括如下步骤：步骤1：主站组成报文1，将所述报文1发送给采集终端；步骤2：采集终端接收报文1并验证报文1信息的完整性和机密性，验证通过后组成报文2，并将所述报文2发送给主站；步骤3：主站接收到报文2并验证报文2信息的完整性和机密性，将证书查询信息上传至CRL证书服务器，CRL证书服务器返回证书状态信息并签名后，主站使用预主密钥K生成MAC密钥和初始向量，并组成报文3发送给采集终端；步骤4：采集终端收到报文3并验证信息的完整性和机密性，计算出主密钥、数据加密密钥、MAC密钥和初始向量，之后组成报文4发送给主站；步骤5：主站接...

【技术特征摘要】
1.一种适用于用电信息采集系统的身份认证和密钥协商方法，其特征在于:所述方法包括如下步骤: 步骤1:主站组成报文I，将所述报文I发送给采集终端； 步骤2:采集终端接收报文I并验证报文I信息的完整性和机密性，验证通过后组成报文2，并将所述报文2发送给主站； 步骤3:主站接收到报文2并验证报文2信息的完整性和机密性，将证书查询信息上传至CRL证书服务器，CRL证书服务器返回证书状态信息并签名后，主站使用预主密钥K生成MAC密钥和初始向量，并组成报文3发送给采集终端； 步骤4:采集终端收到报文3并验证信息的完整性和机密性，计算出主密钥、数据加密密钥、MAC密钥和初始向量，之后组成报文4发送给主站； 步骤5:主站接收并验证报文4，验证通过后会话密钥协商成功。2.根据权利要求1所述的适用于用电信息采集系统的身份认证和密钥协商方法，其特征在于:所述报文I包括版本号、会话ID、主站数字证书CM、密文信息Eksl (R1)、消息鉴别码MACl以及签名信息SI ； 所述版本号为所选取的通信协议和加密算法的版本号； 所述主站数字证书Cm实现数字证书身份标识机制，在数字证书扩展字段中引入关键字段来标识它是主站等级证书，同时设置该关键字段为关键项，即通信双方在身份认证或密钥协商时必须对其进行检测，从而识别出所用数字证书的身份； 所述密文信息Eksl (R1)由主站取随机数R1并使用密码机加密后得到； 所述消息鉴别码MACl由版本号、会话ID、主站数字证书和密文信息Eksl(R1)计算得到；主站将通信协议和加密算法版本号、会话ID、主站数字证书Cm和随机数R1进行签名形成所述签名信息SI。3.根据权利要求1所述的适用于用电信息采集系统的身份认证和密钥协商方法，其特征在于:所述报文2包括版本号、会话ID、主站数字证书序列号信息、终端数字证书Ct、密文信息Eks2 (R2)和签名信息S2; 所述版本号是与主站相同的通信协议和加密算法版本号； 所述终端数字证书Ct实现数字证书身份标识机制，在数字证书扩展字段中引入关键字段来标识它是终端等级证书，同时设置该关键字段为关键项，即通信双方在身份认证或密钥协商时必须对其进行检测，从而识别出所用数字证书的身份； 所述密文信息Eks2 (R2)由采集终端取随机数R2利用预置对称密钥加密后得到； 采集终端对版本号、会话ID、主站数字证书序列号信息、终端数字证书Ct、随机数R2、随机数R1进行签名得到所述签名信息S2。4.根据权利要求1所述的适用于用电信息采集系统的身份认证和密钥协商方法，其特征在于:所述步骤2包括以下步骤: 步骤2-1:采集终端验证报文I的消息鉴别码MACl ； 步骤2-2:采集终端解密密文信息Eksl (R1)得到随机数R1，验证签名信息SI的合法性，实现主站基于对称密钥对采集终端的挑战应答机制； 步骤2-3:采集终端组成报文2发送给主站。5.根据权利要求1所述的适用于用电信息采集系统的身份认证和密钥协商方法，其特征在于:所述报文3包括密文Ml、{(密文信息Eks2 (R2)+主站证书序列号+有效状态)+CRL证书服务器的签名信息S3}信息、消息鉴别码MAC2和签名信息S4...

【专利技术属性】
技术研发人员：翟峰，赵兵，刘鹰，吕英杰，付义伦，岑炜，李保丰，孙志强，梁晓兵，
申请(专利权)人：中国电力科学研究院，国家电网公司，
类型：发明
国别省市：