智能电表主控芯片和安全加密方法技术

本发明专利技术提供了一种智能电表主控芯片，包括内部总线以及连接到所述内部总线上的主处理器模块、数据存储模块和包括计量模块在内的至少一个应用模块，该芯片内还集成有安全控制模块，其连接到所述内部总线上并配置为提供安全加密功能，该芯片还包括连接在所述主处理器模块和所述内部总线之间并被配置为对非法的存储器访问指令进行屏蔽的存储保护模块。通过将安全控制模块内置于主控芯片并以内部总线连接到中央处理模块，能够有效地避免智能电表终端的应用软件旁路安全控制芯片的安全漏洞，同时降低生产测试成本。本发明专利技术还提供了基于该智能电表主控芯片和证书授权中心的安全加密方法，进一步保证了电力系统的安全。

【技术实现步骤摘要】
智能电表主控芯片和安全加密方法
本专利技术涉及具有安全加密功能的智能电表主控芯片和基于该芯片的安全加密方法。
技术介绍
目前，国家电网公司开展的电力用户用电信息采集系统的全面统一建设工作，系统中大量使用的电力采集终端都按照规范统一设计。电力采集终端普遍采用称为嵌入式安全控制模块（EmbeddedSecureAccessModule，ESAM）的独立安全芯片以达到安全防护的目的。由于智能电表终端的主控单元运行的用来实现电表终端主要功能的应用软件是由诸多不确定的生产厂商开发的，出于安全管理的目的，密钥等关键敏感信息不能出现在主控单元中，因此ESAM芯片由运营方或委托的第三方独立开发制造，并采用ISO/IEC7816-3《带触点的集成电路卡电信号和传输协议》标准及协议与电力采集终端主控单元相连。采用物理上分离的ESAM芯片实现电力采集终端的安全控制，虽然使得电力采集终端生产商只需专注于智能电表终端本身的功能性设计，无需过多关注其安全性的实现，但存在如下问题：1）所有安全操作的指令转发和ESAM芯片执行结果的利用仍然需要主控芯片的主处理器模块作为中间或最终节点来负责，因此，可能由于调试和测试的需要或者应用软件设计漏洞等原因，造成应用软件绕过智能电表终端正常运行必须执行的安全操作流程而直接将ESAM芯片旁路。这种安全漏洞一旦出现，将极大地危害电力运营方的利益；2）由于主站和电表终端存在一个公钥交换过程，开放的ESAM芯片接口会带来仿冒ESAM芯片的风险；3）独立形式的ESAM芯片必须预先植入测试密钥并安装到电表终端，以方便开发、生产和测试，这就不可避免地带来相关生产测试成本的提高，以及ESAM芯片生产管理和安装使用的大量开销。另一方面，ESAM芯片只采用对称加密算法（比如DES算法、SM1算法等）来实现。由于对称密码体制的基本特征是加密密钥和解密密钥相同或实质上相同，因此对称密码系统的加密强度除依赖于算法本身的强度外还依赖于密钥的分配与管理。在对称密码系统中，多部电表终端会共享同一个密钥，因此一旦某级密钥由于密钥管理等原因泄露，则其下所有的相关密钥将全部失效，其影响范围较大。专利CN102111265A公布了一种基于ESAM芯片的采用对称加密体制（SM1）和非对称加密体制（RSA）相结合的混合密码体制的加密方法，其在ESAM芯片中加入了非对称加密算法，解决了对称密码体制中密钥管理（密钥生成、存储和分发）的难题，但由于公钥体制存在一个公钥的交换过程，会加大通过ESAM芯片开放的外部接口进行仿冒ESAM芯片的风险，同时也给整个电力系统带来了安全隐患。
技术实现思路
为了解决现有技术中存在的上述问题，本专利技术提出了一种具有新型结构的智能电表主控芯片，能够有效地避免智能电表终端的应用软件旁路ESAM芯片的安全漏洞；同时提出了一种基于智能电表主控芯片和证书授权（CertificateAuthority，CA）中心的公钥证书体系的安全加密方法，进一步保证了电力系统的安全。本专利技术提供了一种智能电表主控芯片，该芯片包括内部总线以及连接到所述内部总线上的主处理器模块、数据存储模块和包括计量模块在内的至少一个应用模块其特征在于，该芯片内还集成有安全控制模块，其连接到所述内部总线上并配置为提供安全加密功能；该芯片还包括连接在所述主处理器模块和所述内部总线之间，并配置为对非法的存储器访问指令进行屏蔽的存储保护模块。进一步地，所述主处理器模块被配置为能够以特权模式运行片上操作系统软件和以普通模式运行应用软件；所述数据存储模块被划分为特权数据存储区和普通数据存储区，所述特权数据存储区被配置为允许所述片上操作系统软件的访问且不允许所述应用软件的访问，所述普通数据存储区被配置为允许所述片上操作系统软件和所述应用软件的访问；所述存储保护模块被配置为将所述应用软件对所述特权数据存储区的访问指令进行屏蔽。优选地，所述存储保护模块具有熔丝开关，其被配置为控制所述存储保护模块的启用和停用。进一步地，所述安全控制模块包括用于对消息进行加解密的对称加密算法模块、用于生成密钥对和身份认证的非对称加密算法模块、用于消息校验的杂凑算法模块和/或用于协商会话密钥的随机数生成模块。本专利技术还提供了一种基于前述智能电表主控芯片的安全加密方法，该方法包括智能电表终端首次使用时的证书颁发过程，其特征在于，在该过程中，所述智能电表终端执行如下步骤：S11.生成包括第一公钥和第一私钥的第一密钥对并保存在所述特权数据存储区，将包括所述第一公钥和所述智能电表标识信息的证书请求信息发送给证书授权中心；S12.从所述证书授权中心接收包括第一证书和由所述证书授权中心生成的第二公钥的证书应答信息，其中，所述第一证书由所述证书授权中心用其生成的第二私钥对所述证书请求信息进行数字签名而生成；S13.将接收到的所述第二公钥保存在所述特权数据存储区，并用所述第二公钥对接收到的所述第一证书进行签名验证，验证通过则发送确认信息给所述证书授权中心，所述证书颁发过程结束；验证失败则发送否认信息给所述证书授权中心，并返回步骤S11。本专利技术还提供了一种基于前述智能电表主控芯片的安全加密方法，该方法包括智能电表终端对用户IC卡或远程主站的身份认证过程，在该过程中，所述智能电表终端执行如下步骤：S21.发送身份认证命令给用户IC卡或远程主站；S22.从所述用户IC卡或远程主站接收第二证书、第一随机数序列和以第三私钥对所述第一随机数序列进行数字签名而生成的第一随机序列的密文；S23.判断接收到的所述第二证书是否在存储于所述特权数据存储区的合法证书列表中，如果在则执行步骤S26，如果不在则将所述第二证书发送给所述证书授权中心进行合法性查询；S24.从所述证书授权中心接收关于所述第二证书是否存在于证书库的合法证书列表中的确认信息或否认信息；S25.如果接收到所述确认信息，则将所述第二证书保存在存储于所述特权数据存储区的合法证书列表中，并执行步骤S26；如果接收到所述否认信息，则结束所述身份认证过程；S26.用接收自所述证书授权中心的第二公钥对所述第二证书进行解密得到与所述第三私钥对应的第三公钥，将所述第三公钥保存在所述特权数据存储区，并用所述第三公钥对所述第一随机数序列的密文进行解密，并将解密后的结果与所述第一随机数序列进行比较，如果比较结果相同则认为所述用户IC卡或远程主站合法，身份认证成功；如果比较结果不同则认为所述用户IC卡或远程主站非法，身份认证失败，所述身份认证过程结束。本专利技术还提供了一种基于前述智能电表主控芯片的安全加密方法，该方法包括用户IC卡或远程主站对智能电表终端的身份认证过程，在该过程中，所述用户IC卡或远程主站执行如下步骤：S31.从所述智能电表终端接收第一证书、第二随机数序列和用第一私钥对所述第二随机数序列进行数字签名生成的第二随机数序列的密文；S32.判断接收到的所述第一证书是否已经存在于其保存的合法证书列表中，如果存在则执行步骤S35，如果不存在则将所述第一证书发送给所述证书授权中心进行合法性查询；S33.从所述证书授权中心接收关于所述第一证书是否存在于证书库的合法证书列表中的确认信息或否认信息；S34.如果接收到所述确认信息，则将所述第一证书保存在其合法证书列表中，并执行步骤S35；如本文档来自技高网...

【技术保护点】
一种智能电表主控芯片，该芯片包括内部总线以及连接到所述内部总线上的主处理器模块、数据存储模块和包括计量模块在内的至少一个应用模块其特征在于，该芯片内还集成有安全控制模块，其连接到所述内部总线上并配置为提供安全加密功能；该芯片还包括连接在所述主处理器模块和所述内部总线之间，并配置为对非法的存储器访问指令进行屏蔽的存储保护模块。

【技术特征摘要】
1.一种智能电表主控芯片，该芯片包括内部总线以及连接到所述内部总线上的主处理器模块、数据存储模块和包括计量模块在内的至少一个应用模块其特征在于，该芯片内还集成有安全控制模块，其连接到所述内部总线上并配置为提供安全加密功能；该芯片还包括连接在所述主处理器模块和所述内部总线之间，并配置为对非法的存储器访问指令进行屏蔽的存储保护模块，所述主处理器模块被配置为能够以特权模式运行片上操作系统软件和以普通模式运行应用软件；所述数据存储模块被划分为特权数据存储区和普通数据存储区，所述特权数据存储区被配置为允许所述片上操作系统软件的访问且不允许所述应用软件的访问，所述普通数据存储区被配置为允许所述片上操作系统软件和所述应用软件的访问；所述存储保护模块被配置为将所述应用软件对所述特权数据存储区的访问指令进行屏蔽。2.根据权利要求1所述的智能电表主控芯片，其特征在于，所述存储保护模块具有熔丝开关，其被配置为控制所述存储保护模块的启用和停用。3.根据权利要求1所述的智能电表主控芯片，其特征在于，所述安全控制模块包括用于对消息进行加解密的对称加密算法模块、用于生成密钥对和身份认证的非对称加密算法模块、用于消息校验的杂凑算法模块和/或用于协商会话密钥的随机数生成模块。4.一种基于权利要求1-3中任一项权利要求所述的智能电表主控芯片的安全加密方法，该方法包括智能电表终端首次使用时的证书颁发过程，其特征在于，在该过程中，所述智能电表终端执行如下步骤：S11.生成包括第一公钥和第一私钥的第一密钥对并保存在所述特权数据存储区，将包括所述第一公钥和所述智能电表标识信息的证书请求信息发送给证书授权中心；S12.从所述证书授权中心接收包括第一证书和由所述证书授权中心生成的第二公钥的证书应答信息，其中，所述第一证书由所述证书授权中心用其生成的第二私钥对所述证书请求信息进行数字签名而生成；S13.将接收到的所述第二公钥保存在所述特权数据存储区，并用所述第二公钥对接收到的所述第一证书进行签名验证，验证通过则发送确认信息给所述证书授权中心，所述证书颁发过程结束；验证失败则发送否认信息给所述证书授权中心，并返回步骤S11。5.一种基于权利要求1-3中任一项权利要求所述的智能电表主控芯片的安全加密方法，该方法包括智能电表终端对用户IC卡或远程主站的身份认证过程，在该过程中，所述智能电表终端执行如下步骤：S21.发送身份认证命令给用户IC卡或远程主站；S22.从所述用户IC卡或远程主站接收第二证书、第一随机数序列和以第三私钥对所述第一随机数序列进行数字签名而生成的第一随机序列的密文；S23.判断接收到的所述第二证书是否在存储于所述特权数据存储区的合法证书列表中，如果在则执行步骤S26，如果不在则将所述第二证书发送给所述证书授权中心进行合法性查询；S24.从所述证书授权中心接收关于所述第二证书是否存在于证书库的合法证书列表中的确认信息或否认信息；S25.如果接收到所述确认信息，则将所述第二证书保存在存储于所述特权数据存储区的合法证书列表中，并执行步骤S26；如果接收到所述否认信息，则结束所述身份认证过程；S26.用接收自所述证书授权中心的第二公钥对所述第二证书进行解密得到与所述第三私钥对应的第三公钥，将所述第三公钥保存在所述特权数据存储区，并用所述第三公钥对所述第一随机数序列的密文进行解密，并将解密后的结果与所述第一随机数序列进行比较，如果比较结果相同则认为所述用户IC卡或远程主站合法，身份认证成功；如果比较结果不同则认为所述用户IC卡或远程主站非法，身份认证失败，所述身份认证过程结束。6.一种基于权利要求1-3中任一项权利要求所述的智能电表主控芯片的安全加...

【专利技术属性】
技术研发人员：陶庆新，
申请(专利权)人：上海贝岭股份有限公司，
类型：发明
国别省市：上海;31