席禹，林冬，于力，蔣文輝，陳光侵

(南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510555)

電力系統(tǒng)的安全運行直接關(guān)系到民生的世界性問題，也是各國政府和電力公司十分關(guān)注的問題。到目前為止，由于一些國家電力安全系統(tǒng)設(shè)計不合理等原因[1]，全世界已經(jīng)發(fā)生了6次大規(guī)模停電事件。而電力員工和電力檢測設(shè)備﹝如相量測量單元(pressure measuring unit，PMU)﹞之間缺乏安全的認證協(xié)議[2]是引發(fā)這些事件的重要原因之一。作為確保電網(wǎng)安全運行的重要設(shè)備，PMU[3-4]的原理是利用全球定位系統(tǒng)(GPS)秒脈沖作為同步時鐘進行電力系統(tǒng)的監(jiān)測、保護、分析和預(yù)測等。需要注意的是PMU設(shè)備借助互聯(lián)網(wǎng)與工作人員共享信息[5-7]，而互聯(lián)網(wǎng)是開放的通道，因此共享信息的安全性值得研究。具體來說，存在的風(fēng)險有：非法節(jié)點竊聽并收集在員工和設(shè)備之間傳輸?shù)南?，并對其進行分析以獲取關(guān)鍵信息[8]，一旦獲得相關(guān)信息(如員工的身份、密碼、網(wǎng)關(guān)或PMU設(shè)備的主密鑰)[9-10]就可以冒充合法員工從而危害電力系統(tǒng)的安全。此外本研究考慮到PMU設(shè)備的監(jiān)測環(huán)境復(fù)雜多變，當(dāng)被部署在野外或者人煙稀少之地時，設(shè)備很容易受到敵手的物理捕獲，進而通過功率分析攻擊獲取設(shè)備內(nèi)部的秘密信息，同時其他各種類型的攻擊(例如重放、節(jié)點跟蹤等[11-13])也會破壞PMU設(shè)備的正常運行。

文獻[14]針對常規(guī)認證協(xié)議無法在移動射頻識別(radio frequency identification，RFID)系統(tǒng)中使用的問題，提出一種抗假冒攻擊的移動RFID雙向認證協(xié)議。該方案采用交叉位運算加密信息，能夠較大幅度降低參與節(jié)點的計算量，并且為確保傳輸數(shù)據(jù)的安全性，在進行每個步驟前，先對發(fā)送消息的參與節(jié)點進行認證，認證未通過，協(xié)議馬上結(jié)束；但是，該協(xié)議并不具備前向安全性，當(dāng)前會話密鑰被敵手獲取時，并不能保證之前會話的安全性。

文獻[15]提出匿名的三因子方案解決多服務(wù)器系統(tǒng)中身份匿名性問題。該方案使用橢圓曲線加密操作，保障認證的核心安全性，使用模糊提取器與驗證器提取和恢復(fù)生物信息，還能有效應(yīng)對智能卡盜竊攻擊、假冒攻擊等，實現(xiàn)匿名性、前向安全性等更全面的功能。當(dāng)初始分配在節(jié)點間的密鑰被敵手獲取時，密鑰需更新，但是該協(xié)議并沒有給出應(yīng)對方法。

為此本文提出一種基于生物特征的電力信息安全系統(tǒng)認證協(xié)議。該協(xié)議將電力員工的密碼、生物特征和智能卡作為三因素進行認證；采用模糊提取器技術(shù)降低生物特征提取的假陽性概率；利用二元對稱多項式實現(xiàn)對稱密鑰的分配管理、額外設(shè)備的添加以及密鑰的動態(tài)更新，提高PMU設(shè)備面對攻擊者的抗捕獲能力。最后，對該協(xié)議進行安全分析、仿真和比較，驗證它應(yīng)對各種已知的攻擊(如假冒、重放和智能卡盜竊攻擊等)的能力。

1 系統(tǒng)模型

基于電力系統(tǒng)的認證模型如圖1所示。在該模型中，假設(shè)已部署多個PMU設(shè)備，這些設(shè)備可以監(jiān)控和收集周圍電氣設(shè)備的實時運行數(shù)據(jù)。PMU設(shè)備通過互聯(lián)網(wǎng)網(wǎng)關(guān)將收集的信息傳輸?shù)皆拼鎯?shù)據(jù)庫[16]，此外，電力系統(tǒng)中可能有不同類型的人員，如監(jiān)控人員和維護人員，他們時刻監(jiān)測并分析PMU設(shè)備上傳的數(shù)據(jù)，制訂出相應(yīng)的措施[17]。例如，如果電力系統(tǒng)某個區(qū)域發(fā)生事故，維護人員可以根據(jù)從一些PMU設(shè)備收集的實時數(shù)據(jù)采取相應(yīng)的維修措施。

圖1 基于PMU設(shè)備的電力系統(tǒng)認證模型

在該模型中，員工在與被訪問的PMU設(shè)備成功完成相互身份驗證后，借助網(wǎng)關(guān)訪問PMU設(shè)備中的數(shù)據(jù)。工作人員首先向網(wǎng)關(guān)發(fā)送登錄和身份驗證請求消息，然后網(wǎng)關(guān)驗證該消息的正確性，并將身份驗證消息發(fā)送到工作人員想要訪問的PMU設(shè)備。在接收到并驗證來自網(wǎng)關(guān)的消息后，PMU設(shè)備向工作人員發(fā)送回復(fù)消息。一旦工作人員收到消息并完成身份驗證，整個認證過程將在工作人員和PMU設(shè)備之間建立會話密鑰，以供將來通信[18]。

2 認證協(xié)議設(shè)計

本章將詳細闡述為電力系統(tǒng)設(shè)計的安全認證協(xié)議。該協(xié)議分為5個主要階段，即系統(tǒng)設(shè)置、PMU設(shè)備注冊、員工注冊、登錄認證、生物信息更新和密碼更改階段。其中認證階段是最重要的，它能夠在用戶和PMU設(shè)備之間建立安全的會話密鑰(用于將來的通信和數(shù)據(jù)傳輸)。所需參數(shù)及描述見表1。

表1 認證協(xié)議所需參數(shù)

當(dāng)提取員工生物特征后，與密碼驗證相比，生物特征的復(fù)雜性以及特殊性會使得2次驗證測量的結(jié)果可能不完全一樣，如果僅直接對比驗證生物特征，其失敗率很高，而采用模糊提取器技術(shù)能夠根據(jù)用戶的嘈雜生物特征精準識別用戶。模糊提取器包括生成函數(shù)G和復(fù)原函數(shù)R，即

G(BIOs)=(αs,βs)，R(B′IOs,βs)=(αs).

式中：BIOs、B′IOs分別為第s個注冊階段生物信息、認證階段生物信息，用上標“′”表示處于認證階段且尚未確定是否為合法身份，下同；αs為秘密參數(shù)，βs為公開參數(shù)。當(dāng)滿足B′IOs和BIOs之間的漢明距離Dham不超過容錯閾值t，即Dham(B′IOs，BIOs)≤t時，秘密參數(shù)αs能夠被恢復(fù)出。

對于網(wǎng)關(guān)和PMU設(shè)備之間對稱密鑰的建立采用二元l次對稱多項式。生成的對稱密鑰被分別存儲在兩者的數(shù)據(jù)庫中，并在后續(xù)的登錄認證過程中被利用，對稱多項式

式中：m、n為輸入?yún)?shù)；p為大素數(shù)；F(p)為p元有限域，F(xiàn)(p)[m，n]表示系數(shù)屬于F(p)且輸入為n、m的所有多項式的集合；多項式的系數(shù)asr在有限域F(p)=Zp(有限環(huán)Zp={0,1，…，p-1})中選取。

2.1 系統(tǒng)設(shè)置

在系統(tǒng)設(shè)置階段，網(wǎng)關(guān)(GW)選取一些參數(shù)來初始化系統(tǒng)。具體來說，網(wǎng)關(guān)首先選擇單向抗碰撞的哈希函數(shù)h、生成函數(shù)G和復(fù)原函數(shù)R分別用來加密傳輸數(shù)據(jù)以及提取和恢復(fù)工作人員的生物信息；然后，網(wǎng)關(guān)選取合適的二元l次對稱多項式f(m,n)；此外，網(wǎng)關(guān)還會選擇自己的身份ID,GW和主密鑰k，并且計算出自己的偽身份RID,GW=h(ID,GW‖k)(其中“‖”表示“或”)。

2.2 PMU設(shè)備注冊

在將PMU設(shè)備部署到電力環(huán)境之前，該設(shè)備需要在網(wǎng)關(guān)的幫助下完成注冊。①首先，網(wǎng)關(guān)為第j臺PMU設(shè)備(PDj)生成相應(yīng)的身份PDj和隨機數(shù)a。②然后，計算出設(shè)備相應(yīng)的偽身份RPDj=h(PDj‖ID,GW‖a)；此外，網(wǎng)關(guān)和PDj還利用二元l次對稱多項式分別計算出它們共享的對稱密鑰，由于多項式的對稱性f(m,n)=f(n,m)，對稱密鑰xj=h(f(RID,GW,RPDj)‖PDj)=h(f(RPDj,RID,GW)‖PDj)，PDj將會在認證階段用它來確認網(wǎng)關(guān)的身份。③最后，網(wǎng)關(guān)和PDj將{PDj，RPDj，xj，f(RID,GW，n)}和{PDj，RPDj，xj，f(RPDj，n)}分別存儲進各自的數(shù)據(jù)庫。

2.3 員工注冊

為了能夠成為訪問PMU設(shè)備數(shù)據(jù)的合法用戶，員工i(Si)也需要向網(wǎng)關(guān)進行注冊。①首先，員工選擇自己的身份IDi、密碼PWi，并利用系統(tǒng)生成隨機數(shù)b。此外，在特定的生物信息采集終端輸入自己的生物信息BIOi。②然后，終端通過函數(shù)G生成用戶的秘密參數(shù)αi和公共參數(shù)βi，即G(BIOi)=(αi,βi)；此外系統(tǒng)還計算出Si的偽身份RIDi=h(IDi‖ID,GW‖b)，以及個人信息Pi=h((IDi‖PWi‖αi)。③最后，系統(tǒng)將{Pi,βi,RIDi,G,R}存儲進Si的智能卡i(SCi)中，并通過1個安全通道發(fā)送帶有Si個人憑證(例如員工識別碼等)的信息{IDi，RIDi}給網(wǎng)關(guān)。需要注意的是，員工最好與網(wǎng)關(guān)進行現(xiàn)場注冊，這可以有效防止個人信息被竊取。

2.4 登錄認證

在Si可以訪問PDj的數(shù)據(jù)之前，Si需要以合法工作人員身份登錄和驗證。這種身份驗證需要在Si、網(wǎng)關(guān)和PDj的幫助下完成，即在Si和PDj之間建立1個安全會話密鑰(SK)，用于將來的通信和數(shù)據(jù)傳輸。該階段具體描述如下，如圖2所示。

圖2 登錄和認證階段

a)①Si根據(jù)其之前的注冊信息輸入自己的身份IDi和相應(yīng)的密碼P′Wi，之后在特定終端的傳感器上輸入個人生物特征信息，即B′IOi。同時Si在特定終端中插入自己的智能卡SCi。當(dāng)Dham(B′IOi，BIOi)≤t時，SCi就能夠通過復(fù)原函數(shù)計算出R(B′IOi,βi)=(αi)。②然后，SCi計算P′i=h(IDi‖P′Wi‖αi)并驗證等式P′i=Pi是否成立。如果等式成立，則接受Si的登錄請求；否則，來自該員工身份驗證請求將被中止。③其次，SCi生成一個隨機數(shù)c以及當(dāng)前的時間戳T1，并且計算X1=RIDi⊕h(Pi‖c)，Y1=h(h(Pi‖c)‖T1‖IDi)(其中，X1、Y1以及下文中Ai、Z2等均為為了簡化表達而設(shè)定的變量，“⊕”表示“異或”)。④最后，將消息M1={X1,Y1,RPDj,T1}公開發(fā)送給網(wǎng)關(guān)，Si想要從PDj獲取實時監(jiān)測數(shù)據(jù)，必須向網(wǎng)關(guān)發(fā)送其想要訪問的具體設(shè)備偽身份RPDj，以方便網(wǎng)關(guān)后續(xù)查找。

b)①一旦從Si接收到M1，網(wǎng)關(guān)首先需要在|T′1-T1|≤ΔT條件下驗證時間戳T1的有效性，其中ΔT為最大傳輸延遲。②如果滿足此條件，網(wǎng)關(guān)計算Ai=h(Pi‖c)=X1⊕RIDj，Y′1=h(Ai‖T1‖IDi)，并驗證等式Y(jié)′1=Y1是否成立，若等式不成立，網(wǎng)關(guān)將終止整個會話；如果不滿足條件，則網(wǎng)關(guān)根據(jù)消息M1中的RPDj，在自己的數(shù)據(jù)庫中獲取相應(yīng)的對稱密鑰xj，并生成隨機數(shù)d和當(dāng)前時間戳T2，計算X2=d⊕h(xj‖T2)，Y2=Y1⊕h(d‖T2)，Z2=h(RPDj‖xj‖Y1‖d‖T2)。③最后，網(wǎng)關(guān)將消息M2={X2,Y2,Z2,T2}公開發(fā)送給PDj。

c)①如果PDj在時間T′2接收到M2，它也需要在|T′2-T2|≤ΔT的條件下檢查M2中T2的有效性。如果條件不滿足，身份驗證階段將終止；如果條件滿足，則PDj計算d=X2⊕h(xj‖T2)，Y′1=Y2⊕h(d‖T2)，Z′2=h(RPDj‖xj‖Y′1‖d‖T2)，其中xj是網(wǎng)關(guān)在PMU設(shè)備注冊階段時分配的對稱密鑰。②然后，PDj驗證等式Z′2=Z2是否成立。如果等式不成立，則整個身份驗證過程將終止；如果等式成立，則PDj生成隨機數(shù)e和當(dāng)前時間戳T3，并計算X3=e⊕Y1，Y3=h(Y1‖e‖T3)。同時PDj還計算與Si共享的會話密鑰SKDj=h(Y1‖RPDj‖e‖T3)。③最后，PDj將消息M3={X3,Y3,T3}公開發(fā)送給Si。

d)①當(dāng)Si在時間T′3從PDj接收到M3，Si的智能卡SCi首先在|T′3-T3|≤ΔT的條件下檢查消息M3中T3的有效性。如果條件不成立，那么會話過程將終止；如果條件成立，則SCi計算e=X3⊕Y1，Y′3=h(Y1‖c‖T3)。②然后，驗證等式Y(jié)′3=Y3是否成立。如果等式成立，那么SCi相信消息M3來自合法節(jié)點。此外，SCi還計算出會話密鑰SKSi=h(Y1‖RPDj‖e‖T3)。③最后，Si和PDj可以利用會話密鑰SKSi=SKDj進行后續(xù)的通信和數(shù)據(jù)加密。

2.5 生物信息更新

通常來說，人的生物特征信息在長期內(nèi)不會改變，然而一些用戶希望通過使用其他生物特征(例如掌紋、腦電波等)來提高個人安全性，為此所提出的協(xié)議支持用戶的生物特征更新。具體步驟如下。

①Si首先在特定終端插入自己的智能卡SCi，然后繼續(xù)輸入身份IDi和密碼P′Wi，并在該終端的傳感器處輸入以前的生物特征信息BIOi，old(下標old表示舊的對象，下同)。②然后，SCi能夠在滿足Dham(BIOi，old，BIOi)≤t的條件下利用復(fù)原函數(shù)R計算出R(BIOi,old,βi)=(αi)。此外SCi還計算P′i=h(IDi‖P′Wi‖αi)并驗證等式P′i=Pi是否成立。在驗證成功后，Si輸入一個新的生物特征BIOi，new(下標new表示更新的對象，下同)。③其次，系統(tǒng)利用生成函數(shù)G計算G(BIOi，new)=(αi，new，βi，new)和新的個人信息Pi，new=h(IDi‖PWi‖αi,new)。④最后，將原先值βi和Pi分別替換為當(dāng)前值βi，new和Pi，new。最終智能卡SCi的信息更新為{Pi，new，βi，new，RIDj，G，R}。

2.6 密碼更改

通常認證協(xié)議都具備密碼更改功能，定期更改個人密碼以防止惡意對手竊取隱私。具體步驟如下。

①Si首先將自己的SCi插入特定的數(shù)據(jù)采集終端，之后輸入身份IDi、原始密碼PWi,old和生物特征B′IOi。與2.5節(jié)相同，SCi在滿足Dham(B′IOi，BIOi)≤t的條件下提取出秘密參數(shù)αi。②然后，計算P′i=h(IDi‖PWi,old‖αi)并驗證等式P′i=Pi是否成立。如果等式滿足，Si可以輸入新密碼PWi，new。③最后，SCi計算新的個人信息Pi，new=h(IDi‖PWi,new‖αi)，替換Pi并存儲在SCi的存儲器中。

2.7 額外設(shè)備登記和添加

值得注意的是，離線PMU設(shè)備的登記和添加并不相同，前者主要用于初始部署，而后者主要用于實時動態(tài)添加這些部署過的設(shè)備。

a)額外設(shè)備登記：對于要部署新的PMU設(shè)備(例如PDj，new)，網(wǎng)關(guān)首先在離線模式下為新的PMU設(shè)備生成相應(yīng)的身份PDj,new和隨機數(shù)anew，并計算出設(shè)備相應(yīng)的偽身份RPDj,new=h(PDj,new‖ID,GW‖anew)。同時網(wǎng)關(guān)為新設(shè)備分配f(RPDj,new,n)，最終存儲在PDj，new和網(wǎng)關(guān)中的數(shù)據(jù)為{PDj,new，RPDj,new，f(RPDj，n)}。

b)額外設(shè)備添加：PDj，new和網(wǎng)關(guān)首先通過公開信道向?qū)Ψ桨l(fā)送自己的偽身份RPDj和RID,GW，接收后計算出相應(yīng)的對稱密鑰，例如對于PDj，new，它利用存儲在數(shù)據(jù)庫中的f(RPDj,new,n)計算出xj,new=h(f(RPDj,RID,GW)‖PDj,new)。最后PDj，new和網(wǎng)關(guān)存儲xj,new用于后續(xù)認證。此外網(wǎng)關(guān)還會以廣播的形式向員工發(fā)送額外添加的PMU設(shè)備的偽身份RPDj,new，表明員工可以訪問新添加的設(shè)備。

雖然在電力系統(tǒng)模型(如圖1所示)中，網(wǎng)關(guān)是可信任的，但長期密鑰的存在或者密鑰管理不當(dāng)?shù)娘L(fēng)險，會增加密鑰被敵手獲取的幾率，從而破環(huán)整個認證協(xié)議的安全性。為此該協(xié)議支持動態(tài)更新密鑰。具體地，網(wǎng)關(guān)和設(shè)備只需獨立更新自己的偽身份RID,GW和RPDj(即RID,GW,new和RPDj,new)，并通過公開信道向?qū)Ψ桨l(fā)送更新之后的偽身份。最終，兩者利用存儲的對稱多項式f(RID,GW,new,n)和f(RPDj,new,n)計算出并保存更新過的對稱密鑰xj，new，xj,new=h(f(RID,GW,new,RPDj,new)‖PDj)=h(f(RPDj,new,RID,GW,new)‖PDj)。

3 形式化安全分析

本章利用BAN邏輯對所設(shè)計認證協(xié)議進行形式化分析數(shù)學(xué)證明，具體過程如下。

3.1 協(xié)議的理想化模型建立

該模型將協(xié)議的實際消息轉(zhuǎn)化成BAN邏輯所能識別的公式。

消息1，Si→網(wǎng)關(guān)：(〈Pi,c〉RIDi,〈Pi,c,T1〉IDi,RPDj,T1).

消息2，網(wǎng)關(guān)→PDj：(〈Pi,c,T1,d,T2,RPDj,IDi〉xj,〈Pi,c,T1,d,T2〉IDi,T2).

消息3，PDj→Si：(〈Pi,c,T1,e,T3〉IDi,T3).

3.2 協(xié)議的初始假設(shè)

3.3 BAN邏輯最終證明的目標

3.4 協(xié)議的分析推理

步驟1：由消息2可知PDj?(M)，其中M表示PDj收到的內(nèi)容，并且根據(jù)接收消息規(guī)則P?(X,Y)|-P?X(其含義是：若主體P收到的消息中有X和Y，則表明主體P收到了X)可得PDj?〈Pi,c,T1,d,T2,RPDj,IDi〉xj。

步驟3：由初始假設(shè)協(xié)議3和消息新鮮性規(guī)則P|≡#(X)|-P∣≡#(X,Y)(其含義是：如果一個公式的部分是新鮮的，則該公式全部是新鮮的)可知PDj∣≡#(Pi,c,T1,d,T2,RPDj,IDi)。

4 非形式化安全分析以及效率性能對比

本章討論所提出的協(xié)議能否符合常見的安全特性以及應(yīng)對網(wǎng)絡(luò)攻擊，并與相關(guān)協(xié)議進行效率性能對比分析。

4.1 抗假冒攻擊

假設(shè)對手想要模擬Si、網(wǎng)關(guān)或PDj并發(fā)送相應(yīng)的消息，將考慮以下類型的模擬案例。

4.2 抗重放攻擊

假設(shè)敵手在會話中截取消息M1={X1,Y1,RPDj,T1}，M2={X2,Y2,Z2,T2}和M3={X3,Y3,T3}，并在一段時間后重放這些消息。由于消息M1、M2和M3中存在時間戳T1、T2和T3，重放攻擊無效。網(wǎng)關(guān)一旦收到消息，就會記錄當(dāng)前時間戳T′，如果T′與發(fā)送時間戳T1、T2和T3之間的差值大于特定閾值ΔT，那么整個認證過程終止，此外ΔT的值通常很小，以至于敵手很難在短時間內(nèi)完成重放攻擊，因此本協(xié)議可以應(yīng)對重放攻擊。

4.3 抗智能卡盜竊

假設(shè)敵手使用功率分析攻擊，然后獲取存儲在SCi的數(shù)據(jù)，即竊取信息{Pi,βi,RIDi,G,R}。因為Pi=h(IDi‖PWi‖αi)和RIDi=h(IDi‖ID,GW‖b)中的IDi、PWi和ID,GW是秘密，敵手無法從Pi和RIDi中獲得任何對其有用的信息，因此盜竊智能卡攻擊在本協(xié)議中是無效的。

4.4 抗捕獲能力

抗捕獲能力是指當(dāng)x個PMU設(shè)備被敵手獲取時，即使敵手能夠得到設(shè)備內(nèi)所有存儲的信息{PDj,RPDj,xj,f(RPDj,n)}，其他沒有被捕獲設(shè)備的密鑰也不會受到威脅的能力。由于本協(xié)議使用公開信道傳輸網(wǎng)關(guān)和設(shè)備的偽身份(見2.6節(jié))，假設(shè)敵手已經(jīng)獲取RID,GW和RPDj，但其還是無法通過拉格朗日插值法重構(gòu)出原始的二元l次對稱多項式。在本協(xié)議中只要使得多項式的次數(shù)大于所部署PMU設(shè)備的數(shù)量，那么敵手就無法得到其他未被捕獲設(shè)備的對稱密鑰，因此本協(xié)議具有完美的抗捕獲能力。

4.5 身份匿名性

匿名性意味著敵手不能在會話中獲得參與者的身份(例如Si、網(wǎng)關(guān)和PDj)，并且不能區(qū)分特定參與者的不同會話。在協(xié)議中，所有消息M1={X1,Y1,RPDj,T1}、M2={X2,Y2,Z2,T2}和M3={X3,Y3,T3}都不是使用原始身份IDi、ID,GW以及PDj直接傳輸?shù)模鞘褂么娴膫紊矸?；因此，安全協(xié)議保證了會話參與者的匿名性，以防止非法節(jié)點的跟蹤。

4.6 前向保密性

在本文所設(shè)計的協(xié)議中，生成的會話密鑰SKSi=SKDj=h(Y1‖RPDj‖e‖T3)不僅由RPDj、Pi等長期秘密信息組成，還包括時間戳以及生成的隨機數(shù)。即使在某一特定會話過程中，生成的密鑰被泄露，也不會影響其他會話的安全性，因此本協(xié)議具有前向保密性。

4.7 安全特性分析對比

上述分析結(jié)果表明所提出的協(xié)議能夠抵抗各種攻擊，與現(xiàn)有方案的對比見表2。

表2 安全特性及功能對比

4.8 效率分析

本研究還進行了與相關(guān)協(xié)議的效率性能對比分析。假設(shè)Th、Tfe、Tm、Tf分別為哈希運算、模糊提取器、橢圓曲線密碼學(xué)(elliptic curve cryptography，ECC)點乘、字合成運算所需要的時間，即Th≈Tfe=0.32 ms、Tm=17.1 ms、Tf=0.15 ms；同時假設(shè)在傳遞的消息中身份、字合成和哈希輸出、ECC點乘輸出、隨機數(shù)以及時間戳所需的通信成本(通信量)分別為160 bit、160 bit、320 bit、128 bit以及32 bit[20]。在統(tǒng)一標準下，可以分析和對比本文所提出協(xié)議與其他相關(guān)協(xié)議的效率。雖然文獻[14]的方法計算成本低(所需時間最少)，但是根據(jù)上述分析可得其安全性較差?？傮w分析可知本協(xié)議能夠在保證安全的前提下適用于存儲資源有限的PMU設(shè)備，對比結(jié)果見表3。

表3 效率對比

5 Proverif安全分析

對于本文所提出協(xié)議的形式化安全分析是利用Proverif工具[21]進行的，它可以在Dolev-Yao模型[22]下進行密碼協(xié)議相關(guān)的驗證，具體來說，攻擊者可以完全控制信道，進而讀取、修改、刪除以及注入消息等。

在本研究仿真中設(shè)置了2對信道，分別用來傳輸秘密信息和公開信息，例如：在員工注冊階段，員工通過安全信道(定義“sch1、sch2”)向網(wǎng)關(guān)發(fā)送自己的相關(guān)秘密信息；在認證過程中使用的是公開(即互聯(lián)網(wǎng))的公共信道(定義“ch1、ch2”)，在此信道傳輸?shù)南⒛軌虮还粽攉@取。所提協(xié)議的仿真結(jié)果是“RESULT not attacker(sk[]) is true.”，表明在員工和PMU設(shè)備之間生成的2個會話密鑰不能夠被攻擊者所獲取。

6 結(jié)束語

本文提出一種面向電力二次設(shè)備的、基于生物特征的身份認證協(xié)議，該協(xié)議利用模糊提取器技術(shù)對生物特征提取。與其他現(xiàn)有方案相比，本協(xié)議利用二元對稱多項式實現(xiàn)網(wǎng)關(guān)和PMU設(shè)備的對稱密鑰分配和動態(tài)更新，提高PMU設(shè)備的抗捕獲能力，增強電力系統(tǒng)的整體安全性。整個認證過程涉及員工、網(wǎng)關(guān)和PMU設(shè)備，員工和PMU設(shè)備通過互聯(lián)網(wǎng)在網(wǎng)關(guān)的幫助下完成相互認證，并生成會話密鑰以供將來通信。此外該協(xié)議還支持生物信息更新、密碼更改以及額外設(shè)備的添加。對該協(xié)議進行形式化和非形式化安全分析，結(jié)果顯示了其對不同類型攻擊的魯棒性以及具備匿名性、前向保密性等。最后與相關(guān)協(xié)議的比較分析可知本協(xié)議的計算成本和通信成本較低，適用于存儲資源有限的PMU設(shè)備。

在接下來的工作中，考慮通過硬件設(shè)備實現(xiàn)協(xié)議的實際部署，并進一步減少身份驗證所需的通信成本和計算成本。