智能电表的安全需求与策略分析

智能电表是高级测量体系(AMI)的重要基础,而高级测量体系又是智能电网的重要组成部分。通过对智能电表的各种信息安全问题的探讨,对由互联网用户合法权益遭到威胁和侵害而引发的安全问题进行了思考,介绍了智能电表中存在的安全隐患和安全需求。采用基于数据加密(DES)、RSA公钥加密算法加密数据,实现身份认证等通信方案来保证数据通信的安全性,以确保用户和供电企业双方的利益。     

基于二次剩余理论的智能电表安全认证协议

在EPC Class 1 Gen-2标准下,RFID标签中只有很少的内存被用于处理标签的安全问题。针对此,提出一种基于二次剩余的RFID认证协议。协议通过在阅读器和标签内预置一个智能电表ID的Hash值来保证标签的前向安全性和匿名性,数据采集器通过二次剩余理论来验证电表标签是否合法,以实现对智能电表的身份认证;利用BAN逻辑理论实现对协议的安全性分析。与其他两种应用于智能电表的认证协议的性能对比分析表明,该协议计算量小,实现复杂度低,可以抵御多种攻击,能够满足用户的安全隐私需求。     

电力系统下的轻量级自适应认证系统

电力物联终端种类繁多,绝大多数处于资源受限的状态下,在实际应用上存在安全需求。本文设计了一种基于LBlock加密算法的挑战应答协议和基于国家商用密码认证方案的轻量级自适应身份认证系统。系统通过树莓派仿真资源受限的电力物联终端测试身份认证以及密钥协商效率与安全性。测试结果表明,该轻量级自适应认证系统可以实现边缘物联代理与各类受限电力物联终端的双向身份认证,有效保证了电力系统自适应认证的需求。     

云计算中身份认证技术研究

对于云平台中用户之间的安全性认证问题,在分析openstack云平台的平台架构、安全认证组件keystone、云计算中身份认证的主要安全性问题及当前云环境中主流的身份认证技术的基础之上,针对云平台下的统一身份认证机制及统一身份认证技术的漏洞,着重分析了OpenID身份认证的工作原理,提出了OpenID当前存在的安全性问题,并得出了一些改进方案。最后以OpenID改进技术为基础,在openstack平台上实现了身份认证技术。     

智能电表系统中的物理层辅助认证技术

本文将物理层认证技术应用于智能电表系统中,物理层消息身份认证方案利用物理层信道响应的时空唯一性,进行发送信息的认证,其可利用物理层的同步头作为消息认证的信道响应提前源,避免了额外的开销和上层的复杂计算,同时物理层消息身份认证方案同传统的消息身份认证机制结合,在实现快速认证的同时最小化包传输开销,通过在IEEE802.15.4g标准下的分析和仿真,验证我们提出的方案可以满足智能电表实时控制的要求.     

云环境下基于PTPM和无证书公钥的身份认证方案

为了解决目前云环境下用户与云端之间进行身份认证时所存在的安全问题和不足,本文首次将PTPM(Portable TPM)和无证书公钥密码体制应用到云环境中,提出一种用于实现用户与云端之间双向身份认证的方案.和现有方案相比,新方案具有以下特点:在通过建立身份管理机制实现用户和云端身份唯一性的基础上,首先利用PTPM不仅确保了终端平台的安全可信和云端与用户之间认证结果的真实正确,而且支持用户利用任意终端设备来完成与云端的身份认证过程;其次,新方案基于无证书公钥签名算法实现了“口令+密钥”的双因子认证过程;最后,通过安全性理论证明和性能分析,证明本文提出的方案在保证EUF-CMA安全性的同时,显著提高了用户和云端之间身份认证的计算效率.     

5G移动边缘计算场景下的快速切换认证方案

5G万物互联为用户带来极致网络体验的同时也提出了新的挑战,用户的超低时延体验、移动状态下无顿感的获取业务以及安全防护问题备受关注。移动边缘计算能够满足5G低时延、大连接、高带宽的严苛要求,作为一种多信任域共存的计算范式,多实体之间、跨信任域之间互联互通频繁,身份认证作为安全防护的第一道关口尤为重要。通过对现有边缘计算范式下的身份认证机制研究,提出了一种通过构建信任域的基于预认证的轻量级快速切换认证方案,不同区域间移动的用户能实现快速安全的切换认证。所提方案将服务和计算由云端下沉到边缘侧,生物指纹技术被用于用户端以抵御终端被盗攻击,不同区域的边缘服务器采用预认证的方式来满足快速切换需求,用户与边缘服务器采用实时协商共享会话密钥的方式建立安全通道,认证方案以异或和哈希运算来保证轻量级。对所提方案从安全性与性能两方面进行评估,其中,安全性从理论设计分析和形式化工具验证两方面进行。采用形式化分析工具AVISPA验证了在存在入侵者的情况下所提方案的安全性,与其他方案相比所提方案更安全。性能主要从认证方案的计算成本和通信成本进行评估,仿真表明,所提方案在通信成本上有较好的优势,计算开销能够满足资源...     

基于群组证明的智能警务设备安全认证协议

随着物联网通信和计算技术的发展,智能警务设备成为未来公安单警装备配备的发展趋势,为公安机关民警执行任务提供高效可靠的移动警务终端服务支持。面向警务云环境下的智能警务设备,设计一种基于群组证明的安全认证协议。该协议考虑智能警务设备及终端交互的空中接口可能存在的安全威胁和系统脆弱点,引入轻量级的密码学算子实现智能警务设备的安全身份认证。该协议采用伪随机序列发生器、Hash函数和密值随机化等安全机制实现了数据机密性和数据完整性、本地和远程身份认证,以及会话周期的不可链接性,适用于轻量级的智能警务设备应用场景。     

服务环境下面向新能源场站轻量级安全认证方案的研究

新能源场站信息系统涉及数据多并且价值大，一旦相关数据发生泄露会使新能源企业的利益遭受侵害，提高网络通讯数据传输的安全性至关重要。本文提出了一个云服务环境下面向新能源场站轻量级安全认证方案，新能源场站用户与云服务提供商通过注册、登录和相互身份认证进行密钥协商最终达成会话密钥。安全性分析和仿真试验结果表明，本文提出的云服务环境下面向新能源场站轻量级认证方案提高了网络通讯数据传输的安全性。     

面向工业控制系统终端的轻量级组认证机制

针对当前国内工控系统中普遍缺乏认证能力的现状，本文结合无证书签名和传统信息安全中的群组认证提出了一种面向工控终端的轻量级组认证机制，针对传统信息安全中的身份认证技术进行改进，实现工控系统中多机协作场景下对多台PLC进行同时认证.基于本方案实现的可信PLC设备采用嵌入式处理器和安全处理单元的结构，在数据传输时采用PCIE协议传输，替代了传统的网络接口的数据传输，确保网络数据不会外泄，最大程度上保证了数据的安全性.验证表明，本文提出的轻量级组认证机制减少了认证过程的计算量和通信开销，能够解决控制系统中身份认证机制存在的终端计算能力有限等问题.     

面向智能家居的区块链轻量级认证机制

5G技术为智能家居行业开拓了更大的发展空间,但安全问题也日益突出,用户身份认证作为信息安全防护的第一道关卡备受关注.智能家居系统传统的认证方法存在中心化信任挑战,且资源开销大.区块链技术因其去中心化、不可篡改等优势成为研究热点,为实现分布式智能家居系统安全认证提供了新思路.但无中心认证面临着用户与多个分布式终端认证的效率问题和用户隐私泄露问题两个方面的挑战.提出了一种基于区块链的动态可信轻量级认证机制(dynamic trusted lightweight authentication mechanism, DTL). DTL机制采用联盟链构建区块链系统,既保证了仅授权的智能家居传感器节点可加入网络,又满足分布式高效认证和安全访问需求.DTL具有以下优点:(1)针对认证效率问题,通过改进共识算法建立面向智能家居的动态可信传感设备组(DTsensorgroup,DTSG)认证机制,避免了传统的用户端与传感终端或者网关节点之间一对一的频繁认证引起的接入效率低和用户访问速率低问题,实现了轻量级认证;(2)针对用户隐私保护问题,创新性地设计了DTSG机制和零知识证明结合的认证方案,在不泄露用户...     

Secure communication mechanism for ubiquitous Smart grid infrastructure

Smart grid and advanced metering infrastructure (AMI) technologies have recently been the focus of rapid advancement and significant investment by many utilities and other service providers. For proper Smart grid deployment, smart energy home area network (HAN) must deploy smart meter along with other utility HAN devices and customer HAN devices. Energy service interface (ESI) is deployed as a HAN gateway which can provide two-way communications between HAN devices and utilities or service providers. However, in order to meet the envisioned functional, reliability, and scalability requirements of the Smart grid, cyber security must no longer be neglected. Thus, the development of a comprehensive security mechanism for AMI network is predominantly essential. A remote access to HAN devices may be required for either the customer that using his ubiquitous mobile device at the remote site or maintenance personals (either from utilities or service providers) those using handheld devices, which must be done securely. In this paper, we propose a security mechanism for remote access to HAN networks which is comprised of a lightweight and effective ECC-based entity authentication mechanism and ECC-based digital signature scheme. ECC-based entity authentication mechanism allows ESI as a gatekeeper to monitor the authentication process between two communicating entities. With a modified ECC-based digital signature scheme, secure data transfer between mobile devices and HAN devices has occurred. We have conducted security analysis, efficiency analysis as well as formal verification of the proposed mechanism.     

面向MEC的V2G轻量级分层认证方案

现有的针对车辆到电网（vehicle to grid,V2G）网络的大多数身份认证方案无法适用于交互频繁的移动边缘计算（mobile edge computing,MEC）环境,存在认证机制不完善、认证延迟大、认证成本高等问题。为解决上述问题,基于椭圆曲线加密及哈希函数提出了一个适用于MEC环境的V2G轻量级分层身份认证方案。引入半可信实体,实现端、边、云三方实体间的两阶段双向认证,并设计了一个效用评判机制以减少认证交互轮次。随机预言模型下形式化的安全性分析证明所提方案具备较高的安全性,能够抵御信息泄露攻击等多种攻击威胁;性能评估分析表明,所提方案平均减少了大约16.25%的传输消息量,19.4%的计算成本及25.38%的通信开销,高度适用于多实体参与的MEC场景。     

Robust biometrics-based multi-server authentication with key agreement scheme for smart cards on elliptic curve cryptosystem

Conventional single-server authentication schemes suffer a significant shortcoming. If a remote user wishes to use numerous network services, he/she must register his/her identity and password at these servers. It is extremely tedious for users to register numerous servers. In order to resolve this problem, various multi-server authentication schemes recently have been proposed. However, these schemes are insecure against some cryptographic attacks or inefficiently designed because of high computation costs. Moreover, these schemes do not provide strong key agreement function which can provide perfect forward secrecy. Based on these motivations, this paper proposes a new efficient and secure biometrics-based multi-server authentication with key agreement scheme for smart cards on elliptic curve cryptosystem (ECC) without verification table to minimize the complexity of hash operation among all users and fit multi-server communication environments. By adopting the biometrics technique, the proposed scheme can provide more strong user authentication function. By adopting the ECC technique, the proposed scheme can provide strong key agreement function with the property of perfect forward secrecy to reduce the computation loads for smart cards. As a result, compared with related multi-serve authentication schemes, the proposed scheme has strong security and enhanced computational efficiency. Thus, the proposed scheme is extremely suitable for use in distributed multi-server network environments such as the Internet and in limited computations and communication resource environments to access remote information systems since it provides security, reliability, and efficiency.     

格上基于智能卡的安全口令认证方案

基于智能卡的认证方案是一种高效且常用的认证机制,但安全性基于数论难题构建的相关认证方案存在不能抵抗量子攻击、恶意读卡器攻击等问题.提出一种新的格上基于智能卡的口令认证方案,该方案利用格密码中近似平滑投射哈希函数和可拆分公钥密码体制,通过用户口令和智能卡完成与服务器的身份认证和会话密钥协商.该方案在随机预言模型下满足理论可证明安全,在抵抗量子攻击、恶意读卡器攻击和其他类型攻击方面有较高的可靠度.仿真实验表明,所提方案执行效率高,满足实际应用需求.     

高效的基于口令多服务器认证方案

随着计算机网络的快速发展,传统的单服务器认证方案存在明显的不足。如果一个远程用户想要从不同的服务器获得网络服务,则必须分别向这些服务器提交注册信息。为解决这个问题,研究者提出了多服务器认证方案。然而,大部分多服务器认证方案不能抵抗某些密码攻击或者计算复杂度太高。本文提出一种高效、安全的多服务器认证与密钥协商协议。由于智能卡和读卡器使得实现这类方案的成本较高,新方案没有使用智能卡。与相关的多服务器认证方案相比,新方案同时具有高效性和安全性,因而更适合在实际环境中应用。     

面向移动边缘计算车联网中车辆假名管理方案

移动边缘计算(mobile edge computing, MEC)技术将计算和存储资源下沉到网络边缘,为车联网带来了高实时性和可靠性的服务.然而,MEC技术也面临各种安全威胁,攻击者可控制边缘数据中心导致车辆假名信息的泄露,威胁车辆的身份隐私.针对该问题,提出一种面向移动边缘计算车联网中的车辆假名管理方案,使其实现高效更新假名信息、边缘云层安全存储假名信息以及假名的可追踪.该方案使用边缘化、实时性高的边缘云代替中心云对车辆身份进行认证,提高了身份认证效率,进而实现高效的假名更新;对假名信息进行同态加密,保证了假名信息存储的安全性而不影响边缘云层对假名的管理;车辆的每个假名表都关联一个相应的查找词,系统的最高权威机构可由假名表密文计算出查找词,以揭露恶意车辆的真实身份,实现假名的可追踪.然后通过可证明安全理论证明了方案在选择明文攻击下具有不可区分性,并对方案中车辆身份的匿名性、消息的完整性与不可否认性进行了安全性分析,满足了车联网中对车辆身份隐私保护的安全需求.最后对方案中身份认证、假名请求以及同态加密性能等方面进行了效率分析及仿真,结果表明该方案满足车联网低时延通信的需求,并在认证效率上优于现有方案.     

雾辅助智能电网中容错隐私保护数据聚合方案

针对雾辅助智能电网数据收集过程中存在的隐私泄露问题,本文提出一种新的支持容错的隐私保护数据聚合方案.首先,结合BGN同态加密算法和Shamir秘密共享方案确保电量数据的隐私性.同时,基于椭圆曲线离散对数困难问题构造高效的签名认证方法保证数据的完整性.特别地,方案具有两种容错措施,当部分智能电表数据无法正常发送或部分云服务器遭受攻击而无法工作时,方案仍然能够进行聚合统计.安全分析证明了方案满足智能电网的安全需求;性能实验表明,与已有方案相比,本文方案计算和通信性能更优.     

A fine-grained privacy protection data aggregation scheme for outsourcing smart grid

Compared with the traditional power grid, smart grid involves many advanced technologies and applications. However, due to the rapid development of various network technologies, smart grid is facing the challenges of balancing privacy, security, efficiency, and functionality. In the proposed scheme, we design a privacy protection scheme for outsourcing smart grid aided by fog computing, which supports fine-grained privacy-protected data aggregation based on user characteristics. The fog server matches the encrypted characteristics in the received message with the encrypted aggregation rules issued by the service provider. Therefore, the service provider can get more fine-grained analysis data based on user characteristics. Different from the existing outsourcing smart grid schemes, the proposed scheme can achieve real-time pricing on the premise of protecting user privacy and achieving system fault tolerance. Finally, experiment analyses demonstrate that the proposed scheme has less computation overhead and lower transmission delay than existing schemes.     

基于动态信任值的智能手机隐式认证方案

在智能手机隐私安全领域,隐式认证具有高安全性、友好交互体验等优点,但存在行为特征采集不便、认证模型复杂的问题。提出一种基于动态信任值的分级隐式认证方案。利用机器学习方法进行模型训练,提取用户划屏行为特征作为前级认证数据,并将前级输出概率经信任值检测作为后级认证数据,进而得到最终认证结果。同时基于真实用户历史认证变化的稳定性和连续性,通过计算一定时间窗口内的认证概率均值作为动态信任更新值,使信任值在真实用户认证结果变化范围内波动。实验结果表明,该方案的分类准确率达到98.63%,等错误率仅为3.43%,与只包含前级认证的方案相比准确性更高,并且能够有效阻挡冒名者非法使用手机。