一種基於可信計算的配電終端密鑰管理方法

2023-11-06 05:00:52 2

一種基於可信計算的配電終端密鑰管理方法
【專利摘要】本發明涉及一種基於可信計算的配電終端密鑰管理方法，所述方法包括：（1）根據配電終端構建ETM密鑰結構；（2）生成基於ETM密鑰的配電終端身份證書；（3）基於ETM密鑰存儲並管理配電終端數據；（4）基於ETM密鑰遠程證明配電終端狀態。本發明配電終端所涉及的密鑰都存儲在電力可信模塊ETM中，ETM為密鑰提供硬體級別的保護，密鑰的安全進一步保證了密鑰操作結果的安全；基於配電終端身份密鑰籤名的終端完整性狀態，可實現電網通信中配電終端的身份與狀態認證，進一步增強電網通信安全。
【專利說明】一種基於可信計算的配電終端密鑰管理方法【技術領域】
[0001]本發明一種電力系統管理方法，具體講涉及一種基於可信計算的配電終端密鑰管理方法。
【背景技術】
[0002]作為未來電網發展趨勢的智能電網，正日益成為世界各國發展的重點，建立在集成的、高速雙向通信網絡的基礎上的智能電網，應用通過先進的傳感和測量技術、先進的控制方法以及先進的決策支持系統技術來實現電網的可靠、安全、經濟、高效、環境友好和使用安全的目標。智能電網的一個重要特色是配電自動化。
[0003]配電自動化中的配電終端具有檢測和監控配電線的運行功能。由於所處環境的複雜性和不確定性，其面臨的安全問題比PC系統的更加複雜。配電終端可能會遭到如物理破壞、病毒木馬威脅以及來自移動網際網路的安全威脅。因此，針對這些威脅，配電終端一般有如下安全需求，諸如數據完整性，數據加密，不可否認性等。為了提升配電終端的安全，利用OpenSSL加密開發包對配電終端的安全防護能力進行測試的方法，以及運用散列運算和非對稱加密技術實現命令完整性檢驗和對配電網主站的身份驗證。和配電終端利用非對稱加密技術對配電主站進行單向身份認證以及報文完整性保護等方法，並且提出了外置安全模塊的思路，以減少對配電終端設備的改造。上述安全方案雖然在一定程度上可以提高配電終端的安全，但這些方案都沒有考慮密鑰的安全管理，一旦密鑰被洩露或竊取，再強的安全方案也將不能發揮作用。

【發明內容】

[0004]針對現有技術的不足，本發明提供一種基於可信計算的配電終端密鑰管理方法，該方法設計了電力可信模塊ETM (Electrical Trusted Module)，包括ETM的密鑰結構，以及基於ETM密鑰的配電終端身份證書生成、數據安全存儲和狀態認證。在密鑰的安全管理方面，可信計算是一種很好的解決方案。可信計算是一種信息系統安全新技術。其主要思路是在計算機硬體平臺架構上引入安全晶片來提高終端系統的安全性。在可信計算中，密鑰是以樹形結構存儲的，SRK作為一級密鑰(也稱主密鑰)，存儲在安全區域，其餘的密鑰是由它直接或間接地進行保護的，其保護方式為父密鑰加密子密鑰。可信計算對比傳統安全的優點是:外部不能任意得到具有安全功能的硬體晶片中的信息。
[0005]本發明的目的是採用下述技術方案實現的:
[0006]一種基於可信計算的配電終端密鑰管理方法，其改進之處在於，所述方法包括:
[0007]( 1)根據配電終端構建ETM密鑰結構；
[0008](2)生成基於ETM密鑰的配電終端身份證書；
[0009](3)基於ETM密鑰存儲並管理配電終端數據；
[0010](4)基於ETM密鑰遠程證明配電終端狀態。
[0011]優選的，所述步驟(1)中ETM密鑰固化ETM密鑰槽，其密鑰槽存儲綁定密鑰句柄包括:ETM_IDENTITY_KEY_PRIV-身份密鑰私鑰句柄、ETM_I DENT I TY_KEY_PUB-身份密鑰公鑰句柄、ETM_SMS4_KEY_1-SMS4-對稱密鑰句柄1、ETM_SMS4_KEY_2_SMS4_對稱密鑰句柄2、ETM_SMS4_KEY_3-SMS4-對稱密鑰句柄 3 和 ETM_SMS4_KEY_4_SMS4 對稱密鑰句柄 4。
[0012]優選的，所述步驟(2)包括基於電力CA系統生成配電終端安全晶片ETM的身份證書。
[0013]進一步地，所述電力CA系統包括三級認證模型；第一層為國網總根CA ;第二層為國網總根CA籤發的二級CA，用於網省級單位；第三層為二級CA籤發的三級CA，用於地市級單位。
[0014]優選的，所述步驟(2 )包括
[0015](2.1)晶片廠商生產ETM時產生一對公私鑰，向2級CA的註冊中心發出證書生成請求；
[0016](2.2)註冊中心將ETM信息錄入資料庫，轉發證書請求至認證中心；
[0017](2.3)認證中心通過加密卡設備使用該CA私鑰籤發數字證書；
[0018](2.4)認證中心將數字證書存入證書資料庫備份，向註冊中心返回數字證書；
[0019](2.5)註冊中心向晶片廠商返回數字證書及該CA的公鑰證書；
[0020](2.6)晶片廠商將之前生成的私鑰及註冊中心返回的兩個證書存入ETM晶片。
[0021]優選的，所述步驟(3)包括存儲並管理生成的密鑰和數據加解密。
[0022]進一步地，所述密鑰生成包括ETM支持的密碼算法有非對稱密碼算法SM2，用於身份密鑰的生成；和對稱密碼算法SMS4，用於數據加解密。
[0023]進一步地，配電終端涉及的數據在晶片內部進行加密和解密操作，用於確保密鑰操作的安全性。
[0024]優選的，所述步驟(4)包括
[0025](4.1)配電終端使用身份密鑰對PCR籤名；
[0026](4.2)根據籤發身份證書的不同CA，配電終端向遠程方發送的證書也不同；
[0027](4.3)遠程方驗證身份證書，身份證書驗證通過，則繼續用身份證書驗證PCR籤名，PCR籤名驗證通過，則將PCR值與參考值比較，一致則表明終端狀態證明成功；否則證明失敗，該終端狀態不可信。
[0028]與現有技術比，本發明的有益效果為:
[0029]1)配電終端所涉及的密鑰都存儲在電力可信模塊ETM中，ETM為密鑰提供硬體級別的保護，密鑰的安全進一步保證了密鑰操作結果的安全；
[0030]2) ETM的使用可以保障配電終端設備的完整性，對抗惡意軟體和用戶的惡意行為；
[0031]3)ETM是針對配電終端設備的特點而設計的，其使用不影響配電終端的正常功能，也不會給配電終端造成大的額外負載；
[0032]4)基於配電終端身份密鑰的身份證書都是由國網CA系統籤發的，實現了與現有國網CA架構的無縫結合，便於統一部署與管理；
[0033]5)基於配電終端身份密鑰籤名的終端完整性狀態，可實現電網通信中配電終端的身份與狀態認證，進一步增強電網通信安全。【專利附圖】

【附圖說明】
[0034]圖1為本發明提供的一種基於可信計算的配電終端密鑰管理方法流程圖。
[0035]圖2為本發明提供的一種基於可信計算的配電終端密鑰管理方法身份證書流程圖。
[0036]圖3為本發明提供的一種基於可信計算的配電終端密鑰管理方法遠程證明流程圖。
【具體實施方式】
[0037]下面結合附圖對本發明的【具體實施方式】作進一步的詳細說明。
[0038]本發明一種基於可信計算的配電終端密鑰管理方法，具體如下:
[0039](1)根據配電終端的具體特點設計電力可信模塊ETM的密鑰結構；
[0040]考慮到應用在配電終端的電力可信模塊ETM中密鑰空間的有限性以及密鑰使用的簡單性，與TPM/TCM晶片繁瑣的密鑰管理體系不同，ETM直接固化幾個密鑰槽，提供相應的密鑰生成、加解密、籤名等密碼操作。
[0041]與TPM/TCM不同，ETM公鑰操作都是在ETM內完成的，因此ETM需要提供公鑰加密、籤名驗證等命令操作，以及公鑰證書導入、生成等配套命令。
[0042]電力可信模塊ETM類似於可信計算安全晶片TPM/TCM，部署在電力行業設備諸如配電終端之上，晶片內部具有密碼運算能力、安全存儲能力，對外提供與TPM/TCM類似的可信計算功能，如硬體身份標識、完整性度量與存儲、遠程證明等。
[0043]ETM的密鑰槽對應的密鑰句柄包括:ETM_IDENTITY_KEY_PRIV (身份密鑰私鑰句柄)、ETM_IDENTITY_KEY_PUB (身份密鑰公鑰句柄)、ETM_SMS4_KEY_1 (SMS4對稱密鑰句柄
1)、ETM_SMS4_KEY_2(SMS4 對稱密鑰句柄 2)、ETM_SMS4_KEY_3(SMS4 對稱密鑰句柄 3)、ETM_SMS4_KEY_4 (SMS4對稱密鑰句柄4)。
[0044](2)基於ETM密鑰的配電終端身份證書的生成與管理；
[0045]為了保障更高級別的安全和便於統一管理，配電終端安全晶片ETM涉及的各類證書如身份證書都是基於電力CA系統生成的。
[0046]電力CA系統基於三級認證模型。第一層是國網總根CA，第二層是由國網總根CA籤發的二級CA，用於網省級單位；第三層是二級CA籤發的三級CA，用於地市級單位。電力系統的國網總根CA是所有證書認證的源，因此，每個ETM在出廠時，都會在晶片內部預置總根CA的證書。
[0047]如圖2所示，ETM身份證書的生成有賴於晶片廠商向電力CA系統發出相應的請求。根據配電終端適用環境的不同，頒發身份證書的CA也不同。若該配電終端是由網省公司部署使用，則ETM晶片廠商需要向電力系統的2級CA遞交申請。
[0048]1)晶片廠商在生產ETM時利用ETM產生一對公私鑰，向2級CA的註冊中心發出證書生成請求；
[0049]2)註冊中心將ETM信息錄入資料庫，轉發證書請求至認證中心；
[0050]3)認證中心利用加密卡設備使用該CA私鑰籤發數字證書；
[0051]4)認證中心將數字證書存入證書資料庫備份，向註冊中心返回數字證書；
[0052]5)註冊中心向晶片廠商返回數字證書及該CA的公鑰證書；[0053]6)晶片廠商將之前生成的私鑰及註冊中心返回的兩個證書存入ETM晶片。
[0054](3)基於ETM密鑰的配電終端數據存儲管理；
[0055]基於ETM密鑰的配電終端數據存儲管理包括:
[0056]1)密鑰生成，包括ETM內部支持的密碼算法的密鑰生成過程；
[0057]2)數據加解密，包括ETM內部支持的數據加解密過程。
[0058]ETM支持的密碼算法有非對稱密碼算法SM2和對稱密碼算法SMS4，SM2密鑰主要用於身份密鑰的生成，SMS4密鑰用於數據加解密。
[0059]ETM密鑰生成過程為在ETM內部固化有四個密鑰槽，存放四個SMS4密鑰，分別對應固定的密鑰句柄方便應用層使用。生成密鑰時，必須指定對應的密鑰句柄。內部硬體根據接收到的指令生成新密鑰，同時將其與相應的密鑰句柄綁定並置入對應的密鑰槽中。
[0060]ETM數據加解密的優勢為可以硬體保證密碼操作的安全，配電終端涉及的數據都只能在晶片內部加密和解密。
[0061]ETM數據加解密過程為向ETM晶片發出使用對稱密碼算法進行加密的指令，指定加密密鑰句柄，給定待加密的數據，晶片內部完成加密之後返回加密後的數據。解密與之類似。
[0062](4)基於ETM密鑰的配電終端狀態遠程證明；
[0063]在配電終端啟動運行過程中，ETM的平臺配置寄存器PCR (PlatformConfiguration Register)記錄了終端狀態，基於ETM身份密鑰籤名的PCR即可向遠程方證明終端狀態。
[0064]ETM的PCR存儲的是終端所有運行部件的完整性度量值，按照部件啟動運行順序依次累計擴展至PCR中，不能自主更改，真實的反映了終端的運行狀態。
[0065]如圖3所示，配電終端使用身份密鑰對PCR籤名；根據籤發身份證書的CA的不同，配電終端向遠程方發送的證書也不同，若身份證書由2級CA發布，則配電終端將身份證書、2級CA證書隨同籤名的PCR —並發給遠程方；遠程方驗證身份證書，若驗證通過，則繼續用身份證書驗證PCR籤名，若驗證通過，則將PCR值與參考值比較，若一致則表明終端狀態證明成功，否則證明失敗，該終端狀態不可信。
[0066]最後應當說明的是:以上實施例僅用以說明本發明的技術方案而非對其限制，儘管參照上述實施例對本發明進行了詳細的說明，所屬領域的普通技術人員應當理解:依然可以對本發明的【具體實施方式】進行修改或者等同替換，而未脫離本發明精神和範圍的任何修改或者等同替換，其均應涵蓋在本發明的權利要求範圍當中。
【權利要求】
1.一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述方法包括:(1)根據配電終端構建ETM密鑰結構；(2)生成基於ETM密鑰的配電終端身份證書；(3)基於ETM密鑰存儲並管理配電終端數據；(4)基於ETM密鑰遠程證明配電終端狀態。
2.如權利要求1所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述步驟(1)中ETM密鑰固化ETM密鑰槽，其密鑰槽存儲綁定密鑰句柄包括:ETM_IDENTITY_KEY_PRIV-身份密鑰私鑰句柄、ETM_IDENTITY_KEY_PUB-身份密鑰公鑰句柄、ETM_SMS4_KEY_1-SMS4-對稱密鑰句柄 1、ETM_SMS4_KEY_2-SMS4-對稱密鑰句柄 2、ETM_SMS4_KEY_3-SMS4-對稱密鑰句柄3和ETM_SMS4_KEY_4_SMS4對稱密鑰句柄4。
3.如權利要求1所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述步驟(2)包括基於電力CA系統生成配電終端安全晶片ETM的身份證書。
4.如權利要求3所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述電力CA系統包括三級認證模型；第一層為國網總根CA ;第二層為國網總根CA籤發的二級CA，用於網省級單位；第三層為二級CA籤發的三級CA，用於地市級單位。
5.如權利要求1所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述步驟(2)包括(2.1)晶片廠商生產ETM時產生一對公私鑰，向2級CA的註冊中心發出證書生成請求；(2.2)註冊中心將ETM信息錄入資料庫，轉發證書請求至認證中心；(2.3)認證中心通過加密卡設備使用該CA私鑰籤發數字證書；(2.4)認證中心將數字證書存入證書資料庫備份，向註冊中心返回數字證書；(2.5)註冊中心向晶片廠商返回數字證書及該CA的公鑰證書；(2.6)晶片廠商將之前生成的私鑰及註冊中心返回的兩個證書存入ETM晶片。
6.如權利要求1所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述步驟(3)包括存儲並管理生成的密鑰和數據加解密。
7.如權利要求6所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述密鑰生成包括ETM支持的密碼算法有非對稱密碼算法SM2，用於身份密鑰的生成；和對稱密碼算法SMS4，用於數據加解密。
8.如權利要求6所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，配電終端涉及的數據在晶片內部進行加密和解密操作，用於確保密鑰操作的安全性。
9.如權利要求1所述的一種基於可信計算的配電終端密鑰管理方法，其特徵在於，所述步驟(4)包括(4.1)配電終端使用身份密鑰對PCR籤名；(4.2)根據籤發身份證書的不同CA，配電終端向遠程方發送的證書也不同；(4.3)遠程方驗證身份證書，身份證書驗證通過，則繼續用身份證書驗證PCR籤名，PCR籤名驗證通過，則將PCR值與參考值比較，一致則表明終端狀態證明成功；否則證明失敗，該終端狀態不可信。
【文檔編號】H04L9/08GK103647654SQ201310726584
【公開日】2014年3月19日 申請日期:2013年12月25日 優先權日:2013年12月25日
【發明者】徐震, 於愛民, 汪丹, 周啟惠, 王志皓, 趙保華 申請人:國家電網公司, 中國電力科學研究院, 中國科學院信息工程研究所, 國網浙江省電力公司