一种基于可信计算的配电终端密钥管理方法

一种基于可信计算的配电终端密钥管理方法
【专利摘要】本发明涉及一种基于可信计算的配电终端密钥管理方法，所述方法包括：（1）根据配电终端构建ETM密钥结构；（2）生成基于ETM密钥的配电终端身份证书；（3）基于ETM密钥存储并管理配电终端数据；（4）基于ETM密钥远程证明配电终端状态。本发明配电终端所涉及的密钥都存储在电力可信模块ETM中，ETM为密钥提供硬件级别的保护，密钥的安全进一步保证了密钥操作结果的安全；基于配电终端身份密钥签名的终端完整性状态，可实现电网通信中配电终端的身份与状态认证，进一步增强电网通信安全。
【专利说明】一种基于可信计算的配电终端密钥管理方法【技术领域】
[0001]本发明一种电力系统管理方法，具体讲涉及一种基于可信计算的配电终端密钥管理方法。
【背景技术】
[0002]作为未来电网发展趋势的智能电网，正日益成为世界各国发展的重点，建立在集成的、高速双向通信网络的基础上的智能电网，应用通过先进的传感和测量技术、先进的控制方法以及先进的决策支持系统技术来实现电网的可靠、安全、经济、高效、环境友好和使用安全的目标。智能电网的一个重要特色是配电自动化。
[0003]配电自动化中的配电终端具有检测和监控配电线的运行功能。由于所处环境的复杂性和不确定性，其面临的安全问题比PC系统的更加复杂。配电终端可能会遭到如物理破坏、病毒木马威胁以及来自移动互联网的安全威胁。因此，针对这些威胁，配电终端一般有如下安全需求，诸如数据完整性，数据加密，不可否认性等。为了提升配电终端的安全，利用OpenSSL加密开发包对配电终端的安全防护能力进行测试的方法，以及运用散列运算和非对称加密技术实现命令完整性检验和对配电网主站的身份验证。和配电终端利用非对称加密技术对配电主站进行单向身份认证以及报文完整性保护等方法，并且提出了外置安全模块的思路，以减少对配电终端设备的改造。上述安全方案虽然在一定程度上可以提高配电终端的安全，但这些方案都没有考虑密钥的安全管理，一旦密钥被泄露或窃取，再强的安全方案也将不能发挥作用。

【发明内容】

[0004]针对现有技术的不足，本发明提供一种基于可信计算的配电终端密钥管理方法，该方法设计了电力可信模块ETM (Electrical Trusted Module)，包括ETM的密钥结构，以及基于ETM密钥的配电终端身份证书生成、数据安全存储和状态认证。在密钥的安全管理方面，可信计算是一种很好的解决方案。可信计算是一种信息系统安全新技术。其主要思路是在计算机硬件平台架构上引入安全芯片来提高终端系统的安全性。在可信计算中，密钥是以树形结构存储的，SRK作为一级密钥(也称主密钥)，存储在安全区域，其余的密钥是由它直接或间接地进行保护的，其保护方式为父密钥加密子密钥。可信计算对比传统安全的优点是:外部不能任意得到具有安全功能的硬件芯片中的信息。
[0005]本发明的目的是采用下述技术方案实现的:
[0006]一种基于可信计算的配电终端密钥管理方法，其改进之处在于，所述方法包括:
[0007]( 1)根据配电终端构建ETM密钥结构；
[0008](2)生成基于ETM密钥的配电终端身份证书；
[0009](3)基于ETM密钥存储并管理配电终端数据；
[0010](4)基于ETM密钥远程证明配电终端状态。
[0011]优选的，所述步骤(1)中ETM密钥固化ETM密钥槽，其密钥槽存储绑定密钥句柄包括:ETM_IDENTITY_KEY_PRIV-身份密钥私钥句柄、ETM_I DENT I TY_KEY_PUB-身份密钥公钥句柄、ETM_SMS4_KEY_1-SMS4-对称密钥句柄1、ETM_SMS4_KEY_2_SMS4_对称密钥句柄2、ETM_SMS4_KEY_3-SMS4-对称密钥句柄 3 和 ETM_SMS4_KEY_4_SMS4 对称密钥句柄 4。
[0012]优选的，所述步骤(2)包括基于电力CA系统生成配电终端安全芯片ETM的身份证书。
[0013]进一步地，所述电力CA系统包括三级认证模型；第一层为国网总根CA ;第二层为国网总根CA签发的二级CA，用于网省级单位；第三层为二级CA签发的三级CA，用于地市级单位。
[0014]优选的，所述步骤(2 )包括
[0015](2.1)芯片厂商生产ETM时产生一对公私钥，向2级CA的注册中心发出证书生成请求；
[0016](2.2)注册中心将ETM信息录入数据库，转发证书请求至认证中心；
[0017](2.3)认证中心通过加密卡设备使用该CA私钥签发数字证书；
[0018](2.4)认证中心将数字证书存入证书数据库备份，向注册中心返回数字证书；
[0019](2.5)注册中心向芯片厂商返回数字证书及该CA的公钥证书；
[0020](2.6)芯片厂商将之前生成的私钥及注册中心返回的两个证书存入ETM芯片。
[0021]优选的，所述步骤(3)包括存储并管理生成的密钥和数据加解密。
[0022]进一步地，所述密钥生成包括ETM支持的密码算法有非对称密码算法SM2，用于身份密钥的生成；和对称密码算法SMS4，用于数据加解密。
[0023]进一步地，配电终端涉及的数据在芯片内部进行加密和解密操作，用于确保密钥操作的安全性。
[0024]优选的，所述步骤(4)包括
[0025](4.1)配电终端使用身份密钥对PCR签名；
[0026](4.2)根据签发身份证书的不同CA，配电终端向远程方发送的证书也不同；
[0027](4.3)远程方验证身份证书，身份证书验证通过，则继续用身份证书验证PCR签名，PCR签名验证通过，则将PCR值与参考值比较，一致则表明终端状态证明成功；否则证明失败，该终端状态不可信。
[0028]与现有技术比，本发明的有益效果为:
[0029]1)配电终端所涉及的密钥都存储在电力可信模块ETM中，ETM为密钥提供硬件级别的保护，密钥的安全进一步保证了密钥操作结果的安全；
[0030]2) ETM的使用可以保障配电终端设备的完整性，对抗恶意软件和用户的恶意行为；
[0031]3)ETM是针对配电终端设备的特点而设计的，其使用不影响配电终端的正常功能，也不会给配电终端造成大的额外负载；
[0032]4)基于配电终端身份密钥的身份证书都是由国网CA系统签发的，实现了与现有国网CA架构的无缝结合，便于统一部署与管理；
[0033]5)基于配电终端身份密钥签名的终端完整性状态，可实现电网通信中配电终端的身份与状态认证，进一步增强电网通信安全。【专利附图】

【附图说明】
[0034]图1为本发明提供的一种基于可信计算的配电终端密钥管理方法流程图。
[0035]图2为本发明提供的一种基于可信计算的配电终端密钥管理方法身份证书流程图。
[0036]图3为本发明提供的一种基于可信计算的配电终端密钥管理方法远程证明流程图。
【具体实施方式】
[0037]下面结合附图对本发明的【具体实施方式】作进一步的详细说明。
[0038]本发明一种基于可信计算的配电终端密钥管理方法，具体如下:
[0039](1)根据配电终端的具体特点设计电力可信模块ETM的密钥结构；
[0040]考虑到应用在配电终端的电力可信模块ETM中密钥空间的有限性以及密钥使用的简单性，与TPM/TCM芯片繁琐的密钥管理体系不同，ETM直接固化几个密钥槽，提供相应的密钥生成、加解密、签名等密码操作。
[0041]与TPM/TCM不同，ETM公钥操作都是在ETM内完成的，因此ETM需要提供公钥加密、签名验证等命令操作，以及公钥证书导入、生成等配套命令。
[0042]电力可信模块ETM类似于可信计算安全芯片TPM/TCM，部署在电力行业设备诸如配电终端之上，芯片内部具有密码运算能力、安全存储能力，对外提供与TPM/TCM类似的可信计算功能，如硬件身份标识、完整性度量与存储、远程证明等。
[0043]ETM的密钥槽对应的密钥句柄包括:ETM_IDENTITY_KEY_PRIV (身份密钥私钥句柄)、ETM_IDENTITY_KEY_PUB (身份密钥公钥句柄)、ETM_SMS4_KEY_1 (SMS4对称密钥句柄
1)、ETM_SMS4_KEY_2(SMS4 对称密钥句柄 2)、ETM_SMS4_KEY_3(SMS4 对称密钥句柄 3)、ETM_SMS4_KEY_4 (SMS4对称密钥句柄4)。
[0044](2)基于ETM密钥的配电终端身份证书的生成与管理；
[0045]为了保障更高级别的安全和便于统一管理，配电终端安全芯片ETM涉及的各类证书如身份证书都是基于电力CA系统生成的。
[0046]电力CA系统基于三级认证模型。第一层是国网总根CA，第二层是由国网总根CA签发的二级CA，用于网省级单位；第三层是二级CA签发的三级CA，用于地市级单位。电力系统的国网总根CA是所有证书认证的源，因此，每个ETM在出厂时，都会在芯片内部预置总根CA的证书。
[0047]如图2所示，ETM身份证书的生成有赖于芯片厂商向电力CA系统发出相应的请求。根据配电终端适用环境的不同，颁发身份证书的CA也不同。若该配电终端是由网省公司部署使用，则ETM芯片厂商需要向电力系统的2级CA递交申请。
[0048]1)芯片厂商在生产ETM时利用ETM产生一对公私钥，向2级CA的注册中心发出证书生成请求；
[0049]2)注册中心将ETM信息录入数据库，转发证书请求至认证中心；
[0050]3)认证中心利用加密卡设备使用该CA私钥签发数字证书；
[0051]4)认证中心将数字证书存入证书数据库备份，向注册中心返回数字证书；
[0052]5)注册中心向芯片厂商返回数字证书及该CA的公钥证书；[0053]6)芯片厂商将之前生成的私钥及注册中心返回的两个证书存入ETM芯片。
[0054](3)基于ETM密钥的配电终端数据存储管理；
[0055]基于ETM密钥的配电终端数据存储管理包括:
[0056]1)密钥生成，包括ETM内部支持的密码算法的密钥生成过程；
[0057]2)数据加解密，包括ETM内部支持的数据加解密过程。
[0058]ETM支持的密码算法有非对称密码算法SM2和对称密码算法SMS4，SM2密钥主要用于身份密钥的生成，SMS4密钥用于数据加解密。
[0059]ETM密钥生成过程为在ETM内部固化有四个密钥槽，存放四个SMS4密钥，分别对应固定的密钥句柄方便应用层使用。生成密钥时，必须指定对应的密钥句柄。内部硬件根据接收到的指令生成新密钥，同时将其与相应的密钥句柄绑定并置入对应的密钥槽中。
[0060]ETM数据加解密的优势为可以硬件保证密码操作的安全，配电终端涉及的数据都只能在芯片内部加密和解密。
[0061]ETM数据加解密过程为向ETM芯片发出使用对称密码算法进行加密的指令，指定加密密钥句柄，给定待加密的数据，芯片内部完成加密之后返回加密后的数据。解密与之类似。
[0062](4)基于ETM密钥的配电终端状态远程证明；
[0063]在配电终端启动运行过程中，ETM的平台配置寄存器PCR (PlatformConfiguration Register)记录了终端状态，基于ETM身份密钥签名的PCR即可向远程方证明终端状态。
[0064]ETM的PCR存储的是终端所有运行部件的完整性度量值，按照部件启动运行顺序依次累计扩展至PCR中，不能自主更改，真实的反映了终端的运行状态。
[0065]如图3所示，配电终端使用身份密钥对PCR签名；根据签发身份证书的CA的不同，配电终端向远程方发送的证书也不同，若身份证书由2级CA发布，则配电终端将身份证书、2级CA证书随同签名的PCR —并发给远程方；远程方验证身份证书，若验证通过，则继续用身份证书验证PCR签名，若验证通过，则将PCR值与参考值比较，若一致则表明终端状态证明成功，否则证明失败，该终端状态不可信。
[0066]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于可信计算的配电终端密钥管理方法，其特征在于，所述方法包括:(1)根据配电终端构建ETM密钥结构；(2)生成基于ETM密钥的配电终端身份证书；(3)基于ETM密钥存储并管理配电终端数据；(4)基于ETM密钥远程证明配电终端状态。
2.如权利要求1所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，所述步骤(1)中ETM密钥固化ETM密钥槽，其密钥槽存储绑定密钥句柄包括:ETM_IDENTITY_KEY_PRIV-身份密钥私钥句柄、ETM_IDENTITY_KEY_PUB-身份密钥公钥句柄、ETM_SMS4_KEY_1-SMS4-对称密钥句柄 1、ETM_SMS4_KEY_2-SMS4-对称密钥句柄 2、ETM_SMS4_KEY_3-SMS4-对称密钥句柄3和ETM_SMS4_KEY_4_SMS4对称密钥句柄4。
3.如权利要求1所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，所述步骤(2)包括基于电力CA系统生成配电终端安全芯片ETM的身份证书。
4.如权利要求3所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，所述电力CA系统包括三级认证模型；第一层为国网总根CA ;第二层为国网总根CA签发的二级CA，用于网省级单位；第三层为二级CA签发的三级CA，用于地市级单位。
5.如权利要求1所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，所述步骤(2)包括(2.1)芯片厂商生产ETM时产生一对公私钥，向2级CA的注册中心发出证书生成请求；(2.2)注册中心将ETM信息录入数据库，转发证书请求至认证中心；(2.3)认证中心通过加密卡设备使用该CA私钥签发数字证书；(2.4)认证中心将数字证书存入证书数据库备份，向注册中心返回数字证书；(2.5)注册中心向芯片厂商返回数字证书及该CA的公钥证书；(2.6)芯片厂商将之前生成的私钥及注册中心返回的两个证书存入ETM芯片。
6.如权利要求1所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，所述步骤(3)包括存储并管理生成的密钥和数据加解密。
7.如权利要求6所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，所述密钥生成包括ETM支持的密码算法有非对称密码算法SM2，用于身份密钥的生成；和对称密码算法SMS4，用于数据加解密。
8.如权利要求6所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，配电终端涉及的数据在芯片内部进行加密和解密操作，用于确保密钥操作的安全性。
9.如权利要求1所述的一种基于可信计算的配电终端密钥管理方法，其特征在于，所述步骤(4)包括(4.1)配电终端使用身份密钥对PCR签名；(4.2)根据签发身份证书的不同CA，配电终端向远程方发送的证书也不同；(4.3)远程方验证身份证书，身份证书验证通过，则继续用身份证书验证PCR签名，PCR签名验证通过，则将PCR值与参考值比较，一致则表明终端状态证明成功；否则证明失败，该终端状态不可信。
【文档编号】H04L9/08GK103647654SQ201310726584
【公开日】2014年3月19日 申请日期:2013年12月25日 优先权日:2013年12月25日
【发明者】徐震, 于爱民, 汪丹, 周启惠, 王志皓, 赵保华 申请人:国家电网公司, 中国电力科学研究院, 中国科学院信息工程研究所, 国网浙江省电力公司