基于TLS1.3协议的智能电表安全设计.pdf

1、电子设计工程Electronic Design Engineering第31卷Vol.31第16期No.162023年8月Aug.2023收稿日期：2022-04-11稿件编号：202204064作者简介：季海涛（1984），男，江苏启东人，硕士，高级工程师。研究方向：计量和电力通信技术。智能电表作为电网中的终端设备，将信息流、业务流、电力流高度融合一体化，实现分布式计量、达到客户与电表终端双向互动服务。计量信息涉及用户与供电部门的利益，数据安全防护至关重要。信息安全解决方案在AMI联网抄表系统及智能电网基础设施中得以广泛部署1-2，从各国的智能电网系统环境结合电表通信的规划和应用分析，各批次

2、智能电表因存储空间及 CPU 等资源的局限性，更好地实现电表安全也因此受到限制。当下主流的安全方案基于TLS1.3协议的智能电表安全设计季海涛1，2，张芳敏1，黄柳胜2，孙孟玉1，黄炳洁1（1.上海电力大学 电子与信息工程学院，上海 200000；2.江苏林洋能源股份有限公司，江苏 启东 226200）摘要：随着智能电网的发展，新旧设备共存，由于电表MCU主频及空间资源的限制，使得以纯软件方式实现加密算法耗时长，难以满足智能电表的通信需求。针对国外无硬件加密的智能电表需升级支持 TLS1.3安全协议的需求，设计了一种 TLS1.3协议的应用方案。基于电表响应时间要求，裁剪优化 TLS1.3握手

3、流程，结合加密套件及扩展协商的选择，保证电表安全强度的同时及时响应主站系统。通过设计证书预装方法，解决TLS1.3协议中证书认证无法应用于电网基础设施薄弱的地区等难题。通过厂内的批量测试及现场运行，证明了所设计的基于TLS1.3协议的通信安全方案在电表中运行稳定，无异常反馈。关键词：TLS1.3；智能电表；通信安全；智能电网中图分类号：TN918.9文献标识码：A文章编号：1674-6236（2023）16-0162-05DOI：10.14022/j.issn1674-6236.2023.16.034Design of smart meter security based on TLS1.3

4、protocolJI Haitao1，2，ZHANG Fangmin1，HUANG Liusheng2，SUN Mengyu1，HUANG Bingjie1（1.School of Electronic and Information Engineering，Shanghai University of Electric Power，Shanghai200000，China；2.Jiangsu Linyang Energy Co.，Ltd.，Qidong 226200，China）Abstract:With the development of smart grid，new and old d

5、evices coexist.Due to the limitation of themain frequency of the meter MCU and space resources，it takes a long time to implement the encryptionalgorithm in pure software，and it is difficult to meet the communication requirements of smart meters.Aiming at the requirement that foreign smart meters wit

6、hout hardware encryption need to upgrade tosupport TLS1.3 security protocol，an application scheme of TLS1.3 protocol is designed.Based on themeter s response time requirements，the TLS1.3 handshake process is tailored and optimized，combinedwith the choice of encryption suite and extended negotiation，

7、to ensure the security strength of the meterand respond to the master system in a timely manner.By designing a certificate preinstallation method，the problem that certificate authentication in the TLS1.3 protocol cannot be applied to areas with weakpower grid infrastructure is solved.Through the bat

8、ch test in the factory and on site operation，it isproved that the designed communication security scheme based on the TLS1.3 protocol operates stably inthe meter without abnormal feedback.Keywords:TLS1.3；smart meter；communication security；smart grid-162也渐渐成为智能电表的需求。文献3研究了一种新的基于分布式区块链的保护方案，以增强电表抵御网络攻

9、击的能力。IPsec 安全协议必须处理可靠性和分片的问题4。TLS 协议是应用最为广泛的安全通信协议，新一代 TLS协议 1.3版本的安全性和高速性得到很大提高5-7。TLS1.3协议采用高强度的加密及认证机制实现了信息的安全防护。由于主流安全协议的复杂性和处理开销，无法更好地应用于智能电表。该文从电力系统基础设施、电表所用芯片性能、成本及通信安全强度等方面进行综合考虑，在传统智能电表通信网络协议栈中嵌入 TLS1.3协议，设计了一套 TLS1.3协议在电表上的应用方案，实现电表的高强度安全通信，使电表更好地融入智能电网。1电表安全协议需求当前智能电表愈加智能化和网络化，多数已知的安全漏洞都与

10、通信媒介及协议相关8-9。电表作为电力信息采集的计量设备，一般采用RS485串口通信协议或其他方式连接终端设备，基于电表在智能电网中的实际应用，从以下方面分析电表安全协议需求。1.1电表响应时间基于电表硬件性能的限制，在电表与主站系统的信息处理方面存在一定的不足，其业务处理能力受制于电表采用的微控制单元MCU的性能。TLS1.3协议涉及密钥协商、数字签名、签名验证、公钥生成等算法10-11。在电表上采用TLS1.3协议，需要考虑电表运行安全协议的速度，即电表对主站系统的响应时间。电表需要按规定时间响应主站系统的消息请求，当电表选择运行不同的密码套件、椭圆曲线类型或者握手子消息时，电表耗时差距很

11、大，若电表MCU主频较低时，TLS1.3握手耗时长，可能出现超时处理，造成网络连接失败等。TLS1.3协议在智能电表中的处理流程如图1所示。图1TLS1.3协议在智能电表中的处理流程1.2安全强度安全强度高的加密算法对电表 MCU 的计算性能要求高。若 MCU主频较低，电表使用复杂的安全算法，虽然安全强度更高，但加密运算时间过长，无法及时应答主站，将会导致网络瘫痪等后果。方案基于电表 MCU 性能，选择合适的 TLS1.3 加密套件，结合 TLS1.3 协议子消息的设计，使电表在保证传输安全的同时，及时响应主站请求。TLS1.3 协议根据已发生的攻击行为，删除了一些不安全的加密算法12-14。

12、支持的加密套件，每个都有明显的优势，智能电表可根据算法的安全强度和硬件资源进行选择。方案选择密码套件的依据如下：1）AES_128_CCM_8_SHA256 密码套件。CCM模式的标准认证标签为16个字节，CCM_8模式的密码套件将标签减少到8个字节，从而节省了8个字节的开销，但代价是更高的伪造概率。2）若电表支持加密和认证硬件加速，优先选择 AES_128_GCM_SHA256 加密套件，安全强度高且运算速度快。若电表只支持 AES 硬件加速，优先 选 择 TLS1.3 加 密 套 件 AES_128_CCM_SHA256，CCM 模式没有 GCM 模式的输入大小限制，比 GCM模式更容易实

13、现。3）智能电表若没有硬件加速资源，加密和认证算法采用纯软件来实现，AEC_GCM/CCM 算法运算速度慢，优先选择 CHACHA20_POLY1305_SHA256套件。季海涛，等基于TLS1.3协议的智能电表安全设计-163电子设计工程 2023年第16期4）若电表采用性能较高的 MCU，追求更高的安全 强 度，可 以 选 择 TLS1.3 协 议 加 密 套 件 AES_256_GCM_SHA384，对于 Grover 算法攻击有更高的抵抗力，可以使电表通信更加安全，但提高了成本，且对电表要求较高。2基于TLS1.3协议的应用方案2.1整体思路设计TLS1.3 标准协议较为复杂，由握手协

14、议和记录协议组成15-16。握手协议旨在通过认证密钥交换机制来协商密钥,负责电表与集中器协商会话状态的密钥参数。为了提高该电表安全方案的拓展性、复用性和灵活性，着重设计了 TLS1.3的握手协议。握手协议由众多子消息组成，可根据实际应用进行裁剪。记录协议负责加解密及封装数据，可依据协议标准进行设计，此处不做赘述。该方案的电表握手过程如图2所示。图2电表握手流程握手步骤可总结如下：1）为与终端设备 GateWay 密钥进行协商，智能电表解析了 ClientHello 数据帧。ClientHello 数据帧中扩展 extension 还会带有 supported_groups扩展，这个扩展表明了

15、GateWay支持的用于密钥交换的命名组，按 照 优 先 级 从 高 到 低，电 表 按 照 支 持 组 件supported_groups 中得到的匹配项，匹配共享密钥key_share扩展中的类型。电表选择GateWay支持的椭圆曲线类型，使用椭圆曲线的基点计算电表的公钥。2）电表提取ClientHello中的key_share扩展对应的公钥，计算主秘钥放在 ServerHello 的 key_share扩展中，密钥协商计算完成后，电表以ServerHello作为响应数据帧，向 GateWay 传输电表协商成功的相关信息。该方案禁止电表重协商，若电表完成协商后 又收到 ClientHell

16、o 数据帧，将立即告警并断开连接。电表 TLS1.3 握手协议中，ServerHello 需要携带 supproted_versions 扩展，且包含自己 supproted_versions 中选择的 TLS 协议版本号。电表不作降级处 理，GateWay 请 求 TLS1.3 协 议 连 接，则 电 表 以TLS1.3协议响应，否则将断开连接。3）在该方案中，电表从 ClientHello 数据帧中获得密钥协商的相关信息，结合电表参数，完成椭圆曲线密钥协商，之后将使用握手层密钥加密握手信息。为保证电表的扩展信息安全，可将一些重要的协商参数放在加密扩展EncrypytedExtensions

17、帧中进行传输，但影响握手速度，增加了系统开销，因此可设置为空。4）方案采用证书进行双向认证，为了加快身份认证，当电表向 GateWay发送证书请求消息时，同时从 EEPROM 读取自己的证书并发送。该方式避免GateWay向电表发送证书请求，减少设备认证耗时。5）为防止上述信息被篡改，电表对之前的握手数据进行计算签名，并通过 Certificate Verify 数据帧发送。该消息必须在 Certificate 消息之后、Finished消息之前发送。6）电表发送 Finished数据帧作为电表身份认证阶段的最后一条信息。若 GateWay通过验证电表的Certificate Verify数据

18、帧和Finished数据帧，将发送应用层数据。7）若终端验证电表证书成功，将响应电表的请求并发送证书。电表验证证书和 Finished数据帧成功后，握手完成。智能电表导出记录层所需的密钥材料，以交换通过认证加密保护的应用层数据。2.2扩展选项协商GateWay基于主站系统组网要求，发送TLS1.3协议握手请求，为了与电表协商握手信息，ClientHello数据帧将携带大量的扩展信息。智能电表收到ClientHello消息后，按照次序逐个解析扩展信息，依据电表的需求，处理并响应相关扩展，其余扩展为了降低电表开销而不作处理。基于该方案设计的 TLS1.3握手流程，电表须响应的扩展类型信息如表 1

19、所示，选择响应的扩展信息并作出响应。-164表1电表扩展信息类型extension类型renegotiation_infokey_shareec_point_formatssupported_groupsmaster_secretsignature_algorithmssupported_versions功能简述是否TLS重协商ECDH算法参数ECC参数压缩ECC曲线类型增强性主密钥支持的签名算法TLS协议的版本电表响应否计算密钥否选择类型是ECDSA 算法TLS1.32.3电表双向认证基于 PKI体系的证书认证方式无法适用于电力基础设施薄弱的地区，如公司某海外项目。为了使电表完成 TLS1.

20、3协议中的设备认证，在一定程度上简化了电表认证实现的复杂度。电表建立通信时，执行证书初始化，通过密钥协商生成加密密钥，主站系统向电表传输电表和 GateWay的两张证书及其对应私钥，电表解密成功并写入EEPROM。在证书预装过程中使用通信开销较低的对称加密和哈希函数，证书初始化完成后，电表与GateWay进行TLS1.3连接。为降低系统开销，电表在 TLS1.3握手双向认证时，不完全解析 GateWay 发送的证书，只与预装的GateWay证书作比较，若一致则认证成功。3方案应用及性能分析3.1电表应用案例该 方 案 已 用 于 公 司 项 目，电 表 所 用 MCU 为FM33A048，主频

21、最高达40 MHz，RAM容量为32 kB，电表应用层为 SML协议，自动抄表系统底层通信协议为链路层。电表所用的 MCU 性能较低。安全方案应用于项目的关键信息如下：1）在保证安全强度的前提下，电表选择支持TLS1.3 协 议 AES_128_GCM_SHA256 加 密 套 件 和CHACHA20_POLY1305_SHA256套件，为减少电表与GateWay建立TLS1.3握手的耗时，电表执行TLS1.3密钥协商，优先选择 CHACHA20_POLY1305_SHA256加密套件。2）智 能 电 表 支 持 的 曲 线 类 型：secp256r1、secp384r1、BrainpoolP

22、384r1。可根据客户方的电网需求进行选择。3）电表对收到的证书未全面解析，只将其中的公钥取出，未作抄表客户端证书验证，只与证书初始化中传递过来的SGW证书作比较。4）智能电表的数据流采用内存复用方案，即采用应用层 SML、TLS 层、物理层 HDLC 三层数据流共用一个空间的形式来减少内存空间的使用，电表应用层将数据放入数据流时，根据 TLS1.3握手协商出的安全套件预留出不同的 TLS1.3 头尾空间，以便TLS层进行应用层数据加密。3.2性能分析该电表安全方案采用纯软件来实现，TLS1.3协议中的ECC算法运算量大、耗时较长，算法中使用不同类型的椭圆曲线，通过涉及的Compute Sha

23、red Secret、KeyGeneration、PublicKeyValidation、SignatureGeneration 和 Signature Verification 算法运行过程耗时来体现，为了使电表及时响应和减少所需空间，通过调整 window size、编译器优化等级和 ECC 算法单次执行比特位 stepNum 的大小，测试电表的最佳运行状态。算法性能与密钥长度关系很大，由表 2 中的信息分析可得，签名验证算法在电表运行中耗时最长，使用椭圆曲线BrainpoolP384r1签名验证平均耗时约20 s。根据主站系统的响应时间要求选择 ECC曲线类型。表2windows siz

24、e=2电表耗时UnitKey Generation/sSignature Generation/sSignature Verification/sCompute Shared Secret/ssecp256r13.0773.1325.3033.085secp384r17.2367.41613.0937.232BrainpoolP384r112.74412.70420.28612.705为了使电表运行在最佳状态，须确定ECC算法中滑动窗口的大小，以TLS1.3协议Signature Generation算法为例进行说明，签名使用的椭圆曲线类型为BrainpoolP384r1，其他测试环境变量不变

25、。由表2和表3的数据进行分析，相比电表在windows size=4，单次执行 k的位数 stepNum=10的运行环境下，当选择的 windows size=2时，单次运行算法平均耗时增加约0.89 s，TLS1.3总体握手协议运行时间增加约为10 s，但优势是空间节省了0.87 kB。表3windows size=4电表耗时UnitKey Generation/sSignature Generation/sSignature Verification/sCompute Shared Secret/ssecp256r12.2712.2024.0712.262secp384r15.6375.6

26、4910.8515.628BrainpoolP384r112.03212.03021.17111.981综上所述，电表密钥协商、签名生成及验证使用NIST P-256(secp256r1)、NIST P-384(secp384r1)和季海涛，等基于TLS1.3协议的智能电表安全设计-165电子设计工程 2023年第16期BrainpoolP384r1三条曲线进行测试。在本公司的项目中，滑动窗口大小设置为 4 bit。编译器 IAR 开启高级优化，经过批量测试，程序运行稳定；ECC 算法标量乘单次执行比特位 StepNum为 10 bit，执行结束退出ECC运算，并保存当前运算数据，在其他任务完

27、成后再次进入退出时的断点继续进行运算，该数值依据 MCU 的主频进行设置，若主频较高，可以增大单次执行比特位。经过长期大量测试，电表运行稳定。4结束语在电网的建设中，接入大量性能各异的智能电表，随着电力公司对电表通信安全的要求不断提高，某些海外地区要求电表升级支持 TLS1.3协议，以对抗网络攻击。由于 TLS1.3协议庞大复杂，一些智能电表因节省成本而采用低端且无硬件加密的芯片，处理速度及硬件资源成为实施 TLS1.3协议的瓶颈。因此，该文对 TLS1.3 协议进行二次开发，在安全强度、公私钥尺寸和计算速度等方面作出平衡，在电表上以纯软件实现 TLS1.3协议，设计 TLS1.3握手协议和认

28、证机制以兼容现有的电力基础设施。该方案已用于德国智能电表，结果表明其满足实际安全需求，电表接入当地智能电网安全、稳定。参考文献：1 曹若愚,祖向荣.智能电网AMI中无证书轻量级分布式认证方案J.网络安全技术与应用,2021(6):141-145.2 陈锋,邹洪,吴亚楠,等.基于SM2密码体系的电力信息安全监控系统设计J.电子设计工程,2022,30(5):100-103,108.3 Liang G,Weller S R,Luo F,et al.Distributed blockchain-based data protection framework for mod-ern power sys

29、tems against cyber attacksJ.In IEEETransactions on Smart Grid,2019,10(3):3162-3173.4 周益旻,刘方正,王勇.基于混合方法的IPSec VPN加密流量识别J.计算机科学,2021,48(4):295-302.5 王琳,封化民,刘飚,等.基于混合方法的SSL VPN加密流量识别研究J.计算机应用与软件,2019,36(2):315-322.6 陈矗.基于动态符号执行的SSL/TLS检测研究D.西安:西安电子科技大学,2019.7 王小峰,张奇林,刘加兵.基于符号模型的TLS1.3协议安全性自动化分析J.数学的实践与

30、认识,2019,49(5):198-206.8 肖勇,胡珊珊,许卓,等.智能电表通信模块可靠性评估J.南方电网技术,2020,14(8)：52-57.9 刘晴,刘旭,汤玮,等.基于虚拟数据库的电网通信元数据模型构建J.电子设计工程,2020,28(11):150-155.10陆思奇,周思渊,毛颖.强安全模型下TLS1.3协议的形式化分析与优化J.软件学报,2021,32(9):2849-2866.11闫露,邓浩江,陈晓,等.基于哈希的 TLS 会话重用数据采集方法J.网络新媒体技术,2019,8(3):16-22.12张博.TLS/SSL漏洞分析与检测J.河南科技,2020,39(26):23

31、-25.13张兴隆,李钰汀,程庆丰,等.一种防范TLS协议降级攻击的浏览器安全模型J.信息网络安全,2020,20(3):65-74.14毕兴,唐朝京.基于模型检测的TLS协议实现库安全性分析J.系统工程与电子技术,2021,43(3):839-846.15张枫,潘天雨,赵运磊.TLS1.3后量子安全迁移方案、实现和性能评测J.密码学报,2022,9(1):143-163.16Aviram N,Gellert K,Jager T.Sess ion resumptionprotocols and efficient forward security for TLS 1.30-RTT J.Journal of Cryptology,2021,34(3):1-57.17郭新志,刘英新,李秋燕,等.基于智能负荷控制的分布式能源系统调控策略研究J.智慧电力,2022,50(3):8-14.-166