电力监控系统的SM9密钥的封装方法和封装装置与流程

本发明涉及数据通信，具体而言，涉及一种电力监控系统的sm9密钥的封装方法和封装装置。

背景技术：

1、随着物联网的高速发展，新型电力系统网络的边界日益模糊，且出现了大量资源受限的终端设备。虽然可以将数据存储在云端并由云服务器进行预处理来减轻设备的计算和存储负担，但是由于云端数据脱离了用户，数据的隐私与安全会受到威胁，信息安全措施将逐步成为主要防护手段。然而信息安全和功能安全由于侧重点和关注点不同，两种存在一定冲突和矛盾。因此，亟需开展电力监控系统与轻量化安全防护技术研究，实现信息安全和功能安全深度融合。

2、现有技术中，对电力监控系统进行防护的方式包括基于sm2密码体系的电力信息安全监控系统设计，但是sm2算法是公钥加密算法，需要复杂的公钥证书管理，不适应于成员众多且动态变化的新型电力网络；支持解密外包的osm9标识密钥封装机制中，除了系统用户需要生成自己的公私钥对外，还额外需要云服务也生成自己的公私钥对，用来实现云服务器的外包解密，增加了对云服务器系统初始化设置的需求，而且增加了用户的等待时间。另外虽然sm9加密算法是可证明安全的密码算法，但是表明即使是可证安全的密码算法也会遭遇后门攻击，引发信息泄露。具有密码逆向防火墙的sm9标识加密算法中，仅对数据用者增加了密码逆向防火墙，没有考虑密钥生成中心和数据使用者遭受后门攻击，引发信息渗透威胁的问题。

3、目前还未有针对外包解密构建的密码逆向防火墙，需要额外考虑云服务器外包解密时可能会遭遇后门攻击的威胁的防护方法。

技术实现思路

1、本技术的主要目的在于提供一种电力监控系统的sm9密钥的封装方法、封装装置、计算机可读存储介质和电力监控系统，以至少实现在不配置复杂公钥证书管理的情况下对电力监控系统的外包解密过程的安全防护。

2、为了实现上述目的，根据本技术的一个方面，提供了一种电力监控系统的sm9密钥的封装方法，所述电力监控系统包括密钥生成中心、云服务中心、数据拥有者和数据使用者，所述密钥生成中心包括第一密码逆向防火墙，所述数据拥有者包括第二密码逆向防火墙，数据拥有者包括第三密码逆向防火墙，所述方法包括：在所述密钥生成中心根据安全参数生成全局公共参数和第一私钥的过程被干扰的情况下，控制所述第一密码逆向防火墙对所述全局公共参数进行随机化，所述全局公共参数包括安全参数、认证参数、密钥管理参数、通信协议参数和访问控制参数，所述第一私钥为所述密钥生成中信息的主私钥；在所述密钥生成中心根据所述第一私钥和所述全局随机参数生成第二私钥的过程被干扰的情况下，控制所述第一密码逆向防火墙对第二私钥进行随机化，所述第二私钥包括所述数据拥有者和数据使用者的私钥；在所述数据拥有者将封装密钥和封装密文上传至所述云服务中心进行存储和外包解密的过程被干扰的情况下，控制所述第二密码逆向防火墙对所述封装密钥和所述封装密文进行随机化；在所述数据使用者通过第三私钥生成转换私钥和检索私钥上传至所述云服务中心进行存储和外包解密的过程被干扰的情况下，控制所述第三密码逆向防火墙对所述转换密钥进行随机化，所述第三私钥为所述数据使用者的私钥；在所述云服务中心根据所述全局公共参数、所述转换密钥和所述封装密文对所述封装密文进行外包解密输出转换密文的过程被干扰的情况下，控制所述第三密码逆向防火墙对所述转换密文进行随机化并根据所述检索密钥更新所述封装密钥。

3、可选地，在控制所述第一密码逆向防火墙对所述全局公共参数进行随机化之前，所述方法还包括：获取预设数量的目标群并根据所述目标群确定目标双线性映射，所述目标群为阶数为预设素数的群：e:g1×g2→gt；其中，g1,g2,gt为所述目标群，e为所述目标双线性映射；在所述目标群中随机选取第一生成元和第二生成元，并计算所述第一生成元在椭圆曲线上的标量乘法得到第三生成元，根据所述第三生成元和所述第二生成元根据所述目标双线性映射得到映射结果：p1∈g1,p2∈g2；ppub＝sp1，g＝e(ppub,p2)；其中，p1为所述第一生成元，p2为所述第二生成元，ppub为所述第三生成元，s为进行标量乘法的所述第一生成元的数量；获取哈希函数和私钥生成函数标识符，根据所述目标群、所述目标双线性映射、所述第一生成元、所述第二生成元、所述第三生成元、所述映射结果、所述哈希函数和所述私钥生成函数标识符确定所述全局公共参数和所述第一密钥：pp＝(g1,g2,gt,e,p1,p2,ppub,g,hv,hid)；msk＝s；其中，pp为所述全局公共参数，msk为所述第一私钥，hv为所述哈希函数，满足hv:{0,1}*→{0,1}v，hid为所述私钥生成函数标识符。

4、可选地，控制所述第一密码逆向防火墙对所述全局公共参数进行随机化，包括：在所述目标群中随机选取非零数得到第一目标值、第二目标值和第三目标值，并根据所述第一目标值、所述第二目标值和所述第三目标值对所述全局公共参数进行随机化：p′1＝ap1，p′2＝bp2，p′pub＝appub＝sp′1，g′＝e(ppub,p2)abc＝e(p′pub,p′2)c；pp′＝(g1,g2,gt,e,p′1,p′2,p′pub,g′,hv,hid)；其中，a,b,c为所述第一目标值、所述第二目标值和所述第三目标值，r为所述目标群，pp′为随机化后的所述全局公共参数。

5、可选地，控制所述第一密码逆向防火墙对第二私钥进行随机化，包括：获取用户id，控制所述密钥生成中心根据所述用户id、所述全局公共参数和所述第一私钥生成所述第二私钥：id∈{0,1}*；t1＝hv(id||hid,r)+s；其中，id为所述用户id，t1为验证参数，在t1满足t1＝0情况下控制所述密钥生成中心重新生成所述第一私钥，sk为所述第二私钥；控制所述第一密码逆向防火墙根据所述第三目标值对第二私钥进行随机化：其中，h1＝hv(id||hid,r)，sk′为随机化后的所述第二私钥。

6、可选地，控制所述第二密码逆向防火墙对所述封装密钥和所述封装密文进行随机化，包括：控制所述数据拥有者对数据进行加密得到所述封装密文和所述封装密钥：

7、c1＝xq；t＝g′x，

8、k＝kdf2(hv,ec2osp(c1)||fe2osp(t)||id,l)；其中，c1为所述封装密文，k为所述封装密钥，q满足q＝h1p′1+p′pub＝(h1+s)p′1，l为所述封装密钥的长度；控制所述第二密码逆向防火墙对所述封装密钥和所述封装密文进行随机化：c′1＝fc1；t′＝tf＝g′xf，k′＝kdf2(hv,ec2osp(c′1)||fe2osp(t′)||id,l)；其中，c′1为随机化后的所述封装密文，k′为随机化后的所述封装密钥。

9、可选地，控制所述第三密码逆向防火墙对所述转换密钥进行随机化，包括：控制所述数据使用者根据所述第三私钥生成转换密钥和所述检索密钥：rk＝α；其中，tk为所述转换密钥，rk为所述检索密钥；控制所述第三密码逆向防火墙对所述转换密钥进行随机化：其中，tk′为随机化后的所述转换密钥。

10、可选地，控制所述第三密码逆向防火墙对所述转换密文进行随机化并根据所述检索密钥更新所述封装密钥，包括：控制所述云服务中心根据所述全局公共参数、所述转换密钥和所述封装密文对所述封装密文进行外包解密输出转换密文：其中，tct为所述转换密文；控制所述第三密码逆向防火墙对所述转换密文进行随机化：其中，tct′为随机化之后的所述转换密文；控制所述第三密码逆向防火墙根据所述检索密钥更新所述封装密钥：k＝kdf2(hv,ec2osp(c′1)||fe2osp(t′)||id,l)。

11、根据本技术的另一方面，提供了一种电力监控系统的sm9密钥的封装装置，所述电力监控系统包括密钥生成中心、云服务中心、数据拥有者和数据使用者，所述密钥生成中心包括第一密码逆向防火墙，所述数据拥有者包括第二密码逆向防火墙，数据拥有者包括第三密码逆向防火墙，所述装置包括：第一处理单元，用于在所述密钥生成中心根据安全参数生成全局公共参数和第一私钥的过程被干扰的情况下，控制所述第一密码逆向防火墙对所述全局公共参数进行随机化，所述全局公共参数包括安全参数、认证参数、密钥管理参数、通信协议参数和访问控制参数，所述第一私钥为所述密钥生成中信息的主私钥；第二处理单元，用于在所述密钥生成中心根据所述第一私钥和所述全局随机参数生成第二私钥的过程被干扰的情况下，控制所述第一密码逆向防火墙对第二私钥进行随机化，所述第二私钥包括所述数据拥有者和数据使用者的私钥；第三处理单元，用于在所述数据拥有者将封装密钥和封装密文上传至所述云服务中心进行存储和外包解密的过程被干扰的情况下，控制所述第二密码逆向防火墙对所述封装密钥和所述封装密文进行随机化；第四处理单元，用于在所述数据使用者通过第三私钥生成转换私钥和检索私钥上传至所述云服务中心进行存储和外包解密的过程被干扰的情况下，控制所述第三密码逆向防火墙对所述转换密钥进行随机化，所述第三私钥为所述数据使用者的私钥；第五处理单元，用于在所述云服务中心根据所述全局公共参数、所述转换密钥和所述封装密文对所述封装密文进行外包解密输出转换密文的过程被干扰的情况下，控制所述第三密码逆向防火墙对所述转换密文进行随机化并根据所述检索密钥更新所述封装密钥。

12、根据本技术的再一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备执行任意一种所述的方法。

13、根据本技术的又一方面，提供了一种电力监控系统，包括：一个或多个处理器，存储器，以及一个或多个程序，其中，所述一个或多个程序被存储在所述存储器中，并且被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行任意一种所述的方法。

14、应用本技术的技术方案，在上述电力监控系统的sm9密钥的封装方法中，首先，在上述密钥生成中心根据安全参数生成全局公共参数和第一私钥的过程被干扰的情况下，控制上述第一密码逆向防火墙对上述全局公共参数进行随机化，上述全局公共参数包括安全参数、认证参数、密钥管理参数、通信协议参数和访问控制参数，上述第一私钥为上述密钥生成中信息的主私钥；然后，在上述密钥生成中心根据上述第一私钥和上述全局随机参数生成第二私钥的过程被干扰的情况下，控制上述第一密码逆向防火墙对第二私钥进行随机化，上述第二私钥包括上述数据拥有者和数据使用者的私钥；之后，在上述数据拥有者将封装密钥和封装密文上传至上述云服务中心进行存储和外包解密的过程被干扰的情况下，控制上述第二密码逆向防火墙对上述封装密钥和上述封装密文进行随机化；之后，在上述数据使用者通过第三私钥生成转换私钥和检索私钥上传至上述云服务中心进行存储和外包解密的过程被干扰的情况下，控制上述第三密码逆向防火墙对上述转换密钥进行随机化，上述第三私钥为上述数据使用者的私钥；最后，在上述云服务中心根据上述全局公共参数、上述转换密钥和上述封装密文对上述封装密文进行外包解密输出转换密文的过程被干扰的情况下，控制上述第三密码逆向防火墙对上述转换密文进行随机化并根据上述检索密钥更新上述封装密钥。本技术分别在密钥生成中心、数据拥有者和数据使用者添加密码逆向防火墙，在收到攻击的情况下，分别对对应的参数进行随机化，以无效化攻击者的攻击行为，并将随机化之后的参数进行广播更新整个电力监控系统的参数，实现在不配置复杂公钥证书管理的情况下对电力监控系统的外包解密过程的安全防护。