由于费控二次系统是电网AMI应用的典型场景，因此本研究主要针对费控二次系统展开讨论. 费控二次系统是指实现对电厂、变电站、公变、专变和低压用户等发电侧、供电侧、配电侧和售电侧电气数据采集、监测与分析功能的系统主站、通信通道和计量自动化终端^[7-10].

图 1是当前费控二次系统安全防护总体逻辑结构，给出了费控二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区纵向互联的逻辑结构以及网络安全防护设备的总体部署. 按照安全分区原则，费控二次系统各业务系统和功能模块分别置于不同的安全区：在生产控制大区，控制区的主要业务包括带控制的功能模块(如控制服务、负荷控制、低压集抄等模块)；非控制区的主要业务包括计量自动化系统主站数据服务(存储计量自动化系统全量数据)和不带控制的功能模块(如厂站电能量计量、配变监测等模块). 在管理信息大区，生产管理区的主要业务包括全球广域网(world wide web，WEB)发布、镜像数据服务等功能模块.

为了实现AMI中智能终端身份防伪、与数据防篡改的目的，在AMI的采集监测系统安全框架下进行密钥交换协议的设计.

采集监测类系统的安全框架主要是针对用电终端无线传输安全防护需求进行设计(图 2)，在设计过程中还需要同时在设计过程中还需要同时考虑安全Ⅰ，Ⅱ，Ⅲ区中计量自动化系统所在的内部网络分区的安全防护需求以及各业务系统主机安全防护需求.

针对用电终端无线传输安全防护需求，在中心侧业务系统入口处部署安全通信网关，对接入业务系统的集中器等终端进行身份认证，并通过协议阻断、格式检查和协议分析等技术防止终端侧非法数据的跨网入侵. 此外，网关与接入终端之间通过密钥协商建立一条加密传输通道，对终端与业务系统之间的业务报文进行传输保护. 在集中器上安装安全通信模块，提供认证与加密服务，实现数据传输的机密性、完整性保护，防止攻击者从终端及终端回传数据的网络链路中侵入中心系统.

由于SM2算法具有运算维度小、加密效率高等优点，因此本研究选用SM2算法用于加密. SM2算法实质上是一种椭圆曲线迪菲-赫尔曼密钥交换(elliptic curve diffie-hellman key exchange，ECDH)算法，其所涉及的参数见表 1^[11-12].

假设用户P和Q在进行密钥协商时取得的数据长度是klen比特，用户P表示的是会话发起方，同时用户Q表示的是会话响应方. 两者通过以下流程获取会话密钥.

用户P

P1：随机生成a_P∈[1，n－1]；

P2：计算EC点R_P=[a_P]T=(x₁，y₁)；

P3：将R_P传输给用户Q；

用户Q

Q1：随机生成a_Q∈[1，n－1]；

Q2：计算EC点R_Q=[a_Q]T=(x₂，y₂)；

Q3：从R_Q筛选出域元素x₂，并对x₂=2^c+x₂ & (2^c－1)进行计算；

Q4：计算t_Q=(e_Q+x₂·a_Q)mod n；

Q5：验证R_P是否为椭圆曲线方程上的一点，若不满足则协商失败；若满足，则从R_P中取出域元素x₁，并计算x₁=2^c+x₁&(2^c－1)；

Q6：计算EC点V=[h·t_Q](S_P+[X₁]R_P)=(x₁，y_r)，若V为椭圆曲线上的无穷远点，则协商失败；

Q7：计算K_Q=KDF(x_a‖y_V‖U_P‖U_Q，klen)；

Q8：将R_P的坐标(x₁，y₁)和R_Q的坐标(x₂，y₂)的转换为比特串，并计算S_Q=Hash(0×02‖y_c‖Hash(x_V‖U_P‖U_Q‖x₁‖y₁‖x₂‖y₂))，此为可选项；

Q9：将R_Q和S_Q发送给用户P；

用户P

P4：从R_P中取出域元素x₁，并计算x₁=2^c+(x₁ & (2^c－1))；

P5：计算t_P=(e_P+x₁·a_P)mod n；

P6：验证R_Q为椭圆曲线方程上的一点，若不满足则协商失败；若满足，则从R_Q中取出域元素x₂，并计算x₂=2^c+(x₂ & (2^c－1))；

P7：计算EC点U=[b·t_P](S_Q+[x₂]R_Q)=(x_U，y_U)，若U表示的是EC上的无穷远点，则表示协商结果为失败；

P8：计算K_P=KDF(x_ν‖y_ν‖U_P‖U_Q，klen)；

P9：将R_P的坐标x₁y₁和R_Q的坐标x₂y₂变换成为比特串，并计算S₁=Hash(0×02‖y_u‖Hash(x_u‖U_P‖U_s‖x₁‖y₁‖x₂‖y₂))，然后检验S₁=S₃是否存在，若为否，则示协商结果为失败；

P10：计算S_P=Hash(0×03‖y_U‖Hash(x_U‖U_P‖U_Q‖x₁‖y₁‖x₂‖y₂))，然后令S_P输送给用户Q，此为可选项.

用户Q

Q10：计算S₂=Hash(0×03‖y_V‖Hash(x_V‖U_P‖U₈‖x₁‖y₁‖x₂‖y₂))，然后检验S₂=S_P是否存在，若为否，则表示协商结果为失败，此非必选项.

此时用户双方在完成密钥协商后分别求解得到会话密钥，且K_P=K_Q，其具体流程见图 3.

在AMI设备通信过程，为了确保AMI数据传输过程中的安全性，本研究引入数字证书实现对传送报文的签名验证，确保连接的终端合规，最终通过密钥交换协议对证书进行检验. 其中会话发起方通过己方私钥对随机生成数完成SM2加密，同时利用SM3完成证书公钥的Hash运算并对结果采用SM2私钥签名，最后将签名和证书传送给可以完成身份认证的会话响应方，会话响应方验签成功后反馈回己方的数字证书，从而保证双向认证，确保安全^[13-14]. 但是由于费控二次系统智能终端采集设备的运算性能不足，考虑到密钥交换过程中部分信息的传递即可实现整个过程而不需要花费大量的开销. 因此本研究针对费控二次系统对SM2按如下流程进行改进.

用户P

P1：用户P产生随机数a_P，会话可辨别标识Se.

P2：用Q的公钥对a_P加密，并与Se和ID_P连接运行，得到P2=E_FP(r_P)‖Se‖ID_P.

P3：对连接结果进行Hash运算，得到P3=H(a_P‖Se‖ID_P).

P4：用d_P对P3签名，得到P4=E_dP(H(a_P‖Se‖ID_P)).

P5：连接P2‖P4，得到xP5=E_pg(a_P)‖Se‖ID_P‖E_dP(H(r_P‖Se‖ID_P)).

P6：将P5发送到用户Q.

用户Q

Q1：得到P的报文，验签得到信息a_P，Se，ID_P.

Q2：用户Q生成随机数a_Q，并计算U_P，U_Q.

Q3：生成会话密钥K，S_Q，S₂.

Q4：用P的公钥对a_Q加密，并连接Se，ID_Q和S_Q，得到Q4=E_pP(r_Q)‖Se‖ID_Q‖S_Q.

Q5：对连接结果进行Hash运算，得到Q5=H(a_Q‖Se‖ID_Q‖S_Q).

Q6：用e_Q对Q签名，得到Q6=E_d8(H(a_Q‖Se‖ID_Q‖S_Q).

Q7：连接xQ4‖Q6，得到Q7=E_Pλ(a_Q)‖Se‖ID_Q‖S_Q‖E_aQ(H(a_Q‖Se‖ID_Q‖S_H)).

Q8：将Q7发送到用户P.

用户P

P7：得到Q发送的报文，验签得到信息：r_Q，ID_Q，S_Q.

P8：计算U_P，U_Q，并生成会话密钥K，S₁.

P10：比较S₁和S_Q.

P11：生成S_P并发送给用户Q.

用户双方通过身份认证和密钥协商实现通信互联后，AMI数据开始传输，若由于数据不合规而未能完成以上步骤将会获取错误验证码，智能终端采集设备将重新开始以上流程直到完成验证，因此通信安全得以确保.

为了从机理上证明本研究提出的方法在安全防护方面的可行性，考虑到适应当前的主流攻击方式，本研究将从双向身份认证^[15]、重播攻击^[16]、中介攻击^[17]、信息注入攻击^[18]和长期窃听^[19]等5个角度分析方法的安全性.

在本研究的协议方案中，智能终端采集设备私钥通常由内部安全芯片所包含的随机发生器生成并存储，同时通过受信任的第三方CA基于公钥发出用户证书，故而终端需要合法才可以获得对应私钥. 会话发起方发送加密信息给会话响应方后，会话响应方通过检验获取的随机数与私钥求解得到的随机数的一致性来验证会话发起方的合法性；同理，会话发起方也可以借此检验会话响应方的合法性，从而实现双向身份认证.

重播攻击的定义是攻击方向目标主机传送目标曾获取过的数据包来冒充认证过的通信用户，从而破坏认证并完成数据截取. 而本研究的方案可以在双向认证过程中将过去的随机数和历史信息中的随机数进行对比，通过判断新鲜度检测出重播攻击并舍弃，从而有效克制重播攻击.

中介攻击主要是攻击方充当信息传输中介实现通信用户之间的通信过程，从而在此过程中实现对于数据信息的截取和篡改，影响正常的通信过程. 而在本研究的方法中，充当信息中介的攻击方在截取会话发起方的认证信息后会因为没有获取到会话响应方的私钥而不能得到随机数以及序列号，从而无法冒充会话发起方窃取协商过程中的数据信息. 同理，充当信息传输中介的攻击方也不能冒充会话响应方向会话发起方传输信息.

当通信用户之间相互认证通过并完成密钥的协商以后，智能终端采集设备的计量信息将开始传送，而由于会话密钥仅由用户所拥有，因此攻击方不能对其截取和解密，从而防止非法信息注入通信数据.

由于本研究的方法在开展通信时需要完成用户双方的身份认证并在密钥协商后得到新的会话密钥，在此过程中随着新的通信通道不断生成，会话密钥也随之更新，攻击方不能快速得到新的会话密钥因此难以实现长期窃听.

在传统的SM2中，通信用户在通信过程中需要交换EC点和Hash函数杂凑值，根据国家密码管理局规定，EC点长度应为64 bytes，而Hash函数杂凑值的长度应为32 bytes，故而在通信过程中共计需要传输192 bytes的数据.

而本研究的方法中通信用户在通信过程中需要交换生成的随机数、会话可识别标识以及身份认证标识. 前两者的长度均为8 bytes，后者的长度为16 bytes，因此基于本研究的方法实现密钥交换仅需72 bytes，相比于传统方法减少120 bytes，显著降低了开销损耗，确保了数据安全性.

为了进一步验证方法的优越性，本研究测试了不同数量的智能终端设备开展通信传输时密钥交换的稳定性. 测试环境参数见表 2.

本研究测试了费控二次系统智能终端采集设备数量N为1，100，500，1 000和5 000时密钥交换的执行时间，所得结果见图 4. 由图 4可以看出，当智能终端采集设备数量增大时，总的执行时间也在稳步提升而未出现显著变化，这表明本研究提出的方法能够有效应对多终端接入AMI时发起的通信连接请求并稳定执行任务，具有较好的稳定性.

本研究针对电网二次费控系统，提出一种改进SM2国密算法的密钥交换协议，通过安全性分析、开销分析和效率测试对本研究提出方法进行验证，实验结果表明该方法在保障电网AMI数据安全方面具有较高的可行性. 能够确保AMI中终端用户在通信过程中数据的机密性与安全性，有力保障了电网的信息通信安全，有助于我国能源互联网的建设. 下一步将继续开展防护技术的优化，进一步提升防护效率和防护范围，以应对更多的新型安全攻击.