安全增強的智能電網(wǎng)輕量級匿名認證方案

摘要：現(xiàn)有的智能電網(wǎng)身份認證方案大多存在計算成本高和認證流程復(fù)雜的問題，不適用于智能電網(wǎng)中資源受限的智能設(shè)備。而一些輕量級的方案卻存在多種安全漏洞，這些方案都無法在效率和安全性之間實現(xiàn)所需的權(quán)衡。針對上述問題，基于橢圓曲線加密算法設(shè)計了一個增強的可證明安全的智能電網(wǎng)輕量級匿名認證方案。引入輔助驗證器，擺脫在認證階段對于電力供應(yīng)商的依賴，在保護智能電表真實身份的條件下實現(xiàn)網(wǎng)關(guān)和智能電表之間的相互認證。同時，可以通過偽身份對惡意智能電表進行身份的溯源和撤銷。通過在隨機預(yù)言模型下的安全性分析和仿真工具ProVerif證明了方案具備較高的安全屬性。性能分析表明，所提方案能夠滿足智能電網(wǎng)環(huán)境下對于安全性和高效性的要求。

關(guān)鍵詞：智能電網(wǎng)；身份認證；橢圓曲線；隨機預(yù)言模型；ProVerif

中圖分類號：TP309.2文獻標志碼：A文章編號：1001-3695（2022）10-038-3124-06

doi： 10.19734/j.issn.1001-3695.2022.03.0118

Security enhanced lightweight anonymous authentication scheme for smart grid

Ding Zhifana， Hu Hongboa，b， Yang Qingyua， Xiao Siyuana

（a.College of Electronic Information amp; Automation， b.Network amp; Information Management Center， Xiangtan University， Xiangtan Hunan 411105， China）

Abstract：

Most of the existing smart grid authentication schemes suffer from high computational costs and complex authentication processes， which are not suitable for resource-constrained smart devices in the smart grid， while some lightweight schemes suffer from various security vulnerabilities， none of which can achieve the required trade-off between efficiency and security. To solve these problems， this paper designed an enhanced provably secure smart grid lightweight anonymous authentication scheme based on elliptic curve encryption algorithm. It introduced auxiliary validator to get rid of the reliance on the power supplier in the authentication phase and to achieve mutual authentication between the gateway and the smart meter under the condition of protecting the true identity of the smart meter. In addition， the scheme could trace and revoke the identity of malicious smart meters through pseudo identity. Through the security analysis under the random oracle model and simulation tool ProVerif verifies that the proposed scheme has high security properties. Performance analysis shows that the proposed scheme can meet the requirements for security and efficiency in smart grid environment.

Key words：smart grid; identity authentication; elliptic curve; random oracle model; ProVerif

0引言

傳統(tǒng)的電力系統(tǒng)因其自身的局限性，已不足以應(yīng)對新興工業(yè)生產(chǎn)以及社會經(jīng)濟發(fā)展的挑戰(zhàn)。智能電網(wǎng)作為下一代電力系統(tǒng)，將傳感、計算和通信等先進技術(shù)嵌入電網(wǎng)中，以提供可行、高效、可持續(xù)、具有經(jīng)濟效益和安全的電力供應(yīng)，顯著提高現(xiàn)有電網(wǎng)的效率［1］。在發(fā)電端通過將可再生能源并入電網(wǎng)，智能電網(wǎng)可以實現(xiàn)更準確的監(jiān)控、潮流優(yōu)化和更環(huán)保的綠色能源發(fā)電［2］。在用戶端為了實現(xiàn)對用戶用電量的實時監(jiān)控，智能電表等智能計量基礎(chǔ)設(shè)施被部署在智能電網(wǎng)中，每個用戶都配備一個智能電表，用于定期收集用戶的用電數(shù)據(jù)，網(wǎng)關(guān)定期聚合區(qū)域內(nèi)一組用戶的用電數(shù)據(jù)，電力供應(yīng)商分析聚合的用電數(shù)據(jù)并動態(tài)更新價格以實施用戶側(cè)管理［3］。

盡管智能電網(wǎng)有許多優(yōu)點，但它的互連性和動態(tài)性以及對信息通信技術(shù)和網(wǎng)絡(luò)系統(tǒng)的高度依賴使得智能計量基礎(chǔ)設(shè)施容易受到許多安全威脅，如中間人攻擊、假冒攻擊和重放攻擊等各類已知攻擊［4］。由于電力供應(yīng)商，網(wǎng)關(guān)和智能電表之間的通信是雙向流動的，攻擊者能夠從多個入口滲入智能電網(wǎng)系統(tǒng)并竊取用戶的用電數(shù)據(jù)信息，并進一步入侵電力供應(yīng)商的電力數(shù)據(jù)庫。因此，網(wǎng)絡(luò)安全成為智能電網(wǎng)最關(guān)鍵的問題［5］。然而，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如密碼保護、反惡意軟件和防火墻等都有其自身的局限性［6］。為了解決這些問題，需要將安全高效的認證機制集成到智能電網(wǎng)的通信系統(tǒng)中，以支持通信實體之間安全的信息交換，同時保護其隱私。身份認證和密鑰協(xié)商方案是安全高效的認證機制，能夠保障智能電網(wǎng)各通信方的遠程安全通信，實現(xiàn)數(shù)據(jù)機密性、用戶隱私和消息完整性，為智能電網(wǎng)提供可靠的電力服務(wù)。

為了應(yīng)對智能電網(wǎng)中存在的安全問題，研究人員近年提出了許多適用于智能電網(wǎng)的身份認證和密鑰協(xié)商方案，但仍存在以下兩個主要問題：

a）現(xiàn)有的方案大部分都被指出存在多種安全漏洞，容易遭受各類已知攻擊，不能提供會話密鑰的安全性或智能電表的匿名性，無法滿足在智能電網(wǎng)環(huán)境下的安全需求。

b）現(xiàn)有的一些方案由于使用了指數(shù)運算或雙線性配對此類高開銷的操作而導(dǎo)致了較高的計算和通信成本，而智能電表的資源十分有限，難以滿足方案的需求。

最近，文獻［7］提出一個空間數(shù)據(jù)聚合方案，用于在智能電網(wǎng)中安全獲取電力需求，該方案包括認證和數(shù)據(jù)聚合兩個階段，并聲稱其方案是安全的，在認證階段能夠?qū)崿F(xiàn)安全的認證和密鑰協(xié)商，并且具備對已知攻擊的抵抗能力，是智能電網(wǎng)環(huán)境的最佳選擇。但是，本文發(fā)現(xiàn)該方案無法抵抗密鑰泄露偽裝攻擊，并且其會話密鑰是不安全的，這會嚴重影響智能電網(wǎng)通信系統(tǒng)的安全性。

為了解決上述問題，本文基于橢圓曲線加密算法，提出一種新的且可證明安全的智能電網(wǎng)輕量級匿名認證方案，能夠滿足智能電網(wǎng)環(huán)境的安全需求，在性能上也更具優(yōu)勢。本文的主要貢獻有：

a）對文獻［7］的認證階段進行安全性分析，證明該方案無法抵抗密鑰泄露偽裝攻擊，并且其會話密鑰安全性薄弱。

b）設(shè)計了適用于智能電網(wǎng)的身份認證和密鑰協(xié)商方案，引入一個輔助驗證器，使得電力供應(yīng)商不介入方案的認證階段。

c）本文方案在消息認證時不暴露智能電表的身份信息，保證了智能電表的匿名性和不可追蹤性，通過對稱加密算法實現(xiàn)了輕量級的偽身份更新，特定情況下通過偽身份對惡意智能電表進行溯源和撤銷。

d）使用隨機預(yù)言模型以及仿真工具ProVerif證明了會話密鑰的安全性以及抵御已知攻擊的能力，與相關(guān)方案對比分析顯示所提方案在安全性，計算成本以及通信量三個方面都有優(yōu)勢。

1相關(guān)研究

近年來已經(jīng)提出了多種加密協(xié)議，包括數(shù)字簽名、加密、數(shù)據(jù)聚合、安全數(shù)據(jù)存儲和身份認證方案作為學(xué)術(shù)界和工業(yè)界保護智能電網(wǎng)安全的解決方案［8］，其中身份認證方案是保障智能電網(wǎng)數(shù)據(jù)安全和實施隱私保護的第一道防線，是智能電網(wǎng)部署的重要要求。2015年，文獻［9］采用雙線性配對提出了基于身份的簽名方案和基于身份的加密方案，實現(xiàn)了服務(wù)提供商和智能電表的相互認證。2016年，Odelu等人［10］指出文獻［9］無法保證智能電表秘密憑證的隱私和會話密鑰的安全性，并提出了一個安全高效的認證密鑰協(xié)商方案，成功解決了文獻［9］存在的潛在隱私泄露問題。2017年，Chen等人［11］表明文獻［10］容易遭受假冒攻擊，并且可以通過密鑰生成中心追蹤智能電表。為了解決文獻［10］的問題，文獻［11］改變了智能電表在密鑰生成中心的注冊方式，智能電表的身份在發(fā)送前被加密，并且智能電表的私鑰不會泄露給密鑰生成中心，因此不受密鑰生成中心發(fā)起的各種潛在攻擊的影響。然而，上述方案［9～11］使用了雙線性配對和指數(shù)運算，并且存在密鑰托管問題，因此會產(chǎn)生較高的計算成本。

為了滿足輕量級的需求，越來越多的研究人員采用橢圓曲線加密（ECC）算法構(gòu)建智能電網(wǎng)認證方案。2016年，He等人［12］為了降低文獻［9］中使用雙線性配對和指數(shù)運算而導(dǎo)致的高計算成本，提出了一個基于橢圓曲線加密算法的輕量級匿名密鑰協(xié)商方案，在沒有可信第三方的情況下實現(xiàn)智能電表和服務(wù)供應(yīng)商的相互認證。2018年，Abbasinezhad等人［13］指出文獻［12］無法抵抗已知會話的臨時信息攻擊和智能電表的臨時秘密值泄露攻擊，并提出了一個基于橢圓曲線加密算法的密鑰協(xié)商方案，能夠提供會話密鑰的安全性并且解決了以往方案的密鑰托管問題，然而被指出缺乏智能電表的匿名性［14］。2020年，Garg等人［15］提出了一種安全的身份認證方案，將完全散列Menezes-QuVanstone（FHMQV）密鑰交換機制和橢圓曲線加密算法相結(jié)合，能夠抵御各類已知攻擊，計算成本低，但是被證明無法實現(xiàn)智能電表的匿名性和不可追蹤性［16］。2021年，Srinivas等人［17］結(jié)合橢圓曲線加密算法和Schnorr的簽名方案設(shè)計了一種新的基于匿名簽名的認證密鑰交換方案，支持在初始部署后添加新的動態(tài)智能電表，但是被指出無法抵抗中間人攻擊和假冒攻擊，并且不提供匿名功能［18］。

為了保護智能電表的匿名性，偽身份生成技術(shù)也在不斷發(fā)展。2021年，Irshad等人［19］提出了一種用于智能電網(wǎng)需求響應(yīng)管理的輕量級認證密鑰方案，使用哈希散列函數(shù)生成偽身份以確保智能電網(wǎng)設(shè)備的匿名性，并且支持偽身份的更新。然而，由于哈希散列函數(shù)的單向不可逆，文獻［19］不支持偽身份的溯源。2022年，Safkhani等人［20］提出一種智能電網(wǎng)的認證和密鑰協(xié)商方案，使用物理不可克隆函數(shù)（PUF）和對稱加密算法構(gòu)建用戶的偽身份保證了匿名性。但是，文獻［20］不支持偽身份的更新和溯源。文獻［7］在智能電表上傳用戶用電數(shù)據(jù)前，電力供應(yīng)商、智能電表和第三方聚合器進行身份認證，確保通信實體的合法性。該方案使用對稱加密算法構(gòu)建偽身份以提供智能電表的匿名性，具備對常見已知攻擊的抵抗力，并且使用低成本的加密原語實現(xiàn)了通信實體之間的輕量級認證。然而，本文通過安全性分析發(fā)現(xiàn)，文獻［7］無法抵抗密鑰泄露偽裝攻擊，并且會話密鑰安全性薄弱。

2預(yù)備知識

2.1困難性問題

a）橢圓曲線離散對數(shù)難題（ECDLP）。假設(shè)q是一個大素數(shù)，G是一個階為q的加法循環(huán)群，對于給定的P∈G和a·P∈G，計算a∈Z*q是困難的。

b）橢圓曲線Diffie-Hellman難題（ECDHP）。對于給定的P，a·P，b·P∈G，其中a，b∈Z*q，計算a，b∈Z*q是困難的。

2.2系統(tǒng)模型

如圖1所示，在已有模型［7，21］的基礎(chǔ)上提出本文方案的系統(tǒng)模型，該模型中有電力供應(yīng)商（PS）、網(wǎng)關(guān)（GW）、相應(yīng)家庭局域網(wǎng)中的智能電表（SM）和輔助驗證器（AV）四個通信實體。

a）電力供應(yīng)商（PS）。它是整個智能電網(wǎng)的管理員，主要負責(zé)生成和發(fā)放安全參數(shù)，對來自網(wǎng)關(guān)的聚合用電數(shù)據(jù)進行監(jiān)控和分析并調(diào)整電價，與文獻［7，21］相比，本文方案中電力供應(yīng)商只提供注冊服務(wù)，不介入智能電表和網(wǎng)關(guān)的身份認證和密鑰協(xié)商。

b）網(wǎng)關(guān)（GW）。它具有龐大的存儲空間和優(yōu)秀的計算能力，收集并聚合來自其負責(zé)區(qū)域內(nèi)家庭局域網(wǎng)的智能電表加密用電數(shù)據(jù)，將處理好的數(shù)據(jù)發(fā)送給電力供應(yīng)商。這是一個誠實但對智能電表的加密用電數(shù)據(jù)好奇的半可信第三方實體，收到輔助驗證器的用電數(shù)據(jù)聚合請求后，對其進行身份認證，認證通過即發(fā)起與智能電表的相互認證并建立會話密鑰。

c）智能電表（SM）。它是智能電網(wǎng)的終端設(shè)備，負責(zé)定期收集并加密用戶的用電數(shù)據(jù)，這是一種資源受限的智能設(shè)備，存儲空間和計算能力有限。

d）輔助驗證器（AV）。它是一個第三方智能防竄改設(shè)備，向電力供應(yīng)商注冊獲取相關(guān)安全參數(shù)，收到電力供應(yīng)商的用電數(shù)據(jù)收集指令后，向網(wǎng)關(guān)發(fā)送用電數(shù)據(jù)聚合請求，網(wǎng)關(guān)需對其認證后方才同智能電表協(xié)商會話密鑰。

2.3安全目標

一個安全高效的智能電網(wǎng)身份認證和密鑰協(xié)商方案需為通信實體提供良好的安全性，應(yīng)實現(xiàn)以下安全目標：

a）相互認證。為確保智能電表的數(shù)據(jù)上傳給授權(quán)合法的網(wǎng)關(guān)以及網(wǎng)關(guān)接收來自合法智能電表的加密用電數(shù)據(jù)，在智能電表和網(wǎng)關(guān)之間應(yīng)能提供相互認證。

b）智能電表的匿名性不可追蹤性。確保攻擊者無法追蹤到智能電表的真實身份以及智能電表在通信網(wǎng)絡(luò)中的任何活動蹤跡。

c）會話密鑰的前向安全性。即使攻擊者獲得網(wǎng)關(guān)和智能電表的長期秘密參數(shù)，也能確保先前已建立會話密鑰的安全性。

d）抵抗密鑰泄露偽裝攻擊。即使網(wǎng)關(guān)或智能電表一方的私鑰泄露，攻擊者也無法偽裝成私鑰泄露方同另一方進行密鑰協(xié)商。

e）抵抗各類已知的攻擊。能夠抵抗假冒攻擊、重放攻擊、中間人攻擊和智能電表臨時秘密值泄露攻擊。

2.4攻擊者模型

本文結(jié)合Dolev-Yao威脅模型和CK攻擊者模型，構(gòu)造了一個強大的攻擊者，其在概率多項式時間內(nèi)具有以下能力：

a）A可以任意竊聽、攔截、修改、刪除、注入通信通道上的消息。

b）A可以獲取系統(tǒng)先前的會話密鑰。

c）在評估對密鑰泄露偽裝攻擊的抵抗時，A可以獲取通信實體的私鑰。

3文獻［7］的安全性分析

3.1文獻［7］認證階段的回顧

電力供應(yīng)商（PS）為家庭局域網(wǎng)內(nèi)的每個智能電表（SMi）生成偽身份PIDi和私鑰ki，并與第三方聚合器（TPA）共享私鑰Kas。在收集用戶用電數(shù)據(jù)聚合前，電力供應(yīng)商、第三方聚合器和智能電表進行三方之間的相互認證，下面是具體過程。

a）SMi生成隨機數(shù)Ns，計算V0=h{PIDi‖Ns‖ki}，將消息MA1：{PIDi，Ns，V0}發(fā)送給TPA。

b）TPA生成隨機數(shù)Na，計算V1=h{IDA‖Na‖Kas}，發(fā)送消息MA2={（PIDi，Ns，V0）‖（IDA，Na，V1）}給PS。

c）PS依據(jù)偽身份PIDi在數(shù)據(jù)庫中找尋對應(yīng)SMi的真實身份IDSMi，并驗證V0和V1的正確性，驗證通過則表明PS認證了SMi和TPA的身份，為SMi生成新的偽身份PIDnewi，計算T=h（IDSMi‖Kas‖Ns），x=h（ki‖T‖Ns）⊕h（Kas‖Na），y=h（T‖Ns‖ki）⊕Na，z=h（T‖IDSMi‖ki）⊕PIDnewi，V2=h（Kas‖Na‖x），V3=h（T‖y‖z‖ki），發(fā)送消息MA3：{x，y，z，V2，V3}給TPA。

d）TPA驗證V2的正確性，驗證通過后計算TK=x⊕h（Kas‖Na），生成會話密鑰khi=h（TK‖Na‖Ns），生成一組SMi的臨時身份TIDiq={tidi1，tidi2，…，tidiq}，使用khi加密TIDiq即TID*iq=Ekhi［TIDiq］，計算V4=h（TID*iq‖khi‖IDA），存儲{TIDiq，khi}，并發(fā)送消息MA4：{（y，z，V3）‖（TID*iq，V4）}給SMi。

e）SMi計算T=h（IDSMi‖Kas‖Ns），驗證V3的正確性，驗證通過即認證了PS的身份，計算Na=h（T‖Na）⊕ki⊕y，TK=h（ki‖T‖Ns），khi=h（TK‖Ns‖Na），PIDnewi=h（T‖IDSMi‖ki）⊕z，驗證V4的正確性，驗證通過即認證了TPA的身份，最后SMi使用khi解密TID*iq獲得TIDiq，存儲參數(shù){PIDnewi，TIDiq，khi}。

3.2文獻［7］的安全漏洞

本節(jié)展示文獻［7］的認證階段無法抵抗2.4節(jié)構(gòu)建的攻擊者A進行的密鑰泄露偽裝攻擊，且無法提供會話密鑰的安全性。

攻擊者A竊聽TPA和SMi以及TPA和PS之間的通信通道，并獲取參數(shù){PIDi，Ns，V0}和{IDA}，根據(jù)密鑰泄露偽裝攻擊的假設(shè)［22］，攻擊者可以獲取PS和TPA的共享私鑰Kas，偽裝成TPA，同PS進行會話。具體攻擊過程如下：

a）A竊聽并攔截消息MA1：{PIDi，Ns，V0}和{IDA}，生成隨機數(shù)NA，計算VA=h（IDA‖NA‖Kas），發(fā)送消息MA2={（PIDi，Ns，V0）‖（IDA，NA，VA）}給PS。

b）PS依據(jù)偽身份PIDi在數(shù)據(jù)庫中找尋對應(yīng)SMi的真實身份，并驗證V0和VA的正確性，驗證通過則表明PS認證了SMi和A的聚合器身份，為SMi生成新的偽身份PIDnewi，計算T=h（IDSMi‖Kas‖Ns），x=h（ki‖T‖Ns）⊕h（Kas‖NA），y=h（T‖Ns‖ki）⊕NA，z=h（T‖IDSMi‖ki）⊕PIDnewi，V2=h（Kas‖NA‖x），V3=h（T‖y‖z‖ki），發(fā)送消息MA3：{x，y，z，V2，V3}給A。

c）A驗證V2的正確性，驗證通過后計算TK=x⊕h（Kas‖NA），生成會話密鑰khi=h（TK‖NA‖Ns），偽造一組SMi的臨時身份TIDiAq={tidiA1，tidiA1，…，tidiAq}，使用khi加密TIDiAq即TID*iAq=Ekhi［TIDiAq］，計算V4=h（TID*iAq‖khi‖IDA）并存儲{TIDiAq，khi}，發(fā)送消息MA4：{（y，z，V3）‖（TID*iAq，V4）}給SMi。

d）SMi計算T=h（IDSMi‖Kas‖Ns），驗證V3的正確性，驗證通過即認證了PS的身份，計算NA=h（T‖NA）⊕ki⊕y，TK=h（ki‖T‖Ns），khi=h（TK‖Ns‖NA），PIDnewi=h（T‖IDSMi‖ki）⊕z，驗證V4的正確性，驗證通過即認證了A聚合器身份，最后SMi使用khi解密TID*iAq獲得TIDiAq，存儲參數(shù){PIDnewi，TIDiAq，khi}。

綜上，A成功偽裝成TPA同PS和SMi進行會話，可見文獻［7］無法抵抗密鑰泄露偽裝攻擊，并且在PS和TPA的共享私鑰Kas丟失的情況下，A能夠成功計算出會話密鑰khi，所以文獻［7］無法提供會話密鑰的安全性。

4提出的方案及正確性證明

為了抵抗文獻［7］存在的安全漏洞，并確保智能電網(wǎng)的通信安全，本文提出了一個增強的且可證明安全的身份認證和密鑰協(xié)商方案。該方案由初始化、注冊、身份認證和密鑰協(xié)商以及惡意智能電表撤銷四個階段組成。

4.1初始化

在此階段，電力供應(yīng)商PS初始化生成以下參數(shù)：

a）選擇大素數(shù)p、q，基于Fp選擇一條橢圓曲線E，F(xiàn)p表示為模p的有限域，選擇點P為橢圓曲線E上階為q的基點。

b）選擇隨機數(shù)skPS∈Z*q作為PS的私鑰，計算pkPS=skPS·P作為PS的公鑰。

c）選取安全的單向哈希散列函數(shù)h。

d）定義一種對稱加密算法Enc（k），使得Dec（k）（Enc（k）（message））=message，其中k是加密和解密的密鑰，Dec（k）是對稱解密，message為需要被加密的參數(shù)。

最后公布參數(shù){p，q，E，P，pkPS，h，Enc（k）}。

4.2注冊

在此階段，輔助驗證器（AV）、網(wǎng)關(guān)（GW）和第i個智能電表（SMi）通過電力供應(yīng)商（PS）進行注冊，生成下一階段所需的參數(shù)，通過秘密通道進行傳輸。

4.2.1AV注冊

AV選定身份標識符IDAV發(fā)送給PS請求注冊，PS選擇隨機數(shù)skGW∈Z*q返回，AV選擇隨機數(shù)rAV∈Z*q，計算RAV=h（skGW‖rAV）并將{rAV，RAV}發(fā)送給PS完成注冊。

4.2.2GW注冊

a）GW在AV注冊完成后即選定身份標識符IDGW發(fā)送給PS請求注冊。

b）PS計算RGW=h（skGW‖IDGW）·P，選擇隨機數(shù)rPS∈Z*q，生成GW的簽名sGW=h（RGW‖IDGW）skPS+rPS，計算B1=h（IDAV‖pkPS），B2=rAV⊕B1，B3=h（IDGW‖IDAV）⊕rPS，VAV=h（RAV‖rPS）作為AV的認證令牌，為第i個智能電表SMi選定身份標識符IDSMi，將參數(shù){skGW，sGW，B2，B3，VAV，IDSMi}發(fā)送給GW。

c）GW將skGW作為私鑰，計算pkGW=skGW·P作為公鑰，存儲參數(shù){B2，B3，VAV，IDSMi，skGW，sGW，pkGW}，選擇隨機數(shù)rPID∈Z*q，利用私鑰skGW加密SMi的真實身份標識符IDSMi，生成SMi的偽身份PIDSMi=EncskGW（IDSMi‖rPID）并將其發(fā)送給PS完成注冊。

4.2.3SMi注冊

PS在GW注冊完成后生成SMi的簽名sSMi=h（PIDSMi‖sGW）skPS，將參數(shù){sSMi，IDSMi，PIDSMi，IDGW}發(fā)送給SMi，SMi選擇隨機數(shù)rSMi∈Z*q，計算skSMi=rSMisSMi，pkSMi=rSMi·pkPS分別作為私鑰和公鑰，最后存儲參數(shù){IDSMi，IDGW，skSMi，pkSMi，PIDSMi}注冊完成。

4.3身份認證和密鑰協(xié)商

在此階段，輔助驗證器AV向網(wǎng)關(guān)GW發(fā)送用戶用電數(shù)據(jù)聚合請求，網(wǎng)關(guān)GW對輔助驗證器AV進行身份認證，驗證通過即發(fā)起與智能電表SMi的相互認證并協(xié)商會話密鑰。

a）AV將IDSMi發(fā)送給GW，GW計算B1=h（IDAV‖pkPS），rAV=B1⊕B2，RAV=h（skGW‖rAV），rPS=h（IDGW‖IDAV）⊕B3，驗證h（RAV‖rPS）=VAV是否成立，成立則AV身份驗證通過。GW選擇隨機數(shù)qGW∈Z*q，計算QGW=qGW·pkGW，將消息M1：{QGW}發(fā)送給SMi。

b）SMi選擇一個隨機數(shù)qSMi∈Z*q，計算QSMi=qSMi·pkSMi，kSG=skSMiqSMi·QGW，生成認證令牌VSMi=h（kSG）⊕h（IDSMi‖IDGW），將消息M2：{PIDSMi，QSMi，VSMi}發(fā)送給GW。

c）GW計算kGS=QSMi·qGWskGWh（PIDSMi‖sGW），驗證h（kGS）⊕h（IDSMi‖IDGW）=VSMi是否成立，成立則SMi身份驗證通過。GW選擇隨機數(shù)rnewPID∈Z*q，利用私鑰skGW對SMi的偽身份進行解密，即（IDSMi‖rPID）=DecskGW（PIDSMi），得到SMi的真實身份標識符IDSMi，并為SMi生成一個新的偽身份PIDnewSMi=EncskGW（IDSMi‖rnewPID），生成會話密鑰SKGS=h（QSMi‖QGW‖kGS），計算XP=PIDnewSMi⊕h（SKGS），生成認證令牌VGW=h（PIDnewSMi‖SKGS）⊕h（IDSMi‖IDGW），將消息M3：{XP，VGW}發(fā)送給SMi。

d）SMi生成會話密鑰SKSG=h（QSMi‖QGW‖kSG），計算PIDnewSMi=XP⊕h（SKSG），驗證等式h（PIDnewSMi‖SKSG）⊕h（IDSMi‖IDGW）=VGW是否成立，成立則GW身份驗證通過，SMi更新自己的偽身份PIDnewSMi用于下一次認證。

最后GW和SMi存儲會話密鑰SK（SKGS=SKSG）用于它們之間的進一步交互。

4.4惡意智能電表撤銷

當(dāng)GW檢測到其管轄區(qū)域內(nèi)的智能電表存在惡意行為，如發(fā)送錯誤的認證信息或電力消費數(shù)據(jù)異常等，向PS提出身份溯源請求。PS對該智能電表的數(shù)據(jù)和行為進行審核后，將惡意智能電表的偽身份PIDSMi發(fā)送給GW進行溯源。由于智能電表的偽身份是由GW生成的，所以只有GW能夠?qū)χ悄茈姳淼膫紊矸葸M行溯源。

GW利用私鑰skGW對惡意智能電表的偽身份PIDSMi進行解密鎖定其真實身份，并將其通過秘密通道傳輸給PS，PS將惡意智能電表的真實身份和偽身份一起添加到撤銷列表中，通信系統(tǒng)中的所有成員均可查詢撤銷列表以避免與列表中的惡意智能電表交互。

4.5正確性證明

證明GW生成的會話密鑰SKGS=h（QSMi‖QGW‖kGS）與SMi生成的會話密鑰SKSG=h（QSMi‖QGW‖kSG）相等，需要證明kGS與kSG相等，證明過程由以下方程式示出。

kGS=QSMi·qGWskGWh（PIDSMi‖sGW）=

pkSMi·qSMiqGWskGWh（PIDSMi‖sGW）=

pkPS·rSMiqSMiqGWskGWh（PIDSMi‖sGW）=

P·skPSrSMiqSMiqGWskGWh（PIDSMi‖sGW）=

rSMih（PIDSMi‖sGW）skPSqSMiqGWskGW·P

kSG=skSMiqSMi·QGW=rSMisSMiqSMi·QGW=

rSMih（PIDSMi‖sGW）skPSqSMi·QGW=

rSMih（PIDSMi‖sGW）skPSqSMiqGW·pkGW=

rSMih（PIDSMi‖sGW）skPSqSMiqGWskGW·P

5隨機預(yù)言模型下形式化安全性分析

使用安全模型進行形式化分析成為現(xiàn)代密碼學(xué)中強有力的安全證明之一。在現(xiàn)有的安全模型中，本文使用隨機預(yù)言模型來執(zhí)行本方案的形式化分析。

5.1隨機預(yù)言安全模型

本文方案的身份認證和密鑰協(xié)商階段，SMi和GW是兩個主要的參與者，假設(shè)每個SMi和GW能夠運行多個會話，Si 表示SMi的第i個會話實例，Gj表示GW的第j個會話實例，每個會話實例都被稱為一個預(yù)言機。當(dāng)攻擊者對預(yù)言機發(fā)起預(yù)言查詢時，預(yù)言機需要返回相應(yīng)的響應(yīng)參數(shù)。定義實例ο∈{Si，Gj}，在隨機預(yù)言模型中，ο代表兩個會話實例Si和Gj之一。概率多項式時間內(nèi)的攻擊者A可以任意竊聽、攔截、修改、刪除，注入通信通道上的消息，其攻擊能力由以下預(yù)言查詢體現(xiàn)。

a）extract（ο）。此查詢用于模擬A的被動攻擊，A可以獲取各個通信方在公共通信通道上的所有消息。

b）send（ο，M）。此查詢用于模擬A的主動攻擊，A將在通信通道上獲取到的消息M發(fā)送給ο，ο將相應(yīng)的消息返回。

c）corrupt（ο）。此查詢使A獲取實例ο的長期秘密參數(shù)。

d）test（ο）。此查詢用于模擬實例ο會話密鑰的語義安全性。進行test（ο）查詢后，ο拋擲一個硬幣b，如果b=1（硬幣為正面），ο將會話密鑰返回給A，如果b=0（硬幣為反面），則返回給A一個隨機字符串，其長度跟會話密鑰相等。

5.2安全性定義

本文方案的安全性通過游戲Gi（i=0，1，2，3，4，5）進行評估。在游戲中A可以對ο發(fā)起多次test（ο）查詢，收到查詢后ο拋擲硬幣b（結(jié)果為0或1），如果A正確猜中b值，則認為A贏得游戲，將攻擊者A攻破本文方案S安全性的優(yōu)勢定義為

AdvS（A）=|2Pr［SuccA］－1|lt;ε（1）

其中：Pr［SuccA］是A在游戲Gi中猜中b值的概率；ε是一個極其小可忽略的值。

5.3安全性分析

定理1攻擊者A在概率多項式時間內(nèi)贏得游戲Gi的概率是可以忽略的，A最多能夠執(zhí)行qh次哈希查詢，qs次send查詢以及qe次execute查詢，A攻破方案S安全性的最大優(yōu)勢為

AdvS（A）=q2h|hash|+（qs+qe）2p+2（qs|hash|+AdvE（k）（A）+AdvECDLP（A））

（2）

其中：|hash|是哈希查詢的規(guī)模；AdvE（k）（A）表示A違反對稱加密算法Enc（k）的優(yōu)勢；AdvECDLP（A）表示概率多項式時間內(nèi)A解決ECDLP的優(yōu)勢。

證明通過游戲Gi（i=0，1，2，3，4，5）推導(dǎo)A攻破本文方案S的優(yōu)勢，Pr［Succi］表示A猜中游戲Gi中硬幣b值的概率。

a）游戲G0。該游戲模擬的是真實的攻擊場景，得到

AdvS（A）=|2Pr［Succ0］－1|（3）

b）游戲G1。該游戲通過執(zhí)行extract（ο）查詢模擬A的被動攻擊。A通過竊聽得到消息M1：{QGW}，M2：{PIDSMi，QSMi，VSMi}，M3：{XP，VGW}，但是A無法通過這些消息計算會話密鑰SK。所以在該游戲結(jié)束時，A進行test（ο）查詢無法判斷ο返回的參數(shù)是真實的會話密鑰還是等長隨機字符串。因此，與真實的攻擊場景相比，A在該游戲中并沒有增加優(yōu)勢，所以有

Pr［Succ0］=Pr［Succ1］（4）

c）游戲G2。該游戲去除游戲G1中存在的兩種碰撞情形，模擬A的主動攻擊。

情形1根據(jù)生日悖論［23］，哈希查詢的輸出發(fā)生碰撞，其概率小于等于q2h/2|hash|。

情形2選取的隨機數(shù)發(fā)生碰撞，其概率小于等于（qs+qe）2/2p。

除非發(fā)生上述碰撞，否則G2與G1不可區(qū)分，因此有

Pr［Succ2］－Pr［Succ1］≤q2h2|hash|+（qs+qe）22p（5）

d）游戲G3。該游戲去除游戲G2中A無須進行哈希查詢而猜測到認證令牌VSMi或VGW的情形，這種情形的概率小于等于qs/|hash|。因此有

Pr［Succ3］－Pr［Succ2］≤qs|hash|（6）

e）游戲G4。該游戲去除游戲G3中A對PIDSMi成功解密獲得IDSMi的情形，因此有

Pr［Succ4］－Pr［Succ3］≤AdvE（k）（A）（7）

f）游戲G5。該游戲?qū)τ螒騁4進行修改，模擬A的密鑰泄露偽裝攻擊。在該游戲中A執(zhí)行extract（ο）查詢獲取通信通道上的參數(shù)，執(zhí)行corrupt（ο）查詢獲得Si和Gj的長期秘密參數(shù)。在已知{skSMi，QGW，QSMi，pkSMi}的情況下，要想獲得Si的會話密鑰SKSG=h（QSMi‖QGW‖kSG），需要計算kSG=skSMiqSMi·QGW，但從QSMi=qSMi·pkSMi中得到qSMi需要解決橢圓曲線離散對數(shù)難題（ECDLP），對于Gj同理。因此，比較該游戲與游戲G4的區(qū)別可以得出

Pr［Succ5］－Pr［Succ4］≤AdvECDLP（A）（8）

在該游戲中，A在猜測b值上并沒有增加優(yōu)勢，因此

Pr［Succ5］=12（9）

根據(jù)式（3）（4）得到

12AdvS（A）=|Pr［Succ0］－12|=|Pr［Succ1］－12|（10）

根據(jù)式（9）（10）得到

12AdvS（A）=|Pr［Succ1］－Pr［Succ5］|（11）

根據(jù)式（5）～（8）和三角不等式，得到

|Pr［Succ1］－Pr［Succ5］|=|Pr［Succ1］－Pr［Succ2］+Pr［Succ2］－

Pr［Succ3］+

Pr［Succ3］－Pr［Succ4］+Pr［Succ4］－Pr［Succ5］|≤

|Pr［Succ1］－Pr［Succ2］|+|Pr［Succ2］－Pr［Succ3］|+

|Pr［Succ3］－Pr［Succ4］|+|Pr［Succ4］－Pr［Succ5］|≤

q2h2|hash|+（qs+qe）22p+qs|hash|+AdvE（k）（A）+AdvECDLP（A）（12）

根據(jù)式（11）（12），得到式（2）。

由此，定理1證畢。以上證明過程意味著A在游戲中獲勝的概率是可忽略的，因此，本文方案在隨機預(yù)言模型下是安全的。

6ProVerif仿真分析

ProVerif是一個被廣泛使用的自動化密碼協(xié)議仿真工具，支持多種密碼學(xué)原語，如加密、解密、數(shù)字簽名、散列函數(shù)等，并指定了重寫規(guī)則和方程式。該工具能夠證明可達性、認證性以及觀測等效性。它由協(xié)議輸入、系統(tǒng)處理和結(jié)果輸出三個部分組成，系統(tǒng)輸入部分是運用Pi演算或Horn邏輯來編碼的協(xié)議，系統(tǒng)處理部分是運用一階邏輯對編碼的協(xié)議的安全性進行推導(dǎo)，結(jié)果輸出部分能夠在編碼的協(xié)議不滿足某種特定的安全屬性時給出相應(yīng)的攻擊序列。此外，ProVerif中還具有一個攻擊者模型，可以進行竊聽、攔截、修改或重新傳輸消息，這些攻擊僅受到加密方法的限制。

將所提方案在ProVerif中建模為四個不同的場景，以便證明所提方案對已知攻擊的抵抗能力，并且進一步驗證方案具備智能電表的匿名性和會話密鑰的前向安全性。

場景1沒有泄露任何的秘密參數(shù)，僅對方案在ProVerif中進行建模，對一些常見的攻擊進行查詢，證明了智能電表的匿名性和方案的可達性，仿真結(jié)果如圖2所示，結(jié)果a）是對方案可達性的查詢，證明了會話密鑰的安全性；結(jié)果b）證明了智能電表的匿名性；結(jié)果c）d）表明智能電表和網(wǎng)關(guān)可以進行相互認證，并且能夠抵抗假冒、重放、中間人等常見的攻擊。

場景2驗證本文方案具備會話密鑰的前向安全性，使用命令（（！pGW）|（！pPS）|（！pSMi）|（！pAV）|（phase1;out（net，（pkSMi，pkGW，skSMi，skGW，sGW））））向攻擊者泄露會話密鑰中的長期秘密參數(shù)，查詢結(jié)果如圖3所示，攻擊者獲取會話密鑰失敗。

場景3驗證本文方案具備密鑰泄露偽裝攻擊的抵抗力，使用命令（（！pGW）|（！pPS）|（！pSMi）|（！pAV）|（phase2;out（net，（skSMi，skGW））））向攻擊者泄露智能電表和網(wǎng)關(guān)的私鑰，查詢結(jié)果如圖4所示，攻擊者獲取會話密鑰失敗。

場景4驗證本文方案具備智能電表臨時秘密值泄露的抵抗力，使用命令（（！pGW）|（！pPS）|（！pSMi）|（！pAV）|（phase3;out（net，（qSMi，QSMi））））向攻擊者泄露智能電表的臨時秘密值，查詢結(jié)果如圖5所示，攻擊者獲取會話密鑰失敗。

7性能分析

本章從安全性、計算成本以及通信量三個方面對本文方案進行性能分析，將本文方案與文獻［7，9，10，12，17，19，20］進行比較。

如表1所示，在安全性上，本文方案能夠提供相互認證、智能電表的匿名性和不可追蹤性、會話密鑰的安全性以及抵抗各類已知的攻擊。文獻［7］無法提供相互認證和會話密鑰的安全性，并且無法抵抗密鑰泄露偽裝攻擊。其他文獻［9，10，12，17，19，20］也均存在各種安全缺陷，因此就安全性而言，本文方案優(yōu)于現(xiàn)有方案。

采用文獻［24］在Ubuntu 12.04.1 LTS 32位操作系統(tǒng)上獲得的實驗結(jié)果對比八個方案在認證階段的計算成本。哈希操作的計算成本Th≈0.002 3 ms；對稱加/解密的計算成本Ted≈0.004 6 ms；ECC點乘的計算成本Tm≈2.226 ms；ECC點加的計算成本Ta≈0.028 8 ms；指數(shù)運算的計算成本Te≈3.85 ms；雙線性配對的計算成本為Tp≈5.811 ms，個別操作由于計算成本過低忽略不計［25］。通信量是協(xié)議執(zhí)行期間通過網(wǎng)絡(luò)傳輸?shù)目偽粩?shù)，較低的通信量可提供更快的數(shù)據(jù)傳輸和更少的時間延遲，為了計算通信量，假設(shè)身份標識、隨機數(shù)、哈希散列輸出、時間戳、對稱加/解密塊等為160 bit；橢圓曲線上的點為320 bit；雙線性映射組的生成元G1為1 024 bit。表2為計算成本和通信量的對比結(jié)果。

注：P1表示相互認證；P2表示智能電表匿名性和不可追蹤性；P3表示抗中間人攻擊；P4表示抗重放攻擊；P5表示抗假冒攻擊；P6表示會話密鑰的前向安全性；P7表示抗智能電表臨時秘密值泄露攻擊；P8表示抗密鑰泄露偽裝攻擊。

在計算成本方面，本文方案主要采用哈希散列函數(shù)和二進制運算此類輕量級運算，同時輔以ECC點乘運算和對稱加/解密運算，計算成本為8.952 3 ms。文獻［9，10］采用雙線性配對運算和指數(shù)運算，大幅增加了計算量。文獻［12，17，20］主要采用ECC點乘運算，然而ECC點乘運算的使用次數(shù)均超過本文方案。本文方案的計算成本相比于文獻［9，10，12，17，20］分別減少了74.4%、70.8%、60.0%、33.4%、42.7%。文獻［7］主要采用哈希散列函數(shù)構(gòu)建其認證方案，沒有額外的高成本運算，計算成本較低。然而由表1可知，文獻［7］由于使用輕量級的加密原語導(dǎo)致其安全性不足，容易遭受安全攻擊。

在通信量方面，本文方案在保證安全性的情況下將認證階段的消息傳輸次數(shù)減少至3次，實現(xiàn)了通信過程的精簡化，通信量僅為1 760 bit。而文獻［7］在認證階段的消息傳輸次數(shù)為4次，通信量達到了3 040 bit。本文方案的通信量相比于文獻［7，9，10，12，17，19］分別減少了42.1%、50.5%、52.6%、21.4%、15.4%、9.0%，大大降低了通信時延。

由表1、2可知，本文方案在提供足夠安全性的同時，也能夠保證較低的計算成本和通信量。文獻［7］足夠輕量級，然而卻存在安全性不足和認證流程復(fù)雜進而導(dǎo)致通信量過高的問題，無法兼顧高效性和安全性。此外，文獻［7］不支持偽身份的更新和溯源，而本文方案GW在會話中能夠生成新的智能電表偽身份PIDnewSMi并發(fā)放給SMi，SMi則更新偽身份用于下一次會話。同時，本文方案能夠通過偽身份溯源惡意智能電表的真實身份并將其撤銷。

8結(jié)束語

本文針對現(xiàn)有智能電網(wǎng)通信認證方案安全性不足和效率低的問題，分析證明了文獻［7］的安全漏洞，并基于橢圓曲線加密算法提出了一個適用于智能電網(wǎng)的身份認證和密鑰協(xié)商方案，通過仿真工具ProVerif和理論分析驗證了所提方案的安全性，與同類認證方案對比表明，所提方案在安全性、計算成本和通信量三個方面均具有優(yōu)勢，能夠滿足智能電網(wǎng)在通信過程中對于安全性和高效性的要求。

本文方案僅支持網(wǎng)關(guān)對智能電表進行一對一的單點認證，網(wǎng)關(guān)的計算成本與其管轄區(qū)域內(nèi)的智能電表數(shù)量成線性關(guān)系。在智能電表部署愈發(fā)完善的情況下，網(wǎng)關(guān)可能在同一時間段需要進行大量的認證服務(wù)，這將會導(dǎo)致很高的網(wǎng)絡(luò)時延，并且對網(wǎng)關(guān)的計算能力也是一個極大的考驗。下一步將研究單個網(wǎng)關(guān)對多個智能電表進行批量認證以減少網(wǎng)關(guān)的計算負擔(dān)。

參考文獻：

［1］Sadhukhan D，Ray S，Obaidat M S，et al. A secure and privacy preserving lightweight authentication scheme for smart-grid communication using elliptic curve cryptography［J］. Journal of Systems Architecture，2021，114： 101938.

［2］Ferrag M A，Maglaras L A，Janicke H，et al. A systematic review of data protection and privacy preservation schemes for smart grid communications［J］. Sustainable Cities and Society，2018，38： 806-835.

［3］Mahmood K，Chaudhry S A，Naqvi H，et al. A lightweight message authentication scheme for smart grid communications in power sector［J］. Computers amp; Electrical Engineering，2016，52： 114-124.

［4］Li Xiong，Wu Fan，Saru K，et al. A provably secure and anonymous message authentication scheme for smart grids［J］. Journal of Parallel and Distributed Computing，2019，132： 242-249.

［5］Dua A，Kumar N，Singh M，et al. Secure message communication among vehicles using elliptic curve cryptography in smart cities ［C］// Proc of International Conference on Computer，Information and Telecommunication Systems. Piscataway，NJ： IEEE Press，2016： 1-6.

［6］Wang Wenye，Lu Zhou. Cyber security in the smart grid： survey and challenges［J］. Computer Networks，2013，57（5）： 1344-1371.

［7］Gope P，Sikdar B. Lightweight and privacy-friendly spatial data aggregation for secure power supply and demand management in smart grids［J］. IEEE Trans on Information Forensics and Security，2019，14（6）： 1554-1566.

［8］Wu Libing，Wang Jing，Sherali Z，et al. Anonymous and efficient message authentication scheme for smart grid［J/OL］. Security and Communication Networks.（2019-05-12）. https：//doi.org/10.1155/ 2019/4836016.

［9］Tsai J L，Lo N W. Secure anonymous key distribution scheme for smart grid［J］. IEEE Trans on Smart Grid，2016，7（2）： 906-914.

［10］Odelu V，Das A K，Wazid M，et al. Provably secure authenticated key agreement scheme for smart grid［J］. IEEE Trans on Smart Grid，2018，9（3）： 1900-1910.

［11］Chen Yuwen，Martínez J F，Castillejo P，et al. An anonymous authentication and key establish scheme for smart grid： FAuth［J］. Energies，2017，10（9）： 1354-1377.

［12］He Debiao，Wang Huaqun，Khan M K，et al. Lightweight anonymous key distribution scheme for smart grid using elliptic curve cryptography［J］. IET Communications，2016，10（14）： 1795-1802.

［13］Abbasinezhad M D，Ostad S A，Nikooghadam M. et al. A secure and efficient key establishment scheme for communications of smart meters and service providers in smart grid［J］. IEEE Trans on Industrial Informatics，2020，16（3）： 1495-1502.

［14］Fan Wu，Xu Lili，Li Xiong，et al. A lightweight and provably secure key agreement system for a smart grid with elliptic curve cryptography［J］. IEEE Systems Journal，2019，13（3）： 2830-2838.

［15］Garg S，Kaur K，Kaddoum G，et al. Secure and lightweight authentication scheme for smart metering infrastructure in smart grid［J］. IEEE Trans on Industrial Informatics，2020，16（5）： 3548-3557.

［16］Fatty S，Osama E. A lightweight authenticated key establishment scheme for secure smart grid communications［J］. International Journal of Safety and Security Engineering，2020，10（4）： 549-558.

［17］Srinivas J，Das A K，Li Xiong，et al. Designing anonymous signature-based authenticated key exchange scheme for Internet of Things-enabled smart grid systems［J］. IEEE Trans on Industrial Informa-tics，2021，17（7）： 4425-4436.

［18］Tanveer M，Khan A U，Shah H，et al. ARAP-SG： anonymous and reliable authentication protocol for smart grids［J］. IEEE Access，2021，9： 143366-143377.

［19］Irshad A，Chaudhry S A，Alazab M，et al. A secure demand response management authentication scheme for smart grid［J］. Sustainable Energy Technologies and Assessments，2021，48： 101571.

［20］Safkhani M，Kumari S，Shojafar M，et al. An authentication and key agreement scheme for smart grid［J］. Peer-to-Peer Networking and Applications，2022，15： 1595-1616.

［21］Huang Chengpeng，Wang Xiaoming，Gan Qingqing，et al. A lightweight and fault-tolerable data aggregation scheme for privacy-friendly smart grids environment［J］. Cluster Computing，2021，24： 3495-3514.

［22］Daniel R M，Rajsingh E B，Silas S. An efficient eCK secure identity based two party authenticated key agreement scheme with security against active adversaries［J］. Information and Computation，2020，275： 104630.

［23］齊小晨，黎妹紅，杜曄. 多服務(wù)器環(huán)境下基于動態(tài)ID的輕量級身份認證協(xié)議［J］. 北京航空航天大學(xué)學(xué)報，2021，47（12）： 2632-2640. （Qi Xiaochen，Li Meihong，Du Ye. Lightweight identity authentication protocol based on dynamic ID in multi-server environment［J］. Journal of Beijing University of Aeronautics and Astronautics，2021，47（12）： 2632-2640.）

［24］Kilinc H H，Yanik T. A survey of sip authentication and key agreement schemes［J］. IEEE Communications Surveys amp; Tutorials，2014，16（2）： 1005-1023.

［25］李曉天，陳建華. 更安全的匿名三因子多服務(wù)器身份認證協(xié)議研究［J］. 計算機應(yīng)用研究，2020，37（9）： 2781-2788. （Li Xiaotian，Chen Jianhua. Research on security-enhanced three-factor multi-server authentication scheme with anonymity［J］. Application Research of Computers，2020，37（9）： 2781-2788.）

收稿日期：2022-03-28；修回日期：2022-05-16

作者簡介：丁志帆（1998-），男，廣東潮州人，碩士研究生，主要研究方向為智能電網(wǎng)信息安全、密碼學(xué)（202021002542@smail.xtu.edu.cn）；胡洪波（1972-），男，湖南湘潭人，高級實驗師，碩士，主要研究方向為電力物聯(lián)網(wǎng)、智能電網(wǎng)信息安全；楊慶余（1997-），男，湖南長沙人，碩士，主要研究方向為智能電網(wǎng)隱私保護、霧計算；肖思遠（1997-），男，湖南婁底人，碩士研究生，主要研究方向為智能電網(wǎng)信息安全.