CN107302428B - 一种配电网中数据传送业务的密码算法的协商方法 - Google Patents

一种配电网中数据传送业务的密码算法的协商方法 Download PDF

Info

Publication number
CN107302428B
CN107302428B CN201710385174.8A CN201710385174A CN107302428B CN 107302428 B CN107302428 B CN 107302428B CN 201710385174 A CN201710385174 A CN 201710385174A CN 107302428 B CN107302428 B CN 107302428B
Authority
CN
China
Prior art keywords
service
cryptographic algorithm
algorithm
security
cryptographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710385174.8A
Other languages
English (en)
Other versions
CN107302428A (zh
Inventor
张�浩
杨斌
吴文炤
王一蓉
郑越峰
侯悦
闻楷
郑世慧
马文洁
张鹍
孔德秋
李菁竹
段敬
孟亚宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
Beijing University of Posts and Telecommunications
Beijing China Power Information Technology Co Ltd
Economic and Technological Research Institute of State Grid Shandong Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
Beijing University of Posts and Telecommunications
Beijing China Power Information Technology Co Ltd
Economic and Technological Research Institute of State Grid Shandong Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Information and Telecommunication Co Ltd, Beijing University of Posts and Telecommunications, Beijing China Power Information Technology Co Ltd, Economic and Technological Research Institute of State Grid Shandong Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201710385174.8A priority Critical patent/CN107302428B/zh
Publication of CN107302428A publication Critical patent/CN107302428A/zh
Application granted granted Critical
Publication of CN107302428B publication Critical patent/CN107302428B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种配电网中数据传送业务的密码算法的协商方法,其特征在于,该协商方法包括业务安全标签、算法安全标签以及两种匹配模式,配电网中网络节点之间密码算法的协商过程均完全参考当前数据传送业务的业务安全标签。本发明的协商方法避免了传统网络安全协议中以客户端密码算法优先级而导致的弱密码套件匹配的安全问题。本发明的两种匹配模式不仅考虑到新型配电设备的快速匹配要求,同时也考虑了老旧设备的兼容性匹配需求,有效解决了配电网中密码算法向国密算法标准的过渡问题。

Description

一种配电网中数据传送业务的密码算法的协商方法
技术领域
本发明一般地涉及智能电网安全通信领域,更具体地涉及一种配电网中数据传送业务的密码算法的协商方法。
背景技术
随着国家经济建设的快速发展,电力自动化系统得到广泛应用。具有配电网络控制功能的配电终端大量分散部署在配电网络中。配电主站通过前置机发送指令对各配电终端实现遥测、遥信、遥控等方式的远程管理,从而实现了对配电网络的控制。近年来,随着网络化、信息化的不断深入,对配电终端安全通信的要求越来越高。目前采取的主要措施有:主站侧的前置机配置了基于非对称密码算法的数字签名模块,对控制命令和参数设置指令进行签名操作,以实现子站或终端对主站的身份鉴别与报文完整性保护;对重要子站或终端的通信可以采用双向认证,实现主站和子站或终端间的双向身份鉴别;在主站、子站以及终端配置了基于对称密码算法的数据加密模块,以实现对报文的机密性保护。
然而,目前已经部署的配电终端尚未使用统一的密码算法标准,一些终端仍然在使用一些不安全的密码算法,有的老旧终端甚至没有数据加密算法。而关于配电网使用国家商用密码标准的呼声日益高涨,目前配电网中密码算法的使用也已经渐渐向国密算法标准过渡。在进行密码算法协商的过程中,既要考虑新型配电设备密码算法快速协商的问题,也需要考虑老旧配电设备密码算法协商的兼容性问题。
另外,配电网广泛采用了SSL等传统的网络安全协议,其特点是以客户端密码套件的优先级来进行协商的,对于目前安全配置较差的配电终端,容易被黑客利用弱密码套件漏洞进行网络攻击。而配电过程往往涉及到不同的业务,如控制命令传送业务、参数配置业务、数据转发业务等,这些不同类型的业务对数据的安全需求和效率需求也有差别。所以直接套用传统的网络安全协议中的密码算法匹配方式不能满足配电网中面向业务的密码算法协商需求。
发明内容
本发明提供了一种配电网中数据传送业务的密码算法的协商方法,旨在解决目前配电网系统中过度依赖客户端优先级所造成的弱密码套件的匹配问题,以及在配电设备密码算法向国密算法标准过渡情形下的新型设备密码算法的快速匹配问题和老旧设备密码算法的兼容性匹配问题。
本发明所提供的配电网中数据传送业务的密码算法的协商方法,其包括如下步骤:
步骤1:数据发送节点向数据接收节点发送密码算法的协商请求;
步骤2:所述数据接收节点向所述数据发送节点发送其所支持的密码算法集合S2;
步骤3:所述数据发送节点对其所支持的密码算法集合S1与集合S2求交集以得到集合S;
步骤4:所述数据发送节点获取当前数据传送业务的业务安全标签,所述业务安全标签包括多个标志位;
步骤5:所述数据发送节点判断集合S是否满足所述业务安全标签中的第一标志位的要求,如果不满足要求,即停止协商,否则进入步骤6;
步骤6:所述数据发送节点获取集合S中每个密码算法的算法安全标签,首先选择标准模式,在该标准模式下,按照所述业务安全标签中的多个标志位的优先级顺序对集合S中的密码算法逐一进行筛选,得到标准匹配结果,然后判断所述标准匹配结果是否为空集,若不是空集,则取出其中的密码算法作为最终协商的密码算法,并转入步骤8;否则,记录筛选日志并进入步骤7,开始进一步匹配;
步骤7:所述数据发送节点切换到兼容模式,在该兼容模式下,根据步骤6所述的筛选日志,降低所述业务安全标签的标志位的数值,并更新所述业务安全标签,并按照所述标准模式的筛选方式启动进一步的筛选,直到得到最终协商的密码算法,并转入步骤8;
步骤8:所述数据发送节点将所述最终协商的密码算法发送给所述数据接收节点,协商结束。
优选地,所述业务安全标签标明了该业务对密码算法的安全需求,其格式为{isEmpty|isNationalCrypt|securityLevel|isEfficiencyPriority},其中,isEmpty是所述第一标志位且表示该业务是否至少需要一个密码算法,isNationalCrypt是第二标志位且表示该业务是否对国密算法标准有需求,securityLevel是第三标志位且表示该业务的密码算法所需的安全等级,isEfficiencyPriority是第四标志位且表示该业务是否优先考虑算法效率,isEmpty、isNationalCrypt、securityLevel和isEfficiencyPriority的优先级依次递减。
优选地,isEmpty、isNationalCrypt和isEfficiencyPriority分别使用0或者1来表示,securityLevel使用密钥长度的取值范围来进行安全等级划分。
优选地,在步骤5中,当isEmpty=1且集合S为空集时,则不满足所述要求。
优选地,所述算法安全标签标明了该密码算法的安全属性,其格式为{is_national_crypt|security_level|efficiency_level},其中,is_national_crypt是第五标志位且表示该密码算法是否为国密算法,security_level是第六标志位且表示该密码算法的安全等级,efficiency_level是第七标志位且表示该密码算法的效率等级。
优选地,is_national_crypt使用0或者1来表示,security_level使用密钥长度的取值范围来进行安全等级划分,efficiency_level使用权威评测机构的密码算法执行速度的取值范围来界定。
优选地,在所述标准模式下,筛选规则是按照所述业务安全标签中的多个标志位的优先级顺序进行匹配的,根据集合S中的密码算法的所述算法安全标签,首先对集合S经过isNationalCrypt筛选得到满足国密算法标准的一筛集合,判断所述一筛集合是否为空集,若不是空集,进入下一阶段的筛选,否则记录所述筛选日志并转入所述兼容模式;然后对所述一筛集合再经过securityLevel筛选得到满足所述业务安全标签规定的安全等级条件的二筛集合,然后判断所述二筛集合是否为空集,若不是空集,进入下一阶段的筛选,否则记录所述筛选日志并转入所述兼容模式;当isEfficiencyPriority=1时,则对所述二筛集合中的密码算法按效率级别进行排序,选择效率级别最高的算法作为最终协商的密码算法;当isEfficiencyPriority=0时,则从所述二筛集合中随机选择一种密码算法作为最终协商的密码算法。
优选地,在所述兼容模式下,所述数据发送节点根据所述筛选日志,首先判断所述一筛集合是否为空集,如果为空集,说明isNationalCrypt标志位所规定的条件过强,则将isNationalCrypt置为0,并更新所述业务安全标签,再按照所述标准模式的筛选方式对集合S重新筛选。如果所述一筛集合不是空集,且所述二筛集合为空集,说明securityLevel标志位所规定的条件过强,则将securityLevel降低一个级别,并更新所述业务安全标签,再使用所述标准模式的筛选方式对所述一筛集合进行筛选,直到所述二筛集合非空为止;最后,再根据isEfficiencyPriority标志位对所述二筛集合做最后的筛选,从而得到最终协商的密码算法。
本发明的有益效果在于:
1、根据本发明的配电网中数据传送业务的密码算法的协商方法,协商的标准取决于当前业务对要发送数据的安全性需求,与通信节点自身的密码算法优先级无关,能有效防止黑客利用通信节点的弱密码套件漏洞所造成的网络攻击;
2、本发明提供了两种密码算法匹配模式,即标准模式和兼容模式,能够根据待匹配密码算法集合的匹配结果灵活切换匹配模式,既保证了新型配电设备密码算法的快速匹配需求,也充分考虑了对老旧配电设备密码算法的兼容性匹配需求,易于实现向国密算法标准的过渡;
3、本发明所提供的业务安全标签中的标志位(或者参数)可以根据具体的网络设备情况,由管理人员灵活设置,便于配电设备的升级维护。
附图说明
图1为根据本发明的配电网中数据传送业务的密码算法的协商方法的总体流程图。
图2为标准模式下密码算法匹配过程的流程图。
图3为兼容模式下密码算法匹配过程的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例和附图,对本发明作进一步详细说明。
下面以配电主站到配电终端的控制命令传送业务所涉及的密码算法协商过程为实施例详述本发明。在描述本发明的具体实施方式之前,首先将做一些准备工作,以使相关概念更加具体、清楚。
所述控制命令传送业务包括两个子业务,即签名子业务和加密子业务,相应地,所述控制命令传送业务的业务安全标签包括两个部分:签名子业务的业务安全标签和加密子业务的业务安全标签,其数据格式均为{isEmpty|isNationalCrypt|securityLevel|isEfficiencyPriority}。其中,isEmpty是表示当前业务是否最少需要一个密码算法的标志位,用于判断配电主站和配电终端密码算法的交集是否为空集,如需要,则isEmpty置为1,否则为0;isNationalCrypt是表示当前业务是否要求为国密标准算法的标志位,如需要,则isNationalCrypt置为1,否则为0;securityLevel是表示当前业务的安全级别需求的标志位,可以使用密码算法的密钥长度范围来表示。对于数据加密算法,其密钥长度等于其分组长度;对于数字签名算法,其密钥长度稍复杂,与具体的密码体制和模数都有关系,例如,1024比特的RSA的安全级别和160比特的ECC相当,鉴于此,可以使用权威评测机构关于数字签名算法的评测标准来进行安全等级的划分。isEfficiencyPriority是表示密码算法是否需要效率优先的标志位,如需要,则isEfficiencyPriority置为1,否则为0。
例如,对于数字签名算法,根据密钥长度(相对于ECC算法)将安全级别设置为4个级别:密钥长度在0-60比特的为0级,密钥长度在60-120比特为1级,密钥长度在120-160比特为2级,密钥长度在160比特以上为3级。对于数据加密算法,不妨将安全等级划分为4个级别,密钥长度在0-40比特为0级,密钥长度在40-80比特为1级,密钥长度在80-120比特为2级,密钥长度在120比特以上为3级。需要注意的是,这里仅粗略地给出了一个安全等级划分的示例,在实际使用中,可以根据需要采用权威评测机构关于密码算法安全等级划分的标准。
对于所述控制命令传送业务,需要配电终端对来自配电主站的控制命令进行验证,在传输过程中还要保证报文的机密性,所以,根据上述定义方式,签名子业务的业务安全标签和加密子业务的业务安全标签的isEmpty标志位都应置为1;考虑国密算法标准为优先级,可以将签名子业务的业务安全标签和加密子业务的业务安全标签的isNationalCrypt标志位都置为1;目前ECC签名算法的推荐密钥长度至少为160比特,数据加密算法的推荐密钥长度为128比特,因此,可以将签名子业务的业务安全标签和加密子业务的业务安全标签的securityLevel标志位均设置为3;对于配电控制命令的传送的实时性要求较高,可以将签名子业务的业务安全标签和加密子业务的业务安全标签的isEfficiencyPriority标志位都置为1。这样,所述控制命令传送业务的业务安全标签就构造完成了,其中签名子业务的业务安全标签为{1|1|3|1},加密子业务的业务安全标签为{1|1|3|1},故所述控制命令传送业务的业务安全标签为{1|1|3|1}&{1|1|3|1},且所述两个子业务的业务安全标签所占用的存储空间均为5比特。
相应地,配电主站和配电终端的每一个所支持的密码算法都对应一个算法安全标签,该算法安全标签包括三个标志位,表明了该密码算法的安全属性,即{is_national_crypt|security_level|efficiency_level},其中,is_national_crypt是表示该密码算法是否为国密算法的标志位,security_level是表示该密码算法的安全等级的标志位,可以使用上述定义的由密钥长度的取值范围来界定。efficiency_level是表示该密码算法的效率等级的标志位,使用密码算法的执行速度来衡量,可以参考相关权威评测机构对密码算法执行速度的评测数据来对密码算法的效率级别进行划分。为了给出一个直观的示例,不妨将efficiency_level设置为4个级别,即0,1,2,3,其数值越大,表示该密码算法的执行速度越快。例如,根据上述示例中关于国密算法标准条件以及密码算法安全等级的定义知,AES-128不是国密算法,其安全级别为3,不妨设其效率级别为2,则AES-128的算法安全标签为{0|3|2}。又如SM4是国密算法,其安全级别为3,不妨设其效率级别为3,则SM4的算法安全标签为{1|3|3}。上述两个密码算法的算法安全标签所占用的存储空间均为5比特。
为了方便,不失一般性,按照上述定义方式,假设所述控制命令传送业务的业务安全标签为{1|1|3|1}&{1|1|3|1},且配电主站(以下简称“主站”)支持目前所有的密码算法,而某一配电终端(以下简称“终端”)所支持的签名算法集合为SS21={SA1,SA2,SA3,SA4,SA5},加密算法集合SS22={EA1,EA2,EA3,EA4,EA5},SS21中密码算法所对应的算法安全标签如表1所示,SS22中密码算法所对应的算法安全标签如表2所示:
表1
签名算法标识 签名算法的算法安全标签
SA1 {0|1|3}
SA2 {0|2|3}
SA3 {1|2|3}
SA4 {1|3|2}
SA5 {1|3 1}
表2
加密算法标识 加密算法的算法安全标签
EA1 {0|1|3}
EA2 {0|1|2}
EA3 {0|2|2}
EA4 {0|2|1}
EA5 {0|2|3}
准备工作完毕,下面将参照附图1、2和3来描述根据本发明的配电网中数据传送业务的密码算法的协商方法的一个具体实施方式,所述协商方法包括如下步骤:
步骤1:所述主站向所述终端发送密码算法协商请求;
步骤2:所述终端向所述主站发送其所支持的密码算法列表,包括签名算法集合SS21={SA1,SA2,SA3,SA4,SA5}和加密算法集合SS22={EA1,EA2,EA3,EA4,EA5};
步骤3:所述主站将其所支持的签名算法集合SS11与加密算法集合SS12分别与SS21和SS22求交集,得到SS1和SS2,由于假设所述主站支持所有密码算法,所以SS1=SS21,SS2=SS22;
步骤4:所述主站获取所述控制命令传送业务的业务安全标签{1|1|3|1}&{1|1|3|1};
步骤5:所述主站首先判断SS1和SS2是否满足所述业务安全标签的isEmpty标志位要求。由于该业务要求签名算法和加密算法都至少有一个,且SS1和SS2都不是空集,故满足要求,则进入步骤6;
步骤6:所述主站首先选择所述标准模式进行匹配,根据isNationalCrypt标志位来决定是否将国密算法标准作为筛选条件。执行国密算法标准的筛选条件之后,再根据securityLevel标志位对密码算法的安全等级进行筛选,最后再根据isEfficiencyPriority标志位的值决定是否由密码算法的效率等级对密码算法进行排序以选择效率最高的密码算法。
对于所述控制命令传送业务,其签名子业务的业务安全标签为{1|1|3|1},表示该子业务需要国密标准算法,安全等级最低需求为3,并且要求优先考虑密码算法效率。则对于待匹配的签名算法集合SS1,根据集合SS1中密码算法的算法安全标签,对集合SS1经过isNationalCrypt筛选得到所述一筛集合{SA3,SA4,SA5},该集合非空,再对所述一筛集合经过securityLevel筛选得到所述二筛集合{SA4,SA5},该集合也非空,经过密码算法效率排序之后,可知SA4的效率等级最高,故经过所述标准模式得到的所述标准匹配结果{SA4}不是空集,不需要进入兼容模式,故选择SA4作为最终协商的数字签名算法并转入步骤8。
另一方面,对于加密子业务的业务安全标签为{1|1|3|1},表示该子业务需要国密算法标准,安全等级最低需求为3,并且要求考虑优先考虑密码算法效率。对于待匹配的加密算法集合SS2,根据集合SS2中密码算法的算法安全标签,对集合SS2经过isNationalCrypt筛选得到的所述一筛集合为空集,可知所述终端不支持国密算法标准,因此需要放宽关于国密算法标准的要求,即切换到所述兼容模式,故记录所述筛选日志并转入步骤7。
步骤7:所述主站切换到所述兼容模式,查询所述筛选日志来判断所述一筛集合是否为空集,如果为空集,则将isNationalCrypt置为0,即将所述加密子业务安全标签更新为{1|0|3|1},并按照所述标准模式的筛选方式对集合SS2重新筛选,则所述一筛集合更新为{EA1,EA2,EA3,EA4,EA5},然后对所述一筛集合经过securityLevel筛选得到所述二筛集合,所述二筛集合也为空集,说明安全等级要求过高,需将安全等级降低一个级别,即将所述加密子业务的业务安全标签更新为{1|0|2|1},再对所述一筛集合按更新后的securityLevel条件再次筛选得到所述二筛集合{EA3,EA4,EA5},最后经过密码算法效率排序之后知,EA5的效率等级最高,则得到最终协商的数据加密算法EA5并转入步骤8;
步骤8:所述主站将上述最终协商的数字签名算法SA4和数据加密算法EA5合并得到{SA4,EA5}并发送到所述终端,协商结束。
本发明所提供的配电网中数据传送业务的密码算法的协商方法,每一项数据传送业务都对应一个业务安全标签,每一个待匹配的密码算法都对应一个算法安全标签。本发明所述的所述业务安全标签和算法安全标签可预置在设备本地,不需要在线传输。
本发明设计了两种匹配模式:标准模式和兼容模式。所述标准模式是将所述业务安全标签作为密码算法筛选条件的严格匹配模式,所述业务安全标签中的标志位规定了待匹配的密码算法所应达到的最低标准,匹配时需按照所述业务安全标签的优先级顺序逐一筛选以选择最优的算法。所述兼容模式是在所述标准模式下匹配结果为空集时,根据所述标准模式产生的筛选日志信息,适当地降低所述业务安全标签中相应标志位的参数,以使待匹配的密码算法尽可能达到所述业务安全标签所设定的标准。
本发明所提供的配电网中数据传送业务的密码算法的协商方法,适用于配电网中任意两个通信设备之间密码算法的协商过程,例如:配电主站到配电终端的控制命令传送业务所涉及的密码算法协商过程、配电子站之间的数据转发业务所涉及的密码算法协商过程等。因此,为了不失一般性,根据数据的流向,本发明步骤中所涉及的两个通信实体,一个称作数据发送节点,另一个称作数据接收节点。注意到,配电网络中主要涉及两类密码算法(数字签名算法和数据加密算法)的协商,为了便于描述本发明的协商方法,仅针对同一类密码算法设计其协商方法,但其思想很容易扩展到两类及以上的密码算法协商过程,这些扩展和改进也应视为本发明的保护范围,故本发明不再强调针对哪一类算法,简称密码算法。
应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干修改和变化。例如,本发明的业务安全标签和算法安全标签并不限于本说明书的具体实施例中所述的具体格式,而且其中的标志位的数量和判断条件也不限于具体实施例中所述的数量和判断条件,并且标志位置为1或者0均是可以人为设定的,本领域的普通技术人员都可以根据实际的技术需要进行变化。进一步地,在不脱离本发明的发明构思和原理的前提下,本领域的技术人员均可以明白,本发明要求保护的协商方法的步骤的顺序并不限于具体实施例中所述的顺序,而是可以根据实际需要进行变化,这些修改和变化均落入本发明的保护范围。

Claims (10)

1.一种配电网中数据传送业务的密码算法的协商方法,其特征在于,该方法包括如下步骤:
步骤1:数据发送节点向数据接收节点发送密码算法的协商请求;
步骤2:所述数据接收节点向所述数据发送节点发送其所支持的密码算法集合S2;
步骤3:所述数据发送节点对其所支持的密码算法集合S1与集合S2求交集以得到集合S;
步骤4:所述数据发送节点获取当前数据传送业务的业务安全标签,所述业务安全标签包括多个标志位;
步骤5:所述数据发送节点判断集合S是否满足所述业务安全标签中的第一标志位的要求,如果不满足要求,即停止协商,否则进入步骤6;
步骤6:所述数据发送节点获取集合S中每个密码算法的算法安全标签,首先选择标准模式,在该标准模式下,按照所述业务安全标签中的多个标志位的优先级顺序,并根据集合S中每个密码算法的算法安全标签,对集合S中的密码算法逐一进行筛选,得到标准匹配结果,然后判断所述标准匹配结果是否为空集,若不是空集,则取出其中的密码算法作为最终协商的密码算法,并转入步骤8;否则,记录筛选日志并进入步骤7,开始进一步匹配;
步骤7:所述数据发送节点切换到兼容模式,在该兼容模式下,根据步骤6所述的筛选日志,降低所述业务安全标签的标志位的数值,并更新所述业务安全标签,并按照所述标准模式的筛选方式启动进一步的筛选,直到得到最终协商的密码算法,并转入步骤8;
步骤8:所述数据发送节点将所述最终协商的密码算法发送给所述数据接收节点,协商结束。
2.根据权利要求1所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,所述业务安全标签标明了该业务对密码算法的安全需求,其格式为{isEmpty|isNationalCrypt|securityLevel|isEfficiencyPriority},其中,isEmpty是所述第一标志位且表示该业务是否至少需要一个密码算法,isNationalCrypt是第二标志位且表示该业务是否对国密算法标准有需求,securityLevel是第三标志位且表示该业务的密码算法所需的安全等级,isEfficiencyPriority是第四标志位且表示该业务是否优先考虑算法效率,isEmpty、isNationalCrypt、securityLevel和isEfficiencyPriority的优先级依次递减。
3.根据权利要求2所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,isEmpty、isNationalCrypt和isEfficiencyPriority分别使用0或者1来表示,securityLevel使用密钥长度的取值范围来进行安全等级划分。
4.根据权利要求3所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,在步骤5中,当isEmpty=1且集合S为空集时,则不满足所述要求。
5.根据权利要求4所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,所述算法安全标签标明了该密码算法的安全属性,其格式为{is_national_crypt|security_level|efficiency_level},其中,is_national_crypt是第五标志位且表示该密码算法是否为国密算法,security_level是第六标志位且表示该密码算法的安全等级,efficiency_level是第七标志位且表示该密码算法的效率等级。
6.根据权利要求5所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,is_national_crypt使用0或者1来表示,security_level使用密钥长度的取值范围来进行安全等级划分,efficiency_level使用权威评测机构的密码算法执行速度的取值范围来界定。
7.如权利要求6所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,在所述标准模式下,筛选规则是按照所述业务安全标签中的多个标志位的优先级顺序进行匹配的,根据集合S中的密码算法的所述算法安全标签,首先对集合S经过isNationalCrypt筛选得到满足国密算法标准的一筛集合,判断所述一筛集合是否为空集,若不是空集,进入下一阶段的筛选,否则记录所述筛选日志并转入所述兼容模式;然后对所述一筛集合再经过securityLevel筛选得到满足所述业务安全标签规定的安全等级条件的二筛集合,然后判断所述二筛集合是否为空集,若不是空集,进入下一阶段的筛选,否则记录所述筛选日志并转入所述兼容模式;当isEfficiencyPriority=1时,则对所述二筛集合中的密码算法按效率级别进行排序,选择效率级别最高的密码算法作为最终协商的密码算法;当isEfficiencyPriority=0时,则从所述二筛集合中随机选择一种密码算法作为最终协商的密码算法。
8.如权利要求7所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,在所述兼容模式下,所述数据发送节点根据所述筛选日志,首先判断所述一筛集合是否为空集,如果为空集,说明isNationalCrypt标志位所规定的条件过强,则将isNationalCrypt置为0,并更新所述业务安全标签,再按照所述标准模式的筛选方式对集合S重新筛选,如果所述一筛集合不是空集,且所述二筛集合为空集,说明securityLevel标志位所规定的条件过强,则将securityLevel降低一个级别,并更新所述业务安全标签,再使用所述标准模式的筛选方式对所述一筛集合进行筛选,直到所述二筛集合非空为止;最后,再根据isEfficiencyPriority标志位对所述二筛集合做最后的筛选,从而得到最终协商的密码算法。
9.根据权利要求1所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,所述业务安全标签和所述算法安全标签预置在设备本地。
10.根据权利要求1所述的配电网中数据传送业务的密码算法的协商方法,其特征在于,每一项所述数据传送业务都对应一个所述业务安全标签,每一个待匹配的密码算法都对应一个所述算法安全标签。
CN201710385174.8A 2017-05-26 2017-05-26 一种配电网中数据传送业务的密码算法的协商方法 Active CN107302428B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710385174.8A CN107302428B (zh) 2017-05-26 2017-05-26 一种配电网中数据传送业务的密码算法的协商方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710385174.8A CN107302428B (zh) 2017-05-26 2017-05-26 一种配电网中数据传送业务的密码算法的协商方法

Publications (2)

Publication Number Publication Date
CN107302428A CN107302428A (zh) 2017-10-27
CN107302428B true CN107302428B (zh) 2020-06-30

Family

ID=60137232

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710385174.8A Active CN107302428B (zh) 2017-05-26 2017-05-26 一种配电网中数据传送业务的密码算法的协商方法

Country Status (1)

Country Link
CN (1) CN107302428B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10764328B2 (en) 2017-11-03 2020-09-01 International Business Machines Corporation Altering cipher and key within an established session
CN109450854A (zh) * 2018-10-11 2019-03-08 珠海许继芝电网自动化有限公司 一种配电终端通信安全防护方法及系统
CN110300108A (zh) * 2019-06-26 2019-10-01 国网山东省电力公司临朐县供电公司 一种配电自动化报文加密传输方法、系统、终端及存储介质
CN115643102A (zh) * 2022-10-31 2023-01-24 西安优光谱信息科技有限公司 一种基于平台通讯流程的数据处理方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064719A (zh) * 2006-04-27 2007-10-31 华为技术有限公司 Pon系统中加密算法协商方法
CN101162992B (zh) * 2007-09-29 2010-05-19 中国人民解放军信息工程大学 容忍入侵的密码协议安全运行防护方法和系统
US8762741B2 (en) * 2009-01-29 2014-06-24 Microsoft Corporation Privacy-preserving communication
CN102055733B (zh) * 2009-10-30 2013-08-07 华为技术有限公司 协商业务承载隧道的方法、设备及系统
CN104660583B (zh) * 2014-12-29 2018-05-29 国家电网公司 一种基于Web加密服务的加密服务方法
CN104573535B (zh) * 2015-01-04 2019-08-16 努比亚技术有限公司 一种移动终端及其提高加密效率的方法和装置
WO2017075410A1 (en) * 2015-10-30 2017-05-04 Convida Wireless, Llc System and methods for achieving end-to-end security for hop-by-hop services
CN105530090A (zh) * 2015-12-31 2016-04-27 中国建设银行股份有限公司 密钥协商的方法及设备

Also Published As

Publication number Publication date
CN107302428A (zh) 2017-10-27

Similar Documents

Publication Publication Date Title
CN107302428B (zh) 一种配电网中数据传送业务的密码算法的协商方法
CN107770182B (zh) 家庭网关的数据存储方法及家庭网关
CN101867530A (zh) 基于虚拟机的物联网网关系统及数据交互方法
WO2023024617A1 (zh) 用于设备配网的方法及装置、服务器、智能家电设备、终端设备
CN101296138B (zh) 一种无线终端配置生成方法、系统及其装置
CN110300108A (zh) 一种配电自动化报文加密传输方法、系统、终端及存储介质
CN112583833A (zh) 一种数据加密处理方法、装置、电子设备及存储介质
CN106960166A (zh) 一种基于分布式总账技术的智能插座管理系统及其方法
US20140115154A1 (en) Linked Identifiers for Multiple Domains
CN111404886A (zh) 一种电力计量终端和电力计量平台
CN105282735A (zh) 基于移动终端联网使用的隐私保护方法和保护系统
CN113923655A (zh) 基于相邻节点的数据解密接收方法及装置
CN113132976B (zh) 一种分布式无线通信配电网差动保护方法及系统
CN113992427A (zh) 基于相邻节点的数据加密发送方法及装置
CN114375036A (zh) 用于5g网络的数据同步的方法及装置、udm设备、存储介质
CN102075540A (zh) 一种同轴以太网系统中的白名单配置方法及装置
CN117041375A (zh) 一种基于数据服务总线的跨域传输安全管理方法
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备
CN110875945B (zh) 用于在通用服务实体上进行任务处理的方法、装置和介质
CN109560917B (zh) 一种qkd方法、设备及系统
CN103888947A (zh) 一种无线接入网元的控制方法及系统
CN103986692A (zh) 基于无线接入点的数据转发方法及系统
EP3562194B1 (en) Method for identifying at least one network slice configuration of a mobile network, communication system, and automation system
CN107295015B (zh) 一种交通信号机通信方法
CN105610599A (zh) 用户数据管理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100070 Fengtai District, Feng Feng Road, the era of wealth on the 1st floor of the world's 28 floor, Beijing

Applicant after: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd.

Applicant after: STATE GRID CORPORATION OF CHINA

Applicant after: RESEARCH INSTITUTE OF ECONOMICS AND TECHNOLOGY, STATE GRID SHANDONG ELECTRIC POWER Co.

Applicant after: Beijing University of Posts and Telecommunications

Applicant after: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd.

Applicant after: STATE GRID SHANXI ELECTRIC POWER COMPANY INFORMATION & TELECOMMUNICATION BRANCH

Address before: 100070 Fengtai District, Feng Feng Road, the era of wealth on the 1st floor of the world's 28 floor, Beijing

Applicant before: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd.

Applicant before: State Grid Corporation of China

Applicant before: RESEARCH INSTITUTE OF ECONOMICS AND TECHNOLOGY, STATE GRID SHANDONG ELECTRIC POWER Co.

Applicant before: Beijing University of Posts and Telecommunications

Applicant before: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd.

Applicant before: STATE GRID SHANXI ELECTRIC POWER COMPANY INFORMATION & TELECOMMUNICATION BRANCH

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20190723

Address after: 100085 Beijing city Haidian District Qinghe small Camp Road No. 15

Applicant after: BEIJING CHINA POWER INFORMATION TECHNOLOGY Co.,Ltd.

Applicant after: STATE GRID CORPORATION OF CHINA

Applicant after: RESEARCH INSTITUTE OF ECONOMICS AND TECHNOLOGY, STATE GRID SHANDONG ELECTRIC POWER Co.

Applicant after: Beijing University of Posts and Telecommunications

Applicant after: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd.

Applicant after: STATE GRID SHANXI ELECTRIC POWER COMPANY INFORMATION & TELECOMMUNICATION BRANCH

Address before: 100070 Fengtai District, Feng Feng Road, the era of wealth on the 1st floor of the world's 28 floor, Beijing

Applicant before: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd.

Applicant before: STATE GRID CORPORATION OF CHINA

Applicant before: RESEARCH INSTITUTE OF ECONOMICS AND TECHNOLOGY, STATE GRID SHANDONG ELECTRIC POWER Co.

Applicant before: Beijing University of Posts and Telecommunications

Applicant before: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd.

Applicant before: STATE GRID SHANXI ELECTRIC POWER COMPANY INFORMATION & TELECOMMUNICATION BRANCH

GR01 Patent grant
GR01 Patent grant