CN107733747A - 面向多业务承载的公共通信接入系统 - Google Patents
面向多业务承载的公共通信接入系统 Download PDFInfo
- Publication number
- CN107733747A CN107733747A CN201710627563.7A CN201710627563A CN107733747A CN 107733747 A CN107733747 A CN 107733747A CN 201710627563 A CN201710627563 A CN 201710627563A CN 107733747 A CN107733747 A CN 107733747A
- Authority
- CN
- China
- Prior art keywords
- key
- great
- client
- private network
- algorithms
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 101
- 238000001914 filtration Methods 0.000 claims abstract description 19
- 238000004519 manufacturing process Methods 0.000 claims abstract description 17
- 230000003287 optical effect Effects 0.000 claims abstract description 4
- 238000000034 method Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 17
- 238000009826 distribution Methods 0.000 claims description 7
- 238000001629 sign test Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 230000015572 biosynthetic process Effects 0.000 claims description 3
- 230000007257 malfunction Effects 0.000 claims description 3
- 230000001932 seasonal effect Effects 0.000 claims description 3
- 238000003786 synthesis reaction Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 25
- 238000005516 engineering process Methods 0.000 description 8
- 230000005611 electricity Effects 0.000 description 5
- 238000000926 separation method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2858—Access network architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种面向多业务承载的公共通信接入系统,包括通过有线专网接入生产控制大区和管理信息大区的终端,以及通过无线公网及电力无线专网接入管理信息大区信息内网的各接入终端及设备,其特征在于:还包括有将各终端及设备分别通过安全接入单元经光终端设备OLT、或工业以太网、或无线专网接入有线专网,有线专网连接多业务通信接入网关,生产控制大区及管理信息大区信息内网分别通过不同大区的过滤交换组件与多业务通信接入网关相连。本发明接入方案对安全接入单元进行改造,通过扩展无线协议,增加了无线专网与无线公网的接入功能。
Description
技术领域
本发明涉及一种接入系统,特别是一种面向多业务承载的公共通信接入系统。
背景技术
终端通信接入网是电力系统骨干通信网络的延伸,采用多种通信技术 ,由10kV通信接入网和0.4kV通信接入网两部分组成。其中,10kV通信接入网承载配电自动化接入通信、用电信息采集远程通信、电动汽车充电站(桩)通信、分布式电源接入通信等业务,0.4kV通信接入网承载用电信息采集本地通信、光纤到户等业务,这些业务具有点多面广、接入情况复杂的特点。
随着业务终端规模迅速增长,特别是分布式电源、电动汽车充电站(桩)等新兴业务快速发展,接入网组网方式和承载业务及规模发生了较大变化、安全风险不断增加,在此形式下,研究哪些为核心保护对象、在安全方面付出多大经济及性能代价,找出适当的安全性平衡点是棘手的、却完全必要的。而且,公司运检部门存在生产管理类业务发展需求,公司营销部门存在负荷管理需求,较为简单的措施是采取独立建设接入网方式。如果不深入研究新形势下的安全策略,可能会造成接入网经济投入大、安全防护水平低,乃至建设完成短期内无法再增加安全改造的后果。为保证安全防护措施与接入网、业务系统同步规划、同步建设、同步运行,提前布局接入网信息安全防护框架,在新形势下保证接入网及多业务承载的安全,是亟需研究的问题。
发明内容
本发明的目的在于克服现有技术的不足之处,而提供一种以多业务综合承载、信息安全防护与网络资源调度的关键技术为基础,在与已建终端通信接入网多网络架构的基础上,采用同一张物理网络承载不同安全大区的业务,研究了基于EPON、工业以太网、尤其是无线专网技术的电力业务共网承载技术,在原有基础上,遵照《配电监控系统安全防护方案》要求,采取分层、分区的防护策略,针对不同业务的带宽、实时性、数据安全性等需求,开展公共通信接入平台关键设备和业务隔离与安全防护设计的面向多业务承载的公共通信接入系统。
一种面向多业务承载的公共通信接入系统,包括通过有线专网接入生产控制大区和管理信息大区的终端,以及通过无线公网及电力无线专网接入管理信息大区信息内网的各接入终端及设备,其特征在于:还包括有将各终端及设备分别通过安全接入单元经光终端设备OLT、或工业以太网、或无线专网接入有线专网,有线专网连接多业务通信接入网关,生产控制大区及管理信息大区信息内网分别通过不同大区的过滤交换组件与多业务通信接入网关相连。
一种面向多业务承载的公共通信接入系统,包括有通过有线专网接入生产控制大区和管理信息大区的终端,以及通过无线公网及电力无线专网接入管理信息大区信息内网的各接入终端及设备,其特征在于:还包括有将各终端及设备分别通过安全接入单元经光终端设备OLT、或工业以太网、或无线专网接入多业务通信接入网关,多业务通信接入网关连接不同大区的两过滤交换组件,两过滤交换组件分别与有线专网相连,有线专网则与生产控制大区及管理信息大区信息内网相连。
本发明的面向多业务承载的公共通信接入系统,增设了两种接入模式,一种将多业务通信接入网关、过滤交换组件在接入层部署,物理位置位于接入网变电站汇聚侧,多业务通信接入网关下联OLT、工业交换机或无线专网基站等汇聚侧网络通信终端或设备,上联生产控制大区和管理信息大区的过滤交换组件。过滤交换组件对网络数据分离后,将生产控制大区相关的网络通信数据,通过原有传输网络传送至相关生产控制大区业务前置机;管理信息大区相关网络通信数据通过综合数据网接入相关管理大区业务前置机。另一种将多业务通信接入网关、过滤交换组件在地市公司主站层部署,配电自动化通过专线独立组网并在地市汇聚后接入到多业务通信接入网关,过滤交换组件对网络数据分离后,将生产控制大区相关的网络通信数据,传送至相关生产控制大区业务前置机;将管理信息大区相关网络通信数据传送至相关管理大区业务前置机。
通过终端通信网多业务通信接入管理系统实现对安全接入单元、多业务通信接入网关、过滤交换组件的统一管理,由此进行端到端的通信链路安全监控、威胁告警、统一配置策略管理和审计汇总及通信资源运行情况分析、多业务接入动态展示。通过终端通信网多业务通信接入管理系统,对不同业务的安全要求,设置不同的安全防护策略,实现业务的分级保护。同时,通过数据接口与GIS、TMS等应用系统横向集成,实现配用电业务系统、电力无线专网管理系统和多业务通信接入平台的数据集成应用与关联分析;运维管理人员通过信息内网访问多业务通信接入管理系统。多业务通信接入网关通过与安全接入单元建立基于双向身份认证的VPN传输隧道,在两者之间建立双向加密隧道来保障数据通讯安全,同时实现不同业务数据的通道隔离,并对安全接入单元进行访问控制。对业务分别建立隧道,在通信通道隔离方面,使用IPsec-VPN技术实现业务隧道间的强逻辑隔离,同时基于隧道颁发证书,在隧道隔离的同时实现各类业务的安全通信认证;在通信数据安全方面,首先通过证书将配用电业务分组,多业务通信接入网关能够根据数字证书区分配用电业务,解决报文在加密状态下,业务分组识别的问题,其次使用动态密钥协商机制,保证了密钥的安全性,同时还采用国密算法,实现终端与多业务通信接入平台间数据的安全传输,确保了数据的机密性、完整性、抗抵赖性。
过滤交换组件对不同业务的通信规约进行特征识别、报文数据过滤和攻击识别阻断,确保不同大区的业务终端安全访问相应的业务主站,对业务网边界的数据交换进行精准控制,防止非法网络链接穿透到业务主站。对进入接入网的数据进行访问控制,在主站边界处实现以信息流为单位的数据内容解析,防止非法数据穿透主站,严格限制业务终端可以访问的应用。
安全接入单元与配电、用电等业务终端相连,采用协议控制技术、双向访问控制技术等技术,对终端进行访问控制、报文内容过滤和端口通道阻断等功能,与多业务通信接入网关实现基于业务的双向数字证书认证、根据不同的业务建立独立的加密数据传输隧道,实现不同业务数据的通道隔离、业务终端的网络接入准入控制、网络攻击阻断。
所述的各终端及设备包括有配电自动化终端、分布式电源并网一体化装置、用电信息采集设备、分布式电源计量终端及充电桩通信终端。
所述的安全接入单元和多业务通信接入网关之间的通信协议采用三级密钥体系,包括保护密钥、协商密钥和会话密钥。
安全通信协议采用三级密钥体系,包括保护密钥、协商密钥和会话密钥,该体系可以保证关键数据的安全、密钥传输的安全。
保护密钥为对称密钥,用于对协商密钥进行加密保护,保护密钥至少三个,以便泄露时及时地更换。
协商密钥为非对称密钥,由加密卡产生,用于设备的认证和会话密钥的协商,存储在加密卡中,暴力拆除加密卡将毁钥。
会话密钥为对称密钥,用于通信的加密,每次通信的会话密钥均为临时密钥,会话拆除后失效。
安全通信协议的流程为:
步骤10:客户端和服务端建立初始化连接;
步骤20:客户端发送会话密钥协商请求,服务端接受会话密钥协商请求,则执行步骤30,如果服务端不接受会话密钥协商请求,则过程结束,重新执行步骤10;
步骤30:客户端和服务端进行会话密钥协商,会话密钥协商成功,则执行步骤40,会话密钥协商失败,则过程结束,重新执行步骤10;
步骤40:客户端发送客户端设备信息等用于身份认证,如果认证失败,则过程结束,重新执行步骤10;如果认证成功,则执行步骤50;
步骤50:客户端和服务端进行加密通信,如果出错,则过程结束,重新执行步骤10;如果没有出错,则客户端和服务端继续进行加密通信。
进一步,所述步骤30中的会话密钥协商包括以下步骤:
步骤301:客户端产生随机数r1,同时产生包括ECert2(r1)和ESkey1(H(r1))的密钥协商信息A,并将密钥协商信息A发送到服务端;其中r1为随机数,ECert2(r1)为利用SM2算法对r1进行公钥加密后的值,H(r1)为利用SM3算法对r1进行哈希算法后的值,ESkey1(H(r1))为利用SM2算法对r1进行签名后的签名值;
步骤302:服务端利用SM2算法对A中的ECert2(r1)解密并利用SM2算法将解密后的内容与A中的签名值ESkey1(H(r1))进行验签;同时产生随机数r2,产生包含ECert1(r2)和ESkey2(H(r2))的密钥协商信息B,并将密钥协商信息B发送到客户端;同时将随机数r1和随机数r2合成会话密钥DK,DK=r1⊕r2; 其中ECert1(r2)为利用SM2算法对r2进行公钥加密后的值,H(r2)为利用SM3算法对r2进行哈希算法后的值,Eskey2(H(r2))为利用SM2算法对r2进行签名后的签名值;DK为随机数r1和r2的异或值;
步骤303:客户端利用SM2算法对B中的 ECert1(r2)解密并利用SM2算法将解密后的内容与B中签名值ESkey2(H(r2))进行验签;同时将随机数r1和随机数r2合成会话密钥DK,DK=r1⊕r2,同时令C=H(r1⊕r2),并将C发送到服务端;其中C为利用SM3算法对随机数r1和r2的异或值进行哈希算法后的值;
步骤304:服务端令D=H(r1⊕r2),同时接受客户端发来的C,并比较C与D是否相同,若相同,则客户端和服务端成功完成密钥协商,并持有会话密钥DK;若不同,则服务端给出协商失败告警信息,通知客户端,则过程结束,重新执行步骤10。
由于密钥协商过程中的r1和r2都是随机生成的随机数,所以本项目提供的方法实现了客户端和服务端间基于专用密码算法的密钥协商功能,实现动态密钥协商、密钥更换、密钥销毁等功能。
进一步,所述步骤30中的加密协商和身份认证基于SM2算法和SM3算法进行。
进一步,所述步骤40中对客户端和服务端之间通信的数据进行基于SM1算法的加解密操作后通信,从而实现加密通信。进行数据通信的时候,双方都将对应用层的数据报文使用SM1算法进行加解密,对数据实现了基于硬件密码算法的链路级加密功能。
综上所述的,本发明相比现有技术如下优点:
该多业务通信接入方案对安全接入单元进行改造,通过扩展无线协议,增加了无线专网与无线公网的接入功能。对多业务通信接入网关和安全接入单元的安全性功能进行强化设计,使其由原来“网关-网关”模式的安全加密隧道细化为“业务-业务”的安全加密隧道,并根据不同的隧道实现了存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于国密算法的数据机密性。同时提供了网络通信安全风险控制、综合安全审计在内的多种安全控制功能。
附图说明
图1是本发明的面向多业务承载的公共通信接入系统架构图。
具体实施方式
下面结合实施例对本发明进行更详细的描述。
实施例1
一种面向多业务承载的公共通信接入系统,包括通过有线专网接入生产控制大区和管理信息大区的终端,以及通过无线公网及电力无线专网接入管理信息大区信息内网的各接入终端及设备,其特征在于:还包括有将各终端及设备分别通过安全接入单元经光终端设备OLT、或工业以太网、或无线专网接入有线专网,有线专网连接多业务通信接入网关,生产控制大区及管理信息大区信息内网分别通过不同大区的过滤交换组件与多业务通信接入网关相连。所述的各终端及设备包括有配电自动化终端、分布式电源并网一体化装置、用电信息采集设备、分布式电源计量终端及充电桩通信终端。所述的安全接入单元和多业务通信接入网关之间的通信协议采用三级密钥体系,包括保护密钥、协商密钥和会话密钥。安全通信协议采用三级密钥体系,包括保护密钥、协商密钥和会话密钥,该体系可以保证关键数据的安全、密钥传输的安全。保护密钥为对称密钥,用于对协商密钥进行加密保护,保护密钥至少三个,以便泄露时及时地更换。协商密钥为非对称密钥,由加密卡产生,用于设备的认证和会话密钥的协商,存储在加密卡中,暴力拆除加密卡将毁钥。会话密钥为对称密钥,用于通信的加密,每次通信的会话密钥均为临时密钥,会话拆除后失效。
安全通信协议的流程主要包括以下步骤:
步骤10:客户端和服务端建立初始化连接;
步骤20:客户端发送会话密钥协商请求,服务端接受会话密钥协商请求,则执行步骤30,如果服务端不接受会话密钥协商请求,则过程结束,重新执行步骤10;
步骤30:客户端和服务端进行会话密钥协商,会话密钥协商成功,则执行步骤40,会话密钥协商失败,则过程结束,重新执行步骤10;
步骤40:客户端发送客户端设备信息等用于身份认证,如果认证失败,则过程结束,重新执行步骤10;如果认证成功,则执行步骤50;
步骤50:客户端和服务端进行加密通信,如果出错,则过程结束,重新执行步骤10;如果没有出错,则客户端和服务端继续进行加密通信。
进一步,所述步骤30中的会话密钥协商包括以下步骤:
步骤301:客户端产生随机数r1,同时产生包括ECert2(r1)和ESkey1(H(r1))的密钥协商信息A,并将密钥协商信息A发送到服务端;其中r1为随机数,ECert2(r1)为利用SM2算法对r1进行公钥加密后的值,H(r1)为利用SM3算法对r1进行哈希算法后的值,ESkey1(H(r1))为利用SM2算法对r1进行签名后的签名值;
步骤302:服务端利用SM2算法对A中的ECert2(r1)解密并利用SM2算法将解密后的内容与A中的签名值ESkey1(H(r1))进行验签;同时产生随机数r2,产生包含ECert1(r2)和ESkey2(H(r2))的密钥协商信息B,并将密钥协商信息B发送到客户端;同时将随机数r1和随机数r2合成会话密钥DK,DK=r1⊕r2; 其中ECert1(r2)为利用SM2算法对r2进行公钥加密后的值,H(r2)为利用SM3算法对r2进行哈希算法后的值,Eskey2(H(r2))为利用SM2算法对r2进行签名后的签名值;DK为随机数r1和r2的异或值;
步骤303:客户端利用SM2算法对B中的 ECert1(r2)解密并利用SM2算法将解密后的内容与B中签名值ESkey2(H(r2))进行验签;同时将随机数r1和随机数r2合成会话密钥DK,DK=r1⊕r2,同时令C=H(r1⊕r2),并将C发送到服务端;其中C为利用SM3算法对随机数r1和r2的异或值进行哈希算法后的值;
步骤304:服务端令D=H(r1⊕r2),同时接受客户端发来的C,并比较C与D是否相同,若相同,则客户端和服务端成功完成密钥协商,并持有会话密钥DK;若不同,则服务端给出协商失败告警信息,通知客户端,则过程结束,重新执行步骤10。
由于密钥协商过程中的r1和r2都是随机生成的随机数,所以本项目提供的方法实现了客户端和服务端间基于专用密码算法的密钥协商功能,实现动态密钥协商、密钥更换、密钥销毁等功能。
进一步,所述步骤30中的加密协商和身份认证基于SM2算法和SM3算法进行。
进一步,所述步骤40中对客户端和服务端之间通信的数据进行基于SM1算法的加解密操作后通信,从而实现加密通信。进行数据通信的时候,双方都将对应用层的数据报文使用SM1算法进行加解密,对数据实现了基于硬件密码算法的链路级加密功能。
本实施例未述部分与现有技术相同。
实施例2
一种面向多业务承载的公共通信接入系统,包括有通过有线专网接入生产控制大区和管理信息大区的终端,以及通过无线公网及电力无线专网接入管理信息大区信息内网的各接入终端及设备,还包括有将各终端及设备分别通过安全接入单元经光终端设备OLT、或工业以太网、或无线专网接入多业务通信接入网关,多业务通信接入网关连接不同大区的两过滤交换组件,两过滤交换组件分别与有线专网相连,有线专网则与生产控制大区及管理信息大区信息内网相连。
本实施例未述部分与实施例1相同。
Claims (10)
1.一种面向多业务承载的公共通信接入系统,包括通过有线专网接入生产控制大区和管理信息大区的终端,以及通过无线公网及电力无线专网接入管理信息大区信息内网的各接入终端及设备,其特征在于:还包括有将各终端及设备分别通过安全接入单元经光终端设备OLT、或工业以太网、或无线专网接入有线专网,有线专网连接多业务通信接入网关,生产控制大区及管理信息大区信息内网分别通过不同大区的过滤交换组件与多业务通信接入网关相连。
2.一种面向多业务承载的公共通信接入系统,包括有通过有线专网接入生产控制大区和管理信息大区的终端,以及通过无线公网及电力无线专网接入管理信息大区信息内网的各接入终端及设备,其特征在于:还包括有将各终端及设备分别通过安全接入单元经光终端设备OLT、或工业以太网、或无线专网接入多业务通信接入网关,多业务通信接入网关连接不同大区的两过滤交换组件,两过滤交换组件分别与有线专网相连,有线专网则与生产控制大区及管理信息大区信息内网相连。
3.根据权利要求1与2的面向多业务承载的公共通信接入系统,其特征在于:所述的各终端及设备包括有配电自动化终端、分布式电源并网一体化装置、用电信息采集设备、分布式电源计量终端及充电桩通信终端。
4.根据权利要求3的面向多业务承载的公共通信接入系统,其特征在于:所述的安全接入单元和多业务通信接入网关之间的通信协议采用三级密钥体系,包括保护密钥、协商密钥和会话密钥。
5.根据权利要求4的面向多业务承载的公共通信接入系统,其特征在于:保护密钥为对称密钥,用于对协商密钥进行加密保护,保护密钥至少三个,以便泄露时及时地更换。
6.根据权利要求5的面向多业务承载的公共通信接入系统,其特征在于:协商密钥为非对称密钥,由加密卡产生,用于设备的认证和会话密钥的协商,存储在加密卡中,暴力拆除加密卡将毁钥。
7.根据权利要求6的面向多业务承载的公共通信接入系统,其特征在于:会话密钥为对称密钥,用于通信的加密,每次通信的会话密钥均为临时密钥,会话结束后失效。
8.根据权利要求7的面向多业务承载的公共通信接入系统,其特征在于:安全通信协议的流程为:
步骤10:客户端和服务端建立初始化连接;
步骤20:客户端发送会话密钥协商请求,服务端接受会话密钥协商请求,则执行步骤30,如果服务端不接受会话密钥协商请求,则过程结束,重新执行步骤10;
步骤30:客户端和服务端进行会话密钥协商,会话密钥协商成功,则执行步骤40,会话密钥协商失败,则过程结束,重新执行步骤10;
步骤40:客户端发送客户端设备信息等用于身份认证,如果认证失败,则过程结束,重新执行步骤10;如果认证成功,则执行步骤50;
步骤50:客户端和服务端进行加密通信,如果出错,则过程结束,重新执行步骤10;如果没有出错,则客户端和服务端继续进行加密通信。
9.根据权利要求8的面向多业务承载的公共通信接入系统,其特征在于:所述步骤30中的会话密钥协商包括以下步骤:
步骤301:客户端产生随机数r1,同时产生包括ECert2(r1)和ESkey1(H(r1))的密钥协商信息A,并将密钥协商信息A发送到服务端;其中r1为随机数,ECert2(r1)为利用SM2算法对r1进行公钥加密后的值,H(r1)为利用SM3算法对r1进行哈希算法后的值,ESkey1(H(r1))为利用SM2算法对r1进行签名后的签名值;
步骤302:服务端利用SM2算法对A中的ECert2(r1)解密并利用SM2算法将解密后的内容与A中的签名值ESkey1(H(r1))进行验签;同时产生随机数r2,产生包含ECert1(r2)和ESkey2(H(r2))的密钥协商信息B,并将密钥协商信息B发送到客户端;同时将随机数r1和随机数r2合成会话密钥DK,DK=r1⊕r2; 其中ECert1(r2)为利用SM2算法对r2进行公钥加密后的值,H(r2)为利用SM3算法对r2进行哈希算法后的值,Eskey2(H(r2))为利用SM2算法对r2进行签名后的签名值;DK为随机数r1和r2的异或值;
步骤303:客户端利用SM2算法对B中的 ECert1(r2)解密并利用SM2算法将解密后的内容与B中签名值ESkey2(H(r2))进行验签;同时将随机数r1和随机数r2合成会话密钥DK,DK=r1⊕r2,同时令C=H(r1⊕r2),并将C发送到服务端;其中C为利用SM3算法对随机数r1和r2的异或值进行哈希算法后的值;
步骤304:服务端令D=H(r1⊕r2),同时接受客户端发来的C,并比较C与D是否相同,若相同,则客户端和服务端成功完成密钥协商,并持有会话密钥DK;若不同,则服务端给出协商失败告警信息,通知客户端,则过程结束,重新执行步骤10。
10.根据权利要求9的面向多业务承载的公共通信接入系统,其特征在于:所述步骤40中对客户端和服务端之间通信的数据进行基于SM1算法的加解密操作后通信,从而实现加密通信,进行数据通信的时候,双方都将对应用层的数据报文使用SM1算法进行加解密,对数据实现了基于硬件密码算法的链路级加密功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710627563.7A CN107733747A (zh) | 2017-07-28 | 2017-07-28 | 面向多业务承载的公共通信接入系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710627563.7A CN107733747A (zh) | 2017-07-28 | 2017-07-28 | 面向多业务承载的公共通信接入系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107733747A true CN107733747A (zh) | 2018-02-23 |
Family
ID=61201712
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710627563.7A Pending CN107733747A (zh) | 2017-07-28 | 2017-07-28 | 面向多业务承载的公共通信接入系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107733747A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109617875A (zh) * | 2018-12-10 | 2019-04-12 | 国网思极网安科技(北京)有限公司 | 一种终端通信网的安全接入平台及其实现方法 |
| CN110635955A (zh) * | 2019-10-22 | 2019-12-31 | 中国能源建设集团江苏省电力设计院有限公司 | 变电站泛在电力物联网全业务综合智能网关拓扑结构 |
| CN111083131A (zh) * | 2019-12-10 | 2020-04-28 | 南瑞集团有限公司 | 一种用于电力物联网感知终端轻量级身份认证的方法 |
| CN112383392A (zh) * | 2020-11-13 | 2021-02-19 | 随锐科技集团股份有限公司 | 一种视频会议轮换加密方法、设备及计算机可读存储介质 |
| CN113347206A (zh) * | 2021-06-30 | 2021-09-03 | 建信金融科技有限责任公司 | 一种网络访问方法和装置 |
| CN113472526A (zh) * | 2021-06-25 | 2021-10-01 | 北京中电华大电子设计有限责任公司 | 基于安全芯片的物联网设备线路保护方法 |
| CN115802341A (zh) * | 2023-01-30 | 2023-03-14 | 北京亚信兴源科技有限公司 | 5g系统的通信方法、装置、5g系统、电子设备及存储介质 |
| WO2023147785A1 (zh) * | 2022-02-07 | 2023-08-10 | 南京理工大学 | 基于国密算法的车联网通信安全认证方法、系统及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158653A (zh) * | 2014-08-14 | 2014-11-19 | 华北电力大学句容研究中心 | 一种基于商密算法的安全通信方法 |
| CN105701733A (zh) * | 2016-03-29 | 2016-06-22 | 国网信通亿力科技有限责任公司 | 电力终端通信接入网公共接入平台 |
| CN106992984A (zh) * | 2017-04-01 | 2017-07-28 | 国网福建省电力有限公司 | 一种基于电力采集网的移动终端安全接入信息内网的方法 |
| CN207200738U (zh) * | 2017-07-28 | 2018-04-06 | 国网福建省电力有限公司龙岩供电公司 | 面向多业务承载的公共通信接入装置 |
-
2017
- 2017-07-28 CN CN201710627563.7A patent/CN107733747A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158653A (zh) * | 2014-08-14 | 2014-11-19 | 华北电力大学句容研究中心 | 一种基于商密算法的安全通信方法 |
| CN105701733A (zh) * | 2016-03-29 | 2016-06-22 | 国网信通亿力科技有限责任公司 | 电力终端通信接入网公共接入平台 |
| CN106992984A (zh) * | 2017-04-01 | 2017-07-28 | 国网福建省电力有限公司 | 一种基于电力采集网的移动终端安全接入信息内网的方法 |
| CN207200738U (zh) * | 2017-07-28 | 2018-04-06 | 国网福建省电力有限公司龙岩供电公司 | 面向多业务承载的公共通信接入装置 |
Non-Patent Citations (2)
| Title |
|---|
| 廖勤武;: "终端通信接入网公共接入平台研究" * |
| 张勇生;刘春宇;路丽丹;: "配网通信系统安全防护体系建设方案" * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109617875A (zh) * | 2018-12-10 | 2019-04-12 | 国网思极网安科技(北京)有限公司 | 一种终端通信网的安全接入平台及其实现方法 |
| CN110635955A (zh) * | 2019-10-22 | 2019-12-31 | 中国能源建设集团江苏省电力设计院有限公司 | 变电站泛在电力物联网全业务综合智能网关拓扑结构 |
| CN111083131A (zh) * | 2019-12-10 | 2020-04-28 | 南瑞集团有限公司 | 一种用于电力物联网感知终端轻量级身份认证的方法 |
| CN112383392A (zh) * | 2020-11-13 | 2021-02-19 | 随锐科技集团股份有限公司 | 一种视频会议轮换加密方法、设备及计算机可读存储介质 |
| CN112383392B (zh) * | 2020-11-13 | 2024-03-15 | 随锐科技集团股份有限公司 | 一种视频会议轮换加密方法、设备及计算机可读存储介质 |
| CN113472526A (zh) * | 2021-06-25 | 2021-10-01 | 北京中电华大电子设计有限责任公司 | 基于安全芯片的物联网设备线路保护方法 |
| CN113472526B (zh) * | 2021-06-25 | 2023-06-30 | 北京中电华大电子设计有限责任公司 | 基于安全芯片的物联网设备线路保护方法 |
| CN113347206A (zh) * | 2021-06-30 | 2021-09-03 | 建信金融科技有限责任公司 | 一种网络访问方法和装置 |
| CN113347206B (zh) * | 2021-06-30 | 2023-05-09 | 建信金融科技有限责任公司 | 一种网络访问方法和装置 |
| WO2023147785A1 (zh) * | 2022-02-07 | 2023-08-10 | 南京理工大学 | 基于国密算法的车联网通信安全认证方法、系统及设备 |
| GB2623015A (en) * | 2022-02-07 | 2024-04-03 | Univ Nanjing Sci & Tech | Internet-of-vehicles communication security authentication method, system and device based on national cryptographic algorithm |
| CN115802341A (zh) * | 2023-01-30 | 2023-03-14 | 北京亚信兴源科技有限公司 | 5g系统的通信方法、装置、5g系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733747A (zh) | 面向多业务承载的公共通信接入系统 | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN200962604Y (zh) | 电力专用纵向加密认证网关设备 | |
| CN107018134A (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN110535653A (zh) | 一种安全的配电终端及其通讯方法 | |
| CN103095696A (zh) | 一种适用于用电信息采集系统的身份认证和密钥协商方法 | |
| CN109088870A (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
| CN101282208B (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
| CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
| CN105978883B (zh) | 大规模车联网下安全的数据采集方法 | |
| CN104902470B (zh) | 一种基于动态密钥的无线热点的接入控制方法及系统 | |
| CN109905371A (zh) | 双向加密认证系统及其应用方法 | |
| CN106549502B (zh) | 一种配电安全防护监控系统 | |
| CN115549932B (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
| CN115001717B (zh) | 一种基于标识公钥的终端设备认证方法及系统 | |
| CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
| CN102413144B (zh) | 一种用于c/s架构业务的安全接入系统及相关接入方法 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| WO2023108396A1 (zh) | 一种电网智能量测方法 | |
| CN207200738U (zh) | 面向多业务承载的公共通信接入装置 | |
| CN109547975A (zh) | 车辆数据传输方法及车辆数据传输系统 | |
| CN104852902A (zh) | 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |