CN107835196A - 一种基于hdlc的安全通信方法 - Google Patents
一种基于hdlc的安全通信方法 Download PDFInfo
- Publication number
- CN107835196A CN107835196A CN201711327729.XA CN201711327729A CN107835196A CN 107835196 A CN107835196 A CN 107835196A CN 201711327729 A CN201711327729 A CN 201711327729A CN 107835196 A CN107835196 A CN 107835196A
- Authority
- CN
- China
- Prior art keywords
- hdlc
- client
- service end
- communication
- addressing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种基于HDLC的安全通信方法,在客户端与服务端每次建立安全传输层协议前,先由客户端和服务端进行消息协商;通信层采用智能消息语言报文格式对数据进行编码,然后使用安全传输层协议进行加密,最后通过HDLC的包装后发送。与现有技术相比,能够确保高级数据链路控制通信协议中数据收发的正确性,同时避免数据通信被人监听和篡改,从而保证了设备通信的安全。
Description
技术领域
本发明涉及一种安全通信方法,特别是涉及一种适用于HDLC通信的安全通信方法。
背景技术
在世界范围内,随着智能化设备越来越广泛的应用,物联网技术和理念带来了巨大的革新,其安全性也逐渐被人们所关注。对智能设备的攻击类型大体可分为物理攻击、电气攻击与软件和数据攻击。其中软件和数据攻击,多数已知的漏洞都与通讯媒介和通讯协议有关。
安全传输层协议作为一种安全通信协议,有很高的安全性,采用非对称密钥和诸如椭圆曲线数字签名算法等,保证了通信数据的真实性。
高级数据链路控制通信协议,普遍应用于和电表点对点通信中,如果通信之前不经过认证,通信数据不加密或加密算法简单,那么会给潜在攻击者创造机会。
智能设备实际安装部署,地理位置上可能较为分散,需要保证设备便于维护和管理,但是需要解决局部网络中的通信机制。
发明内容
本发明要解决的技术问题是提供一种能够应用于高级数据链路控制通信协议(HDLC)中的安全传输层协议加密认证的安全通信方法。
本发明采用的技术方案如下:
一种基于HDLC的安全通信方法,在客户端与服务端每次建立安全传输层协议前,先由客户端和服务端进行消息协商;通信层采用智能消息语言报文格式对业务应用数据进行编码,然后使用安全传输层协议进行加密,最后通过HDLC的包装后发送。
所述消息协商的具体方法步骤为:
A1、客户端向服务端发送消息协商请求并确认;
A2、客户端与服务端之间交换初始通信帧帧序号;
A3、客户端获取服务端支持的加密算法和附加参数;
A4、客户端生成服务端私钥和服务端证书,并一并下发给服务端;所述服务端证书是客户端根据服务端所支持的加密套件生成的数字证书,并对生成的数字证书进行自签名;
A5、客户端把自己的证书发送给服务端;
A6、客户端获取服务端的最大分段长度。
使用安全传输协议进行加密的具体方法步骤为:
B1、服务端获取客户端支持的TLS版本,加密套件和会话编号;
B2、客户端获取服务端支持的TLS版本,加密套件和服务端证书;
B3、客户端对获取的服务端证书进行校验,校验成功则进入下一步;
B4、客户端和服务端之间交换加密密钥;
B5、握手结束,开始加密通信。
所述服务端包括至少两个智能设备;所述至少两个智能设备之间进行串行连接;客户端与某一智能设备进行串口连接,通过寻址机制建立通信连接实现一对多通信;所述寻址机制为,客户端通过发送HDLC广播,检索到智能设备地址列表,选择特定的智能设备进而建立起后面的通信连接。
寻址机制的具体寻址方法为:由客户端广播HDLC寻址帧,将HDLC寻址帧按照广播周期划分为若干个时间区间tm;智能设备随机生成一个新的HDLC地址,并在时间区间tm内报告该新的HDLC地址给客户端;客户端收到的智能设备的HDLC地址的有效报告后,将智能设备信息列表存为HDLC信息帧作为下一个HDLC寻址帧发送。
所述方法还包括,如果某智能设备信息已经在HDLC寻址帧列表内,则无需重复报告地址。
所述方法还包括,两个或两个以上智能设备同时在某一个时间区间内报告HDLC地址,则该两个或两个以上智能设备报告的HDLC地址无效,需要在后面的时间区间或者下一个广播周期内重新报告HDLC地址。
所述方法还包括,不同智能设备报告相同的HDLC地址,那么除了第一个报告该地址的智能设备外,其他报告相同地址的智能设备需要在后面的时间区间或者下一个广播周期内重新报告HDLC地址。
所述方法还包括,进行地址检查,具体方法为:检查开始,由客户端广播HDLC地址检查帧;将HDLC地址检查帧的广播周期划分为若干个时间区间tm,在已知设备列表中的设备需要在时间区间tm内将地址报告给网关。
与现有技术相比,本发明的有益效果是:基于高级数据链路控制通信协议的安全传输层加密认证方式,极大程度的提高了通信的安全性,及早防范对于通信媒介和通信协议的潜在威胁和攻击。主要有以下几方面的优势:1、为数字证书交换提供了安全、可靠的保障机制;2、每次网关与设备建立安全传输层协议之前都是重新生成数字证书,以此提高了证书的更换频率,进一步提高了安全程度;3、设备组件局域网络,寻址机制能够快速有效的发现设备并实时更新设备列表,从而实现局域网络环境中的通信。
附图说明
图1为本发明其中一实施例的协议层结构图。
图2为本发明其中一实施例的安全传输层协议握手过程示意图。
图3为本发明其中一实施例的消息协商包括安全传输层协议证书下发的流程图。
图4为本发明其中一实施例的广播寻址设备机制。
图5为本发明其中一实施例的寻址流程图。
图6为本发明其中一实施例的地址检查过程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
在本具体实施例中,以网关于智能电表设备通信为例进行具体说明。
具体实施例1
一种基于HDLC的安全通信方法,在客户端与服务端每次建立安全传输层协议前,先由客户端和服务端进行消息协商;通信层采用智能消息语言报文格式对业务应用数据进行编码,然后使用安全传输层协议进行加密,最后通过HDLC包装后发送。每次网关与设备建立安全传输层协议之前都是重新生成数字证书,以此提高了证书的更换频率,进一步提高了安全程度。
在本发明中,基于高级数据链路控制通信协议(HDLC),使用安全传输层协议,对服务端和客户端进行签名认证,通过握手验证目的端,交换密钥证书,通信时使用协商的算法加密数据。能够应用于任何使用高级数据链路控制协议通信的情况,通信报文经协商加密,保障通信的合法性、完整性和安全性。
如图1所示,在本具体实施例中,系统分为网关(客户端)、通信层和电表(服务端)三部分。通信层采用智能消息语言(SML)报文格式对数据进行编码,然后使用安全传输层协议进行加密,最后通过高级数据链路控制协议的包装后发送。
具体实施例2
在具体实施例1的基础上,所述消息协商的具体方法步骤为:
A1、客户端向服务端发送消息协商请求并确认;
A2、客户端与服务端之间交换初始通信帧帧序号;
A3、客户端获取服务端支持的加密算法和附加参数;
A4、客户端生成服务端私钥和服务端证书,并一并下发给服务端;所述服务端证书是客户端根据服务端所支持的加密套件生成的数字证书,并对生成的数字证书进行自签名;
A5、客户端把自己的证书发送给服务端;
A6、客户端获取服务端的最大分段长度。
如图3和表1所示,网关(上位机软件)作为客户端,想要与电表(服务端)建立安全传输层协议。此时电表需要一个数字证书,在消息1,消息2之后,网关根据相应信息生成一个自签名的数字证书,然后网关将此数字证书和相应的私钥发送给电表。
上位机与电表之间交换初始TLS证书(消息协商)中,存在五次消息交互,五条消息的具体信息和功能如下:
消息1:交换初始通信帧帧序号;
消息2:获取支持的加密算法列表和附加参数;
消息3:网关生成电表端私钥和证书,并下发至电表;
消息4:网关把自己的证书发送给电表,用于电表对网关的身份进行确认。
消息5:交换电表的最大分段长度。
消息1~5的结构如表1所示,在本具体实施例中,消息1~5的交互需要进行加密处理,加密数据的密钥根据设备唯一编码与消息编号等信息通过MAC计算得到,然后利用给予AES的CMAC算法对数据进行加密。对于每条消息进行MAC计算,使得消息接收方可以校验信息的真实性。消息交互的过程中,如果校验不通过或者消息编号不正确则中断证书交换过程。
表1 证书交换消息结构
具体实施例3
在具体实施例1或2的基础上,使用安全传输协议进行加密的具体方法步骤为:
B1、服务端获取客户端支持的TLS版本,加密套件和会话编号;
B2、客户端获取服务端支持的TLS版本,加密套件和服务端证书;
B3、客户端对获取的服务端证书进行校验,校验成功则进入下一步;
B4、客户端和服务端之间交换加密密钥;
B5、握手结束,开始加密通信。
如图2所示,证书的校验是其中一个关键步骤,证书保证了通信的安全可靠。而在现有技术的技术方案中,出厂前为每一块电表生成一个数字证书,然后将数字证书送与第三方签名机构进行签名,最后把经过签名的证书写入到电表。在这种情况下,电表证书会存于电表中直至更换新的证书,整个过程较为繁琐。本发明申请服务端的证书由客户端进行下发,并对证书进行校验,保证了通信的安全可靠。
具体实施例4
在具体实施例1到3之一的基础上,所述服务端包括至少两个智能设备;所述至少两个智能设备之间进行串行连接;客户端与某一智能设备进行串口连接,通过寻址机制建立通信连接实现一对多通信;所述寻址机制为,客户端通过发送HDLC广播,检索到智能设备地址列表,选择特定的智能设备进而建立起后面的通信连接。
设备组件局域网络,寻址机制能够快速有效的发现设备并实时更新设备列表,从而实现局域网络环境中的通信。
在本具体实施例中,电表通过RS-485串行连接,上位机与某一电表通过串口连接,实现一对多的通信。为了实现一对多的高级数据链路控制通信,需要事先知道电表设备的地址。然而设备的地址并不固定,是处在动态变化之中的。如图4所示,是电表设备地址的寻找机制,通过发送HDLC广播,检索到设备地址列表,选择特定的设备进而建立起后面的通信连接。
具体实施例5
在具体实施例4的基础上,寻址机制的具体寻址方法为:由客户端广播HDLC寻址帧,将HDLC寻址帧按照广播周期划分为若干个时间区间tm;智能设备随机生成一个新的HDLC地址,并在时间区间tm内报告该新的HDLC地址给客户端;客户端收到的智能设备的HDLC地址的有效报告后,将智能设备信息列表存为HDLC信息帧作为下一个HDLC寻址帧发送。
寻址过程如图5所示,包含网关和若干个设备,设备初始的HDLC地址都是0x01。寻址开始,由网关广播HDLC寻址帧。
具体实施例7
在具体实施例6的基础上,所述方法还包括,如果某智能设备信息已经在HDLC寻址帧列表内,则无需重复报告地址。设备列表的帧结构如表2,表3所示。
表2 设备列表HDLC信息帧结构
表3 单个设备信息结构
具体实施例7
在具体实施例5或6的基础上,所述方法还包括,两个或两个以上智能设备同时在某一个时间区间内报告HDLC地址,则该两个或两个以上智能设备报告的HDLC地址无效,需要在后面的时间区间或者下一个广播周期内重新报告HDLC地址。
具体实施例8
在具体实施例5到7之一的基础上,所述方法还包括,不同智能设备报告相同的HDLC地址,那么除了第一个报告该地址的智能设备外,其他报告相同地址的智能设备需要在后面的时间区间或者下一个广播周期内重新报告HDLC地址。
具体实施例9
在具体实施例5到8之一的基础上,所述方法还包括,进行地址检查,具体方法为:检查开始,由客户端广播HDLC地址检查帧;将HDLC地址检查帧的广播周期划分为若干个时间区间tm,在已知设备列表中的设备需要在时间区间tm内将地址报告给网关。
Claims (9)
1.一种基于HDLC的安全通信方法,在客户端与服务端每次建立安全传输层协议前,先由客户端和服务端进行消息协商;通信层采用智能消息语言报文格式对数据进行编码,然后使用安全传输层协议进行加密,最后通过HDLC的包装后发送。
2.根据权利要求1所述的安全通信方法,所述消息协商的具体方法步骤为:
A1、客户端向服务端发送消息协商请求并确认;
A2、客户端与服务端之间交换初始通信帧帧序号;
A3、客户端获取服务端支持的加密算法和附加参数;
A4、客户端生成服务端私钥和服务端证书,并一并下发给服务端;所述服务端证书是客户端根据服务端所支持的加密套件生成的数字证书,并对生成的数字证书进行自签名;
A5、客户端把自己的证书发送给服务端;
A6、客户端获取服务端的最大分段长度。
3.根据权利要求1或2所述的安全通信方法,使用安全传输协议进行加密的具体方法步骤为:
B1、服务端获取客户端支持的TLS版本,加密套件和会话编号;
B2、客户端获取服务端支持的TLS版本,加密套件和服务端证书;
B3、客户端对获取的服务端证书进行校验,校验成功则进入下一步;
B4、客户端和服务端之间交换加密密钥;
B5、握手结束,开始加密通信。
4.根据权利要求1或2所述的安全通信方法,所述服务端包括至少两个智能设备;所述至少两个智能设备之间进行串行连接;客户端与某一智能设备进行串口连接,通过寻址机制建立通信连接实现一对多通信;所述寻址机制为,客户端通过发送HDLC广播,检索到智能设备地址列表,选择特定的智能设备进而建立起后面的通信连接。
5.根据权利要求4所述的安全通信方法,寻址机制的具体寻址方法为:由客户端广播HDLC寻址帧,将HDLC寻址帧按照广播周期划分为若干个时间区间tm;智能设备随机生成一个新的HDLC地址,并在时间区间tm内报告该新的HDLC地址给客户端;客户端收到的智能设备的HDLC地址的有效报告后,将智能设备信息列表存为HDLC信息帧作为下一个HDLC寻址帧发送。
6.根据权利要求5所述的安全通信方法,所述方法还包括,如果某智能设备信息已经在HDLC寻址帧列表内,则无需重复报告地址。
7.根据权利要求5所述的安全通信方法,所述方法还包括,两个或两个以上智能设备同时在某一个时间区间内报告HDLC地址,则该两个或两个以上智能设备报告的HDLC地址无效,需要在后面的时间区间或者下一个广播周期内重新报告HDLC地址。
8.根据权利要求6所述的安全通信方法,所述方法还包括,不同智能设备报告相同的HDLC地址,那么除了第一个报告该地址的智能设备外,其他报告相同地址的智能设备需要在后面的时间区间或者下一个广播周期内重新报告HDLC地址。
9.根据权利要求4所述的安全通信方法,所述方法还包括,进行地址检查,具体方法为:检查开始,由客户端广播HDLC地址检查帧;将HDLC地址检查帧的广播周期划分为若干个时间区间tm,在已知设备列表中的设备需要在时间区间tm内将地址报告给网关。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711327729.XA CN107835196B (zh) | 2017-12-13 | 2017-12-13 | 一种基于hdlc的安全通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711327729.XA CN107835196B (zh) | 2017-12-13 | 2017-12-13 | 一种基于hdlc的安全通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107835196A true CN107835196A (zh) | 2018-03-23 |
CN107835196B CN107835196B (zh) | 2020-10-27 |
Family
ID=61644179
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711327729.XA Active CN107835196B (zh) | 2017-12-13 | 2017-12-13 | 一种基于hdlc的安全通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107835196B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113746795A (zh) * | 2020-11-28 | 2021-12-03 | 中国南方电网有限责任公司 | 一种稳控系统站间数据安全交互系统和方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1917519A (zh) * | 2006-09-13 | 2007-02-21 | 华为技术有限公司 | 高级数据链路控制协议串行数据的并行传输方法及其系统 |
CN101521617A (zh) * | 2008-02-25 | 2009-09-02 | 华为技术有限公司 | 一种数据通讯方法及协议栈及通讯系统以及相关设备 |
US20120023241A1 (en) * | 2010-07-26 | 2012-01-26 | Cisco Technology, Inc. | SSL Cache Session Selection |
CN105610773A (zh) * | 2015-09-17 | 2016-05-25 | 浙江瑞银电子有限公司 | 一种电能表远程抄表的通讯加密方法 |
CN105978906A (zh) * | 2016-07-01 | 2016-09-28 | 中国人民解放军国防科学技术大学 | 一种基于身份的通信握手协议 |
CN106060807A (zh) * | 2016-05-24 | 2016-10-26 | 中国科学院信息工程研究所 | 一种适用于电路域加密通信的消息传输方法 |
CN106054824A (zh) * | 2015-04-13 | 2016-10-26 | 基岩自动化平台公司 | 用于工业控制系统的安全电源 |
CN107015509A (zh) * | 2017-05-25 | 2017-08-04 | 广州地铁集团有限公司 | 门控器hdlc加密数据及驱动电机数据实时采集装置 |
-
2017
- 2017-12-13 CN CN201711327729.XA patent/CN107835196B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1917519A (zh) * | 2006-09-13 | 2007-02-21 | 华为技术有限公司 | 高级数据链路控制协议串行数据的并行传输方法及其系统 |
CN101521617A (zh) * | 2008-02-25 | 2009-09-02 | 华为技术有限公司 | 一种数据通讯方法及协议栈及通讯系统以及相关设备 |
US20120023241A1 (en) * | 2010-07-26 | 2012-01-26 | Cisco Technology, Inc. | SSL Cache Session Selection |
CN106054824A (zh) * | 2015-04-13 | 2016-10-26 | 基岩自动化平台公司 | 用于工业控制系统的安全电源 |
CN105610773A (zh) * | 2015-09-17 | 2016-05-25 | 浙江瑞银电子有限公司 | 一种电能表远程抄表的通讯加密方法 |
CN106060807A (zh) * | 2016-05-24 | 2016-10-26 | 中国科学院信息工程研究所 | 一种适用于电路域加密通信的消息传输方法 |
CN105978906A (zh) * | 2016-07-01 | 2016-09-28 | 中国人民解放军国防科学技术大学 | 一种基于身份的通信握手协议 |
CN107015509A (zh) * | 2017-05-25 | 2017-08-04 | 广州地铁集团有限公司 | 门控器hdlc加密数据及驱动电机数据实时采集装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113746795A (zh) * | 2020-11-28 | 2021-12-03 | 中国南方电网有限责任公司 | 一种稳控系统站间数据安全交互系统和方法 |
CN113746795B (zh) * | 2020-11-28 | 2023-08-08 | 中国南方电网有限责任公司 | 一种稳控系统站间数据安全交互系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107835196B (zh) | 2020-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
CN112235235B (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
CN105530238B (zh) | 用于安全对话建立和数据的加密交换的计算机实现系统和方法 | |
CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
CN103095696B (zh) | 一种适用于用电信息采集系统的身份认证和密钥协商方法 | |
EP2437531B1 (en) | Security service control method and wireless local area network terminal | |
CN110995414B (zh) | 基于国密算法在tls1_3协议中建立通道的方法 | |
WO2016114842A1 (en) | End-to-end service layer authentication | |
KR102689853B1 (ko) | 메시지 레벨 보안을 사용하여 메시징하기 위한 장치, 방법 및 제조 물품 | |
CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
CN110247803A (zh) | 一种针对网络管理协议SNMPv3的协议优化架构及其方法 | |
CN108833113A (zh) | 一种基于雾计算的增强通讯安全的认证方法及系统 | |
CN107835196A (zh) | 一种基于hdlc的安全通信方法 | |
CN113973000A (zh) | 一种预共享密钥psk的处理方法及装置 | |
CN109600745B (zh) | 一种新型的5g蜂窝网信道安全系统及安全实现方法 | |
CN103986716A (zh) | Ssl连接的建立方法以及基于ssl连接的通信方法及装置 | |
CN115835194A (zh) | 一种nb-iot物联网终端安全接入系统及接入方法 | |
CN114386020A (zh) | 基于量子安全的快速二次身份认证方法及系统 | |
CN115567195A (zh) | 安全通信方法、客户端、服务器、终端和网络侧设备 | |
CN108768998A (zh) | 一种基于ssl加密的智能无线通讯系统 | |
CN115665749B (zh) | 一种海量工业设备安全可信接入方法及系统 | |
CN117201200B (zh) | 基于协议栈的数据安全传输方法 | |
CN110650016B (zh) | 一种实现交直流控制保护系统网络数据安全的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 611731 No. 99, Tianquan Road, high tech Zone, Chengdu, Sichuan Patentee after: Chengdu Great Wall Development Technology Co.,Ltd. Address before: 611731 no.1218, Hezuo Road, high tech Zone (West District), Chengdu, Sichuan Province Patentee before: CHENGDU GREAT WALL DEVELOPMENT TECHNOLOGY Co.,Ltd. |