CN109905246A - 利用分段然后加密安全的电力线通信(plc)网络节点 - Google Patents
利用分段然后加密安全的电力线通信(plc)网络节点 Download PDFInfo
- Publication number
- CN109905246A CN109905246A CN201910191548.1A CN201910191548A CN109905246A CN 109905246 A CN109905246 A CN 109905246A CN 201910191548 A CN201910191548 A CN 201910191548A CN 109905246 A CN109905246 A CN 109905246A
- Authority
- CN
- China
- Prior art keywords
- frame
- plc
- segment identifiers
- segmentation
- message integrity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/177—Initialisation or configuration control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B3/00—Line transmission systems
- H04B3/54—Systems for transmission via power distribution lines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B3/00—Line transmission systems
- H04B3/54—Systems for transmission via power distribution lines
- H04B3/542—Systems for transmission via power distribution lines the information being in digital form
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B2203/00—Indexing scheme relating to line transmission systems
- H04B2203/54—Aspects of powerline communications not already covered by H04B3/54 and its subgroups
- H04B2203/5404—Methods of transmitting or receiving signals via power distribution lines
- H04B2203/5408—Methods of transmitting or receiving signals via power distribution lines using protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Abstract
本申请涉及利用分段然后加密安全的电力线通信(PLC)网络节点。本发明的实施例提供用于在电力线通信(PLC)中的分段然后加密方案的系统和方法。节点或者设备产生待发送到PLC网络中的目的节点的帧。节点中的处理器被配置成产生包括待发送到目的节点的数据的数据载荷。处理器将数据载荷划分成两个或者更多个载荷分段并且对载荷分段加密。处理器针对每个加密载荷分段创建帧,其中每个帧包括消息完整性代码。处理器使用消息完整性代码以及与目的PLC节点共享的认证密钥针对每个帧创建分段标识符。该分段标识符被添加到每个帧。
Description
本申请是于2014年9月30日提交的名称为“利用分段然后加密安全的电力线通信(PLC)网络节点”的中国专利申请201410520593.4的分案申请。
背景技术
电力线(PLC)通信包括在其上传递数据并且还用于向住宅、建筑物和其他房屋传送电力的同一介质(诸如导线、电力线或其它导体)上传递数据的系统。简而言之,PLC在已有电力线上调制通信信号。这使得能够在不引入任何新导线或电缆的情况下联网装置。这个能力在大范围应用上极其有吸引力,可带动通过网络的更大的智能和效率。PLC应用包括公用事业计量表、家庭域网络以及家用电器和照明控制。
PLC是对于使用电力线作为通信通道的任何技术的总称。目前在世界上正在进行各种PLC标准化尝试。不同的标准关注于涉及具体应用和操作环境的不同性能因素和问题。两种最著名的PLC标准是G3和PRIME。G3已经由国际电信联盟(ITU)批准。IEEE正在开发基于G3的IEEE P1901.2标准。每个PLC标准具有其自身独特的特性。
实现PLC系统的方式依赖于本地法规、本地电网的特性等。可用于PLC用户的频带依赖于系统的位置。在欧洲,PLC频带由CENELEC(欧洲电子技术标准化委员会)限定。CENELEC-A频带(3kHz-95kHz)专用于能量提供商。CENELEC-B、C、D频带开放用于终端用户应用,其可以包括PLC用户。通常,PLC系统使用间隔1.5675kHz隔开的36个音调在CENELEC A频带中的35-90kHz之间操作,在美国,FCC已经进行了在535kHz处开始的发射要求,因此PLC系统具有使用间隔4.6875kHz隔开的72个音调的从154-487.5kHz的FCC频带。在世界其它部分,使用不同频带,诸如在日本由无线电产业和商业协会(ARIB)限定的在10-450kHz操作的,以及在中国由电力研究院(EPRI)限定的在3-90kHz操作。
当在系统中的物理最大传输单元(MTU)大小不允许传输整个帧时,使用分段来传送大的帧。在一些标准中,诸如IEEE P1901.2和G3,在MAC曾进行分段。如果大于特定大小,则在发送侧的MAC层将传入帧分段。在接收侧,MAC层进行重组过程。
MAC层还负责进行加密以提供安全性。这种加密可以在分段之前或之后进行。如果加密在分段之前进行,则存在潜在的安全威胁,因为MAC报头(MHR)不加密。接收器在此情形下不能确定假分组直至重组完成为止。在另一方面,如果加密在分段之后进行,则会由于消息完整性校验字段(MIC)和对于通常在PLC网络中使用的加密机制必要的安全填充(Padding)的存在而导致额外的开销。
发明内容
在一个实施方式中,公开了用于在电力线通信(PLC)网络中发送加密分组的系统和方法。
PLC节点或者设备产生待发送到PLC网络中的目的节点的帧。节点中的处理器被配置成产生包括待发送到目的节点的数据的数据载荷。处理器将数据载荷划分成两个或者更多个载荷分段并且对载荷分段加密。处理器针对每个加密载荷分段创建帧,其中每个帧包括消息完整性代码。处理器使用消息完整性代码以及与目的PLC节点共享的认证密钥针对每个帧创建分段标识符。该分段标识符被添加到每个帧。
节点中的发送器被配置成向目的PLC节点发送带有分段标识符的帧。可以使用MD5算法来创建分段标识符。认证密钥和消息完整性代码可以被组合以创建输入值。MD5算法从输入值中生成输出值。可以从MD5输出值中创建分段标识符。
在一个实施例中,认证密钥可以是128比特密钥,消息完整性代码可以是16比特循环冗余校验(CRC)值,并且输出值的前16比特可以被用于创建分段标识符。
PLC节点或者装置还可以从PLC网络中的其它节点接收帧。PLC节点包括接收器,其被配置为接收具有帧分段标识符、加密载荷分段和消息完整性代码的帧。节点中的处理器经配置为使用消息完整性代码以及与源PLC节点共享的认证密钥针对每个帧创建本地分段标识符。如果本地分段标识符不匹配帧分段标识符,则节点拒绝帧。
如果本地分段标识符匹配帧分段标识符,则处理器提取加密载荷分段以进一步处理。处理器可以将加密载荷分段与一个或者更多个其它已加密的载荷分段组合以创建接收到的载荷。接收到的载荷接着被解密以创建解密的载荷。
附图说明
在如此总体概括描述了本发明之后,现在将参照附图,其中:
图1是根据一些实施例的PLC系统的图。
图2是根据一些实施例的PLC设备或者调制解调器的框图。
图3是根据一些实施例的PLC网关的框图。
图4是根据一些实施例的PLC数据集中器的框图。
图5是图示经配置用于点到点PLC的系统的一个实施例的示意框图。
图6是根据一些实施例的集成电路的框图。
图7图示用于本地公用事业PLC网络的示例实施例。
图8图示发送器期望发送到接收器的MAC载荷的加密和分段。
图9图示代替原始分段的已经被发送的恶意分段帧。
图10图示根据一个实施例的分段标识符的使用。
图11是说明用于发送具有安全标识符的分段、加密的帧的过程的流程图。
具体实施方式
在下文将参照附图更详尽地描述本发明。然而,可以以许多不同形式实施本发明,并且本发明不应被解释为局限于本文阐述的实施例。相反地,这些实施方式的提供使得本公开是充分并完整的,并且向本领域的技术人员充分表达本发明的范围。本领域技术人员可以能够使用本发明的各个实施例。
图1图示根据一些实施例的电力线通信网络。来自子节点101的中压(MV)电力线103通常运载数万伏范围内的电压。变压器104将MV电力逐步降到LV线105上的低压(LV)电力,LV线105承载100-240VAC的范围内的电压。变压器104通常被设计为工作在50-60Hz的非常低的频率。变压器104通常不允许高频率(诸如大于100kHz的信号)在LV线105和MV线103之间穿过。LV线105经由通常安装在住宅102a-n外面的计量表或者节点106a-n将电力馈送给用户。尽管102a-n被称为“住宅”,但是房屋(premises)102a-n可以包括任何类型的建筑物、设施、电动车充电节点或者接收和/或消耗电力的其它位置。断路器面板诸如面板107提供计量表106n和住宅内102n内的电力导线108之间的接口。电力导线108向住宅102n内的插座110、开关111和其它电力设备输送电力。
图1图示的电力线拓扑可以用于向住宅102a-n提供高速通信。在一些实现方式中,电力线通信调制解调器或网关112a-n可以在计量表106a-n耦合到LV电力线105。PLC调制解调器/网关112a-n可被用于将数据信号发送到MV线103/LV线105上,以及接收MV线103/LV线105上的数据信号。这种数据信号可被用于支持计量和电力输送应用(例如,智能电网应用)、通信系统、高速因特网、电话、视频会议和视频输送(仅举几个例子)。通过在电力传输网络上发送电信和/或数据信号,不需要针对每个用户102a-n安装新电缆。因此,通过使用已有的电力分配系统来运载数据信号,能够显著的节省成本。
用于在电力线上发送数据的说明性方法可以使用具有不同于电力信号的频率的载波信号。可以由例如使用例如OFDM技术或类似的描述(例如G3-PLC标准)的数据调制载波信号。
在住宅102a-n处的PLC调制解调器或者网关112a-n使用MV/LV电力网来将数据运载到PLC数据集中器或者路由器114,并且运载来自PLC数据集中器或者路由器114的数据,而不要求额外的布线。数据集中器或者路由器114可以耦合到MV线103或者LV线105。调制解调器或者网关112a-n可以支持例如高速宽带因特网链路、窄带控制应用、低带宽数据采集应用等的应用。例如,在家庭环境中,调制解调器或者网关112a-n可以进一步使得家庭和建筑物能够自动地取暖和空气调节、照明和安防。而且,PLC调制解调器或者网关112a-n可以使能电动车和其它应用的AC或者DC充电。AC或者DC充电器的示例被示为PLC设备113。在房屋外面,电力线通信网络可以提供街道照明控制和远程电力表数据采集。
一个或者更多个PLC数据集中器或者路由器114经由网络120可以耦合到控制中心130(例如,公用事业公司)。网络120可以包括例如基于IP的网络、因特网、蜂窝网络、WiFi网络、WiMax网络等。因此,控制中心130可以被配置成通过(多个)集中器114收集来自(多个)网关112和/或(多个)设备113的电力消耗和其它类型的相关信息。附加地或者可替换地,控制中心130可以被配置为通过将智能电网策略和其它规章或者商业规则经过(多个)集中器114通信到(多个网关)每个网关112和/或(多个)设备113来实现这类规则。
图2是根据一些实施例的PLC装置113的框图。如所示,AC接口201可以按照允许PLC设备113使用开关电路等切换导线108a和108b之间的连接的方式,耦合到房屋112n内的电线108a和108b。然而,在其它实施例中,AC接口201可被连接到单个导线108(即,不需将导线108分成导线108a和108b)并且不需提供这种切换能力。工作时,AC接口201可以允许PLC引擎202在导线108a-b上接收和发送PLC信号。在一些情况下,PLC装置113可以是PLC调制解调器。附加地或者替换地,PLC装置113可以是智能电网设备(例如,AC或者DC充电器、计量表等)、家用电器(appliance)或者用于位于房屋112n内部或者外部的其它电气元件(例如,街道照明等)的控制模块。
PLC引擎202可以被配置为使用特定频带经由AC接口201在导线108a和/或108b上发送和/或接收PLC信号。在一些实施例中,PLC引擎202可以被配置成发送OFDM信号,但是还可以使用其它类型的调制方案。因此,PLC引擎202可以包括或者以其它方式地被配置成与计量或者监测电路(未示出)通信,计量或者监测电路进而被配置成经由导线108、108a和/或108b测量某些设备或者家用电器的电力消耗特性。PLC引擎202可以接收这种电力消耗信息,将其编码为一个或者更多个PLC信号,并且经过导线108、108a和/或108b将其发送到较高级别的PLC装置(例如,PLC网关112n、数据聚集器114等)以便进行进一步处理。相反地,PLC引擎202可以接收来自这种较高级别PLC设备的例如以PLC信号编码的指令和/或其它信息,从而允许PLC引擎202选择其所工作的特定频带。
图3是根据一些实施例的PLC网关112的框图。如在本示例中所示,网关引擎301耦合到计量表接口302、本地通信接口304和频带使用数据库304。计量表接口302耦合到计量表106,并且本地通信接口304耦合到各种PLC装置中的一个或者更多个,诸如,例如,PLC装置113。本地通信接口304可以提供各种通信协议,诸如,例如,ZigBee、蓝牙(Bluetooth)、Wi-Fi,、Wi-Max、以太网(Ethernet)等,通信协议可以使得网关112能够与多种不同设备和家用电器通信。工作时,网关引擎301可以被配置为收集来自PLC设备113和/或其它设备以及计量表106的通信,并且用作这些各种设备和PLC数据集中器114之间的接口。网关引擎301可以还被配置为向具体设备分配频带和/或向这些设备提供信息,使得它们能够自分配其自身的工作频率。
在一些实施例中,PLC网关112可以被设置在房屋102n内或者附近,并且用作到达和/或来自房屋102n的全部PLC通信的网关。然而,在其它实施例中,可以不存在PLC网关112,并且PLC设备113(以及计量表106n和/或其它家用电器)可以直接与PLC数据集中器114通信。当存在PLC网关112时,PLC网关112可以包括数据库304,其中具有例如由房屋102n内的各个PLC设备113当前使用的频带的记录。这种记录的示例可以包括例如设备标识信息(例如,序列号、设备ID等)、应用简档、设备类别和/或当前已分配的频带。因此,网关引擎301在分派、分配或者以其它方式管理分派到其各种PLC设备的频带时可以使用数据库305。
图4是根据一些实施例的PLC数据集中器或路由器114的框图。网关接口401耦合到数据集中器引擎402,并且可以被配置为与一个或者更多个PLC网关112a-n通信。网络接口403还耦合到数据集中器引擎402并且可以被配置成与网络120通信。工作时,数据集中器引擎402可以被用于在将数据转发到控制中心130之前收集来自多个网关112a-n的信息和数据。在不存在PLC网关112a-n的情况下,可以利用被配置成与计量表116a-n、PLC设备113和/或其它家用电器直接通信的计量表和/或设备接口(未示出)来代替网关接口401。此外,如果不存在PLC网关112a-n,那么频率使用数据库404可以被配置成存储类似于以上针对数据库304所描述的记录。
图5是图示经配置用于点到点PLC的系统500的一个实施例的示意框图。系统500可以包括PLC发送器501和PLC接收器502。例如,PLC网关112可以被配置为PLC发送器501,并且PLC设备113可以被配置为PLC接收器502。可替换地,PLC设备113可以被配置为PLC发送器501,并且PLC网关112可以被配置为PLC接收器502。在又一实施例中,数据集中器114可以被配置成PLC发送器501或者PLC接收器502,并且被配置为与点到点系统500中的PLC网关112或者PLC设备113组合。在又一实施例中,多个PLC设备113可以被配置为在如图5所示的在点到点PLC系统500中直接通信。此外,子节点101可以被配置在如上所述的点到点系统500中。本领域技术人员将认识到用于图5所述的点到点PLC系统500的各种适当的配置。
图6是用于根据一些实施例的使用对于PLC网络中的每个音调掩模的不同调制技术来实现多个信标帧的发送的电路的框图。在一些情况下,可以按照图6所示来实现图1-图5中示出的一个或者更多个设备和/或装置。在一些实施例中,处理器602可以是数字信号处理器(DSP)、专用集成电路(ASIC)、片上系统(SoC)电路、现场可编程门阵列(FPGA)、微处理器、微控制器等。处理器602耦合到一个或者更多个外围设备604和外部存储器603。在一些情况下,外部存储器603可被用于存储和/或维持图3所示的数据库304和/或图4所示的数据库404。此外,处理器602可以包括用于向外部存储器603传递信号的驱动器和用于向外围设备604传递信号的其它驱动器。电源601向处理器602提供电源电压,以及向存储器603和/或外围设备604提供一个或者更多个电源电压。在一些实施例中,可以包括处理器602的多于一个实例(并且也可以包括多于一个外部存储器603)。
取决于PLC系统的类型,外围设备604可以包括任何期望电路系统。例如,在实施例中,外围设备604可以实现本地通信接口303并且包括用于各种类型的无线通信(诸如Wi-Fi、ZigBee、蓝牙、蜂窝、全球定位系统等)的设备。外围设备604还可以包括附加储存器,包括RAM储存器、固态储存器、或者盘储存器。在一些情况下,外围设备604可以包括用户接口设备,诸如包括触摸显示屏或者多触摸显示屏、键盘或者其它输入装置、麦克风、扬声器等的显示屏。
外部存储器603可以包括任何类型的存储器。例如,外部存储器603可以包括SRAM;非易失性RAM(NVRAM,诸如“闪速”存储器);和/或动态RAM(DRAM)诸如同步DRAM(SDRAM);双数据率(DDR、DDR2、DDR3等)的SDRAM、DRAM等。外部存储器603可以包括其上安装了存储器器件的一个或者更多个存储器模块,诸如单列直插式存储器模块(SIMM)、双列直插式存储器模块(DIMM)等。
图7示出用于本地公用事业公司PLC通信系统的PLC网络700的示例实施例。网络700包括LV节点702a-n并且702a-n中的每个节点都通过对应的变压器710a-n和LV线706a-n连接到MV电力线720。路由器或者调制解调器714还连接到MV电力线720。子网络728或者临近区域728可以由节点702a-n和路由器714的组合来表示。主路由器712和路由器716还被连接到MV线720,其由电力网722供电。电力网722表示高压配电系统。
主路由器712可以是到电信骨干网724和本地公用事业公司或者控制中心的网关。主路由器712可以将路由器收集的数据发送到本地公用事业公司726并且还可以向网络其余部分广播来自本地公用事业公司726的命令。来自本地公用事业公司726的命令可以要求在预设时间的数据收集,改变通信协议、以及其它软件或者通信更新。
在UL通信中,临近区域728中的节点702a-n可以经过其相应的变压器710a-n向MV路由器714使用和负载信息(“数据”)。路由器714进而将此数据转发到主路由器712,其经过电信骨干网724将数据发送到公用事业公司726。在(路由器714到节点702a-n)DL通信期间发送进行数据上载的请求或者进行其它任务的命令。
当MAC载荷被首先加密然后分段时,未加密的MHR被添加到加密的载荷。这会导致潜在的安全问题,这是因为恶意节点可以捕获该MHR并且注入恶意的或者“伪造”分段。接收器将不能够检测接收到了恶意的或者伪造分段直至接收器已经对加密的载荷进行重组以及解密为止。
例如,图8示出对发送器期望发送到接收器的MAC载荷的加密和分段。MAC载荷801由发送器加密以创建加密MAC载荷802,加密MAC载荷802然后被分段成三个加密MAC载荷分段803。MHR 804和CRC 805被添加到每个分段803以创建帧806。发送器接着向接收器发送三个帧806。
然而,如图9所示,恶意设备可以侦听分段806,并且可能潜在地发送恶意分段901来替代原始第二分段806-2。这种恶意帧901是可能的,这是因为MHR806-2是未加密的。恶意设备可以重建正确的MHR 806-2并且插入恶意或者“伪造”的数据作为载荷902。CRC 903被附加到恶意帧,恶意帧然后被发送到接收器。期望的接收器将不能够监测恶意载荷902并且将使用载荷803-1、902和803-3继续重组过程。
在重组分段之后,接收器开始解密处理,并且仅这时才检测到帧被损坏。然而,即使当接收器检测到损坏的帧时,接收器将不知道哪个(哪些)分段包含错误。该问题对于系统来说很严重,这是因为发送器将不知道发生了该事件,而是替代地认为全部分段已经被成功发送。
这种安全威胁的原因是接收器在不进行解密处理的情况下不能够检测恶意分段的事实。为了避免这种情形,本文所提出的系统和方法将分段标识符引入到每个分段中。分段标识符字段可以例如是帧的认证密钥和CRC的非对称函数。分段标识符可以具有比CRC或者消息完整性代码(MIC)更小的大小。在一个实施例中,分段标识符大小是两个字节。
考虑到仅信任节点知道认证密钥并且CRC对于每帧是唯一的,恶意发送器将不能够重建相同的分段标识符。甚至,如果恶意发送器知道用于创建分段标识符的算法,则其将不知道创建分段标识符所需要的认证密钥。
为了确保这个特征的安全性,用来产生分段标识符的算法应该是非对称的,使得仅仅使用CRC和标识符不能够获得认证密钥。
在接收到分段时,接收器将使用认证密钥和分段CRC计算本地分段值。接收器在每个分段中比较本地分段值和分段标识符,并且将丢弃具有不匹配本地计算值的分段标识符的任何分段。
因为CRC逐个帧改变,所以这种变化帮助防止恶意发送器的重传攻击。并且,尽管分段标识符被不加密地发送,恶意发送器将不能够创建恶意帧,因为恶意载荷的CRC不能与用于创建分段标识符的CRC匹配,并且因为恶意发送器将不具有用于创建分段标识符所使用的密钥。
图10图示根据一个实施例的分段标识符的使用。帧1000由发送器产生并且包括报头1001、分段标识符1002、加密载荷1003和CRC 1004。报头1001包括例如从发送器到期望的接收器的路由信息。加密载荷是已经从较大的数据帧提取的并且被解密的、从发送器发送到接收器的数据的分段。CRC 1004是针对报头1001和载荷1003的消息完整性校验。利用发送器和期望的接收器已知CRC 1004和认证密钥,发送器利用发送器和期望的接收器也已知的算法产生分段标识符1002。帧1000然后被发送到期望的接收器。
在一个实施例中,用于创建分段标识符的机制是在RFC 1321中定义的MD5消息-摘要算法。对MD5算法的输入是与16比特CRC拼接的128比特认证密钥。MD5算法产生128比特输出。128比特MD5输出的前16字节可以被用作分段标识符。应理解的是,可以使用任何其它算法利用认证密钥和帧信息(例如,CRC)来产生分段标识符。CRC(例如,CRC的16比特或者一些其它部分)的全部或者部分可以被用于产生分段标识符。另外,分段标识符可以具有任何适当长度,诸如16比特或者其它比特数量。
图11是图示用于发送具有安全标识符的已分段、加密的帧的过程的流程图。在步骤1101中,数据载荷由发送器划分成多个单独分段。可以基于例如最大帧大小或者最大载荷大小来选择分段的数量。在步骤1102中,利用发送器和期望的接收器已知的加密算法,由发送器加密载荷分段。在步骤1103中,针对每个加密的载荷分段创建帧。帧包括报头和MIC,诸如16比特CRC。
在步骤1104中,利用MIC和与期望的接收器共享的认证密钥针对每个分段创建分段标识符。在一个实施例中,利用128比特认证密钥连同CRC一起来使用MD5算法产生分段标识符。在步骤1105中,分段标识符被添加到每个分段帧。在步骤1106中,帧然后被发送到期望的接收器。
在步骤1107中,接收器从接收到的分段帧中提取MIC(例如,CRC)并且使用MIC连同认证密钥一起来产生本地分段标识符值。在步骤1108中,将本地分段标识符值与接收到的帧的不加密的分段标识符相比较。在步骤1109中,接收器确定分段标识符是否匹配。如果在步骤107中由接收器计算的分段标识符与从接收到的帧中提取的分段标识符匹配,则接收到的帧的加密载荷与其它加密载荷分段重组,并且然后在步骤1110中被解密。否则,如果分段标识符不匹配,则在步骤1111中,接收到的帧被拒绝。
从以上说明和附图给出的教导,本发明所属的技术领域的技术人员将得到本发明的很多修改和其它实施方式。因此,应理解本发明不限于公开的具体实施方式。尽管在此采用了具体术语,但是是仅仅以通用和描述性的意义来使用,而不是为了限制。
Claims (19)
1.一种用于在电力线通信网络即PLC网络中标识帧的方法,其包括:
在PLC网络硬件节点中产生数据载荷,所述数据载荷包括待发送到目的PLC硬件节点的数据;
将所述数据载荷划分为两个或者更多个载荷分段;
在分段之前对所述载荷分段进行加密;
针对每个加密的载荷分段创建帧,每个帧包括消息完整性代码;
使用所述消息完整性代码以及与所述目的PLC硬件节点共享的认证密钥针对每个帧创建分段标识符;
将分段标识符添加到每个帧;以及
将具有分段标识符的所述帧发送到所述目的PLC硬件节点。
2.根据权利要求1所述的方法,进一步包括:
使用MD5算法创建所述分段标识符。
3.根据权利要求2所述的方法,所述方法进一步包括:
拼接所述认证密钥和所述消息完整性代码以创建输入值;
根据所述输入值产生MD5算法输出值;以及
根据输出值创建所述分段标识符。
4.根据权利要求3所述的方法,其中所述认证密钥是128比特密钥,所述消息完整性代码是16比特循环冗余校验值即CRC值,并且所述输出值的前16比特被用于创建所述分段标识符。
5.一种用于在电力线通信网络即PLC网络中检验帧的方法,其包括:
在PLC网络硬件节点处接收帧,所述帧包括帧分段标识符、加密载荷分段和消息完整性代码;
使用所述消息完整性代码以及与源PLC硬件节点共享的认证密钥针对每个帧创建本地分段标识符;
如果所述本地分段标识符匹配所述帧分段标识符,则提取所述加密载荷分段以进一步处理;以及
如果所述本地分段标识符不匹配所述帧分段标识符,则拒绝所述帧。
6.根据权利要求5所述的方法,进一步包括:
将所述加密载荷分段与一个或者更多个其它加密载荷分段进行组合以创建接收到的载荷;以及
对所述接收到的载荷进行解密以创建解密载荷。
7.根据权利要求5所述的方法,进一步包括使用MD5算法创建所述本地分段标识符。
8.根据权利要求7所述的方法,所述方法进一步包括:
拼接所述认证密钥和所述消息完整性代码以创建输入值;
根据所述输入值产生MD5算法输出值;以及
根据输出值创建所述本地分段标识符。
9.根据权利要求8所述的方法,其中所述认证密钥是128比特密钥,所述消息完整性代码是16比特循环冗余校验值即CRC值,并且所述输出值的前16比特用于创建所述本地分段标识符。
10.一种用于产生待发送到电力线通信网络即PLC网络中的目的节点的帧的电力线通信硬件设备即PLC硬件设备,其包括:
处理器,所述处理器被配置成:
产生包括待发送到所述目的PLC硬件节点的数据的数据载荷;
将所述数据载荷划分为两个或者更多个载荷分段;
在分段之前对所述载荷分段进行加密;
针对每个加密载荷分段创建帧,每个帧包括消息完整性代码;
使用所述消息完整性代码以及与所述目的PLC硬件节点共享的认证密钥针对每个帧创建分段标识符;以及
将分段标识符添加到每个帧。
11.根据权利要求10所述的电力线通信硬件设备即PLC硬件设备,进一步包括:发送器,其被配置为将具有分段标识符的所述帧发送到所述目的PLC硬件节点。
12.根据权利要求10所述的设备,所述处理器进一步被配置为使用MD5算法创建所述分段标识符。
13.根据权利要求12所述的设备,所述处理器进一步被配置为:
将所述认证密钥和所述消息完整性代码进行组合以创建输入值;
根据所述输入值产生MD5算法输出值;以及
根据输出值创建所述分段标识符。
14.根据权利要求13所述的设备,其中所述认证密钥是128比特密钥,所述消息完整性代码是16比特循环冗余校验值即CRC值,并且所述输出值的前16比特被用于创建所述分段标识符。
15.一种用于处理接收自电力线通信网络即PLC网络中的节点的帧的设备,其包括:
接收器,其被配置成:
接收包括帧分段标识符、加密载荷分段和消息完整性代码的帧;以及处理器,其被配置成:
使用所述消息完整性代码以及与源PLC节点共享的认证密钥针对每个帧创建本地分段标识符;
如果所述本地分段标识符匹配所述帧分段标识符,则提取所述加密载荷分段以进一步处理;以及
如果所述本地分段标识符不匹配所述帧分段标识符,则拒绝所述帧。
16.根据权利要求15所述的设备,所述处理器进一步被配置为:
将所述加密载荷分段与一个或者更多个其它加密载荷分段进行组合以创建接收到的载荷;以及
对所述接收到的载荷进行解密以创建解密载荷。
17.根据权利要求15所述的方法,所述处理器进一步被配置为使用MD5算法创建所述本地分段标识符。
18.根据权利要求17所述的方法,所述处理器进一步被配置为:
将所述认证密钥和所述消息完整性代码进行组合以创建输入值;
根据所述输入值产生MD5算法输出值;以及
根据输出值创建所述本地分段标识符。
19.根据权利要求18所述的方法,其中所述认证密钥是128比特密钥,所述消息完整性代码是16比特循环冗余校验值即CRC值,并且所述输出值的前16比特被用于创建所述本地分段标识符。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/045,960 US9143327B2 (en) | 2013-10-04 | 2013-10-04 | Power line communication (PLC) network nodes using cipher then segment security |
| US14/045,960 | 2013-10-04 | ||
| CN201410520593.4A CN104518864B (zh) | 2013-10-04 | 2014-09-30 | 利用分段然后加密安全的电力线通信(plc)网络节点 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410520593.4A Division CN104518864B (zh) | 2013-10-04 | 2014-09-30 | 利用分段然后加密安全的电力线通信(plc)网络节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109905246A true CN109905246A (zh) | 2019-06-18 |
| CN109905246B CN109905246B (zh) | 2022-05-03 |
Family
ID=52776962
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410520593.4A Active CN104518864B (zh) | 2013-10-04 | 2014-09-30 | 利用分段然后加密安全的电力线通信(plc)网络节点 |
| CN201910191548.1A Active CN109905246B (zh) | 2013-10-04 | 2014-09-30 | 利用分段然后加密安全的电力线通信(plc)网络节点 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410520593.4A Active CN104518864B (zh) | 2013-10-04 | 2014-09-30 | 利用分段然后加密安全的电力线通信(plc)网络节点 |
Country Status (2)
| Country | Link |
|---|---|
| US (3) | US9143327B2 (zh) |
| CN (2) | CN104518864B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743504A (zh) * | 2023-08-14 | 2023-09-12 | 佳瑛科技有限公司 | 一种数字数据在网络线缆中的安全传输方法及系统 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9143327B2 (en) | 2013-10-04 | 2015-09-22 | Texas Instruments Incorporated | Power line communication (PLC) network nodes using cipher then segment security |
| CN105981346B (zh) * | 2013-12-20 | 2019-11-12 | 瑞典爱立信有限公司 | 无线设备中的节能 |
| US20190007904A1 (en) * | 2017-06-30 | 2019-01-03 | Qualcomm Incorporated | Wake-up radio frame formats and device communications |
| CN108965309B (zh) * | 2018-07-27 | 2021-02-12 | 腾讯科技(深圳)有限公司 | 一种数据传输处理方法、装置、系统及设备 |
| CN109743353B (zh) * | 2018-12-04 | 2021-06-25 | 北京讯众通信技术股份有限公司 | 一种基于物联网的数据转换方法 |
| US11190022B2 (en) | 2019-01-09 | 2021-11-30 | Texas Instruments Incorporated | Controller circuit for photovoltaic sub-module |
| US10778482B2 (en) | 2019-02-12 | 2020-09-15 | Texas Instruments Incorporated | Bit slicer circuit for S-FSK receiver, integrated circuit, and method associated therewith |
| US10797921B2 (en) | 2019-02-12 | 2020-10-06 | Texas Instruments Incorporated | Threshold computation circuit for S-FSK receiver, integrated circuit, and method associated therewith |
| US11350186B2 (en) | 2019-03-20 | 2022-05-31 | Texas Instruments Incorporated | Monitoring circuit for photovoltaic module |
| US11342787B2 (en) | 2019-03-20 | 2022-05-24 | Texas Instruments Incorporated | Controller circuit for photovoltaic module |
| CN110365368A (zh) * | 2019-08-29 | 2019-10-22 | 广东工业大学 | 一种电力线载波通信控制方法及系统 |
| US11540119B2 (en) * | 2020-02-06 | 2022-12-27 | Wiliot, LTD. | System and method for providing secure and reliable communication over a low-energy wireless communication protocol |
| CN115225296B (zh) * | 2021-04-16 | 2024-04-12 | 华为技术有限公司 | 一种加密数据的传输方法及相关设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020083317A1 (en) * | 2000-12-25 | 2002-06-27 | Yuusaku Ohta | Security communication packet processing apparatus and the method thereof |
| US20060212928A1 (en) * | 2005-03-17 | 2006-09-21 | Fabio Maino | Method and apparatus to secure AAA protocol messages |
| CN101426196A (zh) * | 2007-11-02 | 2009-05-06 | 华为技术有限公司 | 寻呼消息数据下发方法和基站及移动台 |
| CN101807238A (zh) * | 2009-02-13 | 2010-08-18 | 索尼公司 | 内容分发装置、系统、方法和程序以及内容使用装置 |
| CN101894030A (zh) * | 2010-06-29 | 2010-11-24 | 福建新大陆通信科技股份有限公司 | 一种基于电视机顶盒usb接口的数据防盗用升级方法 |
| CN102201924A (zh) * | 2011-07-07 | 2011-09-28 | 无锡智感星际科技有限公司 | 一种基于rds单向广播通道分发文件的方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69840915D1 (de) * | 1997-12-15 | 2009-07-30 | Thomson Licensing | Architektur für ein Stromleitungskommunikationsprotokoll |
| US7027577B2 (en) | 2002-08-26 | 2006-04-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for multi-party call conferencing |
| US20040111610A1 (en) * | 2002-12-05 | 2004-06-10 | Canon Kabushiki Kaisha | Secure file format |
| US20040193891A1 (en) * | 2003-03-31 | 2004-09-30 | Juha Ollila | Integrity check value for WLAN pseudonym |
| KR100574960B1 (ko) * | 2003-11-25 | 2006-05-02 | 삼성전자주식회사 | 패이로드 안에서의 프레임 분할방법 |
| US7353388B1 (en) * | 2004-02-09 | 2008-04-01 | Avaya Technology Corp. | Key server for securing IP telephony registration, control, and maintenance |
| CN101026617B (zh) | 2006-02-18 | 2010-09-15 | 华为技术有限公司 | 一种ims网络中媒体资源调度方法 |
| KR100915805B1 (ko) * | 2006-06-20 | 2009-09-07 | 삼성전자주식회사 | 광대역 무선통신시스템에서 맥계층 데이터 통신 장치 및방법 |
| KR100785810B1 (ko) * | 2006-12-05 | 2007-12-13 | 한국전자통신연구원 | Rfid 데이터 보호 장치 및 방법 |
| EP2359521A1 (en) * | 2008-09-19 | 2011-08-24 | Philips Intellectual Property & Standards GmbH | A method for secure communication in a network, a communication device, a network and a computer program therefor |
| US7787480B1 (en) * | 2009-03-04 | 2010-08-31 | Juniper Networks, Inc. | Routing frames in a trill network using service VLAN identifiers |
| EP2244435B1 (en) | 2009-04-20 | 2015-07-22 | Accenture Global Services Limited | IMS application server, network, method, and computer program product for executing services, particularly IP contact center services |
| JP2011249933A (ja) * | 2010-05-24 | 2011-12-08 | Smk Corp | 無線通信モジュール、リモートコントロール装置および無線システム |
| US9338172B2 (en) * | 2013-03-13 | 2016-05-10 | Futurewei Technologies, Inc. | Enhanced IPsec anti-replay/anti-DDOS performance |
| US9143327B2 (en) * | 2013-10-04 | 2015-09-22 | Texas Instruments Incorporated | Power line communication (PLC) network nodes using cipher then segment security |
-
2013
- 2013-10-04 US US14/045,960 patent/US9143327B2/en active Active
-
2014
- 2014-09-30 CN CN201410520593.4A patent/CN104518864B/zh active Active
- 2014-09-30 CN CN201910191548.1A patent/CN109905246B/zh active Active
-
2015
- 2015-08-14 US US14/826,342 patent/US9425955B2/en active Active
-
2016
- 2016-07-21 US US15/216,291 patent/US9742785B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020083317A1 (en) * | 2000-12-25 | 2002-06-27 | Yuusaku Ohta | Security communication packet processing apparatus and the method thereof |
| US20060212928A1 (en) * | 2005-03-17 | 2006-09-21 | Fabio Maino | Method and apparatus to secure AAA protocol messages |
| CN101426196A (zh) * | 2007-11-02 | 2009-05-06 | 华为技术有限公司 | 寻呼消息数据下发方法和基站及移动台 |
| CN101807238A (zh) * | 2009-02-13 | 2010-08-18 | 索尼公司 | 内容分发装置、系统、方法和程序以及内容使用装置 |
| CN101894030A (zh) * | 2010-06-29 | 2010-11-24 | 福建新大陆通信科技股份有限公司 | 一种基于电视机顶盒usb接口的数据防盗用升级方法 |
| CN102201924A (zh) * | 2011-07-07 | 2011-09-28 | 无锡智感星际科技有限公司 | 一种基于rds单向广播通道分发文件的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743504A (zh) * | 2023-08-14 | 2023-09-12 | 佳瑛科技有限公司 | 一种数字数据在网络线缆中的安全传输方法及系统 |
| CN116743504B (zh) * | 2023-08-14 | 2023-10-17 | 佳瑛科技有限公司 | 一种数字数据在网络线缆中的安全传输方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150381355A1 (en) | 2015-12-31 |
| US9143327B2 (en) | 2015-09-22 |
| US9742785B2 (en) | 2017-08-22 |
| CN104518864A (zh) | 2015-04-15 |
| CN104518864B (zh) | 2019-04-19 |
| US20160330213A1 (en) | 2016-11-10 |
| CN109905246B (zh) | 2022-05-03 |
| US20150098569A1 (en) | 2015-04-09 |
| US9425955B2 (en) | 2016-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104518864B (zh) | 利用分段然后加密安全的电力线通信(plc)网络节点 | |
| US6885674B2 (en) | Communications system for providing broadband communications using a medium voltage cable of a power system | |
| Carcelle | Power line communications in practice | |
| Hersent et al. | The internet of things: Key applications and protocols | |
| US20100034386A1 (en) | Device manager repository | |
| EP2493085B1 (en) | Coexistence in communication system | |
| CN106603400A (zh) | 一种基于窄带物联网的数据传输方法及网关 | |
| CN108430038B (zh) | 基于蓝牙多端对多端通讯的方法及系统 | |
| JP2016513927A (ja) | 電力グリッドを介して信号を送信する及び/又は受信するための方法、装置及びコンピュータプログラム | |
| WO2019199875A1 (en) | Method and apparatus for dynamic electrical load sensing and line to load switching | |
| CN106211184A (zh) | 基于微网协议的微网构建法 | |
| CN106533503B (zh) | 一种电力线网络通信的方法及装置 | |
| CN102113269B (zh) | 用于以太网供电网络的插接线缆的连接单元 | |
| CN212343809U (zh) | 一种边缘型蜂窝物联网专网系统 | |
| Cortés et al. | Smart metering systems based on power line communications | |
| US20190319456A1 (en) | Method and Apparatus for Sensing a DC or AC Electrical Receptacle and Line to Load Switching | |
| Berganza et al. | PLC for smart grid | |
| Bumiller | Powerline-channel adopted layer-design and link-layer for reliable data transmission | |
| Huczala et al. | Capturing energy meter data over secured power line | |
| Jain | Management Protocols for IoT | |
| CINAR | The Communication TECHNOLOGY (Plc) on Smart Grids and A Sample Application | |
| Reinisch et al. | Wireless communication in knx/eib | |
| Sivraj | Communication Infrastructure for Smart Microgrids | |
| CN116684832A (zh) | 通信系统和通信方法 | |
| Anand | Analysis of communication protocols for home area networks for Smart Grid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |