CN110650016B - 一种实现交直流控制保护系统网络数据安全的方法 - Google Patents

一种实现交直流控制保护系统网络数据安全的方法 Download PDF

Info

Publication number
CN110650016B
CN110650016B CN201910821577.1A CN201910821577A CN110650016B CN 110650016 B CN110650016 B CN 110650016B CN 201910821577 A CN201910821577 A CN 201910821577A CN 110650016 B CN110650016 B CN 110650016B
Authority
CN
China
Prior art keywords
message
signature
algorithm
key
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910821577.1A
Other languages
English (en)
Other versions
CN110650016A (zh
Inventor
刘井密
文继锋
李彦
徐征宇
刘国伟
周强
李响
赵天恩
许宗光
徐康
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NR Electric Co Ltd
NR Engineering Co Ltd
State Grid Electric Power Research Institute
Original Assignee
NR Electric Co Ltd
NR Engineering Co Ltd
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NR Electric Co Ltd, NR Engineering Co Ltd, State Grid Electric Power Research Institute filed Critical NR Electric Co Ltd
Priority to CN201910821577.1A priority Critical patent/CN110650016B/zh
Publication of CN110650016A publication Critical patent/CN110650016A/zh
Application granted granted Critical
Publication of CN110650016B publication Critical patent/CN110650016B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本发明公开了一种实现交直流控制保护系统网络数据安全的方法,该方法利用预设的置换算法对产生的密钥按比特位置进行位置置换,并利用置换后的密钥和预设的加密算法对报文的负载和签名加密并组成密文;接收端收到报文通过预设的逆置换算法对动态密钥进行还原,然后利用还原后的密钥和预设的加密算法对密文进行解密,得到报文负载和签名;对接收的报文进行验证签名时,利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证。本发明方法控制保护系统内的网络报文实现了加密传输,系统外的装置截获报文后不能够解析内容,也不能够伪造报文注入到系统内,保证了系统内网络数据的安全。

Description

一种实现交直流控制保护系统网络数据安全的方法
技术领域
本发明属于电力继电保护领域,特别涉及一种实现交直流控制保护系统网络数据安全的方法。
背景技术
以太网是一种局域网技术。IEEE组织的IEEE 802.3协议制定了以太网的技术标准。以太网是目前应用最普及的局域网技术,从运行的速率可以分为快速以太网、千兆以太网和万兆以太网。在以太网链路上的数据包称作以太帧。以太帧起始部分由前导码和帧开始符组成。后面紧跟着一个以太网报头,以MAC地址说明目的地址和源地址。帧的中部是该帧负载的包含其他协议报头的数据包(例如IP协议)。以太帧由一个32位冗余校验码结尾。它用于检验数据传输是否出现损坏。
直流换流站与交流变电站控制保护系统中,大量使用以太网作为通信手段,各种核心业务,如GOOSE、SMV以及直流主机间,系统间,极点通信等,均采用明文通信方式。虽然直流换流站和交流变电站采用网络隔离的方法把站内的局域网与外界的网络划分为独立的网络,保证内外网之间没有物理连接,这样的组网能够保证内网的信息安全。但简单的物理隔离仍然存在很大的漏洞和缺陷。例如入侵者可以将便携式计算机等设备接入到内网与其它网络设备通讯,截获、窃取保密资料。简单的明文通信容易被拦截,识别和破解,有明显的安全隐患。
发明内容
本发明的目的,在于提供一种实现交直流控制保护系统网络数据安全的方法,能够实现网络报文的加密传输,系统外的装置截获报文后不能够解析内容,也不能够伪造报文注入到系统内,保证了系统内网络数据的安全。
为了达成上述目的,本发明公开了一种实现交直流控制保护系统网络数据安全的方法,其特征在于,包括以下步骤:
系统中装置在链路层对网络报文进行签名、加密和位置置换后发送;装置接收网络报文后,在链路层对报文进行位置置换提取密钥、解密和验证签名后再使用。
发送装置针对发送的每帧报文产生密钥,并利用置换算法对密钥按比特位置进行位置置换;
发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名,利用预设的加密算法对报文负载和签名加密,将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置;
接收装置利用预设的置换算法对密钥进行还原,利用还原后的密钥和预设的加密算法对密文进行解密,得到报文负载和签名;
接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证,通过验证,则报文安全。
进一步地,系统中装置针对发送的每帧报文产生不同动态密钥,装置通过定时器的输出来产生动态密钥,所采用的密钥生成算法为:
FrameKeyN=K(TimerN)
其中,FrameKeyN为每帧报文的密钥,TimerN为N位定时器的实时值,K为产生密钥的函数。
本发明的有益效果:
1、本发明实现网络报文的加密传输,系统外的装置截获报文后不能够解析内容,也不能够伪造报文注入到系统内,保证了系统内网络数据的安全;本发明通过采用置换算法将产生的密钥进行按位置换产生了随机的密钥;增加了对报文解析的难度;
2、本发明针对发送的每帧报文产生不同动态密钥,增加了截获解密的难度;
3、本发明中的签名、加密和置换运算均采用单独的处理器实现,减小发送装置的中央处理单元的负载且更加安全。
附图说明
图1是本发明的结构示意图;
图2是对网络报文加密时报文内容的变化;
图3是对网络报文解密时报文内容的变化。
具体实施方式
以下结合附图,对本发明的实施进行详细说明。
实施例:一种实现交直流控制保护系统网络数据安全的方法,包括:
发送装置针对发送的每帧报文产生密钥,并利用置换算法对密钥按比特位置进行位置置换;
发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名,利用预设的加密算法对报文负载和签名加密,将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置;
接收装置利用预设的置换算法对密钥进行还原,利用还原后的密钥和预设的加密算法对密文进行解密,得到报文负载和签名;
接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证,通过验证,则报文安全。
在以上实施例的基础上,为了增加了截获解密的难度,另一实施例中:系统中发送装置针对发送的每帧报文产生不同的动态密钥。特征在于系统中装置针对发送的每帧报文产生不同动态密钥,装置利用FPGA(也可以采用其它处理器)维护一个N位的定时器,通过定时器的输出来产生动态密钥,所采用的密钥生成算法为:
FrameKeyN=K(TimerN)
其中,FrameKeyN为每帧报文的密钥,TimerN为N位定时器的实时值,K为产生密钥的函数。
可选地,动态密钥位于报文类型后,报文负载前。
具体实施例中,利用预设的签名算法对动态密钥和报文负载进行签名,签名的结果放在报文负载后,报文校验前,所采用的签名算法为:
SignatureN=H(FrameKeyN,FramePayloadN)
其中,FrameKeyN为动态密钥,FramePayloadN为报文负载,H为发送和接收装置预设的签名算法。
对发送的报文进行加密时,利用签名时产生的密钥和预设的加密算法对报文的负载和签名加密,所采用的加密算法为:
CiphertextN=E(FrameKeyN,(FramePayloadN,SignatureN))
其中,CiphertextN为加密后的报文,FrameKeyN为加密用的密钥,(FramePayloadN,SignatureN)为报文负载和签名,E为预设的加密算法。
对发送的报文进行加密时,利用预设的置换算法对动态密钥按比特位置进行位置置换,置换后的密钥和加密后的负载及签名组成密文,所采用的置换算法为:
RkeyN=R(FrameKeyN)
其中,RkeyN为置换后的密钥,FrameKeyN为置换前的密钥,R为预设的置换算法。
对接收的报文进行解密时,先通过预设的逆置换算法对动态密钥进行还原,所采用的逆置换算法为:
FrameKeyN=R-1(RkeyN)
其中,FrameKeyN为还原后的密钥,RkeyN为置换后的密钥,R-1为权利要求6中的预设的置换算法R的逆函数。
如图1所示,系统中装置在链路层对网络报文进行签名、动态加密和位置置换后发送;装置接收网络报文后,在链路层对报文进行位置置换提取动态密钥、解密和验证签名后再使用。
如图1和图2所示:该方法对发送的报文进行签名时,先产生一个动态密钥,动态密钥放在报文类型(即图2、图3中的帧类型)后,报文负载前,然后利用预设的签名算法对密钥和报文负载进行签名,签名的结果放在报文负载后,报文校验前;该方法对发送的报文进行加密时,利用签名时产生的密钥和预设的加密算法对报文的负载和签名加密,同时利用预设的置换算法对动态密钥按比特位置进行位置置换,置换后的密钥和加密后的负载及签名组成密文。如图1和图3所示:该方法对接收的报文进行解密时,先通过预设的置换算法对动态密钥进行还原,然后利用还原后的密钥和预设的加密算法对密文进行解密,得到报文负载和签名。
本发明方法对接收的报文进行验证签名时,利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证,通过验证的报文才能被使用。
本发明方法将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置。报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变。报文也是网络传输的单位,传输过程中会不断的封装成分组、包、帧来传输,封装的方式就是添加一些信息段,那些就是报文头以一定格式组织起来的数据。比如里面有报文类型,报文版本,报文长度,报文实体等等信息。
报文发送的原理是当一个站点要发送报文时,它将一个目的地址附加到报文上,网络节点根据报文上的目的地址信息,把报文发送到下一个节点,一直逐个节点地转送到目的节点。每个节点在收到整个报文并检查无误后,就暂存这个报文,然后利用路由信息找出下一个节点的地址,再把整个报文传送给下一个节点。具体实现方法不做赘述。
需要说明的是,本发明方法中的签名方法、加密解密方法以及置换方法可采用现有技术实现,不做赘述。
以上实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。

Claims (9)

1.一种实现交直流控制保护系统网络数据安全的方法,其特征在于,包括:
发送装置针对发送的每帧报文产生密钥,并利用置换算法对密钥按比特位置进行位置置换;
发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名,利用预设的加密算法对报文负载和签名加密,将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置;
接收装置利用预设的置换算法对密钥进行还原,利用还原后的密钥和预设的加密算法对密文进行解密,得到报文负载和签名;
接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证,通过验证,则报文安全;
对发送的报文进行加密时,利用签名时产生的密钥和预设的加密算法对报文的负载和签名加密,所采用的加密算法为:
CiphertextN=E(FrameKeyN,(FramePayloadN,SignatureN))
其中,CiphertextN为加密后的报文,FrameKeyN为加密用的密钥,(FramePayloadN,SignatureN)为报文负载和签名,E为预设的加密算法。
2.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于,发送装置针对发送的每帧报文产生不同动态密钥。
3.如权利要求2所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于,发送装置通过定时器的输出来产生动态密钥,所采用的密钥生成算法为:
FrameKeyN=K(TimerN)
其中,FrameKeyN为每帧报文的密钥,TimerN为N位定时器的实时值,K为产生密钥的函数。
4.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于,所述密钥位于报文中的帧类型后,报文负载前。
5.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于,利用预设的签名算法对密钥和报文负载进行签名,所采用的签名算法为:
SignatureN=H(FrameKeyN,FramePayloadN)
其中,FrameKeyN为密钥,FramePayloadN为报文负载,H为发送和接收装置预设的签名算法。
6.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于,对发送的报文进行加密时,利用预设的置换算法对密钥按比特位置进行位置置换,置换后的密钥和加密后的负载及签名组成密文,所采用的置换算法为:
RkeyN=R(FrameKeyN)
其中,RkeyN为置换后的密钥,FrameKeyN为置换前的密钥,R为预设的置换算法。
7.如权利要求6所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于,对接收的报文进行解密时,先通过预设的逆置换算法对密钥进行还原,所采用的逆置换算法为:
FrameKeyN=R-1(RkeyN)
其中,FrameKeyN为还原后的密钥,RkeyN为置换后的密钥,R-1为权利要求6中的预设的置换算法R的逆函数。
8.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于对接收的报文进行验证签名时,利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证。
9.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法,其特征在于,发送装置签名、加密和置换运算采用单独的处理器实现。
CN201910821577.1A 2019-09-02 2019-09-02 一种实现交直流控制保护系统网络数据安全的方法 Active CN110650016B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910821577.1A CN110650016B (zh) 2019-09-02 2019-09-02 一种实现交直流控制保护系统网络数据安全的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910821577.1A CN110650016B (zh) 2019-09-02 2019-09-02 一种实现交直流控制保护系统网络数据安全的方法

Publications (2)

Publication Number Publication Date
CN110650016A CN110650016A (zh) 2020-01-03
CN110650016B true CN110650016B (zh) 2022-09-23

Family

ID=68991431

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910821577.1A Active CN110650016B (zh) 2019-09-02 2019-09-02 一种实现交直流控制保护系统网络数据安全的方法

Country Status (1)

Country Link
CN (1) CN110650016B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101145908A (zh) * 2006-09-14 2008-03-19 华为技术有限公司 保障业务网络安全的系统、装置及方法
CN109041052A (zh) * 2018-07-02 2018-12-18 北京市燃气集团有限责任公司 一种基于标识算法的安全通信方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1323523C (zh) * 2003-04-02 2007-06-27 华为技术有限公司 一种在无线局域网中生成动态密钥的方法
CN100586063C (zh) * 2006-06-05 2010-01-27 中国电信股份有限公司 用于以太网数据的三重搅动方法
JP5338816B2 (ja) * 2008-09-04 2013-11-13 富士通株式会社 送信装置、受信装置、送信方法および受信方法
KR20100042457A (ko) * 2008-10-16 2010-04-26 삼성전자주식회사 데이터 암호화 방법 및 장치와 데이터 복호화 방법 및 장치
CN103428199B (zh) * 2013-05-23 2017-02-08 中国科学院信息工程研究所 一种适用于IPv6的信息防泄漏方法及系统
CN104253684B (zh) * 2014-09-23 2018-02-02 深圳市汇顶科技股份有限公司 加密方法和加密装置
CN105791258A (zh) * 2014-12-26 2016-07-20 中国移动通信集团上海有限公司 一种数据传输方法、终端及开放平台
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN109617876A (zh) * 2018-12-11 2019-04-12 北京首汽智行科技有限公司 基于Http协议的数据加密、解密方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101145908A (zh) * 2006-09-14 2008-03-19 华为技术有限公司 保障业务网络安全的系统、装置及方法
CN109041052A (zh) * 2018-07-02 2018-12-18 北京市燃气集团有限责任公司 一种基于标识算法的安全通信方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Security analysis on a verifiably encrypted signature scheme;Li Yong-qiang ET AL;《2010 International Conference on Future Information Technology and Management Engineering》;20101203;全文 *
计算机网络安全中数据加密技术研究;李生弓;《科技广场》;20170930;全文 *

Also Published As

Publication number Publication date
CN110650016A (zh) 2020-01-03

Similar Documents

Publication Publication Date Title
CN104158653B (zh) 一种基于商密算法的安全通信方法
US8356177B2 (en) Key transport in authentication or cryptography
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
CN111245862A (zh) 一种物联网终端数据安全接收、发送的系统
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN102111273B (zh) 一种基于预共享的电力负荷管理系统数据安全传输方法
CN103905180A (zh) 经典应用接入量子通信网络的方法
CN101103586A (zh) 在通信系统中加密/解密信号的装置和方法
CN103428221A (zh) 对移动应用的安全登录方法、系统和装置
WO2007059558A1 (en) Wireless protocol for privacy and authentication
CN105357218A (zh) 一种具备硬件加解密功能的路由器及其加解密方法
US9872175B2 (en) Packet processing method, apparatus, and system
CN112073115B (zh) 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器
CN104219217A (zh) 安全关联协商方法、设备和系统
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
CN1323523C (zh) 一种在无线局域网中生成动态密钥的方法
CN113572766A (zh) 电力数据传输方法和系统
CN109005151A (zh) 一种信息加密、解密处理方法和处理终端
CN117098123B (zh) 一种基于量子密钥的北斗短报文加密通信系统
KR20200099873A (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN111555879B (zh) 一种卫星通信网管信道报文加解密方法及系统
CN106209384B (zh) 使用安全机制的客户终端与充电装置的通信认证方法
CN108111515B (zh) 一种适用于卫星通信的端到端安全通信加密方法
CN110650016B (zh) 一种实现交直流控制保护系统网络数据安全的方法
CN115459913A (zh) 一种基于量子密钥云平台的链路透明加密方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20200515

Address after: 211102 Jiangning, Jiangsu, Jiangsu Province, the source of the road No. 69

Applicant after: NR ELECTRIC Co.,Ltd.

Applicant after: NR ENGINEERING Co.,Ltd.

Applicant after: STATE GRID ELECTRIC POWER RESEARCH INSTITUTE Co.,Ltd.

Address before: 211102 Jiangning, Jiangsu, Jiangsu Province, the source of the road No. 69

Applicant before: NR ELECTRIC Co.,Ltd.

Applicant before: NR ENGINEERING Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant