CN110650018A - 一种报文防篡改方法和装置 - Google Patents

Abstract

本发明公开了一种报文防篡改方法和装置，包括在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串；计算出与所述第一哈希字符串对应的第一安全哈希值；将所述第一安全哈希值附加在所述待发送报文的指定位置，构建出新报文。本发明通过在待发送报文中通信双方约定的位置处插入约定的随机字符串构建第一哈希字符串，并将与所述第一哈希字符串对应的第一哈希值附加到原有待发送报文尾部的方式，构建新的安全报文，该新的安全报文的传输不仅能携带原有报文内容，同时还具有防报文被篡改的特征，不仅不依赖加密、认证算法，还实现了数据链路层传输与报文应用层的解耦。

Description

一种报文防篡改方法和装置

技术领域

本发明属于电力系统通信领域，涉及一种报文防篡改方法和装置。

背景技术

在电力系统二次设备通信中，常采用基于标准协议的明文通信，虽然该方法能够很好地解决通信的互操作性问题，但也带来了二次设备通信报文被攻击篡改的风险，存在网络安全隐患。

在电力系统二次设备通信中，采用密码学加密、认证是最常见防止报文被篡改攻击的方法。但是，这些方法存在软件实现速度慢，加密硬件成本不容忽视的问题，在高实时、低成本的应用环境下存在应用困难的现象。另外，不同标准的通信协议采用的加密、认证方法也常有差异，如IEC 62351，其对报文的具体扩展也不相同。这些基于不同扩展与方法实现的安全协议，一方面存在经过安全加固的协议与原有协议间的兼容性存在不容忽视的问题，另一方面也存在不同通信协议需单独开发适配的问题，其开发与维护成本比较高。

发明内容

针对上述问题，本发明提出一种报文防篡改方法和装置，对不同通信协议提供通用的解决方案，简化系统复杂度的同时提升系统的实时性。

为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

第一方面，本发明提供了一种报文防篡改方法，包括：

在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串；

计算出与所述第一哈希字符串对应的第一安全哈希值；

将所述第一安全哈希值附加在所述待发送报文的指定位置，构建出新报文。

可选地，所述在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串，具体包括以下步骤：

获取待发送报文Msg_m；

以通信双方约定的n节点为分隔点，将所述待发送报文分隔为两部分，并以Msg_m＝Msg_(1,n)|Msg_(n+1,m)表示，m表示所述待发送报文Msg_m包括的总节点数；

在所述待发送报文Msg_m的n节点处插入通信双方约定的随机字符串R_Str，构建第一哈希字符串Msgh_m＝Msg_(1,n)|R_Str|Msg_(n+1,m)。

可选地，所述计算出与所述第一哈希字符串对应的第一安全哈希值，具体为：

基于通信双方约定共享的安全哈希算法，计算出与所述第一哈希字符串对应的第一安全哈希值。

可选地，所述将所述第一安全哈希值附加在所述待发送报文的指定位置，构建新报文，具体为：

将所述第一安全哈希值附加在所述待发送报文的尾部，构建新报文。

可选地，所述构建新报文步骤之后，还包括：

计算新报文的CRC校验码，并附加到所述新报文尾部，然后将含有CRC校验码的新报文发送至交换网络。

第二方面，本发明提供了一种报文防篡改方法，包括：

接收报文，将所述报文分隔为报文数据和第一安全哈希值两部分；

在所述报文数据中通信双方约定的位置处插入约定的随机字符串，构建第二哈希字符串；

计算出与所述第二哈希字符串对应的第二安全哈希值；

对比所述第二安全哈希值和第一安全哈希值，若二者不相等，则将判定所述报文数据为篡改报文；

其中，所述第一安全哈希值是通过计算第一哈希字符串获得的，所述第一哈希字符串是发送端通过在待发送报文中预设的位置处插入通信双方约定的随机字符串构建得到的。

可选地，所述将所述报文分隔为报文数据和第一安全哈希值，具体为：

以所述第一安全哈希值的长度L_H为分隔点，将所述报文分隔为报文数据和第一安全哈希值两部分，并以Msg_New”_m+H＝Msg'_m|Mh'_m表示，Mh'_m表示第一安全哈希值，长度为L_H；Msg'_m表示报文数据，其长度为L'_m＝Len(Msg_New'_m+H)-L_H。

可选地，所述将所述报文分隔为报文数据和第一安全哈希值两部分步骤之前，还包括：

对接收到的报文进行CRC校验，当通过CRC校验后，则丢弃CRC校验字段。

可选地，所述基于所述报文数据中通信双方约定的随机字符串的所处位置，将所述报文数据分隔成第二哈希字符串，具体为：

以通信双方约定的n节点为分隔点，将报文数据分隔为两部分，并以Msg”_m＝Msg₍'_1,n)|Msg'_(n+1,m)表示，m表示所述报文数据包括的总节点数；

在所述报文数据的n节点处插入通信双方约定的随机字符串R_Str，构建第二哈希字符串Msgh”_m＝Msg'_(1,n)|R_Str|Msg'_(n+1,m)。

可选地，所述计算出与所述第二哈希字符串对应的第二安全哈希值，具体为：

基于通信双方约定共享的安全哈希算法，计算出与所述第二哈希字符串对应的第二安全哈希值。

第三方面，本发明提供了一种报文防篡改装置，包括：

第一构建单元，用于在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串；

第一计算单元，用于计算出与所述第一哈希字符串对应的第一安全哈希值；

第二构建单元，用于将所述第一安全哈希值附加在所述待发送报文的指定位置，构建出新报文。

第四方面，本发明提供了一种报文防篡改装置，包括：

分隔单元，用于接收报文，将所述报文分隔为报文数据和第一安全哈希值两部分；

第三构建单元，用于在所述报文数据中通信双方约定的位置处插入约定的随机字符串，构建第二哈希字符串；

第二计算单元，用于计算出与所述第二哈希字符串对应的第二安全哈希值；

判定单元，用于对比所述第二安全哈希值和第一安全哈希值，若二者不相等，则将判定所述报文数据为篡改报文；

其中，所述第一安全哈希值是发送端通过计算第一哈希字符串获得的，所述第一哈希字符串是通过在待发送报文中预设的位置处插入通信双方约定的随机字符串构建得到的。

与现有技术相比，本发明的有益效果：

本发明的一种报文防篡改方法和装置，属于一种通用的数据链路层防篡改传输方法和装置，通过在待发送报文中通信双方约定的位置处插入约定的随机字符串构建第一哈希字符串，并将与所述第一哈希字符串对应的第一哈希值附加到原有待发送报文尾部的方式，构建新的安全报文，该新的安全报文的传输不仅能携带原有报文内容，同时还具有防报文被篡改的特征，不仅不依赖加密、认证算法，还实现了数据链路层传输与报文应用层的解耦。

进一步地，本发明的一种报文防篡改方法和装置，通过将接收到的报文分隔成报文数据和第一哈希值字符串，并在所述报文数据中通信双方约定的位置处插入约定的随机字符串构建第二哈希字符串，并将与所述第二哈希字符串对应的第二哈希值与所述第一哈希值进行比对，判断报文是否被篡改过，不仅实现了不仅不依赖加密、认证算法，还实现了数据链路层传输与报文应用层的解耦。

另外，本发明基于安全哈希函数的安全性与性能优势，解决了传统防篡改技术计算量大、实时性不高的问题，具有安全可靠、使用简单，执行效率高的特点。

附图说明

为了使本发明的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本发明作进一步详细的说明，其中：

图1为本发明一种实施例的报文防篡改方法的流程示意图；

图2为本发明一种实施例的报文防篡改装置的应用结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明的保护范围。

下面结合附图对本发明的应用原理作详细的描述。

现有技术中的防篡方法存在软件实现速度慢，加密硬件成本不容忽视的问题，在高实时、低成本的应用环境下存在应用困难的现象。另外，不同标准的通信协议采用的加密、认证方法也常有差异，如IEC 62351，其对报文的具体扩展也不相同。这些基于不同扩展与方法实现的安全协议，一方面存在经过安全加固的协议与原有协议间的兼容性存在不容忽视的问题，另一方面也存在不同通信协议需单独开发适配的问题，其开发与维护成本比较高。为此，本发明提供了一种报文防篡改方法和装置，能够对不同通信协议提供通用的解决方案，简化系统复杂度的同时提升系统的实时性。

实施例1

本发明实施例中提供了一种报文防篡改方法，包括以下步骤：

(1)在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串；

(2)计算出与所述第一哈希字符串对应的第一安全哈希值；

(3)将所述第一安全哈希值附加在所述待发送报文的指定位置，构建出新报文。

在本发明实施例的一种具体实施方式中，所述步骤(1)中的在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串，具体包括以下步骤：

(1.1)获取待发送报文Msg_m；

(1.2)以通信双方约定的n节点为分隔点，将所述待发送报文分隔为两部分，并以Msg_m＝Msg_(1,n)|Msg_(n+1,m)表示，m表示所述待发送报文Msg_m包括的总节点数；

(1.3)在所述待发送报文Msg_m的n节点处插入通信双方约定的随机字符串R_Str，构建第一哈希字符串Msgh_m＝Msg_(1,n)|R_Str|Msg_(n+1,m)。

所述步骤(2)中的计算出与所述第一哈希字符串对应的第一安全哈希值，具体为：

基于通信双方约定共享的安全哈希算法，计算出与所述第一哈希字符串对应的第一安全哈希值。

所述步骤(3)中的将所述第一安全哈希值附加在所述待发送报文的指定位置，构建新报文，具体为：

将所述第一安全哈希值附加在所述待发送报文的尾部，构建新报文。

进一步地，所述构建新报文步骤之后，还包括：

计算新报文的CRC校验码，并附加到所述新报文尾部，然后将含有CRC校验码的新报文发送至交换网络。

在本发明实施例的某一具体实施过程中，设定通信双方约定共享的安全哈希算法为SHA-256。对任意输入字符串x的哈希值计算公式为Mh_x＝SHA₂₅₆(x)，哈希值Mh_x固定32字节长(256位)，用L_H表示；双方约定共享随机字符串R_Str的固定长度为64字节(512位)；约定对任意层报文Msg_m插入字符串R_Str的位置信息，其值为n＝12。

所述报文防篡改方法设置在通信双方的发送端，如图1所示，具体包括以下详细步骤：

通信发送端口加载随机字符串R_Str以及位置信息n；

接收待发送报文Msg_m后，获取所述待发送报文Msg_m的长度，并以L_m表示；以所述待发送报文Msg_m的n＝12字节为分隔点，将所述待发送报文Msg_m分隔为两部分，并以Msg_m＝Msg_(1,12)|Msg_(13,m)表示；

在所述待发送报文Msg_m的两部分报文中间插入长度为64字节的共享字符串R_Str，构建第一哈希字符串Msgh_m＝Msg_(1,12)|R_Str|Msg_(13,m)，其长度为Len(Msgh_m)＝L_m+64；

用公式Mh_m＝SHA₂₅₆(Msgh_m)计算第一哈希字符串Msgh_m对应的第一哈希值Mh_m；所述第一哈希值Mh_m长度固定为32字节，用L_H表示；

在原有待发送报文Msg_m的尾部附加第一哈希值Mh_m构建新报文，其表达式为Msg_New_m+32＝Msg_m|Mh_m，其长度Len(Msg_New_m+32)＝L_m+32；

计算所述新报文Msg_New_m+H的CRC校验码并附加到所述新报文Msg_New_m+H的尾部，同时驱动物理硬件将所述新报文Msg_New_m+H发送交换网络，供通信双方的接收端接收。

综上所述：本发明实施例中的报文防篡改方法，在通信过程中用于设置在发送端，通过在待发送报文中通信双方约定的位置处插入约定的随机字符串构建第一哈希字符串，并将与所述第一哈希字符串对应的第一哈希值附加到原有待发送报文尾部的方式，构建新的安全报文，该新的安全报文的传输不仅能携带原有报文内容，同时还具有防报文被篡改的特征，不仅不依赖加密、认证算法，还实现了数据链路层传输与报文应用层的解耦。

实施例2

本发明实施例中提供了一种报文防篡改方法，包括以下步骤：

(1)接收报文，将所述报文分隔为报文数据和第一安全哈希值两部分；

(2)在所述报文数据中通信双方约定的位置处插入约定的随机字符串，构建第二哈希字符串；

(3)计算出与所述第二哈希字符串对应的第二安全哈希值；

(4)对比所述第二安全哈希值和第一安全哈希值，若二者不相等，则将判定所述报文数据为篡改报文；

其中，所述第一安全哈希值是发送端通过计算第一哈希字符串获得的，所述第一哈希字符串是通过在待发送报文中预设的位置处插入通信双方约定的随机字符串构建得到的。

在本发明实施例的一种具体实施方式中，所述将所述报文分隔为报文数据和第一安全哈希值两部分步骤之前，还包括：

对接收到的报文进行CRC校验，当通过CRC校验后，则丢弃CRC校验字段。

所述步骤(1)中的将所述报文分隔为报文数据和第一安全哈希值，具体为：

以所述第一安全哈希值的长度L_H为分隔点，将所述报文分隔为报文数据和第一安全哈希值两部分，并以Msg_New”_m+H＝Msg'_m|Mh'_m表示，Mh'_m表示第一安全哈希值，长度为L_H；Msg'_m表示报文数据，其长度为L'_m＝Len(Msg_New'_m+H)-L_H。

所述步骤(2)中的所述基于所述报文数据中通信双方约定的随机字符串的所处位置，将所述报文数据分隔成第二哈希字符串，具体为：

(2.1)以通信双方约定的n节点为分隔点，将报文数据分隔为两部分，并以Msg”_m＝Msg₍'_1,n)|Msg'_(n+1,m)表示，m表示所述报文数据包括的总节点数；

(2.2)在所述报文数据的n节点处插入通信双方约定的随机字符串R_Str，构建第二哈希字符串Msgh”_m＝Msg'_(1,n)|R_Str|Msg'_(n+1,m)。

所述步骤(3)中的计算出与所述第二哈希字符串对应的第二安全哈希值，具体为：

基于通信双方约定共享的安全哈希算法，计算出与所述第二哈希字符串对应的第二安全哈希值。

在本发明实施例的某一具体实施过程中，设定通信双方约定共享的安全哈希算法为SHA-256。对任意输入字符串x的哈希值计算公式为Mh_x＝SHA₂₅₆(x)，哈希值Mh_x固定32字节长(256位)，用L_H表示；双方约定共享随机字符串R_Str的固定长度为64字节(512位)；约定对任意层报文Msg_m插入字符串R_Str的位置信息，其值为n＝12。

所述报文防篡改方法设置在通信双方的接收端，如图1所示，具体包括以下详细步骤：

通信接收端口加载随机字符串R_Str以及位置信息n；

对接收到的报文进行CRC验证，当通过CRC验证后，则剔除CRC字段的报文标记为Msg_New'_m+32；

以报文Msg_New'_m+32的最后32字节为分隔点，将报文拆分成两部分，标识为Msg_New”_m+32＝Msg'_m|Mh'_m；其中Mh'_m长度为32字节，并以L'_m表示报文Msg'_m的长度；

以报文数据Msg'_m的n＝12字节为分隔点，将报文数据分为两部分，标识为Msg'_m＝Msg'_(1,12)|Msg'_(13,m)；

在报文数据Msg'_m的两部分中插入长度为64字节的共享字符串R_Str，构建第二哈希字符串Msgh'_m＝Msg'_(1,12)|R_Str|Msg'_(13,m)，其长度为Len(Msgh'_m)＝L'_m+64；

用公式Mh'_m'＝SHA₂₅₆(Msgh'_m)计算第二哈希字符串Msgh'_m的第二哈希值Mh'_m',第二哈希值Mh'_m'的长度为32字节；

若Mh'_m'≡Mh'_m，则判定报文数据Msg'_m为正确内容部分，并向上级应用或模块转发；否则判定为篡改报文，直接丢弃。

综上所述，本发明实施例中的一种报文防篡改方法，通过将接收到的报文分隔成报文数据和第一哈希值字符串，并在所述报文数据中通信双方约定的位置处插入约定的随机字符串构建第二哈希字符串，并将与所述第二哈希字符串对应的第二哈希值与所述第一哈希值进行比对，判断报文是否被篡改过，不仅实现了不仅不依赖加密、认证算法，还实现了数据链路层传输与报文应用层的解耦，且本发明实施例基于高效的安全哈希算法实现，相较加密、认证算法的实现，具有效率高，速度快的优点，更适合在高实时通信环境的应用。

实施例3

基于与实施例1相同的发明构思，本发明实施例中提供了一种报文防篡改装置，包括：

第一构建单元，用于在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串；

第一计算单元，用于计算出与所述第一哈希字符串对应的第一安全哈希值；

第二构建单元，用于将所述第一安全哈希值附加在所述待发送报文的指定位置，构建出新报文。

其余部分均与实施例1相同。

本发明实施例中的报文防篡改装置相当于图2中的发送模块，能够应用于数据链路层通信的轻量级报文防篡改，位于设备的物理通信链路链路层之上，并位于TCP/IP协议栈或实时网络驱动的下层。面向二层数据链路报文信息增加防篡改功能，与应用完全解耦，不影响任何应用层通信模块功能。

实施例4

本发明提供了一种报文防篡改装置，包括：

分隔单元，用于接收报文，将所述报文分隔为报文数据和第一安全哈希值两部分；

第三构建单元，用于在所述报文数据中通信双方约定的位置处插入约定的随机字符串，构建第二哈希字符串；

第二计算单元，用于计算出与所述第二哈希字符串对应的第二安全哈希值；

判定单元，用于对比所述第二安全哈希值和第一安全哈希值，若二者不相等，则将判定所述报文数据为篡改报文；

其中，所述第一安全哈希值是发送端通过计算第一哈希字符串获得的，所述第一哈希字符串是通过在待发送报文中预设的位置处插入通信双方约定的随机字符串构建得到的。

其余部分均与实施例2相同。

本发明实施例中的报文防篡改装置相当于图2中的接收模块，能够应用于数据链路层通信的轻量级报文防篡改，位于设备的物理通信链路链路层之上，并位于TCP/IP协议栈或实时网络驱动的下层。面向二层数据链路报文信息增加防篡改功能，与应用完全解耦，不影响任何应用层通信模块功能。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (12)

1.一种报文防篡改方法，其特征在于，包括：

在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串；

计算出与所述第一哈希字符串对应的第一安全哈希值；

将所述第一安全哈希值附加在所述待发送报文的指定位置，构建出新报文。

2.根据权利要求1所述的一种报文防篡改方法，其特征在于，所述在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串，具体包括以下步骤：

获取待发送报文Msg_m；

以通信双方约定的n节点为分隔点，将所述待发送报文分隔为两部分，并以Msg_m＝Msg_(1,n)|Msg_(n+1,m)表示，m表示所述待发送报文Msg_m包括的总节点数；

在所述待发送报文Msg_m的n节点处插入通信双方约定的随机字符串R_Str，构建第一哈希字符串Msgh_m＝Msg_(1,n)|R_Str|Msg_(n+1,m)。

3.根据权利要求1所述的一种报文防篡改方法，其特征在于，所述计算出与所述第一哈希字符串对应的第一安全哈希值，具体为：

基于通信双方约定共享的安全哈希算法，计算出与所述第一哈希字符串对应的第一安全哈希值。

4.根据权利要求1所述的一种报文防篡改方法，其特征在于，所述将所述第一安全哈希值附加在所述待发送报文的指定位置，构建新报文，具体为：

将所述第一安全哈希值附加在所述待发送报文的尾部，构建新报文。

5.根据权利要求1所述的一种报文防篡改方法，其特征在于，所述构建新报文步骤之后，还包括：

计算新报文的CRC校验码，并附加到所述新报文尾部，然后将含有CRC校验码的新报文发送至交换网络。

6.一种报文防篡改方法，其特征在于，包括：

接收报文，将所述报文分隔为报文数据和第一安全哈希值两部分；

在所述报文数据中通信双方约定的位置处插入约定的随机字符串，构建第二哈希字符串；

计算出与所述第二哈希字符串对应的第二安全哈希值；

对比所述第二安全哈希值和第一安全哈希值，若二者不相等，则将判定所述报文数据为篡改报文；

其中，所述第一安全哈希值是发送端通过计算第一哈希字符串获得的，所述第一哈希字符串是通过在待发送报文中预设的位置处插入通信双方约定的随机字符串构建得到的。

7.根据权利要求6所述的一种报文防篡改方法，其特征在于：所述将所述报文分隔为报文数据和第一安全哈希值，具体为：

以所述第一安全哈希值的长度L_H为分隔点，将所述报文分隔为报文数据和第一安全哈希值两部分，并以Msg_New”_m+H＝Msg'_m|Mh'_m表示，Mh'_m表示第一安全哈希值，长度为L_H；Msg'_m表示报文数据，其长度为L'_m＝Len(Msg_New'_m+H)-L_H。

8.根据权利要求6所述的一种报文防篡改方法，其特征在于，所述将所述报文分隔为报文数据和第一安全哈希值两部分步骤之前，还包括：

对接收到的报文进行CRC校验，当通过CRC校验后，则丢弃CRC校验字段。

9.根据权利要求6所述的一种报文防篡改方法，其特征在于：所述基于所述报文数据中通信双方约定的随机字符串的所处位置，将所述报文数据分隔成第二哈希字符串，具体为：

以通信双方约定的n节点为分隔点，将报文数据分隔为两部分，并以Msg”_m＝Msg′_(1,n)|Msg'_(n+1,m)表示，m表示所述报文数据包括的总节点数；

在所述报文数据的n节点处插入通信双方约定的随机字符串R_Str，构建第二哈希字符串Msgh”_m＝Msg'_(1,n)|R_Str|Msg'_(n+1,m)。

10.根据权利要求6所述的一种报文防篡改方法，其特征在于，所述计算出与所述第二哈希字符串对应的第二安全哈希值，具体为：

基于通信双方约定共享的安全哈希算法，计算出与所述第二哈希字符串对应的第二安全哈希值。

11.一种报文防篡改装置，其特征在于，包括：

第一构建单元，用于在待发送报文中通信双方约定的位置处插入约定的随机字符串，构建第一哈希字符串；

第一计算单元，用于计算出与所述第一哈希字符串对应的第一安全哈希值；

第二构建单元，用于将所述第一安全哈希值附加在所述待发送报文的指定位置，构建出新报文。

12.一种报文防篡改装置，其特征在于，包括：

分隔单元，用于接收报文，将所述报文分隔为报文数据和第一安全哈希值两部分；

第三构建单元，用于在所述报文数据中通信双方约定的位置处插入约定的随机字符串，构建第二哈希字符串；

第二计算单元，用于计算出与所述第二哈希字符串对应的第二安全哈希值；

判定单元，用于对比所述第二安全哈希值和第一安全哈希值，若二者不相等，则将判定所述报文数据为篡改报文；

其中，所述第一安全哈希值是通过计算第一哈希字符串获得的，所述第一哈希字符串是发送端通过在待发送报文中预设的位置处插入通信双方约定的随机字符串构建得到的。

Images