CN110753344A - 基于NB-IoT的智能表安全接入系统 - Google Patents
基于NB-IoT的智能表安全接入系统 Download PDFInfo
- Publication number
- CN110753344A CN110753344A CN201911068100.7A CN201911068100A CN110753344A CN 110753344 A CN110753344 A CN 110753344A CN 201911068100 A CN201911068100 A CN 201911068100A CN 110753344 A CN110753344 A CN 110753344A
- Authority
- CN
- China
- Prior art keywords
- safety
- access
- terminal
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开的一种基于NB‑IoT的智能表安全接入系统,其使得智能表终端的接入系统更加的安全、可靠,能够同时实现成本低,能够实现无源智能表终端的安全接入。本发明包含安全接入终端、安全通道、安全接入平台和企业内网;安全接入终端是经过安全加固的智能表终端;安全通道为采用虚拟专网技术在NB‑IoT网络之上建立的加密隧道;安全接入平台是智能表终端接入企业内网应用并进行数据交换和授权访问的基础平台;还包含统一密钥管理系统,统一密钥管理系统为安全接入终端发放密钥且对安全接入平台进行密钥验证;所述安全接入终端内设置有接入终端安全防护模块;所述安全通道内设置有网络环境安全防护模块。
Description
技术领域
本发明涉及一种智能表安全接入系统,具体智能表的数据采集传输以及整个过程的安全防护。
背景技术
随着社会的发展以及我国能源结构转型,水表和气表已经走进了千家万户,但是传统的机械式的水气表要靠人工上门进行抄表,难免会存在效率低、人工成本高、记录数据容易出错、维护管理困难、缴费不方便等弊端。
因此,基于运营商无线网络的远程智能抄表便应运而生,它解决了人工抄表一系列问题。其中,具有强覆盖、大容量、低成本、低功耗等特性NB-IoT传输技术将被大量应用于智能表中。
但是,NB-IoT通信技术完全借助于运营商提供的公共无线信道,无线网络固有的脆弱性会给系统带来潜在的风险:1)攻击者可以通过发射干扰信号造成通信的中断;2)攻击者可通过伪基站方式获取信息,导致企业数据泄漏;3) NB-IoT网络自身认证机制弱,存在数据仿冒、篡改等风险,威胁企业应用安全; 4)由于单个扇区的节点数目庞大,攻击者可以利用控制的节点发起拒绝服务攻击,进而影响网络的性能。
本方案设计引入高效的端到端身份认证机制、密钥协商机制,为NB-IoT的数据传输提供机密性和完整性保护,同时也能够有效认证消息的合法性,解决 NB-IoT通信中的安全问题。
传统的网络通信加密方案是基于虚拟专用网(VPN)接入技术,通过对接入终端、数据传输以及应用系统的全方位改造,实现对企业内部网的扩展,帮助远程终端与公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
但是互联网中的VPN接入技术,例如IPSEC、SSL等,其安全协议实现较为复杂,直接部署于NB-IoT网络中将造成认证时间较长,通信速率较低等问题。
目前国内大部分的智能电表均已实现了基于GPRS网络的无线传输,并通过植入标准安全芯片的方式实现关键费控数据的加密传输。但是燃气表由于没有外部电源直接供电,对自身设备的通信模块与安全功能功耗要求较高,瞬时最大电流可达到2A的GPRS通信与工作电流达到20mA的标准安全芯片将对燃气表电池性能的选型和成本控制增加很大的困难。
如何通过轻量级的安全加密技术,使用低功耗安全芯片实现无源智能表终端的安全接入成为智能表发展过程中亟待解决的关键问题。
发明内容
本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种基于NB-IoT的智能表安全接入系统,其使得智能表终端的接入系统更加的安全、可靠,能够同时实现成本低,能够实现无源智能表终端的安全接入。
为了达到上述目的,本发明采用以下技术方案予以实现:
基于NB-IoT的智能表安全接入系统,包含安全接入终端、安全通道、安全接入平台和企业内网;
安全接入终端是经过安全加固的智能表终端;
安全通道为采用虚拟专网技术在NB-IoT网络之上建立的加密隧道,用于安全接入终端与安全接入平台之间的数据安全传输;
安全接入平台是智能表终端接入企业内网应用并进行数据交换和授权访问的基础平台;
还包含统一密钥管理系统,统一密钥管理系统为安全接入终端发放密钥且对安全接入平台进行密钥验证;
所述安全接入终端内设置有接入终端安全防护模块;
所述安全通道内设置有网络环境安全防护模块;
所述安全接入平台内设置有边界安全防护模块;
所述企业内网设置有应用安全防护模块。
作为本发明的一种优选实施方式:所述安全接入终端内的经过安全加固的智能表终端为通过软件安全模块或者硬件加密模块进行安全加固的智能表终端;
所述安全通道的承载网络采用专线方式,所述专线方式为无线方式的APN 专线;所述安全通道的通讯方式采用基于SSL裁剪后的安全通讯协议,在专线上建立加密隧道,对传输的数据进行加密保护。
作为本发明的一种优选实施方式:所述安全接入平台包含负责建立安全通道和对智能表终端进行访问控制的安全接入网关;安全接入网关在对智能表终端进行身份认证,保证智能表终端可信性的同时,利用安全通信协议与安全接入网关建立安全通道,对传送的数据进行加密,防止数据在传送的过程中被截获、篡改和破坏。
作为本发明的一种优选实施方式:所述接入终端安全防护通过对接入终端进行安全加固,确保接入终端的安全;所述网络环境安全防护对网络传输的业务信息流进行安全防护,一方面承载网络采用逻辑专线方式,另一方面,采用虚拟专网技术在逻辑专线上建立安全通道,对通信双方进行身份认证,对传输的数据进行加密,实现端到端的安全传输要求;所述边界安全防护通过安全接入网关隔离外部接入终端和内部应用,采取身份认证、访问控制以及终端安全检查,实现细粒度的访问控制策略下,合法接入终端以及合法用户对网络和应用系统的合法访问;所述应用安全防护包含对应用系统本身的防护,对于接入终端数据访问的安全防护,采取权限管理、数据校验措施。
作为本发明的一种优选实施方式:所述智能表终端的硬件主板或 NB-IoT通信主板上嵌入用于实现SM1、SM2、SM3及SM4加密算法的低功耗国密安全芯片,利用ISO7816接口或SPI接口与主板进行交互,实现智能表本地数据的加密存储及数据传输过程中的安全加密。
作为本发明的一种优选实施方式:还包含对智能表终端在上线之前进行额外的系统初始化工作流程以及对应用程序的改造流程:
所述系统初始化工作流程包含如下步骤:
(1)初始化安全芯片,生成密钥对;
(2)生成安全芯片的证书请求,把证书请求提交证书签发机构进行签发,签发出来的证书供远端装置使用;
(3)导入远端装置的证书。
所述应用程序的改造流程包含如下步骤:
(Ⅰ)应用程序在和远端进行连接之后,数据交互之前,需要进行双向的身份认证,只有通过身份认证,才能进行后续的数据通信;
(Ⅱ)应用程序在与远端进行正常数据通信的时候,需要对通信的数据进行加解密操作。
作为本发明的一种优选实施方式:所述系统初始化工作流程还包含密钥协商的步骤,所述密钥协商的步骤具体如下:
应用程序在建立完TCP连接之后,需要立即与远端进行会话密钥协商,只有协商好会话密钥之后,才能进行后续的数据通信;
密钥协商由TCP连接的发起端发起,密钥协商过程的具体步骤如下:
S1、装置1产生随机数r1,作:
A=ECert2(r1)‖ESkey1(H(r1)),将A发送到装置2;
S2、装置2对A解密并验证装置1的签名,产生随机数r2,作:
B=ECert1(r2)‖ESkey2(H(r2)),将B发送到装置1;
合成会话密钥:
S3、装置1对B解密并验证装置2的签名,作:
合成会话密钥:
装置2做
并比较C与D是否相同;
若相同,则此时双方已经验证的对方身份,并持有会话密钥:
若不同,则装置2给出协商失败告警信息,通知装置1,由装置1重新发起密钥协商。
作为本发明的一种优选实施方式:所述系统初始化工作流程还包含加密过程,所述加密过程包含如下步骤:
Ⅰ:对原始的数据报文填充1~16字节,使其长度为16的倍数,填充的第一个字节为0x80,后续的填充字节内容为0x0;附加加密报文的头部信息及初始向量IV。
Ⅱ:对填充后的原始报文+填充报文使用之前协商好的会话密钥DK进行加密。
作为本发明的一种优选实施方式:所述智能表终端包含加密芯片、密钥、 SIM卡和安全通信模块;所述安全通信模块包含认证模块和加密模块;所述安全接入平台包含安全通道模块、身份认证模块、数据加密模块、访问控制模块和安全审计模块;所述企业内网包含计量系统,所述计量系统包含缴费系统、信息采集系统、数据库、客服管理系统。
作为本发明的一种优选实施方式:所述安全接入平台还包含有用于提供对整个数据交换行为的完整审计安全的数据过滤系统,数据过滤系统包括对数据来源、交换发生时间、数据交换的目标、数据交换进行审计,确保终端对信息内网的业务的安全访问。
本发明有益效果是:
本发明的安全接入终端是经过安全加固的智能表终端,安全的接入终端可以保证从源头杜绝危险。安全通道采用虚拟专网技术在NB-IoT网络之上建立的虚拟隧道,可以保证数据的安全传输。安全接入平台是智能表接入内网应用并进行数据交换和授权访问的基础平台,保证企业内网应用的安全接入控制。本发明从接入终端、网络环境、边界和应用四个层次进行安全防护,体现层层递进、纵深防御的设计思想。通过四层的安全防护模式,实现了对智能表接入过程中数据交互的全面安全防护,保证了企业信息内网的安全。
附图说明
图1为本发明的一种具体实施方式的结构框图;
图2为本发明的一种优选实施方式的总体架构图;
图3为本发明的一种优选实施方式的防护体系示意图;
图4为本发明的应用安全防护的加解密流程图;
图5为协商好会话密钥后的加密过程示意图;
图6为本发明的应用安全防护的密钥协商流程图。
附图标记说明:
100-安全接入终端,200-安全通道,300-安全接入平台,400-企业内网, 500-统一密钥管理系统。
具体实施方式
下面结合附图及实施例描述本发明具体实施方式:
如图1~6所示,其示出了本发明的具体实施方式,如图所示,本发明公开的基于NB-IoT的智能表安全接入系统是针对智能表传输数据需求建立的以数据安全为核心的数据交互安全模型。下述实施例具体介绍从基于NB-IoT的智能表安全接入体系、安全接入平台架构以及安全接入防护应用体系来介绍本系统的具体实施例方案。
一、关于基于NB-IoT的智能表安全接入体系:
如图1所示:安全接入体系用于解决目前智能燃气表外网接入存在的用户信息易泄漏、身份认证不严格和访问控制粒度不够等问题。
安全接入体系包含三部分:安全接入终端100、安全通道200和安全接入网关。
安全接入终端是经过安全加固的智能表终端,安全接入终端可以保证从源头杜绝危险。
安全通道为采用虚拟专网技术在NB-IoT网络之上建立的虚拟隧道,可以保证数据的安全传输。
安全接入网关(也可以称为安全接入平台300)是智能表终端接入企业内网400应用并进行数据交换和授权访问的基础平台,保证企业内网应用的安全接入控制。
二、关于安全接入架构:
如图2所示:安全接入架构分为安全接入终端层、安全传输通道层、安全接入平台层和业务访问层四层,包含安全接入终端、安全传输通道、安全接入平台和统一密钥管理系统。
如图所示,所述安全接入终端指经过安全加固(如进行增加软件形式的安全模块、增加硬件加密模块等安全防护措施)的安全终端,这些终端需要通过外部网络访问企业内网。
由于智能表终端自身防护能力有限,在进行数据交互接入过程中会对企业内网带来安全威胁。从终端安全的角度,需要对其进行安全加固,包括终端通信数据安全加密、终端身份安全认证等。
如图所示,所述安全传输通道是为了防止数据在传输的过程中被窃听、篡改、破坏,终端和安全接入网关之间采用安全传输通道进行通信。安全传输通道的安全从两方面保证:一方面,承载网络采用专线方式,如无线方式的APN 专线;另一方面,通讯方式采用基于SSL裁剪后的安全通讯协议,在专线上建立安全通道(所述安全通道为图3所示的加密隧道),对传输的数据进行加密保护。
如图2所示,所述安全接入平台层的安全接入网关作为安全接入平台层的核心,负责建立安全通道和对智能表终端进行访问控制,能够保证接入传输的安全和企业内网系统的安全。安全接入网关在对智能表终端进行身份认证,保证智能表终端可信性的同时,利用安全通信协议与安全接入网关建立安全通道,对传送的数据进行加密,防止数据在传送的过程中被截获、篡改和破坏。
此外,安全接入网关还应根据相应的规则对智能表终端的访问权限进行控制,赋予用户最小的特权,保证智能表终端只能访问与其自身的角色和权限相对应的内部资源,保证整体内网系统的安全。
三、关于安全接入防护体系:
如图3所示:基于NB-IoT智能表安全接入防护体系从接入终端安全防护、网络环境安全防护、边界安全防护和应用安全防护四个层次进行安全防护,体现层层递进、纵深防御的设计思想。通过四层的安全防护模式,实现了对智能表接入过程中数据交互的全面安全防护,保证了企业信息内网的安全。
如图3所示:所述接入终端安全防护的目的是确保接入终端自身的安全性,确保业务数据在进入、离开或驻留接入终端时保持可用性、完整性和保密性。通过对接入终端进行安全加固,确保接入终端的安全。
如图3所示:网络环境安全防护侧重于对网络传输的业务信息流进行安全防护。一方面承载网络采用逻辑专线方式,另一方面,采用虚拟专网技术在逻辑专线上建立安全通道,对通信双方进行身份认证,对传输的数据进行加密,实现端到端的安全传输要求。
如图3所示:所述边界安全防护考虑的是使非法终端、不安全终端和非法用户无法接入内网,确保内网不受来自外部的攻击。通过安全接入网关隔离外部接入终端和内部应用,采取身份认证、访问控制以及终端安全检查等安全措施,实现细粒度的访问控制策略下,合法接入终端以及合法用户对网络和应用系统的合法访问,达到有效控制每个接入用户可以访问到的应用资源的效果。
如图3所示:所述应用安全防护包含对应用系统本身的防护。对于接入终端数据访问的安全防护,采取权限管理、数据校验等措施。
本发明在具体实施时,需要对现有的硬件和软件进行局部改进,其中硬件改进包含:
在智能表终端的硬件主板或NB-IoT通信主板上,嵌入低功耗国密安全芯片,芯片主要用于实现SM1、SM2、SM3及SM4加密算法,利用ISO7816接口或SPI 接口与主板进行交互,实现智能表本地数据的加密存储及数据传输过程中的安全加密。
如图4、5和6所示:软件改进包含:系统初始化工作和应用程序改造:
如图所示,所述系统初始化工作是为了应用安全防护功能,智能表终端在上线之前需要进行额外的初始化工作,系统初始化工作主要包括如下流程:
(1)初始化安全芯片,生成密钥对;
(2)生成安全芯片的证书请求,把证书请求提交证书签发机构进行签发,签发出来的证书供远端装置(即主站端)使用;
(3)导入远端装置(即主站端)的证书
如图所示,所述应用程序改造包含如下步骤:
应用程序需要做一些额外的工作,以便使用上安全防护功能。
(Ⅰ)应用程序在和远端(即主站端)进行连接之后,数据交互之前,需要进行双向的身份认证。只有通过身份认证,才能进行后续的数据通信。
(Ⅱ)应用程序在与远端进行正常数据通信的时候,需要对通信的数据进行加解密操作
具体流程如图4所示(图中密钥协商和加密通信步骤为应用程序需要添加或改动的部分)。
密钥协商和数据加密的帧结构如下表:
| 报文类型 | 子类型 | 报文总长度 | 报文内容 |
| 1byte | 1byte | 2bytes(网络序) | n bytes |
注:由于报文总长度为2字节,最大为65535,因此,原始单个报文的帧长度不得高于65463(已考虑到了报文填充、IP、TCP头等)。
如图3所示,其中密钥协商步骤具体如下:
应用程序在建立完TCP连接之后,需要立即与远端进行会话密钥协商,只有协商好会话密钥之后,才能进行后续的数据通信。
在进行描述之前,对用到的一些符号进行如下表中的定义说明:
| rN | 装置N产生的随机数 |
| DK | 会话密钥 |
| Cert N | 装置N的公钥(SM2公钥) |
| Skey N | 装置N的私钥(SM2私钥) |
| EX(Y) | 用X对Y作加密运算 |
| H(Y) | 对Y作散列运算(SM3算法) |
| ‖ | 连接 |
密钥协商由TCP连接的发起端发起,密钥协商过程如图6所示:
密钥协商过程的具体步骤如下:
S1、装置1产生随机数r1,作:
A=ECert2(r1)‖ESkey1(H(r1)),将A发送到装置2;
S2、装置2对A解密并验证装置1的签名,产生随机数r2,作:
B=ECert1(r2)‖ESkey2(H(r2)),将B发送到装置1;
合成会话密钥:
S3、装置1对B解密并验证装置2的签名,作:
合成会话密钥:
装置2做
并比较C与D是否相同。
若相同,则此时双方已经验证的对方身份,并持有会话密钥:
若不同,则装置2给出协商失败告警信息,通知装置1,由装置1重新发起密钥协商。
需要说明的是:上述的SN由协商发起方随机设置,SN的引入是为了抗重放攻击。
具体的报文结构如下:
(1)密钥协商请求报文结构如下表:
注:
1):产生的随机数为16字节,需要填充到32字节后进行加密,填充方法为:前16字节为0,后16字节为产生的随机数。下同。
2):SM3时使用的公钥是对端的公钥,pucID使用16个0x01。
(2)密钥协商应答报文结构如下表:
注:
SM3时使用的公钥是对端的公钥,pucID使用16个0x01。
密钥协商确认结构如下表
注:SM3时使用的公钥是对端的公钥,pucID使用16个0x01。
如图5所示,本发明的数据加密过程为:在协商好会话密钥之后,进行数据通信的时候,需要对应用层的数据报文使用SM1算法进行加解密,加密的过程如图5所示:
加密过程的详细描述如下:
1:对原始的数据报文填充1~16字节,使其长度为16的倍数(原始长度为16的倍数时填充16字节),填充的第一个字节为0x80,后续的填充字节内容为0x0。附加加密报文的头部信息及初始向量IV(IV为16字节随机数,由加密侧随机生成)。
2:对填充后的原始报文+填充报文使用之前协商好的会话密钥DK进行加密。
注:解密过程为加密的逆过程,解密后需要检查填充报文是否正确。
具体的报文结构如下:
加密包的结构如下表:
注:对于收到的加密包,必须收到完整的一帧之后(长度要匹配)才可以进行解密。
关于本发明的国密安全芯片,是属于现有产品的具体选型,本发明选择低功耗类型有助于降低整个系统能耗,提升稳定性;
国密安全芯片系列芯片主要有如下4个方面的已知特性:
1.高速数据流加密:加密传输的速度可高达20MByte/s。
2.国内首家具有USB主接口:拥有两个USB—OTG接口,可根据应用需求设置成Host或Device;多达6个端点,可设置成多重复合设备,最大限度地满足用户的设计需求。
3.接口丰富:除键盘控制器接口和2路USB—OTG接口外,还支持2个SPI 高速主/从接口、32个I/O接口(含8个中断I/O接口)、带有ECC校验的Nand Flash接口、I2C接口和UART接口,最大限度地满足客户的板级通信需求。
4.算法全面:集成SM1、SM2、SM3、SM4、DES和RSA等多种信息安全算法,应用广泛。
上面结合附图对本发明优选实施方式作了详细说明,但是本发明不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化,这些变化涉及本领域技术人员所熟知的相关技术,这些都落入本发明专利的保护范围。
不脱离本发明的构思和范围可以做出许多其他改变和改型。应当理解,本发明不限于特定的实施方式,本发明的范围由所附权利要求限定。
Claims (10)
1.基于NB-IoT的智能表安全接入系统,其特征在于:包含安全接入终端、安全通道、安全接入平台和企业内网;
安全接入终端是经过安全加固的智能表终端;
安全通道为采用虚拟专网技术在NB-IoT网络之上建立的加密隧道,用于安全接入终端与安全接入平台之间的数据安全传输;
安全接入平台是智能表终端接入企业内网应用并进行数据交换和授权访问的基础平台;
还包含统一密钥管理系统,统一密钥管理系统为安全接入终端发放密钥且对安全接入平台进行密钥验证;
所述安全接入终端内设置有接入终端安全防护模块;
所述安全通道内设置有网络环境安全防护模块;
所述安全接入平台内设置有边界安全防护模块;
所述企业内网设置有应用安全防护模块。
2.如权利要求1所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述安全接入终端内的经过安全加固的智能表终端为通过软件安全模块或者硬件加密模块进行安全加固的智能表终端;
所述安全通道的承载网络采用专线方式,所述专线方式为无线方式的APN专线;所述安全通道的通讯方式采用基于SSL裁剪后的安全通讯协议,在专线上建立加密隧道,对传输的数据进行加密保护。
3.如权利要求1所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述安全接入平台包含负责建立安全通道和对智能表终端进行访问控制的安全接入网关;安全接入网关在对智能表终端进行身份认证,保证智能表终端可信性的同时,利用安全通信协议与安全接入网关建立安全通道,对传送的数据进行加密,防止数据在传送的过程中被截获、篡改和破坏。
4.如权利要求1所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述接入终端安全防护通过对接入终端进行安全加固,确保接入终端的安全;所述网络环境安全防护对网络传输的业务信息流进行安全防护,一方面承载网络采用逻辑专线方式,另一方面,采用虚拟专网技术在逻辑专线上建立安全通道,对通信双方进行身份认证,对传输的数据进行加密,实现端到端的安全传输要求;所述边界安全防护通过安全接入网关隔离外部接入终端和内部应用,采取身份认证、访问控制以及终端安全检查,实现细粒度的访问控制策略下,合法接入终端以及合法用户对网络和应用系统的合法访问;所述应用安全防护包含对应用系统本身的防护,对于接入终端数据访问的安全防护,采取权限管理、数据校验措施。
5.如权利要求1所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述智能表终端的硬件主板或NB-IoT通信主板上嵌入用于实现SM1、SM2、SM3及SM4加密算法的低功耗国密安全芯片,利用ISO7816接口或SPI接口与主板进行交互,实现智能表本地数据的加密存储及数据传输过程中的安全加密。
6.如权利要求5所述的基于NB-IoT的智能表安全接入系统,其特征在于:还包含对智能表终端在上线之前进行额外的系统初始化工作流程以及对应用程序的改造流程:
所述系统初始化工作流程包含如下步骤:
(1)初始化安全芯片,生成密钥对;
(2)生成安全芯片的证书请求,把证书请求提交证书签发机构进行签发,签发出来的证书供远端装置使用;
(3)导入远端装置的证书。
所述应用程序的改造流程包含如下步骤:
(Ⅰ)应用程序在和远端进行连接之后,数据交互之前,需要进行双向的身份认证,只有通过身份认证,才能进行后续的数据通信;
(Ⅱ)应用程序在与远端进行正常数据通信的时候,需要对通信的数据进行加解密操作。
7.如权利要求6所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述系统初始化工作流程还包含密钥协商的步骤,所述密钥协商的步骤具体如下:
应用程序在建立完TCP连接之后,需要立即与远端进行会话密钥协商,只有协商好会话密钥之后,才能进行后续的数据通信;
密钥协商由TCP连接的发起端发起,密钥协商过程的具体步骤如下:
S1、装置1产生随机数r1,作:
A=ECert2(r1)‖ESkey1(H(r1)),将A发送到装置2;
S2、装置2对A解密并验证装置1的签名,产生随机数r2,作:
B=ECert1(r2)‖ESkey2(H(r2)),将B发送到装置1;
合成会话密钥:
S3、装置1对B解密并验证装置2的签名,作:
合成会话密钥:
将C发送到装置2;
装置2做
并比较C与D是否相同;
若相同,则此时双方已经验证的对方身份,并持有会话密钥:
若不同,则装置2给出协商失败告警信息,通知装置1,由装置1重新发起密钥协商。
8.如权利要求6所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述系统初始化工作流程还包含加密过程,所述加密过程包含如下步骤:
Ⅰ:对原始的数据报文填充1~16字节,使其长度为16的倍数,填充的第一个字节为0x80,后续的填充字节内容为0x0;附加加密报文的头部信息及初始向量IV。
Ⅱ:对填充后的原始报文+填充报文使用之前协商好的会话密钥DK进行加密。
9.如权利要求1所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述智能表终端包含加密芯片、密钥、SIM卡和安全通信模块;所述安全通信模块包含认证模块和加密模块;所述安全接入平台包含安全通道模块、身份认证模块、数据加密模块、访问控制模块和安全审计模块;所述企业内网包含计量系统,所述计量系统包含缴费系统、信息采集系统、数据库、客服管理系统。
10.如权利要求1所述的基于NB-IoT的智能表安全接入系统,其特征在于:所述安全接入平台还包含有用于提供对整个数据交换行为的完整审计安全的数据过滤系统,数据过滤系统包括对数据来源、交换发生时间、数据交换的目标、数据交换进行审计,确保终端对信息内网的业务的安全访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911068100.7A CN110753344B (zh) | 2019-11-04 | 2019-11-04 | 基于NB-IoT的智能表安全接入系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911068100.7A CN110753344B (zh) | 2019-11-04 | 2019-11-04 | 基于NB-IoT的智能表安全接入系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110753344A true CN110753344A (zh) | 2020-02-04 |
| CN110753344B CN110753344B (zh) | 2023-01-13 |
Family
ID=69282118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911068100.7A Active CN110753344B (zh) | 2019-11-04 | 2019-11-04 | 基于NB-IoT的智能表安全接入系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110753344B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111311832A (zh) * | 2020-03-04 | 2020-06-19 | 长春市万易科技有限公司 | 一种基于区块链的燃气缴费方法 |
| CN111541677A (zh) * | 2020-04-17 | 2020-08-14 | 中国科学院上海微系统与信息技术研究所 | 一种基于窄带物联网的安全混合加密方法 |
| CN112367664A (zh) * | 2020-09-23 | 2021-02-12 | 国家电网有限公司 | 一种外部设备安全接入智能电表的方法及装置 |
| CN112462212A (zh) * | 2020-11-23 | 2021-03-09 | 广东电网有限责任公司 | 一种基于云技术的人工智能局放监测判别系统及方法 |
| CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN113613190A (zh) * | 2021-06-22 | 2021-11-05 | 国网思极网安科技(北京)有限公司 | 终端安全接入单元、系统及方法 |
| CN114143773A (zh) * | 2021-11-23 | 2022-03-04 | 国网四川省电力公司南充供电公司 | 一种将终端接入apn专网的信息传输转发装置及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157298A1 (en) * | 2012-12-04 | 2014-06-05 | Virtual Marketing Incorporated | Internet protocol television streaming methods and apparatus |
| KR20160084979A (ko) * | 2015-01-07 | 2016-07-15 | 에스케이텔레콤 주식회사 | 사물통신의 보안을 위한 가상 사설망 구성방법 및 그를 위한 장치 |
| CN106209883A (zh) * | 2016-07-21 | 2016-12-07 | 连山管控(北京)信息技术有限公司 | 基于链路选择和破碎重组的多链路传输方法及系统 |
| CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
| CN109257090A (zh) * | 2018-09-17 | 2019-01-22 | 南京中网卫星通信股份有限公司 | 一种应用于环境应急的多路通讯方法 |
| WO2021040241A1 (ko) * | 2019-08-23 | 2021-03-04 | 김주섭 | Iot 단말 및 iot 망을 이용하는 트랜잭션 시스템 |
-
2019
- 2019-11-04 CN CN201911068100.7A patent/CN110753344B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157298A1 (en) * | 2012-12-04 | 2014-06-05 | Virtual Marketing Incorporated | Internet protocol television streaming methods and apparatus |
| KR20160084979A (ko) * | 2015-01-07 | 2016-07-15 | 에스케이텔레콤 주식회사 | 사물통신의 보안을 위한 가상 사설망 구성방법 및 그를 위한 장치 |
| CN106209883A (zh) * | 2016-07-21 | 2016-12-07 | 连山管控(北京)信息技术有限公司 | 基于链路选择和破碎重组的多链路传输方法及系统 |
| CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
| CN109257090A (zh) * | 2018-09-17 | 2019-01-22 | 南京中网卫星通信股份有限公司 | 一种应用于环境应急的多路通讯方法 |
| WO2021040241A1 (ko) * | 2019-08-23 | 2021-03-04 | 김주섭 | Iot 단말 및 iot 망을 이용하는 트랜잭션 시스템 |
Non-Patent Citations (1)
| Title |
|---|
| 李志茹等: "电网企业信息安全数据接入体系研究与应用", 《电力信息与通信技术》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111311832A (zh) * | 2020-03-04 | 2020-06-19 | 长春市万易科技有限公司 | 一种基于区块链的燃气缴费方法 |
| CN111541677A (zh) * | 2020-04-17 | 2020-08-14 | 中国科学院上海微系统与信息技术研究所 | 一种基于窄带物联网的安全混合加密方法 |
| CN111541677B (zh) * | 2020-04-17 | 2021-08-13 | 中国科学院上海微系统与信息技术研究所 | 一种基于窄带物联网的安全混合加密方法 |
| CN112367664A (zh) * | 2020-09-23 | 2021-02-12 | 国家电网有限公司 | 一种外部设备安全接入智能电表的方法及装置 |
| CN112367664B (zh) * | 2020-09-23 | 2024-03-01 | 国家电网有限公司 | 一种外部设备安全接入智能电表的方法及装置 |
| CN112462212A (zh) * | 2020-11-23 | 2021-03-09 | 广东电网有限责任公司 | 一种基于云技术的人工智能局放监测判别系统及方法 |
| CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN112512024B (zh) * | 2021-02-05 | 2021-05-11 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN113613190A (zh) * | 2021-06-22 | 2021-11-05 | 国网思极网安科技(北京)有限公司 | 终端安全接入单元、系统及方法 |
| CN114143773A (zh) * | 2021-11-23 | 2022-03-04 | 国网四川省电力公司南充供电公司 | 一种将终端接入apn专网的信息传输转发装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110753344B (zh) | 2023-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
| CN1708942B (zh) | 设备特定安全性数据的安全实现及利用 | |
| CN101005361B (zh) | 一种服务器端软件保护方法及系统 | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| CN104158653A (zh) | 一种基于商密算法的安全通信方法 | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| CN104579679B (zh) | 用于农配网通信设备的无线公网数据转发方法 | |
| CN109787761A (zh) | 一种基于物理不可克隆函数的设备认证与密钥分发系统和方法 | |
| CN105162808A (zh) | 一种基于国密算法的安全登录方法 | |
| CN111988779B (zh) | 基于可信连接架构的无线传感器网络节点接入认证方法 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
| CN108848107A (zh) | 一种安全传输网络信息的方法 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| CN112118106A (zh) | 一种基于标识密码的轻量级端到端安全通信认证方法 | |
| CN102404329A (zh) | 用户终端与虚拟社区平台间交互的认证加密方法 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| KR100986758B1 (ko) | 통신기기 보안기능 처리용 보안전용 장치 | |
| CN201051744Y (zh) | 一种安全的加密网卡装置 | |
| WO2021208549A1 (zh) | 充电认证的方法和装置 | |
| CN103944721A (zh) | 一种基于web的保护终端数据安全的方法和装置 | |
| CN105933117A (zh) | 一种基于tpm秘钥安全存储的数据加解密装置和方法 | |
| CN111435389A (zh) | 一种配电终端运维工具安全防护系统 | |
| KR101491553B1 (ko) | 인증서 기반의 dms를 이용한 안전한 스마트그리드 통신 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |