CN113055162B - 一种基于国密算法的wia-pa网络安全通信方法 - Google Patents

一种基于国密算法的wia-pa网络安全通信方法 Download PDF

Info

Publication number
CN113055162B
CN113055162B CN202110261780.5A CN202110261780A CN113055162B CN 113055162 B CN113055162 B CN 113055162B CN 202110261780 A CN202110261780 A CN 202110261780A CN 113055162 B CN113055162 B CN 113055162B
Authority
CN
China
Prior art keywords
node
data
security
key
wia
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110261780.5A
Other languages
English (en)
Other versions
CN113055162A (zh
Inventor
王浩
彭格
王平
魏旻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202110261780.5A priority Critical patent/CN113055162B/zh
Publication of CN113055162A publication Critical patent/CN113055162A/zh
Application granted granted Critical
Publication of CN113055162B publication Critical patent/CN113055162B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Abstract

本发明涉及一种基于国密算法的WIA‑PA网络安全通信方法,属于工业无线网络领域。本发明通过将国密算法HMAC‑SM3和SM4算法结合,提出了工业无线WIA‑PA节点的入网认证与密钥协商方法,并根据密钥协商得到的会话密钥通过SM4算法CCM*工作模式完成WIA‑PA无线网络的数据安全传输,实现了一套在工业无线网络标准和密码算法上自主可控的安全传输协议,在节省WIA‑PA网络存储空间和通信开销的同时,从根本上保障了工业通信过程中的安全、可靠、可控。

Description

一种基于国密算法的WIA-PA网络安全通信方法
技术领域
本发明属于工业无线网络领域,涉及一种基于国密算法的WIA-PA网络安全通信方法。
背景技术
WIA-PA(Wireless Networks for Industrial Automation-ProcessAutomation)标准是工业无线网络协议,WIA-PA协议在安全机制的研究实现上,多是从安全架构上考虑,对于其具体实现方法以及安全机制对网络的影响程度关注度不高,WIA-PA标准支持IEEE802.15.4标准中定义的安全机制,利用一定的校验算法和加密算法实现点到点、端到端的数据加密校验功能,在对数据加密校验过程中定义密钥管理机制,实现了密钥的分发、更新。WIA-PA标准中没有定义具体的实现方案,而且安全机制实现过程中比规范说明更加复杂,WIA-PA网络长期以来一直采用国外制定的密码算法来实现其安全功能。
国密算法是数据加密处理系列算法,可以满足数据加密、签名、完整性校验等常用安全功能,其安全性、加密速度等性能也比国外常用的密码算法有所提高。但由于国外密码算法起步较早,其在工业领域的应用更广。
为了解决这一问题,本发明设计了一种基于国密算法的WIA-PA网络安全通信方案,在考虑如何节省WIA-PA网络的存储空间和通信开销的同时,实现一套在工业无线网络标准和密码算法上自主可控的安全传输协议,从根本上保障工业通信过程中的安全、可靠、可控。
发明内容
有鉴于此,本发明的目的在于提供一种基于国密算法的WIA-PA网络安全通信方法。
为达到上述目的,本发明提供如下技术方案:
一种基于国密算法的WIA-PA网络安全通信方法,该方法包括以下步骤:
S1:在各节点加入WIA-PA网络之前,手持设备读取各节点的64位长地址,将该地址传送给网关,网关为各节点生成初始密钥KJ,并通过手持设备将该密钥KJ分发给各节点;
S2:节点采用随机数发生器生成随机数R1,利用初始密钥KJ通过SM4算法加密随机数R1与自身身份标识Node1生成挑战帧C1=SM4KJ(Node1||R1),并对自身身份标识Node1、随机数R1以及系统当前时间戳T1采用HMAC-SM3算法计算消息认证码TAG=HMAC-SM3KJ(Node1||R1||T1);
S3:首先在初始密钥KJ末尾补“0”使其长度成为SM3函数块长的倍数,并对KJ和ipad进行异或操作,得到一个64字节的数据块,将数据块附在明文Node1||R1||T1之前,得到的字节流
Figure BDA0002970335280000021
作为首次调用SM3函数的输入,得到哈希结果64字节的输出H1,可以表示为
Figure BDA0002970335280000022
对KJ和opad进行异或操作,得到一个64字节的数据块,将得到的哈希值H1附在其末尾作为第二次调用SM3函数的输入,得到最终的64字节哈希值TAG,表示为
Figure BDA0002970335280000023
其中ipad和opad都是和SM3哈希块长等长度的定值;
S4:节点构造入网认证请求报文C1||TAG||T1发送给网关;
S5:网关收到节点的入网认证请求报文后,首先取系统当前时间TG,验证|TG-T1|≤ΔT是否正确,ΔT为系统最大传输时延,若不正确,节点入网认证失败;否则,网关对挑战帧C1解密得到节点身份标识Node1和随机数R1',先判断Node1的合法性,并存储安全参数N1=R1',再利用HMAC-SM3算法计算摘要值TAG'=HMAC-SM3KJ(Node1||R1'||T1),若TAG'=TAG,则节点通过认证,否则,节点入网认证失败;
S6:当节点通过入网认证后,网关首先将安全参数N1作为密钥生成函数的输入为数据安全传输生成并存储会话密钥Ks,并利用随机数发生器生成随机数R2,存储安全参数N2=R2,利用初始密钥KJ通过SM4算法生成应答帧E=SM4KJ(R1'||Ks||R2),并对得到的随机数R1'、会话密钥Ks以及随机数R2采用HMAC-SM3算法生成消息认证码MAC=HMAC-SM3KJ(R1'||Ks||R2);
S7:网关构造密钥生成响应报文E||MAC发送至节点,并取当前系统时间为Tg
S8:节点收到响应报文后,节点对应答帧解密得到随机数R1'、会话密钥Ks和随机数R2',检查R1'=R1是否成立,若成立,通过HMAC-SM3算法生成消息验证码MAC'=HMAC-SM3KJ(R1||Ks||R2'),若MAC'=MAC,响应报文认证通过,存储会话密钥Ks,存储安全参数N1=R1和N2=R2',否则丢弃该报文;
S9:若响应报文认证通过,节点使用会话密钥Ks将随机数R2'进行加密生成安全确认信息
Figure BDA0002970335280000024
并将Ack作为密钥确认报文发送至网关;
S10:网关收到密钥确认报文后,获取当前系统时间T2,计算并验证|T2-Tg|≤ΔT是否正确,若不正确,则密钥协商失败,否则,使用会话密钥Ks对密钥确认报文Ack解密得到随机数R2',验证R2'=R2是否成立,若成立,节点与网关完成认证与密钥协商流程;
S11:节点与网关完成认证与密钥协商流程后,双方得到数据安全传输的共享会话密钥Ks,发送方在数据链路子层利用MIC和数据加密来保护点到点的数据安全,其中MIC由保存在设备管理应用进程的管理信息库中的数据链路子层加密密钥Ks和数据链路子层数据单元生成;
S12:发送方和接收方在WIA-PA协议栈内处理数据时,在数据传输过程中发送方根据安全策略构建安全头并进行加密和添加完整性校验码操作,分别在应用层和数据链路子层采用SM4算法CCM*工作模式对数据进行保护,确保数据完整性和数据保密性,接收方收到数据后根据解析报头获得数据包的安全级,对数据进行安全处理,双方完成WIA-PA网络数据安全传输的整个过程。
可选的,所述数据链路子层中的数据单元DLPDU帧格式包括帧控制、安全头、载荷和MIC。
可选的,当所述数据链路子层中的DLSL帧控制字段中“安全使能”位设置为1时,使用数据链路子层安全头。
可选的,所述发送方在应用层利用数据加密技术和MIC来保障端到端安全传输,并建立和维护安全管理信息库中的初始密钥KJ与会话密钥Ks,MIC由应用子层密钥Ks和应用子层数据单元生成。
可选的,所述应用层中的安全包格式包括ASL安全包头、ASL载荷和MIC,ASL安全包头包括包控制、序列号、包长度和安全控制。
本发明的有益效果在于:
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作优选的详细描述,其中:
图1为WIA-PA网络安全体系示意图;
图2为生成HMAC-SM3消息认证码结构示意图;
图3为WIA-PA协议栈安全数据帧处理流程图;
图4为基于国密算法的WIA-PA网络安全通信流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
其中,附图仅用于示例性说明,表示的仅是示意图,而非实物图,不能理解为对本发明的限制;为了更好地说明本发明的实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本发明的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
图1为WIA-PA网络安全体系示意图。
(1)在各节点加入WIA-PA网络之前,手持设备读取各节点的64位长地址,将该地址传送给网关,网关为各节点生成初始密钥KJ,并通过手持设备将该密钥KJ分发给各节点;
(2)节点采用随机数发生器生成随机数R1,利用初始密钥KJ通过SM4算法加密随机数R1与自身身份标识Node1生成挑战帧C1=SM4KJ(Node1||R1),并对自身身份标识Node1、随机数R1以及系统当前时间戳T1采用HMAC-SM3算法计算消息认证码TAG=HMAC-SM3KJ(Node1||R1||T1);
(3)HMAC-SM3算法结构示意图如图2所示,首先在初始密钥KJ末尾补“0”使其长度成为SM3函数块长的倍数,并对KJ和ipad进行异或操作,得到一个64字节的数据块,将数据块附在明文Node1||R1||T1之前,得到的字节流
Figure BDA0002970335280000041
作为首次调用SM3函数的输入,得到哈希结果64字节的输出H1,可以表示为
Figure BDA0002970335280000042
对KJ和opad进行异或操作,得到一个64字节的数据块,将得到的哈希值H1附在其末尾作为第二次调用SM3函数的输入,得到最终的64字节哈希值TAG,可以表示为
Figure BDA0002970335280000051
其中ipad和opad都是和SM3哈希块长等长度的定值;
(4)节点构造入网认证请求报文C1||TAG||T1发送给网关;
(5)网关收到节点的入网认证请求报文后,首先取系统当前时间TG,验证|TG-T1|≤ΔT是否正确,ΔT为系统最大传输时延,若不正确,节点入网认证失败;否则,网关对挑战帧C1解密得到节点身份标识Node1和随机数R1',先判断Node1的合法性,并存储安全参数N1=R1',再利用HMAC-SM3算法计算摘要值TAG'=HMAC-SM3KJ(Node1||R1'||T1),若TAG'=TAG,则节点通过认证,否则,节点入网认证失败;
(6)当节点通过入网认证后,网关首先将安全参数N1作为密钥生成函数的输入为数据安全传输生成并存储会话密钥Ks,并利用随机数发生器生成随机数R2,存储安全参数N2=R2,利用初始密钥KJ通过SM4算法生成应答帧E=SM4KJ(R1'||Ks||R2),并对得到的随机数R1'、会话密钥Ks以及随机数R2采用HMAC-SM3算法生成消息认证码MAC=HMAC-SM3KJ(R1'||Ks||R2);
(7)网关构造密钥生成响应报文E||MAC发送至节点,并取当前系统时间为Tg
(8)节点收到响应报文后,节点对应答帧解密得到随机数R1'、会话密钥Ks和随机数R2',检查R1'=R1是否成立,若成立,通过HMAC-SM3算法生成消息验证码MAC'=HMAC-SM3KJ(R1||Ks||R2'),若MAC'=MAC,响应报文认证通过,存储会话密钥Ks,存储安全参数N1=R1和N2=R2',否则丢弃该报文;
(9)若响应报文认证通过,节点使用会话密钥Ks将随机数R2'进行加密生成安全确认信息
Figure BDA0002970335280000052
并将Ack作为密钥确认报文发送至网关;
(10)网关收到密钥确认报文后,获取当前系统时间T2,计算并验证|T2-Tg|≤ΔT是否正确,若不正确,则密钥协商失败,否则,使用会话密钥Ks对密钥确认报文Ack解密得到随机数R2',验证R2'=R2是否成立,若成立,节点与网关完成认证与密钥协商流程;
(11)节点与网关完成认证与密钥协商流程后,双方得到数据安全传输的共享会话密钥Ks,发送方在数据链路子层利用MIC和数据加密来保护点到点的数据安全,其中MIC由保存在设备管理应用进程的管理信息库中的数据链路子层加密密钥Ks和数据链路子层数据单元生成,数据链路子层安全帧结构如表1所示,通过设置数据链路帧头中的安全使能字段来控制数据链路层的安全级,认证码MIC提供数据链路层协议数据单元完整性鉴别,如表2所示当数据链路子层的DLSL帧控制字段中“安全使能”位设置为1时,使用数据链路子层安全头,如表3所示,发送方在应用层利用数据加密技术和MIC来保障端到端安全传输,并建立和维护安全管理信息库中的初始密钥KJ与会话密钥Ks,MIC由应用子层密钥Ks和应用子层数据单元生成,应用层安全包格式如表4所示;
表1数据链路子层数据单元(DLPDU)帧格式
Figure BDA0002970335280000061
表2DLSL帧控制
Figure BDA0002970335280000062
表3DLSL层安全头结构
位:0~2 位:3~4 位:5~7
安全控制子字段 安全信息控制子字段 保留
表4应用层安全包格式
Figure BDA0002970335280000063
(12)发送方和接收方在WIA-PA协议栈内处理数据帧的流程图如图3所示,在数据传输过程中发送方根据安全策略构建安全头并进行加密和添加完整性校验码操作,分别在应用层和数据链路子层采用SM4算法CCM*工作模式对数据进行保护,确保数据完整性和数据保密性,接收方收到数据后根据解析报头获得数据包的安全级,对数据进行安全处理,双方完成WIA-PA网络数据安全传输的整个过程,基于国密算法的WIA-PA网络安全通信流程图如图4所示。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (5)

1.一种基于国密算法的WIA-PA网络安全通信方法,其特征在于:该方法包括以下步骤:
S1:在各节点加入WIA-PA网络之前,手持设备读取各节点的64位长地址,将该地址传送给网关,网关为各节点生成初始密钥KJ,并通过手持设备将该密钥KJ分发给各节点;
S2:节点采用随机数发生器生成随机数R1,利用初始密钥KJ通过SM4算法加密随机数R1与自身身份标识Node1生成挑战帧C1=SM4KJ(Node1||R1),并对自身身份标识Node1、随机数R1以及系统当前时间戳T1采用HMAC-SM3算法计算消息认证码TAG=HMAC-SM3KJ(Node1||R1||T1);
S3:首先在初始密钥KJ末尾补“0”使其长度成为SM3函数块长的倍数,并对KJ和ipad进行异或操作,得到一个64字节的数据块,将数据块附在明文Node1||R1||T1之前,得到的字节流
Figure FDA0003629597910000011
作为首次调用SM3函数的输入,得到哈希结果64字节的输出H1,可以表示为
Figure FDA0003629597910000012
对KJ和opad进行异或操作,得到一个64字节的数据块,将得到的哈希值H1附在其末尾作为第二次调用SM3函数的输入,得到最终的64字节哈希值TAG,表示为
Figure FDA0003629597910000013
其中ipad和opad都是和SM3哈希块长等长度的定值;
S4:节点构造入网认证请求报文C1||TAG||T1发送给网关;
S5:网关收到节点的入网认证请求报文后,首先取系统当前时间TG,验证|TG-T1|≤ΔT是否正确,ΔT为系统最大传输时延,若不正确,节点入网认证失败;否则,网关对挑战帧C1解密得到节点身份标识Node1和随机数R1′,先判断Node1的合法性,并存储安全参数N1=R1',再利用HMAC-SM3算法计算摘要值TAG'=HMAC-SM3KJ(Node1||R1'||T1),若TAG'=TAG,则节点通过认证,否则,节点入网认证失败;
S6:当节点通过入网认证后,网关首先将安全参数N1作为密钥生成函数的输入为数据安全传输生成并存储会话密钥Ks,并利用随机数发生器生成随机数R2,存储安全参数N2=R2,利用初始密钥KJ通过SM4算法生成应答帧E=SM4KJ(R1'||Ks||R2),并对得到的随机数R1'、会话密钥Ks以及随机数R2采用HMAC-SM3算法生成消息认证码MAC=HMAC-SM3KJ(R1'||Ks||R2);
S7:网关构造密钥生成响应报文E||MAC发送至节点,并取当前系统时间为Tg
S8:节点收到响应报文后,节点对应答帧解密得到随机数R1'、会话密钥Ks和随机数R2',检查R1'=R1是否成立,若成立,通过HMAC-SM3算法生成消息验证码MAC'=HMAC-SM3KJ(R1||Ks||R2'),若MAC'=MAC,响应报文认证通过,存储会话密钥Ks,存储安全参数N1=R1和N2=R2',否则丢弃该报文;
S9:若响应报文认证通过,节点使用会话密钥Ks将随机数R2'进行加密生成安全确认信息
Figure FDA0003629597910000021
并将Ack作为密钥确认报文发送至网关;
S10:网关收到密钥确认报文后,获取当前系统时间T2,计算并验证|T2-Tg|≤ΔT是否正确,若不正确,则密钥协商失败,否则,使用会话密钥Ks对密钥确认报文Ack解密得到随机数R2',验证R2'=R2是否成立,若成立,节点与网关完成认证与密钥协商流程;
S11:节点与网关完成认证与密钥协商流程后,双方得到数据安全传输的共享会话密钥Ks,发送方在数据链路子层利用MIC和数据加密来保护点到点的数据安全,其中MIC由保存在设备管理应用进程的管理信息库中的数据链路子层加密密钥Kd和数据链路子层数据单元生成;
S12:发送方和接收方在WIA-PA协议栈内处理数据时,在数据传输过程中发送方根据安全策略构建安全头并进行加密和添加完整性校验码操作,分别在应用层和数据链路子层采用SM4算法CCM*工作模式对数据进行保护,确保数据完整性和数据保密性,接收方收到数据后根据解析报头获得数据包的安全级,对数据进行安全处理,双方完成WIA-PA网络数据安全传输的整个过程。
2.根据权利要求1所述的一种基于国密算法的WIA-PA网络安全通信方法,其特征在于:所述数据链路子层中的数据单元DLPDU帧格式包括帧控制、安全头、载荷和MIC。
3.根据权利要求2所述的一种基于国密算法的WIA-PA网络安全通信方法,其特征在于:当所述数据链路子层中的DLSL帧控制字段中“安全使能”位设置为1时,使用数据链路子层安全头。
4.根据权利要求3所述的一种基于国密算法的WIA-PA网络安全通信方法,其特征在于:所述发送方在应用层利用数据加密技术和MIC来保障端到端安全传输,并建立和维护安全管理信息库中的初始密钥KJ与会话密钥Ks,MIC由应用子层密钥Ka和应用子层数据单元生成。
5.根据权利要求4所述的一种基于国密算法的WIA-PA网络安全通信方法,其特征在于:所述应用层中的安全包格式包括ASL安全包头、ASL载荷和MIC,ASL安全包头包括包控制、序列号、包长度和安全控制。
CN202110261780.5A 2021-03-10 2021-03-10 一种基于国密算法的wia-pa网络安全通信方法 Active CN113055162B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110261780.5A CN113055162B (zh) 2021-03-10 2021-03-10 一种基于国密算法的wia-pa网络安全通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110261780.5A CN113055162B (zh) 2021-03-10 2021-03-10 一种基于国密算法的wia-pa网络安全通信方法

Publications (2)

Publication Number Publication Date
CN113055162A CN113055162A (zh) 2021-06-29
CN113055162B true CN113055162B (zh) 2022-07-08

Family

ID=76511051

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110261780.5A Active CN113055162B (zh) 2021-03-10 2021-03-10 一种基于国密算法的wia-pa网络安全通信方法

Country Status (1)

Country Link
CN (1) CN113055162B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472520B (zh) * 2021-08-07 2022-06-03 山东省计算中心(国家超级计算济南中心) 一种ModbusTCP协议安全增强方法及系统
CN114095150B (zh) * 2021-11-12 2024-01-26 微位(深圳)网络科技有限公司 身份鉴定方法、装置、设备及可读存储介质
CN114124388B (zh) * 2022-01-27 2022-05-10 济南量子技术研究院 一种基于量子密钥的Gossip协议同步方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103748830A (zh) * 2011-08-12 2014-04-23 索尼公司 信息处理设备、签名提供方法、签名验证方法、程序和记录介质
CN109345331A (zh) * 2018-08-21 2019-02-15 中国科学技术大学苏州研究院 一种带隐私保护的群智感知系统任务分配方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101267415B1 (ko) * 2011-08-18 2013-05-30 건국대학교 산학협력단 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법
US9256742B2 (en) * 2012-01-30 2016-02-09 Intel Corporation Remote trust attestation and geo-location of servers and clients in cloud computing environments
CN104270243B (zh) * 2014-10-10 2017-05-24 重庆邮电大学 工业物联网芯片的安全功能实现方法
CN105721152B (zh) * 2014-11-30 2017-06-30 中国科学院沈阳自动化研究所 一种面向无线智能电表的安全路由方法
CN105790926A (zh) * 2014-12-26 2016-07-20 中国科学院沈阳自动化研究所 用于wia-pa安全的分组密码算法工作模式实现方法
CN106788968A (zh) * 2015-11-24 2017-05-31 中国科学院沈阳自动化研究所 应用于wia-pa协议的安全协处理器的实现方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103748830A (zh) * 2011-08-12 2014-04-23 索尼公司 信息处理设备、签名提供方法、签名验证方法、程序和记录介质
CN109345331A (zh) * 2018-08-21 2019-02-15 中国科学技术大学苏州研究院 一种带隐私保护的群智感知系统任务分配方法

Also Published As

Publication number Publication date
CN113055162A (zh) 2021-06-29

Similar Documents

Publication Publication Date Title
CN113055162B (zh) 一种基于国密算法的wia-pa网络安全通信方法
US9071416B2 (en) Galois/counter mode encryption in a wireless network
CN108173649B (zh) 一种基于量子密钥卡的消息认证方法和系统
CN102130768B (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
Luk et al. MiniSec: a secure sensor network communication architecture
US10333907B2 (en) Pairwise temporal key creation for secure networks
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN101442522B (zh) 一种基于组合公钥的通信实体标识认证方法
JP2013514681A (ja) ユーザ端末間の安全な接続の構築方法及びシステム
CN101707767B (zh) 一种数据传输方法及设备
US20210368322A1 (en) Extreme-High-Throughput Fast Initial Link Setup Support In Multi-Link Operation In Wireless Communications
CN112073115B (zh) 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器
CN113572766A (zh) 电力数据传输方法和系统
CN112383916A (zh) 一种适用于单播通信的wsn对密钥管理方法
CN114172745A (zh) 一种物联网安全协议系统
CN116321129A (zh) 一种轻量级的基于动态密钥的电力交易专网通信加密方法
Agosta et al. Cyber-security analysis and evaluation for smart home management solutions
CN110636040B (zh) 一种基于区块链通信的信息流认证系统及方法
DE102021113263A1 (de) Extreme-High-Throughput-Fast-Initial-Link-Setup-Unterstützung in einem Mehrfachverbindungsbetrieb in Funkkommunikationen
CN113645616A (zh) 一种适用于wban数据实时加密传输的超轻量级加密方法
Zhou et al. Design of embedded secure gateway based on 6LoWPAN
CN110650016B (zh) 一种实现交直流控制保护系统网络数据安全的方法
CN116846541A (zh) 一种基于sm3摘要算法的私有网络组件通信方法和系统
CN115473639A (zh) 一种基于国密技术的抗量子计算方法及设备
Kaur et al. Improved routing in Wireless Sensor Networks using FLAP

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant