CN113660195A - 一种基于104规约的aes-rsa抗中间人攻击方法 - Google Patents
一种基于104规约的aes-rsa抗中间人攻击方法 Download PDFInfo
- Publication number
- CN113660195A CN113660195A CN202110724560.1A CN202110724560A CN113660195A CN 113660195 A CN113660195 A CN 113660195A CN 202110724560 A CN202110724560 A CN 202110724560A CN 113660195 A CN113660195 A CN 113660195A
- Authority
- CN
- China
- Prior art keywords
- rsa
- aes
- slave station
- data
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明公开了一种基于104规约的AES‑RSA抗中间人攻击方法,包括,配置实验网络环境,将攻击者的IP地址和MAC地址、主站和从站的IP地址和MAC地址、要求三者在同一局域网中;利用ARP欺骗技术将所述攻击者伪装成网关的MAC地址;基于所述攻击者窃取主从站通信报文;打开Ettercap工具,进行包过滤技术;结合Ettercap包过滤技术切断104规约主从站通信连接。本发明方法可以提高104协议通信传输的安全性,即使密文被攻击者窃取也不易被破解出原始消息,验证成功说明不是伪造的数据,因此该算法可一定程度抵抗中间人攻击。
Description
技术领域
本发明涉及信息安全的技术领域,尤其涉及一种基于104规约的AES-RSA抗中间人攻击方法。
背景技术
随着互联网的普及,电力系统通信安全的问题也变得比较严峻。RTU负责对各种电力监测数据进行采集,并通过104规约将数据发至调度中心,是电力调度自动化系统的重要组成部分,对电力系统的稳定运行有重要作用。然而,其核心IEC 104规约在传输数据时,采用明文方式,缺乏集成加密和认证等安全机制,这使得IEC 104规约传输的电网数据很容易被不法分子利用,威胁国家电网的安全。因此,开展IEC 104规约网络通信安全的研究具有很大的实际应用价值。
从攻击方式来看,网络攻击类型可分为被动攻击和主动攻击两大类。主动攻击的方式在于篡改通信报文,目的在于伪造报文获取电网信息和改变报文破坏电网通信。在信息安全领域中,通常信息安全机制大致可以分为加密和认证两大类。中间人攻击是一个缺乏相互认证的攻击,抵御中间人攻击的主要方法是对消息使用加密和解密技术。数据加密技术是保证网络信息安全的重要技术。104规约缺乏加密认证机制,所以104通信过程存在中间人攻击威胁。若在104规约中加入了一些加密方法可以阻止中间人攻击。加密算法将信息从明文变换为密文,在信息的传播中使用密文传输,使窃听者难以获得有用的信息。对传输的信息以密文方式传递以防止第三方对信息窃取,从而保护信息的机密性,防止信息被篡改。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明提供了一种基于104规约的AES-RSA抗中间人攻击方法,能够防止信息被篡改的问题。
为解决上述技术问题,本发明提供如下技术方案:包括,配置实验网络环境,将攻击者的IP地址和MAC地址、主站和从站的IP地址和MAC地址、要求三者在同一局域网中;利用ARP欺骗技术将所述攻击者伪装成网关的MAC地址;基于所述攻击者窃取主从站通信报文;打开Ettercap工具,进行包过滤技术;结合Ettercap包过滤技术切断104规约主从站通信连接。
作为本发明所述的基于104规约的AES-RSA抗中间人攻击方法的一种优选方案,其中:所述Ettercap包过滤包括,建立切断104主站和从站通信的过滤脚本;使用Ettercap命令将过滤脚本编译成Ettercap能够识别的二进制文件;编译过滤器,使用所述Ettercap命令加载过滤脚本。
作为本发明所述的基于104规约的AES-RSA抗中间人攻击方法的一种优选方案,其中:所述过滤脚本包括,在过滤主从站的104协议数据包之后设置Ettercap不转发所述104数据包,同时切断104主站与从站的通信连接。
作为本发明所述的基于104规约的AES-RSA抗中间人攻击方法的一种优选方案,其中:包括,所述主站创建1024位的RSA密钥对,并提供接口将RSA公钥发送从站,RSA私钥存放在主站端;所述从站的随机函数生成AES密钥;从站端接收主站方发送来的RSA公钥,使用RSA公钥加密AES密钥,得到加密密钥。
作为本发明所述的基于104规约的AES-RSA抗中间人攻击方法的一种优选方案,其中:还包括,从站端通过网络将数据文件传输给主站端;所述主站收到数据文件后,利用自己的RSA私钥对AES密钥解密,得到aesKey,解密成功即可确定是从站端发来的数据或数据没有被篡改。
作为本发明所述的基于104规约的AES-RSA抗中间人攻击方法的一种优选方案,其中:包括,所述从站的随机函数生成AES密钥;从站AES密钥对请求的104规约明文数据进行加密,由此得到加密后的数据encryptData;从站端通过网络将数据文件传输给主站端;主站使用aesKey对加密后的数据encryptData进行AES解密;主站经AES解密得到104规约的原始数据。
作为本发明所述的基于104规约的AES-RSA抗中间人攻击方法的一种优选方案,其中:包括,准备好从站方的RSA私钥,用于对数据进行签名,将从站的RSA私钥对原始数据进行签名得到Sign;准备好从站方的RSA公钥,用于对进行签名校验,将从站的RSA公钥对Sign和encryptData进行签名校验,验证成功说明不是伪造的数据。
作为本发明所述的基于104规约的AES-RSA抗中间人攻击方法的一种优选方案,其中:还包括,对原始数据进行验签得到M1;对encryptData进行验签得到M2;比较M1和M2是否相等,若M1=M2,则验证成功,否则,验证失败。
本发明的有益效果:本发明方法相对于AES-RSA混合加密算法的单向加密是且没有进行安全校验,也意味着,任何人都可以伪装成发送者向接收着发送伪装的信息,因为公钥是公开的,攻击者可以伪装成发送者向接收着发送伪装的信息;AES-RSA混合加密签名算法改进的方式就是发送方使用自已的密钥对数据进行签名,数字签名可以对用于鉴别数字信息,保证数据在传输过程中没有被篡改,保证了消息的完整性和不可否认性,经过该算法对接收到的报文进行签名认证后,证实数据文件来自客户端,使得信息具有不可抵赖性,该算法可以提高104协议通信传输的安全性,即使密文被攻击者窃取也不易被破解出原始消息,验证成功说明不是伪造的数据,因此该算法可一定程度抵抗中间人攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例所述的基于104规约的AES-RSA抗中间人攻击方法的流程示意图;
图2为本发明一个实施例所述的基于104规约的AES-RSA抗中间人攻击方法的拓扑结构示意图;
图3为本发明一个实施例所述的基于104规约的AES-RSA抗中间人攻击方法的AES和RSA混合加密算法对AES密钥进行加解密过程示意图;
图4为本发明一个实施例所述的基于104规约的AES-RSA抗中间人攻击方法的AES和RSA混合加密算法对104数据包进行加解密过程示意图;
图5为本发明一个实施例所述的基于104规约的AES-RSA抗中间人攻击方法的签名和验签示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1~图5,为本发明的第一个实施例,提供了一种基于104规约的AES-RSA抗中间人攻击方法,包括:
S1:配置实验网络环境,将攻击者的IP地址和MAC地址、主站和从站的IP地址和MAC地址、要求三者在同一局域网中。
S2:利用ARP欺骗技术将攻击者伪装成网关的MAC地址。
S3:基于攻击者窃取主从站通信报文。
S4:打开Ettercap工具,进行包过滤技术。
S5:结合Ettercap包过滤技术切断104规约主从站通信连接。
参照图2,从站和攻击者在同一局域网中,对目标主机和网关进行中间人攻击,即ARP欺骗,更改目标主机和网关的ARP缓存表,通过ARP欺骗,能够欺骗整个网络,对比ARP欺骗前后IP-MAC地址,获取ARP欺骗前局域网内主机的ARP表网关和攻击者的物理地址不同。
ARP欺骗时攻击者充当了目标主机和网关之间通信的中间人,目标主机与网关的所有通信数据流量都将发送到攻击者主机上,被攻击者窃听,利用Ettercap过滤器编译并加载到Ettercap对网络请求进行处理的方法,Etterfilter是一个非常强大的中间人攻击工具,Kali Linux将自己置于主站和从站之间,从而控制系统通信过程,通过过滤数据包实现篡改通信或删除通信。
本发明方法在实施ARP欺骗后,在ARP欺骗的基础上实施Ettercap包过滤技术,用以实现切断104规约通信双方的连接,通过Etterfilter包过滤删除主从站通信,旨在利用Ettercap过滤器在Kali Linux使用Etterfilter编译并加载到Ettercap对网络请求进行处理的方法。
Ettercap包过滤包括:
建立切断104主站和从站通信的过滤脚本;
使用Ettercap命令将过滤脚本编译成Ettercap能够识别的二进制文件;
编译过滤器,使用Ettercap命令加载过滤脚本;
过滤脚本包括,在过滤主从站的104协议数据包之后设置Ettercap不转发104数据包,同时切断104主站与从站的通信连接。
参照图3和图4,使用AES对称密码体制对传输数据加密,同时使用RSA不对称密码体制来传送AES的密钥,综合发挥AES和RSA的优点同时实现客户端对服务端的认证;以主从站通信双方为例,当主站和从站进行数据通信时,从站通过互联网将加密后的AES密钥和密文传输到主站,此时,数据是以密文的形式传输,并且进行了密钥封装,即使用RSA公钥加密AES密钥,加密后便可以安全存储或通过不受信任的渠道进行传输,此时攻击者很难对数据进行监听或篡改。
将AES-RSA混合加密签名算法的具体步骤分为两部分如下:其一是图4所示主站端RSA密钥对从站端的AES密钥进行加解密的过程;其二是图5所示利用AES密钥对104数据包明文进行加解密过程。
(1)主站创建1024位的RSA密钥对,并提供接口将RSA公钥发送从站,RSA私钥存放在主站端;
(2)从站的随机函数生成AES密钥;
(3)从站端接收主站方发送来的RSA公钥,使用RSA公钥加密AES密钥,得到加密密钥;
(4)从站端通过网络将数据文件传输给主站端;
(5)主站收到数据文件后,利用自己的RSA私钥对AES密钥解密,得到aesKey,解密成功即可确定是从站端发来的数据或数据没有被篡改。
①从站的随机函数生成AES密钥;
②从站AES密钥对请求的104规约明文数据进行加密,由此得到加密后的数据encryptData;
③从站端通过网络将数据文件传输给主站端;
④主站使用aesKey对加密后的数据encryptData进行AES解密;
⑤主站经AES解密得到104规约的原始数据;
⑥准备好从站方的RSA私钥,用于对数据进行签名,将从站的RSA私钥对原始数据进行签名得到Sign;
⑦准备好从站方的RSA公钥,用于对进行签名校验,将从站的RSA公钥对Sign和encryptData进行签名校验,验证成功说明不是伪造的数据。
⑧对原始数据进行验签得到M1;
⑨对encryptData进行验签得到M2;
⑩比较M1和M2是否相等,若M1=M2,则验证成功,否则,验证失败。
较佳的,本发明方法具体包括获取104数据包,AES-RSA混合加密和签名算法,获取104数据包通过PMA工具模拟104规约主站和从站通信,并在主站端可以获取到通信双方的的明文数据包;AES-RSA混合加密算法使用AES算法对传输数据加密,同时使用RSA算法体制来传送AES的密钥,综合发挥AES和RSA的优点;AES和RSA混合加密签名算法集合双方密钥的优点对通信数据实施双重保护,发送方使用自已的密钥对数据进行签名,数字签名对用于鉴别数字信息,保证数据在传输过程中没有被篡改,保证了消息的完整性和不可否认性。
不难理解的是,中间人攻击本发明采用ARP欺骗和Ettercap包过滤技术,ARP欺骗是一种以ARP地址解析协议为基础的网络攻击方式,本发明攻击者对局域网内的目标主机和网关进行ARP欺骗,更改目标主机和网关的ARP缓存表,通过ARP欺骗,攻击者冒充局域网网关窃取主从站通信报文,从而能够欺骗整个网络。
实现ARP欺骗后,由于104通信数据包以明文的形式传输,攻击者很容易对截获的数据进行监听,从而获取通信双方的通信内容,本发明在ARP欺骗的基础上实施Ettercap包过滤技术,Etterfilter是一个非常强大的中间人攻击工具,其中Ettercap工具是在主机KaliLinux中,KaliLinux将自己置于主站和从站之间,从而控制系统通信过程,通过过滤数据包实现篡改通信或删除通信,具体来说Ettercap包过滤技术利用过滤脚本过滤主从站的104协议数据包,并设置Ettercap不转发该104数据包,Ettercap包过滤实现了对104主从站系统数据包的丢弃,继而切断了主从站之间的连接。
AES-RSA混合加密签名算法由两部分组成:AES和RSA混合加密算法、签名算法,AES属于对称加密算法,加解密处理效率高,RSA是非对称加密算法,RSA算法加解密处理效率较低,如果使用AES对称密码体制对传输数据加密,同时使用RSA不对称密码体制来传送AES的密钥,就可以综合发挥AES和RSA的优点同时可以实现客户端对服务端的认证。
基于AES和RSA的混合加密算法实现了对从站端身份的认证以及对传输数据的加密,例如,当主站和从站进行数据通信时,从站通过互联网将加密后的AES密钥和密文传输到主站,此时数据是以密文的形式传输,并且进行了密钥封装,即使用RSA公钥加密AES密钥,加密后便可以安全存储或通过不受信任的渠道进行传输,此时攻击者很难对数据进行监听或篡改。
优选地,AES和RSA混合加密签名算法集合双方密钥的优点对通信数据实施双重保护,此时攻击者很难对数据进行监听或篡改,相对于AES-RSA混合加密算法的单向加密是且没有进行安全校验,因为公钥是公开的,攻击者可以伪装成发送者向接收着发送伪装的信息,本算法改进的方式就是发送方使用自已的密钥对数据进行签名,数字签名可以对用于鉴别数字信息,保证数据在传输过程中没有被篡改,保证了消息的完整性和不可否认性。
实施例2
本发明方法中采用的AES-RSA混合加密和签名算法,不仅对通信报文进行双重加密,而且将Hash函数加入到算法中,实现了数字签名功能,如果攻击者要窃取或监听报文,攻击者无法得到主站的RSA私钥,则不能破解密钥得到明文,如果攻击者要伪造或篡改数据,由于其没有从站端的RSA私钥,在主站端的签名验证失败。
传统的技术方案AES加密速度快安全性低,RSA加密速度慢安全性高,本方法充分利用AES和RSA算法的优点,相较于AES算法提高的安全性,相较于RSA算法加快的速度,本方法将传统的AES和RSA算法混合使用,再加入Hash函数实现数字签名,本实时例的签名算法是发送方使用自已的RSA密钥对数据进行签名,由此判别接收到的数据是否被伪造。
测试环境:在PMA仿真工具中模拟104主从站的通信,同时主站向从站发送单点遥控命令,在主从站界面获得实验仿真测试结果的报文,本发明方法中ARP欺骗和Ettercap包过滤在Kali Linux环境中实现,Wireshark工具可以截获到104通信报文,本发明方法运行的算法在Kali Linux环境中使用Python语言编程,算法的运行包括加密后的AES密钥,从站端RSA私钥对104明文数据的签名,经过AES加密后的密文,从站端RSA公钥对报文的验签结果,解密后的明文数据。
优选地是,本发明方法相对于AES-RSA混合加密算法的单向加密是且没有进行安全校验,也意味着,任何人都可以伪装成发送者向接收着发送伪装的信息,因为公钥是公开的,攻击者可以伪装成发送者向接收着发送伪装的信息;AES-RSA混合加密签名算法改进的方式就是发送方使用自已的密钥对数据进行签名,数字签名可以对用于鉴别数字信息,保证数据在传输过程中没有被篡改,保证了消息的完整性和不可否认性,经过该算法对接收到的报文进行签名认证后,证实数据文件来自客户端,使得信息具有不可抵赖性,该算法可以提高104协议通信传输的安全性,即使密文被攻击者窃取也不易被破解出原始消息,验证成功说明不是伪造的数据,因此该算法可一定程度抵抗中间人攻击。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种基于104规约的AES-RSA抗中间人攻击方法,其特征在于:包括,
配置实验网络环境,将攻击者的IP地址和MAC地址、主站和从站的IP地址和MAC地址、要求三者在同一局域网中;
利用ARP欺骗技术将所述攻击者伪装成网关的MAC地址;
基于所述攻击者窃取主从站通信报文;
打开Ettercap工具,进行包过滤技术;
结合Ettercap包过滤技术切断104规约主从站通信连接。
2.根据权利要求1所述的基于104规约的AES-RSA抗中间人攻击方法,其特征在于:所述Ettercap包过滤包括,
建立切断104主站和从站通信的过滤脚本;
使用Ettercap命令将过滤脚本编译成Ettercap能够识别的二进制文件;
编译过滤器,使用所述Ettercap命令加载过滤脚本。
3.根据权利要求2所述的基于104规约的AES-RSA抗中间人攻击方法,其特征在于:所述过滤脚本包括,在过滤主从站的104协议数据包之后设置Ettercap不转发所述104数据包,同时切断104主站与从站的通信连接。
4.根据权利要求2或3所述的基于104规约的AES-RSA抗中间人攻击方法,其特征在于:包括,
所述主站创建1024位的RSA密钥对,并提供接口将RSA公钥发送从站,RSA私钥存放在主站端;
所述从站的随机函数生成AES密钥;
从站端接收主站方发送来的RSA公钥,使用RSA公钥加密AES密钥,得到加密密钥。
5.根据权利要求4所述的基于104规约的AES-RSA抗中间人攻击方法,其特征在于:还包括,
从站端通过网络将数据文件传输给主站端;
所述主站收到数据文件后,利用自己的RSA私钥对AES密钥解密,得到aesKey,解密成功即可确定是从站端发来的数据或数据没有被篡改。
6.根据权利要求5所述的基于104规约的AES-RSA抗中间人攻击方法,其特征在于:包括,
所述从站的随机函数生成AES密钥;
从站AES密钥对请求的104规约明文数据进行加密,由此得到加密后的数据encryptData;
从站端通过网络将数据文件传输给主站端;
主站使用aesKey对加密后的数据encryptData进行AES解密;
主站经AES解密得到104规约的原始数据。
7.根据权利要求5所述的基于104规约的AES-RSA抗中间人攻击方法,其特征在于:包括,
准备好从站方的RSA私钥,用于对数据进行签名,将从站的RSA私钥对原始数据进行签名得到Sign;
准备好从站方的RSA公钥,用于对进行签名校验,将从站的RSA公钥对Sign和encryptData进行签名校验,验证成功说明不是伪造的数据。
8.根据权利要求7所述的基于104规约的AES-RSA抗中间人攻击方法,其特征在于:还包括,
对原始数据进行验签得到M1;
对encryptData进行验签得到M2;
比较M1和M2是否相等,若M1=M2,则验证成功,否则,验证失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110724560.1A CN113660195B (zh) | 2021-06-29 | 2021-06-29 | 一种基于104规约的aes-rsa抗中间人攻击方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110724560.1A CN113660195B (zh) | 2021-06-29 | 2021-06-29 | 一种基于104规约的aes-rsa抗中间人攻击方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113660195A true CN113660195A (zh) | 2021-11-16 |
| CN113660195B CN113660195B (zh) | 2023-07-25 |
Family
ID=78477147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110724560.1A Active CN113660195B (zh) | 2021-06-29 | 2021-06-29 | 一种基于104规约的aes-rsa抗中间人攻击方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660195B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401872A (zh) * | 2013-08-05 | 2013-11-20 | 北京工业大学 | 基于rdp改进协议的防止和检测中间人攻击的方法 |
| CN103684793A (zh) * | 2013-12-25 | 2014-03-26 | 国家电网公司 | 一种基于可信计算增强配电网络通信安全的方法 |
| CN103916359A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 防止网络中arp中间人攻击的方法和装置 |
| CN104243413A (zh) * | 2013-06-14 | 2014-12-24 | 航天信息股份有限公司 | 对局域网中的arp中间人攻击进行防范的方法和系统 |
| CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
| CN110912921A (zh) * | 2019-11-29 | 2020-03-24 | 广东工业大学 | 一种工业控制系统安全数据校验系统及方法 |
-
2021
- 2021-06-29 CN CN202110724560.1A patent/CN113660195B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916359A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 防止网络中arp中间人攻击的方法和装置 |
| CN104243413A (zh) * | 2013-06-14 | 2014-12-24 | 航天信息股份有限公司 | 对局域网中的arp中间人攻击进行防范的方法和系统 |
| CN103401872A (zh) * | 2013-08-05 | 2013-11-20 | 北京工业大学 | 基于rdp改进协议的防止和检测中间人攻击的方法 |
| CN103684793A (zh) * | 2013-12-25 | 2014-03-26 | 国家电网公司 | 一种基于可信计算增强配电网络通信安全的方法 |
| CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
| CN110912921A (zh) * | 2019-11-29 | 2020-03-24 | 广东工业大学 | 一种工业控制系统安全数据校验系统及方法 |
Non-Patent Citations (5)
| Title |
|---|
| 余鹏等: "《配电网自动化DTU终端的103规约的安全性分析》", 《计算机系统应用》 * |
| 余鹏等: "《配电网自动化DTU终端的103规约的安全性分析》", 《计算机系统应用》, 15 May 2021 (2021-05-15), pages 1 - 7 * |
| 王勇;王相;贺文婷;周宇昊;蔡雨帆;: "馈线终端单元FTU的101规约安全性测试", 网络与信息安全学报, no. 10 * |
| 王勇等: "配电网IEC60870-5-104协议的抗中间人攻击算法", 《信息安全学报》 * |
| 王勇等: "配电网IEC60870-5-104协议的抗中间人攻击算法", 《信息安全学报》, no. 06, 15 November 2019 (2019-11-15), pages 1 - 11 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113660195B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102065016B (zh) | 报文发送和接收方法及装置、报文处理方法及系统 | |
| CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
| CN101558599B (zh) | 客户端设备、邮件系统、程序以及记录介质 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN112491550B (zh) | 一种基于车联网的移动终端设备可信认证方法及系统 | |
| CN111711625A (zh) | 一种基于配电终端的电力系统信息安全加密系统 | |
| Musa et al. | Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security | |
| CN106330432A (zh) | 一种基于des加密算法的加密方法 | |
| CN114826656A (zh) | 一种数据链路可信传输方法和系统 | |
| CN113572788A (zh) | BACnet/IP协议设备认证安全方法 | |
| CN109981271B (zh) | 一种网络多媒体安全防护加密方法 | |
| CN102281303A (zh) | 一种数据交换方法 | |
| CN112311553B (zh) | 一种基于挑战应答的设备认证方法 | |
| CN100376092C (zh) | 防火墙与入侵检测系统联动的方法 | |
| CN104735094A (zh) | 基于信息分离的数据安全传输系统及方法 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
| CN112069487B (zh) | 一种基于物联网的智能设备网络通讯安全实现方法 | |
| CN113660195B (zh) | 一种基于104规约的aes-rsa抗中间人攻击方法 | |
| CN115150076A (zh) | 一种基于量子随机数的加密系统及方法 | |
| Xiao et al. | Security mechanisms, attacks and security enhancements for the IEEE 802.11 WLANs | |
| Wu et al. | A high security framework for SMS | |
| CN115242392B (zh) | 基于安全传输协议实现工业信息安全传输的方法及系统 | |
| CN114553420B (zh) | 基于量子密钥的数字信封封装方法及数据保密通信网络 | |
| CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
| Pervaiz et al. | Security in wireless local area networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |