CN113987525A - 一种基于分组密码算法的系统数据防护方法 - Google Patents
一种基于分组密码算法的系统数据防护方法 Download PDFInfo
- Publication number
- CN113987525A CN113987525A CN202111113521.4A CN202111113521A CN113987525A CN 113987525 A CN113987525 A CN 113987525A CN 202111113521 A CN202111113521 A CN 202111113521A CN 113987525 A CN113987525 A CN 113987525A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- block cipher
- cipher algorithm
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000005540 biological transmission Effects 0.000 claims abstract description 29
- 238000007781 pre-processing Methods 0.000 claims abstract description 7
- 238000012795 verification Methods 0.000 claims description 8
- 238000013496 data integrity verification Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 238000009432 framing Methods 0.000 claims description 3
- 238000012886 linear function Methods 0.000 claims description 3
- 238000001228 spectrum Methods 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 7
- 238000012360 testing method Methods 0.000 description 6
- 238000004088 simulation Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于分组密码算法的系统数据防护方法,包括:采集系统所传输的数据并进行数据预处理;基于分组密码算法对预处理后的数据进行加密,得到加密后的传输数据;利用验证数据信息接收端的身份有效性,若所述身份有效,则将所述数据信息输入至所述接收端并进行解密,实现系统数据的防护。本发明不仅考虑了传输效率,还在高效传输的基础上考虑了数据传输的安全性问题,降低数据传输过程中被监听、攻击及篡改的可能,降低了电控系统数据传输的安全隐患。
Description
技术领域
本发明涉及信息安全的技术领域,尤其涉及一种基于分组密码算法的系统数据防护方法。
背景技术
目前常用电力控制通讯协议基本都采用明文传输,如标准协议ModbusTcp、IEC60870-5-104、Ethernet/IP(CIP)等,尤其Modbus协议在电力控制系统中得到广泛的应用。大多数工控协议在设计之初,仅考虑协议的功能,效率和可靠性等,没有考虑安全性问题,即使在控制系统专用网络内部,很容易在网络节点上实施监听、攻击甚至篡改。电力通讯协议很难满足现代信息系统安全的要求,尤其给承担关键信息基础设施的电力控制系统带来了极大安全隐患。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明解决的技术问题是:现有明文传输数据方式导致数据很容易在网络节点上被监听、攻击甚至篡改,安全隐患大。
为解决上述技术问题,本发明提供如下技术方案:采集系统所传输的数据并进行数据预处理;基于分组密码算法对预处理后的数据进行加密,得到加密后的传输数据;利用验证数据信息接收端的身份有效性,若所述身份有效,则将所述数据信息输入至所述接收端并进行解密,实现系统数据的防护。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:所述系统传输的数据包括图像信息、音频信息、文本信号信息。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:所述数据预处理包括,将所述音频信息与所述文本信号信息经过预加重、分帧、加窗、计算功率谱、滤波器组得到二者的时频图,并将所述时频图分辨率调整为M×M×3;将所述图像信息的分辨率调整为M×M×3;利用数据拟合模型将所述音频信息、所述文本信号信息和所述图像信息的时频图的三个分类通道进行拟合,得到唯一需加密的通道。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:所述数据拟合模型包括,
定义所述数据拟合模型的损失函数为:
其中,L表示损失函数,V、A、T分别表示图像信息、音频信息、文本信号信息经过预处理后的样本数,
表示图像样本V中第k个样本经过模型输出的特征,
表示图像样本V中第k个样本特征对应的标签,
表示音频样本A中第k个样本经过模型输出的特征,
表示音频样本A中第k个样本特征对应的标签,
表示文本信号样本T中第k个样本经过模型输出的特征,
表示文本信号样本T中第k个样本特征对应的标签,g(·)表示多分类交叉熵损失函数;
当所述损失函数低于预设阈值时,所述数据拟合模型开始生效。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:所述分组密码算法包括TDES算法、DES算法和AES算法。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:基于所述分组密码算法对预处理后的数据进行加密包括,获取所述分组密码算法的第一密钥、第二密钥及第三密钥;利用所述第一密钥对所述预处理后的数据进行加密,得到第一加密数据;利用所述第二密钥对所述第一加密数据进行解密,得到第二加密数据;利用所述第三密钥对所述第二加密数据进行加密,得到加密后的传输数据。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:验证所述数据信息接收端的身份有效性包括,利用CA根证书验证所述数据信息接收端的身份是否有效。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:解密所述数据信息包括,验证传输过来的数据是否完整;若不完整,则禁止所述数据信息传输至所述数据信息接收端,并发出预警信号进行预警;若完整,则解密所述数据信息。
作为本发明所述的基于分组密码算法的系统数据防护方法的一种优选方案,其中:所述数据完整性验证包括,利用检验算法进行数据完整性验证,所述检验算法为:
其中,f(n)表示线性函数,w表示单个字节的权重系数,I(f)(w)表示数据完整性检验结果输出值,n表示数据字节数,m表示字节特征元素数量值。
本发明的有益效果:本发明不仅考虑了传输效率,还在高效传输的基础上考虑了数据传输的安全性问题,降低数据传输过程中被监听、攻击及篡改的可能,降低了电控系统数据传输的安全隐患。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的一种基于分组密码算法的系统数据防护方法的基本流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1,为本发明的一个实施例,提供了一种基于分组密码算法的系统数据防护方法,包括:
S1:采集系统所传输的数据并进行数据预处理;
需要说明的是,系统传输的数据包括图像信息、音频信息、文本信号信息。
进一步的,数据预处理包括:
将音频信息与文本信号信息经过预加重、分帧、加窗、计算功率谱、滤波器组得到二者的时频图,并将时频图分辨率调整为M×M×3;
将图像信息的分辨率调整为M×M×3;
利用数据拟合模型将音频信息、文本信号信息和图像信息的时频图的三个分类通道进行拟合,得到唯一需加密的通道。
其中,数据拟合模型包括:
定义数据拟合模型的损失函数为:
其中,L表示损失函数,V、A、T分别表示图像信息、音频信息、文本信号信息经过预处理后的样本数,
表示图像样本V中第k个样本经过模型输出的特征,
表示图像样本V中第k个样本特征对应的标签,
表示音频样本A中第k个样本经过模型输出的特征,
表示音频样本A中第k个样本特征对应的标签,
表示文本信号样本T中第k个样本经过模型输出的特征,
表示文本信号样本T中第k个样本特征对应的标签,g(·)表示多分类交叉熵损失函数;
当损失函数低于预设阈值时,数据拟合模型开始生效。
S2:基于分组密码算法对预处理后的数据进行加密,得到加密后的传输数据;
需要说明的是,分组密码算法包括TDES算法、DES算法和AES算法。
进一步的,基于分组密码算法对预处理后的数据进行加密包括:
获取分组密码算法的第一密钥、第二密钥及第三密钥;
利用第一密钥对预处理后的数据进行加密,得到第一加密数据;
利用第二密钥对第一加密数据进行解密,得到第二加密数据;
利用第三密钥对第二加密数据进行加密,得到加密后的传输数据。
S3:利用验证数据信息接收端的身份有效性,若身份有效,则将数据信息输入至接收端并进行解密,实现系统数据的防护;
需要说明的是,验证数据信息接收端的身份有效性包括:利用CA根证书验证数据信息接收端的身份是否有效,其中,CA根证书中包含非对称加密的公钥、证书拥有者的身份信息、证书授权机构CA(CertificateAuthority)信息及其数据签名等信息。在进行数据信息接收端的身份有效性过程中,如采用双向验证,通讯双方按协议交换的数字证书,通过CA根证书验证对方身份和证书的有效性,CA根证书有效性判断由应用程序实现,并且决定是否可以继续或者断开当前通讯。
进一步的,解密数据信息包括:
验证传输过来的数据是否完整;
若不完整,则禁止数据信息传输至数据信息接收端,并发出预警信号进行预警;
若完整,则解密数据信息。
其中,S2~S3步骤的加密解密过程以3DES加密算法为例:
其加密过程为:C=Ek3(Dk2(Ek1(P))),
3DES解密过程为:P=Dk1(EK2(Dk3(C))),
定义Ek()和Dk()代表DES算法的加密和解密过程,K表示DES算法使用的密钥,P代表明文,C代表密文。
用作实现该算法的部分代码如下所示:
使用非对称加密算法,实现身份认证和密钥交换,
其中,非对称加密就是加密和解密使用的不是相同的密钥:只有同一个公钥-私钥对才能正常加解密,实现该算法的部分代码如下:
数据完整性验证包括:
利用检验算法进行数据完整性验证,检验算法为:
其中,f(n)表示线性函数,w表示单个字节的权重系数,I(f)(w)表示数据完整性检验结果输出值,n表示数据字节数,m表示字节特征元素数量值。
若数据完整则完成数据传输,即输出值大于0.90时,表示数据完整,若数据不完整则进行预警。
实施例2
该实施例不同于第一个实施例的是,提供了一种基于分组密码算法的系统数据防护方法的验证测试,为对本方法中采用的技术效果加以验证说明,本实施例采用传统技术方案与本发明方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
传统的技术方案:明文传输,安全性低,易被恶意篡改攻击。为验证本方法相对传统方法具有较高安全性。本实施例中将采用传统明文传输方法和本方法分别对电力系统通信的恶意攻击成功率及传输效率进行实时测量对比。
测试环境:在仿真平台模拟电力系统通信数据的传输,分别采用传统方法和本方法,开启自动化测试设备并运用MATLB软件编程实现两种方法的仿真测试,模拟仿真网络上对协议的监听、攻击及恶意篡改,根据实验结果得到仿真数据。每种方法各测试2000组数据,计算获得每组数据传输结果,与仿真模拟输入的实际电力控制通讯协议进行对比计算误差,结果如表1所示。
表1:实验结果对比表。
| 实验样本 | 传统方法 | 本发明方法 |
| 恶意攻击成功率 | 84.66% | 1.03% |
| 传输时延 | 0.31ms | 0.30ms |
从上表可以看出本发明方法相较于传统方法在高效传输的基础上考虑了数据传输的安全性问题,降低数据传输过程中被监听、攻击及篡改的可能,降低了电控系统数据传输的安全隐患。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.一种基于分组密码算法的系统数据防护方法,其特征在于,包括:
采集系统所传输的数据并进行数据预处理;
基于分组密码算法对预处理后的数据进行加密,得到加密后的传输数据;
利用验证数据信息接收端的身份有效性,若所述身份有效,则将所述数据信息输入至所述接收端并进行解密,实现系统数据的防护。
2.如权利要求1所述的基于分组密码算法的系统数据防护方法,其特征在于:所述系统传输的数据包括图像信息、音频信息、文本信号信息。
3.如权利要求2所述的基于分组密码算法的系统数据防护方法,其特征在于:所述数据预处理包括,
将所述音频信息与所述文本信号信息经过预加重、分帧、加窗、计算功率谱、滤波器组得到二者的时频图,并将所述时频图分辨率调整为M×M×3;
将所述图像信息的分辨率调整为M×M×3;
利用数据拟合模型将所述音频信息、所述文本信号信息和所述图像信息的时频图的三个分类通道进行拟合,得到唯一需加密的通道。
4.如权利要求3所述的基于分组密码算法的系统数据防护方法,其特征在于:所述数据拟合模型包括,
定义所述数据拟合模型的损失函数为:
其中,L表示损失函数,V、A、T分别表示图像信息、音频信息、文本信号信息经过预处理后的样本数,
表示图像样本V中第k个样本经过模型输出的特征,
表示图像样本V中第k个样本特征对应的标签,
表示音频样本A中第k个样本经过模型输出的特征,
表示音频样本A中第k个样本特征对应的标签,
表示文本信号样本T中第k个样本经过模型输出的特征,
表示文本信号样本T中第k个样本特征对应的标签,g(·)表示多分类交叉熵损失函数;
当所述损失函数低于预设阈值时,所述数据拟合模型开始生效。
5.如权利要求1所述的基于分组密码算法的系统数据防护方法,其特征在于:所述分组密码算法包括TDES算法、DES算法和AES算法。
6.如权利要求1~5任一所述的基于分组密码算法的系统数据防护方法,其特征在于:基于所述分组密码算法对预处理后的数据进行加密包括,
获取所述分组密码算法的第一密钥、第二密钥及第三密钥;
利用所述第一密钥对所述预处理后的数据进行加密,得到第一加密数据;
利用所述第二密钥对所述第一加密数据进行解密,得到第二加密数据;
利用所述第三密钥对所述第二加密数据进行加密,得到加密后的传输数据。
7.如权利要求6所述的基于分组密码算法的系统数据防护方法,其特征在于:验证所述数据信息接收端的身份有效性包括,
利用CA根证书验证所述数据信息接收端的身份是否有效。
8.如权利要求7所述的基于分组密码算法的系统数据防护方法,其特征在于:解密所述数据信息包括,
验证传输过来的数据是否完整;
若不完整,则禁止所述数据信息传输至所述数据信息接收端,并发出预警信号进行预警;
若完整,则解密所述数据信息。
9.如权利要求8所述的基于分组密码算法的系统数据防护方法,其特征在于:所述数据完整性验证包括,
利用检验算法进行数据完整性验证,所述检验算法为:
其中,f(n)表示线性函数,w表示单个字节的权重系数,I(f)(w)表示数据完整性检验结果输出值,n表示数据字节数,m表示字节特征元素数量值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111113521.4A CN113987525A (zh) | 2021-09-23 | 2021-09-23 | 一种基于分组密码算法的系统数据防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111113521.4A CN113987525A (zh) | 2021-09-23 | 2021-09-23 | 一种基于分组密码算法的系统数据防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113987525A true CN113987525A (zh) | 2022-01-28 |
Family
ID=79736382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111113521.4A Withdrawn CN113987525A (zh) | 2021-09-23 | 2021-09-23 | 一种基于分组密码算法的系统数据防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113987525A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900365A (zh) * | 2022-05-20 | 2022-08-12 | 帕特思科技咨询(杭州)有限公司 | 一种创新服务资源数据处理及安全交互方法 |
| CN115580447A (zh) * | 2022-09-23 | 2023-01-06 | 中国测绘科学研究院 | 无人机测绘遥感传感器主控系统安全设计方法和装置 |
-
2021
- 2021-09-23 CN CN202111113521.4A patent/CN113987525A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900365A (zh) * | 2022-05-20 | 2022-08-12 | 帕特思科技咨询(杭州)有限公司 | 一种创新服务资源数据处理及安全交互方法 |
| CN115580447A (zh) * | 2022-09-23 | 2023-01-06 | 中国测绘科学研究院 | 无人机测绘遥感传感器主控系统安全设计方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612698B (zh) | 一种商用密码检测方法、装置与系统 | |
| CN113987525A (zh) | 一种基于分组密码算法的系统数据防护方法 | |
| CN108259407B (zh) | 一种基于时间戳的对称加密方法及系统 | |
| CN102664739A (zh) | 一种基于安全证书的pki实现方法 | |
| CN111797431B (zh) | 一种基于对称密钥体制的加密数据异常检测方法与系统 | |
| CN103051869A (zh) | 一种摄像头视频实时加密系统及加密方法 | |
| JPH06504626A (ja) | アクセスコントロールおよび/または識別方法および装置 | |
| CN116861697A (zh) | 一种基于大数据的电力数据处理系统及处理方法 | |
| CN112671710A (zh) | 一种基于国密算法的安全加密装置、双向认证及加密方法 | |
| CN104639528A (zh) | 一种dba移动客户端反攻击方法及装置 | |
| CN108965310A (zh) | 一种批量数据上传中防篡改加密实现方法和装置 | |
| CN106941402A (zh) | 一种同态密文域可逆隐藏方法 | |
| CN107249002A (zh) | 一种提高智能电能表安全性的方法、系统及装置 | |
| CN107645500B (zh) | 广播数据交互方法及装置 | |
| CN113965396A (zh) | 一种基于风险评估的数据安全通信系统及方法 | |
| CN113918977A (zh) | 基于物联网和大数据分析的用户信息传输装置 | |
| CN115567191A (zh) | 一种基于设备指纹和国密算法的产线网络安全防护方法 | |
| CN107424619A (zh) | 一种音频加密算法和用户身份验证方法和加密识别方法 | |
| CN114978711A (zh) | 一种动态秘钥对称加密的数据传输方法及系统 | |
| CN112839044B (zh) | 音频处理方法以及装置 | |
| CN115051796A (zh) | 一种基于区块链技术的数据加密认证及安全分析方法 | |
| CN106302507A (zh) | 一种基于ssl网络数据解析技术的方法 | |
| CN115051840B (zh) | 一种数据传输用安全监控系统 | |
| Jiang et al. | Real-time covert VoIP communications over smart grids by using AES-based audio steganography | |
| CN113328863B (zh) | 一种基于零知识证明的移动设备数据采集方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220128 |