CN114172679A - 一种基于国密算法的电力数据安全加密传输方法 - Google Patents
一种基于国密算法的电力数据安全加密传输方法 Download PDFInfo
- Publication number
- CN114172679A CN114172679A CN202110695904.0A CN202110695904A CN114172679A CN 114172679 A CN114172679 A CN 114172679A CN 202110695904 A CN202110695904 A CN 202110695904A CN 114172679 A CN114172679 A CN 114172679A
- Authority
- CN
- China
- Prior art keywords
- communication
- data
- method based
- transmission method
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 71
- 230000005540 biological transmission Effects 0.000 title claims abstract description 45
- 230000006854 communication Effects 0.000 claims abstract description 62
- 238000004891 communication Methods 0.000 claims abstract description 53
- 230000004224 protection Effects 0.000 claims abstract description 21
- 238000012795 verification Methods 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims description 18
- 230000009466 transformation Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 10
- 238000013461 design Methods 0.000 claims description 5
- 239000000463 material Substances 0.000 claims description 4
- 238000013524 data verification Methods 0.000 claims description 3
- 230000005611 electricity Effects 0.000 claims description 3
- 230000002441 reversible effect Effects 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000003672 processing method Methods 0.000 claims description 2
- 239000000203 mixture Substances 0.000 claims 2
- 239000002994 raw material Substances 0.000 claims 2
- 230000000694 effects Effects 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000000819 phase cycle Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000007620 mathematical function Methods 0.000 description 1
- 238000002156 mixing Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于国密算法的电力数据安全加密传输方法,包括,同行双方协商会话通信协议,在开始SSL会话前,选定本次会话通信双方能接受的协议;申请本次会话环境所需条件,指定握手阶段证书的验证方式并加载公钥证书;载入消息发布者的数字证书和用户私钥并验证所述用户私钥和所述数字证书是否相等;利用指令绑定的套接字建立SSL套接字服务;进行会话握手时,通信双方协商询问通信双方的证书信息,以便进行相应的验证;握手结束后进行数据加密传输。本发明对于传输延时有一定的提升作用,比单一的加密防护更有实用价值,更加安全可靠。
Description
技术领域
本发明涉及小型用户电力信息采集系统的安全采集传输保障的技术领域, 尤其涉及一种基于国密算法的电力数据安全加密传输方法。
背景技术
互联网通信时代,随着各种海量数据的广泛接入,电力信息普遍相互传输, 来自各方面恶意攻击的可能性就越大。构建一个安全、可靠、实时、高效的智 能电力用户用电信息采集系统是一项重要研究内容,其中基于此最基本的目标 是能够确保数据信息的完整性、机密性和有效性,从而确保电力信息系统稳定 可靠高效的运行。此外,可靠稳定的通信网络传输也是实现用户与采集终端进 行互动的一个重要保障。
对于安全加密防护系统,目前主流使用较多的公钥算法大多采用RSA,此 类算法关键设计部分尚未公开,存在预置后门以及安全漏洞等威胁。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较 佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或 省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略 不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明提供了一种基于国密算法的电力数据安全加密传输方法,能 够解决电力数据传输没有安全保障的问题。
为解决上述技术问题,本发明提供如下技术方案:包括,同行双方协商会 话通信协议,在开始SSL会话前,选定本次会话通信双方能接受的协议;申请 本次会话环境所需条件,指定握手阶段证书的验证方式并加载公钥证书;载入 消息发布者的数字证书和用户私钥并验证所述用户私钥和所述数字证书是否 相等;利用指令绑定的套接字建立SSL套接字服务;进行会话握手时,通信双 方协商询问通信双方的证书信息,以便进行相应的验证;握手结束后进行数据 加密传输。
作为本发明所述的基于国密算法的电力数据安全加密传输方法的一种优 选方案,其中:包括,当通信双方完成数据安全通信之后,释放已经申请的SSL 资源,结束安全协议通信。
作为本发明所述的基于国密算法的电力数据安全加密传输方法的一种优 选方案,其中:包括,在信息交换过程中使用ECDHE、SM2、SM4、SM3进 行信息防护;所述ECDHE生成密钥选用的材料;所述SM2完成数字签名和 加密密钥;所述SM4用于通信信道上数据的加密处理;所述SM3用于数据完 整性的校验。
作为本发明所述的基于国密算法的电力数据安全加密传输方法的一种优 选方案,其中:所述SM3为消息摘要算法,包括,对于待处理的用电信息数 据量较大时进行哈希处理以产生固定长度的摘要输出从而提供数据防止篡改 的保护,计算处理方法如下:
P_SM3(secret,seed)=HMAC_hash(secret,A(1)+seed)+HMAC_hash (secret,A(2)+seed)+HMAC_hash(secret,A(3)+seed)+... PRF(secret,label,seed)=P_SM3(secret,label+seed)
其中,+代表连接,A(0)=seed,A(i)=HMAC_hash(secret,A(i-1)),SM3一 次HMAC产生的数据位32byte,因此想得到80byte数据,需要i=3,得到后将多 余的16byte丢弃即可,label必须是ASCII字符串,不包含结尾的‘\0’。
作为本发明所述的基于国密算法的电力数据安全加密传输方法的一种优 选方案,其中:所述SM4为对称分组加密算法,包括,对于采集到的数据经 由所述SM3处理后,在需要交换之前进行加密处理以提供机密性保护。
作为本发明所述的基于国密算法的电力数据安全加密传输方法的一种优 选方案,其中:所述加密处理包括,32轮迭代运算,
反序变换处理输出解密后的信息,
(Y0,Y1,Y2,Y3)=R(X32,X33,X34,X35)=(X35,X34,X33,X32)
其中,可逆变换
为了提高算法抗攻击的难度,增加运算处 理的复杂度,采取一阶导数为常数的变换L和不满足线性条件的变换τ共同复 合的设计思路。
作为本发明所述的基于国密算法的电力数据安全加密传输方法的一种优 选方案,其中:还包括,由多个并行的S盒一起构成变换τ的组成部分,且变 换τ的输出结果作为变换L的输入,设输入为
输出为
作为本发明所述的基于国密算法的电力数据安全加密传输方法的一种优 选方案,其中:所述SM2为公钥加密算法,包括,对于需要通信双方身份进 行验证,对待处理信息进行签名后验证签名处理以提供身份确认和防抵赖保护。
本发明的有益效果:本发明对于传输延时有一定的提升作用,可同时提供 判断通信双方是否属实的认证、保证通信数据的机密性、交换信息是否丢失的 完整性以及发送信息者本身的不可抵赖性等多重安全防护,比单一的加密防护 更有实用价值,更加安全可靠。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需 要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的 一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下, 还可以根据这些附图获得其它的附图。其中:
图1为本发明第一个实施例所述的基于国密算法的电力数据安全加密传输 方法的流程示意图;
图2为本发明第一个实施例所述的基于国密算法的电力数据安全加密传输 方法的公私钥密码混合防护系统的安全流程示意图;
图3为本发明第一个实施例所述的基于国密算法的电力数据安全加密传输 方法的通信运行部分代码示意图;
图4为本发明第一个实施例所述的基于国密算法的电力数据安全加密传输 方法的又一通信运行部分代码示意图;
图5为本发明第二个实施例所述的基于国密算法的电力数据安全加密传输 方法的加密数据量对比示意图;
图6为本发明第二个实施例所述的基于国密算法的电力数据安全加密传输 方法的不同混合密码系统防护耗时性能对比示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书 附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的 一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员 在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的 保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明 还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不 违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例 的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少 一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在 一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施 例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明, 表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例, 其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及 深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等 指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述 本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、 以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第 一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广 义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械 连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件 内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在 本发明中的具体含义。
实施例1
利用对称分组密码算法SM4对待处理消息进行加密处理,消息转换为密 文,从而保证了消息的机密性,但是一个关键的地方在于如何保证SM4加密 过程需要使用的密钥,公钥加密算法巧妙之处在于利用数学函数产生一对公私 钥对,对每次通信过程中,进行密码运算所需的密钥使用SM2算法的公钥进 行运算,通信接收方则可以使用自己的私钥进行解密还原,有效避免了密钥配 送中容易窃取的可能性,同时尽管使用公钥密码算法SM2加密速度很慢,但 是由于对称加密过程中所需密钥长度较短,因此这种情况下其速度问题基本上 可以忽略不计。
对传统的通信协议进行研究对比分析,提出的安全协议解决方案是利用 Openssl进行升级,基于Openssl的开发环境是一个开放的密码算法库,通过优 化该库进行安全协议的设计,不仅移植性好,兼容不同开发平台,同时该类算 法库集成度很高,非常适合拓展。
参照图1~图4,为本发明的第一个实施例,提供了一种基于国密算法的电 力数据安全加密传输方法,具体包括:
S1:同行双方协商会话通信协议,在开始SSL会话前,选定本次会话通信 双方能接受的协议。
S2:申请本次会话环境所需条件,指定握手阶段证书的验证方式并加载公 钥证书。
S3:载入消息发布者的数字证书和用户私钥并验证用户私钥和数字证书是 否相等。
S4:利用指令绑定的套接字建立SSL套接字服务。
S5:进行会话握手时,通信双方协商询问通信双方的证书信息,以便进行 相应的验证。
S6:握手结束后进行数据加密传输。
结束安全协议通信,当通信双方完成数据安全通信之后,释放已经申请的 SSL资源,整个安全通信过程到此结束。
信息交换过程中使用ECDHE-SM2-SM4-SM3进行信息防护,ECDHE生 成密钥选用的材料,SM2完成数字签名和加密密钥,SM4用于通信信道上数据 的加密处理,SM3用于数据完整性的校验,经由上述协同工作,能够完成通信 双方身份的验证、会话过程中产生密钥和交换以及检验交换的数据传输过程中 是否完整丢失,从而完美保证机密性、完整性。
通信过程中,客户端首先会确认服务器端证书并将其信息打印输出,然后 开始会话通信,在完成双向数据交换之后,释放资源,结束SSL通信过程。
进一步的,本实施例还需要说明的是,提供了一种电力信息采集传输加密 方法,包括:
S1:基于嵌入式ARM芯片STM32F103和三相电能专用采集芯片ATT7022 设计硬件部分,并利用MQTT协议将采集到的电力信息数据发送到物联网开 发平台实时显示。
具体的,ATT7022芯片内部包括一套电源监控电路,能够连续对模拟电源 进行监控,当电源电压低于2.5V±5%时,芯片将被复位,这种设计有利于电 路上电和掉电时芯片的正确启动和正常工作电源监控电路被安排在延时和滤 波环节中,能够以最大程度上防止因电源噪声引起的错误。
该硬件系统主要能够实现电压相序检测、电流相序检测、电压电流相角的 测量、功率因数测量以及电压、电流有效值测量等。
有功功率计算:
各相的有功功率是通过对直流分量后的电流、电压信号进行乘法、加法、 数字滤波等一系列数字信号处理后得到的,电压、电流采样数据中包含高达41 次的谐波信息,所以依据上述公式计算得到有功功率也至少包含41次谐波信 息。
无功功率计算:
无功功率计量算法与有功类似,只是电压信号采用移相90度之后的,移 相方式采用Hilbert滤波器,测量带宽主要受到数字移相滤波器的带宽限制。
视在功率计算:
用户可以通过寄存器配置选择使用视在功率计算方式。
功率因数计算公式:
其中,P为有功功率,S为视在功率。
ATT7022芯片通过SPI引脚与MCU之间进行数据的读写传送,配置好引 脚之后选择通信读写函数完成电力数据的读写操作,在ATT7022芯片地址寄 存器中,片选信号到达下降沿的时候,开始读写数据,在一个完整的读写周期 内完成多个字节的读写,执行指令后,片选信号会被拉高到上升沿,经由上述 处理完成一次完整的数据读取过程。
S2:通过采集终端获取的数据利用对称分组密码算法SM4加密处理,加密 过程需要使用的会话密钥使用公钥密码算法SM2进行运算,同时保证了运算 速度快和密钥安全。
其中,对称分组加密算法SM4会进行32轮非线性迭代,每一轮在操作都 需要使用一个轮密钥,轮密钥的作用直接影响该类加密算法的性能好坏。
加密密钥一般表示为MK=(MK0,MK1,MK2,MK3),每个MK表示32比特,轮 密钥由加密密钥通过密钥扩展算法生成,其生成方法:
CK作为固定参数其采取的计算法方法为:
设cki,j为CKi的第j个字节
cki,j=(4i+j)×7(mod256)
经过上述计算得到一系列的固定参数值,主要是用于轮密钥扩展生成当中,
FK为系统参数,也是由一系列固定值组成的,这些都 是不变的,相比较传统轮密钥的计算过程,本发明提出改进方法为对于SM4 加密过程所需的32轮密钥,在设计的时候使用两个寄存器来存放,一个寄存 器用于记录第一轮密钥或最后一轮轮密钥,另一个则用于跟踪存储当前正在执 行的轮密钥,设置一个标志位来判断寄存器当前的工作状态,最后在一个工作 周期内,摒弃以前一次性将全部密钥扩展完成,代替以只进行一轮或较少轮的 运算,避免占用寄存器资源。
伪随机数生成PRF用于产生会话密钥,其计算方法如下:
P_SM3(secret,seed)=HMAC_hash(secret,A(1)+seed)+HMAC_hash (secret,A(2)+seed)+HMAC_hash(secret,A(3)+seed)+... PRF(secret,label,seed)=P_SM3(secret,label+seed)
其中,+代表连接,A(0)=seed,A(i)=HMAC_hash(secret,A(i-1)),SM3一 次HMAC产生的数据位32byte,因此想得到80byte数据,需要i=3,得到后将多 余的16byte丢弃即可,label必须是ASCII字符串,不包含结尾的‘\0’。
再进一步的是,本实施例还提出了一种安全通信协议通信方法,能够同时 实现身份认证、数据加密等多重安全防护,参照图3和图4,整个安全协议通 信过程包括:
S1:创建EC参数和优化后SM2算法生成私钥文件,再利用公钥密码体制 思想利用其私钥导出对应的SM2公钥文件,经过以上准备,SM2的密钥对已 经产生完毕。
S2:数字签名算法由于引入了非对称密码算法,尽管能够防止否认,但是 发送方却无法判断接收到的公钥是否是接收方私钥对产生的唯一配对公钥,因 此很容易遭受中间人攻击。
为了防止中间人攻击,需要产生自签名证书来判断身份,本发明方法的数 字签名证书设置五年的有效期,生成证书保存。
S3:通信过程需要同时打开客户端和服务端进行通信连接,开启服务端进 行端口监听,通信运行,socket已经创建,绑定成功,开始监听,等待客户端 IP地址为127.0.0.1,端口号为48498的通信请求,接收发送来数据随即读取通 信的数据。
信息交换过程中使用ECDHE-SM2-SM4-SM3进行信息防护,ECDHE生 成密钥选用的材料,SM2完成数字签名和加密密钥,SM4用于通信信道上数据 的加密处理,SM3用于数据完整性的校验,经由上述协同工作,能够完成通信 双方身份的验证、会话过程中产生密钥和交换以及检验交换的数据传输过程中 是否完整丢失,从而完美保证机密性、完整性。
通信过程中,客户端会确认服务器端证书并将其信息打印输出,开始会话 通信,在完成双向数据交换之后,释放资源,结束SSL通信过程。
S4:利用wireshark软件对上述双端模拟通信过程进行数据包的抓取,生成 的随机数一共32字节,真正通过随机数生成器算法生成的28个字节与通过加 入世界协调时间作为参数混合的方式增强密钥生成以及后续签名过程中所需 要的随机数的随机性,正是通过这种引入时间戳的方式能够有效抵抗碰撞攻击。
实施例2
参照图5和图6,为本发明的第二个实施例,该实施例不同于第一个实施 例的是,提供了一种基于国密算法的电力数据安全加密传输方法的验证,具体 包括:
为了对本发明方法中采用的技术方案效果加以验证说明,本实施选择传统 公钥密码算法DSA、RSA、ECDSA以及本发明方法SM2对同一明文数据进行 签名和验证签名性能对比测试,以及科学论证的手段对比试验结果,以验证本 方法所有的真实效果。
测试环境:利用STM32与ATT702采集到的用电信息数据在虚拟机中利用 库函数对不同算法进行签名验签测试,根据实际实验结果得到如下记录表格:
表1:对比不同公钥密码算法运算结果。
| 算法 | 密钥大小 | 私钥运算次数/每秒 | 公钥运算次数/每秒 |
| DSA | 2048 | 4356.0 | 4267.1 |
| RSA | 2048 | 1604.9 | 53808.9 |
| ECDSA | 256 | 23360.5 | 11427.9 |
| 本文SM2 | 256 | 45909.1 | 13310.8 |
参照表1,可以看出一方面256位的SM2算法验签速度较2048位的RSA 算法和256位的ECDSA算法快很多,基于ECC的签名算法ECDSA和SM2, 其数学基础是离散对数问题求解的容易度,它们破解难度较RSA求解难度大 很多,确保了其算法本身的安全性,此外,基于ECC的公钥密码体制算法其 想要达到同样的安全效果所需的密钥长度由于数学函数的特殊性很小,与之对 应带来的优势之处在于实际应用当中对硬件电路资源和网络资源少得多,产生 的功耗也少,通过引入该类密码机制的安全防护方案更加适合电力信息数据在 传输过程中进行硬件电路设计实现。
当采集到的电力数据在利用网络传输协议进行发送的过程中,会存在不可 忽视的传输时延,如果利用RSA公钥体制不仅会影响服务质量,而且对电力 信息系统稳定可靠运行带来了不可想象的隐患,本发明方法使用SM2则可以 很好的改善这个安全问题。
进一步的,对对称分组密码算法SM4与传统其他主流对称加密算法DES、 AES等进行性能比较,从中可以看到,当处理字符串长度从16比特到256比 特,分析得到每秒完成处理的数据量是多少KB,比如,对于256比特的数据, SM4对称分组加密算法每秒处理约114MB,尤其当处理数据量非常大的时候, 此类对称加密算法优势体现的更加明显,对于涉及到基础民生行业的电力用户 信息数据采用国密SM4系列算法进行加密处理能够很好的保证数据的机密性, 使用非对称密码算法体制SM2的公钥加密过SM4的加密密钥,对待处理信息 进行加密处理。
参照表1和图5,本发明方法在电力信息数据加密运算获得了较好的效果, 在数据量处理时间和运行内存上都有较大提升,可以证明本发明方法有效的提 高了用电信息采集数据的加密效率。
参照图6,本发明方法较前两种方法耗时更低,且各自算法本身安全性更 好,证明本发明方法可行,适合展开进一步进行相关研究,由于电力信息数据 的传输对于实时性要求高,通过对比本实施例的防护方案与传统方案,对于传 输延时有一定的提升作用,可同时提供判断通信双方是否属实的认证、保证通 信数据的机密性、交换信息是否丢失的完整性以及发送信息者本身的不可抵赖 性等多重安全防护,比单一的加密防护更有实用价值,更加安全可靠。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参 照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可 以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精 神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种基于国密算法的电力数据安全加密传输方法,其特征在于:包括,
同行双方协商会话通信协议,在开始SSL会话前,选定本次会话通信双方能接受的协议;
申请本次会话环境所需条件,指定握手阶段证书的验证方式并加载公钥证书;
载入消息发布者的数字证书和用户私钥并验证所述用户私钥和所述数字证书是否相等;
利用指令绑定的套接字建立SSL套接字服务;
进行会话握手时,通信双方协商询问通信双方的证书信息,以便进行相应的验证;
握手结束后进行数据加密传输。
2.根据权利要求1所述的基于国密算法的电力数据安全加密传输方法,其特征在于:包括,当通信双方完成数据安全通信之后,释放已经申请的SSL资源,结束安全协议通信。
3.根据权利要求1或2所述的基于国密算法的电力数据安全加密传输方法,其特征在于:包括,
在信息交换过程中使用ECDHE、SM2、SM4、SM3进行信息防护;
所述ECDHE生成密钥选用的材料;
所述SM2完成数字签名和加密密钥;
所述SM4用于通信信道上数据的加密处理;
所述SM3用于数据完整性的校验。
4.根据权利要求3所述的基于国密算法的电力数据安全加密传输方法,其特征在于:所述SM3为消息摘要算法,包括,
对于待处理的用电信息数据量较大时进行哈希处理以产生固定长度的摘要输出从而提供数据防止篡改的保护,计算处理方法如下:
P_SM3(secret,seed)=HMAC_hash(secret,A(1)+seed)+HMAC_hash(secret,A(2)+seed)+HMAC_hash(secret,A(3)+seed)+...PRF(secret,label,seed)=P_SM3(secret,label+seed)
其中,+代表连接,A(0)=seed,A(i)=HMAC_hash(secret,A(i-1)),SM3一次HMAC产生的数据位32byte,因此想得到80byte数据,需要i=3,得到后将多余的16byte丢弃即可,label必须是ASCII字符串,不包含结尾的‘\0’。
5.根据权利要求4所述的基于国密算法的电力数据安全加密传输方法,其特征在于:所述SM4为对称分组加密算法,包括,
对于采集到的数据经由所述SM3处理后,在需要交换之前进行加密处理以提供机密性保护。
6.根据权利要求5所述的基于国密算法的电力数据安全加密传输方法,其特征在于:所述加密处理包括,
32轮迭代运算,
反序变换处理输出解密后的信息,
(Y0,Y1,Y2,Y3)=R(X32,X33,X34,X35)=(X35,X34,X33,X32)
其中,可逆变换T:
为了提高算法抗攻击的难度,增加运算处理的复杂度,采取一阶导数为常数的变换L和不满足线性条件的变换τ共同复合的设计思路。
7.根据权利要求6所述的基于国密算法的电力数据安全加密传输方法,其特征在于:还包括,
由多个并行的S盒一起构成变换τ的组成部分,且变换τ的输出结果作为变换L的输入,设输入为
输出为
8.根据权利要求7所述的基于国密算法的电力数据安全加密传输方法,其特征在于:所述SM2为公钥加密算法,包括,对于需要通信双方身份进行验证,对待处理信息进行签名后验证签名处理以提供身份确认和防抵赖保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110695904.0A CN114172679B (zh) | 2021-06-23 | 2021-06-23 | 一种基于国密算法的电力数据安全加密传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110695904.0A CN114172679B (zh) | 2021-06-23 | 2021-06-23 | 一种基于国密算法的电力数据安全加密传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114172679A true CN114172679A (zh) | 2022-03-11 |
| CN114172679B CN114172679B (zh) | 2023-12-01 |
Family
ID=80476396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110695904.0A Active CN114172679B (zh) | 2021-06-23 | 2021-06-23 | 一种基于国密算法的电力数据安全加密传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114172679B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208615A (zh) * | 2022-05-20 | 2022-10-18 | 北京科技大学 | 一种数控系统数据加密传输方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108377186A (zh) * | 2018-03-19 | 2018-08-07 | 北京工业大学 | 一种基于tcm的ssl协议 |
| CN111740844A (zh) * | 2020-06-24 | 2020-10-02 | 上海缔安科技股份有限公司 | 基于硬件的国密算法的ssl通信方法及装置 |
| US20210184869A1 (en) * | 2019-12-17 | 2021-06-17 | Microchip Technology Incorporated | Mutual authentication protocol for systems with low-throughput communication links, and devices for performing the same |
-
2021
- 2021-06-23 CN CN202110695904.0A patent/CN114172679B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108377186A (zh) * | 2018-03-19 | 2018-08-07 | 北京工业大学 | 一种基于tcm的ssl协议 |
| US20210184869A1 (en) * | 2019-12-17 | 2021-06-17 | Microchip Technology Incorporated | Mutual authentication protocol for systems with low-throughput communication links, and devices for performing the same |
| CN111740844A (zh) * | 2020-06-24 | 2020-10-02 | 上海缔安科技股份有限公司 | 基于硬件的国密算法的ssl通信方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 施晓芳,赵少卡,王震懿: "基于国密算法的Android智能终端SSL协议设计与实现", 《福建师大福清分校学报 》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208615A (zh) * | 2022-05-20 | 2022-10-18 | 北京科技大学 | 一种数控系统数据加密传输方法 |
| CN115208615B (zh) * | 2022-05-20 | 2023-12-19 | 北京科技大学 | 一种数控系统数据加密传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114172679B (zh) | 2023-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109756500B (zh) | 基于多个非对称密钥池的抗量子计算https通信方法和系统 | |
| Aviram et al. | {DROWN}: Breaking {TLS} Using {SSLv2} | |
| Argyroudis et al. | Performance analysis of cryptographic protocols on handheld devices | |
| CA2865835C (en) | System and method for connecting client devices to a network | |
| CN111147225A (zh) | 基于双密值和混沌加密的可信测控网络认证方法 | |
| EP2173055A1 (en) | A method, a system, a client and a server for key negotiating | |
| Bindu et al. | Improved remote user authentication scheme preserving user anonymity | |
| CN113312608B (zh) | 一种基于时间戳的电力计量终端身份认证方法及系统 | |
| CN114826656A (zh) | 一种数据链路可信传输方法和系统 | |
| Wu et al. | A lightweight SM2-based security authentication scheme for smart grids | |
| CN111079178B (zh) | 一种可信电子病历脱敏和回溯方法 | |
| CN114915396B (zh) | 一种基于国密算法的跳变密钥数字通信加密系统和方法 | |
| CN108347335A (zh) | 基于sm3算法和随机挑战码的登录验证方法及系统 | |
| Huang et al. | A secure communication over wireless environments by using a data connection core | |
| CN113986470B (zh) | 一种用户无感知的虚拟机批量远程证明方法 | |
| CN114172679B (zh) | 一种基于国密算法的电力数据安全加密传输方法 | |
| Castiglione et al. | An efficient and transparent one-time authentication protocol with non-interactive key scheduling and update | |
| Zhou et al. | Trusted channels with password-based authentication and TPM-based attestation | |
| Thandra et al. | Cryptanalysis of an Efficient Passwortd Authentication Scheme. | |
| CN108551391A (zh) | 一种基于USB-key的认证方法 | |
| CN112039654A (zh) | 一种抵御中间人攻击的电表数据安全采集方法 | |
| Tzinos et al. | Evaluating the performance of post-quantum secure algorithms in the TLS protocol | |
| Joaquim et al. | Vulnerability-tolerant transport layer security | |
| Ji | The Advance of Cryptocurrency Wallet with Digital Signature | |
| CN116155497B (zh) | 一种车联网用户应用程序中的敏感数据加密和保存方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |