CN114363086A - 基于流密码的工业互联网数据加密传输方法 - Google Patents

基于流密码的工业互联网数据加密传输方法 Download PDF

Info

Publication number
CN114363086A
CN114363086A CN202210078114.2A CN202210078114A CN114363086A CN 114363086 A CN114363086 A CN 114363086A CN 202210078114 A CN202210078114 A CN 202210078114A CN 114363086 A CN114363086 A CN 114363086A
Authority
CN
China
Prior art keywords
key
encryption
gateway
data
stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210078114.2A
Other languages
English (en)
Other versions
CN114363086B (zh
Inventor
陈明志
翁才杰
许春耀
张瑞
林啸逸
张桂煌
董骁
郑绍华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Beikaxing Technology Co ltd
Original Assignee
Beijing Beikaxing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Beikaxing Technology Co ltd filed Critical Beijing Beikaxing Technology Co ltd
Priority to CN202210078114.2A priority Critical patent/CN114363086B/zh
Publication of CN114363086A publication Critical patent/CN114363086A/zh
Application granted granted Critical
Publication of CN114363086B publication Critical patent/CN114363086B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于流密码的工业互联网数据加密传输方法,用于实现工业互联网中发送方与接收方之间的数据加密传输;步骤是:发送方将待发送的数据发送给加密网关;加密网关生成唯一标识,基于该标识计算用于加密当前数据的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其加密当前数据,之后将标识及密文数据一起发送给接收方的解密网关;解密网关先提取数据标识信息,然后基于该标识计算出用于解密当前密文的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其解密当前密文,最后将获得的明文数据发送给接收方。此种数据加密传输方法能够确保数据的正确传输,并且减少加解密的计算量,提高数据传输效率。

Description

基于流密码的工业互联网数据加密传输方法
技术领域
本发明属于数据传输技术领域,特别涉及一种基于流密码的工业互联网数据加密传输方法。
背景技术
工业互联网通过工业互联网平台把工控设备、生产线、工厂、供应商、产品和客户紧密地连接在一起,在工业互联网中会产生很多数据,难免涉及商业机密、生产参数、控制指令等敏感信息。对这些数据进行传输时,通常需要通过加密的方式来保证安全性,现有加密方式不能满足工业互联网中终端设备计算能力有限、设备不兼容或公钥计算难等场景下的数据加密传输需要。
发明内容
本发明的目的,在于提供一种基于流密码的工业互联网数据加密传输方法,能够确保数据的正确传输,并且减少加解密的计算量,提高数据传输效率。
为了达成上述目的,本发明的解决方案是:
一种基于流密码的工业互联网数据加密传输方法,用于实现工业互联网中发送方与接收方之间的数据加密传输;包括如下步骤:
步骤1,发送方将待发送的数据发送给加密网关;
步骤2,加密网关为接收到的数据生成唯一标识,基于该标识计算出用于加密当前数据的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其加密当前数据,之后将标识及密文数据一起发送给接收方的解密网关;
步骤3,解密网关接收到来自加密网关的数据后,先提取数据标识信息,然后基于该标识计算出用于解密当前密文的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其解密当前密文,最后将获得的明文数据发送给接收方。
上述步骤2中,流密钥索引index为流密钥序列中用于加密当前数据流的密钥的起始位置,index的具体计算方法如下:
index=HMAC(Kh,ID)modM
其中,HMAC()为基于SM3的消息认证码计算函数,Kh为用于计算消息认证码的密钥,ID表示当前数据的唯一标识,M为大于零的整数。
上述步骤2中,流密码采用ZUC算法,其种子密钥和消息认证码中用到的密钥Kh由加、解密网关基于双方标识使用SM9算法的密钥交换协议的协商产生。
加、解密网关的密钥协商在密钥中心的协调下进行,具体过程如下:
步骤A1,加密网关A、解密网关B分别生成用于密钥协商的随机数序列,每个序列包含M1个随机数,分别记为
Figure BDA0003484933720000021
Figure BDA0003484933720000022
其中
Figure BDA0003484933720000023
N为SM9算法中椭圆曲线上循环子群G1、G2、GT的阶;
步骤A2,加密网关A基于解密网关B的标识计算解密网关B的公钥QB=[H1(IDB||hid,N)]P1+Ppub,解密网关B基于加密网关A的标识计算加密网关A的公钥QA=[H1(IDA||hid,N)]P1+Ppub
其中,QA和QB的值为N阶循环子群G1中的元素;运算符[]为椭圆曲线的倍点运算;H1为密码函数;IDA和IDB分别为加、解密网关的标识;N为素因子;hid为密钥中心选择并公开用一个字节标识的用户私钥生产函数识别符号;运算符||表征进行拼接的操作;P1为椭圆曲线上的N阶循环子群G1的生成元;Ppub为KGC用来产生用户密钥的主密钥对中的公钥;
步骤A3,加、解密网关基于随机数序列和对方公钥分别计算密钥协商公钥序列,计算公式如下:
Figure BDA0003484933720000024
步骤A4,加、解密网关和密钥中心完成双向身份认证后,将RA和RB发送到密钥中心存储;
步骤A5,密钥协商时,密钥中心先计算e(ppub,P2)(e为椭圆曲线上的双线性对运算、P2为椭圆曲线上的N阶循环子群G2的生成元、计算结果为N阶循环子群GT上的元素),之后向加、解密网关发送协议协商指令和e(ppub,P2),再从RA中选择一个元素
Figure BDA0003484933720000031
发送给解密网关,同时从RB中选择一个元素
Figure BDA0003484933720000032
发送给加密网关,发送给加、解密网关的信息中分别包含对应j和i的值;
步骤A6,加、解密网关分别基于本地的随机数序列和从密钥中心收到的密钥协商信息,使用SM9算法的密钥交换协议计算出与对方的会话密钥;
步骤A7,加、解密网关分别与对方进行密钥确认,并通知密钥中心,密钥中心在收到确认信息后删除
Figure BDA0003484933720000033
Figure BDA0003484933720000034
上述步骤A2中,H1采用SM3密码杂凑算法。
上述密钥中心用于密钥协商的公钥序列即将用完时,通知加、解密网关生成新的序列上传到密钥中心。
上述发送方为工业互联网实时数据采集设备,接收方为工业互联网数据中心。
上述发送方和接收方均采用加解密网关,该加解密网关同时具备加密和解密功能。
采用上述方案后,本发明具有以下有益效果:
(1)本发明使用流密码对传输的数据进行加解密,效率高,本发明还基于数据标识信息和HMAC设计了一种流密钥同步方法,可保证接收端能够正确解密消息;
(2)本发明中的密钥协商过程由服务器管控,在保证安全性的前提下将可事先公开的信息发送到服务器存储,将可由服务器完成的计算放在服务器中进行,减少密钥协商过程中加解密网关的计算步骤与计算量,提高密钥协商效率。
附图说明
图1是本发明的总体方案结构图;
图2是本发明的数据加密流程图。
具体实施方式
以下将结合附图,对本发明的技术方案及有益效果进行详细说明。
本发明提供一种基于流密码的工业互联网数据加密传输方法,用于实现工业互联网两端数据的安全传输,以图1所示数据采集设备采集的数据加密传输至数据/管理中心为例,基于分别设于数据采集设备端和数据/管理中心端的加解密网关,以及用于两端加解密网关进行密钥协商的密钥中心而实现,所述加解密网关同时具备加密和解密功能,也即加密网关发给解密网关的通信数据和解密网关发给加密网关的通信数据均可采用本发明的方法进行加密;如图2所示,所述方法具体包括如下步骤:
S1、工业互联网实时数据采集设备(简称数据采集设备)将采集到的数据发送给加密网关;
S2、加密网关为接收到的数据生成唯一标识,基于该标识计算出用于加密当前数据的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其加密当前数据,之后将标识及密文数据一起发送给解密网关;
其中,流密钥索引为流密钥序列中用于加密当前数据流的密钥的起始位置,记为index,表示从流密钥序列的第index位开始选择与待加密数据流等长的流密钥作为当前数据的加密密钥,index的具体计算方法如下:
index=HMAC(Kh,ID)modM
其中,HMAC()为基于SM3的消息认证码计算函数,Kh为用于计算消息认证码的密钥,ID表示当前数据的唯一标识,M为大于零的整数,M的具体取值由用户根据实际需求选取。
在本实施例中,流密码采用ZUC算法,其种子密钥和消息认证码中用到的密钥Kh由加解密网关基于双方标识使用SM9算法的密钥交换协议的协商产生;
其中,加解密网关的密钥协商在密钥中心的协调下进行,具体过程如下:
1)在加解密网关中生成用于密钥协商的随机数序列,每个序列包含M1个随机数,分别记为
Figure BDA0003484933720000051
Figure BDA0003484933720000052
其中
Figure BDA0003484933720000053
N为SM9算法中椭圆曲线上循环子群G1、G2、GT的阶;
2)加解密网关分别基于对方的标识计算出对方的公钥,将加解密网关分别记为A和B,则加密网关计算QB=[H1(IDB||hid,N)]P1+Ppub,解密网关计算QA=[H1(IDA||hid,N)]P1+Ppub
其中QA和QB为加解密网关的公钥,其值为N阶循环子群G1中的元素;运算符[]为椭圆曲线的倍点运算;H1为密码函数:输入一个比特串(即上式的IDA/IDB和hid)和一个整数(即上式的N),输出一个整数h1∈[1,N-1];H1需要调用HV密码杂凑算法,使用国家密码管理局批准的密码杂凑函数,例如SM3密码杂凑算法;IDA和IDB为加解密网关的标识;N为素因子;hid为密钥中心选择并公开用一个字节标识的用户私钥生产函数识别符号;运算符||表征进行拼接的操作;P1为椭圆曲线上的N阶循环子群G1的生成元;Ppub为KGC用来产生用户密钥的主密钥对中的公钥;
3)加解密网关基于随机数序列和对方公钥分别计算密钥协商公钥序列,计算公式如下:
Figure BDA0003484933720000054
4)加解密网关和密钥中心完成双向身份认证后,就将RA和RB发送到密钥中心存储;
5)密钥协商时,密钥中心先计算e(ppub,P2)(e为椭圆曲线上的双线性对运算、P2为椭圆曲线上的N阶循环子群G2的生成元、计算结果为N阶循环子群GT上的元素),之后向加解密网关发送协议协商指令和e(ppub,P2),再从RA中选择一个元素
Figure BDA0003484933720000061
发送给解密网关,同时从RB中选择一个元素
Figure BDA0003484933720000062
发送给加密网关,发送给加解密网关的信息中分别包含对应j和i的值;
6)加解密网关分别基于本地的随机数序列和从密钥中心收到的密钥协商信息,使用SM9算法的密钥交换协议计算出与对方的会话密钥;
7)加解密网关分别与对方进行密钥确认,并通知密钥中心,密钥中心在收到确认信息后删除
Figure BDA0003484933720000063
Figure BDA0003484933720000064
S3、解密网关接收到来自加密网关的数据后,先提取数据标识信息,然后基于基于该标识计算出用于解密当前密文的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其解密当前密文,最后将获得的明文数据发送给工业互联网数据中心。
在使用过程中,当密钥中心用于密钥协商的公钥序列即将用完时,应及时通知加解密网关生成新的序列上传到密钥中心。
以上实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。

Claims (8)

1.一种基于流密码的工业互联网数据加密传输方法,用于实现工业互联网中发送方与接收方之间的数据加密传输;其特征在于包括如下步骤:
步骤1,发送方将待发送的数据发送给加密网关;
步骤2,加密网关为接收到的数据生成唯一标识,基于该标识计算出用于加密当前数据的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其加密当前数据,之后将标识及密文数据一起发送给接收方的解密网关;
步骤3,解密网关接收到来自加密网关的数据后,先提取数据标识信息,然后基于该标识计算出用于解密当前密文的流密钥索引,根据流密钥索引从流密钥序列中提取流密钥,并用其解密当前密文,最后将获得的明文数据发送给接收方。
2.如权利要求1所述的基于流密码的工业互联网数据加密传输方法,其特征在于:所述步骤2中,流密钥索引index为流密钥序列中用于加密当前数据流的密钥的起始位置,index的具体计算方法如下:
index=HMAC(Kh,ID)mod M
其中,HMAC()为基于SM3的消息认证码计算函数,Kh为用于计算消息认证码的密钥,ID表示当前数据的唯一标识,M为大于零的整数。
3.如权利要求1所述的基于流密码的工业互联网数据加密传输方法,其特征在于:所述步骤2中,流密码采用ZUC算法,其种子密钥和消息认证码中用到的密钥Kh由加、解密网关基于双方标识使用SM9算法的密钥交换协议的协商产生。
4.如权利要求3所述的基于流密码的工业互联网数据加密传输方法,其特征在于:加、解密网关的密钥协商在密钥中心的协调下进行,具体过程如下:
步骤A1,加密网关A、解密网关B分别生成用于密钥协商的随机数序列,每个序列包含M1个随机数,分别记为
Figure FDA0003484933710000011
Figure FDA0003484933710000021
其中
Figure FDA0003484933710000022
N为SM9算法中椭圆曲线上循环子群G1、G2、GT的阶;
步骤A2,加密网关A基于解密网关B的标识计算解密网关B的公钥QB=[H1(IDB||hid,N)]P1+Ppub,解密网关B基于加密网关A的标识计算加密网关A的公钥QA=[H1(IDA||hid,N)]P1+Ppub
其中,QA和QB的值为N阶循环子群G1中的元素;运算符[]为椭圆曲线的倍点运算;H1为密码函数;IDA和IDB分别为加、解密网关的标识;N为素因子;hid为密钥中心选择并公开用一个字节标识的用户私钥生产函数识别符号;运算符||表征进行拼接的操作;P1为椭圆曲线上的N阶循环子群G1的生成元;Ppub为KGC用来产生用户密钥的主密钥对中的公钥;
步骤A3,加、解密网关基于随机数序列和对方公钥分别计算密钥协商公钥序列,计算公式如下:
Figure FDA0003484933710000023
步骤A4,加、解密网关和密钥中心完成双向身份认证后,将RA和RB发送到密钥中心存储;
步骤A5,密钥协商时,密钥中心先计算e(ppub,P2),其中,e为椭圆曲线上的双线性对运算、P2为椭圆曲线上的N阶循环子群G2的生成元、计算结果为N阶循环子群GT上的元素;之后向加、解密网关发送协议协商指令和e(ppub,P2),再从RA中选择一个元素
Figure FDA0003484933710000024
发送给解密网关,同时从RB中选择一个元素
Figure FDA0003484933710000025
发送给加密网关,发送给加、解密网关的信息中分别包含对应j和i的值;
步骤A6,加、解密网关分别基于本地的随机数序列和从密钥中心收到的密钥协商信息,使用SM9算法的密钥交换协议计算出与对方的会话密钥;
步骤A7,加、解密网关分别与对方进行密钥确认,并通知密钥中心,密钥中心在收到确认信息后删除
Figure FDA0003484933710000031
Figure FDA0003484933710000032
5.如权利要求4所述的基于流密码的工业互联网数据加密传输方法,其特征在于:所述步骤A2中,H1采用SM3密码杂凑算法。
6.如权利要求4所述的基于流密码的工业互联网数据加密传输方法,其特征在于:所述密钥中心用于密钥协商的公钥序列即将用完时,通知加、解密网关生成新的序列上传到密钥中心。
7.如权利要求1所述的基于流密码的工业互联网数据加密传输方法,其特征在于:所述发送方为工业互联网实时数据采集设备,接收方为工业互联网数据中心。
8.如权利要求1所述的基于流密码的工业互联网数据加密传输方法,其特征在于:所述发送方和接收方均采用加解密网关,该加解密网关同时具备加密和解密功能。
CN202210078114.2A 2022-01-24 2022-01-24 基于流密码的工业互联网数据加密传输方法 Active CN114363086B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210078114.2A CN114363086B (zh) 2022-01-24 2022-01-24 基于流密码的工业互联网数据加密传输方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210078114.2A CN114363086B (zh) 2022-01-24 2022-01-24 基于流密码的工业互联网数据加密传输方法

Publications (2)

Publication Number Publication Date
CN114363086A true CN114363086A (zh) 2022-04-15
CN114363086B CN114363086B (zh) 2024-04-12

Family

ID=81091297

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210078114.2A Active CN114363086B (zh) 2022-01-24 2022-01-24 基于流密码的工业互联网数据加密传输方法

Country Status (1)

Country Link
CN (1) CN114363086B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102776A (zh) * 2022-07-04 2022-09-23 北京创安恒宇科技有限公司 一种基于物联网的数据安全通信系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200059470A1 (en) * 2012-02-02 2020-02-20 Josiah Johnson Umezurike Industrial internet encryption system
CN111585759A (zh) * 2020-05-12 2020-08-25 北京华大信安科技有限公司 一种高效的基于sm9公钥加密算法的线上线下加密方法
CN113704736A (zh) * 2021-07-22 2021-11-26 中国电力科学研究院有限公司 基于ibc体系的电力物联网设备轻量级接入认证方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200059470A1 (en) * 2012-02-02 2020-02-20 Josiah Johnson Umezurike Industrial internet encryption system
CN111585759A (zh) * 2020-05-12 2020-08-25 北京华大信安科技有限公司 一种高效的基于sm9公钥加密算法的线上线下加密方法
CN113704736A (zh) * 2021-07-22 2021-11-26 中国电力科学研究院有限公司 基于ibc体系的电力物联网设备轻量级接入认证方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102776A (zh) * 2022-07-04 2022-09-23 北京创安恒宇科技有限公司 一种基于物联网的数据安全通信系统

Also Published As

Publication number Publication date
CN114363086B (zh) 2024-04-12

Similar Documents

Publication Publication Date Title
CN102318258B (zh) 基于身份的认证密钥协商协议
CN103684787B (zh) 基于网络传输的数据包的加密解密方法及终端
US9172529B2 (en) Hybrid encryption schemes
US7865730B2 (en) Bcencryption (BCE)—a public-key based method to encrypt a data stream
CN109194474A (zh) 一种数据传输方法及装置
CN110113150A (zh) 基于无证书环境的可否认认证的加密方法和系统
CN113285959A (zh) 一种邮件加密方法、解密方法及加解密系统
CN104158880A (zh) 一种用户端云数据共享解决方法
CN113572603A (zh) 一种异构的用户认证和密钥协商方法
CN113572607A (zh) 一种采用非平衡sm2密钥交换算法的安全通信方法
CN110999202A (zh) 用于对数据进行高度安全、高速加密和传输的计算机实现的系统和方法
CN115643007A (zh) 一种密钥协商更新方法
CN113676448B (zh) 一种基于对称秘钥的离线设备双向认证方法和系统
CN114363086B (zh) 基于流密码的工业互联网数据加密传输方法
CN107659405A (zh) 一种变电站主子站间数据通信的加密解密方法
CN113242129B (zh) 一种基于格加密的端到端数据机密性和完整性保护方法
CN114070570B (zh) 一种电力物联网的安全通信方法
CN111934887B (zh) 基于插值多项式的多接受者签密方法
CN114386020A (zh) 基于量子安全的快速二次身份认证方法及系统
CN113014376B (zh) 一种用户与服务器之间安全认证的方法
CN114070549A (zh) 一种密钥生成方法、装置、设备和存储介质
CN110932847A (zh) 一种针对具有密文同态性的身份标识密码系统的用户撤销方法
CN115955302B (zh) 一种基于协同签名的国密安全通信方法
CN112910647B (zh) 一种基于sm9的分布式协同解密方法及系统
CN116743505B (zh) 一种基于国密的安全传输加密方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant