CN114938286A - 轻量级端到端电力物联网加密方法 - Google Patents
轻量级端到端电力物联网加密方法 Download PDFInfo
- Publication number
- CN114938286A CN114938286A CN202210336671.XA CN202210336671A CN114938286A CN 114938286 A CN114938286 A CN 114938286A CN 202210336671 A CN202210336671 A CN 202210336671A CN 114938286 A CN114938286 A CN 114938286A
- Authority
- CN
- China
- Prior art keywords
- things
- power internet
- internet
- ciphertext
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012544 monitoring process Methods 0.000 claims abstract description 70
- 238000004891 communication Methods 0.000 claims abstract description 57
- 239000000284 extract Substances 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 238000004364 calculation method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 3
- YSMRWXYRXBRSND-UHFFFAOYSA-N TOTP Chemical compound CC1=CC=CC=C1OP(=O)(OC=1C(=CC=CC=1)C)OC1=CC=CC=C1C YSMRWXYRXBRSND-UHFFFAOYSA-N 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/35—Utilities, e.g. electricity, gas or water
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明属于通信数据加密技术领域,具体涉及一种轻量级端到端电力物联网加密方法。一种轻量级端到端电力物联网加密方法,包括:S1,电力监控系统主站侧与电力物联网终端侧建立网络连接;S2,电力监控系统主站侧将电力物联网应用明文进行加密,得到密文,将密文发送至所述电力物联网终端侧;S3,电力物联网终端侧接收密文,对密文进行解密得到电力物联网应用明文,解析电力物联网应用明文,执行断路器相关操作。本发明实现难度低,可以实现应用层的端到端加密,不仅适用于IP网络传输场景,对于非IP网络传输的物联网场景也适用,每一个通信报文的加密密钥不一样,提高安全性。
Description
技术领域
本发明属于通信数据加密技术领域,具体涉及一种轻量级端到端电力物联网加密方法。
背景技术
现有的通信数据加密方法主要有基于IPSec VPN的IP层数据加密方法、基于SSL/TLS的传输层数据加密方法、以及基于应用层数据的加密方法。
其中IPSec VPN和SSL/TLS方法只能适用于针对IP网络传输的应用场景,无法为更广泛的物联网应用场景提供通信加密保护。譬如IPSec VPN需要往往部署在网关侧起到site-site或site-peer的数据机密性保护。而SSL/TLS是基于socket网络方式提供安全加密机制,对于无法建立socket的场景是无能为力的。
在电力系统中存在着诸多混合网络架构的通信场景,比如典型的电力监控系统,往往在信息与物理融合处大量采用工业总线协议,即便目前已经部分应用进行IP化承载,但在电力一次设备处仍然使用工业协议。同时由于物联网设备的信息处理能力较弱对数据实时性要求高等约束,因此,目前现在的通信数据加密方法都无法进行端到端的数据加密。
发明内容
本发明针对现有的通信数据加密方法无法适用在电力监控系统中的技术问题,目的在于提供一种轻量级端到端电力物联网加密方法。
一种轻量级端到端电力物联网加密方法,包括:
S1,电力监控系统主站侧与电力物联网终端侧建立网络连接;
S2,所述电力监控系统主站侧将电力物联网应用明文进行加密,得到密文,将所述密文发送至所述电力物联网终端侧;
S3,所述电力物联网终端侧接收所述密文,对所述密文进行解密得到所述电力物联网应用明文,解析所述电力物联网应用明文,执行断路器相关操作。
作为优选方案,步骤S1,包括:
所述电力监控系统主站侧的前置机通过通信网络与所述电力物联网终端侧的终端通信单元建立TCP连接。
作为优选方案,所述前置机通过边界防护设备和通信网络与所述电力物联网终端侧的终端通信单元建立TCP连接;
所述边界防护设备用于防止来自所述通信网络的网络攻击。
作为优选方案,所述边界防护设备采用防火墙设备。
作为优选方案,步骤S2,所述电力监控系统主站侧将电力物联网应用明文进行加密,得到密文,包括:
S201,生成一次性密钥;
S202,使用所述一次性密钥对电力物联网应用明文进行加密,得到密文;
步骤S3,所述电力物联网终端侧接收所述密文,对所述密文进行解密得到所述电力物联网应用明文,包括:
S301,生成一次性密钥;
S302,使用所述一次性密钥对所述密文进行解密,得到所述电力物联网应用明文。
作为优选方案,步骤S201和步骤S301中,所述一次性密钥为基于时间戳的一次性密码。
作为优选方案,所述一次性密钥生成算法为:
Key=Truncate(HMAC-SHA-1(rnd,T))
其中,
Key为一次性密钥;
参数rnd为所述电力物联网终端侧对应的随机数;
参数T=(当前系统时间-T0)/x
T0为预设的初始时间;
x为预设步长。
作为优选方案,在步骤S2之前,还包括:
所述电力监控系统主站侧生成多个随机种子,对多个所述随机种子进行存储和管理;
所述电力监控系统主站侧将所述随机种子导出至对应的所述电力物联网终端侧,所述随机种子作为所述电力物联网终端侧的随机数。
作为优选方案,步骤S202中,使用SM4或AES256-GCM安全加密算法对所述电力物联网应用明文进行加密,得到密文;
步骤S302中采用与所述步骤S202相同的安全加密算法对所述密文进行解密。
作为优选方案,步骤S2中,所述电力物联网应用明文包括主站侧当前系统时间和电力物联网监控报文;
步骤S3中,所述解析所述电力物联网应用明文,执行断路器相关操作之前,还包括:
所述电力物联网终端侧提取所述电力物联网应用明文中的主站侧当前系统时间,判断所述主站侧当前系统时间与所述电力物联网终端侧本地当前系统时间是否相差预设步长以内;
若是,则认为时间匹配一致,则继续解析所述电力物联网应用明文,执行断路器相关操作步骤;
若不是,则认为时间不匹配,所述电力物联网终端侧向所述电力监控系统主站侧请求时间同步对时报文,以完成所述电力物联网终端侧的时间同步。
一种轻量级端到端电力物联网加密系统,包括电力监控系统主站侧和若干电力物联网终端侧;
所述电力监控系统主站侧具有:
一前置机,连接通信网络;
一应用加解密模块,对电力物联网应用明文进行加密,或对密文进行解密,连接所述前置机;
所述电力物联网终端侧具有:
一终端通信单元,连接所述通信网络;
一终端加解密模块,对密文进行解密,或对电力物联网应用明文进行加密,连接所述终端通信单元;
若干断路器,分别与所述终端加解密模块连接。
作为优选方案,所述电力监控系统主站侧还具有:
一边界防护设备,连接所述前置机,由所述边界防护设备将所述前置机与所述通信网络隔开。
作为优选方案,所述边界防护设备采用防火墙设备。
作为优选方案,所述通信网络为采用基于TCP/IP协议的通信网络。
作为优选方案,所述应用加解密模块和所述终端加解密模块均包括:
一密钥计算模块,计算一次性密钥;
一加解密模块,与所述密钥计算模块连接;
一接口模块,与所述加解密模块连接。
作为优选方案,所述密钥计算模块为采用基于时间戳的一次性密码作为密钥的密钥计算模块。
作为优选方案,所述加解密模块为采用SM4或AES256-GCM安全加密算法的加解密模块。
作为优选方案,所述应用加解密模块还包括:
一随机种子管理模块,存储和管理随机种子,分别与所述密钥计算模块和所述接口模块连接;
一随机数生成模块,生成随机种子,与所述随机种子管理模块连接。
本发明的积极进步效果在于:本发明采用轻量级端到端电力物联网加密方法,具有如下优点:
1、实现难度低;
2、可以实现应用层的端到端加密;
3、不仅适用于IP网络传输场景,对于非IP网络传输的物联网场景也适用;
4、每一个通信报文的加密密钥不一样,提高安全性。
附图说明
图1为本发明的一种方法流程图;
图2为本发明的一实施例交互流程示意图;
图3为本发明系统的一种整体连接框图;
图4为本发明应用加解密模块的一种连接框图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示进一步阐述本发明。
参照图1,一种轻量级端到端电力物联网加密方法,包括如下具体步骤:
S1,电力监控系统主站侧与电力物联网终端侧建立网络连接。
本发明涉及电力监控系统主站侧与电力物联网终端侧两部分,电力监控系统主站侧通常为一个,电力物联网终端侧为若干个,若干个电力物联网终端侧分别与电力监控系统主站侧建立网络连接。
在一些实施例中,电力监控系统主站侧的前置机通过通信网络与电力物联网终端侧的终端通信单元建立TCP连接。
在一些实施例中,为了防止来自通信网络的网络攻击,电力监控系统主站侧的前置机通过边界防护设备和通信网络与电力物联网终端侧的终端通信单元建立TCP连接。
即电力监控系统主站侧的前置机经边界防护设备连接通信网络,经通信网络与电力物联网终端侧的终端通信单元建立TCP连接。该边界防护设备用于防止来自通信网络的网络攻击。
在一些实施例中,边界防护设备采用防火墙设备。即电力监控系统主站侧的前置机经防火墙设备连接通信网络。
在一些实施例中,在步骤S1之前或之后,还包括:
电力监控系统主站侧生成多个随机种子,对多个随机种子进行存储和管理。电力监控系统主站侧将随机种子导出至对应的电力物联网终端侧,随机种子作为电力物联网终端侧的随机数。
本实施例中的随机种子用于后续的生成一次性密钥使用。随机种子的数量可根据与电力监控系统主站侧建立连接的电力物联网终端侧的数量确定,一个电力物联网终端侧对应具有一个唯一的随机种子。
当电力监控系统主站侧还未与电力物联网终端侧建立通信连接时,可以通过手工导出的方式将随机种子从电力监控系统主站侧导出,存储至对应的电力物联网终端侧。
当电力监控系统主站侧已经与电力物联网终端侧建立通信连接时,可以直接通过网络通信的方式将随机种子发送至对应的电力物联网终端侧。
在电力监控系统主站侧可以通过随机数生成模块为每一个电力物联网终端侧生成一个唯一的随机数作为随机种子。在电力监控系统主站侧可以通过随机种子管理模块将随机种子进行存储和管理,在对随机种子进行存储和管理时,可以以<key,value>对形式实现,其中key为随机种子,value为对应的力物联网终端侧的终端名称。也可以反过来表示。
S2,电力监控系统主站侧将电力物联网应用明文进行加密,得到密文,将密文发送至电力物联网终端侧。
电力监控系统主站侧可以通过应用加解密模块将电力物联网应用明文进行加密或对密文进行解密,在对电力物联网应用明文进行加密后,可以通过前置机与电力物联网终端侧的终端通信单元建立的TCP连接发送至电力物联网终端侧的终端加解密模块。
在一些实施例中,本步骤的电力监控系统主站侧将电力物联网应用明文进行加密,得到密文,具体包括如下步骤:
S201,生成一次性密钥。
S202,使用一次性密钥对电力物联网应用明文进行加密,得到密文。
在一些实施例中,步骤S201中,一次性密钥为基于时间戳的一次性密码,即一次性密钥优选为基于TOTP算法的一次性密钥。
该一次性密钥生成算法为:
Key=Truncate(HMAC-SHA-1(rnd,T))
其中,Key为一次性密钥;
参数rnd为电力物联网终端侧对应的随机数,该随机数即为电力监控系统主站侧预先生成、存储、导出并存储在电力物联网终端侧的随机种子。每个电力物联网终端侧对应一个唯一的随机数。当需要对该电力物联网终端侧发送电力物联网应用明文时,电力监控系统主站侧从存储的多个随机种子中提取该电力物联网终端侧对应的随机种子作为参数rnd。
参数T=(当前系统时间-T0)/x,T为由时间戳产生的数字,该当前系统时间为电力监控系统主站侧的当前系统时间,T0为预设的初始时间,x为预设步长。T0优选取值为0或1970年1月1月0时0分。x优选600秒,即10分钟,即x表示时间步长,10分钟产生一个动态密码。
HMAC-SHA-1表示使用SHA-1做HMAC;
Truncate是一个函数,用于截取加密后的串,并取加密后串的哪些字段组成一个数字。
对HMAC-SHA-1方式,Truncate实现如下:
HMAC-SHA-1加密后的长度得到一个20字节的密串;
取上述20字节的密串的最后一个字节,取这字节的低4位,作为截取加密串的下标偏移量;
按照下标偏移量开始,获取4个字节,按照大端方式组成一个整数;
截取上述整数的后6位或者8位转成字符串返回;
上述返回的字符串即为一次性密钥Key。
本实施例中,可以通过密钥计算模块生成一次性密钥Key。
在一些实施例中,步骤S202中,使用SM4或AES256-GCM安全加密算法对电力物联网应用明文进行加密,得到密文。
本实施例在基于步骤S201得到一次性密钥Key后,可通过加解密模块基于一次性密钥对电力物联网应用明文进行加密或解密。
在一些实施例中,步骤S2中,电力监控系统主站侧在将密文发送至电力物联网终端侧时,可以通过接口模块将加解密模块和前置机交互的接口建立连接,加解密模块通过接口模块将密文传输给前置机。
S3,电力物联网终端侧接收密文,对密文进行解密得到电力物联网应用明文,解析电力物联网应用明文,执行断路器相关操作。
电力物联网终端侧可以通过终端通信单元建立的TCP连接接收来自电力监控系统主站侧发送的密文,也可以将数据经终端通信单元发送给电力监控系统主站侧。
电力物联网终端侧可以通过终端加解密模块将电力物联网应用明文进行加密或对密文进行解密,在对电力物联网应用明文进行加密后,可以通过终端通信单元建立的TCP连接发送给电力监控系统主站侧。
在一些实施例中,步骤S3中,电力物联网终端侧接收密文,对密文进行解密得到电力物联网应用明文,包括:
S301,生成一次性密钥;
S302,使用一次性密钥对密文进行解密,得到电力物联网应用明文。
在一些实施例中,步骤S301中一次性密钥为基于时间戳的一次性密码,即一次性密钥优选为基于TOTP算法的一次性密钥,采用与步骤S201相同的生成一次性密钥的方式。
在一些实施例中,步骤S302中采用与步骤S202相同的安全加密算法对密文进行解密。即使用SM4或AES256-GCM安全加密算法对密文进行解密,得到电力物联网应用明文。
在一些实施例中,步骤S2中,电力物联网应用明文包括主站侧当前系统时间和电力物联网监控报文。
本实施例中,被加密的明文可以以<timestamp,msg>表示,其中timestamp为主站侧当前系统时间,msg为电力物联网监控报文。
步骤S3中,解析电力物联网应用明文,执行断路器相关操作之前,还包括:
电力物联网终端侧提取电力物联网应用明文中的主站侧当前系统时间,判断主站侧当前系统时间与电力物联网终端侧本地当前系统时间是否相差预设步长以内;若是,则认为时间匹配一致,则继续解析电力物联网应用明文,执行断路器相关操作步骤;若不是,则认为时间不匹配,电力物联网终端侧向电力监控系统主站侧请求时间同步对时报文,以完成电力物联网终端侧的时间同步。
在步骤S3中对密文进行解密后,得到的电力物联网应用明文中包含有主站侧当前系统时间,本实施例对该主站侧当前系统时间进行提取,与电力物联网终端侧本地当前系统时间进行比较,差值是否在预设步长x以内,如是否在10分钟以内,若超过则需要进行时间同步请求,完成电力物联网终端侧的时间同步工作。
本实施例中,在电力物联网终端侧向电力监控系统主站侧请求时间同步对时报文时,通过NTP协议或NTS协议进行时间同步。优选采用NTS协议进行时间同步,以保证更为安全的通讯,具体同步时,电力物联网终端侧向电力监控系统主站侧的NTS时间服务器进行时间同步即可。这种方式,业务的安全依赖于时间同步,所以在设计上不会让时间同步依赖业务,避免形成循环依赖。
在一些实施例中,步骤S3中,电力物联网终端侧接收密文,对密文进行解密得到电力物联网应用明文时,若无法对密文解密,则电力物联网终端侧也向电力监控系统主站侧请求时间同步对时报文,以完成电力物联网终端侧的时间同步。
由于电力物联网终端侧由于时间不同步的问题无法解析密文或解析后的时间差值未在预设步长x以内情况下,电力物联网终端侧对于向电力监控系统主站侧接收的密文没有回应,则电力监控系统主站侧认为密文丢失,基于应用协议下,电力监控系统主站侧认为是丢包现象,进行重发处理。电力物联网终端侧再次接收的密文,在时间同步下,时间匹配一致,继续解析电力物联网应用明文,执行断路器相关操作步骤。
在一些实施例中,参照图2,本发明的一种端到端电力物联网加密方法如下:
电力监控系统主站侧与电力物联网终端侧建立网络连接;
电力监控系统主站侧生成随机种子,配置给各电力物联网终端侧;
电力监控系统主站侧计算生成一次性密钥Key,使用该一次性密钥Key对电力物联网应用明文<timestamp,msg>进行加密,得到密文enc_text,发送该密文enc_text至电力物联网终端侧;
电力物联网终端侧计算生成一次性密钥Key,解密密文enc_text,得到<timestamp,msg>,判断timestamp是否与本地系统时间差值是否在预设步长x以内,不是,则进行时间同步请求;
电力监控系统主站侧收到该时间同步请求,发出时间同步响应;
电力物联网终端侧执行时间同步。
参照图3和图4,本发明还提出了一种轻量级端到端电力物联网加密系统,包括电力监控系统主站侧100和若干电力物联网终端侧200。
电力监控系统主站侧100具有前置机110和应用加解密模块120,前置机110连接通信网络300。应用加解密模块120对电力物联网应用明文进行加密,或对密文进行解密,应用加解密模块120连接前置机110,前置机110将应用加解密模块120加密后的密文通过通信网络300发送给对应的电力物联网终端侧200。
电力物联网终端侧200具有终端通信单元210、终端加解密模块220和若干断路器230。终端通信单元210连接通信网络300。终端加解密模块220对密文进行解密,或对电力物联网应用明文进行加密,终端加解密模块220连接终端通信单元210。终端加解密模块220通过终端通信单元210接收电力监控系统主站侧100发送的密文,或将密文通过终端通信单元210发送给电力监控系统主站侧100。若干断路器230分别与终端加解密模块220连接。终端加解密模块220将电力物联网监控报文发送给各断路器230,断路器230根据电力物联网监控报文执行相关操作。
在一些实施例中,电力监控系统主站侧100还具有边界防护设备130,边界防护设备130连接前置机110,由边界防护设备130将前置机110与通信网络300隔开。边界防护设备130用于防止来自通信网络300(如互联网)的网络攻击。
在一些实施例中,边界防护设备130采用防火墙设备。
在一些实施例中,通信网络300为采用基于TCP/IP协议的通信网络300。
在一些实施例中,应用加解密模块120和终端加解密模块220均包括密钥计算模块、加解密模块和接口模块,参照图4,以应用加解密模块120为例,密钥计算模块121计算一次性密钥,加解密模块122与密钥计算模块121连接,接口模块123与加解密模块122连接。接口模块123用于应用加解密模块120和前置机110交互的接口,以传输密文或明文。
终端加解密模块220中的接口模块123用于终端加解密模块220与终端通信单元210交互的接口,以传输密文或明文。
在一些实施例中,密钥计算模块121为采用基于时间戳的一次性密码作为密钥的密钥计算模块121。
在一些实施例中,加解密模块122为采用SM4或AES256-GCM安全加密算法的加解密模块122。
在一些实施例中,应用加解密模块120还包括随机种子管理模块124和随机数生成模块125。随机种子管理模块124存储和管理随机种子,随机种子管理模块124分别与密钥计算模块121和接口模块123连接。随机数生成模块125生成随机种子,随机数生成模块125与随机种子管理模块124连接。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.一种轻量级端到端电力物联网加密方法,其特征在于,包括:
S1,电力监控系统主站侧与电力物联网终端侧建立网络连接;
S2,所述电力监控系统主站侧将电力物联网应用明文进行加密,得到密文,将所述密文发送至所述电力物联网终端侧;
S3,所述电力物联网终端侧接收所述密文,对所述密文进行解密得到所述电力物联网应用明文,解析所述电力物联网应用明文,执行断路器相关操作。
2.如权利要求1所述的轻量级端到端电力物联网加密方法,其特征在于,步骤S1,包括:
所述电力监控系统主站侧的前置机通过通信网络与所述电力物联网终端侧的终端通信单元建立TCP连接。
3.如权利要求2所述的轻量级端到端电力物联网加密方法,其特征在于,所述前置机通过边界防护设备和通信网络与所述电力物联网终端侧的终端通信单元建立TCP连接;
所述边界防护设备用于防止来自所述通信网络的网络攻击。
4.如权利要求3所述的轻量级端到端电力物联网加密方法,其特征在于,所述边界防护设备采用防火墙设备。
5.如权利要求1所述的轻量级端到端电力物联网加密方法,其特征在于,步骤S2,所述电力监控系统主站侧将电力物联网应用明文进行加密,得到密文,包括:
S201,生成一次性密钥;
S202,使用所述一次性密钥对电力物联网应用明文进行加密,得到密文;
步骤S3,所述电力物联网终端侧接收所述密文,对所述密文进行解密得到所述电力物联网应用明文,包括:
S301,生成一次性密钥;
S302,使用所述一次性密钥对所述密文进行解密,得到所述电力物联网应用明文。
6.如权利要求5所述的轻量级端到端电力物联网加密方法,其特征在于,步骤S201和步骤S301中,所述一次性密钥为基于时间戳的一次性密码。
7.如权利要求6所述的轻量级端到端电力物联网加密方法,其特征在于,所述一次性密钥生成算法为:
Key=Truncate(HMAC-SHA-1(rnd,T))
其中,
Key为一次性密钥;
参数rnd为所述电力物联网终端侧对应的随机数;
参数T=(当前系统时间-T0)/x
T0为预设的初始时间;
x为预设步长。
8.如权利要求7所述的轻量级端到端电力物联网加密方法,其特征在于,在步骤S2之前,还包括:
所述电力监控系统主站侧生成多个随机种子,对多个所述随机种子进行存储和管理;
所述电力监控系统主站侧将所述随机种子导出至对应的所述电力物联网终端侧,所述随机种子作为所述电力物联网终端侧的随机数。
9.如权利要求5所述的轻量级端到端电力物联网加密方法,其特征在于,步骤S202中,使用SM4或AES256-GCM安全加密算法对所述电力物联网应用明文进行加密,得到密文;
步骤S302中采用与所述步骤S202相同的安全加密算法对所述密文进行解密。
10.如权利要求1至9中任意一项所述的轻量级端到端电力物联网加密方法,其特征在于,步骤S2中,所述电力物联网应用明文包括主站侧当前系统时间和电力物联网监控报文;
步骤S3中,所述解析所述电力物联网应用明文,执行断路器相关操作之前,还包括:
所述电力物联网终端侧提取所述电力物联网应用明文中的主站侧当前系统时间,判断所述主站侧当前系统时间与所述电力物联网终端侧本地当前系统时间是否相差预设步长以内;
若是,则认为时间匹配一致,则继续解析所述电力物联网应用明文,执行断路器相关操作步骤;
若不是,则认为时间不匹配,所述电力物联网终端侧向所述电力监控系统主站侧请求时间同步对时报文,以完成所述电力物联网终端侧的时间同步。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210336671.XA CN114938286A (zh) | 2022-04-01 | 2022-04-01 | 轻量级端到端电力物联网加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210336671.XA CN114938286A (zh) | 2022-04-01 | 2022-04-01 | 轻量级端到端电力物联网加密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114938286A true CN114938286A (zh) | 2022-08-23 |
Family
ID=82861426
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210336671.XA Pending CN114938286A (zh) | 2022-04-01 | 2022-04-01 | 轻量级端到端电力物联网加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114938286A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006238200A (ja) * | 2005-02-25 | 2006-09-07 | Matsushita Electric Ind Co Ltd | セッション鍵生成機構 |
CN103795541A (zh) * | 2013-12-13 | 2014-05-14 | 国网上海市电力公司 | 一种230m无线专网信道用电信息采集系统的安全通信方法 |
CN109922022A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 物联网通信方法、平台、终端和系统 |
CN111711686A (zh) * | 2020-06-15 | 2020-09-25 | 江苏方天电力技术有限公司 | 一种基于配电终端的安全防护方法 |
CN113282949A (zh) * | 2021-07-26 | 2021-08-20 | 中国电力科学研究院有限公司 | 数据加密方法、数据解密方法、装置及电力数据交互系统 |
US20210314143A1 (en) * | 2018-04-15 | 2021-10-07 | Jason Conner | Encryption for blockchain cryptocurrency transactions and uses in conjunction with carbon credits |
CN113726524A (zh) * | 2021-09-02 | 2021-11-30 | 山东安控信息科技有限公司 | 一种安全通信方法及通信系统 |
-
2022
- 2022-04-01 CN CN202210336671.XA patent/CN114938286A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006238200A (ja) * | 2005-02-25 | 2006-09-07 | Matsushita Electric Ind Co Ltd | セッション鍵生成機構 |
CN103795541A (zh) * | 2013-12-13 | 2014-05-14 | 国网上海市电力公司 | 一种230m无线专网信道用电信息采集系统的安全通信方法 |
CN109922022A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 物联网通信方法、平台、终端和系统 |
US20210314143A1 (en) * | 2018-04-15 | 2021-10-07 | Jason Conner | Encryption for blockchain cryptocurrency transactions and uses in conjunction with carbon credits |
CN111711686A (zh) * | 2020-06-15 | 2020-09-25 | 江苏方天电力技术有限公司 | 一种基于配电终端的安全防护方法 |
CN113282949A (zh) * | 2021-07-26 | 2021-08-20 | 中国电力科学研究院有限公司 | 数据加密方法、数据解密方法、装置及电力数据交互系统 |
CN113726524A (zh) * | 2021-09-02 | 2021-11-30 | 山东安控信息科技有限公司 | 一种安全通信方法及通信系统 |
Non-Patent Citations (2)
Title |
---|
章思宇;黄保青;白雪松;姜开达;: "基于动态口令的增强身份认证", 《华东师范大学学报(自然科学版)》, no. 1, pages 0 - 3 * |
章思宇;黄保青;白雪松;姜开达;: "基于动态口令的增强身份认证", 华东师范大学学报(自然科学版), no. 1, pages 0 - 3 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AlFardan et al. | On the security of RC4 in TLS and WPA | |
US20110188659A1 (en) | Method of integrating quantum key distribution with internet key exchange protocol | |
CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
Sirohi et al. | A comprehensive study on security attacks on SSL/TLS protocol | |
CN103338185B (zh) | 一种文件共享的方法及系统 | |
CN112073115B (zh) | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 | |
CN112637136A (zh) | 加密通信方法及系统 | |
CN113572766A (zh) | 电力数据传输方法和系统 | |
CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
Cho et al. | Securing ethernet-based optical fronthaul for 5g network | |
KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
Cho et al. | Using QKD in MACsec for secure Ethernet networks | |
CN107070998A (zh) | 一种安全的物联网通讯协议及方法 | |
Cho et al. | Secure open fronthaul interface for 5G networks | |
CN217240711U (zh) | 轻量级端到端电力物联网加密系统 | |
CN114614984B (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
CN114938286A (zh) | 轻量级端到端电力物联网加密方法 | |
CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
CN113950802B (zh) | 用于执行站点到站点通信的网关设备和方法 | |
CN113746861A (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
CN113973001A (zh) | 一种认证密钥的更新方法及装置 | |
CN116743505B (zh) | 一种基于国密的安全传输加密方法 | |
Badra et al. | Adding identity protection to eap-tls smartcards | |
CN114650535B (zh) | 5g核心网中sepp互信连接方法、系统、装置及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |