CN115567219A - 基于5g虚拟专网切片的安全通信方法、装置及存储介质 - Google Patents

基于5g虚拟专网切片的安全通信方法、装置及存储介质 Download PDF

Info

Publication number
CN115567219A
CN115567219A CN202211154315.2A CN202211154315A CN115567219A CN 115567219 A CN115567219 A CN 115567219A CN 202211154315 A CN202211154315 A CN 202211154315A CN 115567219 A CN115567219 A CN 115567219A
Authority
CN
China
Prior art keywords
random number
plaintext
hash
authentication
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211154315.2A
Other languages
English (en)
Inventor
郭云飞
吴鹏
姚继明
黄伟
张勇
姜海涛
孟建
朱亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd, State Grid Corp of China SGCC, State Grid Shandong Electric Power Co Ltd, Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202211154315.2A priority Critical patent/CN115567219A/zh
Publication of CN115567219A publication Critical patent/CN115567219A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于5G虚拟专网切片的安全通信方法、装置及存储介质,包括:基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证;当二次认证通过后,与电力业务服务器之间进行通信数据的传输,数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。通过实施本发明,使用无PKI无双线性映射计算的轻量级二次认证方法,减小了二次认证时长。利用对称密码算法的有效性和非对称密码的安全性,实现了安全高效地传输数据。降低了网络租用成本,保证了电力调控业务的实时性和安全性要求。

Description

基于5G虚拟专网切片的安全通信方法、装置及存储介质
技术领域
本发明涉及通信技术领域,具体涉及一种基于5G虚拟专网切片的安全通信方法、装置及存储介质。
背景技术
随着我国电力系统的不断发展,电力业务呈现新的特征。对于以分布式能源调控、精准负荷控制、配网区域保护、配网自动化为典型代表的电力调控业务,要求更严格的毫秒级低时延传输以及高于99.99%的超高可靠性。传统4G网络已不足以支持电力调控业务的持续发展,5G虚拟专网通过在电信运营商的5G网络中,基于网络切片等技术虚拟出一张面向电力行业的专用网络,5G虚拟专网切片技术因其强大的可定制能力成为承载电力调控业务的新方式。
然而,通过5G虚拟专网切片承载电力调控业务仍然存在很多重要问题。在通信性能方面,保障调控业务的通信需求基于切片隔离技术来实现。但是由于目前电力虚拟专网支持的切片颗粒度偏大(为1G以上),而电力调控业务的业务数据颗粒度偏小,因此为了经济性要求需要在一个硬切片内划分多个软切片。软切片方案基于现有网络机制,通过虚拟局域网(VLAN,Virtual Local Area Network)标签与网络切片标识的映射实现。软切片隔离方式虽然将不同切片数据进行了VLAN区分,但是标记有VLAN标签的所有切片数据仍然混合调度转发,无法做到硬件、时隙层面的隔离。在逻辑隔离的承载网切片中,一个切片受到攻击时,可能消耗其他切片的资源导致资源不足,从而引起同一物理管道中的其他虚拟切片工作异常。因此,需要研究更安全的保障措施来保证软切片的安全性。
在业务主站的数据安全方面,电力终端通过5G虚拟专网连接调控业务数据主站,为了避免非法终端对主站数据的访问,在电力终端完成5G网络主认证之后,需要通过二次认证确定其访问数据主站的权限。现有二次认证方法大多基于用户密码或基于公钥加密技术的认证方法,用户密码容易泄露或破解造成安全性问题,基于公钥加密的认证技术虽然能保证访问的安全性,但是也带来了较大的计算开销,无法适应调控业务的超低时延需求。
基于上述分析,5G虚拟专网承载电力调控业务有两大关键问题急需解决。一是在安全性前提下提出一种轻量级的二次认证方法,二是提出一种数据隔离方法来保证同一硬切片下不同软切片之间的数据隔离,以适应电力调控业务对低时延高可靠的要求。
发明内容
有鉴于此,本发明实施例提供了涉及一种基于5G虚拟专网切片的安全通信方法、装置及存储介质,以解决现有技术中二次认证的计算开销大且数据传输时无法实现数据隔离的技术问题。
本发明提出的技术方案如下:
本发明实施例第一方面提供一种基于5G虚拟专网切片的安全通信方法,应用于电力终端,所述安全通信方法包括:基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证;当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。
可选地,基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证,包括:基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证;身份认证通过后,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证。
可选地,基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证,包括:将自身身份信息的第一哈希值第一及随机数发送至电力业务服务器;接收电力业务服务器根据所述哈希值进行身份认证通过后发送的第二哈希值、第二随机数以及第一哈希值对应的物理不可克隆函数的第一输入,所述第二哈希值为基于第一哈希值对应的物理不可克隆函数的第一输出、第一随机数和第二随机数进行哈希计算得到的;计算所述第一输入对应物理不可克隆函数的第二输出、第一随机数、第二随机数的第三哈希值;当所述第三哈希值和和所述第二哈希值相等时,身份认证通过。
可选地,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证,包括:将计算的第三随机数和第二输出的第一抑或值、计算的自身身份信息和第二输出的第四哈希值以及第一时间发送至所述电力业务服务器;接收所述电力业务服务器发送的第四随机数和第五随机数的第二抑或值以及第三随机数和第四随机数的第五哈希值,所述第五随机数为电力业务服务器判断接收的第四哈希值和计算的电力终端的身份信息和第一输出的第五哈希值相等时,计算的第一输出、第三随机数、第二输出的哈希值;所述第二抑或值以及第五哈希值为所述电力业务服务器判断所述第一时间和接收所述第一时间的第二时间的差值小于阈值,且第五随机数、第一输出、第一时间、第二随机数的哈希值和第三随机数、第二输出、第一时间、第二随机数的哈希值相等时输出的;计算第四随机数、第五随机数、第六随机数的哈希值和第四随机数、第三随机数的哈希值是否相等,所述第六随机数为根据第三随机数、第四随机数、第五随机数计算的抑或值;当相等时,根据第三随机数、第六随机数的哈希值以及物理不可克隆函数确定第三输入以及第三输出,将第三输出的哈希值发送至所述电力业务服务器;接收所述电力业务服务器发送的认证成功消息;所述认证成功消息为所述电力业务服务器将第五随机数和第四随机数的哈希值输入至物理不可克隆函数得到的第四输出,并在第四输出的哈希值和第三输出的哈希值相等时输出的。
可选地,当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。包括:当二次认证通过后,采用基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,采用非对称算法的公钥对所述高性能对称算法的秘钥进行加密得到第一秘钥密文,采用哈希算法对明文消息计算得到第一明文摘要;将所述第一加密密文、第一秘钥密文以及第一明文摘要发送至所述电力业务服务器;或者,当二次认证通过后,接收所述电力业务服务器发送的第二加密密文、第二秘钥密文以及第二明文摘要;采用非对称算法的私钥对所述第二秘钥密文进行解密得到高性能秘钥,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,采用哈希算法解密得到的明文消息进行解密得到第三明文摘要;比较所述第二明文摘要和所述第三明文摘要,当二者相同时,输出解密得到的明文消息。
可选地,基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,包括:生成第七随机数、第八随机数、第九随机数以及第十随机数;根据所述第八随机数、第九随机数进行阶乘运算生成编码表;基于所述编码表的第十随机数对应列对业务数据的明文消息进行明文混洗编码;基于所述第七随机数和所述编码表对所述明文混洗编码后的数据进行替换,得到加密密文,所述第七随机数、第八随机数、第九随机数以及第十随机数组成所述高性能秘钥。
可选地,根据所述第八随机数对应的阶乘序列的系数以及第八随机数据和第九随机数的比值排列生成编码表,包括:根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列;根据所述第八随机数和第九随机数的比值取整值以及所述第一排列进行阶乘运算得到第一排列的第二排列;根据所述比值取整值和所述第二排列进行阶乘运算得到第二排列的第三排列;根据所述比值取整值和所述第三排列进行阶乘运算得到第三排列的第四排列;重复阶乘运算的过程,得到第五排列、第六排列、第七排列、第八排列以及第九排列;根据第一排列至第九排列生成编码表。
可选地,根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列,包括:将所述第八随机数进行阶乘分解,得到分解后的系数数据;根据所述系数数据选择预设排列中的对应字符,组成预设排列的第一排列。
可选地,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,包括:接收高性能秘钥;根据所述高性能秘钥和所述高性能对称算法生成编码表;根据所述编码表和所述第二加密密文进行反向替换和反明文混洗得到明文消息。
本发明实施例第二方面提供一种基于5G虚拟专网切片的安全通信装置,应用于电力终端,所述安全通信装置包括:认证模块,用于基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证;数据传输模块,用于当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。
可选地,认证模块包括:第一认证模块,用于基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证;第二认证模块,用于在身份认证通过后,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证。
可选地,第一认证模块具体用于,将自身身份信息的第一哈希值第一及随机数发送至电力业务服务器;接收电力业务服务器根据所述哈希值进行身份认证通过后发送的第二哈希值、第二随机数以及第一哈希值对应的物理不可克隆函数的第一输入,所述第二哈希值为基于第一哈希值对应的物理不可克隆函数的第一输出、第一随机数和第二随机数进行哈希计算得到的;计算所述第一输入对应物理不可克隆函数的第二输出、第一随机数、第二随机数的第三哈希值;当所述第三哈希值和和所述第二哈希值相等时,身份认证通过。
可选地,第二认证模块具体用于,包括:将计算的第三随机数和第二输出的第一抑或值、计算的自身身份信息和第二输出的第四哈希值以及第一时间发送至所述电力业务服务器;接收所述电力业务服务器发送的第四随机数和第五随机数的第二抑或值以及第三随机数和第四随机数的第五哈希值,所述第五随机数为电力业务服务器判断接收的第四哈希值和计算的电力终端的身份信息和第一输出的第五哈希值相等时,计算的第一输出、第三随机数、第二输出的哈希值;所述第二抑或值以及第五哈希值为所述电力业务服务器判断所述第一时间和接收所述第一时间的第二时间的差值小于阈值,且第五随机数、第一输出、第一时间、第二随机数的哈希值和第三随机数、第二输出、第一时间、第二随机数的哈希值相等时输出的;计算第四随机数、第五随机数、第六随机数的哈希值和第四随机数、第三随机数的哈希值是否相等,所述第六随机数为根据第三随机数、第四随机数、第五随机数计算的抑或值;当相等时,根据第三随机数、第六随机数的哈希值以及物理不可克隆函数确定第三输入以及第三输出,将第三输出的哈希值发送至所述电力业务服务器;接收所述电力业务服务器发送的认证成功消息;所述认证成功消息为所述电力业务服务器将第五随机数和第四随机数的哈希值输入至物理不可克隆函数得到的第四输出,并在第四输出的哈希值和第三输出的哈希值相等时输出的。
可选地,数据传输模块包括:加密模块,用于当二次认证通过后,采用基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,采用非对称算法的公钥对所述高性能对称算法的秘钥进行加密得到第一秘钥密文,采用哈希算法对明文消息计算得到第一明文摘要;第一传输模块,用于将所述第一加密密文、第一秘钥密文以及第一明文摘要发送至所述电力业务服务器;或者,包括:第二传输模块,用于当二次认证通过后,接收所述电力业务服务器发送的第二加密密文、第二秘钥密文以及第二明文摘要;解密模块,用于采用非对称算法的私钥对所述第二秘钥密文进行解密得到高性能秘钥,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,采用哈希算法解密得到的明文消息进行解密得到第三明文摘要;比较模块,用于比较所述第二明文摘要和所述第三明文摘要,当二者相同时,输出解密得到的明文消息。
可选地,加密模块具体用于:生成第七随机数、第八随机数、第九随机数以及第十随机数;根据所述第八随机数、第九随机数进行阶乘运算生成编码表;基于所述编码表的第十随机数对应列对业务数据的明文消息进行明文混洗编码;基于所述第七随机数和所述编码表对所述明文混洗编码后的数据进行替换,得到加密密文,所述第七随机数、第八随机数、第九随机数以及第十随机数组成所述高性能秘钥。
可选地,根据所述第八随机数对应的阶乘序列的系数以及第八随机数据和第九随机数的比值排列生成编码表,包括:根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列;根据所述第八随机数和第九随机数的比值取整值以及所述第一排列进行阶乘运算得到第一排列的第二排列;根据所述比值取整值和所述第二排列进行阶乘运算得到第二排列的第三排列;根据所述比值取整值和所述第三排列进行阶乘运算得到第三排列的第四排列;重复阶乘运算的过程,得到第五排列、第六排列、第七排列、第八排列以及第九排列;根据第一排列至第九排列生成编码表。
可选地,根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列,包括:将所述第八随机数进行阶乘分解,得到分解后的系数数据;根据所述系数数据选择预设排列中的对应字符,组成预设排列的第一排列。
可选地,解密模块具体用于:接收高性能秘钥;根据所述高性能秘钥和所述高性能对称算法生成编码表;根据所述编码表和所述第二加密密文进行反向替换和反明文混洗得到明文消息。
本发明实施例第三方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本发明实施例第一方面及第一方面任一项所述的基于5G虚拟专网切片的安全通信方法。
本发明实施例第四方面提供一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如本发明实施例第一方面及第一方面任一项所述的基于5G虚拟专网切片的安全通信方法。
本发明提供的技术方案,具有如下效果:
本发明实施例提供的基于5G虚拟专网切片的安全通信方法、装置及存储介质,在二次认证方面,通过物理不可克隆函数来验证认证双方的身份,基于抑或计算隐藏重要数据,基于哈希计算保证数据的完整性,避免使用PKI等基础设施以及复杂的加解密算法,在保证安全性的同时。实现了低复杂度的轻量级二次认证,保证了电力调控业务的实时性和安全性要求。在软切片的数据隔离方面,使用基于高性能对称算法、非对称算法以及哈希算法的混合形式的密码算法,在保证业务数据和对称秘钥的安全性的同时,大大提高了数据加解密的有效性,节约了加解密的时间。同时对调控业务的业务数据的加解密采用一种基于混洗编码的高性能对称密码算法,实现比传统对称密码算法更高的安全性和更高的有效性。对所提高性能密码算法的秘钥,经过非对称加密后再传输给接收方,保证了对称秘钥的安全性。同时,采用哈希算法计算了明文摘要,保证了业务数据的完整性。
本发明实施例提供的基于5G虚拟专网切片的安全通信方法、装置及存储介质,通过软切片技术和安全高效的混合密码方法,相比租用5G硬切片通道,能够有效地降低网络租用成本,同时保证电力调控业务的实时性和安全性要求。在混合形式的密码算法中,使用了一种基于混洗编码的对称密码算法,能够有效隐藏明文和密文之间的联系,通过编码方案的高度随机,保证了其抗特定明文攻击和暴力攻击的安全性;同时,无需借助复杂的双线性映射计算即可完成加解密过程,所以其有效性远远大于经典的对称密码算法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的基于5G虚拟专网切片的安全通信方法的流程图;
图2是根据本发明实施例的加解密的流程图;
图3是根据本发明实施例的二次认证的流程图;
图4是根据本发明实施例的生成的编码表的示意图;
图5是根据本发明实施例的基于5G虚拟专网切片的安全通信装置的结构框图;
图6是根据本发明实施例提供的计算机可读存储介质的结构示意图;
图7是根据本发明实施例提供的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”,以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
正如在背景技术中所述,在轻量级二次认证方法方面,传统认证方法采用的用户密码作为凭证或基于公钥加密技术,密码凭证存在被字典攻击的可能性,基于公钥加密技术的认证程需要经过PKI等基础以及复杂的双线性映射计算,从而引起不必要的时延。因此,需要提出一种不使用PKI等基础设施、计算量小的轻量级二次认证方案,并且在保证其轻量级计算的同时,应当能够有效避免重放攻击、字典攻击、模拟服务器攻击和中间人攻击等非法攻击。
在软切片间的数据隔离方面,目前广泛使用各种数据加密方法,以实现软隔离的经济性和通信的加密安全。为了避免单一密码算法可能存在的漏洞,业界常采用混合加密的方式来加密传输数据。一种有效的混合方式是使用复杂度低的对称密码算法加密体量相对大的调控业务数据,同时使用实现相对复杂的非对称密码算法加密体量小的对称算法的秘钥,以避免对称算法秘钥在传输过程中可能存在的泄露。这种加密方式主要的计算量和复杂度来自于对称密码算法。然而,鉴于电力调控业务对低时延和高可靠的实际需求,目前流行的AES、DES、SM4等算法的计算复杂度较大,因此需要提出更加安全高效的对称密码算法,以实现较经典对称算法更高的安全性和更高的有效性。
有鉴于此,本发明实施例提供一种基于5G虚拟专网切片的安全通信方法,基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证;当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。由此结合软切片隔离技术、轻量级二次认证方法和安全高效混合加密方法,有效地降低了网络租用成本,同时充分保证了电力调控业务的实时性和安全性要求。
根据本发明实施例,提供了一种基于5G虚拟专网切片的安全通信方法,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种基于5G虚拟专网切片的安全通信方法,应用于电力终端,图1是根据本发明实施例基于5G虚拟专网切片的安全通信方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101:基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证。需要说明的是,在进行二次认证之前,电力终端先接入5G虚拟专网进行身份及切片认证,该认证过程采用现有的行业规范实现,在此不再赘述。其中,物理不可克隆函数利用内在的物理构造来对其进行唯一性标识,输入任意激励都会输出一个唯一的且不可预测的响应。因此,物理不可克隆函数也可称为数学方程。在二次认证过程中,电力终端和电力业务服务器中部署有相同的数学方程或者说物理不可克隆函数,同时,电力业务服务器中存储了电力终端的身份的哈希值。此外,对于物理不可克隆函数和哈希函数目前已有多种计算标准,本发明实施例可以选取任意一种计算标准,在此不再赘述其具体计算过程。
步骤S102:当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。其中,在数据传输过程中,电力终端既可以作为发送端,即采用上述加密方式对需要传输的数据进行加密;此外,电力终端也可以作为接收端,接收采用上述加密方式加密的数据进行解密。发送端和接收端之间采用5G虚拟专网切片进行数据传输。
具体地,如图2所示,当电力终端作为发送端时,采用基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,采用非对称算法的公钥对所述高性能对称算法的秘钥进行加密得到第一秘钥密文,采用哈希算法对明文消息计算得到第一明文摘要;将所述第一加密密文、第一秘钥密文以及第一明文摘要发送至所述电力业务服务器。其中,非对称算法可以采用国密算法SM2,哈希算法可以采用国密算法SM3。
如图2所示,当电力终端作为接收端时,接收所述电力业务服务器发送的第二加密密文、第二秘钥密文以及第二明文摘要;采用非对称算法的私钥对所述第二秘钥密文进行解密得到高性能秘钥,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,采用哈希算法解密得到的明文消息进行解密得到第三明文摘要;比较所述第二明文摘要和所述第三明文摘要,当二者相同时,输出解密得到的明文消息。通过明文摘要的对比,保证了业务数据的完整性。
本发明实施例提供的基于5G虚拟专网切片的安全通信方法,在二次认证方面,通过物理不可克隆函数来验证认证双方的身份,基于抑或计算隐藏重要数据,基于哈希计算保证数据的完整性,避免使用PKI等基础设施以及复杂的加解密算法,在保证安全性的同时。实现了低复杂度的轻量级二次认证,保证了电力调控业务的实时性和安全性要求。在软切片的数据隔离方面,使用基于高性能对称算法、非对称算法以及哈希算法的混合形式的密码算法,在保证业务数据和对称秘钥的安全性的同时,大大提高了数据加解密的有效性,节约了加解密的时间。同时对调控业务的业务数据的加解密采用一种基于混洗编码的高性能对称密码算法,实现比传统对称密码算法更高的安全性和更高的有效性。对所提高性能密码算法的秘钥,经过非对称加密后再传输给接收方,保证了对称秘钥的安全性。同时,采用哈希算法计算了明文摘要,保证了业务数据的完整性。
本发明实施例提供的基于5G虚拟专网切片的安全通信方法,通过使用无PKI无双线性映射计算的轻量级二次认证方法,减小了电力终端的二次认证时长。利用对称密码算法的有效性和非对称密码的安全性,实现了混合密码方法安全高效地加解密传输数据。结合软切片隔离技术、轻量级二次认证方法和安全高效混合加密方法,有效地降低了网络租用成本,同时充分保证了电力调控业务的实时性和安全性要求。
在一实施方式中,基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证,包括如下步骤:
步骤S201:基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证。具体地,该身份认证过程采用如下流程实现:
将自身身份信息的第一哈希值第一及随机数发送至电力业务服务器。
接收电力业务服务器根据所述哈希值进行身份认证通过后发送的第二哈希值、第二随机数以及第一哈希值对应的物理不可克隆函数的第一输入,所述第二哈希值为基于第一哈希值对应的物理不可克隆函数的第一输出、第一随机数和第二随机数进行哈希计算得到的。
计算所述第一输入对应物理不可克隆函数的第二输出、第一随机数、第二随机数的第三哈希值。
当所述第三哈希值和和所述第二哈希值相等时,身份认证通过。
步骤S201:身份认证通过后,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证。
将计算的第三随机数和第二输出的第一抑或值、计算的自身身份信息和第二输出的第四哈希值以及第一时间发送至所述电力业务服务器。
接收所述电力业务服务器发送的第四随机数和第五随机数的第二抑或值以及第三随机数和第四随机数的第五哈希值,所述第五随机数为电力业务服务器判断接收的第四哈希值和计算的电力终端的身份信息和第一输出的第五哈希值相等时,计算的第一输出、第三随机数、第二输出的哈希值;所述第二抑或值以及第五哈希值为所述电力业务服务器判断所述第一时间和接收所述第一时间的第二时间的差值小于阈值,且第五随机数、第一输出、第一时间、第二随机数的哈希值和第三随机数、第二输出、第一时间、第二随机数的哈希值相等时输出的。
计算第四随机数、第五随机数、第六随机数的哈希值和第四随机数、第三随机数的哈希值是否相等,所述第六随机数为根据第三随机数、第四随机数、第五随机数计算的抑或值。
当相等时,根据第三随机数、第六随机数的哈希值以及物理不可克隆函数确定第三输入以及第三输出,将第三输出的哈希值发送至所述电力业务服务器。
接收所述电力业务服务器发送的认证成功消息;所述认证成功消息为所述电力业务服务器将第五随机数和第四随机数的哈希值输入至物理不可克隆函数得到的第四输出,并在第四输出的哈希值和第三输出的哈希值相等时输出的。
具体地,基于以上身份认证和时间认证过程,如图3所示,电力终端和电力业务服务器之间的轻量级二次认证可以采用如下方式实现:
步骤A1:电力终端应用哈希函数计算其身份信息ID的第一哈希值H(ID),生成第一随机数N1,并将第一哈希值H(ID)和第一随机数N1发送给电力业务服务器。
步骤A2:如果电力业务服务器的内存中不包含H(ID),则身份认证失败。否则,电力业务服务器根据第一H(ID)选择存储的数学方程(即物理不可克隆函数)的输入输出集(C,R),并生成第二随机数N2,然后将第一输入和第二随机数C,N2以及第二哈希值H(R||N1||N2)发送给电力终端。
步骤A3:电力终端将接收到的第一输入C作为数学方程的输入,得到第二输出R1,然后计算第三哈希值H(R1||N1||N2),并判断该值与接收到的第二哈希值H(R||N1||N2)是否相等。如果相等,则身份认证通过,继续进行时间认证,否则认证失败。
步骤A4:电力终端生成第三随机数N3,并将包含第四哈希值、第一抑或值以及第一时间的消息
Figure BSA0000284534830000151
发送给认证服务器。其中t1代表当前时间即第一时间,用于验证认证消息的及时性,运算符
Figure BSA0000284534830000152
表示抑或计算。
步骤A5:电力业务服务器计算第五哈希值H(H(ID)||R),并判断该哈希值是否与接收到的第四哈希值H(H(ID)||R1)相等。如果不相等则认证失败,否则,计算第五随机数
Figure BSA0000284534830000161
然后电力业务服务器计算当前时间t2(即第二时间)和接收到的第一时间t1的差值,判断该差值是否小于阈值是否成立,其中阈值是一个预期时延,可以根据实际情况确定。如果不小于,则认证失败,否则,进一步判断第五随机数、第一输出、第一时间、第二随机数的哈希值和第三随机数、第二输出、第一时间、第二随机数的哈希值是否相等,即等式
Figure BSA0000284534830000162
是否成立。如果该等式不成立,则认证失败,如果该等式成立,则进行下一步。
步骤A6:电力业务服务器生成第四随机数N4,并将包含第四随机数和第五随机数的第二抑或值以及第三随机数和第四随机数的第五哈希值即
Figure BSA0000284534830000163
发送给电力终端。
步骤A7:电力终端根据接收的数值计算随机数N4的值,为作区分,将计算得到的值记为第六随机数
Figure BSA0000284534830000164
其中,第六随机数
Figure BSA0000284534830000165
然验证第四随机数、第五随机数、第六随机数的哈希值和第四随机数、第三随机数的哈希值是否相等,即等式
Figure BSA0000284534830000166
是否成立。如果不相等,则验证失败。如果相等,则进行下一步。
步骤A8:完成上述验证之后,电力终端在自身的数学方程中输入
Figure BSA0000284534830000167
得到新的数学方程输入输出集(C1,R1)用于下一次电力终端的二次认证。其中第三输入
Figure BSA0000284534830000168
第三输出R1=P(H(N3+N4))。然后电力终端删除所有临时变量,如N3和N4,并将第三输出的哈希值H(R1)发送到电力业务服务器。
步骤A9:电力业务服务器计算第五随机数和第四随机数的哈希值
Figure BSA0000284534830000169
并输入到数学方程中得到第四输出R*,然后计算第四输出的哈希值H(R*),验证第四输出的哈希值和第三输出的哈希值是否相等即等式H(R*)=H(R1)是否成立。不成立则认证失败。成立则设置(C*,R*)为新的数学方程输入输出集,用于电力设备的下一次二次认证。至此二次认证过程结束,终端可与电力业务服务器进行数据通信。
在一实施方式中,基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,包括如下步骤:
步骤S301:生成第七随机数、第八随机数、第九随机数、以及第十随机数;其中,第七随机数s为八位数的随机数,第七随机数中每一位的取值为1~8,且每个数只能取一次,例如第七随机数可以是36457128或45126873;第八随机数K为取值在1~128!之间的随机数;第九随机数X为取值在1~1000范围内的随机数字;第十随机数N的取值为2~9。
步骤S302:根据所述第八随机数、第九随机数进行阶乘运算生成编码表。具体的,生成编码表的过程如下:
步骤S31:根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列。其中,在该实施例中假设预设排列设为A,A为由128个字符组成的一个排列;第八随机数K∈[1,128!],将第八随机数分解为a127127!+a126126!+…+a00!的形式,得到其系数数据[a127,a126,...,a0];然后根据该系数数据,从A中选择相应的字符,组成第八随机数的第一排列。例如,选择A的第a127个字符(即从A中的第0个字符开始,找到第a127个字符)作为B的第0个字符。对于A的剩余127个字符,选择其第a126个字符作为B的第1个字符;以此类推,可以从A得到128个新的字符排列B,B即是预设排列[1,2,…,128]的第K个排列,或者说是预设排列的第一排列,记为K0
为了更清楚地说明上述阶乘运算的过程,以4位字符的排列举一个简单的例子:假设4个符号的预设排列为[4,2,1,3],它有4!=24个唯一排列(从第0位到第23位)。如果要得到其K=17的置换,那么需要找到K=17的阶乘表示,即2*3!+2*2!+1*1!+0!,其系数为[2 21 0]。从集合[4 2 1 3]中,在第2(系数的第一个元素是2)个位置选取元素,即“1”(位置从第0开始计数),因此它是第一排列的第1个元素,集合将剩下[4 2 3]。接下来,选取集合中第2个位置的元素,即“3”,剩余的集合将是[4,2]。接下来在第1个位置选取元素,即“2”。最后选取“4”,因此将输出[1,3,2,4]作为输入的预设排列的第K=17个排列。
步骤S32:根据所述第八随机数和第九随机数的比值取整值以及所述第一排列进行阶乘运算得到第一排列的第二排列;具体地,将第八随机数除以第九随机数,得到的商取整后得到新的比值取整值K1。然后以第一排列K0为预设排列,将比值取整值K1作为新的随机数,采用步骤S31的方式进行阶乘运算,得到第一排列K0的第K1个排列,记为K1,即将第二排列记为K1
步骤S33:根据所述比值取整值和所述第二排列进行阶乘运算得到第二排列的第三排列。具体地,以第二排列K1为预设排列,将比值取整值K1作为新的随机数,采用步骤S31的方式进行阶乘运算,得到第二排列K1的第K1个排列,第三排列记为K2
步骤S34:根据所述比值取整值和所述第三排列进行阶乘运算得到第三排列的第四排列。具体地,以第三排列K2为预设排列,将比值取整值K1作为新的随机数,采用步骤S31的方式进行阶乘运算,得到第三排列K2的第K1个排列,第四排列记为K3
步骤S35:重复阶乘运算的过程,得到第五排列、第六排列、第七排列、第八排列以及第九排列。第五排列、第六排列、第七排列、第八排列以及第九排列依次记为K4,K5,K6,K7,K8。具体计算过程参见上述步骤,在此不再赘述。
步骤S36:根据第一排列至第九排列生成编码表。具体地,生成的编码表共有128行9列,其第一列值为1,2,…,128,第j(2≤j≤9)列的取值为Kj-1
步骤S303:基于所述编码表的第十随机数对应的列对业务数据的明文消息进行明文混洗编码;具体地,在对明文消息进行明文混洗时,一次处理128个字符。因此,对输入数据取前128个字符,根据上述步骤生成的编码表的第N列对明文进行编码。假设N=7,明文消息为“abcd”,生成的编码表如图4所示;则编码表中第7列的第97~100行的值为[56,125,67,81],则将“a”编码为ASCII码的第56个符号,即“8”;将“b”编码为ASCII码的第125个符号“}”,以此类推,上述明文消息经过明文混洗后的结果为“8}CQ”。当前128个字符的混洗完成后,再选取128个字符,并执行相同操作,直到所有数据都混洗完毕。如果最后一次选取的字符数小于128,则向其添加一些无用数据组成128个字符,并在输入数据的开头添加无用字符数,以供接收方了解。
步骤S304:基于所述第七随机数和所述编码表对所述明文混洗编码后的数据进行替换,得到加密密文,所述第七随机数、第八随机数、第九随机数以及第十随机数组成所述高性能秘钥。具体地,如果编码表如图4所示,第七随机数s为46357128,混洗编码后的数据为“Zacd…”,然后取混洗编码后的数据的第一个字符,即“Z”(90 ASCII),并将其替换为编码表第90行中的第4+1=5个代码(因为4是s中的第一个数字),因此该“Z”将被编码为字符“S”(83 ASCII)。现在,从数据中提取第2个字符,即“a”(ASCII 97),并将其替换为编码表第97行中相应的第6+1=7个代码,因此该“a”将被编码为“8”(56 ASCII),同样,对于其余字符也是如此。完成了混洗编码后的数据中前8个字符的替换之后,接下来的数据中的8个字符按照s交替上下移动编码表的编码值(例如,如果S为57248613,则第5、2、8和1列将上移一行,而第7、4、6和3列将下移一行)。在这个混洗步骤之后,每个数据的编码值都将改变,字符9-16的替换过程将使用新的混洗表继续,如前所述,直到所有混洗编码后的数据的编码完成。通过这种简单的替换技术,实现了对业务数据的加密。
在一实施方式中,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,包括如下步骤:
步骤S401:接收高性能秘钥;具体地,在数据发送端进行高性能对称算法的加密完成后,会形成由所述第七随机数、第八随机数、第九随机数以及第十随机数组成的高性能秘钥,并将该高性能秘钥和接收端共享。则接收端接收的密钥表示为Key={S}+{K}+{X}+{N}。
步骤S402:根据所述高性能秘钥和所述高性能对称算法生成编码表;具体地,通过高性能秘钥中的数据能够形成编码表。具体形成编码表的过程参见上述步骤S302,在此不再赘述。
步骤S403:根据所述编码表和所述第二加密密文进行反向替换和反明文混洗得到明文消息。具体地,例如编码表如图4所示,接收的秘钥中的第一随机数s是46357128,密文是“S8GO”,然后接收方将从密文中提取第一个元素,即字符“S”,并搜索表第5列中的“S”的十进制值,该值为83(因为4是随机数s中的第一个元素)。当接收器在第5列中找到83时,其对应的第1列值为90(字符“Z”的ASCII值)。因此,将替换该“S”(十进制83)由同一行中表的第1列中的相应ASCII码表示,即90(ASCII“Z”)。以此类推,可以解码出8个字符的业务数据。然后根据秘钥Key的N值,执行反明文混洗操作,即可得到明文混洗所得编码值对应的标准ASCII值,从而得到明文数据。需要说明的是,通过该步骤得到的是8个字符的明文,后续字符的解码过程只需重复反向替换和反明文混洗,唯一不同的是每次解码使用不同的编码表,编码表变换形式如步骤S304所述,在此不再赘述。
本发明实施例提供的基于5G虚拟专网切片的安全通信方法,通过软切片技术和安全高效的混合密码方法,相比租用5G硬切片通道,能够有效地降低网络租用成本,同时保证电力调控业务的实时性和安全性要求。在混合形式的密码算法中,使用了一种基于混洗编码的对称密码算法,能够有效隐藏明文和密文之间的联系,通过编码方案的高度随机,保证了其抗特定明文攻击和暴力攻击的安全性;同时,无需借助复杂的双线性映射计算即可完成加解密过程,所以其有效性远远大于经典的对称密码算法。
本发明实施例第二方面提供一种基于5G虚拟专网切片的安全通信装置,应用于电力终端,如图5所示,所述安全通信装置包括:
认证模块,用于基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证;具体内容参见上述方法实施例对应部分,在此不再赘述。
数据传输模块,用于当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。具体内容参见上述方法实施例对应部分,在此不再赘述。
本发明实施例提供的基于5G虚拟专网切片的安全通信装置,在二次认证方面,通过物理不可克隆函数来验证认证双方的身份,基于抑或计算隐藏重要数据,基于哈希计算保证数据的完整性,避免使用PKI等基础设施以及复杂的加解密算法,在保证安全性的同时。实现了低复杂度的轻量级二次认证,保证了电力调控业务的实时性和安全性要求。在软切片的数据隔离方面,使用基于高性能对称算法、非对称算法以及哈希算法的混合形式的密码算法,在保证业务数据和对称秘钥的安全性的同时,大大提高了数据加解密的有效性,节约了加解密的时间。同时对调控业务的业务数据的加解密采用一种基于混洗编码的高性能对称密码算法,实现比传统对称密码算法更高的安全性和更高的有效性。对所提高性能密码算法的秘钥,经过非对称加密后再传输给接收方,保证了对称秘钥的安全性。同时,采用哈希算法计算了明文摘要,保证了业务数据的完整性。
可选地,认证模块包括:第一认证模块,用于基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证;第二认证模块,用于在身份认证通过后,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证。
可选地,第一认证模块具体用于,将自身身份信息的第一哈希值第一及随机数发送至电力业务服务器;接收电力业务服务器根据所述哈希值进行身份认证通过后发送的第二哈希值、第二随机数以及第一哈希值对应的物理不可克隆函数的第一输入,所述第二哈希值为基于第一哈希值对应的物理不可克隆函数的第一输出、第一随机数和第二随机数进行哈希计算得到的;计算所述第一输入对应物理不可克隆函数的第二输出、第一随机数、第二随机数的第三哈希值;当所述第三哈希值和和所述第二哈希值相等时,身份认证通过。
可选地,第二认证模块具体用于,包括:将计算的第三随机数和第二输出的第一抑或值、计算的自身身份信息和第二输出的第四哈希值以及第一时间发送至所述电力业务服务器;接收所述电力业务服务器发送的第四随机数和第五随机数的第二抑或值以及第三随机数和第四随机数的第五哈希值,所述第五随机数为电力业务服务器判断接收的第四哈希值和计算的电力终端的身份信息和第一输出的第五哈希值相等时,计算的第一输出、第三随机数、第二输出的哈希值;所述第二抑或值以及第五哈希值为所述电力业务服务器判断所述第一时间和接收所述第一时间的第二时间的差值小于阈值,且第五随机数、第一输出、第一时间、第二随机数的哈希值和第三随机数、第二输出、第一时间、第二随机数的哈希值相等时输出的;计算第四随机数、第五随机数、第六随机数的哈希值和第四随机数、第三随机数的哈希值是否相等,所述第六随机数为根据第三随机数、第四随机数、第五随机数计算的抑或值;当相等时,根据第三随机数、第六随机数的哈希值以及物理不可克隆函数确定第三输入以及第三输出,将第三输出的哈希值发送至所述电力业务服务器;接收所述电力业务服务器发送的认证成功消息;所述认证成功消息为所述电力业务服务器将第五随机数和第四随机数的哈希值输入至物理不可克隆函数得到的第四输出,并在第四输出的哈希值和第三输出的哈希值相等时输出的。
可选地,数据传输模块包括:加密模块,用于当二次认证通过后,采用基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,采用非对称算法的公钥对所述高性能对称算法的秘钥进行加密得到第一秘钥密文,采用哈希算法对明文消息计算得到第一明文摘要;第一传输模块,用于将所述第一加密密文、第一秘钥密文以及第一明文摘要发送至所述电力业务服务器;或者,包括:第二传输模块,用于当二次认证通过后,接收所述电力业务服务器发送的第二加密密文、第二秘钥密文以及第二明文摘要;解密模块,用于采用非对称算法的私钥对所述第二秘钥密文进行解密得到高性能秘钥,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,采用哈希算法解密得到的明文消息进行解密得到第三明文摘要;比较模块,用于比较所述第二明文摘要和所述第三明文摘要,当二者相同时,输出解密得到的明文消息。
可选地,加密模块具体用于:生成第七随机数、第八随机数、第九随机数以及第十随机数;根据所述第八随机数、第九随机数进行阶乘运算生成编码表;基于所述编码表的第十随机数对应列对业务数据的明文消息进行明文混洗编码;基于所述第七随机数和所述编码表对所述明文混洗编码后的数据进行替换,得到加密密文,所述第七随机数、第八随机数、第九随机数以及第十随机数组成所述高性能秘钥。
可选地,根据所述第八随机数对应的阶乘序列的系数以及第八随机数据和第九随机数的比值排列生成编码表,包括:根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列;根据所述第八随机数和第九随机数的比值取整值以及所述第一排列进行阶乘运算得到第一排列的第二排列;根据所述比值取整值和所述第二排列进行阶乘运算得到第二排列的第三排列;根据所述比值取整值和所述第三排列进行阶乘运算得到第三排列的第四排列;重复阶乘运算的过程,得到第五排列、第六排列、第七排列、第八排列以及第九排列;根据第一排列至第九排列生成编码表。
可选地,根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列,包括:将所述第八随机数进行阶乘分解,得到分解后的系数数据;根据所述系数数据选择预设排列中的对应字符,组成预设排列的第一排列。
可选地,解密模块具体用于:接收高性能秘钥;根据所述高性能秘钥和所述高性能对称算法生成编码表;根据所述编码表和所述第二加密密文进行反向替换和反明文混洗得到明文消息。
本发明实施例提供的基于5G虚拟专网切片的安全通信装置的功能描述详细参见上述实施例中基于5G虚拟专网切片的安全通信方法描述。
本发明实施例还提供一种存储介质,如图6所示,其上存储有计算机程序601,该指令被处理器执行时实现上述实施例中基于5G虚拟专网切片的安全通信方法的步骤。该存储介质上还存储有音视频流数据,特征帧数据、交互请求信令、加密数据以及预设数据大小等。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本发明实施例还提供了一种电子设备,如图7所示,该电子设备可以包括处理器51和存储器52,其中处理器51和存储器52可以通过总线或者其他方式连接,图7中以通过总线连接为例。
处理器51可以为中央处理器(Central Processing Unit,CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器52作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的基于5G虚拟专网切片的安全通信方法。
存储器52可以包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需要的应用程序;存储数据区可存储处理器51所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器52可选包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器52中,当被所述处理器51执行时,执行如图1-2所示实施例中的基于5G虚拟专网切片的安全通信方法。
上述电子设备具体细节可以对应参阅图1至图2所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (16)

1.一种基于5G虚拟专网切片的安全通信方法,其特征在于,应用于电力终端,所述安全通信方法包括:
基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证;
当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。
2.根据权利要求1所述的基于5G虚拟专网切片的安全通信方法,其特征在于,基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证,包括:
基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证;
身份认证通过后,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证。
3.根据权利要求2所述的基于5G虚拟专网切片的安全通信方法,其特征在于,基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证,包括:
将自身身份信息的第一哈希值第一及随机数发送至电力业务服务器;
接收电力业务服务器根据所述哈希值进行身份认证通过后发送的第二哈希值、第二随机数以及第一哈希值对应的物理不可克隆函数的第一输入,所述第二哈希值为基于第一哈希值对应的物理不可克隆函数的第一输出、第一随机数和第二随机数进行哈希计算得到的;
计算所述第一输入对应物理不可克隆函数的第二输出、第一随机数、第二随机数的第三哈希值;
当所述第三哈希值和和所述第二哈希值相等时,身份认证通过。
4.根据权利要求3所述的基于5G虚拟专网切片的安全通信方法,其特征在于,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证,包括:
将计算的第三随机数和第二输出的第一抑或值、计算的自身身份信息和第二输出的第四哈希值以及第一时间发送至所述电力业务服务器;
接收所述电力业务服务器发送的第四随机数和第五随机数的第二抑或值以及第三随机数和第四随机数的第五哈希值,所述第五随机数为电力业务服务器判断接收的第四哈希值和计算的电力终端的身份信息和第一输出的第五哈希值相等时,计算的第一输出、第三随机数、第二输出的哈希值;所述第二抑或值以及第五哈希值为所述电力业务服务器判断所述第一时间和接收所述第一时间的第二时间的差值小于阈值,且第五随机数、第一输出、第一时间、第二随机数的哈希值和第三随机数、第二输出、第一时间、第二随机数的哈希值相等时输出的;
计算第四随机数、第五随机数、第六随机数的哈希值和第四随机数、第三随机数的哈希值是否相等,所述第六随机数为根据第三随机数、第四随机数、第五随机数计算的抑或值;
当相等时,根据第三随机数、第六随机数的哈希值以及物理不可克隆函数确定第三输入以及第三输出,将第三输出的哈希值发送至所述电力业务服务器;
接收所述电力业务服务器发送的认证成功消息;所述认证成功消息为所述电力业务服务器将第五随机数和第四随机数的哈希值输入至物理不可克隆函数得到的第四输出,并在第四输出的哈希值和第三输出的哈希值相等时输出的。
5.根据权利要求1所述的基于5G虚拟专网切片的安全通信方法,其特征在于,当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要,包括:
当二次认证通过后,采用基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,采用非对称算法的公钥对所述高性能对称算法的秘钥进行加密得到第一秘钥密文,采用哈希算法对明文消息计算得到第一明文摘要;
将所述第一加密密文、第一秘钥密文以及第一明文摘要发送至所述电力业务服务器;或者,
当二次认证通过后,接收所述电力业务服务器发送的第二加密密文、第二秘钥密文以及第二明文摘要;
采用非对称算法的私钥对所述第二秘钥密文进行解密得到高性能秘钥,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,采用哈希算法解密得到的明文消息进行解密得到第三明文摘要;
比较所述第二明文摘要和所述第三明文摘要,当二者相同时,输出解密得到的明文消息。
6.根据权利要求5所述的基于5G虚拟专网切片的安全通信方法,其特征在于,基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,包括:
生成第七随机数、第八随机数、第九随机数、以及第十随机数;
根据所述第八随机数、第九随机数进行阶乘运算生成编码表;
基于所述编码表的第十随机数对应的列对业务数据的明文消息进行明文混洗编码;
基于所述第七随机数和所述编码表对所述明文混洗编码后的数据进行替换,得到加密密文,所述第七随机数、第八随机数、第九随机数以及第十随机数组成所述高性能秘钥。
7.根据权利要求6所述的基于5G虚拟专网切片的安全通信方法,其特征在于,根据所述第八随机数对应的阶乘序列的系数以及第八随机数据和第九随机数的比值排列生成编码表,包括:
根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列;
根据所述第八随机数和第九随机数的比值取整值以及所述第一排列进行阶乘运算得到第一排列的第二排列;
根据所述比值取整值和所述第二排列进行阶乘运算得到第二排列的第三排列;
根据所述比值取整值和所述第三排列进行阶乘运算得到第三排列的第四排列;
重复阶乘运算的过程,得到第五排列、第六排列、第七排列、第八排列以及第九排列;
根据第一排列至第九排列生成编码表。
8.根据权利要求7所述的基于5G虚拟专网切片的安全通信方法,其特征在于,根据所述第八随机数以及预设排列进行阶乘运算得到预设排列的第一排列,包括:
将所述第八随机数进行阶乘分解,得到分解后的系数数据;
根据所述系数数据选择预设排列中的对应字符,组成预设排列的第一排列。
9.根据权利要求6所述的基于5G虚拟专网切片的安全通信方法,其特征在于,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,包括:
接收高性能秘钥;
根据所述高性能秘钥和所述高性能对称算法生成编码表;
根据所述编码表和所述第二加密密文进行反向替换和反明文混洗得到明文消息。
10.一种基于5G虚拟专网切片的安全通信装置,其特征在于,应用于电力终端,所述安全通信装置包括:
认证模块,用于基于物理不可克隆函数、哈希计算以及抑或计算与电力业务服务器之间进行轻量级二次认证;
数据传输模块,用于当二次认证通过后,与电力业务服务器之间进行通信数据的传输,传输的通信数据为基于混洗编码的高性能对称算法对明文消息加密得到的加密密文、非对称算法的公钥对高性能对称算法的秘钥加密得到的秘钥密文、以及哈希算法对明文消息计算得到的明文摘要。
11.根据权利要求10所述的基于5G虚拟专网切片的安全通信装置,其特征在于,所述认证模块包括:
第一认证模块,用于基于物理不可克隆函数以及自身身份信息的哈希计算与电力业务服务器之间进行身份认证;
第二认证模块,用于在身份认证通过后,基于哈希计算和抑或计算与电力业务服务器之间进行时间认证。
12.根据权利要求10所述的基于5G虚拟专网切片的安全通信装置,其特征在于,所述数据传输模块包括:
加密模块,用于当二次认证通过后,采用基于混洗编码的高性能对称算法对业务数据的明文消息进行加密得到第一加密密文,采用非对称算法的公钥对所述高性能对称算法的秘钥进行加密得到第一秘钥密文,采用哈希算法对明文消息计算得到第一明文摘要;
第一传输模块,用于将所述第一加密密文、第一秘钥密文以及第一明文摘要发送至所述电力业务服务器;或者,
包括:第二传输模块,用于当二次认证通过后,接收所述电力业务服务器发送的第二加密密文、第二秘钥密文以及第二明文摘要;
解密模块,用于采用非对称算法的私钥对所述第二秘钥密文进行解密得到高性能秘钥,采用所述高性能秘钥对所述第二加密密文进行解密,得到明文消息,采用哈希算法解密得到的明文消息进行解密得到第三明文摘要;
比较模块,用于比较所述第二明文摘要和所述第三明文摘要,当二者相同时,输出解密得到的明文消息。
13.根据权利要求12所述的基于5G虚拟专网切片的安全通信装置,其特征在于,所述加密模块具体用于:生成第七随机数、第八随机数、第九随机数以及第十随机数;根据所述第八随机数、第九随机数进行阶乘运算生成编码表;基于所述编码表的第十随机数对应列对业务数据的明文消息进行明文混洗编码;基于所述第七随机数和所述编码表对所述明文混洗编码后的数据进行替换,得到加密密文,所述第七随机数、第八随机数、第九随机数以及第十随机数组成所述高性能秘钥。
14.根据权利要求12所述的基于5G虚拟专网切片的安全通信装置,其特征在于,所述解密模块具体用于:接收高性能秘钥;根据所述高性能秘钥和所述高性能对称算法生成编码表;根据所述编码表和所述第二加密密文进行反向替换和反明文混洗得到明文消息。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-9任一项所述的基于5G虚拟专网切片的安全通信方法。
16.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-9任一项所述的基于5G虚拟专网切片的安全通信方法。
CN202211154315.2A 2022-09-22 2022-09-22 基于5g虚拟专网切片的安全通信方法、装置及存储介质 Pending CN115567219A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211154315.2A CN115567219A (zh) 2022-09-22 2022-09-22 基于5g虚拟专网切片的安全通信方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211154315.2A CN115567219A (zh) 2022-09-22 2022-09-22 基于5g虚拟专网切片的安全通信方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN115567219A true CN115567219A (zh) 2023-01-03

Family

ID=84741581

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211154315.2A Pending CN115567219A (zh) 2022-09-22 2022-09-22 基于5g虚拟专网切片的安全通信方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN115567219A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116095681A (zh) * 2023-04-11 2023-05-09 北京首信科技股份有限公司 一种网络融合认证的方法和设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116095681A (zh) * 2023-04-11 2023-05-09 北京首信科技股份有限公司 一种网络融合认证的方法和设备
CN116095681B (zh) * 2023-04-11 2023-07-11 北京首信科技股份有限公司 一种网络融合认证的方法和设备

Similar Documents

Publication Publication Date Title
Qin et al. Attribute-based encryption with efficient verifiable outsourced decryption
CN111510281B (zh) 一种同态加密方法及装置
RU2638639C1 (ru) Кодер, декодер и способ кодирования и шифрования входных данных
CN110610105B (zh) 一种云环境下基于秘密共享的三维模型文件的认证方法
CN102904717B (zh) 利用数据压缩编码的混沌同步加密解密方法及其装置
Li et al. Multi-key FHE for multi-bit messages
CN115567219A (zh) 基于5g虚拟专网切片的安全通信方法、装置及存储介质
US20190109712A1 (en) Plaintext equivalence proof techniques in communication systems
CN113297599A (zh) 数据传输系统、数据获取方法、终端和存储介质
Ahmad Cryptanalysis of chaos based secure satellite imagery cryptosystem
JP2018112613A (ja) 暗号システム、鍵生成装置、暗号化装置、復号装置、難読化装置、実行装置、およびプログラム
CN111931194A (zh) 基于云计算的安防监控大数据处理方法及装置
CN110113340A (zh) 基于Hadoop平台中分布式RSA与DES混合加密方法
CN116055152A (zh) 一种基于格的访问控制加解密方法及系统
Ahila et al. State of art in homomorphic encryption schemes
JP2024514711A (ja) 完全適応型セキュリティを有する分散型マルチオーソリティの属性ベース暗号化
KR102304831B1 (ko) 순열그룹 기반의 암호화 기술을 적용한 암호화시스템 및 방법
CN114826551A (zh) 一种智能电网全生命周期数据的保护方法和系统
Usman et al. A novel encoding-decoding scheme using Huffman coding for multimedia networks
Wang et al. Anti-quantum generalized signcryption scheme based on multivariate and coding
Yang et al. Efficient Asymmetric Encryption Scheme based on Elliptic Encryption Technology
CN114785484B (zh) 一种大数据安全传输方法及系统
Jin et al. Low transmission overhead for polar coding physical-layer encryption
CN116684870B (zh) 电力5g终端的接入认证方法、装置及系统
CN112367157B (zh) 一种物联网环境加密方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination