CN116567624B - 一种5g馈线终端通信安全防护方法、装置及存储介质 - Google Patents

一种5g馈线终端通信安全防护方法、装置及存储介质 Download PDF

Info

Publication number
CN116567624B
CN116567624B CN202310837693.9A CN202310837693A CN116567624B CN 116567624 B CN116567624 B CN 116567624B CN 202310837693 A CN202310837693 A CN 202310837693A CN 116567624 B CN116567624 B CN 116567624B
Authority
CN
China
Prior art keywords
key
feeder terminal
communication
secret
fresh
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310837693.9A
Other languages
English (en)
Other versions
CN116567624A (zh
Inventor
张腾飞
王录泽
周霞
戴剑丰
刘增稷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Wanxin Donglian Intelligent Technology Co ltd
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202310837693.9A priority Critical patent/CN116567624B/zh
Publication of CN116567624A publication Critical patent/CN116567624A/zh
Application granted granted Critical
Publication of CN116567624B publication Critical patent/CN116567624B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于馈线自动化技术领域,公开了一种5G馈线终端通信安全防护方法、装置及存储介质,所述方法首先在馈线终端内集成加解密安全芯片,通过预充注在加解密安全芯片内的密钥K1向安全服务移动引擎进行身份认证;认证成功后,安全服务平台向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥;加解密安全芯片通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki;馈线终端1和馈线终端2获得会话密钥Ki,使用Ki进行一次加密通信。本发明可自动生成密钥、简化密钥管理过程、提高通信安全性,能够解决现有5G场景下馈线自动化终端间对等通信容易受到干扰、窃听等风险问题,从而提升5G场景下馈线终端通信的安全性和可靠性。

Description

一种5G馈线终端通信安全防护方法、装置及存储介质
技术领域
本发明属于馈线自动化技术领域,具体是涉及一种5G馈线终端通信安全防护方法、装置及存储介质。
背景技术
馈线自动化是一种重要的配电网故障自愈控制技术,通过检测故障、隔离故障、最后再恢复供电的方式来提升供电可靠性。目前智能分布式馈线自动化在农村和城郊等不便铺设光纤的区域的应用仍受到制约。5G通信具有高带宽、低时延和海量连接等特点,可以为馈线终端提供超低时延的通信网络保证。
然而,馈线自动化5G网络依然存在如下安全风险:随着接入的馈线终端增多且所处环境复杂,原先的物理隔离网络安全边界逐渐瓦解,“一次认证、始终信任”容易导致电力合法终端被利用,存在以合法终端作为跳板进入内网发起攻击的风险,使得馈线终端间的通信容易受到信号干扰、窃听等安全威胁,无法保证馈线自动化控制指令的正确转发。因此需要秉承“零信任”安全架构的设计理念,采用“一次一密”加密技术来保证通信的安全性。目前,对于馈线系统的加密技术主要采用固定密钥的加密方式,这种加密方式的密钥管理是一个非常重要且繁琐的过程;密钥需要由管理员进行生成、存储、分发、更新和销毁,且需要保证密钥的安全性;这个过程中,可能会发生密钥泄露、丢失或者被篡改等问题,导致通信安全受到威胁。
发明内容
为解决上述技术问题,本发明提供了一种5G馈线终端通信安全防护方法、装置及存储介质,在每次通信过程中,都会使用不同的密钥Ki进行加密,提高了通信的安全性;同时,由于密钥Ki是由加解密安全芯片自动生成的,无需人工干预,并且会话密钥Ki在使用后会立即销毁。这种自动化的密钥管理方式大大简化了密钥管理的过程,减少了人工干预的风险,提高了密钥的安全性和管理的便利性,从而简化了密钥管理的过程。
本发明所述的一种5G馈线终端通信安全防护方法,包括以下步骤:
S1、在馈线终端FTU内集成加解密安全芯片,通过预充注在加解密安全芯片内的密钥K1向安全服务移动引擎进行身份认证,安全服务移动引擎收到身份认证请求后进行双向身份认证;
S2、当馈线终端收到双向身份认证成功消息后,安全服务平台将向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥,包括安全服务平台生成新鲜秘钥Ko和向馈线终端分发一定数量的新鲜秘钥Ko;
S3、加解密安全芯片使用改进后基于Shamir的秘密共享算法将根秘钥Ko不断扩散出新的会话秘钥Ki;
S4、进行对等通信的馈线终端双方获得会话密钥Ki,使用会话密钥Ki进行一次加密通信,本次加密通信结束后,通信双方及时销毁会话密钥Ki。
进一步的,S1具体步骤为:
在馈线终端的加解密安全芯片中预充注一个密钥K1,馈线终端向安全服务移动引擎发送身份认证请求,所述身份认证请求包括以下信息:馈线终端的硬件ID、固件版本V、生产批次B,预充注密钥K1的密文;记安全服务移动引擎生成的随机数为R,生成的消息验证码为MC,短信验证码为SMS;安全服务移动引擎发送给FTU的加密随机数为Enc(R),双向身份认证成功的消息为MsgSUC;
则身份认证请求表示为:,其中/>表示对预充注密钥K1的加密;
安全服务移动引擎使用预共享密钥SK对预充注密钥K1进行解密,表示为:,并与馈线终端发送的硬件ID、固件版本V、生产批次B进行比对,以确保该馈线终端是合法的;
安全服务移动引擎生成一个随机数R并加密发送给馈线终端,加密后的随机数密文为,同时也发送一个短信验证码SMS给馈线终端;
馈线终端使用预充注密钥K1解密随机数R,表示为,然后使用该随机数R和其他信息生成一个消息验证码MC,表示为:/>,其中,Hash表示哈希函数,可以使用SHA-256等安全哈希算法;
安全服务移动引擎收到消息验证码MC后进行验证,确保该馈线终端是具有合法预充注密钥K1的合法设备,并返回一个双向身份认证成功的消息给馈线终端,表示为:
进一步的,S2中,安全服务平台将向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥,具体包括以下步骤:
S2-1、安全服务平台生成新鲜秘钥Ko的过程:
安全服务平台生成一个伪随机数(pseudo-random number)作为新鲜秘钥Ko的种子,表示为:,其中,r为伪随机数,PRNG为伪随机数生成器,Ks为作为种子的秘钥;
安全服务平台使用种子作为输入,通过加密哈希函数生成一个密钥派生函数KDF(key derivation function, KDF)的输入参数,即秘钥衍生参数KDP(key derivationparameter, KDP),表示为:,其中,H表示加密哈希函数。
安全服务平台使用KDP和一个预设的常数向量C作为输入,通过密钥派生函数KDF生成一个长度为n的新鲜秘钥Ko,表示为:,其中Ko为长度为n的新鲜秘钥;
安全服务平台将新鲜秘钥Ko存储在一个安全的数据库中,等待分发给馈线终端;
S2-2、安全服务平台向馈线终端分发新鲜秘钥Ko的过程:
安全服务平台向馈线终端发送一条消息msg,表示为,其中,/>表示新鲜秘钥Ko的密文,/>表示新鲜秘钥Ko的哈希值,/>表示时间戳,/>表示安全服务平台的签名;
馈线终端收到消息后,将新鲜秘钥Ko的密文和哈希值/>存储在本地,馈线终端使用预充注密钥K1对新鲜秘钥Ko的密文/>进行解密,表示为:,并检查新鲜秘钥Ko的哈希值/>是否与消息中的哈希值相等,即验证/>是否成立,以确保收到的新鲜秘钥Ko是安全服务平台发送的,并且未被篡改;
如果验证通过,馈线终端将新鲜秘钥Ko存储在本地,用于不断扩散出新的会话秘钥Ki。
进一步的,S3中,使用改进的基于Shamir的秘密共享算法来扩散根秘钥Ko,以产生新的会话秘钥Ki;具体包括以下步骤:
选择要生成的会话秘钥数量k和阈值t,其中;阈值t表示恢复会话秘钥所需的最小秘密份额数;在5G场景下,k代表终端之间的会话数量,t代表在终端间共享会话秘钥时所需要的最小终端数;
选择一个大质数p,用于生成公私钥对;选择一个比p小的随机数a作为加法器,使得a与p互质,保证每个秘密份额不同;选择一个比p小的随机数g作为生成元,用于生成秘密份额和公私钥对,使得g的阶为
选择一个大质数q,用于生成会话密钥,使得q是p-1的一个因子,且p和q均为质数;
选择一个随机数x,计算,其中,%表示取模运算,并将x作为私钥,h作为公钥,用于计算会话密钥;
将根秘钥Ko表示为一个整数,,其中/>为0到/>之间的整数,m为整数的位数;将根秘钥Ko拆分成m个子秘密/>,使得/>不为0;
对于每个要生成的第i个会话秘钥,选择一个随机数,计算/>,并将该值作为秘密份额/>,用于计算会话秘钥;
将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端;
在终端中,根据收到的秘密份额和公钥h,计算会话秘钥/>,其中/>表示上一个会话秘钥的扩散因子,即/>的k值;
如需生成更多的会话秘钥,则重复上述步骤。
进一步的,进行对等通信的馈线终端双方获得会话密钥Ki并使用Ki进行一次加密通信,具体步骤如下:
馈线终端1采用国密SM1对称加密算法,利用会话密钥Ki对明文M加密,生成密文C,并将密文C通过5G无线网络发送给馈线终端2;
馈线终端2接收到密文C后,使用会话密钥Ki对密文C进行解密,以得到原始明文M,完成了一次加密通信;
在通信结束后,馈线终端1和馈线终端2都将会话密钥Ki以及与会话密钥Ki相关的信息从内存中清除,以确保不会被恶意程序或攻击者窃取;
如有必要保留通信记录,将记录中的会话密钥Ki使用混合加密算法进行加密后再存储。
本发明还提供了一种5G馈线终端通信安全防护装置,包括:
加解密安全芯片,用于预充注密钥K1,通过密钥K1向安全服务移动引擎进行身份认证,通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki;
安全服务移动引擎,用于接收馈线终端的身份认证请求,发送身份认证成功消息给馈线终端;
安全服务平台,用于生成新鲜根秘钥Ko,并向馈线终端分发根秘钥Ko;
馈线终端FTU,用于接收安全服务分发的根秘钥Ko,使用会话密钥Ki进行一次加密通信,并在加密通信结束后及时销毁会话密钥Ki。
本发明还提供了一种计算机可读存储介质,其存储有计算机程序,其中,所述计算机可读存储介质所在设备执行所述计算机程序时,实现上述5G馈线终端通信安全防护方法。
本发明所述的有益效果为:
1)本发明所述方法通过在馈线终端内集成加解密安全芯片并进行身份认证,确保只有经过身份认证的合法终端可以进行通信,防止未经授权的终端进入网络,提高通信的安全性和可靠性;安全服务移动引擎进行双向身份认证,确保双向身份认证的安全性,确认通信双方的合法性,并向馈线终端分发新鲜密钥作为根密钥,为后续会话密钥的生成提供安全基础;
2)安全服务平台根据双向身份认证的结果向馈线终端分发新鲜秘钥Ko作为根秘钥。这个过程由安全服务平台自动完成,减少了人工分发密钥的工作量和潜在的错误;
3)本发明采用改进后基于Shamir的秘密共享算法将根秘钥Ko扩散为会话密钥Ki,提供了动态的加密密钥Ki,这种算法能够将根秘钥分散成多个秘密份额,并在终端之间共享这些份额来生成会话秘钥。相比于传统的固定密钥加密方式,本发明的算法提供了更高的安全性和抗攻击能力,其无需人工干预,消除了密钥生成过程中的人为错误和风险;
4)采用一次一密加密技术,每次通信都使用不同的会话密钥Ki进行加密,防止了密钥的重复使用,保护通信内容的机密性和完整性,防止信号干扰、窃听和恶意攻击等安全威胁,防止密钥被攻击或泄露后对其他通信会话产生影响,增强了通信的安全性;
5)使用会话密钥Ki进行一次加密通信,会话密钥Ki在每次通信结束后立即销毁,不再使用,这种自动销毁的方式确保了会话密钥的安全性,减少了人工管理密钥的复杂性和风险,避免密钥泄露和不必要的保留,进一步增加通信的安全性。
附图说明
图1是本发明提供的一种5G馈线终端通信安全防护方法的一个优选实施例的流程示意图;
图2是本发明提供的一种5G馈线终端通信安全防护装置的一个优选实施例的结构示意图;
图3是本发明提供的一种5G馈线终端通信安全防护方法的另一个优选实施例的流程示意图;
图4是本发明提供的一种5G馈线终端通信安全防护装置的另一个优选实施例的结构示意图。
具体实施方式
为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本发明作进一步详细的说明。
请参阅图1,图1是本发明提供的一种5G馈线终端通信安全防护方法的一个优选实施例的流程示意图。所述5G馈线终端通信安全防护方法,包括:
S1,在馈线终端FTU内集成加解密安全芯片,通过预充注在加解密安全芯片内的密钥K1向安全服务移动引擎进行身份认证,身份认证请求包括以下信息:馈线终端的硬件ID、固件版本、生产批次,预充注密钥K1的密文。安全服务移动引擎收到身份认证请求后进行双向身份认证;
S2,当馈线终端收到双向身份认证成功消息后,安全服务平台将向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥,包括安全服务平台生成新鲜秘钥Ko和向馈线终端分发一定数量的新鲜秘钥Ko;
S3,在馈线终端内集成的加解密安全芯片通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki,使用改进后基于Shamir的秘密共享算法来扩散根秘钥Ko,以产生新的会话秘钥Ki;
S4,馈线终端1和馈线终端2获得会话密钥Ki,使用会话密钥Ki进行一次加密通信,本次加密通信结束后,馈线终端1和馈线终端2及时销毁会话密钥Ki。
具体的,本发明实施例在馈线终端FTU内集成加解密安全芯片,通过预充注在加解密安全芯片内的密钥K1向安全服务移动引擎进行身份认证,身份认证请求包括以下信息:馈线终端的硬件ID、固件版本、生产批次,预充注密钥K1的密文。安全服务移动引擎收到身份认证请求后进行双向身份认证;当馈线终端收到双向身份认证成功消息后,安全服务平台将向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥,包括安全服务平台生成新鲜秘钥Ko和向馈线终端分发一定数量的新鲜秘钥Ko;在馈线终端内集成的加解密安全芯片通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki,使用改进后基于Shamir的秘密共享算法来扩散根秘钥Ko,以产生新的会话秘钥Ki;馈线终端1和馈线终端2获得会话密钥Ki,使用会话密钥Ki进行一次加密通信,本次加密通信结束后,馈线终端1和馈线终端2及时销毁会话密钥Ki。
本实施例具有自动生成密钥、简化密钥管理过程、提高通信安全性的优点,能够解决现有5G场景下馈线自动化终端间对等通信容易受到干扰、窃听等风险问题,从而提升5G场景下馈线终端通信的安全性和可靠性。
在另一个优选实施例中,所述方法还包括:
在馈线终端的加解密安全芯片中预充注一个密钥K1,馈线终端向安全服务移动引擎发送身份认证请求,所述身份认证请求包括以下信息:馈线终端的硬件ID、固件版本V、生产批次B,预充注密钥K1的密文。记安全服务移动引擎生成的随机数为R,生成的消息验证码为MC,短信验证码为SMS;安全服务移动引擎发送给FTU的加密随机数为Enc(R),双向身份认证成功的消息为MsgSUC;
则身份认证请求可以表示为:,其中表示对预充注密钥K1的加密。
安全服务移动引擎使用预共享密钥SK对预充注密钥K1进行解密,表示为:,并与馈线终端发送的硬件ID、固件版本、生产批次等信息进行比对,以确保该馈线终端是合法的。
安全服务移动引擎生成一个随机数R并加密发送给馈线终端,加密后的随机数密文为Enc(R),同时也发送一个短信验证码SMS给馈线终端。
馈线终端使用预充注密钥K1解密随机数R,表示为,然后使用该随机数R和其他信息生成一个消息验证码MC,表示为:/>,其中,Hash表示哈希函数,可以使用SHA-256等安全哈希算法。
安全服务移动引擎收到消息验证码MC后进行验证,确保该馈线终端是具有合法预充注密钥K1的合法设备,并返回一个双向身份认证成功的消息给馈线终端,表示为:
在又一个优选实施例中,所述安全服务平台将向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥,具体包括:
安全服务平台生成新鲜秘钥Ko的过程:
安全服务平台生成一个伪随机数(pseudo-random number)作为新鲜秘钥Ko的种子。表示为:,其中,r为伪随机数,PRNG为伪随机数生成器,Ks为作为种子的秘钥;
安全服务平台使用种子作为输入,通过加密哈希函数生成一个密钥派生函数(keyderivation function, KDF)的输入参数,即秘钥衍生参数(key derivation parameter,KDP);表示为:,其中,H表示加密哈希函数;
安全服务平台使用KDP和一个预设的常数向量C作为输入,通过密钥派生函数生成一个长度为n的新鲜秘钥Ko;表示为:,其中Ko为长度为n的新鲜秘钥;
安全服务平台将新鲜秘钥Ko存储在一个安全的数据库中,等待分发给馈线终端。
安全服务平台向馈线终端分发新鲜秘钥Ko的过程:
安全服务平台向馈线终端发送一条消息msg,该消息包含新鲜秘钥Ko的密文、新鲜秘钥Ko的哈希值、时间戳、安全服务平台的签名等信息。表示为,其中,/>表示新鲜秘钥Ko的密文,/>表示新鲜秘钥Ko的密文,/>表示时间戳,/>表示安全服务平台的签名;
馈线终端收到消息后,将新鲜秘钥Ko的密文和哈希值/>存储在本地,馈线终端使用预充注密钥K1对新鲜秘钥Ko的密文/>进行解密,表示为:,并检查新鲜秘钥Ko的哈希值/>是否与消息中的哈希值相等,即验证/>是否成立,以确保收到的新鲜秘钥Ko是安全服务平台发送的,并且未被篡改;
如果验证通过,馈线终端将新鲜秘钥Ko存储在本地,用于不断扩散出新的会话秘钥Ki。
在又一个优选实施例中,使用改进的基于Shamir的秘密共享算法来扩散根秘钥Ko,以产生新的会话秘钥Ki,具体实现过程如下:
选择要生成的会话秘钥数量k和阈值t,其中;阈值t表示恢复会话秘钥所需的最小秘密份额数;在5G场景下,k代表终端之间的会话数量,t代表在终端间共享会话秘钥时所需要的最小终端数;设要生成的会话秘钥数量/>,阈值/>
选择一个大质数,用于生成公私钥对,选择一个比p小的随机数a作为加法器,使得a与p互质,保证每个秘密份额不同,选择随机数/>;选择一个比p小的随机数/>作为生成元,用于生成秘密份额和公私钥对;
选择一个大质数,用于生成会话密钥,q是/>的一个因子,且p和q均为质数;
选择一个随机数,计算/>,其中,%表示取模运算,并将/>作为私钥,/>作为公钥,用于计算会话密钥;
将根秘钥拆分成3个子秘密/>,/>,/>
对于每个要生成的第i个会话秘钥,选择一个随机数,计算/>,并将该值作为秘密份额/>,用于计算会话秘钥;
选择,/>,/>,分别计算:
将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端。
在终端中,根据收到的秘密份额和公钥h,计算会话秘钥/>,其中/>表示上一个会话秘钥的扩散因子,即/>的k值。
计算会话秘钥K1:
计算会话秘钥K2:
计算会话秘钥K3:
在又一个优选实施例中,所述馈线终端1和馈线终端2获得会话密钥Ki并使用Ki进行一次加密通信,具体包括:
馈线终端1需要将明文M加密,并将密文C发送给馈线终端2。加密过程使用国密SM1对称加密算法实现;
馈线终端1使用会话密钥Ki对明文M进行加密。SM1算法的输入参数包括明文M和会话密钥Ki,输出为密文C;
馈线终端1通过5G无线网络将密文C发送给馈线终端2;
馈线终端2接收到密文C后,需要使用会话密钥Ki对密文进行解密,以得到原始明文M;
馈线终端2使用会话密钥Ki对密文C进行解密;SM1算法的输入参数包括密文C和会话密钥Ki,输出为明文M;
馈线终端2得到原始明文M后,完成了一次加密通信。
为实现“一次一密”的目的,需要在通信结束后及时销毁会话密钥Ki。具体过程如下:
在通信结束后,馈线终端1和馈线终端2都将会话密钥Ki以及与会话密钥Ki相关的信息从内存中清除,以确保不会被恶意程序或攻击者窃取;
如有必要保留通信记录,可以将记录中的会话密钥Ki使用混合加密算法进行加密后再存储;即使用非对称加密算法(如RSA)的公钥加密会话密钥Ki,得到加密后的Ki,使用对称加密算法(如AES)的密钥,对已加密的Ki进行加密,得到最终的加密会话密钥。这样可以结合了非对称加密算法的安全性和对称加密算法的效率,确保通信结束后的会话密钥Ki在存储时得到适当的保护。
本发明实施例通过在馈线终端FTU内集成加解密安全芯片,通过预充注在加解密安全芯片内的密钥K1向安全服务移动引擎进行身份认证;身份认证成功后,安全服务平台向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥;在馈线终端内集成的加解密安全芯片通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki;馈线终端1和馈线终端2获得会话密钥Ki,使用Ki进行一次加密通信。能够解决现有5G场景下馈线自动化终端间对等通信容易受到干扰、窃听等风险问题,从而提升5G场景下馈线终端通信的安全性和可靠性。
相应地,本发明还提供一种5G馈线终端通信安全防护装置,能够实现上述实施例中的一种5G馈线终端通信安全防护方法的所有流程。
请参阅图2,图2是本发明提供的一种5G馈线终端通信安全防护装置的一个优选实施例的结构示意图。所述一种5G馈线终端通信安全防护装置,包括:
加解密安全芯片,用于预充注密钥K1,通过密钥K1向安全服务移动引擎进行身份认证,通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki;
安全服务移动引擎,用于接收馈线终端的身份认证请求,发送身份认证成功消息给馈线终端;
安全服务平台,用于生成新鲜根秘钥Ko,并向馈线终端分发根秘钥Ko;
馈线终端FTU,用于接收安全服务分发的根秘钥Ko,使用会话密钥Ki进行一次加密通信,并在加密通信结束后及时销毁会话密钥Ki。
请参阅图3,图3是本发明提供的一种5G馈线终端通信安全防护方法的一个优选实施例的流程示意图。所述5G馈线终端通信安全防护方法,包括:
S1、选择要生成的会话秘钥数量k和阈值t,其中。阈值t表示恢复会话秘钥所需的最小秘密份额数。在5G场景下,k代表终端之间的会话数量,t代表在终端间共享会话秘钥时所需要的最小终端数;
S2、选择一个大质数p,用于生成公私钥对,选择一个比p小的随机数a作为加法器,使得a与p互质,保证每个秘密份额不同。选择一个比p小的随机数g作为生成元,用于生成秘密份额和公私钥对,使得g的阶为
S3、选择一个大质数q,用于生成会话密钥,使得q是的一个因子,且p和q均为质数;
S4、选择一个随机数x,计算,其中,%表示取模运算,并将x作为私钥,h作为公钥,用于计算会话密钥;
S5、将根秘钥Ko表示为一个整数,,其中/>为0到p-1之间的整数,m为整数的位数。将根秘钥Ko拆分成m个子秘密/>使得/>不为0;
S6、对于每个要生成的第i个会话秘钥,选择一个随机数,计算/>,并将该值作为秘密份额/>,用于计算会话秘钥;
S7,将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端;
S8,在终端中,根据收到的秘密份额和公钥h,计算会话秘钥/>,其中/>表示上一个会话秘钥的扩散因子,即/>的k值。
如需生成更多的会话秘钥,则重复上述步骤S6~S8。
请参阅图4,图4是本发明提供的一种5G馈线终端通信安全防护装置的另一个优选实施例的结构示意图。所述一种5G馈线终端通信安全防护装置包括处理器301、存储器302以及存储在所述存储器302中且被配置为由所述处理器301执行的计算机程序,所述处理器301执行所述计算机程序时实现上述任一实施例所述的5G馈线终端通信安全防护方法。
优选地,所述计算机程序可以被分割成一个或多个模块/单元(如计算机程序1、计算机程序2、……),所述一个或者多个模块/单元被存储在所述存储器302中,并由所述处理器301执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述5G馈线终端通信安全防护装置中的执行过程。
所述处理器301可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,通用处理器可以是微处理器,或者所述处理器301也可以是任何常规的处理器,所述处理器301是所述5G馈线终端通信安全防护装置的控制中心,利用各种接口和线路连接所述5G馈线终端通信安全防护装置的各个部分。
所述存储器302主要包括程序存储区和数据存储区,其中,程序存储区可存储操作系统、至少一个功能所需的应用程序等,数据存储区可存储相关数据等。此外,所述存储器302可以是高速随机存取存储器,还可以是非易失性存储器,例如插接式硬盘,智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡和闪存卡(Flash Card)等,或所述存储器302也可以是其他易失性固态存储器件。
需要说明的是,上述5G馈线终端通信安全防护装置可包括,但不仅限于,处理器、存储器,本领域技术人员可以理解,图4的结构示意图仅仅是上述5G馈线终端通信安全防护装置的示例,并不构成对上述5G馈线终端通信安全防护装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任一实施例所述的5G馈线终端通信安全防护方法。
本发明与现有的固定密钥加密方式相比,采用每次通信过程中使用不同的会话密钥Ki进行加密的方法,确保了每次通信的独特性,即使密钥泄露或被攻击,也只会影响单个通信会话,而不会对其他会话产生影响,提高了通信的安全性,有效防止了密钥重复使用和长期存储带来的潜在风险。本发明在馈线终端内集成了加解密安全芯片,并通过自动生成的密钥K1进行身份认证,相比于传统的密钥管理方式,大大简化了密钥管理的过程,减少了人工干预的风险;自动生成密钥和自动化的密钥管理使得密钥的生成、分发、更新和销毁变得更加便捷,提高了密钥管理的效率和安全性;本发明采用了"零信任"安全架构设计,每次通信使用不同的会话密钥Ki进行加密,并在通信结束后及时销毁会话密钥Ki,这种安全架构设计有效解决了通信受到干扰、窃听和恶意攻击等问题,提升了5G场景下馈线终端通信的安全性和可靠性。
需说明的是,以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的系统实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的优选方案,并非作为对本发明的进一步限定,凡是利用本发明说明书及附图内容所作的各种等效变化均在本发明的保护范围之内。

Claims (6)

1.一种5G馈线终端通信安全防护方法,其特征在于,包括以下步骤:
S1、在馈线终端FTU内集成加解密安全芯片,通过预充注在加解密安全芯片内的密钥K1向安全服务移动引擎进行身份认证,安全服务移动引擎收到身份认证请求后进行双向身份认证;具体为:
在馈线终端的加解密安全芯片中预充注一个密钥K1,馈线终端向安全服务移动引擎发送身份认证请求,所述身份认证请求包括以下信息:馈线终端的硬件ID、固件版本V、生产批次B,预充注密钥K1的密文;记安全服务移动引擎生成的随机数为R,生成的消息验证码为MC,短信验证码为SMS;安全服务移动引擎发送给FTU的加密随机数为Enc(R),双向身份认证成功的消息为MsgSUC;
则身份认证请求表示为:,其中/>表示对预充注密钥K1的加密;
安全服务移动引擎使用预共享密钥SK对预充注密钥K1进行解密,表示为:,并与馈线终端发送的硬件ID、固件版本V、生产批次B进行比对,以确保该馈线终端是合法的;
安全服务移动引擎生成一个随机数R并加密发送给馈线终端,加密后的随机数密文为,同时也发送一个短信验证码SMS给馈线终端;
馈线终端使用预充注密钥K1解密随机数R,表示为,然后使用该随机数R和其他信息生成一个消息验证码MC,表示为:/>,其中,Hash表示哈希函数;
安全服务移动引擎收到消息验证码MC后进行验证,确保该馈线终端是具有合法预充注密钥K1的合法设备,并返回一个双向身份认证成功的消息给馈线终端,表示为:
S2、当馈线终端收到双向身份认证成功消息后,安全服务平台将向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥;
S3、加解密安全芯片使用改进后基于Shamir的秘密共享算法将根秘钥Ko不断扩散出新的会话秘钥Ki;
S4、进行对等通信的馈线终端双方获得会话密钥Ki,使用会话密钥Ki进行一次加密通信,本次加密通信结束后,通信双方及时销毁会话密钥Ki。
2.如权利要求1所述的一种5G馈线终端通信安全防护方法,其特征在于,S2中,安全服务平台将向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥,具体包括以下步骤:
S2-1、安全服务平台生成新鲜秘钥Ko的过程:
安全服务平台生成一个伪随机数作为新鲜秘钥Ko的种子,表示为:,其中,r为伪随机数,PRNG为伪随机数生成器,Ks为作为种子的秘钥;
安全服务平台使用种子作为输入,通过加密哈希函数生成一个密钥派生函数KDF的输入参数,即秘钥衍生参数KDP,表示为:,其中,H表示加密哈希函数;
安全服务平台使用KDP和一个预设的常数向量C作为输入,通过密钥派生函数KDF生成一个长度为n的新鲜秘钥Ko,表示为:,其中Ko为长度为n的新鲜秘钥;
安全服务平台将新鲜秘钥Ko存储在一个安全的数据库中,等待分发给馈线终端;
S2-2、安全服务平台向馈线终端分发新鲜秘钥Ko的过程:
安全服务平台向馈线终端发送一条消息msg,表示为,其中,表示新鲜秘钥Ko的密文,/>表示新鲜秘钥Ko的哈希值,/>表示时间戳,/>表示安全服务平台的签名;
馈线终端收到消息后,将新鲜秘钥Ko的密文和哈希值/>存储在本地,馈线终端使用预充注密钥K1对新鲜秘钥Ko的密文/>进行解密,表示为:/>,并检查新鲜秘钥Ko的哈希值/>是否与消息中的哈希值相等,即验证/>是否成立,以确保收到的新鲜秘钥Ko是安全服务平台发送的,并且未被篡改;
如果验证通过,馈线终端将新鲜秘钥Ko存储在本地,用于不断扩散出新的会话秘钥Ki。
3.如权利要求2所述的5G馈线终端通信安全防护方法,其特征在于,S3中,使用改进的基于Shamir的秘密共享算法来扩散根秘钥Ko,以产生新的会话秘钥Ki;具体包括以下步骤:
选择要生成的会话秘钥数量k和阈值t,其中;k代表终端之间的会话数量,t代表在终端间共享会话秘钥时所需要的最小终端数;
选择一个大质数p,用于生成公私钥对;选择一个比p小的随机数a作为加法器,使得a与p互质,保证每个秘密份额不同;选择一个比p小的随机数g作为生成元,用于生成秘密份额和公私钥对,使得g的阶为p-1;
选择一个大质数q,用于生成会话密钥,使得q是p-1的一个因子,且p和q均为质数;
选择一个随机数x,计算,其中,/>表示取模运算,并将x作为私钥,h作为公钥;
将根秘钥Ko表示为一个整数,,其中/>为0到p-1之间的整数,m为整数的位数;将根秘钥Ko拆分成m个子秘密/>, />, ..., />,使得/>不为0;
对于每个要生成的第i个会话秘钥,选择一个随机数,计算/>,并将/> 作为秘密份额/>
将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端;
在终端中,根据收到的秘密份额和公钥h,计算会话秘钥/>,其中表示上一个会话秘钥的扩散因子,即/>的k值;
如需生成更多的会话秘钥,则重复上述步骤。
4.如权利要求3所述的5G馈线终端通信安全防护方法,其特征在于,进行对等通信的馈线终端双方获得会话密钥Ki并使用Ki进行一次加密通信,具体步骤如下:
第一馈线终端采用国密SM1对称加密算法,利用会话密钥Ki对明文M加密,生成密文C,并将密文C通过5G无线网络发送给第二馈线终端;
第二馈线终端接收到密文C后,使用会话密钥Ki对密文C进行解密,以得到原始明文M,完成了一次加密通信;
在通信结束后,第一馈线终端和第二馈线终端都将会话密钥Ki以及与会话密钥Ki相关的信息从内存中清除;
如有必要保留通信记录,将记录中的会话密钥Ki使用混合加密算法进行加密后再存储。
5.一种5G馈线终端通信安全防护装置,其特征在于,基于权利要求1-4任一项所述的方法,包括:
加解密安全芯片,用于预充注密钥K1,通过密钥K1向安全服务移动引擎进行身份认证,通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki;
安全服务移动引擎,用于接收馈线终端的身份认证请求,发送身份认证成功消息给馈线终端;
安全服务平台,用于生成新鲜根秘钥Ko,并向馈线终端分发根秘钥Ko;
馈线终端FTU,用于接收安全服务分发的根秘钥Ko,使用会话密钥Ki进行一次加密通信,并在加密通信结束后及时销毁会话密钥Ki。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,其中,所述计算机可读存储介质所在设备执行所述计算机程序时,实现如权利要求1至4中任意一项所述的5G馈线终端通信安全防护方法。
CN202310837693.9A 2023-07-10 2023-07-10 一种5g馈线终端通信安全防护方法、装置及存储介质 Active CN116567624B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310837693.9A CN116567624B (zh) 2023-07-10 2023-07-10 一种5g馈线终端通信安全防护方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310837693.9A CN116567624B (zh) 2023-07-10 2023-07-10 一种5g馈线终端通信安全防护方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN116567624A CN116567624A (zh) 2023-08-08
CN116567624B true CN116567624B (zh) 2023-09-29

Family

ID=87496887

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310837693.9A Active CN116567624B (zh) 2023-07-10 2023-07-10 一种5g馈线终端通信安全防护方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN116567624B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117475536B (zh) * 2023-09-29 2024-07-12 国网江苏省电力有限公司宿迁供电分公司 一种用于电气柜门的无源无线智能锁具系统及开锁方法
CN117579276B (zh) * 2024-01-16 2024-03-29 浙江国盾量子电力科技有限公司 用于馈线终端的量子加密方法及量子板卡模组

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107172645A (zh) * 2017-06-01 2017-09-15 国网浙江省电力公司嘉兴供电公司 一种电力td‑lte 230主副配置双核心网通信系统
CN111264044A (zh) * 2018-10-09 2020-06-09 华为技术有限公司 芯片、生成私钥的方法和可信证明的方法
CN114513786A (zh) * 2022-04-19 2022-05-17 国网天津市电力公司电力科学研究院 基于零信任的5g馈线自动化访问控制方法、装置及介质
CN115696319A (zh) * 2021-07-27 2023-02-03 华为技术有限公司 一种通信方法及装置
CN115802357A (zh) * 2023-02-08 2023-03-14 国网天津市电力公司电力科学研究院 一种5g配电网馈线自动化控制方法、装置及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113872763B (zh) * 2021-09-07 2024-10-01 杭州师范大学 一种基于无线体域网络的隐私保护认证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107172645A (zh) * 2017-06-01 2017-09-15 国网浙江省电力公司嘉兴供电公司 一种电力td‑lte 230主副配置双核心网通信系统
CN111264044A (zh) * 2018-10-09 2020-06-09 华为技术有限公司 芯片、生成私钥的方法和可信证明的方法
CN115696319A (zh) * 2021-07-27 2023-02-03 华为技术有限公司 一种通信方法及装置
CN114513786A (zh) * 2022-04-19 2022-05-17 国网天津市电力公司电力科学研究院 基于零信任的5g馈线自动化访问控制方法、装置及介质
CN115802357A (zh) * 2023-02-08 2023-03-14 国网天津市电力公司电力科学研究院 一种5g配电网馈线自动化控制方法、装置及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"S3-161002_PCR_User Plane Security Protection".3GPP tsg_sa\WG3_Security.2016,全文. *
"S3-161033_pCR_Service Layer Security Bootstrapping Mechanism for IoT Devices_v4".3GPP tsg_sa\WG3_Security.2016,全文. *
集中控制模式的馈线自动化系统密钥管理研究;孙中伟;郭庆瑞;;电力系统通信(11);全文 *

Also Published As

Publication number Publication date
CN116567624A (zh) 2023-08-08

Similar Documents

Publication Publication Date Title
CA3041664C (en) Data transmission method, apparatus and system
CN110855671B (zh) 一种可信计算方法和系统
CN116567624B (zh) 一种5g馈线终端通信安全防护方法、装置及存储介质
CN111275202A (zh) 一种面向数据隐私保护的机器学习预测方法及系统
US20210143986A1 (en) Method for securely sharing data under certain conditions on a distributed ledger
JP2023500570A (ja) コールドウォレットを用いたデジタルシグニチャ生成
CN108768633A (zh) 实现区块链中信息共享的方法及装置
CN109800588B (zh) 条码动态加密方法及装置、条码动态解密方法及装置
JP2020532177A (ja) データの高度なセキュリティ、高速暗号化および、伝送のためのコンピュータ実装システムおよび方法
CN116132043B (zh) 会话密钥协商方法、装置及设备
CN114765543B (zh) 一种量子密码网络扩展设备的加密通信方法及系统
WO2023151427A1 (zh) 量子密钥传输方法、装置及系统
CN116132025A (zh) 一种基于预置密钥组的密钥协商方法、装置和通信系统
CN113408013A (zh) 多种算法规则混合的加解密芯片构架
CN118540164A (zh) 互联网密钥交换协议的抗量子安全增强方法
CN118540163A (zh) 国密ssl vpn协议的抗量子安全增强方法
CN118555133A (zh) 传输层安全协议的抗量子安全增强方法
CN118540165A (zh) 国密IPSec VPN协议的抗量子安全增强方法
CN114338005A (zh) 一种数据传输加密方法、装置、电子设备及存储介质
WO2020042023A1 (zh) 一种即时通信的数据加密方法及装置
CN113645235A (zh) 分布式数据加解密系统及加解密方法
CN113326518A (zh) 一种数据处理方法及装置
Yoon et al. Security enhancement scheme for mobile device using H/W cryptographic module
CN113422753B (zh) 数据处理方法、装置、电子设备及计算机存储介质
CN117254911B (zh) 一种基于秘密分享的多方安全计算处理方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240403

Address after: Building 1, Juhuiyuan, No. 108 Xuanwu Avenue, Xuanwu District, Nanjing City, Jiangsu Province, 210042

Patentee after: Nanjing Wanxin Donglian Intelligent Technology Co.,Ltd.

Country or region after: China

Address before: 210023 No.9, Wenyuan Road, Yadong new town, Qixia District, Nanjing City, Jiangsu Province

Patentee before: NANJING University OF POSTS AND TELECOMMUNICATIONS

Country or region before: China