CN108494722A - 智能变电站通信报文完整性保护方法 - Google Patents
智能变电站通信报文完整性保护方法 Download PDFInfo
- Publication number
- CN108494722A CN108494722A CN201810063764.3A CN201810063764A CN108494722A CN 108494722 A CN108494722 A CN 108494722A CN 201810063764 A CN201810063764 A CN 201810063764A CN 108494722 A CN108494722 A CN 108494722A
- Authority
- CN
- China
- Prior art keywords
- key
- message
- hmac
- intelligent substation
- intelligent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
本发明公开了一种智能变电站通信报文完整性保护方法。目前采用的HMAC过程是固定密钥的模式,短期内是安全的,但是长期来看,密钥被破解的风险较高,若密钥被破解将直接影响通信安全。本发明将基于协商的密钥更新机制应用于HMAC过程中,实现智能变电站报文的完整性认证与身份认证,提高电力***信息安全程度;本发明在发送的报文末端附加次数标志位N,递增到N=k时进行密钥的更新,将新的序列与初始密钥进行异或运算,从而不断产生新的密钥,并且对密钥更新的同步性进行验证。
Description
技术领域
本发明属于智能变电站信息安全领域,具体涉及应用基于协商的密钥更新机制实现智能变电站报文的HMAC过程,进行信息安全的加固方法。
背景技术
随着国家对于智能电网的大力支持,信息网络在电力***中的应用比重也在不断增加。计算机与网络给电力***带来便捷的同时,也产生了信息安全的问题,对电力***的运行造成不少的隐患。智能变电站是智能电网中至关重要的节点,其作用是电压转换、电能分配、输配电的控制以及管理等。智能变电站的安全可靠运行是整个电力***稳定运行的保证,对供电可靠性具有重要的意义。智能变电站内各种电子设备被广泛应用,数字化信息在网络传输过程中,也面临着被监听、修改的风险。智能化变电站的信息安全问题已经日益成为国内外的关注焦点。因此进行智能变电站的信息安全加固,对于电力***的安全稳定运行具有重要的意义。
HMAC运算可以用于智能变电站信息完整性的校验。将HMAC摘要值附加在消息后一起发送,在接收端通过HMAC值的比较验证消息在传输过程中是否被修改。但是目前智能变电站中采用的HMAC过程是固定密钥的模式,短期内是安全的,但是长期来看,密钥被破解的风险较高,若密钥被破解将直接影响通信安全。
发明内容
为了改善智能变电站中传统固定密钥的信息安全加固措施安全强度不足的缺陷,本发明提供一种采用密钥更新机制的智能变电站通信报文完整性保护方法,可以有效降低密钥被破解的风险,以提高智能变电站通信安全强度。
本发明采用如下的技术方案:智能变电站通信报文完整性保护方法,其将基于协商的密钥更新机制应用于HMAC运算过程中,实现智能变电站信息的完整性保护与身份认证,提高电力***信息安全程度;并且增加次数标志位N于发送端的消息末端,结合智能变电站特点,实现动态密钥的同步更新,并在密钥更新后进行密钥同步性的验证。
相比于传统的固定密钥方式,动态密钥方法可以显著降低密钥被破解的风险,有效提升安全性。
作为上述技术方案的补充,采用基于协商的密钥更新机制的智能变电站报文HMAC过程包括:
步骤1),将初始密钥预先设置于各个变电站智能电子设备,对进行通信的两个设备,每隔k次通信传输,动态同步生成与初始密钥等长的有效序列,将新的序列与初始密钥进行异或运算,从而不断产生新的密钥;
步骤2),发送端运用当前更新的密钥对智能变电站原始报文进行HMAC运算,生成HMAC摘要值H1;
步骤3),接收端设备收到报文后,对几部分内容进行提取,然后运用更新的密钥也进行HMAC运算,得到HMAC摘要值H2,与接收到的HMAC摘要值H1进行比较;若相等,则信息安全验证通过,既验证了发送者身份,也说明报文消息在传输过程中没有被修改;若不相等,则信息安全验证不通过,则说明报文消息在传输过程可能被修改。
采用动态密钥的方式,每隔k次通信进行一次密钥的更新,可以有效降低密钥被破解的风险,提高智能变电站的信息安全程度。
作为上述技术方案的进一步补充,步骤2)中,原始报文、HMAC摘要值H1和次数标志位N依次相连构成扩展后的消息,然后进行传输通信。
作为上述技术方案的补充,所述的密钥更新过程如下:在发送的报文末端附加次数标志位N,其初始值为0,发送端设备每发送一次报文,N增加1,递增到N=k时进行发送端密钥的更新,并且将N值置0,开始下一次计数过程,其中k为固定值,预先配置于设备中;接收端设备收到报文后将次数标志位N提取出来,将N与k比较,当N=k时,同步更新接收端设备的密钥,从而实现每隔k次通信后,进行密钥的同步更新过程。
作为上述技术方案的补充,所述密钥更新同步性验证的过程如下:密钥更新后,发送端设备生成一段伴随字符串D1,用更新后的密钥对伴随字符串D1进行Hash运算,将生成的摘要验证码M1附加在伴随字符串D1后传输到发送端设备,发送端设备也运用其更新后的密钥对伴随字符串D1进行Hash运算,生成摘要验证码M2;对比M1与M2,若相同,则说明发送端与接收端设备的密钥已经同步更新;若不相同,则说明密钥更新未同步,将仍采用上一组密钥,并重新进行密钥的更新,直至同步性验证通过,采用新密钥组。
本发明具有如下的有益效果:(1)采用密钥更新机制有利于降低密钥破解的风险,并且密钥每隔k次通信更新一次,提高了智能变电站信息安全程度。(2)基于密钥更新机制的HMAC过程可以实现智能变电站报文的完整性验证与身份验证,通过HMAC值的比较检验报文在传输过程中是否被修改。(3)在发送端加入次数标志位N,随着通信次数递增,与预设值k进行比较,实现每个k次通信进行一次密钥更新的模式。通过次数标志位N可以实现发送端与接收端设备密钥更新的同步性,同时可以在接收端设备判断是否存在报文遗失以及顺序错误等问题。
附图说明
图1为本发明实施例中报文完整性保护方法的流程图;
图2为本发明实施例中HMAC算法流程图;
图3为本发明实施例中发送端设备密钥的更新流程图;
图4为本发明实施例中接收端设备密钥的更新流程图;
图5为本发明实施例中新密钥更新同步的验证过程示意图。
具体实施方式
下面结合说明书附图和具体实施方式对本发明作更进一步的说明。
本发明为一种智能变电站通信报文完整性保护方法,其包括如下内容:
1、HMAC流程
在网络通信环境中,除了要防止消息被泄漏,还要避免消息在传送的过程中被第三方修改,包括:消息***、内容修改、顺序修改和计时修改即对消息的延时和重放。可以采用HMAC消息认证的方式来抵抗这几种攻击。
HMAC是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥以及一个消息为输入,生成一个消息摘要作为输出。
HMAC算法描述如下:
其中:text表示一个消息输入,H表示所使用的Hash算法,K为密钥,K0为对K进行填充扩展字长为length的密钥,ipad为0x36重复length/8次,opad为0x5C重复length/8次。
HMAC算法的流程如图2所示,具体过程为:
(1)对密钥K进行填充扩展,在密钥K后面填充0,形成一个字长为length的密钥K0。
(2)对密钥K0与ipad进行异或运算,形成字符串String1。
(3)将输入的消息text附于String1之后,形成字符串String2。
(4)对字符串String2进行Hash运算,形成过程Hash摘要值Value。
(5)然后对密钥K0与opad进行异或运算,形成字符串String3。
(6)将过程Hash摘要值Value与String3连接,形成字符串String4。
(7)对String4进行Hash运算,输出最终HMAC值。
2、使用HMAC进行智能变电站报文安全验证的流程
采用基于动态密钥的HMAC进行智能变电站报文安全验证的具体流程如图1所示,将初始密钥预先设置于各个变电站智能电子设备,对进行通信的两个设备,每隔k次通信传输,动态同步生成与初始密钥等长的有效序列,将新的序列与初始密钥进行异或运算,从而不断产生新的密钥,应用于HMAC过程中。
发送端运用当前更新的密钥对智能变电站原始报文进行HMAC运算,生成HMAC摘要值H1。原始报文、HMAC摘要值H1、次数标志位N依次相连构成扩展后的消息,然后进行传输通信。
接收端设备收到报文后,对几部分内容进行提取,然后运用更新的密钥也进行HMAC运算,得到HMAC摘要值H2,与接收到的HMAC摘要值H1进行比较。若相等,则信息安全验证通过,说明报文在传输中未被修改。若不相等,则信息安全验证不通过,说明报文可能已被修改。
3、密钥的更新与同步过程
设备的初始化密钥预先设置于智能变电站通信设备中,发送端设备密钥更新与同步过程如图3所示,发送端设备的次数标志位N初始值为0,每发送一次报文消息,N值增加1,当N增加到k时,进行密钥的更新,并且将N值置0,开始下一次计数过程。密钥的更新过程是生成一串新的有效序列,与初始密钥等长,并与初始密钥进行异或运算,形成新的密钥。接收端设备的密钥更新过程如图4所示,原始报文、HMAC摘要字段H1、次数标志位N依次相连构成扩展后的消息进行传输通信,接收端设备对收到的次数标志位N与k比较,实现每隔k次通信,进行一次密钥的同步更新过程。
智能变电站设备密钥更新后,进行密钥同步性的验证过程,如图5所示。发送端设备(即图5中的设备A)生成一段伴随字符串D1,用更新后的密钥对伴随字符串D1进行Hash运算,Hash算法采用MD5算法,将生成的摘要验证码M1附加在伴随字符串D1后传输到接收端设备(即图5中的设备B),接收端设备也运用其更新后的密钥对伴随字符串D1进行Hash运算,生成摘要验证码M2。对比M1与M2,若相同,则说明发送端与接收端设备的密钥已经同步更新;若不相同,则说明密钥更新未同步,将仍采用上一组密钥,并重新进行密钥的更新,直至同步性验证通过,采用新密钥组。
要注意的是,以上列举的仅为本发明的具体实施例,显然本发明不限于以上实施例,随之有着许多的类似变化。本领域的技术人员如果从本发明公开的内容直接导出或联想到的所有变形,均应属于本发明的保护范围。
Claims (5)
1.智能变电站通信报文完整性保护方法,其特征在于,将基于协商的密钥更新机制应用于HMAC运算过程中,实现智能变电站信息的完整性保护与身份认证;并且增加次数标志位N于发送端的消息末端,结合智能变电站特点,实现动态密钥的同步更新,并在密钥更新后进行密钥同步性的验证。
2.根据权利要求1所述的智能变电站通信报文完整性保护方法,其特征在于,采用基于协商的密钥更新机制的智能变电站报文HMAC过程包括:
步骤1),将初始密钥预先设置于各个变电站智能电子设备,对进行通信的两个设备,每隔k次通信传输,动态同步生成与初始密钥等长的有效序列,将新的序列与初始密钥进行异或运算,从而不断产生新的密钥;
步骤2),发送端运用当前更新的密钥对智能变电站原始报文进行HMAC运算,生成HMAC摘要值H1;
步骤3),接收端设备收到报文后,对几部分内容进行提取,然后运用更新的密钥也进行HMAC运算,得到HMAC摘要值H2,与接收到的HMAC摘要值H1进行比较;若相等,则信息安全验证通过;若不相等,则信息安全验证不通过。
3.根据权利要求2所述的智能变电站通信报文完整性保护方法,其特征在于,步骤2)中,原始报文、HMAC摘要值H1和次数标志位N依次相连构成扩展后的消息,然后进行传输通信。
4.根据权利要求1-3任一项所述的智能变电站通信报文完整性保护方法,其特征在于,所述的密钥更新过程如下:在发送的报文末端附加次数标志位N,其初始值为0,发送端设备每发送一次报文,N增加1,递增到N=k时进行发送端密钥的更新,并且将N值置0,开始下一次计数过程,其中k为固定值,预先配置于设备中;接收端设备收到报文后将次数标志位N提取出来,将N与k比较,当N=k时,同步更新接收端设备的密钥,从而实现每隔k次通信后,进行密钥的同步更新过程。
5.根据权利要求1-3任一项所述的智能变电站通信报文完整性保护方法,其特征在于,所述密钥更新同步性验证的过程如下:密钥更新后,发送端设备生成一段伴随字符串D1,用更新后的密钥对伴随字符串D1进行Hash运算,将生成的摘要验证码M1附加在伴随字符串D1后传输到发送端设备,发送端设备也运用其更新后的密钥对伴随字符串D1进行Hash运算,生成摘要验证码M2;对比M1与M2,若相同,则说明发送端与接收端设备的密钥已经同步更新;若不相同,则说明密钥更新未同步,将仍采用上一组密钥,并重新进行密钥的更新,直至同步性验证通过,采用新密钥组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810063764.3A CN108494722A (zh) | 2018-01-23 | 2018-01-23 | 智能变电站通信报文完整性保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810063764.3A CN108494722A (zh) | 2018-01-23 | 2018-01-23 | 智能变电站通信报文完整性保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108494722A true CN108494722A (zh) | 2018-09-04 |
Family
ID=63343716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810063764.3A Pending CN108494722A (zh) | 2018-01-23 | 2018-01-23 | 智能变电站通信报文完整性保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108494722A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274490A (zh) * | 2018-09-25 | 2019-01-25 | 苏州科达科技股份有限公司 | Srtp码流主密钥更新方法、***、设备及存储介质 |
| CN110224823A (zh) * | 2019-06-12 | 2019-09-10 | 湖南大学 | 变电站报文安全防护方法、装置、计算机设备和存储介质 |
| CN113170291A (zh) * | 2021-03-09 | 2021-07-23 | 华为技术有限公司 | 安全通信的方法和装置 |
| CN113541955A (zh) * | 2021-06-03 | 2021-10-22 | 国电南瑞科技股份有限公司 | 一种安控***2m通信的加密方法及装置 |
| CN116318685A (zh) * | 2023-05-17 | 2023-06-23 | 湖南警察学院 | 一种移动存储设备数据安全交换*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030059052A1 (en) * | 2001-09-25 | 2003-03-27 | Sheng-Yuan Cheng | Method and device for encryption and decryption |
| CN104506500A (zh) * | 2014-12-11 | 2015-04-08 | 广东电网有限责任公司电力科学研究院 | 一种基于变电站的goose报文认证方法 |
| CN105591738A (zh) * | 2015-12-22 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种密钥更新方法及装置 |
| CN106357388A (zh) * | 2016-10-10 | 2017-01-25 | 盛科网络(苏州)有限公司 | 自适应切换密钥的方法及装置 |
| CN107370751A (zh) * | 2017-08-18 | 2017-11-21 | 深圳市鑫宇鹏电子科技有限公司 | 一种在智能设备通信中会话密钥更新方法 |
-
2018
- 2018-01-23 CN CN201810063764.3A patent/CN108494722A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030059052A1 (en) * | 2001-09-25 | 2003-03-27 | Sheng-Yuan Cheng | Method and device for encryption and decryption |
| CN104506500A (zh) * | 2014-12-11 | 2015-04-08 | 广东电网有限责任公司电力科学研究院 | 一种基于变电站的goose报文认证方法 |
| CN105591738A (zh) * | 2015-12-22 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种密钥更新方法及装置 |
| CN106357388A (zh) * | 2016-10-10 | 2017-01-25 | 盛科网络(苏州)有限公司 | 自适应切换密钥的方法及装置 |
| CN107370751A (zh) * | 2017-08-18 | 2017-11-21 | 深圳市鑫宇鹏电子科技有限公司 | 一种在智能设备通信中会话密钥更新方法 |
Non-Patent Citations (1)
| Title |
|---|
| 崔秀帅: "智能变电站报文安全及其实时性研究", 《中国优秀硕士学位论文全文数据库(工程科技Ⅱ辑)》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274490A (zh) * | 2018-09-25 | 2019-01-25 | 苏州科达科技股份有限公司 | Srtp码流主密钥更新方法、***、设备及存储介质 |
| CN110224823A (zh) * | 2019-06-12 | 2019-09-10 | 湖南大学 | 变电站报文安全防护方法、装置、计算机设备和存储介质 |
| CN113170291A (zh) * | 2021-03-09 | 2021-07-23 | 华为技术有限公司 | 安全通信的方法和装置 |
| CN113541955A (zh) * | 2021-06-03 | 2021-10-22 | 国电南瑞科技股份有限公司 | 一种安控***2m通信的加密方法及装置 |
| CN116318685A (zh) * | 2023-05-17 | 2023-06-23 | 湖南警察学院 | 一种移动存储设备数据安全交换*** |
| CN116318685B (zh) * | 2023-05-17 | 2023-07-21 | 湖南警察学院 | 一种移动存储设备数据安全交换*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108494722A (zh) | 智能变电站通信报文完整性保护方法 | |
| CN103178956B (zh) | 一种实现配电自动化遥控命令加密认证的方法 | |
| CN104486316B (zh) | 一种提高电力数据传输安全性的量子密钥分等级提供方法 | |
| CN102983971B (zh) | 网络环境中进行用户身份认证的无证书签名方法 | |
| CN108737323B (zh) | 一种数字签名方法、装置及*** | |
| CN105827408A (zh) | 一种基于时间戳技术的工业网络安全传输方法 | |
| CN109361520B (zh) | 基于登录序号的物联网设备动态加密方法 | |
| CN110519300A (zh) | 基于口令双向认证的客户端密钥安全存储方法 | |
| CN106992850B (zh) | 一种蓝牙智能锁控制器的密钥验证方法 | |
| CN107017995B (zh) | 混合签名及验签方法、装置及*** | |
| CN108683706A (zh) | 一种基于nb-iot云锁通讯的加密算法及其验证方法 | |
| CN102801529B (zh) | 一种卡片安全通讯的方法 | |
| CN110098939A (zh) | 消息认证方法及装置 | |
| CN113378148A (zh) | 一种基于区块链的物联网设备身份认证***及方法 | |
| CN104202170A (zh) | 一种基于标识的身份认证***和方法 | |
| CN104038336A (zh) | 一种基于3des的数据加密方法 | |
| CN103634788A (zh) | 前向安全的无证书多代理签密方法 | |
| CN104639328B (zh) | 一种goose报文认证方法及*** | |
| CN110620660A (zh) | 一种基于区块链的数据通信的密钥分配方法 | |
| CN104579686A (zh) | 一种用于手机令牌的种子匹配方法 | |
| CN112039654A (zh) | 一种抵御中间人攻击的电表数据安全采集方法 | |
| CN109728908B (zh) | 一种基于量子安全移动存储介质的密钥管理方法 | |
| CN112311553A (zh) | 一种基于挑战应答的设备认证方法 | |
| CN106911479A (zh) | 一种安全认证***、方法和终端设备 | |
| CN108924161A (zh) | 一种交易数据加密通信方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180904 |
|
| RJ01 | Rejection of invention patent application after publication |