CN111541699B - 一种基于iec102通信规约安全传输数据的方法 - Google Patents

一种基于iec102通信规约安全传输数据的方法 Download PDF

Info

Publication number
CN111541699B
CN111541699B CN202010334630.8A CN202010334630A CN111541699B CN 111541699 B CN111541699 B CN 111541699B CN 202010334630 A CN202010334630 A CN 202010334630A CN 111541699 B CN111541699 B CN 111541699B
Authority
CN
China
Prior art keywords
message
information body
variable frame
digest value
byte
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010334630.8A
Other languages
English (en)
Other versions
CN111541699A (zh
Inventor
栗会峰
刘哲
李宣义
李均强
赵宇皓
杨立波
马斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
State Grid Hebei Energy Technology Service Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
State Grid Hebei Energy Technology Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd, State Grid Hebei Energy Technology Service Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202010334630.8A priority Critical patent/CN111541699B/zh
Publication of CN111541699A publication Critical patent/CN111541699A/zh
Application granted granted Critical
Publication of CN111541699B publication Critical patent/CN111541699B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00006Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
    • H02J13/00028Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment involving the use of Internet protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于IEC102通信规约安全传输数据的方法,涉及电力***自动化技术领域;其包括S1~S3的步骤,步骤S1,定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1,步骤S2,通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换,步骤S3,终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理;其通过S1~S3的步骤等,实现了电能量数据传输过程中数据安全性好。

Description

一种基于IEC102通信规约安全传输数据的方法
技术领域
本发明涉及电力***自动化技术领域,尤其涉及一种基于IEC102通信规约安全传输数据的方法。
背景技术
IEC102通信规约广泛应用于电能量计量***主站和电能量采集终端的通讯,电能量计量***传输数据的安全性关系到发电企业、电网企业及电力用户之间的利益。因此,抵御外部网络攻击,防范电量数据传输过程中遭受监听、篡改、重放等网络攻击,确保获得精准、真实的电量数据对于维护各方利益,具有十分重要的现实意义。
IEC102规约规定了电能量数据传输过程中的报文格式,是一种明文传输协议,在电能量数据报文传输过程中,报文为明文传输,存在网络窃听风险。102规约报文中缺乏对数据报文的完整性检验,仅使用校验码验证报文的完整性,由于校验码的可篡改性,导致完整性无法得到有效保障。这种缺陷造成了攻击者可通过截获、篡改或模拟报文的方式在通讯过程的任意阶段实现身份伪装,并向对侧发送虚假报文。102规约报文也缺乏安全校验机制抵御报文重放攻击。
现有技术问题及思考:
如何解决电能量数据传输过程中数据安全性差的技术问题。
发明内容
本发明所要解决的技术问题是提供一种基于IEC102通信规约安全传输数据的方法,其通过S1~S3的步骤等,实现了电能量数据传输过程中数据安全性好。
为解决上述技术问题,本发明所采取的技术方案是:一种基于IEC102通信规约安全传输数据的方法包括S1~S3的步骤,步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1;步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换;步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。
进一步的技术方案在于:还包括S4、S5和S10的步骤,步骤S4:识别报文格式,若所述报文为可变帧报文,则进入步骤S5;若所述报文为单字节或固定帧报文,则进入步骤S10;步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中;步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
进一步的技术方案在于:还包括S6的步骤,步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
进一步的技术方案在于:还包括S7~S9的步骤,步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文;步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文;步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。
进一步的技术方案在于:在步骤S1中,所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素和信息体时标;其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
进一步的技术方案在于:在步骤S2中,所述离线方式是指通过预置方式完成主站侧和终端侧使用的对称加密算法、HMAC算法确定,并完成对称加密算法和HMAC算法秘钥的同步。
进一步的技术方案在于:在步骤S3中,对所述报文格式进行识别的步骤包括:解析报文首字节内容,若首字节内容为E5,则报文为单字节报文;若首字节为0x10,则报文为固定帧报文;若首字节为0x68,则报文为可变帧报文。
进一步的技术方案在于:在步骤S5中,参与消息摘要值M1计算的所述可变帧报文的范围为首字节与预留信息体B之间的报文,所述消息摘要值M1的长度小于等于L字节。
进一步的技术方案在于:在步骤S8中,参与消息摘要值M2计算的所述可变帧报文明文的范围为首字节与预留信息体B之间的报文,所述消息摘要值M2的长度小于等于L字节。
进一步的技术方案在于:在步骤S9中,所述时间范围T表示为(t0,t3)s,其中t0为负数且大于-10,t3为正数且小于等于60;t0和t3的数值根据主站侧和终端侧的时钟误差进行确定。
采用上述技术方案所产生的有益效果在于:
一种基于IEC102通信规约安全传输数据的方法包括S1~S3的步骤,步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1;步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换;步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理,其通过S1~S3的步骤等,实现了电能量数据传输过程中数据安全性好。
详见具体实施方式部分描述。
附图说明
图1是本发明的流程图;
图2是本发明中可变帧报文的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本申请及其应用或使用的任何限制。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本申请,但是本申请还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施例的限制。
实施例1:
如图1、图2所示,本发明公开了一种基于IEC102通信规约安全传输数据的方法包括S1~S10的步骤:
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1。
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换。
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。
步骤S4:识别报文格式,若所述报文为可变帧报文,则进入步骤S5;若所述报文为单字节或固定帧报文,则进入步骤S10。
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中。
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文。
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文。
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
实施例2:
实施例2与实施例1的不同之处在于,进一步优化步骤S1。
如图1、图2所示,本发明公开了一种基于IEC102通信规约安全传输数据的方法包括S1~S10的步骤:
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1。
所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素和信息体时标;其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换。
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。
步骤S4:识别报文格式,若所述报文为可变帧报文,则进入步骤S5;若所述报文为单字节或固定帧报文,则进入步骤S10。
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中。
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文。
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文。
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
实施例3:
实施例3与实施例2的不同之处在于,进一步优化步骤S2。
如图1、图2所示,本发明公开了一种基于IEC102通信规约安全传输数据的方法包括S1~S10的步骤:
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1。
所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素和信息体时标;其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换。
所述离线方式是指通过预置方式完成主站侧和终端侧使用的对称加密算法、HMAC算法确定,并完成对称加密算法和HMAC算法秘钥的同步。
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。
步骤S4:识别报文格式,若所述报文为可变帧报文,则进入步骤S5;若所述报文为单字节或固定帧报文,则进入步骤S10。
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中。
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文。
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文。
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
实施例4:
实施例4与实施例3的不同之处在于,进一步优化步骤S3。
如图1、图2所示,本发明公开了一种基于IEC102通信规约安全传输数据的方法包括S1~S10的步骤:
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1。
所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素和信息体时标;其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换。
所述离线方式是指通过预置方式完成主站侧和终端侧使用的对称加密算法、HMAC算法确定,并完成对称加密算法和HMAC算法秘钥的同步。
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。对所述报文格式进行识别的步骤包括:
解析报文首字节内容,若首字节内容为E5,则报文为单字节报文;
若首字节为0x10,则报文为固定帧报文;
若首字节为0x68,则报文为可变帧报文。
步骤S4:识别报文格式,若所述报文为可变帧报文,则进入步骤S5;若所述报文为单字节或固定帧报文,则进入步骤S10。
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中。
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文。
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文。
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
实施例5:
实施例5与实施例4的不同之处在于,进一步优化步骤S5、S8和S9。
如图1、图2所示,本发明公开了一种基于IEC102通信规约安全传输数据的方法包括S1~S10的步骤:
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1。
所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素和信息体时标;其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换。
所述离线方式是指通过预置方式完成主站侧和终端侧使用的对称加密算法、HMAC算法确定,并完成对称加密算法和HMAC算法秘钥的同步。
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。对所述报文格式进行识别的步骤包括:
解析报文首字节内容,若首字节内容为E5,则报文为单字节报文;
若首字节为0x10,则报文为固定帧报文;
若首字节为0x68,则报文为可变帧报文。
步骤S4:识别报文格式,若所述报文为可变帧报文,则进入步骤S5;若所述报文为单字节或固定帧报文,则进入步骤S10。
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中。参与消息摘要值M1计算的所述可变帧报文的范围为首字节与预留信息体B之间的报文。
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文。
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文。参与消息摘要值M2计算的所述可变帧报文明文的范围为首字节与预留信息体B之间的报文。
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。所述时间范围T表示为(t0,t3)s,其中t0为负数且大于-10,t3为正数且小于等于60;t0和t3的数值根据主站侧和终端侧的时钟误差进行确定。
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
本申请的发明构思:
为了解决现有技术方案中存在的上述技术问题,本申请提供一种面向IEC102规约的数据传输安全性的方法,通过对IEC102规约的数据报文进行数据加密、完整性校验和时间戳校验措施,一定程度上提高抵御数据窃听、数据篡改和报文重放攻击的能力,提高了IEC102规约的安全性。
本申请的技术贡献在于:
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1。
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换。
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。
步骤S4:根据报文格式,对报文进行安全加固处理。若所述报文为可变帧报文,则进入步骤S5。若所述报文为单字节或固定帧报文,则进入步骤S10。
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中。
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文。
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文。
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
其中较优的,在步骤S1中,所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素、信息体时标。其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
其中较优的,在步骤S2中,所述离线方式是指通过预置方式完成主站侧和终端侧使用的对称加密算法、HMAC算法确定,并完成对称加密算法和HMAC算法秘钥的同步。
其中较优的,在步骤S3中,对所述报文格式进行识别的步骤包括:
解析报文首字节内容,若首字节内容为E5,则报文为单字节报文。
若首字节为0x10,则报文为固定帧报文。
若首字节为0x68,则报文为可变帧报文。
其中较优的,在步骤S5中,参与消息摘要值M1计算的所述可变帧报文的范围为首字节与预留信息体B之间的报文,不包括信息体B。
其中较优的,在步骤S8中,参与消息摘要值M2计算的所述可变帧报文明文的范围为首字节与预留信息体B之间的报文,不包括信息体B。
其中较优的,在步骤S9中,所述时间范围T表示为(t0,t3)s,其中t0为负数且大于-10,t3为正数且小于等于60。t0和t3的数值可根据主站侧和终端侧的时钟误差进行确定。
技术方案说明:
如图1所示,方法包括以下步骤:
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1。
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换。
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理。
步骤S4:根据报文格式,对报文进行安全加固处理。若所述报文为可变帧报文,则进入步骤S5。若所述报文为单字节或固定帧报文,则进入步骤S10。
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中。
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文。
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文。
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文。
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文。
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
其中较优的,在步骤S1中,所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素、信息体时标。其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
其中较优的,在步骤S2中,所述离线方式是指通过预置方式完成主站侧和终端侧使用的对称加密算法、HMAC算法确定,并完成对称加密算法和HMAC算法秘钥的同步。
其中较优的,在步骤S3中,对所述报文格式进行识别的步骤包括:
解析报文首字节内容,若首字节内容为E5,则报文为单字节报文。
若首字节为0x10,则报文为固定帧报文。
若首字节为0x68,则报文为可变帧报文。
其中较优的,在步骤S5中,参与消息摘要值M1计算的所述可变帧报文的范围为首字节与预留信息体B之间的报文,不包括信息体B。
其中较优的,在步骤S8中,参与消息摘要值M2计算的所述可变帧报文明文的范围为首字节与预留信息体B之间的报文,不包括信息体B。
其中较优的,在步骤S9中,所述时间范围T表示为(t0,t3)s,其中t0为负数且大于-10,t3为正数且小于等于60。t0和t3的数值可根据主站侧和终端侧的时钟误差进行确定。
本申请保密运行一段时间后,现场技术人员反馈的有益之处在于:
与现有技术相比,本申请技术方案通过采用对称加密算法对报文进行加密,提高了电能量数据在传输过程中防范窃听攻击的能力;通过采用HMAC算法计算报文的消息摘要值,提高了电能量数据在传输过程中防范篡改攻击的能力;通过校验报文的信息体时标,提高了电能量数据传输过程中抵御重放攻击的能力。

Claims (7)

1.一种基于IEC102通信规约安全传输数据的方法,其特征在于:包括S1~S10的步骤,
步骤S1:定义可变帧报文的应用服务数据单元的一个信息体为预留信息体B,所述预留信息体B包括信息体地址、信息元素集和时标t1;
步骤S2:通过离线方式完成主站侧和终端侧之间的对称加密算法及秘钥、HMAC算法及秘钥的协商与交换;
步骤S3:终端侧向主站侧拟发送IEC102规约通信报文,终端侧对报文首个字节进行解析,识别报文格式,根据报文格式采取安全加固处理;
步骤S4:识别报文格式,若所述报文为可变帧报文,则进入步骤S5;若所述报文为单字节或固定帧报文,则进入步骤S10;
步骤S5:使用HMAC算法计算获得所述可变帧报文的消息摘要值M1,并将计算结果放在所述预留信息体B中的信息元素集中,并将当前终端***时间写入所述预留信息体的时标t1中;
步骤S6:对所述可变帧报文采用对称加密算法进行加密,得到可变帧报文密文;
步骤S7:主站侧收到所述可变帧报文密文,使用秘钥对所述可变帧报文密文进行解密,若解密成功并得到可变帧报文明文,则进入步骤S8,若解密失败,则丢弃所述可变帧报文;
步骤S8:使用HMAC算法计算所述可变帧报文明文的消息摘要值M2,与所述消息摘要值M1进行一致性验证,若完全一致,则验证成功,进入步骤S9,若不完全一致,则验证失败,丢弃所述可变帧报文;
步骤S9:将所述信息体B中的时标t1与当前主站侧***时间t2进行比较,若两者差值在时间范围T内,则验证成功,进入步骤S10,若不在时间范围T内,则验证失败,并丢弃所述可变帧报文;
步骤S10:主站侧接收终端侧发送的报文,并进行存储处理,报文传输结束。
2.根据权利要求1所述的一种基于IEC102通信规约安全传输数据的方法,其特征在于:在步骤S1中,所述预留信息体B位于应用服务数据单元的尾部,校验码之前,其长度为8+L字节,包括信息体标识符、信息体元素和信息体时标;其中信息体标识符长度为1字节,内容为0,信息体元素长度为L,内容为所述消息摘要值M1,信息体时标t1为B类时标,内容为终端***时间。
3.根据权利要求1所述的一种基于IEC102通信规约安全传输数据的方法,其特征在于:在步骤S2中,所述离线方式是指通过预置方式完成主站侧和终端侧使用的对称加密算法、HMAC算法确定,并完成对称加密算法和HMAC算法秘钥的同步。
4.根据权利要求1所述的一种基于IEC102通信规约安全传输数据的方法,其特征在于:在步骤S3中,对所述报文格式进行识别的步骤包括:
解析报文首字节内容,若首字节内容为E5,则报文为单字节报文;
若首字节为0x10,则报文为固定帧报文;
若首字节为0x68,则报文为可变帧报文。
5.根据权利要求1所述的一种基于IEC102通信规约安全传输数据的方法,其特征在于:在步骤S5中,参与消息摘要值M1计算的所述可变帧报文的范围为首字节与预留信息体B之间的报文,所述消息摘要值M1的长度小于等于L字节。
6.根据权利要求1所述的一种基于IEC102通信规约安全传输数据的方法,其特征在于:在步骤S8中,参与消息摘要值M2计算的所述可变帧报文明文的范围为首字节与预留信息体B之间的报文,所述消息摘要值M2的长度小于等于L字节。
7.根据权利要求1所述的一种基于IEC102通信规约安全传输数据的方法,其特征在于:在步骤S9中,所述时间范围T表示为(t0,t3)s,其中t0为负数且大于-10,t3为正数且小于等于60;t0和t3的数值根据主站侧和终端侧的时钟误差进行确定。
CN202010334630.8A 2020-04-24 2020-04-24 一种基于iec102通信规约安全传输数据的方法 Active CN111541699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010334630.8A CN111541699B (zh) 2020-04-24 2020-04-24 一种基于iec102通信规约安全传输数据的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010334630.8A CN111541699B (zh) 2020-04-24 2020-04-24 一种基于iec102通信规约安全传输数据的方法

Publications (2)

Publication Number Publication Date
CN111541699A CN111541699A (zh) 2020-08-14
CN111541699B true CN111541699B (zh) 2022-04-22

Family

ID=71970196

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010334630.8A Active CN111541699B (zh) 2020-04-24 2020-04-24 一种基于iec102通信规约安全传输数据的方法

Country Status (1)

Country Link
CN (1) CN111541699B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422275A (zh) * 2020-10-26 2021-02-26 深圳Tcl新技术有限公司 Uart通信中的秘钥协商方法、***、设备及计算机存储介质
CN114401147B (zh) * 2022-01-20 2024-02-20 山西晟视汇智科技有限公司 一种基于摘要算法的新能源电站通讯报文比对方法及***

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102130768B (zh) * 2010-12-20 2012-11-07 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
CN109194656A (zh) * 2018-09-10 2019-01-11 国家电网有限公司 一种配电无线终端安全接入的方法

Also Published As

Publication number Publication date
CN111541699A (zh) 2020-08-14

Similar Documents

Publication Publication Date Title
CN104735068B (zh) 基于国密的sip安全认证的方法
CN101340289B (zh) 防重放攻击方法及其***
CN111541699B (zh) 一种基于iec102通信规约安全传输数据的方法
CN103581173A (zh) 一种基于工业以太网的数据安全传输方法、***及装置
CN106973056A (zh) 一种面向对象的安全芯片及其加密方法
CN110224823B (zh) 变电站报文安全防护方法、装置、计算机设备和存储介质
CN102164037A (zh) 一种数字签章***和方法
CN111526023A (zh) 一种基于ipk的区块链上链数据安全认证方法与***
CN111181723B (zh) 物联网设备间离线安全认证的方法和装置
CN114826656A (zh) 一种数据链路可信传输方法和***
CN111107085A (zh) 一种基于发布订阅模式的安全通讯方法
CN105281910A (zh) 带ca数字证书作为入网身份识别的物联网锁及其入网身份识别方法
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及***
CN112954039A (zh) 一种区块链存证方法
CN114915396B (zh) 一种基于国密算法的跳变密钥数字通信加密***和方法
CN110049045B (zh) 一种电力载波的安全认证***
CN102281203A (zh) 一种iec101协议报文传输的方法和***
CN113472520B (zh) 一种ModbusTCP协议安全增强方法及***
JPH0974408A (ja) 秘話通信方法
Heinrich et al. Security analysis of the RaSTA safety protocol
CN113259315B (zh) 一种适用于配电网的通信报文安全防护方法及***
CN112787990B (zh) 一种电力终端可信接入认证方法和***
CN102316107A (zh) 一种iec104协议报文传输的方法和***
CN114205131A (zh) 一种面向变电站测控及pmu设备的安全认证协议
CN104363098B (zh) 一种基于数字加密的分布式监控终端信息安全防护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant