CN112073372A - 一种电力***通信报文双重加密方法、解密方法和报文交互*** - Google Patents
一种电力***通信报文双重加密方法、解密方法和报文交互*** Download PDFInfo
- Publication number
- CN112073372A CN112073372A CN202010772210.8A CN202010772210A CN112073372A CN 112073372 A CN112073372 A CN 112073372A CN 202010772210 A CN202010772210 A CN 202010772210A CN 112073372 A CN112073372 A CN 112073372A
- Authority
- CN
- China
- Prior art keywords
- message
- encryption
- length
- header
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种电力***通信报文双重加密方法、解密方法和报文交互***,加密时,首先对原始通信报文进行报文分离,然后对报文主体中的数据片段进行多种操作类型组合的加密操作,得到报文主体密文及相应的操作索引信息,再将操作索引信息加入报文头,并对重组后的报文头利用密钥进行二次加密,最后将报文主体密文和报文头重组密文进行组合,得到待发送的重组加密报文。在报文解密时,报文接收端对可通过报文分离和密钥解密得到操作索引信息,并根据操作索引信息对报文主体密文进行反向恢复操作,从而得到报文主体明文,进而可组合得到原始通信报文。本发明加密、解密效率高,且加密后的报文安全性较好,可支持对所有数据或所有信道的报文高效加密,占用***资源较少,电力***通信效率稳定。
Description
技术领域
本发明涉及电力信息***通信安全技术领域,特别是一种电力***通信报文双重加密方法、解密方法和报文交互***。
背景技术
电力信息***安全具有非常广泛的涉及范围,其包括生产、传输、分配电力等一系列的环节.属于一个具有复杂管理程度的工程。电力信息***的常用通信方式,是在不同通信协议的基础上,报文大多都是明文发送,这明显无法保证电力信息***的运行安全。各电力相关部门也在尝试采用对称加密(DES、AES)和非对称加密(RSA、DH、DSA)对通信进行全程加密,这种方式显著提高了电力信息***的通信安全性。
然而,全程密钥加密方式在保障了通信安全性的同时,却一定程度上降低了通信效率。因为,无论是对称加密方式还是非对称加密方式,当需要加密的原文越长时,加密解密过程所耗费的时间和***所消耗的资源就越多。常用的加密算法的加密和解密过程都需要通过提升消耗计算资源以及花费时间来提高安全性。
无论是对称式加密方法(DES、国密SM4、AES、国密SM1),还是非对称式加密方法(RSA、DH、DSA、国密SM2),或是散列单向加密算法(MD5、国密SM3、SHA1),消耗的计算资源以及时间,都是与需要加密的信息长度成正相关。也就是说,需要加密的信息长度越长,所需要耗费的计算资源越高,所费的计算时间就越长。
在以上加密算法中,以相对快速的对称加密方法 -- AES加密算法为例,通常每秒钟加密解密数兆(M)比特左右的数据就是极限了。
另一方面,电力信息***通信需要连接数百台设备,成千上万的采集数据(有时是几十万个数据采集点)要同时接入***,本身的通信事务就很繁杂,如:接收报文、解析报文、逻辑运算、存储数据等等。因此,通信全程全文加密需要加密解密的数据流量很有可能是达到或者超过每秒数兆比特(Mb)的规模的。这样的话,加密解密过程势必会挤占***计算资源,与通信任务发生资源冲突,影响***的通信容量与响应速度。
SSL(Secure Scokets Layer)安全套接字层。
发明内容
本发明的目的是提供一种电力***通信报文双重加密方法、解密方法和报文交互***,能够对电力***通信报文进行加密和解密,加密、解密效率高,且加密后的报文安全性较好,可支持对所有数据或所有信道进行加密,***资源占用较少,电力***通信效率稳定。
本发明采用的技术方案如下:
一方面,本发明提供一种电力***通信报文双重加密方法,包括:
获取原始通信报文;
对原始通信报文进行报文分离,得到分离后的报文头和报文主体;
按照预设的加密操作规则,对报文主体中的数据片段进行加密操作,得到报文主体密文,以及加密操作过程对应的操作索引信息;
将操作索引信息加入分离后的报文头,得到重组后的报文头;
采用约定密钥对重组后的报文头进行二次加密,得到报文头重组密文;
将报文主体密文与报文头重组密文重新组合,得到用于发送的重组加密报文。
可选的,所述原始通信报文为符合IEC60870 / IEC61850 / IEC61970 /IEC61968通信协议的报文,或者具有报文头的报文。
可选的,对于不含报文头的报文,报文分离时,按照顺序从头部开始截取设定字节长度的报文片段,作为分离后的报文头,其余部分作为报文主体。
可选的,所述预设的加密操作规则为:按照随机选择或预先设定的操作类型,随机或预先设定的操作顺序,随机或预先设定的操作的起始位置、长度、目标位置,对报文主体中的数据片段执行下述操作中的一种或多种组合:块移操作、位移操作、反转操作、替换操作、取反操作、偏移操作;
所述操作索引信息包括对报文主体中数据片段执行操作的操作类型、操作顺序以及操作内容信息。
可选的,所述块移操作所执行的操作是,将起始位置为sp长度为len的数据片段,整块移动到目标位置tp;
位移操作所执行的操作是,将起始位置为sp长度为len的数据片段,按比特位向左或者向右位移sn位的操作;
反转操作所执行的操作是,将起始位置为sp长度为len的数据片段,按照字节或者比特位的顺序反转颠倒的操作;
替换操作所执行的操作是,将起始位置为sp长度为len的数据片段,与目标位置tp长短为len的数据片段,相互替换的操作;
取反操作所执行的操作是,将起始位置为sp长度为len的数据片段,按比特位或者按照字节取反的操作;
偏移操作所执行的操作是,将起始位置为sp长度为len的数据片段,将字节按照ASCII码进行offset个字符的循环偏移,将原字符替换成新字符的操作;
所述操作索引信息按照操作执行顺序记录对报文主体所执行的各操作的操作类型、起始位置、长度,和目标位置/位移值/单位量/偏移值信息。
可选的,方法还包括:对应各操作类型分别设置操作码;
对报文主体进行加密操作前,生成全加密过程需执行的所有操作码;加密操作时,按照操作码的生成顺序依次执行相应操作类型的加密操作;
操作码的生成策略为:随机生成各类型加密操作及顺序,或者轮流生成随机块内操作和随机块间操作,或者在随机生成的多个块内部操作中间隔***随机生成的块间操作。
可选的,将操作索引信息加入分离后的报文头的尾部或前端,得到重组后的报文头。
可选的,重组后的报文头长度固定,且小于原始通信报文长度的1/4,大于或等于操作索引信息的总长度,可提高安全通信效率。这将使得操作索引信息的长度受到限制,也即加密操作的数量是需要根据重组后报文头长度、原始报文头长度以及单词操作索引信息长度来确定最大值的。
可选的,所述对重组后的报文头进行二次加密时,采用对称加密、不对称加密、单向加密中的一种或多种加密方式。
以上方案采用密钥加密方式(DES/AES/RSA/DSA/MD5/SHA1/国密系列)将新的报文头部(1110)进行安全加密,由于密钥加密的消息部分比较短小,可以选择采用两种以上的密钥加密方式复合加密,使得重组密文安全性得到进一步提高。
第二方面,本发明提供一种能够对利用第一方面加密方法加密得到的通信报文进行解密的报文解密方法,包括:
获取重组加密报文;
对重组加密报文进行分离,得到报文头密文和报文主体密文;
采用约定密钥对报文头密文进行解密,得到含操作索引信息的报文头明文;
对报文头明文进行分割,得到原始报文头明文和操作索引信息;
根据操作索引信息记录的加密操作过程,按照加密操作顺序的倒序,依次对报文主体密文执行相应加密操作的反向恢复操作,得到恢复后的报文主体明文;
将原始报文头明文与报文主体明文拼装,得到原始通信报文。
可选的,反向恢复操作包括块移恢复操作(MOV 3211)、位移恢复操作(SHF 3212)、反转恢复操作(REV 3213)、替换恢复操作(REP 3214)、取反恢复操作(INV 3215)、偏移恢复操作(OFF 3216)中的一个或多个组合。
其中, 块移恢复操作是,将目标位置tp长度为len的数据片段,整块移动恢复到原始位置sp的操作;
位移恢复操作是,将起始位置sp长度为len的数据片段,按比特位(bit)反向位移恢复sn位的操作;
反转恢复操作是,将起始位置sp长度为len的数据片段,按照字节(byte)或者比特位(bit)的顺序,再次反转恢复的操作;
替换恢复操作是,将起始位置sp长度为len的数据片段,与目标位置tp长短为len的数据片段,相互替换恢复的操作;
取反恢复操作是,将起始位置sp长度为len的数据片段,按比特位(bit)或者按照字节(byte),再次取反恢复的操作;
偏移恢复操作是,将起始位置sp长度为len的数据片段,将字节按照ASCII码进行offset个字符的反向循环偏移,将新字符恢复成原字符的操作。
以上各操作为分别对应加密过程中块移操作、位移操作、反转操作、替换操作、取反操作、偏移操作的反向恢复操作。
第三方面,本发明提供一种报文交互***,包括报文接收端和报文发送端;
所述报文发送端执行第一方面所述的报文加密方法,对待发送报文进行加密处理,得到重组加密报文并发送;
所述报文接收端接收报文发送端发送的重组加密报文,然后执行第二方面所述的报文解密方法,对重组加密报文进行解密,得到原始通信报文。
有益效果
与现有技术相比,本发明具有以下优点和进步:
(1)采用双重加密的方法,在通信报文安全性和通信效率之间寻找平衡点,不降低安全性的前提下,提高通信效率;以最小的代价,在提高数据安全性的同时,保证高效快速的加密;
(2)加密前先将报文分成两段,其中,一段较长的报文主体,通过多次随机操作形成“乱码密文”,从而保证加密效率;另一段短小的报文头部,进行安全性更好的密钥式加密,从而保证安全性。
(3)设置了用于解密时参考以恢复“乱码密文”的操作索引,能够以结构化的固定格式加入到短小的报文头部中,同样接受密钥式加密,从而使报文主体能够得到双重保护。
(4)相对于电力***通讯常用的加密方式,仅对关键数据/关键信道加密,或者加密时仅对报文头加密,对报文主体明文发送的操作方式;本发明可以对所有报文和所有信道的数据进行加密,占用***资源较少占用,提高电力***通信效率稳定。
综上,本发明能够提高报文加密和解密的效率,同时能够保证报文通信的安全性。
附图说明
图1所示为本发明报文加密、解密流程及原理示意图。
具体实施方式
以下结合附图和具体实施例进一步描述。
本发明的技术构思为:在电力信息***的安全通信业务中,提供一种能够对通信报文数据进行方便、安全、高效且易实现的双重快速的安全加密方法。通过仅对关键数据或关键信道进行非全程密钥加密形式的加密操作,避免对***资源的占用,提高电力***通信效率;同时通过双重加密方式提高对关键数据或关键信道报文的破解难度,保障通信安全。
实施例1
本实施例介绍一种电力***通信报文双重加密方法,包括:
获取原始通信报文;
对原始通信报文进行报文分离,得到分离后的报文头和报文主体;
按照预设的加密操作规则,对报文主体中的数据片段进行加密操作,得到报文主体密文,以及加密操作过程对应的操作索引信息;
将操作索引信息加入分离后的报文头,得到重组后的报文头;
采用约定密钥对重组后的报文头进行二次加密,得到报文头重组密文;
将报文主体密文与报文头重组密文重新组合,得到用于发送的重组加密报文。
实施例1-1
在实施例1的基础上,本实施例具体介绍报文加密过程,主要涉及以下内容。
1.1报文分离
本发明所适用的原始通信报文可为符合IEC60870 / IEC61850 / IEC61970 /IEC61968通信协议的报文,或者具有报文头的报文。
对于不含报文头的报文,报文分离时,可按照顺序从报文头部开始截取设定字节长度的报文片段,作为分离后的报文头,其余部分作为报文主体。
1.2报文主体加密操作及操作索引信息生成
本发明对报文主体进行加密的加密操作规则可为:按照随机选择或预先设定的操作类型,随机或预先设定的操作顺序,随机或预先设定的操作的起始位置、长度、目标位置,对报文主体中的数据片段执行下述操作中的一种或多种组合:块移操作、位移操作、反转操作、替换操作、取反操作、偏移操作。
随机组合的操作类型需保障加密后的报文主体无明文片段。
操作索引信息包括对报文主体中数据片段执行操作的操作类型、操作顺序以及操作内容信息。操作索引信息按照操作执行顺序记录对报文主体所执行的各操作的操作类型、起始位置、长度,和目标位置/位移值/单位量/偏移值信息。
为方便操作索引信息的生成和记录,本实施例预先对应各操作类型分别设置操作码;对报文主体进行加密操作前,生成全加密过程需执行的所有操作码;加密操作时,按照操作码的生成顺序依次执行相应操作类型的加密操作。操作索引信息可在操作码及相应的操作内容确定后即生成,或者在操作时或各操作后记录。
操作码的生成策略为:随机生成各类型加密操作及顺序,或者轮流生成随机块内操作和随机块间操作,或者在随机生成的多个块内部操作中间隔***随机生成的块间操作。
1.3报文头重组和二次加密
将操作索引信息加入分离后的报文头的尾部或前端,得到重组后的报文头。
重组后的报文头长度固定,且小于原始通信报文长度的1/4,大于或等于操作索引信息的总长度,可提高安全通信效率。这将使得操作索引信息的长度受到限制,也即加密操作的数量是需要根据重组后报文头长度、原始报文头长度以及单词操作索引信息长度来确定最大值的。
对重组后的报文头进行二次加密时,采用对称加密、不对称加密、单向加密中的一种或多种加密方式。采用密钥加密方式(DES/AES/RSA/DSA/MD5/SHA1/国密系列)将新的报文头部(1110)进行安全加密,由于密钥加密的消息部分比较短小,可以选择采用两种以上的密钥加密方式复合加密,使得重组密文安全性得到进一步提高。
本实施例的双重快速加密方式,解能够决电力***特有的通信报文安全与通信效率之间的矛盾冲突,其特点有:
双重加密的思想主要体现在:第一重加密的报文主体,过程是通过随机产生,但相对不很复杂的操作组成,从而保证加密快速有效;第二重加密的复合报文头部,采用更复杂、更安全的密钥式加密,从而保证甚至提高报文的安全性。
将报文主体的加密操作索引信息简报,加入报文头部进行加密。这样,采用安全性更高的密钥式加密,来保护操作索引简报,使得相对简单加密的报文主体密文,继承式得到了较高安全性的保护。同时,密钥式加密保护的扩充后报文头部,能够保持“短小精悍”,与全程全文密钥式加密相比,消耗的计算资源与计算时间,都显得更加经济实用。
对于入侵者来说,要通过暴力方式,对作了一系列相对“简单操作“加密的报文主体直接破解,难度很高,且报文主体不再是明文形式,无法直接阅读获取数据信息。而另一段密文是通过复杂的密钥式加密的,暴力破解的难度更高。所以说,报文是经过双重加密,破解的难度被会大大提高,安全性得到增强。
由于缩短了使用密钥式加密的消息的长度,在***计算资源充足的前提,可以通过采用多种密钥式加密方法叠加加密的方式,进一步加强了通信报文的安全性。
实施例2
与实施例1基于相同的发明构思,本实施例介绍能够对采用实施例1加密方法所得通信报文进行解密的报文解密方法,包括:
获取重组加密报文;
对重组加密报文进行分离,得到报文头密文和报文主体密文;
采用约定密钥对报文头密文进行解密,得到含操作索引信息的报文头明文;
对报文头明文进行分割,得到原始报文头明文和操作索引信息;
根据操作索引信息记录的加密操作过程,按照加密操作顺序的倒序,依次对报文主体密文执行相应加密操作的反向恢复操作,得到恢复后的报文主体明文;
将原始报文头明文与报文主体明文拼装,得到原始通信报文。
反向恢复操作包括,分别对应块移操作、位移操作、反转操作、替换操作、取反操作、偏移操作,进行反向恢复操作的:块移恢复操作、位移恢复操作、反转恢复操作、替换恢复操作、取反恢复操作、偏移恢复操作中的一个或多个组合。
实施例3
与实施例1和实施例2基于相同的发明构思,本实施例介绍一种报文交互***,其包括报文接收端和报文发送端;
所述报文发送端执行实施例1介绍的电力***通信报文双重加密方法,对待发送报文进行加密处理,得到重组加密报文并发送;
所述报文接收端接收报文发送端发送的重组加密报文,然后执行实施例2介绍的报文解密方法,对重组加密报文进行解密,得到原始通信报文。
实施例4
本实施例具体介绍实施例3***的一种通信报文加密、解密过程,如图1所示,包括以下过程。
分离报文:将原始报文的明文(1000)分离,分成报文头部明文(1100)与报文主体明文(1200);
电力通信***的通信协议多为符合IEC60870 / IEC61850 / IEC61970 / IEC61968标准的通信协议。符合这类协议的报文,一般都会有一个包含通信双方地址,报文类型及报文长度等信息的报文头部,报文头部的一般也就只有几个字节(Bytes)到几十个字节的长度,往往是很短小的。
对于一些没有明显头部的报文,可以采用顺序截取开始的几个字节到几十字节的长度的报文片段,当做报文头部(1100),其余部分则看做为报文主体(1200)。当然,也可以将截取报文头部的长度设定为0,将所有报文内容看作为报文主体(1200)。
加密报文主体(第一重加密):对报文主体明文(1200),进行快速加密操作(1210),形成报文主体密文(1230)的同时,形成操作索引简报(1220);
报文主体操作,主要包含乱序操作,偏移操作等可以快速完成的操作,将报文主体明文变成“乱码”。其中,每次操作的起始位置、长度、目标位置等都是随机产生的;且不同操作的类型也是随机产生;当然,所有操作的次序也是随机的。
这些操作,主要是对数据片段的“块操作”,包括但不仅仅包括下列操作:块移操作(MOV 1211)、位移操作(SHF 1212)、反转操作(REV 1213)、替换操作(REP 1214)、取反操作(INV 1215)、偏移操作(OFF 1216)等操作。
这些操作可以分成两类操作,它们是块间(EBO)操作(块移操作 1211、替换操作1214)和块内(IBO)操作(位移操作 1212、反转操作 1213、取反操作 1215、偏移操作1216)。
a) 块移操作(MOV 1211)是,将起始位置sp长度为len的数据片段,整块移动到目标位置tp的操作;
b) 位移操作(SHF 1212)是,将起始位置sp长度为len的数据片段,按比特位(bit)向左或者向右位移sn位的操作;
c) 反转操作(REV 1213)是,将起始位置sp长度为len的数据片段,按照字节(byte)或者比特位(bit)的顺序反转颠倒的操作;
d) 替换操作(REP 1214)是,将起始位置sp长度为len的数据片段,与目标位置tp长短为len的数据片段,相互替换的操作;
e) 取反操作(INV 1215)是,将起始位置sp长度为len的数据片段,按比特位(bit)或者按照字节(byte)取反的操作;
f) 偏移操作(OFF 1216)是,将起始位置sp长度为len的数据片段,将字节按照ASCII码进行offset个字符的循环偏移,将原字符替换成新字符的操作。
以上各种操作,可以用操作索引信息简报的形式记录下来,单条记录的格式可见下表1,根据报文主体的长度,每条记录的长度可以设定为固定值opr_l(比如,opr_l=4/6/8/10……个字节长度)。
表1 报文主体操作索引信息简报的单条格式
操作码 | 起始位置 | 长度 | 目标位置 / 位移值 /单位量 /偏移值 |
块移操作(MOV 1211) | sp | len | tp |
位移操作(SHF 1212) | sp | len | sn |
反转操作(REV 1213) | sp | len | bit / byte |
替换操作(REP 1214) | sp | len | tp |
取反操作(INV 1215) | sp | len | bit / byte |
偏移操作(OFF 1216) | sp | len | offset |
如上表显示的,每一条操作记录,都包含四个字段:1,操作码(oc)、2,起始位置(sp)、3,片段长度(len)、4,目标位置(tp)或位移值(sn)或单位量(bit / byte)或偏移值(offset)。这四个字段的每一部分,均是随机产生的;其中,仅有第4个字段(目标位置(tp)或位移值(sn)或单位量(bit/byte)或偏移值(offset)是与第1个字段是相关的,其余字段相互间无相关性。
操作索引简报(1220),由若干条以上的操作记录组成,生成操作码的策略可以有以下几种:由于以上操作分为块内操作(IBO)与块间操作(EBO),可以选择采用随机生成操作码的策略;也可以选择采用轮流随机生成IBO操作码和EBO操作码的策略;或者选择采用在随机生成的IBO操作间隔***随机生成的EBO操作的策略。操作索引简报(1220)的操作记录的数量为NBO。操作索引简报(1220)的字节总长度为LBO = NBO * opr_l。
为了满足尽可能将报文打乱的效果,所有随机生成的第2个字段(起始位置sp)和第3个字段(片段长度len),应覆盖报文主体的所有部分;所有操作能将所有报文主体的各个片段全部覆盖多遍(至少两遍)以上为最理想的,这样做可以保证生成的密文中,最终不存在任何明文片段。
重组头部:第二步形成的操作索引简报(1220),加入分离后的报文头部(1100),形成重组报文头部(1110);
新的重组后报文头部(1110),主要由两部分组成,原报文头部(1100)与报文主体形成密文同时形成的操作索引简报(1220)。操作索引简报(1220)可以追加在原报文头部(1100)的尾部,也可以将其***原报文头部(1100)的前端,组成新的重组后报文头部(1110)。
重组后报文头部(1110)一般有固定长度(com_l),以32/64/128/256字节长度为佳,也可以是其他任意固定长度。重组报文头部的长度(com_l) 要大于原报文头部长度(org_l),即com_l > org_l ,超出的长度部分全部用于存放操作索引简报(1220),由于操作索引简报(1220)的字节总长度为LBO = NBO * opr_l,因此重组报文头部的长度(com_l)需要满足:com_l≥ LBO + org_l。
同时,com_l的长度不宜太长,应该控制在原始报文的1/4长度以下,否则就无法达到提高安全通信效率的目标。因此, 操作索引简报(1220)的字节总长度LBO也应受到限制,即操作记录的数量为NBO的数量应该受到一定限制。
例如,假设org_l = 8字节,com_l = 32字节,opr_l = 4字节,则可以得到NBO≤6次;
假设org_l = 4字节,com_l = 64字节,opr_l = 6字节,则可以得到NBO≤10次;
密钥加密头部(第二重加密):采用或是对称加密、或是不对称加密、或是单向加密的方式,使用密钥对上一步重组后的报文头部(1110)进行加密,形成报文头部重组密文(1120);
此加密过程,采用密钥加密方式(DES/AES/RSA/DSA/MD5/SHA1/国密系列)将新的报文头部(1110)进行安全加密,由于密钥加密的消息部分比较短小,可以选择采用两种以上的密钥加密方式复合加密,使得重组密文(1120)安全性得到进一步提高。此外,商议密钥(5000)的过程,根据采用的密钥加密方法的不同,与其标准密钥商议过程一致,很可能需要第三方认证服务器(或密钥分发服务器)参与。
重组报文:将第二步完成的报文主体的密文(1230),与第四步完成的使用密钥加密的重组报文头部密文(1120)重组,形成重组加密报文(2000)。
发送报文:将第五步完成的重组加密报文(2000)发送。
解密的步骤分为:
接收密报:接收到的是以上加密过程中,完成的重组后的加密报文(3000);
分离密文:将加密后的报文中的报文头部密文(3100)与报文主体密文(3200)分离;
解密头部(解密第二重):将上一步分离出来的报文头部密文(3100),按照加密/解密双方协商的解密用密钥,得到含操作索引简报的报文头部明文(3110);
恢复头部:将上一步解密的含操作索引简报的报文头部明文(3110)分割,恢复报文头部明文(3130),同时获得操作索引简报的明文(3120);
解密主体(解密第一重):根据上一步获得的操作索引简报的明文(3120),将第二步分离密文所获得的报文主体密文(3200)进行逆操作(3210),恢复报文主体的明文(3220);
按照上一步所分离出的操作索引简报(3120),采用倒序的顺序,依次执行恢复操作。
这些恢复操作,是对数据片段的“块操作”进行恢复,包括但不仅仅包括下列操作:块移恢复操作(MOV 3211)、位移恢复操作(SHF 3212)、反转恢复操作(REV 3213)、替换恢复操作(REP 3214)、取反恢复操作(INV 3215)、偏移恢复操作(OFF 3216)等操作。
a) 块移恢复操作(MOV 3211)是,将目标位置tp长度为len的数据片段,整块移动恢复到原始位置sp的操作;
b) 位移恢复操作(SHF 3212)是,将起始位置sp长度为len的数据片段,按比特位(bit)反向位移恢复sn位的操作;
c) 反转恢复操作(REV 3213)是,将起始位置sp长度为len的数据片段,按照字节(byte)或者比特位(bit)的顺序,再次反转恢复的操作;
d) 替换恢复操作(REP 3214)是,将起始位置sp长度为len的数据片段,与目标位置tp长短为len的数据片段,相互替换恢复的操作;
e) 取反恢复操作(INV 3215)是,将起始位置sp长度为len的数据片段,按比特位(bit)或者按照字节(byte),再次取反恢复的操作;
f) 偏移恢复操作(OFF 1216)是,将起始位置sp长度为len的数据片段,将字节按照ASCII码进行offset个字符的反向循环偏移,将新字符恢复成原字符的操作。
6,恢复报文:将上一步恢复的报文主体明文(3220),与以上第四步获得的恢复报文头部明文(3130),拼装恢复成原始报文(4000)。
本发明的加密、解密方法以及通信报文交互方法具有以下特点或进步:
1.采用双重加密的方法,在通信报文安全性和通信效率之间寻找平衡点,不降低安全性的前提下,提高通信效率。以最小的代价,在提高数据安全性的同时,保证高效快速的加密,能够较大限度抵御暴力方式破解。
2.先将报文分成两段,其中,一段较长的报文主体,通过多次随机操作形成“乱码密文”,从而保证加密效率;另一段短小的报文头部,进行安全性更好的密钥式加密,从而保证安全性。
3.用于恢复“乱码密文”的操作索引,以结构化的固定格式加入到短小的报文头部中,同样接受密钥式加密,从而使报文主体能够得到双重保护。
4.将电力信息***的报文,按照报文头部与报文主体的形式分成两个部分。对于大块的报文主体,进行方便的、易于实现的一系列简单随机操作。对于短小的报文头部,进行安全性较高的密钥式加密(对称式密钥加密/非对称式密钥加密/散列单向加密中的一种或多种组合式加密)。
5.报文主体部分长度较大时,不需要进行费时费计算资源的密钥式加密,通过在数据块的基础上,对报文主体进行全覆盖式的,一系列随机的移动、替换、重新编码等操作,从而达到快速加密提高效率的目标。
6.随机生成操作码组合的方式,能够实现全覆盖式的操作要求,保证加密后的报文主体中不存在任何明文片段。
7.在对报文主体进行操作加密的同时,形成操作索引简报,此操作索引简报是结构化的,由四个字段组成,每条记录的长度是固定的,方便依次写入简报,解密时也可以依次读取每条记录进行逆操作。
8.扩充非常短小的原始报文头部(如有需要,原始报文头部长度可以为0),成为一个固定长度的复合报文头部,扩充的部分就是报文主体加密时形成的操作索引简报。
9. 扩充后的复合报文头部,采用一种或多种密钥式加密方式组合加密,降低代价的同时,使得进一步提高安全性成为可能。
10.解密的过程,同时获得了两段密文组成的加密报文,两个密钥中的一个密钥是保存在另外一段密文中的,即报文主体接受双重加密。当恢复报文主体时,需要先解密第二重加密,再解密第一重加密。
11.实现本发明时,加密/解密过程实际发生在应用层(通信规约)与传输层(TCP/IP/UDP)之间,类似于SSL安全通信协议的地位。
12.本发明的实现,与通讯规约融合使用,可以形成“安全+”通讯规约。与传输协议(TCP/UDP)融合使用,可以形成“安全+”传输协议(类似于HTTPS = HTTP + SSL)。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种电力***通信报文双重加密方法,其特征是,包括:
获取原始通信报文;
对原始通信报文进行报文分离,得到分离后的报文头和报文主体;
按照预设的加密操作规则,对报文主体中的数据片段进行加密操作,得到报文主体密文,以及加密操作过程所对应的操作索引信息;
将操作索引信息加入分离后的报文头,得到重组后的报文头;
采用约定密钥对重组后的报文头进行二次加密,得到报文头重组密文;
将报文主体密文与报文头重组密文重新组合,得到用于发送的重组加密报文。
2.根据权利要求1所述的方法,其特征是,对于不含报文头的报文,报文分离时,按照顺序从头部开始截取设定字节长度的报文片段,作为分离后的报文头,其余部分作为报文主体。
3.根据权利要求1所述的方法,其特征是,所述预设的加密操作规则为:按照随机选择或预先设定的一个或多个操作类型,随机或预先设定的操作顺序,以及随机或预先设定的操作的起始位置、长度、目标位置,对报文主体中的数据片段进行操作;
所述操作类型包括:块移操作、位移操作、反转操作、替换操作、取反操作、偏移操作;
所述操作索引信息包括对报文主体中数据片段执行操作的操作类型、操作顺序以及操作内容信息。
4.根据权利要求3所述的方法,其特征是,所述块移操作所执行的操作是,将起始位置为sp长度为len的数据片段,整块移动到目标位置tp;
位移操作所执行的操作是,将起始位置为sp长度为len的数据片段,按比特位向左或者向右位移sn位的操作;
反转操作所执行的操作是,将起始位置为sp长度为len的数据片段,按照字节或者比特位的顺序反转颠倒的操作;
替换操作所执行的操作是,将起始位置为sp长度为len的数据片段,与目标位置tp长短为len的数据片段,相互替换的操作;
取反操作所执行的操作是,将起始位置为sp长度为len的数据片段,按比特位或者按照字节取反的操作;
偏移操作所执行的操作是,将起始位置为sp长度为len的数据片段,将字节按照ASCII码进行offset个字符的循环偏移,将原字符替换成新字符的操作;
所述操作索引信息按照操作执行顺序记录对报文主体所执行的各操作的操作类型、起始位置、长度,和目标位置/位移值/单位量/偏移值信息。
5.根据权利要求3或4所述的方法,其特征是,方法还包括,对应各操作类型分别设置操作码;
对报文主体进行加密操作前,生成全加密过程需执行的所有操作码;
加密操作时,按照操作码的生成顺序依次执行相应操作类型的加密操作;
操作码的生成策略为:随机生成各类型加密操作及顺序,或者轮流生成随机块内操作和随机块间操作,或者在随机生成的多个块内部操作中间隔***随机生成的块间操作。
6.根据权利要求1所述的方法,其特征是,将操作索引信息加入分离后的报文头的尾部或前端,得到重组后的报文头;
重组后的报文头长度固定,且小于原始通信报文长度的1/4,大于或等于操作索引信息的总长度。
7.根据权利要求1或6所述的方法,其特征是,对重组后的报文头进行二次加密时,所述约定密钥为对称加密、不对称加密、单向加密中的一种或多种加密方式。
8.一种对利用权利要求1-7任一项所述电力***通信报文双重加密方法加密得到的通信报文进行解密的报文解密方法,包括:
获取重组加密报文;
对重组加密报文进行分离,得到报文头密文和报文主体密文;
采用约定密钥对报文头密文进行解密,得到含操作索引信息的报文头明文;
对报文头明文进行分割,得到原始报文头明文和操作索引信息;
根据操作索引信息记录的加密操作过程,按照加密操作顺序的倒序,依次对报文主体密文执行相应加密操作的反向恢复操作,得到恢复后的报文主体明文;
将原始报文头明文与报文主体明文拼装,得到原始通信报文。
9.根据权利要求8所述的方法,其特征是,反向恢复操作包括,分别对应块移操作、位移操作、反转操作、替换操作、取反操作、偏移操作,进行反向恢复操作的:块移恢复操作、位移恢复操作、反转恢复操作、替换恢复操作、取反恢复操作、偏移恢复操作中的一个或多个组合。
10.一种基于权利要求8或9所述方法的报文交互***,其特征是,包括报文接收端和报文发送端;
所述报文发送端执行所述电力***通信报文双重加密方法,对待发送报文进行加密处理,得到重组加密报文并发送;
所述报文接收端接收报文发送端发送的重组加密报文,然后执行权利要求8或9所述的报文解密方法,对重组加密报文进行解密,得到原始通信报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010772210.8A CN112073372B (zh) | 2020-08-04 | 2020-08-04 | 一种电力***通信报文双重加密方法、解密方法和报文交互*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010772210.8A CN112073372B (zh) | 2020-08-04 | 2020-08-04 | 一种电力***通信报文双重加密方法、解密方法和报文交互*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112073372A true CN112073372A (zh) | 2020-12-11 |
CN112073372B CN112073372B (zh) | 2023-06-27 |
Family
ID=73657316
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010772210.8A Active CN112073372B (zh) | 2020-08-04 | 2020-08-04 | 一种电力***通信报文双重加密方法、解密方法和报文交互*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112073372B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338208A (zh) * | 2021-12-31 | 2022-04-12 | 章鱼博士智能技术(上海)有限公司 | 一种报文的数据加密方法及装置、电子设备 |
CN114465775A (zh) * | 2021-12-31 | 2022-05-10 | 华为技术有限公司 | 安全传输方法及装置 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124893A (ja) * | 1998-10-16 | 2000-04-28 | Hitachi Ltd | 暗号/復号アルゴリズムの変換方法、暗号通信システムにおける送信装置および受信装置 |
JP2010011122A (ja) * | 2008-06-27 | 2010-01-14 | Fujitsu Ltd | 暗号化パケット処理システム |
CN102447698A (zh) * | 2011-11-29 | 2012-05-09 | 数字金融服务(杭州)有限公司 | 一种网络通信信息加密传输方法 |
US20120134492A1 (en) * | 2010-11-29 | 2012-05-31 | Hui Liu | Data Encryption and Decryption Method and Apparatus |
CN102693398A (zh) * | 2012-05-09 | 2012-09-26 | 深圳大学 | 一种数据加密方法及*** |
CN102781001A (zh) * | 2011-05-10 | 2012-11-14 | 中兴通讯股份有限公司 | 移动终端内置文件加密方法及移动终端 |
CN103488915A (zh) * | 2013-09-24 | 2014-01-01 | 无锡德思普科技有限公司 | 一种软硬件相结合的双重密钥加密的资源加密解密方法 |
WO2016206504A1 (zh) * | 2015-06-25 | 2016-12-29 | 中兴通讯股份有限公司 | 一种数据加密的方法、解密的方法及装置 |
CN107665310A (zh) * | 2016-07-29 | 2018-02-06 | 四川长虹电器股份有限公司 | 一种移动终端文件的加密存储、读取和删除方法 |
CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制***有限责任公司 | 一种vpn隧道模式优化方法及*** |
CN110868398A (zh) * | 2019-10-17 | 2020-03-06 | 北京全路通信信号研究设计院集团有限公司 | 一种对数据帧加密的方法、解密的方法及装置 |
-
2020
- 2020-08-04 CN CN202010772210.8A patent/CN112073372B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124893A (ja) * | 1998-10-16 | 2000-04-28 | Hitachi Ltd | 暗号/復号アルゴリズムの変換方法、暗号通信システムにおける送信装置および受信装置 |
JP2010011122A (ja) * | 2008-06-27 | 2010-01-14 | Fujitsu Ltd | 暗号化パケット処理システム |
US20120134492A1 (en) * | 2010-11-29 | 2012-05-31 | Hui Liu | Data Encryption and Decryption Method and Apparatus |
CN102781001A (zh) * | 2011-05-10 | 2012-11-14 | 中兴通讯股份有限公司 | 移动终端内置文件加密方法及移动终端 |
CN102447698A (zh) * | 2011-11-29 | 2012-05-09 | 数字金融服务(杭州)有限公司 | 一种网络通信信息加密传输方法 |
CN102693398A (zh) * | 2012-05-09 | 2012-09-26 | 深圳大学 | 一种数据加密方法及*** |
CN103488915A (zh) * | 2013-09-24 | 2014-01-01 | 无锡德思普科技有限公司 | 一种软硬件相结合的双重密钥加密的资源加密解密方法 |
WO2016206504A1 (zh) * | 2015-06-25 | 2016-12-29 | 中兴通讯股份有限公司 | 一种数据加密的方法、解密的方法及装置 |
CN107665310A (zh) * | 2016-07-29 | 2018-02-06 | 四川长虹电器股份有限公司 | 一种移动终端文件的加密存储、读取和删除方法 |
CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制***有限责任公司 | 一种vpn隧道模式优化方法及*** |
CN110868398A (zh) * | 2019-10-17 | 2020-03-06 | 北京全路通信信号研究设计院集团有限公司 | 一种对数据帧加密的方法、解密的方法及装置 |
Non-Patent Citations (4)
Title |
---|
SAHAND MURAD; ASIYA KHAN; STAVROS SHIAELES: "Data Encryption and Fragmentation in Autonomous Vehicles Using Raspberry Pi 3", IEEE, pages 212 - 216 * |
X. LI AND H. YOUSEFI\'ZADEH: "DCP-EW: Distributed Congestion-Control Protocol for Encrypted Wireless Networks", IEEE WIRELESS COMMUNICATION AND NETWORKING CONFERENCE, pages 1 - 6 * |
宋磊,罗其亮,罗毅,涂光瑜: "电力***实时数据通信加密方案", 电力***自动化, no. 14, pages 80 - 85 * |
杨漾;黄小庆;曹一家;张志丹;何杰;: "变电站通信报文安全认证及其实时性仿真", 电力***自动化, no. 13, pages 82 - 87 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338208A (zh) * | 2021-12-31 | 2022-04-12 | 章鱼博士智能技术(上海)有限公司 | 一种报文的数据加密方法及装置、电子设备 |
CN114465775A (zh) * | 2021-12-31 | 2022-05-10 | 华为技术有限公司 | 安全传输方法及装置 |
WO2023125865A1 (zh) * | 2021-12-31 | 2023-07-06 | 华为技术有限公司 | 安全传输方法及装置 |
CN114465775B (zh) * | 2021-12-31 | 2023-10-20 | 华为技术有限公司 | 安全传输方法及装置 |
CN114338208B (zh) * | 2021-12-31 | 2023-11-28 | 章鱼博士智能技术(上海)有限公司 | 一种报文的数据加密方法及装置、电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112073372B (zh) | 2023-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3326322B1 (en) | Method and system for secure key generation over an insecure shared communication medium | |
CN104363091B (zh) | 一种自动检索密钥和选择算法的加解密方法 | |
JP3901909B2 (ja) | 暗号化装置およびプログラムを記録した記録媒体 | |
CN110719165B (zh) | 一种区块链分布式动态网络密钥生成和加密方法 | |
US20120134490A1 (en) | Selective Data Encryption and Decryption Method and Apparatus | |
US8204215B2 (en) | Method and apparatus for encrypting data | |
US20040057579A1 (en) | Roaming hardware paired encryption key generation | |
EP3178190B1 (en) | Encoder, decoder and method | |
CN111654511A (zh) | 一种链式数据加密方法、链式数据解密方法及相应的*** | |
CN112073372B (zh) | 一种电力***通信报文双重加密方法、解密方法和报文交互*** | |
Abusukhon et al. | New direction of cryptography: A review on text-to-image encryption algorithms based on RGB color value | |
CN112332940B (zh) | 一种基于时间同步网络的数据传输方法及相关设备 | |
EP2873187A1 (en) | Method of encrypting data | |
CN111404953A (zh) | 一种消息加密方法、解密方法及相关装置、*** | |
Amorado et al. | Enhanced data encryption standard (DES) algorithm based on filtering and striding techniques | |
Andreeva et al. | AES-COPA v. | |
CN116707804B (zh) | 增强ff1格式保留加密安全性的方法及设备 | |
CN112738037A (zh) | 一种数据加密通信方法 | |
CN110730366A (zh) | 基于位运算的轻量级视频流加密、解密方法及加解密机理 | |
CN117439744A (zh) | 基于业务安全等级的业务数据传输方法及装置 | |
Khaleel et al. | An overview of cryptosystems based on finite automata | |
CN112883398A (zh) | 基于同态加密的数据完整性验证方法 | |
WO2022096141A1 (en) | Method for processing encrypted data | |
CN112954388A (zh) | 一种数据文件的获取方法、装置、终端设备和存储介质 | |
CN111131158A (zh) | 单字节对称加密解密方法、装置及可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |