一种针对远程测控终端系统的SM2\SM3\SM4混合加密方法技术方案

本发明专利技术公开了一种针对远程测控终端系统的SM2\SM3\SM4混合加密方法，属于工业控制信息安全相关领域，以及一种包括基于椭圆曲线的数字签名密钥分配方案，软件部分采用嵌入式Linux安全加固操作系统，SSL加密的WEB管理界面，确保加密速率不低于20MB/s的目标下，实现了对数据采集与监视控制系统软件端到端的信源加密。所提出的混合加密算法数据传输速度有所提高，理论值达到33MB/s。提出了一种基于求解椭圆曲线离散对数问题的困难性的数字签名的可认证密钥分配方案，该方案可对会议密钥和签发者进行认证。

【技术实现步骤摘要】

本专利技术涉及一种针对远程测控终端系统(RTU)的SM2\\SM3\\SM4混合加密方法，属于工业控制信息安全相关领域。
技术介绍
近些年，通讯技术、计算机技术、网络技术、控制技术取得了突飞猛进的进展，新技术被广泛应用于各种自动控制系统装置上，新的自动控制产品不断出现，成熟的自动控制产品不断升级，新技术的出现驱动了行业产业升级。远程测控终端系统(RTU)是构成综合自动化系统的核心装置。早期的RTU只能进行简单的数据采集，和一些开关量的控制且通信能力较弱，多数产品采用自定义的非标准协议。经过多年的发展，现阶段RTU具备PID控制功能、自动检测、自动存储、加密传输、拒绝非法IP地址访问等功能。国内的RTU产品主要应用在油田自动化、输油输气管网监控系统、城市供水、供气管网监控系统。在这些行业早期的应用中使用的几乎全都是国外的RTU产品。我国的RTU技术和产品起步较晚，近些年国内一些企业开始自己设计RTU，其设计思想基本上跟随国际的发展路线。但目前真正具备RTU设计和开发能力的企业并不多，其产品与国际顶尖RTU产品也有一定的差距。主要差距表现在产品的可靠性、标准性和通用性上。随着伊朗“震网病毒”的爆发，引发了工控领域针对RTU安全性、可靠性的新一轮研究，RTU技术正向着具有稳定性、安全性的智能化方向发展。由于安全性是目前通信网络中最大的问题，智能化RTU可将数据在传输前进行加密，也可以拒绝那些来自未知地址的访问。RTU目前在油气储运、管道传输、天然气门站等方面广泛应用，而安全性更是重中之重。当前，工控系统的实时数据大多采用Modem通过载波、微波或E1远动信道传输到调度端；极少数采用了UDP方式，且应用其他技术实现了实时数据网和外网的完全隔离，实时数据的安全问题并不突出。而对以光纤十同步数字系列(SDH)+网际协议(IP)技术为主的第4代能量管理系统(EMS)，将主要采用TCP/IP协议。由此带来的实时数据的网络安全问题也浮出水面。工控系统数据网络上传输的数据非常混杂。应考虑加密的信息包括下行数据、上传数据、管理数据，根据这些加密信息的价值、加密要求和防御成功代价的大小，需要选择不同的加密策略。针对传统的工业控制系统所面临的信息安全的问题，专利技术了针对远程测控终端系统(RTU)的SM2\\SM3\\SM4混合加密方法以及一种数字签名密钥分配方案。
技术实现思路
针对传统的工业控制系统所面临的信息安全的问题，为了实现数据采集与监视控制系统(SCADA)软件端到端的信源加密，且加密速率不低于20MB/s，专利技术包括了一种针对远程测控终端系统(RTU)的SM2\\SM3\\SM4混合加密方法，以及一种包括基于椭圆曲线的数字签名密钥分配方案，该方法能有效的对RTU数据进行加密，提高了工业控制系统的安全性、可靠性、稳定性。本专利技术软件部分采用嵌入式Linux安全加固操作系统，SSL加密的WEB管理界面，在用户账号安全、网络服务安全、系统设置安全、文件系统安全、日志系统安全等方面加强防护，具有极高的安全性和可靠性。该方法包括如下技术流程：密钥分配及数字签名技术方案，包括基于椭圆曲线的数字签名密钥分配方案。本方案基于基本ECDSA方案：ECDSA签名过程如下，(1)A选择一个整数t,1＜t＜n计算tP＝(x,y),r＝xmodn；(2)计算e＝h(m)；(3)计算s＝t-1(e+rk)modn(4)m签名为(s,r)签名的验证：(1)计算e＝h(m)(2)计算u＝s-1e,v＝s-1r(3)计算(x1,y1)＝uP+vPk,r1＝x1modn(4)如果r＝r1接受这个签名利用签名方程u＝ωt+vk，令u,ω,v取e,s,r给出签名方案的集中，选择其中的一个方程推导出签名方案：(1)e＝st+rk,(2)e＝rt+sk,(3)s＝et+rk,(4)r＝et+sk,(5)r＝st+ekECDSA方案就是u,ω,v取e,-r,s可认证会话密钥分配方案：设系统参数是(FqEPn)，其中Fq为一个有限域，椭圆曲线为E，P是E上的一个有理数点，称为基点，n是P的阶，系统的每一个用户有一个私钥k，公钥是Pk＝kP。系统有一个Hash函数h。若K个相同的点相加，表示为KP；通信双方为A、B，通信双方A、B的私钥分别为kA、kB，通信双方A、B的公钥为PA＝PkA，PB＝PkB；由通信方A选择会话密钥。由第三个方程式(3)s＝et+rk出发，经过变换得到签名等式s＝t-1(e+rk)，由于是密钥分配，所以取e＝1，签名等式为s＝t-1(1+rk)。步骤1：通信方A随机选择一个整数t，1＜t＜n，并选择会话密钥k，将k映射为E(Fq)上的点G开。步骤1.1A计算Q＝G+tPB,tP＝(x,y)取r＝xmodn；步骤1.2A计算s＝t-1(1+rkA)modn，通信方A将(Q,r,s)传送给通信方B。步骤2：通信方B接收到(Q,r,s)后，计算：s-1modn和M＝(x*,y*)＝s-1(P+rPA)若r＝x*modn则通信方B接受通信方A的签名，即认证通信方A，然后通信方B计算：G*＝Q-knM，并将G*CE映射到k，此即为会话密钥。在此方案基础上，有相应的可认证会议密钥分配方案。认证会议密钥分配方案：设系统参数是(Fq,E,P,n)，C为会议主席，会议成员为(j＝1,2...m)，密钥分别为kc,kj，公钥为PG＝kGP,Pj＝kjP由C选择会话密钥。步骤1：C选择会议密钥k，并为每个成员随机选择一个整数tj,1＜tj＜n，将k映射为E上的点(Fq)，映射方法公开。(1)C计算Qj＝G+tjPjtjP＝(xj,yj)取rj＝xjmodn(2)C计算sj＝tj-1(1+rjkc)modn(j＝1,2...m)C将(Qj,rj,sj)传送给每一位Uj。步骤2：每位Uj接收到(Qj,rj,sj)后，计算：(1)s-1jmodn(2)Mj＝(xj*,yj*)＝sj-1(P+rjPc)若rj＝xj*modn则Uj接受C的签名，即认证C，然后Uj计算：G*＝Qj-kjMj；并将G*映射到k，此即为会话密钥。本专利技术在确保加密速率不低于20MB/s的目标下，实现了对数据采集与监视控制系统(SCADA)软件端到端的信源加密，数字证书身份认证等功能模块与核心芯片(SSX45)的融合协同等技术难题。提出了一种混合数据加密算法技术(基于航天芯片(SSX45)，所提出的SM2\\SM3\\SM1加密算法通过增大包数据大小的方法，减少加解密次数，提高数据传输过程中的速度，理论值达到33MB/s以上。包括基于椭圆曲线的数字签名密钥分配方案。实现了对于工业控制系统安全性、稳定性的有效提升。本专利技术所涉及到的方案技术效果包括：1、确保加密速率不低于20MB/s的目标下，实现了对数据采集与监视控制系统(SCADA)软件端到端的信源加密。2、所提出的混合加密算法数据传输速度有所提高，理论值达到33MB/s。提出了一种基于求解椭圆曲线离散对数问题的困难性的数字签名的可认证密钥分配方案，该方案可对会议密钥和签发者进行认证附图说明图1为软件设计框图。具体实施方式一种针对远程测控终端系统(RTU)的SM2\\SM3\\SM4混合加密方法软件设计如图1所示。密码子系统中底层深本文档来自技高网...

【技术保护点】
一种针对远程测控终端系统的SM2\SM3\SM4混合加密方法，本方法的软件部分采用嵌入式Linux安全加固操作系统，SSL加密的WEB管理界面，在用户账号安全、网络服务安全、系统设置安全、文件系统安全、日志系统安全方面加强防护，具有极高的安全性和可靠性；其特征在于：该方法包括如下流程，密钥分配及数字签名技术方案，包括基于椭圆曲线的数字签名密钥分配方案；本方案基于基本ECDSA方案：ECDSA签名过程如下，(1)A选择一个整数t,1＜t＜n计算tP＝(x,y),r＝x mod n；(2)计算e＝h(m)；(3)计算s＝t‑1(e+rk)mod n(4)m签名为(s,r)签名的验证：(1)计算e＝h(m)(2)计算u＝s‑1e,v＝s‑1r(3)计算(x1,y1)＝uP+vPk,r1＝x1mod n(4)如果r＝r1接受这个签名利用签名方程u＝ωt+vk，令u,ω,v取e,s,r给出签名方案的集中，选择其中的一个方程推导出签名方案：(1)e＝st+rk,(2)e＝rt+sk,(3)s＝et+rk,(4)r＝et+sk,(5)r＝st+ek ECDSA方案就是u,ω,v取e,‑r,s可认证会话密钥分配方案：设系统参数是(Fq E P n)，其中Fq为一个有限域，椭圆曲线为E，P是E上的一个有理数点，称为基点，n是P的阶，系统的每一个用户有一个私钥k，公钥是Pk＝kP；系统有一个Hash函数h；若K个相同的点相加，表示为KP；通信双方为A、B，通信双方A、B的私钥分别为kA、kB，通信双方A、B的公钥为PA＝PkA，PB＝PkB；由通信方A选择会话密钥；由第三个方程式(3)s＝et+rk出发，经过变换得到签名等式s＝t‑1(e+rk)，由于是密钥分配，所以取e＝1，签名等式为s＝t‑1(1+rk)；步骤1：通信方A随机选择一个整数t，1＜t＜n，并选择会话密钥k，将k映射为E(Fq)上的点G开；步骤1.1A计算Q＝G+tPB,tP＝(x,y)取r＝x mod n；步骤1.2A计算s＝t‑1(1+rkA)mod n，通信方A将(Q,r,s)传送给通信方B；步骤2：通信方B接收到(Q,r,s)后，计算：s‑1mod n和M＝(x*,y*)＝s‑1(P+rPA)若r＝x*mod n则通信方B接受通信方A的签名，即认证通信方A，然后通信方B计算：G*＝Q‑knM，并将G*CE映射到k，此即为会话密钥；在此方案基础上，有相应的可认证会议密钥分配方案；认证会议密钥分配方案：设系统参数是(Fq,E,P,n)，C为会议主席，会议成员为(j＝1,2...m)，密钥分别为kc,kj，公钥为PG＝kGP，Pj＝kjP由C选择会话密钥；步骤1：C选择会议密钥k，并为每个成员随机选择一个整数tj,1＜tj＜n，将k映射为E上的点(Fq)，映射方法公开；(1)C计算Qj＝G+tjPjtjP＝(xj,yj)取rj＝xjmod n(2)C计算sj＝tj‑1(1+rjkc)mod n(j＝1,2...m)C将(Qj,rj,sj)传送给每一位Uj；步骤2：每位Uj接收到(Qj,rj,sj)后，计算：(1)s‑1jmod n(2)若rj＝xj*mod n则Uj接受C的签名，即认证C，然后Uj计算：G*＝Qj‑kjMj；并将G*映射到k，此即为会话密钥。...

【技术特征摘要】
1.一种针对远程测控终端系统的SM2\\SM3\\SM4混合加密方法，本方法的软件部分采用嵌入式Linux安全加固操作系统，SSL加密的WEB管理界面，在用户账号安全、网络服务安全、系统设置安全、文件系统安全、日志系统安全方面加强防护，具有极高的安全性和可靠性；其特征在于：该方法包括如下流程，密钥分配及数字签名技术方案，包括基于椭圆曲线的数字签名密钥分配方案；本方案基于基本ECDSA方案：ECDSA签名过程如下，(1)A选择一个整数t,1＜t＜n计算tP＝(x,y),r＝xmodn；(2)计算e＝h(m)；(3)计算s＝t-1(e+rk)modn(4)m签名为(s,r)签名的验证：(1)计算e＝h(m)(2)计算u＝s-1e,v＝s-1r(3)计算(x1,y1)＝uP+vPk,r1＝x1modn(4)如果r＝r1接受这个签名利用签名方程u＝ωt+vk，令u,ω,v取e,s,r给出签名方案的集中，选择其中的一个方程推导出签名方案：(1)e＝st+rk,(2)e＝rt+sk,(3)s＝et+rk,(4)r＝et+sk,(5)r＝st+ekECDSA方案就是u,ω,v取e,-r,s可认证会话密钥分配方案：设系统参数是(FqEPn)，其中Fq为一个有限域，椭圆曲线为E，P是E上的一个有理数点，称为基点，n是P的阶，系统的每一个用户有一个私钥k，公钥是Pk＝kP；系统有一个Hash函数h；若K个相同的点相加，表示为KP；通信双方为A、B，通信双方A、B的私钥分别为kA、kB，通信双方A、B的公钥为PA＝PkA，PB＝PkB；由通信方A选择会话密钥；由第三个方程式(3)s＝et+rk出发，经过变换得到签名等式s＝t-1(e+rk)，由于是密钥分配，所以取e＝1，签名等式为s＝t-1(1+rk)；步骤1：通信方A随机选择一个整数t，1＜t＜n，并选择会话密钥k，将k映射为E(Fq)上的点G开；步骤1.1A计算Q＝G+tPB,tP＝(x,y)取r＝xmodn；步骤1.2A计算s＝t-1(1+rkA)modn，通信方A将(Q,r,s)传送给通信方B；步骤2：通信方B接收到(Q,r,s)后，计算：s-1modn和M＝(x*,y*)＝s-1(P+rPA)若r＝x*modn则通信方B接受通信方A的签名，即认证通信方A，然后通信方B计算：G*＝Q-knM，并将G*CE映射到k，此即为会话密钥；在此方案基...

【专利技术属性】
技术研发人员：石慧，赵东伟，曾伟兵，王志先，方旭，梁金义，吴荫鸿，
申请(专利权)人：中国航天系统工程有限公司，
类型：发明
国别省市：北京;11