一种230M无线专网信道用电信息采集系统的安全通信方法技术方案

本发明专利技术涉及一种230M无线专网信道用电信息采集系统的安全通信方法，该方法将公开密钥算法用于点对点通信的身份认证和随机会话密钥的建立，以及广播通信的身份认证，将对称密钥算法用于点对点通信身份认证后的通信报文的身份验签，用散列函数对通信报文进行摘要，将摘要加密后随报文一起发送给对方用于身份验签认证，在报文中加上一个命令认证标志，并一起参与摘要，以抗重放攻击。解决了230M无线专网信道用电信息采集系统在通信过程中可能发生的入侵者假冒主站发送控制或参数变更命令，以及截获主站发送的命令而进行重放攻击造成通信安全风险的问题。

【技术实现步骤摘要】

本专利技术涉及无线通信
，特别涉及安全通信，具体涉及一种230M无线专网信道用电信息采集系统的安全通信方法。
技术介绍
用电信息采集系统是电力营销现代化的重要组成部分，是“SG186”信息系统和营销计量、抄表、收费标准化建设的重要基础，将有力支撑供电企业决策更及时、更科学，推动企业发展实现巨大跨越。“SG186”中的“SG”是国家电网的简称；“1”指的是一体化企业级信息集成平台；“8”就是按照国家电网企业级信息系统建设思路，依托公司企业信息集成平台，在公司总部和公司系统，建设财务（资金）管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理等八大业务应用；“6”是建立健全六个信息化保障体系，分别是：信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。遵循“全覆盖、全采集、全预付费”的目标要求，用电信息采集系统承担着对用电现场的各种用电信息的实时采集与监控任务，不仅具有全面的采集功能，而且还具有完备的远方控制功能，而集成了230M无线专网信道的用电信息采集系统，是通过230M无线电台来实现系统主站与远方终端之间的通信任务，包括对远方终端的远程遥控命令，因此，用电信息采集系统的无线通信安全性问题尤其值得我们关注和研究。在集成了230M无线专网信道的用电信息采集系统中，有关230M无线专网部分的典型通信网络结构如图1所示，用电信息采集系统该部分通信是由一个主站和一定数量的终端所组成，这些终端均处在主站无线天线所发射的无线信号覆盖之下。由于无线信号是开放式的，系统通信如果没有采取适当有效的安全防护措施，定会面临着一定的安全风险，尤其对于这种有远方控制功能的系统，风险将更大。另外，由于用电信息采集系统使用的通信协议必须遵循电力行业标准或电力企业标准，而这些标准均是公开的，更为有意非法入侵者提供了一定的便利。加密是系统通信安全方案的基本技术和方法，目前，主流的加密算法有对称密钥算法和公开密钥算法，对称密钥算法将数据位通过一系列用密钥作为参数的轮变换（置换和转置），从而将明文变成密文。公开密钥算法的特性是：加密和解密使用不同的密钥，并且从加密密钥不可能推导出解密密钥，这一特性使得公开一个密钥（即公钥）成为可能。公钥和私钥是成对出现的，公开的密钥叫公钥，只有自己知道的叫私钥，用公钥加密的数据只有对应的私钥可以解密，用私钥加密的数据只有对应的公钥可以解密，公钥与私钥的作用是：用公钥加密的内容只能用私钥解密，用私钥加密的内容只能用公钥解密。主要的公开密钥算法是RSA公钥加密算法，RSA公钥加密算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的，当时他们三人都在麻省理工学院工作，RSA就是他们三人姓氏开头字母拼在一起组成的。RSA公钥加密算法的强度建立在分解大整数非常困难的基础上，它的缺点是，要想达到好的安全性，它要求至少1024位长度，而相比之下，对称密钥只需128位，这也使得RSA的速度非常慢。在实践中，大多数基于RSA的系统主要利用公开密钥算法来分发一次性会话密钥，再将这些会话密钥用于某个对称密钥算法。这样既解决了对称密钥算法密钥分发及管理的困难，又较好克服了公开密钥算法速度慢的缺点。经分析研究，用电信息采集系统在230M无线专网通信上面临的安全风险主要来自于以下几方面：1)通信主体身份伪造：非法入侵者伪装系统主站，发送控制、更改终端参数等命令，引起系统混乱，甚至造成损失。2)重放攻击：非法入侵者截获通信报文，在以后某个时间再次发送给终端。攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。3)信息窃听：非法入侵者截获通信报文，并对报文内容进行分析、侦听。用电信息采集系统通信报文中与通信安全直接紧密相关的命令主要是参数设置和控制命令，并且对于230M无线专网通信方式，这两个命令不仅存在点对点的通信方式，而且还存在着广播通信方式，因此在通信安全方案中还要考虑广播方式下的报文主体身份的认证问题。归结起来，对系统中203M无线专网部分的通信安全方案的主要要求是：1)对主站下发的参数设置和控制命令应增加报文主体身份的认证；2)不仅要保证点对点报文的身份认证，而且要保证广播报文的身份认证；3)要考虑重放攻击。
技术实现思路
本专利技术的目的是提供一种230M无线专网信道用电信息采集系统的安全通信方法，该方法将公开密钥算法用于点对点通信的身份认证和随机会话密钥的建立，以及广播通信的身份认证，将对称密钥算法用于点对点通信身份认证后的通信报文的身份验签，用散列函数对通信报文进行摘要，将摘要加密后随报文一起发送给对方用于身份验签认证，在报文中加上命令认证标志，并一起参与摘要，以抗重放攻击。用以解决230M无线专网信道用电信息采集系统在通信过程中可能发生的入侵者假冒主站发送控制或参数变更命令，以及截获主站发送的命令而进行重放攻击造成通信安全风险的问题。为实现上述目的，本专利技术的方案是：一种230M无线专网信道用电信息采集系统的安全通信方法，该用电信息采集系统包括一个主站和一组终端，所述主站与各终端均通过无线网络进行通信，所述的通信包括点对点通信和广播通信，该方法包括如下步骤：（1）为防止主站身份伪造，首先由主站向终端发起身份认证请求报文，终端接收到所述的请求报文，并校验正确后，随机产生会话密钥；（2）终端将所述的会话密钥加上一个身份认证标志，用主站的公钥加密，并将所述的身份认证标志作为明码和加密后的会话密钥一起放入应答报文中发送给主站；（3）主站接收到所述的应答报文，并校验正确后，用主站的私钥解密，如果解密出的身份认证标志的值和所述的应答报文中作为明码的身份认证标志的值相等，且在允许的应答延时时间范围内，则完成身份认证，否则重新进行身份认证；（4）在完成身份认证后，由主站根据实际要求组织相应的命令报文，为防止重放攻击，主站在命令报文中加入命令认证标志，并对命令报文和命令认证标志进行散列运算得到散列值；（5）主站对所述的散列值进行加密，并将加密后的散列值、命令报文以及命令认证标志一起发送给终端；（6）终端接收到命令报文并校验正确后，对散列值进行解密，同时对接收到的命令报文和命令认证标志进行散列运算；（7）如果所述的本文档来自技高网...

【技术保护点】
一种230M无线专网信道用电信息采集系统的安全通信方法，该用电信息采集系统包括一个主站和一组终端，所述主站与各终端均通过无线网络进行通信，所述的通信包括点对点通信和广播通信，其特征在于该方法包括如下步骤： （1）为防止主站身份伪造，首先由主站向终端发起身份认证请求报文，终端接收到所述的请求报文，并校验正确后，随机产生会话密钥； （2）终端将所述的会话密钥加上一个身份认证标志，用主站的公钥加密，并将所述的身份认证标志作为明码和加密后的会话密钥一起放入应答报文中发送给主站； （3）主站接收到所述的应答报文，并校验正确后，用主站的私钥解密，如果解密出的身份认证标志的值和所述的应答报文中作为明码的身份认证标志的值相等，且在允许的应答延时时间范围内，则完成身份认证，否则重新进行身份认证； （4）在完成身份认证后，由主站根据实际要求组织相应的命令报文，为防止重放攻击，主站在命令报文中加入命令认证标志，并对命令报文和命令认证标志进行散列运算得到散列值； （5）主站对所述的散列值进行加密，并将加密后的散列值、命令报文以及命令认证标志一起发送给终端； （6）终端接收到命令报文并校验正确后，对散列值进行解密，同时对接收到的命令报文和命令认证标志进行散列运算； （7）如果所述的步骤（6）中，解密后的散列值和散列运算得到的散列值一致，则对于点对点通信，终端按主站的命令报文执行相应操作，并产生应答报文发送给主站；对于广播通信，终端按主站的命令报文执行相应操作；如果步骤（6）解密后的散列值和散列运算得到的散列值不一致，则放弃接收到的命令报文； （8）此次通信结束，主站完成一次命令控制，终端恢复等候状态，等待主站的下一次命令。...

【技术特征摘要】
1.一种230M无线专网信道用电信息采集系统的安全通信方法，该用电信息采集系统包括一个主站和一组终端，所述主站与各终端均通过无线网络进行通信，所述的通信包括点对点通信和广播通信，其特征在于该方法包括如下步骤： 
（1）为防止主站身份伪造，首先由主站向终端发起身份认证请求报文，终端接收到所述的请求报文，并校验正确后，随机产生会话密钥； 
（2）终端将所述的会话密钥加上一个身份认证标志，用主站的公钥加密，并将所述的身份认证标志作为明码和加密后的会话密钥一起放入应答报文中发送给主站； 
（3）主站接收到所述的应答报文，并校验正确后，用主站的私钥解密，如果解密出的身份认证标志的值和所述的应答报文中作为明码的身份认证标志的值相等，且在允许的应答延时时间范围内，则完成身份认证，否则重新进行身份认证； 
（4）在完成身份认证后，由主站根据实际要求组织相应的命令报文，为防止重放攻击，主站在命令报文中加入命令认证标志，并对命令报文和命令认证标志进行散列运算得到散列值； 
（5）主站对所述的散列值进行加密，并将加密后的散列值、命令报文以及命令认证标志一起发送给终端； 
（6）终端接收到命令报文并校验正确后，对散列值进行解密，同时对接收到的命令报文和命令认证标志进行散列运算； 
（7）如果所述的步骤（6）中，解密后的散列值和散列运算得到的散列值一致，则对于点对点通信，终端按主站的命令报文执行相应操作，并产生应答报文发送给主站；对于广播通信，终端按主站的命令报文执行相应操作；如果步骤（6）解密后的散列值和散列运算得到的散列值不一致，则放弃接收到的命令报文； 
（8）此次通信结束，主站完成一次命令控制，终端恢复等候状态，等待主站的下一次命令。 
2.根据权利要求1所述的230M无线专网信道用电信息采集系统的安全通信方法，其特征在于所述的步骤（1）中，所述的身份认证标志为时间戳。 
3.根据权利要求1所述的2...

【专利技术属性】
技术研发人员：郑庆荣，陈湘瑜，赵建立，李力，
申请(专利权)人：国网上海市电力公司，上海协同科技股份有限公司，
类型：发明
国别省市：上海;31