The invention discloses a method for secure access of distribution wireless terminal based on domestic commercial cryptographic algorithm, which is characterized by the following steps: 1) bidirectional identity authentication and key agreement before the interaction between distribution wireless terminal and secure access data; 2) original communication when normal data communication between distribution wireless terminal and secure access gateway is carried out. The data is filled with messages, and the original data and the filled messages are encrypted by the symmetric encryption algorithm made in China. 3) After receiving the encrypted messages, the encrypted data is decrypted based on the symmetric encryption algorithm made in China, and the original data and the filled messages after decryption are checked. Advantages: It can resist replay attack; the attacker can not obtain symmetrical encryption key, decrypt the ciphertext transmission data, and can not eavesdrop or tamper with the sensitive interactive information between the distribution wireless terminal and the main station, thus realizing the protection of the confidentiality and integrity of sensitive interactive information.
【技术实现步骤摘要】
一种配电无线终端安全接入的方法
本专利技术涉及一种配电无线终端安全接入的方法,属于网络接入
技术介绍
配电自动化系统非法终端接入的问题:现场配电无线终端可通过无线网络(3G/4G等)接入配电自动化系统,目前安全防护措施相对薄弱,而攻击者的攻击水平不断增强,导致点多面广的配电自动化系统面临来自无线终端的攻击风险。系统中不对终端进行强身份认证,则非法终端接入的可能性加大。非法终端可通过复制SIM卡接入到公司网络,对同网络内配电无线终端发起攻击,甚至威胁配电自动化主站系统。配电自动化系统通信数据被窃取或被破坏的问题:配电无线终端与配电自动化主站系统进行信息交互时,敏感数据在无线网络中传输,并且以明文的方式存在,攻击者可以通过抓取数据包的方式窃取到配电自动化系统的敏感信息,或者对数据包进行修改,配电自动化系统的敏感数据的完整性则遭到破坏,直接导致配电无线终端与配电自动化主站系统的交互出现异常,将影响到业务系统的正常运行。国际商用密码算法存在安全隐患的问题:"棱镜门"事件、RSA非对称算法存在后门、1024位RSA非对称密码算法和256位的AES对称密码算法面临日益严重的安全威胁等问题的发生,证明采用国际商用密码必然存在着信息安全隐患。并且从国家安全的角度看,采用国外的密码算法存在着或多或少的安全风险。
技术实现思路
本专利技术所要解决的技术问题是克服现有技术缺少抗重放攻击机制,容易被攻击者利用,攻击者可进行重放攻击;网关与终端完成身份认证后,未进行加密通信,明文数据易被攻击者窃取的缺陷,提供一种配电无线终端安全接入的方法。为解决上述技术问题,本专利技术提供一 ...
【技术保护点】
1.一种配电无线终端安全接入方法,其特征在于,包括如下步骤:1)配电无线终端与安全接入网关建立连接之后,数据交互之前,使用国产非对称加密算法进行双向的身份认证及密钥协商;2)配电无线终端与安全接入网关进行正常数据通信时,对通信的原始数据进行报文填充,并对原始数据及填充报文使用国产对称加密算法进行加密;3)收到加密报文后对密文数据基于国产对称加密算法进行解密,对解密后的原始数据及填充报文进行检查。
【技术特征摘要】
1.一种配电无线终端安全接入方法,其特征在于,包括如下步骤:1)配电无线终端与安全接入网关建立连接之后,数据交互之前,使用国产非对称加密算法进行双向的身份认证及密钥协商;2)配电无线终端与安全接入网关进行正常数据通信时,对通信的原始数据进行报文填充,并对原始数据及填充报文使用国产对称加密算法进行加密;3)收到加密报文后对密文数据基于国产对称加密算法进行解密,对解密后的原始数据及填充报文进行检查。2.根据权利要求1所述的配电无线终端安全接入方法,其特征在于,所述步骤1)包括如下步骤:11)配电无线终端产生随机数r1,作:A=ECert2(r1)‖ESkey1(H(r1)),将第一数据包序列号、A、第一数据包帧校验码发送到安全接入网关;12)安全接入网关通过第一数据包序列号判断数据包是否被重放,通过第一数据包帧校验码判断数据包是否被篡改,对A解密并验证配电无线终端的签名,产生随机数r2,作:B=ECert1(r2)‖ESkey2(H(r2)),将第二数据包序列号、B、第二数据包帧校验码发送到配电无线终端,以使配电无线终端合成会话密钥:13)配电无线终端通过第二数据包序列号判断数据包是否被重放,通过第二数据包帧校验码判断数据包是否被篡改,对B解密并验证安全接入网关的签名,根据会话密钥:配电无线终端作将第三数据包序列号、C、第三数据包帧校验码发送到安全接入网关;安全接入网关作并比较C与D是否相同;若相同,则此时双方已经验证对方身份,并持有会话密钥:若不同,则安全接入网关给出协商失败告警信息,通知配电无线终端,由配电无线终端重新发起协商,若连续协商失败次数超过预先设置值,则需给出严重告警信息;其中,r1、r2分别为配电无线终端和安全接入网关采用至少两个物理随机源产生,以确保数据的随机性,Cert1和Cert2分别为配电无线终端和安全接入网关的SM2公钥,Skey1和Skey2分别为配电无线终端和安全接入网关的SM2私钥,EX(Y)表示用X对Y作SM2加密运算,H(Y)表示对Y作SM3散列运算,第一数据包序列号、第二数据报序列号和第三数据报序列号分别为配电无线终端预置的序列号、无线终端预置的序列号+1和无线终端预置的序列号+2,第一数据包帧校验码为终端发给网关的数据包帧校验码FCS1,第二数据包帧校验码为网关发给终端的数据包帧校验码FCS2,第三数据包帧校验码为终端发给网关的数据包帧校验码FCS3。3.根据权利要求1所述的配电无线终端安全接入方法,其特征在于,所述步骤2)包括如下步骤:21)加密侧对原始数据填充1~16字节,使其长度为16的倍数,若原始长度为16的倍数时填充1...
【专利技术属性】
技术研发人员:韦小刚,黄益彬,邵志敏,陈玉峰,郭靓,邓进,
申请(专利权)人:国家电网有限公司,南京南瑞信息通信科技有限公司,国网山东省电力公司电力科学研究院,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。