一种实现交直流控制保护系统网络数据安全的方法技术方案

本发明专利技术公开了一种实现交直流控制保护系统网络数据安全的方法，该方法利用预设的置换算法对产生的密钥按比特位置进行位置置换，并利用置换后的密钥和预设的加密算法对报文的负载和签名加密并组成密文；接收端收到报文通过预设的逆置换算法对动态密钥进行还原，然后利用还原后的密钥和预设的加密算法对密文进行解密，得到报文负载和签名；对接收的报文进行验证签名时，利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证。本发明专利技术方法控制保护系统内的网络报文实现了加密传输，系统外的装置截获报文后不能够解析内容，也不能够伪造报文注入到系统内，保证了系统内网络数据的安全。

A method to realize the network data security of AC / DC control and protection system

【技术实现步骤摘要】
一种实现交直流控制保护系统网络数据安全的方法
本专利技术属于电力继电保护领域，特别涉及一种实现交直流控制保护系统网络数据安全的方法。
技术介绍
以太网是一种局域网技术。IEEE组织的IEEE802.3协议制定了以太网的技术标准。以太网是目前应用最普及的局域网技术，从运行的速率可以分为快速以太网、千兆以太网和万兆以太网。在以太网链路上的数据包称作以太帧。以太帧起始部分由前导码和帧开始符组成。后面紧跟着一个以太网报头，以MAC地址说明目的地址和源地址。帧的中部是该帧负载的包含其他协议报头的数据包(例如IP协议)。以太帧由一个32位冗余校验码结尾。它用于检验数据传输是否出现损坏。直流换流站与交流变电站控制保护系统中，大量使用以太网作为通信手段，各种核心业务，如GOOSE、SMV以及直流主机间，系统间，极点通信等，均采用明文通信方式。虽然直流换流站和交流变电站采用网络隔离的方法把站内的局域网与外界的网络划分为独立的网络，保证内外网之间没有物理连接，这样的组网能够保证内网的信息安全。但简单的物理隔离仍然存在很大的漏洞和缺陷。例如入侵者可以将便携式计算机等设备接入到内网与其它网络设备通讯，截获、窃取保密资料。简单的明文通信容易被拦截，识别和破解，有明显的安全隐患。
技术实现思路
本专利技术的目的，在于提供一种实现交直流控制保护系统网络数据安全的方法，能够实现网络报文的加密传输，系统外的装置截获报文后不能够解析内容，也不能够伪造报文注入到系统内，保证了系统内网络数据的安全。为了达成上述目的，本专利技术公开了一种实现交直流控制保护系统网络数据安全的方法，其特征在于，包括以下步骤：系统中装置在链路层对网络报文进行签名、加密和位置置换后发送；装置接收网络报文后，在链路层对报文进行位置置换提取密钥、解密和验证签名后再使用。发送装置针对发送的每帧报文产生密钥，并利用置换算法对密钥按比特位置进行位置置换；发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名，利用预设的加密算法对报文负载和签名加密，将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置；接收装置利用预设的置换算法对密钥进行还原，利用还原后的密钥和预设的加密算法对密文进行解密，得到报文负载和签名；接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证，通过验证，则报文安全。进一步地，系统中装置针对发送的每帧报文产生不同动态密钥,装置通过定时器的输出来产生动态密钥，所采用的密钥生成算法为：FrameKeyN＝K(TimerN)其中，FrameKeyN为每帧报文的密钥，TimerN为N位定时器的实时值，K为产生密钥的函数。本专利技术的有益效果：1、本专利技术实现网络报文的加密传输，系统外的装置截获报文后不能够解析内容，也不能够伪造报文注入到系统内，保证了系统内网络数据的安全；本专利技术通过采用置换算法将产生的密钥进行按位置换产生了随机的密钥；增加了对报文解析的难度；2、本专利技术针对发送的每帧报文产生不同动态密钥，增加了截获解密的难度；3、本专利技术中的签名、加密和置换运算均采用单独的处理器实现，减小发送装置的中央处理单元的负载且更加安全。附图说明图1是本专利技术的结构示意图；图2是对网络报文加密时报文内容的变化；图3是对网络报文解密时报文内容的变化。具体实施方式以下结合附图，对本专利技术的实施进行详细说明。实施例：一种实现交直流控制保护系统网络数据安全的方法，包括：发送装置针对发送的每帧报文产生密钥，并利用置换算法对密钥按比特位置进行位置置换；发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名，利用预设的加密算法对报文负载和签名加密，将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置；接收装置利用预设的置换算法对密钥进行还原，利用还原后的密钥和预设的加密算法对密文进行解密，得到报文负载和签名；接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证，通过验证，则报文安全。在以上实施例的基础上，为了增加了截获解密的难度，另一实施例中：系统中发送装置针对发送的每帧报文产生不同的动态密钥。特征在于系统中装置针对发送的每帧报文产生不同动态密钥，装置利用FPGA(也可以采用其它处理器)维护一个N位的定时器，通过定时器的输出来产生动态密钥，所采用的密钥生成算法为：FrameKeyN＝K(TimerN)其中，FrameKeyN为每帧报文的密钥，TimerN为N位定时器的实时值，K为产生密钥的函数。可选地，动态密钥位于报文类型后，报文负载前。具体实施例中，利用预设的签名算法对动态密钥和报文负载进行签名，签名的结果放在报文负载后，报文校验前，所采用的签名算法为：SignatureN＝H(FrameKeyN,FramePayloadN)其中,FrameKeyN为动态密钥，FramePayloadN为报文负载，H为发送和接收装置预设的签名算法。对发送的报文进行加密时，利用签名时产生的密钥和预设的加密算法对报文的负载和签名加密,所采用的加密算法为：CiphertextN＝E(FrameKeyN,(FramePayloadN,SignatureN))其中，CiphertextN为加密后的报文，FrameKeyN为加密用的密钥，(FramePayloadN,SignatureN)为报文负载和签名，E为预设的加密算法。对发送的报文进行加密时，利用预设的置换算法对动态密钥按比特位置进行位置置换，置换后的密钥和加密后的负载及签名组成密文，所采用的置换算法为：RkeyN＝R(FrameKeyN)其中，RkeyN为置换后的密钥，FrameKeyN为置换前的密钥，R为预设的置换算法。对接收的报文进行解密时，先通过预设的逆置换算法对动态密钥进行还原，所采用的逆置换算法为：FrameKeyN＝R-1(RkeyN)其中，FrameKeyN为还原后的密钥，RkeyN为置换后的密钥，R-1为权利要求6中的预设的置换算法R的逆函数。如图1所示，系统中装置在链路层对网络报文进行签名、动态加密和位置置换后发送；装置接收网络报文后，在链路层对报文进行位置置换提取动态密钥、解密和验证签名后再使用。如图1和图2所示：该方法对发送的报文进行签名时，先产生一个动态密钥，动态密钥放在报文类型(即图2、图3中的帧类型)后，报文负载前，然后利用预设的签名算法对密钥和报文负载进行签名，签名的结果放在报文负载后，报文校验前；该方法对发送的报文进行加密时，利用签名时产生的密钥和预设的加密算法对报文的负载和签名加密，同时利用预设的置换算法对动态密钥按比特位置进行位置置换，置换后的密钥和加密后的负载及签名组成密文。如图1和图3所示：该方法对接收的报文进行解密时，先通过预设的置换算法本文档来自技高网...

【技术保护点】
1.一种实现交直流控制保护系统网络数据安全的方法，其特征在于,包括：/n发送装置针对发送的每帧报文产生密钥，并利用置换算法对密钥按比特位置进行位置置换；/n发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名，利用预设的加密算法对报文负载和签名加密，将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置；/n接收装置利用预设的置换算法对密钥进行还原，利用还原后的密钥和预设的加密算法对密文进行解密，得到报文负载和签名；/n接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证，通过验证，则报文安全。/n

【技术特征摘要】
1.一种实现交直流控制保护系统网络数据安全的方法，其特征在于,包括：
发送装置针对发送的每帧报文产生密钥，并利用置换算法对密钥按比特位置进行位置置换；
发送装置利用预设的签名算法对置换后的密钥和报文负载进行签名，利用预设的加密算法对报文负载和签名加密，将置换后的密钥以及加密后的报文负载和签名以报文形式发送至接收装置；
接收装置利用预设的置换算法对密钥进行还原，利用还原后的密钥和预设的加密算法对密文进行解密，得到报文负载和签名；
接收装置利用预设的签名算法对还原后的密钥和解密后的报文负载进签名验证，通过验证，则报文安全。


2.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法，其特征在于，发送装置针对发送的每帧报文产生不同动态密钥。


3.如权利要求2所述的一种实现交直流控制保护系统网络数据安全的方法，其特征在于，发送装置通过定时器的输出来产生动态密钥，所采用的密钥生成算法为：
FrameKeyN＝K(TimerN)
其中，FrameKeyN为每帧报文的密钥，TimerN为N位定时器的实时值，K为产生密钥的函数。


4.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法，其特征在于，所述密钥位于报文中的帧类型后，报文负载前。


5.如权利要求1所述的一种实现交直流控制保护系统网络数据安全的方法，其特征在于，利用预设的签名算法对密钥和报文负载进行签名，所采用的签名算法为：
SignatureN＝H(FrameKeyN,FramePayloadN)
其中,FrameKeyN为密钥，FramePayloadN为报文负载，H为发送和接收装置预设的签名算法。


6...

【专利技术属性】
技术研发人员：刘井密，文继锋，李彦，徐征宇，刘国伟，周强，李响，赵天恩，许宗光，徐康，
申请(专利权)人：南京南瑞继保电气有限公司，南京南瑞继保工程技术有限公司，
类型：发明
国别省市：江苏;32