本发明是关于电力信息系统领域,特别是关于一种电力专用的安全加密方法、密钥共享方法以及安全加密隔离网关。
背景技术
电信息采集系统(简称用采系统)是居民、企业用电基础设施中的关键业务系统,其包括:采集系统主站、通信信道、通信前置和终端设备。用采系统集中部署,终端设备通过运营商gprs/cdma/3g/4g无线apn专网、230无线专网、北斗网等无线专网和光纤专用通道接入用采系统主站。然而,用采系统主站容易受到来自公共网络的各种攻击,因此需要在用采系统主站的接入区加强安全防护,以达到对用采主站的网络隔离、终端身份认证、业务协议过滤以及业务报文传输保护等目的,从而降低用采主站系统接入边界的入侵风险。
从功能上看,传统安全接入网关设备主要实现终端经由安全通道层的安全认证、接入,建立双向加密隧道对应用系统数据加密等功能,密码算法一般采用国际通用算法,很少有支持国密算法sm1/sm2/sm3的安全接入网关设备。同时,传统的安全接入网关设备一般不具备网络安全隔离功能,也无法满足用采系统终端数量众多,设备性能较高的要求(sm1加密速率2.4gbps,sm2签名速率20000tps,sm2验签速率10000tps,sm3运算速率8gbps,终端接入量60万/台)。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
技术实现要素:
本发明的目的在于提供一种电力专用的安全加密方法,其能够有效防止来自外网的攻击,可靠性高。
本发明的另一目的在于提供一种密钥共享方法以及安全加密隔离网关。
为实现上述目的,本发明提供了一种电力专用的安全加密方法,包括如下步骤:接收下行链路上的数据包;查询本地是否有接收数据包的接收方终端的会话密钥;如果本地没有会话密钥,则向密钥共享服务器查询是否有接收数据包的接收方终端的会话密钥;如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;如果经由会话密钥协商流程,判断接收方终端为合法用户,则使用会话密钥将数据包进行加密;对经过加密的数据包进行mac运算,得到数据包的mac部分;以及将经过加密的数据包以及数据包的mac部分封装为sal协议报文。
在一优选的实施方式中,其中,会话密钥协商流程包括如下步骤:向接收方终端发送会话建立请求报文;由接收方终端基于会话建立请求报文判断安全网关身份;如果判断安全网关是合法安全网关,由接收方终端发送会话建立响应报文;由安全网关对会话建立响应报文进行签名验证;如果判断接收方终端为合法用户,则向接收方终端发送密钥协商请求报文;以及在接收到密钥协商请求报文后,由接收方终端发送密钥协商响应报文。
本发明还提供了一种电力专用的安全加密方法,包括如下步骤:接收上行链路上的数据包;对数据包进行头尾校验以及解封装;查询本地是否有发送数据包的发送方终端的会话密钥;如果本地没有会话密钥,则向密钥共享服务器查询是否有发送数据包的发送方终端的会话密钥;如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;如果经由会话密钥协商流程,判断发送方终端为合法用户,则利用经过协商得到的会话密钥对数据包进行解密;以及将解密之后的数据包发送给采集前置。
在一优选的实施方式中,会话密钥协商流程包括如下步骤:向发送方终端发送会话建立请求报文;由发送方终端基于会话建立请求报文判断安全网关身份;如果判断安全网关是合法安全网关,由发送方终端发送会话建立响应报文;由安全网关对会话建立响应报文进行签名验证;如果判断发送方终端为合法用户,则向发送方终端发送密钥协商请求报文;在接收到密钥协商请求报文后,由发送方终端发送密钥协商响应报文。
在一优选的实施方式中,如果本地具有发送数据包的发送方终端的会话密钥,则执行以下操作:对解封装后的数据包进行mac计算;比较所计算的mac与解封装后的数据包中的mac;如果所计算的mac与解封装后的数据包中的mac相同,则利用会话密钥对数据包进行解密;将解密之后的数据包发送给采集前置;如果所计算的mac与解封装后的数据包中的mac不相同,则生成错误响应数据包,并将错误响应数据包发送给采集前置。
本发明还提供了一种安全加密隔离网关,其分别与采集前置和通信前置通信连接,采集前置被配置为接收下行链路上的数据包,安全加密隔离网关包括:内网处理单元;外网处理单元;和隔离交换单元,隔离交换单元被配置为:查询本地是否有接收数据包的接收方终端的会话密钥;如果本地没有会话密钥,则向密钥共享服务器查询是否有接收数据包的接收方终端的会话密钥;如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;如果经由会话密钥协商流程,判断接收方终端为合法用户,则控制密码运算单元使用会话密钥对数据包进行加密;对经过加密的数据包进行mac运算,得到数据包的mac部分;以及将经过加密的数据包以及数据包的mac部分封装为sal协议报文。
本发明还提供了一种安全加密隔离网关,其分别与采集前置和通信前置通信连接,通信前置被配置为接收上行链路上的数据包,安全加密隔离网关包括:内网处理单元;外网处理单元;和隔离交换单元,隔离交换单元被配置为:对数据包进行头尾校验以及解封装;查询本地是否有发送数据包的发送方终端的会话密钥;如果本地没有会话密钥,则向密钥共享服务器查询是否有发送数据包的发送方终端的会话密钥;如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;如果经由会话密钥协商流程,判断发送方终端为合法用户,则利用经过协商得到的会话密钥对数据包进行解密;以及将解密之后的数据包发送给采集前置。
在一优选的实施方式中,如果本地具有发送数据包的发送方终端的会话密钥,则执行以下操作:对解封装后的数据包进行mac计算;比较所计算的mac与解封装后的数据包中的mac;如果所计算的mac与解封装后的数据包中的mac相同,则利用会话密钥对数据包进行解密;将解密之后的数据包发送给采集前置;以及如果所计算的mac与解封装后的数据包中的mac不相同,则生成错误响应数据包,并将错误响应数据包发送给采集前置。
本发明提供了一种电力专用的安全密钥共享方法,包括如下步骤:接收下行链路上的数据包;查询本地是否有接收数据包的接收方终端的会话密钥;如果本地没有会话密钥,则向密钥共享服务器查询是否有接收数据包的接收方终端的会话密钥;如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;在完成会话密钥协商流程之后,生成会话密钥;以及将所生成的会话密钥实时上传到共享服务器,其中,共享服务器能够将所存储的会话密钥共享到多个不同网关。
与现有技术相比,本发明的电力专用的安全加密方法、密钥共享方法以及安全加密隔离网关具有如下优点:本发明的安全加密隔离网关完全基于国密算法sm1/sm2/sm3,采用红黑隔离架构和基于密码的隔离技术实现系统内网和外网逻辑隔离,有效防止来自外网的攻击和病毒渗透;通过协议阻断、格式检查、协议分析等技术防止非法数据的跨网侵入;在网关与采集终端间构建安全通道,对数据加密封装并计算消息鉴别码,提供传输层的机密性和完整性;使用专用硬件密码处理单元和多核并发处理器提供海量终端接入支持以及高速报文加解密处理;通过会话密钥共享和分层密钥保护机制,提供高可靠性。本发明的安全加密隔离网关在算法性能、安全性、可靠性及可用性等方面均有显著提高,与用采系统的业务匹配性好,可以满足用采系统的业务安全需求和性能需求。
附图说明
图1是根据本发明一优选实施方式的电力专用的安全加密方法的方法流程图。
图2是根据本发明另一优选实施方式的电力专用的安全加密方法的方法流程图。
图3是根据本发明另一优选实施方式的电力专用的安全密钥共享方法的方法流程图。
图4是根据本发明一优选实施方式的电力专用的安全加密隔离网关的组成逻辑图。
图5是根据本发明一优选实施方式的隔离卡的物理组成示意图。
图6是根据本发明一优选实施方式的sal封装格式示意图。
图7是根据本发明一优选实施方式的终端身份认证及密钥协商处理的信息流程图。
图8是根据本发明一优选实施方式的密钥共享系统的结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如1图所示,本发明的一优选实施方式的安全加密方法包括如下步骤:步骤101:接收下行链路上的数据包;步骤102:查询本地是否有接收数据包的接收方终端的会话密钥;步骤103:如果本地没有会话密钥,则向密钥共享服务器查询是否有接收数据包的接收方终端的会话密钥;步骤104:如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;步骤105:如果经由会话密钥协商流程,判断接收方终端为合法用户,则使用会话密钥将数据包进行加密;步骤106:对经过加密的数据包进行mac运算,得到数据包的mac部分;以及步骤107:将经过加密的数据包以及数据包的mac部分封装为sal协议报文。
上述方案中,其中,会话密钥协商流程包括如下步骤:向接收方终端发送会话建立请求报文;由接收方终端基于会话建立请求报文判断安全网关身份;如果判断安全网关是合法安全网关,由接收方终端发送会话建立响应报文;由安全网关对会话建立响应报文进行签名验证;如果判断接收方终端为合法用户,则向接收方终端发送密钥协商请求报文;以及在接收到密钥协商请求报文后,由接收方终端发送密钥协商响应报文。
如图2所示,本发明的一优选实施方式的安全加密方法包括如下步骤:步骤201:接收上行链路上的数据包;步骤202:对数据包进行头尾校验以及解封装;步骤203:查询本地是否有发送数据包的发送方终端的会话密钥;步骤204:如果本地没有会话密钥,则向密钥共享服务器查询是否有发送数据包的发送方终端的会话密钥;步骤205:如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;步骤206:如果经由会话密钥协商流程,判断发送方终端为合法用户,则利用经过协商得到的会话密钥对数据包进行解密;步骤207:将解密之后的数据包发送给采集前置。
如图3所示,本发明还提供了一种电力专用的安全密钥共享方法,该安全密钥共享方法包括如下步骤:步骤301:接收下行链路上的数据包;步骤302:查询本地是否有接收数据包的接收方终端的会话密钥;步骤303:如果本地没有会话密钥,则向密钥共享服务器查询是否有接收数据包的接收方终端的会话密钥;步骤304:如果密钥共享服务器没有会话密钥,则启动会话密钥协商流程;步骤305:在完成会话密钥协商流程之后,生成会话密钥;以及步骤306:将所生成的会话密钥实时上传到共享服务器,其中,共享服务器能够将所存储的会话密钥共享到多个不同网关。
如图4所示,本发明一实施方式的安全加密隔离网关分别与采集前置和通信前置通信连接,该安全加密隔离网关包括:内网处理单元;外网处理单元;和隔离交换单元以及密码处理单元。外网处理单元连接用采系统的外部网络,内网处理单元连接用采系统内网。外网处理单元和内网处理单元配置双网卡分别处于不同的vlan,中间通过隔离交换单元进行应用层数据净荷的传递。从而使得用采系统内部重要网段与外部网络可靠地逻辑隔离,降低边界入侵的风险。电力专用安全加密隔离网关的密码运算单元提供基于国密算法的密码服务,并以此为基础实现装置对采集终端的身份认证、装置与采集终端之间的会话密钥协商、装置与采集终端之间敏感报文加密。
隔离交换单元位于内网处理单元和外网处理单元之间,采用硬件实现确保内外网安全隔离;密码处理单元位于隔离交换单元上侧,为隔离交换单元流过式处理提供密码服务;外网数据经过密码处理单元密码校验及解密处理后才能进入内网单元,有效防止内网遭受来自外网的攻击。
为实现内外网物理隔离,内外网及各一个网络隔离接口,采用隔离卡实现,隔离卡通过pcie8x接口与各自底板通信;隔离卡之间通过光口交互转发,转发速率为2.4gbps;隔离卡采用fpga设计,包括:硬件dma控制器、隔离数据存储区、隔离交换控制单元、pcieip核心。图5是根据本发明一实施方式的隔离卡的物理组成示意图。如图所示,隔离卡包括:硬件dma控制器501、隔离数据存储区502、隔离交换控制单元503、pcieip核心504。
网关和终端之间建立传输层加密通道,对采集服务器与终端交互的用电信息采集协议进行封装、加密和完整性防护,确保应用协议和业务数据对公网不可见,防止利用sal协议对主站进行攻击。图6是根据本发明一实施方式的sal封装格式示意图,如图6所示,封装和加密的步骤为:sal封装;进行加密处理;密文前后添加sal头和sal尾;sal尾对整个报文做完整性校验。解密和解封装的步骤为:对报头、报尾两次检验计算,验证报文的完整性;解密出应用数据,同时计算并验证应用数据crc,验证通过既表明解密正确,又表明报文来自合法的终端。
如图7所示,本发明一实施方式的终端身份认证及密钥协商处理具体为:以上行链路通信过程为例,当终端需要向内网发送信息时,终端首先发送登陆报文701,采集装置在接收登陆报文之后,发送登陆响应报文702,终端在接收登陆响应报文702之后,开始握手过程。握手过程包括:向发送方终端发送会话建立请求报文703;由发送方终端基于会话建立请求报文判断安全网关身份;如果判断安全网关是合法安全网关,由发送方终端发送会话建立响应报文704;由安全网关对会话建立响应报文进行签名验证;如果判断发送方终端为合法用户,则向发送方终端发送密钥协商请求报文705;以及在接收到密钥协商请求报文后,由发送方终端发送密钥协商响应报文706。
如图8所示,本发明一优选实施方式的密钥共享系统包括网关a、网关b、终端以及密钥共享服务器,其中,终端可以与网关a进行密钥协商,网关a可以将协商得到的密钥上传至密钥共享服务器。当网关a损坏时,可以由另外的网关b向密钥共享服务器请求密钥,并对终端进行验证。通过密钥共享机制实现网关服务的“均衡分流,备份共享,抗毁顽存,有效接续”,从而提高了系统整体的可用性和可靠性。
本发明的电力专用安全加密隔离网关采用自主设计的asic硬件隔离卡,通过隔离卡达到内外网网络物理隔离,为了高速实现大并发海量业务数据的安全保护和网络隔离功能,内外网主机采用intel的多cpu、多核高性能至强硬件平台,在软件架构设计上采用多线程并行运行机制适应多核硬件平台,采用线程池、多缓冲区和异步处理等技术实现业务数据的高速大并发处理。
电力专用安全加密隔离网关采用最新的i/o技术,利用pciegen3的高速数据交换能力达到大并发所需要数据处理速率,其中:网络接口采用光纤连接的万兆网卡与外部通信,隔离交换单元采用pciegen3x8接口和内外网主机连接,实现了内外主机的高速数据摆渡,密码运算单元采用pciegen3x8接口和内机连接,高速实现大并发数据的密码运算及处理。
密码运算单元采用并行冗余设计,每台内网主机配置多路密码运算单元,采用面向大并发设计的调度算法调度多密码运算单元并行运算,充分利用密码运算单元的硬件计算能力。电力专用安全加密隔离装置配置了多片sm1算法芯片,同时在密码运算模块上开发了一个算法并行调用处理的软件模块,算法芯片采用异步调用方式工作,算法并行调用处理模块实时查询各个算法芯片的忙闲程度并根据其忙闲程度进行算法运算的分配,同时维护算法芯片响应报文和请求报文的对应关系。最终通过软硬件的配合实现sm1算法本地调用可达3gbits左右。
本领域技术人员应当明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。