CN115834026A - 一种基于工业协议的安全加密方法 - Google Patents
一种基于工业协议的安全加密方法 Download PDFInfo
- Publication number
- CN115834026A CN115834026A CN202211512189.3A CN202211512189A CN115834026A CN 115834026 A CN115834026 A CN 115834026A CN 202211512189 A CN202211512189 A CN 202211512189A CN 115834026 A CN115834026 A CN 115834026A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- encryption
- protocol
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于工业协议的安全加密方法。本发明使用根密钥对HASH值进行国密SM4加密运算,散列出三级数据加密密钥。使用SM4算法和散列的三级加密密钥对数据加密,将协议特征HASH数据和加密数据重新封装数据包;重新计算数据包的校验和,发送加密后的数据包。使用根密钥对HASH值进行国密SM4加密运算,散列出三级数据解密密钥。使用数据解密密钥通过SM4国密算法对数据包内容进行解密,重新封装数据包内容,去除协调特征HASH字段,还原明文数据包。本发明解决在工业环境中数据的安全加密问题,通过工业协调的特征参数和时间参数参与密钥散列,实现加密数据一包一密;完全透明方式部署,无需对现有拓扑结构做任何修改。
Description
技术领域
本发明属于数据加密技术领域,涉及一种基于工业协议的安全加密方法。
背景技术
当前市场加密产品还是以虚拟专用网(VPN)为主,VPN相关技术及产品目前市场已经非常成熟,目前使用比较多的VPN产品主要以IPSec VPN和SSLVPN为主,IP安全协议(IPSec)通过Internet密钥交换协议(IKE协议)进行秘钥协商后生成一个数据加密秘钥,并用这个秘钥对传输的数据进行封装和加密,SSL一般用在移动办公人员,另外一般还需要安装客户端软件或客户端插件。
当前标准的VPN技术及产品也存在一定的不足和缺陷,一些漏洞和缺陷也经常被黑客所利用,比如IPSec VPN产品由于采用了DH交换,存在无法抵抗“中间人”攻击的漏洞,秘钥协商过程会泄漏协商者的身份,加密算法也都以国际算法为主,算法都比较公开。另外,IKE协商使用预共享密钥的身份认证方式,存在安全性低、技术落后、不符合我国相关密码政策等问题,随着信息化与工业化深度快速融合,众多国家关键基础设施在工业业务领域面临安全考验,该发明装置基于工业协议特征动态生成加密密钥,保证数据传输的安全,为工业业务场景提供更具适应性和更为安全性的全方位的数据安全加密解决方案。
由于当前VPN产品存在如上问题,另外传统VPN配置复杂繁琐,工业环境需要互联的节点多,带宽小,传统VPN需要改变现有的网络拓扑结构,密钥协商也会增加额外的带宽开销,所以通过传统VPN产品根本无法在工业环境部署。
因此设计了一种基于工业协议的安全加密方法,通过透明方式部署,无需对现有网络拓扑做任何修改,加密密钥基于工业协议特征动态生成,该装置可以对工业协议进行内容深度解析,客户可以自定义参与密钥运算的工业协调特征属性,加密密钥基于一个出厂预置的根密钥+工业协调特征+时间参数,通过根密钥和国密算法散列生成,保证密钥能实时更新,同时无需额外的密钥协商数据,减少网络带宽开销,根密钥预置,保证了密钥的绝对安全。
发明内容
本发明的目的就是提供一种基于工业协议的安全加密方法,包括加密密钥运算、数据加密封装、解密密钥运算和数据解密。
加密密钥运算具体步骤如下:
网卡接收明文数据包,工业协议深度解析模块对数据包进行深度解析,比如modbus协议的寄存器种类、功能码、访问类型、PLC地址、寄存器地址。
查询预定义的协议特征库,也就是需要参与密钥运算的内容,预定义的协议特征库可以为深度解析结果的任意几个字段,并对数据包中的协议特征数据通过国密SM3算法计算256位的HASH值(哈希值),然后前128位于后128位进行异或运算,最终的到128位的协议特征HASH值。
获取系统当前时间,读取根密钥。
使用根密钥对计算的128位HASH值进行国密SM4加密运算,散列出一级密钥;使用根密钥对当前时间进行SM4运算,散列出二级密钥;一级密钥与二级密钥异或运算,散列出三级数据加密密钥。
数据加密封装过程如下:
接收明文数据包,获取数据包载荷数据。
对需要加密的数据使用PKCS7Padding方式填充对齐,因为使用SM4算法,所以加密数据长度必须是SM4算法密钥长度的整数倍。
使用SM4算法和散列的三级加密密钥对数据加密,将协议特征HASH数据和加密数据重新封装数据包;重新计算数据包的校验和,包括IP头校验和和TCP/UDP头校验和;发送加密后的数据包。
解密密钥运算具体步骤如下:
网卡接收密文数据包,获取数据包载荷数据,其中前128位为协议特征HASH值,后面的为加密数据。
获取系统当前时间,读取根密钥。
使用根密钥对前128位协议特征HASH值进行国密SM4加密运算,散列出一级密钥;使用根密钥对当前时间进行SM4运算,散列出二级密钥;一级密钥与二级密钥异或运算,散列出三级数据解密密钥。
数据解密过程如下:
网卡接收密文数据包,使用数据解密密钥通过SM4国密算法对数据包内容进行解密。
工业协议深度解析模块对解密后的数据包进行深度解析,比如modbus协议的寄存器种类、功能码、访问类型、PLC地址、寄存器地址等。
查询预定义的协议特征库,也就是需要参与密钥运算的内容,预定义的协议特征库为深度解析结果的任意几个字段,并对数据包中的协议特征数据通过国密SM3算法计算256位的HASH值,然后前128位于后128位进行异或运算,最终的到128位的协议特征HASH值。
对得到的协议特征HASH值与收到的数据包载荷头部的HASH值对比,对比一致表示数据正确,否则数据可能被篡改,直接丢弃。
重新封装数据包内容,去除协调特征HASH字段,还原明文数据包;转发数据包。
工业网络环境具有数据节点多,网络结构复杂,带宽比较低的特点,业网络环境部署传统加密产品对网络改动很大,不容易部署,增加带宽开销,还容易受到网络攻击,对业务会带来很多不稳定因素。本发明将根密钥固化在设备内部,外部无法获取,通过协议特征和时间参数散列三级密钥体系完成对数据的加密,解决在工业环境中数据的安全加密问题;通过工业协调的特征参数和时间参数参与密钥散列,实现加密数据一包一密;采用SM3国密算法,保证数据的完整性和正确性;完全透明方式部署,无需对现有拓扑结构做任何修改。
附图说明
图1为加密密钥运算流程;
图2为数据加密封装流程;
图3为解密密钥运算流程图;
图4为数据解密验证流程;
图5为加密前后数据包内容示意图。
具体实施方式
一种基于工业协议的安全加密方法,包括加密密钥运算、数据加密封装、解密密钥运算和数据解密:
如图1所示,加密密钥运算具体包括如下步骤:
网卡接收明文数据报文;
将明文报文送往工业协议深度解析模块解析,如果解析成功,则查询预定义的需要参与密钥运算的协议特征库(由用户提前定义需要参与密钥运算的数据),如果不是工业协议数据或深度解析失败,则通过数据五元组(数据的源地址、目的地址、源端口、目的端口、协议)作为协议特征数据;
对协议特征数据通过SM3算法计算HASH值,输出256位的HASH数据,然后使用前128位和后128位异或运算,获得协议特征HASH数据,并作为一级密钥散列参数;
使用根密钥通过SM4算法对协议特征HASH数据运算散列一级密钥;
使用根密钥通过SM4算法对系统当前时间散列二级密钥;
通过一级密钥和二级密钥异或运算,散列出三级数据加密密钥;
如图2所示,数据加密封装过程具体为:
接收明文数据包;
获取数据包载荷数据;
对需要加密的数据使用PKCS7Padding方式填充对齐,因为使用SM4算法,所以加密数据长度必须是SM4算法密钥长度的整数倍;
PKCS7Padding方式具体为:数据加密前需要对数据进行按照密钥长度的整数被对齐,假设数据长度需要填充n(n>0)个字节才对齐,那么填充n个字节,每个字节都是n;如果数据本身就已经对齐了,则填充一块长度为块大小的数据,每个字节都是块大小。
使用SM4算法和散列的三级加密密钥对数据加密;
将协议特征HASH数据和加密数据重新封装数据包;
重新计算数据包的校验和,包括IP头校验和和TCP/UDP头校验和;
发送加密后的数据包;
如图3所示,解密密钥运算过程具体为:
网卡接收加密数据报文;
获取载荷数据前128位数据,获得协议特征HASH数据,该段数据为明文的工业协议特征数据的HASH值,通过该段数据散列解密密钥;
使用根密钥通过SM4算法对协议特征HASH数据运算散列一级密钥;
使用根密钥通过SM4算法对系统当前时间散列二级密钥;
通过一级密钥和二级密钥异或运算,散列出三级数据解密密钥;
如图4所示,数据解密具体包括如下步骤:
接收加密数据包;
提取数据包载荷数据前128位协议特征HASH数据;
通过协议HASH数据和系统时间散列解密密钥;
解密加密载荷数据;
对解密后的数据进行工业协议深度解析;
工业协议解析成功,则查询预定义的需要参与密钥运算的协议特征库,然后对协议特征数据通过SM3算法计算HASH值,使用前128位和后128位异或运算,获得解密后的协议特征HASH数据;工业协议解析失败,则使用五元组数据作为工业协议特征数据;
解密后的HASH数据与接收到的载荷数据中的HASH或五元组HASH对比,对比成功,表示数据正常;对比失败表示数据被篡改或解密错误,直接丢弃;
重新封装明文数据报文,并重新计算报文的校验和,包括IP头和TCP或UDP头的校验和;
发送解密后的数据包;
如图5所示,载荷数据为实际工业协议数据,为TCP或UDP头后面的数据,本发明数据加密不修改IP头和TCP/UDP头数据,所以无需修改现有拓扑结构,直接透明串联接入即可。
Claims (2)
1.一种基于工业协议的安全加密方法,其特征在于:包括加密密钥运算、数据加密封装、解密密钥运算和数据解密验证;
加密密钥运算具体步骤如下:
网卡接收明文数据包,工业协议深度解析模块对数据包进行深度解析;查询需要参与密钥运算的预定义的协议特征库,预定义的协议特征库为深度解析结果的任意几个字段,并对数据包中的协议特征通过国密SM3算法计算256位的HASH值,然后前128位于后128位进行异或运算,最终的到128位的协议特征HASH值;
获取系统当前时间,读取根密钥;
使用根密钥对计算的128位HASH值进行国密SM4加密运算,散列出一级密钥;使用根密钥对当前时间进行SM4运算,散列出二级密钥;一级密钥与二级密钥异或运算,散列出三级数据加密密钥;
数据加密封装过程如下:
接收明文数据包,获取数据包载荷数据;对需要加密的数据使用PKCS7Padding方式填充对齐,使用SM4算法和散列的三级加密密钥对数据加密;将协议特征HASH数据和加密数据重新封装数据包;重新计算数据包的校验和,包括IP头校验和和TCP/UDP头校验和;发送加密后的数据包;
数据解密密钥运算具体步骤如下:
网卡接收密文数据包,获取数据包载荷数据,其中前128位为协议特征HASH值,后面的为加密数据;
获取系统当前时间,读取根密钥;
使用根密钥对前128位为协议特征HASH值进行国密SM4加密运算,散列出一级密钥;使用根密钥对当前时间进行SM4运算,散列出二级密钥;一级密钥与二级密钥异或运算,散列出三级数据解密密钥;
数据解密过程如下:
网卡接收密文数据包,使用数据解密密钥通过SM4国密算法对数据包内容进行解密;
工业协议深度解析模块对解密后的数据包进行深度解析,查询需要参与密钥运算的预定义协议特征库,预定义的协议特征库为深度解析结果的任意几个字段,并对数据包中的协议特征库通过国密SM3算法计算256位的HASH值,然后前128位于后128位进行异或运算,最终的到128位的协议特征HASH值;
对得到的协议特征HASH值与收到的数据包载荷头部的HASH值对比,对比一致表示数据正确,否则数据可能被篡改,直接丢弃;重新封装数据包内容,去除协调特征HASH字段,还原明文数据包;转发数据包。
2.如权利要求1所述的基于工业协议的安全加密方法,其特征在于:所述的工业协议深度解析模块对数据包进行深度解析,包括modbus协议的寄存器种类、功能码、访问类型、PLC地址、寄存器地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211512189.3A CN115834026A (zh) | 2022-11-29 | 2022-11-29 | 一种基于工业协议的安全加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211512189.3A CN115834026A (zh) | 2022-11-29 | 2022-11-29 | 一种基于工业协议的安全加密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115834026A true CN115834026A (zh) | 2023-03-21 |
Family
ID=85532707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211512189.3A Pending CN115834026A (zh) | 2022-11-29 | 2022-11-29 | 一种基于工业协议的安全加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115834026A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116489244A (zh) * | 2023-06-25 | 2023-07-25 | 中电科网络安全科技股份有限公司 | 一种业务数据处理方法、装置、电子设备和存储介质 |
| CN118200621A (zh) * | 2024-05-16 | 2024-06-14 | 深圳奥联信息安全技术有限公司 | 一种基于ipc监控视频的透明代理加密存储系统 |
| CN119484045A (zh) * | 2024-10-29 | 2025-02-18 | 中移(杭州)信息技术有限公司 | 数据处理的方法、装置、设备及计算机存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080130895A1 (en) * | 2006-10-25 | 2008-06-05 | Spyrus, Inc. | Method and System for Deploying Advanced Cryptographic Algorithms |
| CA2791455A1 (en) * | 2010-03-18 | 2011-09-22 | Utc Fire & Security Corporation | Method of conducting safety-critical communications |
| CN103581173A (zh) * | 2013-09-11 | 2014-02-12 | 北京东土科技股份有限公司 | 一种基于工业以太网的数据安全传输方法、系统及装置 |
| CN107172028A (zh) * | 2017-05-09 | 2017-09-15 | 泰豪科技股份有限公司 | 一种现场总线数据共享方法及装置 |
| CN111478895A (zh) * | 2020-04-03 | 2020-07-31 | 乾讯信息技术(无锡)有限公司 | 一种网络多媒体安全传输方法及系统 |
| CN113472520A (zh) * | 2021-08-07 | 2021-10-01 | 山东省计算中心(国家超级计算济南中心) | 一种ModbusTCP协议安全增强方法及系统 |
| CN115379445A (zh) * | 2022-08-23 | 2022-11-22 | 中国联合网络通信集团有限公司 | 一种密钥派生方法及装置、网络设备 |
-
2022
- 2022-11-29 CN CN202211512189.3A patent/CN115834026A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080130895A1 (en) * | 2006-10-25 | 2008-06-05 | Spyrus, Inc. | Method and System for Deploying Advanced Cryptographic Algorithms |
| CA2791455A1 (en) * | 2010-03-18 | 2011-09-22 | Utc Fire & Security Corporation | Method of conducting safety-critical communications |
| CN103581173A (zh) * | 2013-09-11 | 2014-02-12 | 北京东土科技股份有限公司 | 一种基于工业以太网的数据安全传输方法、系统及装置 |
| CN107172028A (zh) * | 2017-05-09 | 2017-09-15 | 泰豪科技股份有限公司 | 一种现场总线数据共享方法及装置 |
| CN111478895A (zh) * | 2020-04-03 | 2020-07-31 | 乾讯信息技术(无锡)有限公司 | 一种网络多媒体安全传输方法及系统 |
| CN113472520A (zh) * | 2021-08-07 | 2021-10-01 | 山东省计算中心(国家超级计算济南中心) | 一种ModbusTCP协议安全增强方法及系统 |
| CN115379445A (zh) * | 2022-08-23 | 2022-11-22 | 中国联合网络通信集团有限公司 | 一种密钥派生方法及装置、网络设备 |
Non-Patent Citations (2)
| Title |
|---|
| 张琳;王汝传;张永平;: "IKE协议中基于预共享密钥验证的主模式研究", 南京邮电大学学报(自然科学版), no. 05, 15 October 2007 (2007-10-15) * |
| 马李翠;黎妹红;吴倩倩;杜晔;: "智能电网通信中动态密钥加密方法的研究与改进", 北京邮电大学学报, no. 04, 13 October 2017 (2017-10-13) * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116489244A (zh) * | 2023-06-25 | 2023-07-25 | 中电科网络安全科技股份有限公司 | 一种业务数据处理方法、装置、电子设备和存储介质 |
| CN116489244B (zh) * | 2023-06-25 | 2023-10-20 | 中电科网络安全科技股份有限公司 | 一种业务数据处理方法、装置、电子设备和存储介质 |
| CN118200621A (zh) * | 2024-05-16 | 2024-06-14 | 深圳奥联信息安全技术有限公司 | 一种基于ipc监控视频的透明代理加密存储系统 |
| CN119484045A (zh) * | 2024-10-29 | 2025-02-18 | 中移(杭州)信息技术有限公司 | 数据处理的方法、装置、设备及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kumar | Review on network security and cryptography | |
| CN100488168C (zh) | 一种对应用层报文进行安全封装的方法 | |
| US8379638B2 (en) | Security encapsulation of ethernet frames | |
| CN103929299B (zh) | 地址即公钥的自安全轻量级网络报文传输方法 | |
| CN115834026A (zh) | 一种基于工业协议的安全加密方法 | |
| CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
| CN111555859A (zh) | Sm4-gcm算法及在网络安全协议中的应用 | |
| CN114500013B (zh) | 一种数据加密传输方法 | |
| JP2017085559A (ja) | 制限帯域幅を有するチャネルにおける効率的かつ強秘匿性の対称暗号化のためのシステムおよび方法 | |
| CN101156348A (zh) | 使用配对函数在各方之间的通信中确保保密的方法和设备 | |
| CN105721317A (zh) | 一种基于sdn的数据流加密方法和系统 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN113746861B (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
| CN113572766A (zh) | 电力数据传输方法和系统 | |
| Cho et al. | Securing ethernet-based optical fronthaul for 5g network | |
| CN102111273A (zh) | 一种基于预共享的电力负荷管理系统数据安全传输方法 | |
| CN115766172B (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 | |
| Cho et al. | Secure open fronthaul interface for 5G networks | |
| CN107046548B (zh) | 一种隐私保护下的数据包过滤方法 | |
| CN103227742A (zh) | 一种IPSec隧道快速处理报文的方法 | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| CN117640235A (zh) | 基于IPsec和量子密钥的双重加密方法、加密网关 | |
| CN106789524A (zh) | Vpn加密通道的高速解析与还原方法 | |
| CN117201200B (zh) | 基于协议栈的数据安全传输方法 | |
| Dunbar | Ipsec networking standards—an overview |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20251121 |