基于国密算法的安全芯片在电力系统网络数据安全中的应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全• Information Security
基于国密算法的安全芯片在电力系统网络数据安全中的应用
文/张祥
本文基于SM2签名、SM2加密、 摘 SM3密码算法简述国密算法的技术 要 类型,从数据传输体系以及传输
过程对安全传输系统的设计加以 说明,并针对网关平台、信息模块、 双向加密、测试过程等方面阐述 此技术的应用。
数据传输安全通道的建立可保障网关与 终端之间信息传输过程数据的完整性。
(1) 通过对密钥进行协商,获取交流随 机密钥,也称协商密文;
(2) 当交互双方的身份确定之后,利用 随机密钥展开数据的传输交流,此时和公私密 钥没有关系。 2.1.3安全传输
在硬件方面,要保障硬件平台具备安全 性,使用国产平台安全控制系统,并使用国密 加密卡对数据进行加密和解密;在操作系统方 面,其作为网关中各程序正常运行的主要环境, 可使用国产的,并且经过安全验证的操作系统 在数据的访问保护上,可将重要文件使用密文 方式进行储存,当核心文件处于异常被传输状 态时,可及时预警;在进程控制方面,只允许 和电力系统业务相关的进程运行。
3.1构建网关平台
使用Nginx平台可对电力系统中终端数 据获取和分析,之后完成组装,从而完成多元 化的网络数据处理,将网关性能有效提升。 在网关构建时,可使用多线程形式,将CPU 与master核数相同的worker进程启动,并和 CPU相互绑定。在master的管理下,worker 进程可稳定工作。从终端发出的数据包直接传 输给应用程序,通过对mmap的查询找出IP 端口,直接发送到内网主站。
3.2建立信息模块
电力系统网络安全交互是通过事件驱动 架构实现业务处理。传统通信程序当中,常应 用此处理方式受到建立TCP、关闭TCP等事 件方面的制约,导致连接建立之后一直到关闭 以前不能对其他事件进行驱动。这样使数据处 理方式弱化,同时占用大量系统空间,导致数 据处理事件相对较长,浪费资源。
对此,为提升系统对数据处理效率,需 要建立信息模块,将数据传输过程加以细分, 分段处理。
1. 3 SM3密码算法
国密算法中的SM3算法常应用在商业密 码当中,主要是利用数字签名与验签过程。应 用此技术时,随着生成验证码、验证码应用、 产生随机数等过程,能扩大密码使用范围,保 障信息安全。
2电力系统网络数据安全设计
2. 1数据传输体系
2.1.1终端加固 针对配电终端,可在系统其中应用安全
(1) 使用驱动模块处理网络事件。 (2) 处理过程分别在process事件处理 方法加入pfringrecv事件和timers事件参数。 对posted事件调用之后要对timer与flags 这两个重要参数准确设置,提升事件处理效 率。调用process和timers时,程序中可将数 据传输进程连接数判断出来,从而计算出负载 阈值。此阈值系统默认为负值,一旦阈值变为 正数时,需要将值减1,此时系统将主动放弃 数据截取权利,转向process事件执行过程。 当阈值为负数时,不会触发负载机制,这时系 统可将pfringrecv中的数据包进行调取,之后 通过进程竞争方式才可将pfringrecv解锁,将 其中的事件处理完之后,将锁释放,继续执行 timers与posted等事件列队,此种数据处理方 式可涉及到电力系统各项业务数据的处理,在 信息模块建立之后,形成网络数据安全交互时 各项事件处理的驱动机制。
从内网向终端IP发出的数据包,通过路 由发送到安全网关,交互网关对数据包截取之 后,进行解析和组装,之后转发到配电终端, 当终端接收到数据之后,作出对应回复,并将 回复信息传输到网关,网关按照数据寻找内网 套接主站,对数据进行分组,传输到前置机中, 实现数据的安全交互。
3国密算法安全芯片在电力系统网络数 据安全的应用
模块,对硬件安全、特征等利用数字证书进行 检査,防止存在不安全的终端接入。对安全模
块的使用者进行身份验证,还可在网关交互的 主机之上使用公钥数据、数据校验、密钥交换 等技术展开协商,实现网关与模块之间双向的 身份验证,进而制定出随机数据传输会话密钥, 避免信息遭受破坏或者被篡改。 2.1.2传输通道
2. 2数据传输过程
2.2.1数据获取 在外网的前置机位置处设计定向路由,
这样在内网主站中的各样业务数据就可畅通无 阻地向交互网关中流入。同时在安全传输网关 中利用PF-ring,此技术可截取传输数据包, 之后按照协议对数据分类,并展开对应操作。 2.2.2建立安全传输通道
安全通道的建立使用SM2加密、SM3杂 凑、安全协议三种技术共同完成。在建立过程 中,先建立TCP连接和交互网关。在安全网 关上利用PF-ring获取交互数据,之后发送到 终端TCP,当PF-ring将请求包截获之后,网 关将使用libnet形成报文,向终端TCP发出连 接请求,实现代理通信,为信息交互过程设置 一道加密屏障。 2.2.3交互流程
3. 3提供双向加密通道
在电力系统外网与终端之间增设安全网 关可防止在网络数据传输过程中,被泄露和被 篡改等安全风险,进而在终端与交互网关之间 形成双向的加密信息传输通道。图1为加密通 道交流图。
【关键词】国密算法 安全芯片 电力系统 网 络数据安全应用
电力系统属于我国社会、经济发展过程 中非常重要的基础设施。当前基于国密算法的 安全芯片被应用在电力系统的数据安全管理过 程中,可在信息交互过程形成安全的交互体系, 经交互双方确认安全模块之后,在主机网关上 对设备操作者进行身份确认,促使数据交互过 程安全可靠。
1国密算法技术分类
1. 1 Hale Waihona Puke BaiduM2签名
SM2签名又称数字签名,其是签名者利 用数据展开的数字签名,最终通过验证者对签 名进行验证。当签名生成之前,需要使用密码 式杂凑函数压缩签名信息,同时,在验证之前, 还需要利用杂凑函数压缩验证消息。
1. 2 SM2加密
密码学当中,SM2公钥算法呈现出的椭 圆曲线和实际曲线不同。在SM2加密算法中, 椭圆曲线在密码算法中呈现出的计算理念是按 照多倍点算法,将产生的公钥与私钥参数获取 出来。
基于国密算法的安全芯片在电力系统网络数据安全中的应用
文/张祥
本文基于SM2签名、SM2加密、 摘 SM3密码算法简述国密算法的技术 要 类型,从数据传输体系以及传输
过程对安全传输系统的设计加以 说明,并针对网关平台、信息模块、 双向加密、测试过程等方面阐述 此技术的应用。
数据传输安全通道的建立可保障网关与 终端之间信息传输过程数据的完整性。
(1) 通过对密钥进行协商,获取交流随 机密钥,也称协商密文;
(2) 当交互双方的身份确定之后,利用 随机密钥展开数据的传输交流,此时和公私密 钥没有关系。 2.1.3安全传输
在硬件方面,要保障硬件平台具备安全 性,使用国产平台安全控制系统,并使用国密 加密卡对数据进行加密和解密;在操作系统方 面,其作为网关中各程序正常运行的主要环境, 可使用国产的,并且经过安全验证的操作系统 在数据的访问保护上,可将重要文件使用密文 方式进行储存,当核心文件处于异常被传输状 态时,可及时预警;在进程控制方面,只允许 和电力系统业务相关的进程运行。
3.1构建网关平台
使用Nginx平台可对电力系统中终端数 据获取和分析,之后完成组装,从而完成多元 化的网络数据处理,将网关性能有效提升。 在网关构建时,可使用多线程形式,将CPU 与master核数相同的worker进程启动,并和 CPU相互绑定。在master的管理下,worker 进程可稳定工作。从终端发出的数据包直接传 输给应用程序,通过对mmap的查询找出IP 端口,直接发送到内网主站。
3.2建立信息模块
电力系统网络安全交互是通过事件驱动 架构实现业务处理。传统通信程序当中,常应 用此处理方式受到建立TCP、关闭TCP等事 件方面的制约,导致连接建立之后一直到关闭 以前不能对其他事件进行驱动。这样使数据处 理方式弱化,同时占用大量系统空间,导致数 据处理事件相对较长,浪费资源。
对此,为提升系统对数据处理效率,需 要建立信息模块,将数据传输过程加以细分, 分段处理。
1. 3 SM3密码算法
国密算法中的SM3算法常应用在商业密 码当中,主要是利用数字签名与验签过程。应 用此技术时,随着生成验证码、验证码应用、 产生随机数等过程,能扩大密码使用范围,保 障信息安全。
2电力系统网络数据安全设计
2. 1数据传输体系
2.1.1终端加固 针对配电终端,可在系统其中应用安全
(1) 使用驱动模块处理网络事件。 (2) 处理过程分别在process事件处理 方法加入pfringrecv事件和timers事件参数。 对posted事件调用之后要对timer与flags 这两个重要参数准确设置,提升事件处理效 率。调用process和timers时,程序中可将数 据传输进程连接数判断出来,从而计算出负载 阈值。此阈值系统默认为负值,一旦阈值变为 正数时,需要将值减1,此时系统将主动放弃 数据截取权利,转向process事件执行过程。 当阈值为负数时,不会触发负载机制,这时系 统可将pfringrecv中的数据包进行调取,之后 通过进程竞争方式才可将pfringrecv解锁,将 其中的事件处理完之后,将锁释放,继续执行 timers与posted等事件列队,此种数据处理方 式可涉及到电力系统各项业务数据的处理,在 信息模块建立之后,形成网络数据安全交互时 各项事件处理的驱动机制。
从内网向终端IP发出的数据包,通过路 由发送到安全网关,交互网关对数据包截取之 后,进行解析和组装,之后转发到配电终端, 当终端接收到数据之后,作出对应回复,并将 回复信息传输到网关,网关按照数据寻找内网 套接主站,对数据进行分组,传输到前置机中, 实现数据的安全交互。
3国密算法安全芯片在电力系统网络数 据安全的应用
模块,对硬件安全、特征等利用数字证书进行 检査,防止存在不安全的终端接入。对安全模
块的使用者进行身份验证,还可在网关交互的 主机之上使用公钥数据、数据校验、密钥交换 等技术展开协商,实现网关与模块之间双向的 身份验证,进而制定出随机数据传输会话密钥, 避免信息遭受破坏或者被篡改。 2.1.2传输通道
2. 2数据传输过程
2.2.1数据获取 在外网的前置机位置处设计定向路由,
这样在内网主站中的各样业务数据就可畅通无 阻地向交互网关中流入。同时在安全传输网关 中利用PF-ring,此技术可截取传输数据包, 之后按照协议对数据分类,并展开对应操作。 2.2.2建立安全传输通道
安全通道的建立使用SM2加密、SM3杂 凑、安全协议三种技术共同完成。在建立过程 中,先建立TCP连接和交互网关。在安全网 关上利用PF-ring获取交互数据,之后发送到 终端TCP,当PF-ring将请求包截获之后,网 关将使用libnet形成报文,向终端TCP发出连 接请求,实现代理通信,为信息交互过程设置 一道加密屏障。 2.2.3交互流程
3. 3提供双向加密通道
在电力系统外网与终端之间增设安全网 关可防止在网络数据传输过程中,被泄露和被 篡改等安全风险,进而在终端与交互网关之间 形成双向的加密信息传输通道。图1为加密通 道交流图。
【关键词】国密算法 安全芯片 电力系统 网 络数据安全应用
电力系统属于我国社会、经济发展过程 中非常重要的基础设施。当前基于国密算法的 安全芯片被应用在电力系统的数据安全管理过 程中,可在信息交互过程形成安全的交互体系, 经交互双方确认安全模块之后,在主机网关上 对设备操作者进行身份确认,促使数据交互过 程安全可靠。
1国密算法技术分类
1. 1 Hale Waihona Puke BaiduM2签名
SM2签名又称数字签名,其是签名者利 用数据展开的数字签名,最终通过验证者对签 名进行验证。当签名生成之前,需要使用密码 式杂凑函数压缩签名信息,同时,在验证之前, 还需要利用杂凑函数压缩验证消息。
1. 2 SM2加密
密码学当中,SM2公钥算法呈现出的椭 圆曲线和实际曲线不同。在SM2加密算法中, 椭圆曲线在密码算法中呈现出的计算理念是按 照多倍点算法,将产生的公钥与私钥参数获取 出来。