基于国密算法的安全芯片在电力系统网络数据安全中的应用
配网终端安全加密模块解决方案(采用国密算法芯片)
配网终端加密模块解决方案(采用国密算法加密芯片)目前现有的配网自动化试点(包括国网和南网)均未考虑二次安防,而在110KV以上的变电网里,二次安防是一个很重要的建设内容,主要原因在于以前配网自动化建设不规范,且技术条件不成熟。
二○一一年二月九日国家电网在调〔2011〕168号文件《关于加强配电网自动化系统安全防护工作的通知》明确提出了配网自动化系统位于生产控制1区,必须做好安全防护工作。
国家电网公司物资采购标准中专用技术规范中提出,配电终端应配备符合国调〔2011〕168号文件的技术功能要求的非对称密钥技术的单向认证模块。
目前公司的配网终端还不具有加密模块,为了使配网终端产品更具有市场竞争力,需要尽快加入加密模块以满足需求。
国家电网公司物资采购标准(数据采集终端通用技术规范 2009年版)国家电网公司物资采购标准(站所终端单元DTU专用技术规范 2010年版)配网网变压器监测终端安全防护,其主要目的:一、防止通过公共网络对子站进行攻击,造成用户供电中断;二、同时防止通过公共网络和用户终端入侵主站,造成更大范围的安全风险。
遵循《电力二次系统安全防护总体方案》及《配电二次系统安全防护方案》168 号文件的要求,参照“安全分区、网络专用、横向隔离、纵向认证”的原则,针对10kV 以下中低压配电网自动化系统子站数量众多、遥控命令间隔较长等特点,对采用公用通信方式的中低压配电网自动化系统,进行基于非对称加密的数字证书单向身份鉴别技术等纵向边界安全防护。
清华同方利用自主研发的安全芯片TF32A09 开发出适合配网终端安全防护的应用方案,目前技术已成熟,开始逐步应用于配网终端防护中。
对安全防护技术规范的基本前提下开发出一系列针对南网、国网相对应的解决方案。
现就TF32A09 做详细介绍,请参考如下:高速加密流芯片TF32A09TF32A09系列芯片是同方股份有限公司采用国产主控32位CPU自主设计的一款高速度、高性能信息安全SoC芯片。
国密安全芯片
国密安全芯片国密安全芯片是指采用国密算法进行数据加密和安全传输的芯片。
国密算法是国家密码管理局发布的一种密码算法标准,主要包括SM1、SM2、SM3和SM4四个部分。
国密算法具有安全性高、性能优越、适用广泛等特点,被广泛应用于国家机密信息保护、电子商务、网上支付等领域。
国密安全芯片的核心功能是数据加密和解密。
通过采用国密算法,国密安全芯片能够对数据进行加密,使得数据在传输和存储过程中不易被恶意破解和篡改。
同时,国密安全芯片还可实现数据的签名和验证功能,确保数据的完整性和可靠性。
国密安全芯片的应用领域非常广泛。
首先,在政府和军事领域,国密安全芯片可以应用于国家机密信息的保护和传输,确保国家安全和信息的机密性。
其次,在金融和电子支付领域,国密安全芯片可以用于保护用户的账户密码和交易数据,防止用户信息被盗取和篡改。
此外,在物联网和智能家居领域,国密安全芯片可以应用于设备之间的数据传输和通信安全,保证智能设备的安全性和稳定性。
国密安全芯片除了具备高强度的安全性外,还具有其他一些优势。
首先,国密安全芯片具有高性能和低功耗的特点,能够满足各种应用场景对芯片性能的需求。
其次,国密安全芯片支持多种网络通信协议,如蓝牙、Wi-Fi等,能够与不同设备进行无线通信。
此外,国密安全芯片还支持多种接口标准,如USB、SPI等,方便与各种设备进行连接和通信。
然而,国密安全芯片也存在一些挑战和问题。
首先,国密算法的应用和推广仍然面临一定的阻力,一些企业和机构对于国内标准的接受度和认可度有限。
其次,国密安全芯片的成本较高,相较于其他普通芯片,价格较为昂贵。
此外,国密安全芯片的研发和生产技术具有一定的难度和门槛,对于一些中小型企业来说,研发和生产国密安全芯片的成本和技术压力较大。
综上所述,国密安全芯片是一种采用国密算法进行数据加密和安全传输的芯片。
国密安全芯片具有高安全性、广泛适用性和强大的功能特点,正在广泛应用于政府、金融、物联网等领域。
数据存储及码流数据传输中的国密算法安全应用
数据存储及码流数据传输中的国密算法安全应用随着计算机技术和互联网的快速发展,大量数据的存储和传输已成为现代社会中必不可少的一环。
在这个过程中,数据的保密性、完整性和可用性是非常重要的,特别是对于涉及国家安全等重要信息的存储和传输。
在此背景下,国产密码算法(国密算法)得以广泛应用,以保证数据的安全性。
在数据存储中,国密算法主要用于加密和解密数据,以保护数据的机密性。
目前,国密算法主要有SM1、SM2、SM3和SM4四种类型。
其中,SM1算法用于对称密钥加密,SM2算法用于公钥加密,SM3算法用于消息摘要,SM4算法用于对称密钥加密和MAC。
在这些算法中,SM4算法是最为普遍和重要的算法之一。
SM4算法是一种安全性能很高的块加密算法。
它采用128比特密钥加密或解密128比特长度数据块,加密速度快,能够抵御各类攻击,被广泛应用于数据存储、金融、电子政务等领域中。
在数据存储中,SM4算法通常用于对数据进行加密,以确保数据的保密性。
同时,SM4算法还可用于对数据进行认证和防篡改,保证数据的完整性。
与数据存储不同,码流数据传输中的主要问题是如何保证数据的实时性和完整性。
在此方面,国密算法同样发挥着重要作用。
在码流数据传输中,通常采用基于UDP协议的点播和组播方式。
这样的传输方式具有高速度和实时性的优点,但其安全性较差,容易受到网络攻击的影响。
为保证数据的安全性,常常采用SM1、SM2等国密算法对数据进行加密。
同时,为保障数据的实时性,又需要对算法进行优化,以提高加密解密的速度和效率。
总之,国密算法在数据存储和码流数据传输中的应用已成为趋势。
在保护国家安全和保护企业机密等关键领域中,采用国密算法是一种非常有效的保障措施。
在未来,随着技术的不断更新和发展,国密算法也将跟随不断地升级和完善。
国密应用原理
国密应用原理国密,即国家密码局认定的国产密码算法,主要包括SM2、SM3、SM4等加密算法。
这些算法被广泛应用于政务、金融、电子商务等领域,以保护敏感信息的安全。
下面详细介绍国密的应用原理:1.SM2算法:SM2是一种基于椭圆曲线的公钥密码算法,包括数字签名、密钥交换和加密三种功能。
在应用中,SM2主要用于生成密钥对、数字签名和加密通信。
发送方使用接收方的公钥对信息进行加密,接收方使用自己的私钥进行解密,确保信息在传输过程中的安全。
2.SM3算法:SM3是一种密码杂凑算法,用于生成数据的摘要。
在应用中,SM3主要用于验证数据的完整性和身份认证。
发送方将数据通过SM3算法生成摘要,然后与原始数据一起发送。
接收方收到数据后,使用相同的SM3算法再次生成摘要,并与发送方提供的摘要进行对比,以验证数据的完整性。
3.SM4算法:SM4是一种分组密码算法,用于对数据进行加密和解密。
在应用中,SM4主要用于保护数据的机密性。
发送方使用密钥将数据通过SM4算法进行加密,生成密文。
接收方使用相同的密钥和SM4算法对密文进行解密,还原出原始数据。
国密算法的应用原理可以概括为以下几点:1.使用国家认定的加密算法:国密算法经过国家密码局的认证和授权,具有较高的安全性和可靠性。
在应用中,选择使用国密算法可以确保敏感信息的安全。
2.生成密钥对:在公钥密码算法中,需要生成一对密钥,即公钥和私钥。
公钥用于加密和验证签名,私钥用于解密和生成签名。
密钥对的生成需要遵循一定的算法和规则,以确保其安全性和随机性。
3.加密通信:在通信过程中,使用加密算法对敏感信息进行加密,确保信息在传输过程中的安全。
接收方使用相应的解密算法对密文进行解密,还原出原始信息。
4.验证身份和完整性:使用杂凑算法和签名算法可以验证数据的完整性和身份认证。
发送方将数据通过杂凑算法生成摘要,并使用私钥对摘要进行签名。
接收方使用公钥验证签名并重新生成摘要进行对比,以验证数据的完整性和发送方的身份。
电力网络安全态势感知系统的建设及应用
电力网络安全态势感知系统的建设及应用发布时间:2021-09-07T15:49:16.867Z 来源:《中国电业》2021年12期作者:伍兆恒[导读] 网络安全是电力系统安全稳定运行的重要前提及保障。
随着我国现代电力工业规模扩展,信息化和网络化工具和技术极大的辅助电力系统向前发展的同时,也对电力系统网络安全提出了更高的要求。
伍兆恒广州兆和电力技术有限公司广东广州510623摘要:网络安全是电力系统安全稳定运行的重要前提及保障。
随着我国现代电力工业规模扩展,信息化和网络化工具和技术极大的辅助电力系统向前发展的同时,也对电力系统网络安全提出了更高的要求。
本文从电力监控系统网络安全角度出发,浅谈针对电力工业态势感知系统的建设。
关键词:网络安全;信息化;态势感知1 电力监控系统网络安全现状及问题 1.1 电力监控系统网络安全现状国家电力监管委员会在2006年印发《电力二次系统安全防护总体方案》中指出:电力二次系统安全防护总体原则为“安全分区、网络专用、横向隔离、纵向认证”[1]。
历经十多年网络安全建设后,目前电力系统已广泛使用支持国密算法的纵向加密网关、电力行业专用的单向隔离装置以及防火墙,并配以IDS、堡垒机、防病毒网关、拨号网关、主机加固等安全设备加以辅助;在规则配置上实现以最小原则为基准的安全防护策略。
因此电力二次系统在信息传递的通道及边界上已构建起一道基础防线。
且当前电力行业正推行国产化安全可控设备和操作系统,进一步增强电力二次系统安全防护能力。
1.2 电力监控系统网络安全问题 1.2.1 行业具备安全意识,但管理力度不足随着国家对网络安全的重视,电力行业在网络安全管理方面也逐步建立行业专属的管理制度。
但运行管理人员未全面认知安全管理工作导致网络安全管理投放力度不足,以及未清晰认知本单位网络安全现状是当前网络安全管理较为突出的问题[2]。
而且不少电力运营单位网络安全人员的配备及培训不足也进一步导致网络安全短板出现。
基于国密算法的密码应用安全建设
76Internet Application互联网+应用一、密码安全背景及国家政策(一)密码法出台,将密码应用要求提升到国家法律法规层面《中华人民共和国密码法》《中华人民共和国网络安全法》《商用密码应用安全性评估管理办法(试行)》《国家政务信息化项目建设管理办法》等法律法规制度均对密码建设及应用作出了明确规定。
同时,密码法将“国家鼓励和支持密码科学技术研究和应用”和“国家加强密码人才培养和队伍建设”写进法律条文中,体现了推动国密事业高质量发展的决心。
(二)党和国家高度重视密码发展,明确规定用密码保护重要数据为了更好地维护2.0时代的互联网,推行了一系列新的信息技术和安全性设计规范,并发布了《信息安全技术网络安全等级防护基本原则》《信息安全技术网络安全等级防护测评标准》和《坚持实施网络安全等级防护体系和重要信息基础设施安全保护管理制度的指示若干意见》(公网安〔2020〕1960号),以确保互联网的可持续发展。
通过建立完善的政策体系,大大促进了中国商业密码的普及,并且激活了持续增长的活力。
(三)商用密码管理发展简述1999年10月,《商用口令条例》的公布施行,为中国的信息安全保护和互联网信任体系建设打下了扎实的根基,2003年9月,《国家领导工作组有关进一步强化网络安全保护管理工作的若干意见》(中办发〔2003〕27号)出台,为中国的信息安全保护和互联网信任体系建设指明了方向,为中国的信息安全保护和互联网信任体系建设打下了扎实的根基。
从2013年起,中国的商用密码管理取得了长远的发展。
为此,中华人民共和国秘密管理局公布了多种商用密码方法,包基于国密算法的密码应用安全建设摘要:密码在保障网络安全中扮演着至关重要的角色。
它不仅仅是一种核心技术,更是一种基本的社会责任。
本文将深入探讨密码的相关历史、现状、未来的趋势,以及如何利用国密算法来实现更加完善的密码保护。
此外,本文还将探讨如何有效地实施密码的监督与审查,以确保密码的有效使用,进而保障社会的稳定与可持续性。
国密算法在电力行业中的应用
PKG公开参数
随机字符串 文件加密密 钥明文 对方用户 USBKey (或用户群) 标识 IBC加密算法
加密文件
使用算法 PKG、 公开参数 SM3、SM4 SM9
待加密文 件
文件解密过程
文件加密密 钥密文 用户私钥 USBKey IBC解密算法
提取密钥密 文
文件加密 密钥密文 密文文件
目录
一、电力行业简介
二、 国密算法简介
三、国密算法应用
配电自动化应用
2011年,国密SM2算法在电网配电自动化系统中得 到应用。
配电主站系统 采用硬件加密卡实 现SM2算法 南瑞配网安全网关
无线公网
采用软件方式实现 SM2算法
配电终端
调度数据网应用
2012年开始,原有采用通用算法的产品逐渐向国密算法迁移。 控制区网络纵向通道采用加密认证网关(类IPSEC VPN装置)。
目录
一、电力行业简介
二、 国密算法简介
三、国密算法应用
常用国密算法
为了保障商用密码安全,国家商用密码管理办公室制定了一 系列密码标准,包括SSF33、SM1、SM2、SM3、SM4、SM7、 SM9算法等。
对称算法 分组长度和密钥长度均为 128 bit,该算法不公开,仅以 IP 核的形 式存在于芯片中,但是SSF33算法性能比较差,因此在实用中,逐 步被SM1、SM4代替。 分组长度和密钥长度均为 128 bit,算法强度与AES相当,算法不公 开,仅以 IP 核的形式存在于芯片中。 原SMS4,主要应用于无限局域网产品,分组长度和密钥长度均 为 128 bit,算法公开。 分组长度和密钥长度均为 128 bit。算法未公开,SM7适用于非接触 IC卡应用,如门禁卡、工作证、参赛证、校园一卡通…
国密SM9_算法在物联网安全领域的应用
Telecom Power Technology · 130 ·Aug. 25, 2023, Vol.40 No.162023年8月25日第40卷第16期通信网络技术DOI:10.19399/ki.tpt.2023.16.041国密SM9算法在物联网安全领域的应用杜海华1,罗 奎2(1.杭州杰普仕通信技术有限公司,浙江杭州310000;2.杭州泽傲网络科技有限公司,浙江杭州310000)摘要:物联网正在让世界变得更智能、更方便。
然而,随着其广泛应用,敏感数据隐私等安全问题日益严重,加密是物联网中保护数据隐私的一种有效而重要的手段。
以物联网为研究场景,说明物联网系统存在的安全威胁,以国密SM9算法为研究对象,重点阐述了其签名方案原理,考虑大规模终端的应用场景,基于融合云技术构建的终端互联场景,集成了SAM模块,防止重放攻击、边信道攻击等影响身份认证,提高终端接入的安全管控能力,助力物联网安全防御体系的建设。
关键词:SM9算法;物联网(IoT);安全防护;身份认证Research on the Application of State Secret SM9 Algorithm in Internet of Things SecurityDU Haihua1, LUO Kui2(1.Hangzhou Jiepshi Communication Technology Co., Ltd., Hangzhou 310000, China;2.Hangzhou Zeao Network Technology Co., Ltd., Hangzhou 310000, China)Abstract: The Internet of Things(IoT) is making the world smarter and more convenient. However, with its wide application, security issues such as sensitive data privacy are becoming increasingly serious, and encryption is an effective and important means to protect data privacy in the Internet of Things. Taking the Internet of Things as the research scenario, this paper explains the security threats existing in the Internet of Things system, takes the state secret SM9 algorithm as the research object, and focuses on the principle of its signature scheme. Considering the application scenarios of large-scale terminals, the terminal interconnection scenario built based on fusion cloud technology integrates SAM module to prevent replay attacks and side channel attacks from affecting identity authentication.Improve the security control ability of terminal access, and help the construction of the Internet of Things security defense system.Keywords: SM9 algorithm; Internet of Things(IoT); safety protection; identity authentication0 引 言随着能源互联协作框架的不断发展,以及能源、光伏、风能等大量发电单元与系统相连,电力系统逐渐表现出分布式运行的特点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力系统属于我国社会、经济发展过程 中非常重要的基础设施。当前基于国密算法的 安全芯片被应用在电力系统的数据安全管理过 程中,可在信息交互过程形成安全的交互体系, 经交互双方确认安全模块之后,在主机网关上 对设备操作者进行身份确认,促使数据交互过 程安全可靠。
3.2建立信息模块
电力系统网络安全交互是通过事件驱动 架构实现业务处理。传统通信程序当中,常应 用此处理方式受到建立TCP、关闭TCP等事 件方面的制约,导致连接建立之后一直到关闭 以前不能对其他事件进行驱动。这样使数据处 理方式弱化,同时占用大量系统空间,导致数 据处理事件相对较长,浪费资源。
对此,为提升系统对数据处理效率,需 要建立信息模块,将数据传输过程加以细分, 分段处理。
3. 3提供双向加密通道
在电力系统外网与终端之间增设安全网 关可防止在网络数据传输过程中,被泄露和被 篡改等安全风险,进而在终端与交互网关之间 形成双向的加密信息传输通道。图1为加密通 道交流图。
从内网向终端IP发出的数据包,通过路 由发送到安全网关,交互网关对数据包截取之 后,进行解析和组装,之后转发到配电终端, 当终端接收到数据之后,作出对应回复,并将 回复信息传输到网关,网关按照数据寻找内网 套接主站,对数据进行分组,传输到前置机中, 实现数据的安全交互。
3国密算法安全芯片在电力系统网络数 据安全的应用
1国密算法技术分类
1. 1 SM2签名
SM2签名又称数字签名,其是签名者利 用数据展开的数字签名,最终通过验证者对签 名进行验证。当签名生成之前,需要使用密码 式杂凑函数压缩签名信息,同时,在验证之前, 还需要利用杂凑函数压缩验证消息。
1. 2 SM2加密
密码学当中,SM2公钥算法呈现出的椭 圆曲线和实际曲线不同。在SM2加密算法中, 椭圆曲线在密码算法中呈现出的计算理念是按 照多倍点算法,将产生的公钥与私钥参数获取 出来。
(1) 使用驱动模块处理网络事件。 (2) 处理过程分别在process事件处理 方法加入pfringrecv事件和timers事件参数。 对posted事件调用之后要对timer与flags 这两个重要参数准确设置,提升事件处理效 率。调用process和timers时,程序中可将数 据传输进程连接数判断出来,从而计算出负载 阈值。此阈值系统默认为负值,一旦阈值变为 正数时,需要将值减1,此时系统将主动放弃 数据截取权利,转向process事件执行过程。 当阈值为负数时,不会触发负载机制,这时系 统可将pfringrecv中的数据包进行调取,之后 通过进程竞争方式才可将pfringrecv解锁,将 其中的事件处理完之后,将锁释放,继续执行 timers与posted等事件列队,此种数据处理方 式可涉及到电力系统各项业务数据的处理,在 信息模块建立之后,形成网络数据安全交互时 各项事件处理的驱动机制。
数据传输安全通道的建立可保障网关与 终端之间信息传输过程数据的完整性。
(1) 通过对密钥进行协商,获取交流随 机密钥,也称协商密文;
(2) 当交互双方的身份确定之后,利用 随机密钥展开数据的传输交流,此时和公私密 钥没有关系。 2.1.3安全传输
在硬件方面,要保障硬件平台具备安全 性,使用国产平台安全控制系统,并使用国密 加密卡对数据进行加密和解密;在操作系统方 面,其作为网关中各程序正常运行的主要环境, 可使用国产的,并且经过安全验证的操作系统 在数据的访问保护上,可将重要文件使用密文 方式进行储存,当核心文件处于异常被传输状 态时,可及时预警;在进程控制方面,只允许 和电力系统业务相关的进程运行。
信息安全•电力系统网络数据安全中的应用
文/张祥
本文基于SM2签名、SM2加密、 摘 SM3密码算法简述国密算法的技术 要 类型,从数据传输体系以及传输
过程对安全传输系统的设计加以 说明,并针对网关平台、信息模块、 双向加密、测试过程等方面阐述 此技术的应用。
2. 2数据传输过程
2.2.1数据获取 在外网的前置机位置处设计定向路由,
这样在内网主站中的各样业务数据就可畅通无 阻地向交互网关中流入。同时在安全传输网关 中利用PF-ring,此技术可截取传输数据包, 之后按照协议对数据分类,并展开对应操作。 2.2.2建立安全传输通道
安全通道的建立使用SM2加密、SM3杂 凑、安全协议三种技术共同完成。在建立过程 中,先建立TCP连接和交互网关。在安全网 关上利用PF-ring获取交互数据,之后发送到 终端TCP,当PF-ring将请求包截获之后,网 关将使用libnet形成报文,向终端TCP发出连 接请求,实现代理通信,为信息交互过程设置 一道加密屏障。 2.2.3交互流程
3.1构建网关平台
使用Nginx平台可对电力系统中终端数 据获取和分析,之后完成组装,从而完成多元 化的网络数据处理,将网关性能有效提升。 在网关构建时,可使用多线程形式,将CPU 与master核数相同的worker进程启动,并和 CPU相互绑定。在master的管理下,worker 进程可稳定工作。从终端发出的数据包直接传 输给应用程序,通过对mmap的查询找出IP 端口,直接发送到内网主站。
1. 3 SM3密码算法
国密算法中的SM3算法常应用在商业密 码当中,主要是利用数字签名与验签过程。应 用此技术时,随着生成验证码、验证码应用、 产生随机数等过程,能扩大密码使用范围,保 障信息安全。
2电力系统网络数据安全设计
2. 1数据传输体系
2.1.1终端加固 针对配电终端,可在系统其中应用安全
模块,对硬件安全、特征等利用数字证书进行 检査,防止存在不安全的终端接入。对安全模
块的使用者进行身份验证,还可在网关交互的 主机之上使用公钥数据、数据校验、密钥交换 等技术展开协商,实现网关与模块之间双向的 身份验证,进而制定出随机数据传输会话密钥, 避免信息遭受破坏或者被篡改。 2.1.2传输通道