一种面向输电线路无线通信网络的安全通信方法
一种面向输电线路无线通信网络的安全通信方法
【技术领域】
[0001] 本发明设及一种电力系统通信技术领域的方法,具体讲设及一种面向输电线路无 线通信网络的安全通信方法。
【背景技术】
[0002] 近年来,输电线路的状态监测技术在国内得到一定程度的发展,主要表现为线路 覆冰监测技术、绝缘子污秽状况监测技术、线路偷盗监测技术、导线温度监测技术等的研究 和应用。在充分利用先进的监测设备和诊断技术的基础上,建立全方位和多要素的输电线 路实时监测系统,及时预告灾害信息,实现故障快速定位,缩短故障恢复时间,有效提高供 电的可靠性。各类状态监测信息的可靠传输离不开健壮的通信网络支撑。目前,主要输电 线路上的网络铺设W0PGW为主,其拥有速度快,容量大,抗干扰能力强等优点。但同时,考 虑到设备成本、能源供给(设备不可通过高压输电线路直接供电)等问题,在线路区域不是 每个杆塔都配备有0PGW接入点,在实际环境中,相隔一定距离才有一个接入点。因此,其他 杆塔上的节点数据信息需要通过一个链式无线网络(因为输电线路为线型)传输给接入点 再通过0PGW传输。
[0003] 由于电力行业的数据安全要求特殊性(通信网络上传的数据可W为电力公司的 输电线路检修、巡检提供辅助决策),再加上无线网络本身的开放性,所W需要一套完整的 网络安全协议来对通信网络进行保护。包括对于设备是否被伪造和替换、传输过程中数据 的完整性、数据本身的加密保护,同时由于实际应用的需要,要考虑在网络构建完成后如何 将新的节点加入W完成的网络中。对于链式网络结构本身的对于断点的脆弱性,也要考虑 如何通过协议层来解决恢复。
[0004]针对上述问题,本发明提供一种新的面向输电线路无线通信网络的安全通信方 法。
【发明内容】
[0005]为克服上述现有技术的不足,本发明提供一种面向输电线路无线通信网络的安全 通信方法。
[0006]实现上述目的所采用的解决方案为:
[0007]-种面向输电线路无线通信网络的安全通信方法,所述方法包括:
[0008]初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并 为新设备分配密钥;
[0009]新增的所述节点n通过已通信的节点n-1向控制中屯、上传状态数据;
[0010] 所述控制中屯、下发控制命令;
[0011] 实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所 述无线通信网络。
[0012] 优选地,所述对新增的节点进行认证,包括:
[0013]SlOl、所述节点n向已安全验证的前一节点n-1发送请求交互信息MO,所述节点 n-1接收请求信息后确认交互则返回确认消息M1,建立通信关系;
[0014]S102、所述节点n生成验证信息.M2 = (巧II与(A,)IIC;并发送至所述控制中屯、 的认证服务器;E为加密算法,K。为节点n的认证密钥,T为时间戳,C2为验证码,I I表示连 接关系;
[0015]S103、所述认证服务器接收所述验证信息M2,运用所述节点n的认知密钥K。解密 获得解密后的时间戳T';
[0016]通过所述解密后的时间戳T'解密Et(K。)获得待验证信息K。',比较所述节点n 的认证密钥K。和所述验证信息K。'验证所述节点n;若相同则完成验证,若不同则返回步骤 SlOlo
[0017] 优选地,所述为新设备分配密钥,包括:
[0018] sill、验证后,所述控制中屯、的认知服务器生成信息A/(K)=£、(/W")|iC00、 M01=仁(W" |)||C01 谢M10=C,、|(尸0'")!|00;
[0019] 其中,MOO为节点n的私钥,发给节点n;M01和M10分别包含验证对象的公钥,分 别发送给节点n和节点n-1 ;C00、C01、C10分别表示M00、M01、M10的验证码,用于验证信息 在发送过程中是否发生错误;?咕_1、?咕分别表示节点11-1的公钥和节点11的公钥;1(。、1(。_1为 节点n和节点n-的认证密钥;
[0020] S112、根据相邻i节点密钥结构,所述节点n将其公钥PU。^ M5 =每U。,(WTJRegw却IIC5巧式发送给节点n-1,并广播给剩下的相邻i个节点;
[0021]所述节点n-1将所述相邻i个节点的公钥I'W0,=与,)IIC0, (2</</,/<" )| 回复给所述节点n,完成公钥的分配;
[00过其中,E为加密算法,PUn_i、PUn分别表示节点n-1的公钥和节点n的公钥,Request表示请求信息,C5、COj表示验证码。
[0023] 优选地,所述新增的所述节点上传数据,包括W下步骤:
[0024]S201、所述节点n向所述节点n-1发送通信握手信息;
[00巧]S202、所述节点n-1解密所述握手信息,判断其验证无误后,产生回复信息并发送 至并所述节点n;
[0026]S203、所述节点n解密所述回复信息,判断其信息验证无误,运行数据加密方法加 密上传的数据,产生加密信息Mn, 0 =Mn| |Mn'II化,并发送给所述节点n-1 ;
[0027] 8204、所述节点11-1通过所述校验码化验证所述加密信息胞,0=111||111'||化, 验证通过则重复步骤S201至S204直到发送到节点0;
[002引其中,PUw、PU。分别表示节点n-1的公钥和节点n的公钥,Mn表示上传的数据,Mn'表示解码后的所述上传的数据,化表示验证码;n、n-1表示节点标识。
[0029] 优选地,所述数据加密方法包括W下步骤:
[0030] 从待加密的节点i的上一节点i+1处接收信息Mi+1, 0 =MnIIMn-11I… ||Ci+l,从中提取验证段信息Mi+1',将所述验证段信息Mi+1'与自身的 数据信息节点i中的数据Di异或;
[0031]用节点i自身的公钥P化加密Di获得Mi;
[003引将加密后的数据信息Mi添加到数据集MnllMn-lll…||Mi-l完成新信息的数据 段;
[0033] 将所述加密后的数据信息Mi再与所述验证段信息Mi+1'异或后生成新的验证段 Mi',并利用Mi'生成新的校验码
[0034] 组合上述数据,获得新节点i发送的信息Mi,0 =Mn||Mn-lM...I|Mi| |Mi'I|Ci。
[0035] 优选地,所述控制中屯、向节点发送控制命令,包括W下步骤:
[0036] 任意节点接收下发的所述控制命令Mk,i=毎A4)||&||Q,E为加密算法,k为 目标节点标号,CMk为控制命令内容,PUk为节点k的公钥,Ck为节点k的验证码;
[0037] 通过校验码Ck判断信息是否正确;若错误则不做处理,若正确则节点标号k判断 此信息是否为发送给自身的信息;
[0038] 若是则解密所述控制命令获得命令,若不是则利用本节点的通信密钥生成新的校 验码后发送给下一个节点。
[0039] 优选地,所述链路自愈方法包括:
[0040] 若出现故障节点,利用所述故障节点存有的相邻i节点密钥结构中的后一节点的 公钥生成新的握手信息发送给后一节点,直至握手成功;
[0041] 更新发送节点和接收节点的默认密钥、通信密钥,通过数据上传和命令下发过程 进行通信。
[0042] 优选地,所述相邻i节点密钥结构中存储其前向和后向i个节点的公钥;其中,i 等于2或3。
[0043]与现 有技术相比,本发明具有W下有益效果:
[0044] 1、本发明针对电力系统的特殊通信安全需求,提出了一种面向输电线路无线通信 网络的安全通信方法,提供的方法中对于密钥的结构进行了特殊的设计,并且区别于其他 通信协议或方法,使用了非对称加密算法。
[0045] 2、本发明提供的方法从多个层面进行了安全防护,具体来说,包括硬件设备认证、 数据完整性认证W及数据传输过程中的保密性保证,可W弥补单一层面加密的不足,具有 更高的安全性。
[0046] 3、本发明综合考虑输电线路无线通信应用实际情况,对通信方法进行了高适应的 相关设计,提出了 "相邻i节点密钥结构"并应用了非对称加密算法,使协议支持新设备随 时接入W及自主对于断点进行监测和网络恢复,在保证通信安全的基础上克服了由于网络 结构本身带来的脆弱性问题,并且提高了网络的灵活性。
[0047]4、本发明中各设备的供电均可采用清洁能源的供电方式,在设备的成本和构筑网 络的灵活性方面也更具备优势,另外,考虑到清洁能源的供电稳定性问题,提出了系统能耗 优化方式。
【附图说明】
[004引图1为本实施例中面向输电线路的网络通信模型图;
[0049] 图2为本实施例中初始化中认证和私钥分配的流程图;
[0050] 图3为本实施例中初始化过程中公钥分配过程流程图;
[0051] 图4为本实施例中上传数据流程图;
[0052] 图5为本实施例中数据上传进程中加密函数的数据处理流程图;
[0053] 图6为本实施例中下发控制命令的流程图;
[0054]图7为本实施例中对于故障点的检测及链路自愈流程图。
【具体实施方式】
[00巧]下面结合附图对本发明的【具体实施方式】做进一步的详细说明。
[0056] 本发明提供一种面向输电线路无线通信网络的安全通信方法,包括W下步骤:
[0057] 初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并 为新设备分配密钥;
[005引新增的所述节点n通过已通信的节点n-1向控制中屯、上传状态数据;
[0059] 所述控制中屯、下发控制命令;
[0060] 实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所 述无线通信网络。
[0061] 上述,对新增的节点进行认证,具体包括W下步骤:
[0062]S101、所述节点n向已安全验证的前一节点n-1发送请求交互信息M0,所述节点 n-1接收请求信息后确认交互则返回确认消息M1,建立通信关系;
[0063]S102、所述节点n生成验证信息'M2二馬。(巧II馬捧。)IIQ并发送至所述控制中屯、 的认证服务器;E为加密算法,K。为节点n的认证密钥,T为时间戳,C2为验证码,I I表示连 接关系;
[0064]S103、所述认证服务器接收所述验证信息M2,运用所述节点n的认知密钥K。解密 与〇7'),获得解密后的时间戳T';
[0065]通过所述解密后的时间戳T'解密Et(K。)获得待验证信息K。',比较所述节点n 的认证密钥K。和所述验证信息K。'验证所述节点n;若相同则完成验证,若不同则返回步骤 SlOlo
[0066] 上述,为新设备分配密钥,具体包括W下步骤:
[0067] Sill、验证后,所述控制中屯、的认知服务器生成信息M00=与(/WJIIC00、 M01=馬。片II C01挪M10二毎。_,(巧7") II CIO ;
[0068] 其中,MOO为节点n的私钥,发给节点n;M01和M10分别包含验证对象的公钥,分 别发送给节点n和节点n-1 ;C00、C01、C10分别表示M00、M01、M10的验证码,用于验证信息 在发送过程中是否发生错误;?咕_1、?咕分别表示节点11-1的公钥和节点11的公钥;1(。、1(。_1为 节点n和节点n-的认证密钥;
[0069]S112、根据相邻i节点密钥结构,所述节点n将其公钥PU。^ M5 =旬挪IIC5形式发送给节点n-1,并广播给剩下的相邻i个节点;
[0070]所述节点n-1将所述相邻i个节点的公細MO,=与V(与,...)IICO.,. (2 ^ " )1 回复给所述节点n,完成公钥的分配;
[OCm] 其中,E为加密算法,PU。_l、PU。分别表示节点n-l的公钥和节点n的公钥,Request 表示请求信息,C5、COj表示验证码。
[0072] 上述,新增的所述节点上传数据,具体包括W下步骤:
[0073]S201、所述节点n向所述节点n-1发送通信握手信息;
[0074]S202、所述节点n-1解密所述握手信息,判断其验证无误后,产生回复信息并发送 至并所述节点n;
[00巧]S203、所述节点n解密所述回复信息,判断其信息验证无误,运行数据加密方法加 密上传的数据,产生加密信息Mn, 0 =Mn| |Mn'II化,并发送给所述节点n-1 ;
[0076] 8204、所述节点11-1通过所述校验码化验证所述加密信息胞,0=111||111'||化, 验证通过则重复步骤S201至S204直到发送到节点0;
[0077] 其中,PUw、PU。分别表示节点n-1的公钥和节点n的公钥,Mn表示上传的数据, Mn'表示解码后的所述上传的数据,化表示验证码;n、n-1表示节点标识。
[0078] 上述,数据加密方法,具体包括W下步骤:
[0079] 从待加密的节点i的上一节点i+1处接收信息Mi+1, 0 =MnIIMn-11I… ||Ci+l,从中提取验证段信息Mi+1',将所述验证段信息Mi+1'与自身的 数据信息节点i中的数据Di异或;
[0080] 用节点i自身的公钥P化加密Di获得Mi ;
[00引]将加密后的数据信息Mi添加到数据集Mn||Mn-lM…||Mi-l完成新信息的数据 段;
[0082] 将所述加密后的数据信息Mi再与所述验证段信息Mi+1'异或后生成新的验证段 Mi',并利用Mi'生成新的校验码
[008引组合上述数据,获得新节点i发送的信息Mi, 0 =Mn| |Mn-lII…I|MiI|Mi'I|Ci。[0084] 上述,控制中屯、向节点发送控制命令,具体包括W下步骤:
[00财任意节点接收下发的所述控制命令Mk,,1 =与u,(CM;.)P||Q,E为加密算法,k为 目标节点标号,CMk为控制命令内容,PUk为节点k的公钥,Ck为节点k的验证码;
[0086] 通过校验码Ck判断信息是否正确;若错误则不做处理,若正确则节点标号k判断 此信息是否为发送给自身的信息;
[0087] 若是则解密所述控制命令获得命令,若不是则利用本节点的通信密钥生成新的校 验码后发送给下一个节点。
[008引上述,链路自愈方法,具体包括W下步骤:
[0089] 若出现故障节点,利用所述故障节点存有的相邻i节点密钥结构中的后一节点的 公钥生成新的握手信息发送给后一节点,直至握手成功;
[0090] 更新发送节点和接收节点的默认密钥、通信密钥,通过数据上传和命令下发过程 进行通f目。
[0091]所述相邻i节点密钥结构中存储其前向和后向i个节点的公钥;其中,i等于2或 3。
[0092] 图1为本实施例中面向输电线路的网络通信模型图;本实施例中,提供一种面向 输电线路的网络通信模型,包括控制中屯、和通信网络的各个节点,其中,通信网络节点包 括;双向网关数据采 集单元值GD)和多个数据采集单元值AU)。
[009引控制中屯、包括认证服务器(A巧和数据采集中屯、服务器值CC)等主要处理单元,利 用光纤复合架空地线(0PGW)与位于输电线路沿线杆塔上的双向网关数据采集单元值GD) 建立连接。
[0094] 每两个双向网关数据采集单元值GD)之间的数据采集单元值AU)与前一个双向网 关数据采集单元值GD)通过无线链型网络构成一个通信区域,再经过双向网关数据采集单 元值GD)汇聚后通过光纤复合架空地线(0PGW)传送给控制中屯、。
[0095] 运用上述面向输电线路无线通信网络的安全通信方法实现各节点的通信。
[0096] 图2为本实施例中初始化中认证和私钥分配的流程图;本实施例中,初始化无线 通信网络包括两部分:一、对新设备的认证,二、为新设备分配密钥。
[0097] 节点n为新接入电网的设备,节点n-1为与控制中屯、已建立安全网络的设备,节点 n需通过节点n-1建立网络关系。具体包括W下步骤:
[0098] ①、节点n向节点n-1发送请求交互信息M0,节点n-1接收请求信息后确认交互则 返回确认消息M1,通过双方的交互信息M0和M1,节点n和节点n-1进行简单握手;
[0099] ②、节点n仍不能信任节点n-1且暂无手段验证,对其验证信息进行加工生成新的 验证信息M2 =尽巧II每(K,,)IIQ后进行传输,通过节点n-1发送到控制中屯、的认知服务 器AS;
[0100] 其中,E表示加密算法,K。为节点n的认证密钥,T为时间戳,用于防止重复攻击, C2为验证码,II表示连接关系。
[010。 ⑨、认知服务器AS收到验证消息M2后先用存在自身的节点n的认证密钥K。对 与解密,获得解密后的时间戳T',再用T'解密Et(K。)获得待验证消息K。',通过比 较K。和K。'验证节点n,若K。和K。'相同,则完成验证进入步骤④,否则返回步骤①。
[010引④、完成验证后,认知服务器AS生成3个信息M00 =与^ (fj《,)||C00、
[0103] 其中,E表示加密算法,口咕_1、口咕分别表示节点11-1的公钥和节点11的公钥;
[0104] M00发给节点n,为节点n的私钥(该私钥为节点n和服务器端独有的,对其他节 点是不公开的密钥);
[0105] M01和M10分别发送给节点n和节点n-1,分别包含验证对象的公钥,不同于私钥, 该公钥用于发送给对方进行身份验证的,让节点n和节点n-1可W互相验证;
[0106] C00、C01、C10分别表示M00、M01、M10的验证码,用来验证信息在发送过程中是否 发生错误。
[0107] ⑥、根据"相邻i节点密钥结构"的要求,节点n将其公钥PU。^ ^5 =毎。,,,(^7,,||]169^的||€5形式发送给节点〇-1并^类似的形式^此广播给剩下的1 个节点;
[010引同时,节点n-1将后i节点的公钥w.的0,二么f)11CO,(2 句? ^ , COj(表示MOj.的验证码)的形式回复给节点n,W完成公钥的分配,如图3本实施例中初始 化过程中公钥分配过程流程图所示。
[0109] 其中,E表示加密算法,PUw、PU。分别表示节点n-1的公钥和节点n的公钥, Request表示请求信息,C5、COj表示验证码。
[0110] 上述"相邻i节点密钥结构",是指一个节点同时拥有其前向和后向i个节点的公 钥。
[0111] 图4为本实施例中上传数据流程图;本实施例中,在一个安全网络已经构建完成 的环境下,当要进行数据的上传时候(如从节点n开始,将数据传输至认证服务器AS),其上 传数据过程如下:
[om] @、节点〇向节点11-1发送握手信息胞,,0=与,..,(尸〇'"(/化//〇)||"),巧点11-1接收握手 信息后对其解密并判断若验证信息无误,产生答复信息Mr, 〇 = /v,.,.(W,, 戶"(引1"-1),将 答复信息发送给节点n;节点n接收答复信息后对其解密并判断,若验证信息无误后,完成 验证过程。PU。、PU"_1分别表示节点n和节点n-1的公钥;n、n-1表示节点标识。
[011引 通过上述握手信息Mh,0 =尽。。_,(W"(/!e//o)II?)和答复信息化,,0 =与(W,,_扣哪",训|? -1) 完成通信双方节点n和节点n-1的验证。
[0114] ②、由节点n执行数据加密函数(化nctionenuTption,阳n),将经过阳n处理后 获得加密后的上传数据Mn, 0,Mn, 0 =Mn| |Mn'II化,将其发给节点n-1,当节点n-1通过 校验码Cn(Cn为Mn, 0信息的验证码)验证完Mn, 0 =MnIIMn' ||Cn后,节点n-l将重复如 图4的过程直到节点0值GD)。
[0115] 图5为本实施例中数据上传中加密函数的数据处理流程图;本实施例中,对节点i 的上传数据进行加密。
[0116] 确定节点i的加密函数阳i,首先,其从节点i+1处收到的信息Mi+1,0= MnllMn-lll…llMi-lllMi+1' ||Ci+l中的提取中间验证段信息(与下方对应)Mi+l',将 Mi+1'与自身的数据信息节点i中的待加密的数据Di异或,通过增强关联性提升雪崩效应 提高安全性;
[0117] 然后,用节点i自身的公钥P化加密Di获得Mi,确保只有拥有节点i私钥的服务 器端和其自身可W解密;
[0118] 接着,将加密后的数据信息Mi添加到数据集MnllMn-lll…||Mi-l之后完成新信 息的数据段;Mi再与Mi+1'异或后生成新的验证段Mi',并利用Mi'生成新的校验码
[0119] 最后,将W上过程中产生的各类数据组合在一起,获得新节点i发送的信息Mi, 0 =Mn||Mn-l||...||Mi||Mi' ||Ci。
[0120] 控制命令的下发流程区别于数据的上传流程主要有=点:
[0121] 1、监测数据一般为定时发送,命令发送时间有一定的随机性。
[0122] 2、数据文件一般较大,而控制命令一般较小。
[0123] 3、上传的数据需包含所有节点,命令可能只针对个别节点。
[0124] 图6为本实施例中下发控制命令的流程图,本实施例中,下发控制命令的过程如 下;
[012引任意节点收到下发的命令Mk,J=旬Ui.(CM&)||A||Q,E表示加密算法,k为目标节 点标号,CMk为控制命令内容,PUk为节点k的公钥,Ck为节点k的验证码。
[0126] 通过校验码Ck判断信息是否出错,若错误,接收命令的节点不做任何处理,若正 确,则通过信息中间的目的节点标号k判断此信息是否是发给自己的;
[0127] 若是,则通过自身的私钥PUk解密获得命令(非对称加密中公钥加密的信息必须 用私钥才能加密,而k的私钥只有k和服务器段存有,通过此保证安全性),若不是则利用本 节点的通信密钥生成新的校验码Ck发送给下一个节点。至此,完成整个数据上传、命令下 发的保护过程。
[012引图7为本实施例中对于故障点的检测及链路自愈流程图。本实施例中,系统运行 过程中,实时监测通信网络是否出现故障,若遇到故障则进行链路自愈。具体过程如下:
[0129] 首先,需对故障节点进行判断,并找到最近的一个可W正常工作的节点;
[0130] 其次,需要对发送方和接收方的默认密钥、通信密钥进行更新;
[0131] 然后,通过进行上述数据上传和命令下发操作。
[0132 ] 故障点的检测方法;通过握手信息是否完成确定故障点,当发送节点的握手信息 得不到回复,或回复错误时候,认为该发送节点为故障节点,并利用"相邻i节点密钥结构" 中存储的后一节点的公钥生成新的握手信息发送给后一节点,直至握手成功。
[0133] 握手成功后,接收双方均将默认密钥更新,并生成新的通信密钥,进行正常通信。 从而,下次通信时候可避免重复的检测,直至故障点修复,重新进行初始化进程。
[0134] 经过测试发现,跳过故障点进行通信会增大能耗,考虑到设备是自身供电,因此对 能耗有一定要求。通过模拟发现,一定程度的提高发射功率可W在跳过节点时有效的减少 能耗,并得出i= 2或3是最理想的状况,i= 4或者5时设备需要较高的发射功率和能耗 进行工作,i> 6时由于能耗过高,不宜采用。
[0135] 最后应当说明的是:W上实施例仅用于说明本申请的技术方案而非对其保护范 围的限制,尽管参照上述实施例对本申请进行了详细的说明,所属领域的普通技术人员应 当理解:本领域技术人员阅读本申请后依然可对申请的【具体实施方式】进行种种变更、修改 或者等同替换,但该些变更、修改或者等同替换,均在申请待批的权利要求保护范围之内。
【主权项】
1. 一种面向输电线路无线通信网络的安全通信方法,其特征在于:所述方法包括: 初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并为新 设备分配密钥; 新增的所述节点η通过已通信的节点n-1向控制中心上传状态数据; 所述控制中心下发控制命令; 实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所述无 线通信网络。2. 如权利要求1所述的方法,其特征在于:所述对新增的节点进行认证,包括: 5101、 所述节点η向已安全验证的前一节点n-1发送请求交互信息M0,所述节点n-1接 收请求信息后确认交互则返回确认消息M1,建立通信关系; 5102、 所述节点η生成验证信息M2 = 0-) Il £Γ(&) Il C2并发送至所述控制中心的认 证服务器;E为加密算法,Kn为节点η的认证密钥,T为时间戳,C 2为验证码,I I表示连接关 系; 5103、 所述认证服务器接收所述验证信息M2,运用所述节点η的认知密钥Kn解密 心,.<7),获得解密后的时间戳P ; 通过所述解密后的时间戳T'解密ET(Kn)获得待验证信息Kn',比较所述节点η的认证 密钥Kn和所述验证信息1^'验证所述节点η ;若相同则完成验证,若不同则返回步骤S101。3. 如权利要求1所述的方法,其特征在于:所述为新设备分配密钥,包括: 5111、 验证后,所述控制中心的认知服务器生成信息MOO = (Pi?,,) 11COO、 M0\ = EK (PUit ^IICOlfpMlO = ^ ,(PU11)WCU)-, 其中,MOO为节点η的私钥,发给节点η ;M01和MlO分别包含验证对象的公钥,分别发 送给节点η和节点n-1 ;C00、C01、C10分别表示M00、M01、M10的验证码,用于验证信息在发 送过程中是否发生错误;PUn_i、PUn分别表示节点n-1的公钥和节点η的公钥;K n、Klri为节 点η和节点η-的认证密钥; 5112、 根据相邻i节点密钥结构,所述节点η将其公钥PUnW ^ =, (pR Il Re-^) Il C5形式发送给节点n-1,并广播给剩下的相邻i个节点; 所述节点n-1将所述相邻i个节点的公钥(2彡j彡i, i < η) 回复给所述节点η,完成公钥的分配; 其中,E为加密算法,PUn_i、PUn分别表示节点n-1的公钥和节点η的公钥,Request表 示请求信息,C5、COj表示验证码。4. 如权利要求1所述的方法,其特征在于:所述新增的所述节点上传数据,包括以下步 骤: 5201、 所述节点η向所述节点n-1发送通信握手信息; 5202、 所述节点n-1解密所述握手信息,判断其验证无误后,产生回复信息并发送至并 所述节点η ; 5203、 所述节点η解密所述回复信息,判断其信息验证无误,运行数据加密方法加密上 传的数据,产生加密信息Mn, O = Mn| |Mn' I |Cn,并发送给所述节点n-1 ; S204、所述节点n-1通过所述校验码Cn验证所述加密信息Mn, O = Mn I I Mn ' I I Cn,验 证通过则重复步骤S201至S204直到发送到节点O ; 其中,PUUn分别表示节点n-1的公钥和节点η的公钥,Mn表示上传的数据,MY表 示解码后的所述上传的数据,Cn表示验证码;n、n-1表示节点标识。5. 如权利要求4所述的方法,其特征在于:所述数据加密方法,包括以下步骤: 从待加密的节点i的上一节点i+Ι处接收信息Mi+1, O = Mn I I Mn-I I I… |Mi-l||Mi+l' ||Ci+l,从中提取验证段信息Mi+Ι,,将所述验证段信息Mi+Ι,与自身的 数据信息节点i中的数据Di异或; 用节点i自身的公钥I3Ui加密Di获得Mi ; 将加密后的数据信息Mi添加到数据集Mn| IMn-IM…I |Mi-l完成新信息的数据段; 将所述加密后的数据信息Mi再与所述验证段信息Mi+Ι'异或后生成新的验证段 MW,并利用Mi^生成新的校验码Ci; 组合上述数据,获得新节点i发送的信息Mi, O = Mn| I Mn-I I卜· I I Mi I ImW I I Ci。6. 如权利要求1所述的方法,其特征在于:所述控制中心向节点发送控制命令,包括以 下步骤: 任意节点接收下发的所述控制命令M,1 = Il刘1 G,E为加密算法,k为目标 节点标号,CMk为控制命令内容,PU k为节点k的公钥,C k为节点k的验证码; 通过校验码Ck判断信息是否正确;若错误则不做处理,若正确则节点标号k判断此信 息是否为发送给自身的信息; 若是则解密所述控制命令获得命令,若不是则利用本节点的通信密钥生成新的校验码 后发送给下一个节点。7. 如权利要求1所述的方法,其特征在于:所述链路自愈方法包括: 若出现故障节点,利用所述故障节点存有的相邻i节点密钥结构中的后一节点的公钥 生成新的握手信息发送给后一节点,直至握手成功; 更新发送节点和接收节点的默认密钥、通信密钥,通过数据上传和命令下发过程进行 通信。8. 如权利要求3或7所述的方法,其特征在于:所述相邻i节点密钥结构中存储其前 向和后向i个节点的公钥;其中,i等于2或3。
【专利摘要】本发明提供了一种面向输电线路无线通信网络的安全通信方法,包括:所述方法包括:初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并为新设备分配密钥;新增的所述节点n通过已通信的节点n-1向控制中心上传状态数据;所述控制中心下发控制命令;实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所述无线通信网络。本发明提供的方法中,提出了“相邻i节点密钥结构”并应用了非对称加密算法,使协议支持新设备随时接入以及自主对于断点进行监测和网络恢复,在保证通信安全的基础上克服了由于网络结构本身带来的脆弱性问题,并且提高了网络的灵活性。
【IPC分类】H04W12/04, H04W24/04, H04W12/06
【公开号】CN104902469
【申请号】CN201510182163
【发明人】郭经红, 黄红兵, 范骕程, 姚继明, 梁云, 张 浩, 王瑶, 张旭苹, 许国良, 王萍
【申请人】国家电网公司, 国网智能电网研究院, 南京大学, 国网浙江省电力公司
【公开日】2015年9月9日
【申请日】2015年4月17日
【技术领域】
[0001] 本发明设及一种电力系统通信技术领域的方法,具体讲设及一种面向输电线路无 线通信网络的安全通信方法。
【背景技术】
[0002] 近年来,输电线路的状态监测技术在国内得到一定程度的发展,主要表现为线路 覆冰监测技术、绝缘子污秽状况监测技术、线路偷盗监测技术、导线温度监测技术等的研究 和应用。在充分利用先进的监测设备和诊断技术的基础上,建立全方位和多要素的输电线 路实时监测系统,及时预告灾害信息,实现故障快速定位,缩短故障恢复时间,有效提高供 电的可靠性。各类状态监测信息的可靠传输离不开健壮的通信网络支撑。目前,主要输电 线路上的网络铺设W0PGW为主,其拥有速度快,容量大,抗干扰能力强等优点。但同时,考 虑到设备成本、能源供给(设备不可通过高压输电线路直接供电)等问题,在线路区域不是 每个杆塔都配备有0PGW接入点,在实际环境中,相隔一定距离才有一个接入点。因此,其他 杆塔上的节点数据信息需要通过一个链式无线网络(因为输电线路为线型)传输给接入点 再通过0PGW传输。
[0003] 由于电力行业的数据安全要求特殊性(通信网络上传的数据可W为电力公司的 输电线路检修、巡检提供辅助决策),再加上无线网络本身的开放性,所W需要一套完整的 网络安全协议来对通信网络进行保护。包括对于设备是否被伪造和替换、传输过程中数据 的完整性、数据本身的加密保护,同时由于实际应用的需要,要考虑在网络构建完成后如何 将新的节点加入W完成的网络中。对于链式网络结构本身的对于断点的脆弱性,也要考虑 如何通过协议层来解决恢复。
[0004]针对上述问题,本发明提供一种新的面向输电线路无线通信网络的安全通信方 法。
【发明内容】
[0005]为克服上述现有技术的不足,本发明提供一种面向输电线路无线通信网络的安全 通信方法。
[0006]实现上述目的所采用的解决方案为:
[0007]-种面向输电线路无线通信网络的安全通信方法,所述方法包括:
[0008]初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并 为新设备分配密钥;
[0009]新增的所述节点n通过已通信的节点n-1向控制中屯、上传状态数据;
[0010] 所述控制中屯、下发控制命令;
[0011] 实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所 述无线通信网络。
[0012] 优选地,所述对新增的节点进行认证,包括:
[0013]SlOl、所述节点n向已安全验证的前一节点n-1发送请求交互信息MO,所述节点 n-1接收请求信息后确认交互则返回确认消息M1,建立通信关系;
[0014]S102、所述节点n生成验证信息.M2 = (巧II与(A,)IIC;并发送至所述控制中屯、 的认证服务器;E为加密算法,K。为节点n的认证密钥,T为时间戳,C2为验证码,I I表示连 接关系;
[0015]S103、所述认证服务器接收所述验证信息M2,运用所述节点n的认知密钥K。解密 获得解密后的时间戳T';
[0016]通过所述解密后的时间戳T'解密Et(K。)获得待验证信息K。',比较所述节点n 的认证密钥K。和所述验证信息K。'验证所述节点n;若相同则完成验证,若不同则返回步骤 SlOlo
[0017] 优选地,所述为新设备分配密钥,包括:
[0018] sill、验证后,所述控制中屯、的认知服务器生成信息A/(K)=£、(/W")|iC00、 M01=仁(W" |)||C01 谢M10=C,、|(尸0'")!|00;
[0019] 其中,MOO为节点n的私钥,发给节点n;M01和M10分别包含验证对象的公钥,分 别发送给节点n和节点n-1 ;C00、C01、C10分别表示M00、M01、M10的验证码,用于验证信息 在发送过程中是否发生错误;?咕_1、?咕分别表示节点11-1的公钥和节点11的公钥;1(。、1(。_1为 节点n和节点n-的认证密钥;
[0020] S112、根据相邻i节点密钥结构,所述节点n将其公钥PU。^ M5 =每U。,(WTJRegw却IIC5巧式发送给节点n-1,并广播给剩下的相邻i个节点;
[0021]所述节点n-1将所述相邻i个节点的公钥I'W0,=与,)IIC0, (2</</,/<" )| 回复给所述节点n,完成公钥的分配;
[00过其中,E为加密算法,PUn_i、PUn分别表示节点n-1的公钥和节点n的公钥,Request表示请求信息,C5、COj表示验证码。
[0023] 优选地,所述新增的所述节点上传数据,包括W下步骤:
[0024]S201、所述节点n向所述节点n-1发送通信握手信息;
[00巧]S202、所述节点n-1解密所述握手信息,判断其验证无误后,产生回复信息并发送 至并所述节点n;
[0026]S203、所述节点n解密所述回复信息,判断其信息验证无误,运行数据加密方法加 密上传的数据,产生加密信息Mn, 0 =Mn| |Mn'II化,并发送给所述节点n-1 ;
[0027] 8204、所述节点11-1通过所述校验码化验证所述加密信息胞,0=111||111'||化, 验证通过则重复步骤S201至S204直到发送到节点0;
[002引其中,PUw、PU。分别表示节点n-1的公钥和节点n的公钥,Mn表示上传的数据,Mn'表示解码后的所述上传的数据,化表示验证码;n、n-1表示节点标识。
[0029] 优选地,所述数据加密方法包括W下步骤:
[0030] 从待加密的节点i的上一节点i+1处接收信息Mi+1, 0 =MnIIMn-11I… ||Ci+l,从中提取验证段信息Mi+1',将所述验证段信息Mi+1'与自身的 数据信息节点i中的数据Di异或;
[0031]用节点i自身的公钥P化加密Di获得Mi;
[003引将加密后的数据信息Mi添加到数据集MnllMn-lll…||Mi-l完成新信息的数据 段;
[0033] 将所述加密后的数据信息Mi再与所述验证段信息Mi+1'异或后生成新的验证段 Mi',并利用Mi'生成新的校验码
[0034] 组合上述数据,获得新节点i发送的信息Mi,0 =Mn||Mn-lM...I|Mi| |Mi'I|Ci。
[0035] 优选地,所述控制中屯、向节点发送控制命令,包括W下步骤:
[0036] 任意节点接收下发的所述控制命令Mk,i=毎A4)||&||Q,E为加密算法,k为 目标节点标号,CMk为控制命令内容,PUk为节点k的公钥,Ck为节点k的验证码;
[0037] 通过校验码Ck判断信息是否正确;若错误则不做处理,若正确则节点标号k判断 此信息是否为发送给自身的信息;
[0038] 若是则解密所述控制命令获得命令,若不是则利用本节点的通信密钥生成新的校 验码后发送给下一个节点。
[0039] 优选地,所述链路自愈方法包括:
[0040] 若出现故障节点,利用所述故障节点存有的相邻i节点密钥结构中的后一节点的 公钥生成新的握手信息发送给后一节点,直至握手成功;
[0041] 更新发送节点和接收节点的默认密钥、通信密钥,通过数据上传和命令下发过程 进行通信。
[0042] 优选地,所述相邻i节点密钥结构中存储其前向和后向i个节点的公钥;其中,i 等于2或3。
[0043]与现 有技术相比,本发明具有W下有益效果:
[0044] 1、本发明针对电力系统的特殊通信安全需求,提出了一种面向输电线路无线通信 网络的安全通信方法,提供的方法中对于密钥的结构进行了特殊的设计,并且区别于其他 通信协议或方法,使用了非对称加密算法。
[0045] 2、本发明提供的方法从多个层面进行了安全防护,具体来说,包括硬件设备认证、 数据完整性认证W及数据传输过程中的保密性保证,可W弥补单一层面加密的不足,具有 更高的安全性。
[0046] 3、本发明综合考虑输电线路无线通信应用实际情况,对通信方法进行了高适应的 相关设计,提出了 "相邻i节点密钥结构"并应用了非对称加密算法,使协议支持新设备随 时接入W及自主对于断点进行监测和网络恢复,在保证通信安全的基础上克服了由于网络 结构本身带来的脆弱性问题,并且提高了网络的灵活性。
[0047]4、本发明中各设备的供电均可采用清洁能源的供电方式,在设备的成本和构筑网 络的灵活性方面也更具备优势,另外,考虑到清洁能源的供电稳定性问题,提出了系统能耗 优化方式。
【附图说明】
[004引图1为本实施例中面向输电线路的网络通信模型图;
[0049] 图2为本实施例中初始化中认证和私钥分配的流程图;
[0050] 图3为本实施例中初始化过程中公钥分配过程流程图;
[0051] 图4为本实施例中上传数据流程图;
[0052] 图5为本实施例中数据上传进程中加密函数的数据处理流程图;
[0053] 图6为本实施例中下发控制命令的流程图;
[0054]图7为本实施例中对于故障点的检测及链路自愈流程图。
【具体实施方式】
[00巧]下面结合附图对本发明的【具体实施方式】做进一步的详细说明。
[0056] 本发明提供一种面向输电线路无线通信网络的安全通信方法,包括W下步骤:
[0057] 初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并 为新设备分配密钥;
[005引新增的所述节点n通过已通信的节点n-1向控制中屯、上传状态数据;
[0059] 所述控制中屯、下发控制命令;
[0060] 实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所 述无线通信网络。
[0061] 上述,对新增的节点进行认证,具体包括W下步骤:
[0062]S101、所述节点n向已安全验证的前一节点n-1发送请求交互信息M0,所述节点 n-1接收请求信息后确认交互则返回确认消息M1,建立通信关系;
[0063]S102、所述节点n生成验证信息'M2二馬。(巧II馬捧。)IIQ并发送至所述控制中屯、 的认证服务器;E为加密算法,K。为节点n的认证密钥,T为时间戳,C2为验证码,I I表示连 接关系;
[0064]S103、所述认证服务器接收所述验证信息M2,运用所述节点n的认知密钥K。解密 与〇7'),获得解密后的时间戳T';
[0065]通过所述解密后的时间戳T'解密Et(K。)获得待验证信息K。',比较所述节点n 的认证密钥K。和所述验证信息K。'验证所述节点n;若相同则完成验证,若不同则返回步骤 SlOlo
[0066] 上述,为新设备分配密钥,具体包括W下步骤:
[0067] Sill、验证后,所述控制中屯、的认知服务器生成信息M00=与(/WJIIC00、 M01=馬。片II C01挪M10二毎。_,(巧7") II CIO ;
[0068] 其中,MOO为节点n的私钥,发给节点n;M01和M10分别包含验证对象的公钥,分 别发送给节点n和节点n-1 ;C00、C01、C10分别表示M00、M01、M10的验证码,用于验证信息 在发送过程中是否发生错误;?咕_1、?咕分别表示节点11-1的公钥和节点11的公钥;1(。、1(。_1为 节点n和节点n-的认证密钥;
[0069]S112、根据相邻i节点密钥结构,所述节点n将其公钥PU。^ M5 =旬挪IIC5形式发送给节点n-1,并广播给剩下的相邻i个节点;
[0070]所述节点n-1将所述相邻i个节点的公細MO,=与V(与,...)IICO.,. (2 ^ " )1 回复给所述节点n,完成公钥的分配;
[OCm] 其中,E为加密算法,PU。_l、PU。分别表示节点n-l的公钥和节点n的公钥,Request 表示请求信息,C5、COj表示验证码。
[0072] 上述,新增的所述节点上传数据,具体包括W下步骤:
[0073]S201、所述节点n向所述节点n-1发送通信握手信息;
[0074]S202、所述节点n-1解密所述握手信息,判断其验证无误后,产生回复信息并发送 至并所述节点n;
[00巧]S203、所述节点n解密所述回复信息,判断其信息验证无误,运行数据加密方法加 密上传的数据,产生加密信息Mn, 0 =Mn| |Mn'II化,并发送给所述节点n-1 ;
[0076] 8204、所述节点11-1通过所述校验码化验证所述加密信息胞,0=111||111'||化, 验证通过则重复步骤S201至S204直到发送到节点0;
[0077] 其中,PUw、PU。分别表示节点n-1的公钥和节点n的公钥,Mn表示上传的数据, Mn'表示解码后的所述上传的数据,化表示验证码;n、n-1表示节点标识。
[0078] 上述,数据加密方法,具体包括W下步骤:
[0079] 从待加密的节点i的上一节点i+1处接收信息Mi+1, 0 =MnIIMn-11I… ||Ci+l,从中提取验证段信息Mi+1',将所述验证段信息Mi+1'与自身的 数据信息节点i中的数据Di异或;
[0080] 用节点i自身的公钥P化加密Di获得Mi ;
[00引]将加密后的数据信息Mi添加到数据集Mn||Mn-lM…||Mi-l完成新信息的数据 段;
[0082] 将所述加密后的数据信息Mi再与所述验证段信息Mi+1'异或后生成新的验证段 Mi',并利用Mi'生成新的校验码
[008引组合上述数据,获得新节点i发送的信息Mi, 0 =Mn| |Mn-lII…I|MiI|Mi'I|Ci。[0084] 上述,控制中屯、向节点发送控制命令,具体包括W下步骤:
[00财任意节点接收下发的所述控制命令Mk,,1 =与u,(CM;.)P||Q,E为加密算法,k为 目标节点标号,CMk为控制命令内容,PUk为节点k的公钥,Ck为节点k的验证码;
[0086] 通过校验码Ck判断信息是否正确;若错误则不做处理,若正确则节点标号k判断 此信息是否为发送给自身的信息;
[0087] 若是则解密所述控制命令获得命令,若不是则利用本节点的通信密钥生成新的校 验码后发送给下一个节点。
[008引上述,链路自愈方法,具体包括W下步骤:
[0089] 若出现故障节点,利用所述故障节点存有的相邻i节点密钥结构中的后一节点的 公钥生成新的握手信息发送给后一节点,直至握手成功;
[0090] 更新发送节点和接收节点的默认密钥、通信密钥,通过数据上传和命令下发过程 进行通f目。
[0091]所述相邻i节点密钥结构中存储其前向和后向i个节点的公钥;其中,i等于2或 3。
[0092] 图1为本实施例中面向输电线路的网络通信模型图;本实施例中,提供一种面向 输电线路的网络通信模型,包括控制中屯、和通信网络的各个节点,其中,通信网络节点包 括;双向网关数据采 集单元值GD)和多个数据采集单元值AU)。
[009引控制中屯、包括认证服务器(A巧和数据采集中屯、服务器值CC)等主要处理单元,利 用光纤复合架空地线(0PGW)与位于输电线路沿线杆塔上的双向网关数据采集单元值GD) 建立连接。
[0094] 每两个双向网关数据采集单元值GD)之间的数据采集单元值AU)与前一个双向网 关数据采集单元值GD)通过无线链型网络构成一个通信区域,再经过双向网关数据采集单 元值GD)汇聚后通过光纤复合架空地线(0PGW)传送给控制中屯、。
[0095] 运用上述面向输电线路无线通信网络的安全通信方法实现各节点的通信。
[0096] 图2为本实施例中初始化中认证和私钥分配的流程图;本实施例中,初始化无线 通信网络包括两部分:一、对新设备的认证,二、为新设备分配密钥。
[0097] 节点n为新接入电网的设备,节点n-1为与控制中屯、已建立安全网络的设备,节点 n需通过节点n-1建立网络关系。具体包括W下步骤:
[0098] ①、节点n向节点n-1发送请求交互信息M0,节点n-1接收请求信息后确认交互则 返回确认消息M1,通过双方的交互信息M0和M1,节点n和节点n-1进行简单握手;
[0099] ②、节点n仍不能信任节点n-1且暂无手段验证,对其验证信息进行加工生成新的 验证信息M2 =尽巧II每(K,,)IIQ后进行传输,通过节点n-1发送到控制中屯、的认知服务 器AS;
[0100] 其中,E表示加密算法,K。为节点n的认证密钥,T为时间戳,用于防止重复攻击, C2为验证码,II表示连接关系。
[010。 ⑨、认知服务器AS收到验证消息M2后先用存在自身的节点n的认证密钥K。对 与解密,获得解密后的时间戳T',再用T'解密Et(K。)获得待验证消息K。',通过比 较K。和K。'验证节点n,若K。和K。'相同,则完成验证进入步骤④,否则返回步骤①。
[010引④、完成验证后,认知服务器AS生成3个信息M00 =与^ (fj《,)||C00、
[0103] 其中,E表示加密算法,口咕_1、口咕分别表示节点11-1的公钥和节点11的公钥;
[0104] M00发给节点n,为节点n的私钥(该私钥为节点n和服务器端独有的,对其他节 点是不公开的密钥);
[0105] M01和M10分别发送给节点n和节点n-1,分别包含验证对象的公钥,不同于私钥, 该公钥用于发送给对方进行身份验证的,让节点n和节点n-1可W互相验证;
[0106] C00、C01、C10分别表示M00、M01、M10的验证码,用来验证信息在发送过程中是否 发生错误。
[0107] ⑥、根据"相邻i节点密钥结构"的要求,节点n将其公钥PU。^ ^5 =毎。,,,(^7,,||]169^的||€5形式发送给节点〇-1并^类似的形式^此广播给剩下的1 个节点;
[010引同时,节点n-1将后i节点的公钥w.的0,二么f)11CO,(2 句? ^ , COj(表示MOj.的验证码)的形式回复给节点n,W完成公钥的分配,如图3本实施例中初始 化过程中公钥分配过程流程图所示。
[0109] 其中,E表示加密算法,PUw、PU。分别表示节点n-1的公钥和节点n的公钥, Request表示请求信息,C5、COj表示验证码。
[0110] 上述"相邻i节点密钥结构",是指一个节点同时拥有其前向和后向i个节点的公 钥。
[0111] 图4为本实施例中上传数据流程图;本实施例中,在一个安全网络已经构建完成 的环境下,当要进行数据的上传时候(如从节点n开始,将数据传输至认证服务器AS),其上 传数据过程如下:
[om] @、节点〇向节点11-1发送握手信息胞,,0=与,..,(尸〇'"(/化//〇)||"),巧点11-1接收握手 信息后对其解密并判断若验证信息无误,产生答复信息Mr, 〇 = /v,.,.(W,, 戶"(引1"-1),将 答复信息发送给节点n;节点n接收答复信息后对其解密并判断,若验证信息无误后,完成 验证过程。PU。、PU"_1分别表示节点n和节点n-1的公钥;n、n-1表示节点标识。
[011引 通过上述握手信息Mh,0 =尽。。_,(W"(/!e//o)II?)和答复信息化,,0 =与(W,,_扣哪",训|? -1) 完成通信双方节点n和节点n-1的验证。
[0114] ②、由节点n执行数据加密函数(化nctionenuTption,阳n),将经过阳n处理后 获得加密后的上传数据Mn, 0,Mn, 0 =Mn| |Mn'II化,将其发给节点n-1,当节点n-1通过 校验码Cn(Cn为Mn, 0信息的验证码)验证完Mn, 0 =MnIIMn' ||Cn后,节点n-l将重复如 图4的过程直到节点0值GD)。
[0115] 图5为本实施例中数据上传中加密函数的数据处理流程图;本实施例中,对节点i 的上传数据进行加密。
[0116] 确定节点i的加密函数阳i,首先,其从节点i+1处收到的信息Mi+1,0= MnllMn-lll…llMi-lllMi+1' ||Ci+l中的提取中间验证段信息(与下方对应)Mi+l',将 Mi+1'与自身的数据信息节点i中的待加密的数据Di异或,通过增强关联性提升雪崩效应 提高安全性;
[0117] 然后,用节点i自身的公钥P化加密Di获得Mi,确保只有拥有节点i私钥的服务 器端和其自身可W解密;
[0118] 接着,将加密后的数据信息Mi添加到数据集MnllMn-lll…||Mi-l之后完成新信 息的数据段;Mi再与Mi+1'异或后生成新的验证段Mi',并利用Mi'生成新的校验码
[0119] 最后,将W上过程中产生的各类数据组合在一起,获得新节点i发送的信息Mi, 0 =Mn||Mn-l||...||Mi||Mi' ||Ci。
[0120] 控制命令的下发流程区别于数据的上传流程主要有=点:
[0121] 1、监测数据一般为定时发送,命令发送时间有一定的随机性。
[0122] 2、数据文件一般较大,而控制命令一般较小。
[0123] 3、上传的数据需包含所有节点,命令可能只针对个别节点。
[0124] 图6为本实施例中下发控制命令的流程图,本实施例中,下发控制命令的过程如 下;
[012引任意节点收到下发的命令Mk,J=旬Ui.(CM&)||A||Q,E表示加密算法,k为目标节 点标号,CMk为控制命令内容,PUk为节点k的公钥,Ck为节点k的验证码。
[0126] 通过校验码Ck判断信息是否出错,若错误,接收命令的节点不做任何处理,若正 确,则通过信息中间的目的节点标号k判断此信息是否是发给自己的;
[0127] 若是,则通过自身的私钥PUk解密获得命令(非对称加密中公钥加密的信息必须 用私钥才能加密,而k的私钥只有k和服务器段存有,通过此保证安全性),若不是则利用本 节点的通信密钥生成新的校验码Ck发送给下一个节点。至此,完成整个数据上传、命令下 发的保护过程。
[012引图7为本实施例中对于故障点的检测及链路自愈流程图。本实施例中,系统运行 过程中,实时监测通信网络是否出现故障,若遇到故障则进行链路自愈。具体过程如下:
[0129] 首先,需对故障节点进行判断,并找到最近的一个可W正常工作的节点;
[0130] 其次,需要对发送方和接收方的默认密钥、通信密钥进行更新;
[0131] 然后,通过进行上述数据上传和命令下发操作。
[0132 ] 故障点的检测方法;通过握手信息是否完成确定故障点,当发送节点的握手信息 得不到回复,或回复错误时候,认为该发送节点为故障节点,并利用"相邻i节点密钥结构" 中存储的后一节点的公钥生成新的握手信息发送给后一节点,直至握手成功。
[0133] 握手成功后,接收双方均将默认密钥更新,并生成新的通信密钥,进行正常通信。 从而,下次通信时候可避免重复的检测,直至故障点修复,重新进行初始化进程。
[0134] 经过测试发现,跳过故障点进行通信会增大能耗,考虑到设备是自身供电,因此对 能耗有一定要求。通过模拟发现,一定程度的提高发射功率可W在跳过节点时有效的减少 能耗,并得出i= 2或3是最理想的状况,i= 4或者5时设备需要较高的发射功率和能耗 进行工作,i> 6时由于能耗过高,不宜采用。
[0135] 最后应当说明的是:W上实施例仅用于说明本申请的技术方案而非对其保护范 围的限制,尽管参照上述实施例对本申请进行了详细的说明,所属领域的普通技术人员应 当理解:本领域技术人员阅读本申请后依然可对申请的【具体实施方式】进行种种变更、修改 或者等同替换,但该些变更、修改或者等同替换,均在申请待批的权利要求保护范围之内。
【主权项】
1. 一种面向输电线路无线通信网络的安全通信方法,其特征在于:所述方法包括: 初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并为新 设备分配密钥; 新增的所述节点η通过已通信的节点n-1向控制中心上传状态数据; 所述控制中心下发控制命令; 实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所述无 线通信网络。2. 如权利要求1所述的方法,其特征在于:所述对新增的节点进行认证,包括: 5101、 所述节点η向已安全验证的前一节点n-1发送请求交互信息M0,所述节点n-1接 收请求信息后确认交互则返回确认消息M1,建立通信关系; 5102、 所述节点η生成验证信息M2 = 0-) Il £Γ(&) Il C2并发送至所述控制中心的认 证服务器;E为加密算法,Kn为节点η的认证密钥,T为时间戳,C 2为验证码,I I表示连接关 系; 5103、 所述认证服务器接收所述验证信息M2,运用所述节点η的认知密钥Kn解密 心,.<7),获得解密后的时间戳P ; 通过所述解密后的时间戳T'解密ET(Kn)获得待验证信息Kn',比较所述节点η的认证 密钥Kn和所述验证信息1^'验证所述节点η ;若相同则完成验证,若不同则返回步骤S101。3. 如权利要求1所述的方法,其特征在于:所述为新设备分配密钥,包括: 5111、 验证后,所述控制中心的认知服务器生成信息MOO = (Pi?,,) 11COO、 M0\ = EK (PUit ^IICOlfpMlO = ^ ,(PU11)WCU)-, 其中,MOO为节点η的私钥,发给节点η ;M01和MlO分别包含验证对象的公钥,分别发 送给节点η和节点n-1 ;C00、C01、C10分别表示M00、M01、M10的验证码,用于验证信息在发 送过程中是否发生错误;PUn_i、PUn分别表示节点n-1的公钥和节点η的公钥;K n、Klri为节 点η和节点η-的认证密钥; 5112、 根据相邻i节点密钥结构,所述节点η将其公钥PUnW ^ =, (pR Il Re-^) Il C5形式发送给节点n-1,并广播给剩下的相邻i个节点; 所述节点n-1将所述相邻i个节点的公钥(2彡j彡i, i < η) 回复给所述节点η,完成公钥的分配; 其中,E为加密算法,PUn_i、PUn分别表示节点n-1的公钥和节点η的公钥,Request表 示请求信息,C5、COj表示验证码。4. 如权利要求1所述的方法,其特征在于:所述新增的所述节点上传数据,包括以下步 骤: 5201、 所述节点η向所述节点n-1发送通信握手信息; 5202、 所述节点n-1解密所述握手信息,判断其验证无误后,产生回复信息并发送至并 所述节点η ; 5203、 所述节点η解密所述回复信息,判断其信息验证无误,运行数据加密方法加密上 传的数据,产生加密信息Mn, O = Mn| |Mn' I |Cn,并发送给所述节点n-1 ; S204、所述节点n-1通过所述校验码Cn验证所述加密信息Mn, O = Mn I I Mn ' I I Cn,验 证通过则重复步骤S201至S204直到发送到节点O ; 其中,PUUn分别表示节点n-1的公钥和节点η的公钥,Mn表示上传的数据,MY表 示解码后的所述上传的数据,Cn表示验证码;n、n-1表示节点标识。5. 如权利要求4所述的方法,其特征在于:所述数据加密方法,包括以下步骤: 从待加密的节点i的上一节点i+Ι处接收信息Mi+1, O = Mn I I Mn-I I I… |Mi-l||Mi+l' ||Ci+l,从中提取验证段信息Mi+Ι,,将所述验证段信息Mi+Ι,与自身的 数据信息节点i中的数据Di异或; 用节点i自身的公钥I3Ui加密Di获得Mi ; 将加密后的数据信息Mi添加到数据集Mn| IMn-IM…I |Mi-l完成新信息的数据段; 将所述加密后的数据信息Mi再与所述验证段信息Mi+Ι'异或后生成新的验证段 MW,并利用Mi^生成新的校验码Ci; 组合上述数据,获得新节点i发送的信息Mi, O = Mn| I Mn-I I卜· I I Mi I ImW I I Ci。6. 如权利要求1所述的方法,其特征在于:所述控制中心向节点发送控制命令,包括以 下步骤: 任意节点接收下发的所述控制命令M,1 = Il刘1 G,E为加密算法,k为目标 节点标号,CMk为控制命令内容,PU k为节点k的公钥,C k为节点k的验证码; 通过校验码Ck判断信息是否正确;若错误则不做处理,若正确则节点标号k判断此信 息是否为发送给自身的信息; 若是则解密所述控制命令获得命令,若不是则利用本节点的通信密钥生成新的校验码 后发送给下一个节点。7. 如权利要求1所述的方法,其特征在于:所述链路自愈方法包括: 若出现故障节点,利用所述故障节点存有的相邻i节点密钥结构中的后一节点的公钥 生成新的握手信息发送给后一节点,直至握手成功; 更新发送节点和接收节点的默认密钥、通信密钥,通过数据上传和命令下发过程进行 通信。8. 如权利要求3或7所述的方法,其特征在于:所述相邻i节点密钥结构中存储其前 向和后向i个节点的公钥;其中,i等于2或3。
【专利摘要】本发明提供了一种面向输电线路无线通信网络的安全通信方法,包括:所述方法包括:初始化所述无线通信网络,判断是否新增节点,若有则对新增饿节点进行认证并为新设备分配密钥;新增的所述节点n通过已通信的节点n-1向控制中心上传状态数据;所述控制中心下发控制命令;实时检查链路状态,判断是否出现故障节点,若出现则运用链路自愈方法修复所述无线通信网络。本发明提供的方法中,提出了“相邻i节点密钥结构”并应用了非对称加密算法,使协议支持新设备随时接入以及自主对于断点进行监测和网络恢复,在保证通信安全的基础上克服了由于网络结构本身带来的脆弱性问题,并且提高了网络的灵活性。
【IPC分类】H04W12/04, H04W24/04, H04W12/06
【公开号】CN104902469
【申请号】CN201510182163
【发明人】郭经红, 黄红兵, 范骕程, 姚继明, 梁云, 张 浩, 王瑶, 张旭苹, 许国良, 王萍
【申请人】国家电网公司, 国网智能电网研究院, 南京大学, 国网浙江省电力公司
【公开日】2015年9月9日
【申请日】2015年4月17日
最新回复(0)