[发明专利]一种适用于轨道交通的国产通信加密方法

说明书

本发明涉及轨道交通智能运维系统调用关键生产系统数据的国产加密领域，具体涉及一种适用于轨道交通的国产通信加密方法。包括如下步骤：当运维系统接口服务器与生产系统接口服务器建立连接后，在数据交互前，使用加密算法中的非对称加密算法SM2进行双向身份认证和密钥协商；当运维系统接口服务器与生产系统接口服务器进行数据通信时，生产系统接口服务器将对原始数据包进行报文重组，填充完整性校验字段，使用国产加密码算法中的对称加密算法SM4进行数据加密；当运维系统接口服务器收到加密报文后，将利用加密算法中的对称加密算法SM4进行解密，并进行完整性校验；本发明能够实现抵御重放攻击和抵御非授权用户访问的目的。

技术领域

本发明涉及轨道交通智能运维系统调用关键生产系统数据的国产加密领域，具体涉及一种适用于轨道交通的国产通信加密方法。

背景技术

城市轨道交通中智能运维系统和关键生产系统之间的数据交互，是一个将各条线路的生产运营数据安全传输至线网中心集中展示和监测的过程。线网级工程在建设过程中，其使用的传输介质种类多、距离长且部分介质存在于开放的空间范围内，存在一定的非授权接入风险，且数据传输存在被窥视、截取甚至篡改的可能。而目前系统中仅采用一种加密算法甚至不采用加密算法，且采用的是国际标准算法体系，存在安全的隐患。

本技术方案涉及国产加密算法的应用，密钥生成使用和交换，数据通信过程中的加解密和完整性校验，本技术方案中的加密方法通过对国产加密算法的选择，对与轨道交通重要业务系统进行数据请求的智能运维系统进行身份认证，对传输的轨道交通运营生产数据进行加密和完整性校验，保障轨道交通运营数据安全。在轨交系统交互过程中使用国产加密算法，提升了系统对抗入侵的能力；同时也为智能运维系统接入不同线路时，采用不同加密算法提供选择，增加了各线路运营数据接入的便捷性。

现有轨交系统中采用的国际标准加密算法，安全和效率上存在一定的缺陷，如DES算法在美国已经停用，SHA1的安全强度也受到威胁，1024位RSA算法存在破解风险。

发明内容

本发明提供了一种适用于轨道交通的国产通信加密方法，该方法实现通信的身份认证，加密和完整性检验，本发明所要解决的技术问题是克服现有技术缺少身份鉴别机制，容易被攻击者利用，攻击者可以利用特定的数据通信端口进行数据窃取和实施病毒传播；当重要业务系统（如信号系统）接口服务器与外部接入系统完成身份认证后，未对传输的轨道交通运营数据进行加密，明文数据易被攻击者窃取或篡改，造成对于轨道交通运营系统状态的误判，现提供一种适用于轨道交通智能运维系统调用生产系统数据的国产加密方法。

为了达到上述目的，本发明采用以下技术方案：

一种适用于轨道交通的国产通信加密方法，包括如下步骤：

1）当运维系统接口服务器与生产系统接口服务器建立连接后，在数据交互前，使用加密算法中的非对称加密算法SM2进行双向身份认证和密钥协商；

2）当运维系统接口服务器与生产系统接口服务器进行数据通信时，生产系统接口服务器将对原始数据包进行报文重组，填充完整性校验字段，使用国产加密码算法中的对称加密算法SM4进行数据加密；

3）当运维系统接口服务器收到加密报文后，将利用加密算法中的对称加密算法SM4进行解密，并进行完整性校验。

优选的所述运维系统接口服务器和生产系统接口服务器相连接，轨道交通运维系统通过运维系统接口服务器和生产系统接口服务器相连接，运维系统接口服务器通过生产系统接口服务器与生产系统相连接；运维系统加密模块和生产系统加密模块先进行双向身份认证，运维系统加密模块和生产系统加密模块均对对方进行身份认证；当轨道交通运维系统向生产系统进行数据请求时，生产系统信号模块将数据传递给生产系统加密模块进行加密，将加密后的数据传递给运维系统加密模块进行解密，运维系统接口服务器通过利用运维系统信号模块进行数据的接收处理，将最终实现对生产系统的数据调用。