本發明涉及軌道交通智能運維系統調用關鍵生產系統數據的國產加密領域，具體涉及一種適用于軌道交通的國產通信加密方法。包括如下步驟：當運維系統接口服務器與生產系統接口服務器建立連接后，在數據交互前，使用加密算法中的非對稱加密算法SM2進行雙向身份認證和密鑰協商；當運維系統接口服務器與生產系統接口服務器進行數據通信時，生產系統接口服務器將對原始數據包進行報文重組，填充完整性校驗字段，使用國產加密碼算法中的對稱加密算法SM4進行數據加密；當運維系統接口服務器收到加密報文后，將利用加密算法中的對稱加密算法SM4進行解密，并進行完整性校驗；本發明能夠實現抵御重放攻擊和抵御非授權用戶訪問的目的。

技術領域

本發明涉及軌道交通智能運維系統調用關鍵生產系統數據的國產加密領域，具體涉及一種適用于軌道交通的國產通信加密方法。

背景技術

城市軌道交通中智能運維系統和關鍵生產系統之間的數據交互，是一個將各條線路的生產運營數據安全傳輸至線網中心集中展示和監測的過程。線網級工程在建設過程中，其使用的傳輸介質種類多、距離長且部分介質存在于開放的空間范圍內，存在一定的非授權接入風險，且數據傳輸存在被窺視、截取甚至篡改的可能。而目前系統中僅采用一種加密算法甚至不采用加密算法，且采用的是國際標準算法體系，存在安全的隱患。

本技術方案涉及國產加密算法的應用，密鑰生成使用和交換，數據通信過程中的加解密和完整性校驗，本技術方案中的加密方法通過對國產加密算法的選擇，對與軌道交通重要業務系統進行數據請求的智能運維系統進行身份認證，對傳輸的軌道交通運營生產數據進行加密和完整性校驗，保障軌道交通運營數據安全。在軌交系統交互過程中使用國產加密算法，提升了系統對抗入侵的能力；同時也為智能運維系統接入不同線路時，采用不同加密算法提供選擇，增加了各線路運營數據接入的便捷性。

現有軌交系統中采用的國際標準加密算法，安全和效率上存在一定的缺陷，如DES算法在美國已經停用，SHA1的安全強度也受到威脅，1024位RSA算法存在破解風險。

發明內容

本發明提供了一種適用于軌道交通的國產通信加密方法，該方法實現通信的身份認證，加密和完整性檢驗，本發明所要解決的技術問題是克服現有技術缺少身份鑒別機制，容易被攻擊者利用，攻擊者可以利用特定的數據通信端口進行數據竊取和實施病毒傳播；當重要業務系統（如信號系統）接口服務器與外部接入系統完成身份認證后，未對傳輸的軌道交通運營數據進行加密，明文數據易被攻擊者竊取或篡改，造成對于軌道交通運營系統狀態的誤判，現提供一種適用于軌道交通智能運維系統調用生產系統數據的國產加密方法。

為了達到上述目的，本發明采用以下技術方案：

一種適用于軌道交通的國產通信加密方法，包括如下步驟：

1）當運維系統接口服務器與生產系統接口服務器建立連接后，在數據交互前，使用加密算法中的非對稱加密算法SM2進行雙向身份認證和密鑰協商；

2）當運維系統接口服務器與生產系統接口服務器進行數據通信時，生產系統接口服務器將對原始數據包進行報文重組，填充完整性校驗字段，使用國產加密碼算法中的對稱加密算法SM4進行數據加密；

3）當運維系統接口服務器收到加密報文后，將利用加密算法中的對稱加密算法SM4進行解密，并進行完整性校驗。

優選的所述運維系統接口服務器和生產系統接口服務器相連接，軌道交通運維系統通過運維系統接口服務器和生產系統接口服務器相連接，運維系統接口服務器通過生產系統接口服務器與生產系統相連接；運維系統加密模塊和生產系統加密模塊先進行雙向身份認證，運維系統加密模塊和生產系統加密模塊均對對方進行身份認證；當軌道交通運維系統向生產系統進行數據請求時，生產系統信號模塊將數據傳遞給生產系統加密模塊進行加密，將加密后的數據傳遞給運維系統加密模塊進行解密，運維系統接口服務器通過利用運維系統信號模塊進行數據的接收處理，將最終實現對生產系統的數據調用。