CN103098415B - 用于认证组播消息的方法和设备 - Google Patents

用于认证组播消息的方法和设备 Download PDF

Info

Publication number
CN103098415B
CN103098415B CN201180044259.0A CN201180044259A CN103098415B CN 103098415 B CN103098415 B CN 103098415B CN 201180044259 A CN201180044259 A CN 201180044259A CN 103098415 B CN103098415 B CN 103098415B
Authority
CN
China
Prior art keywords
message
multicast message
equipment
certification key
field apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201180044259.0A
Other languages
English (en)
Other versions
CN103098415A (zh
Inventor
R.法尔克
S.弗里斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN103098415A publication Critical patent/CN103098415A/zh
Application granted granted Critical
Publication of CN103098415B publication Critical patent/CN103098415B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

用于认证组播消息的方法具有下列步骤:通过发送设备基于该发送设备的锚定值来计算(S1)初始化哈希链和在初始化阶段(IP)将初始化哈希链的最后链环节作为初始化函数值分配给至少一个接收设备,通过存储接收到的组播消息(MC‑N)接收(S2)组播消息(MC‑N),通过接收设备从发送设备接收(S3)认证密钥释放消息(KRM),其中认证密钥释放消息(KRM)包含为认证所存储的组播消息(MC‑N)而被发送设备释放的加密认证密钥(K),通过接收设备借助预给定的加密函数(H)计算(S4)针对在认证密钥释放消息(KRM)中所包含的加密认证密钥(K)的加密函数值h(K),将认证密钥(K)的通过接收设备所计算的加密函数值h(K)与在初始化阶段(IP)中事先通过发送设备被分配给接收设备的初始化函数值(hn)进行比较(S5),用于检验包含在认证密钥释放消息(KRM)中的加密认证密钥(K)的有效性;并且通过接收设备根据被识别为有效的加密认证密钥(K)对来自发送设备的被存储在接收设备中的组播消息(MC‑N)进行认证(S6)。

Description

用于认证组播消息的方法和设备
技术领域
本发明涉及一种用于认证组播消息的方法和设备、尤其是对在对等系统的现场设备之间被交换的并且作为有效数据分别包含 GOOSE ( Generic Object Oriented Substation Events :面向通用对象的变电站事件)消息或者 SMV ( Sampled Measured Values :采样测量值)消息的组播消息进行认证的方法和设备。
背景技术
现场设备在检测到事件之后将组播消息传输给已注册的其他现场设备,这些已注册的其他现场设备接收所述组播消息。这些组播消息从已检测到事件的现场设备通过无线的或者有线的消息连接被传输给其余现场设备。这种现场设备例如可以是保护设备、例如智能断路器,所述智能断路器处于供电网络的变电站中。不同的现场设备可以彼此间交换用于电保护以及用于传输测量数据的消息。此外,现场设备可以监控和控制各种各样的功能。在检测到事件之后,通过现场设备不是给特定的目标地址发送消息,而是将消息作为广播消息和 / 或组播消息发送给不同的进行接收的现场设备,这些进行接收的现场设备接收所述组播消息并且判定所接收的消息是否在其侧被处理。组播消息作为具有管理数据和 / 或报头数据和有效数据的数据包来传输。包含在组播消息中的有效数据可以通过 GOOSE 消息或者 SMV 消息来形成。标准 IEC61850 针对在能量供应网络内的变电站控制设备来定义消息。为了保护所传输的组播消息,在此根据标准 IEC61850 建议使用数字签名。针对每个消息,为了防止消息被篡改和 / 或为了从进行发送的现场设备侧进行完整性保护,计算数字签名并且通过所有进行接收的现场设备标识数字签名。
但是,该方法具有明显缺点:为了创建数字签名和为了通过所有进行接收的现场设备验证所述数据签名,存在显著的计算开销,并且相对应的现场设备必须拥有用于执行这种计算的相对应的资源。此外,验证所接收的组播消息必须在预给定的应答时间内进行,所述预给定的应答时间可包括数毫秒。
发明内容
因而,本发明的任务是提出一种用于认证组播消息的方法和设备,所述方法是特别有效的并且具有低计算开销。
根据本发明,该任务通过如下所说的方法来解决。
本发明提出了一种用于认证组播消息的方法,其具有步骤:
通过发送设备基于该发送设备的锚定值来计算初始化哈希链,和在初始化阶段,将初始化哈希链的最后链环节作为初始化函数值分配给至少一个接收设备;
通过存储所接收的组播消息的接收设备来接收组播消息;
通过接收设备来 从发送设备接收认证密钥释放消息,
其中认证密钥释放消息包含为认证所存储的组播消息而由发送设备释放的加密认证密钥;
通过接收设备借助预给定的加密函数来计算针对在认证密钥释放消息中所包含的加密认证密钥的加密函数值;
将认证密钥的通过接收设备所计算的加密函数值与在初始化阶段中事先通过发送设备被分配给接收设备的初始化函数值进行比较,用于检验包含在认证密钥释放消息中的加密认证密钥的有效性;并且
通过接收设备借助被识别为有效的加密认证密钥对来自发送设备的被存储在接收设备中的组播消息进行认证。在该方法中,设置有不同的组播消息类型,其中发送设备针对每种组播消息类型分别基于锚定值借助针对相应的组播消息类型的预给定的哈希函数计算相关的消息类型哈希链,而且不同的消息类型哈希链分别基于通过初始化哈希链所提供的锚定值来计算,其中锚定值通过初始化哈希链的链环节来形成。
根据本发明的认证方法提供如下优点:在没有中央节点和 / 或中央现场设备的情况下足以进行密钥管理。根据本发明的方法因此也在没有用于现场设备组的组控制器的情况下起作用。
在根据本发明的方法的一个实施形式中,发送设备在初始化阶段用加密私钥对初始化函数值进行签名,并且将经签名的密钥分配给接收设备,所述接收设备分别借助公钥来验证接收到的初始化函数值的签名。
初始化函数值优选地在成功验证签名之后被存储或暂存,用于后续检验包含在认证密钥释放消息中的加密密钥的有效性。初始化函数值的存储可以临时地进行。
在根据本发明的方法的实施形式中,在初始化阶段中所分配的初始化函数值通过哈希函数值来形成,所述哈希函数值利用预给定的哈希函数来计算。
通过发送设备在初始化阶段中所分配的哈希函数值形成参考哈希值,所述参考哈希值形成通过发送设备计算的消息保护哈希值链的最后环节,所述消息保护哈希值链通过发送设备借助预给定的哈希函数基于发送设备的锚定值在初始化阶段中被计算。
在根据本发明的方法的一个可能的实施形式中,发送设备在发送组播消息之后在预先确定的可配置的时段内发送相关的认证密钥释放消息,所述认证密钥释放消息包含为认证组播消息所设置的认证密钥。
在根据本发明的方法的一个可能的实施形式中,接收设备所接收的并且存储的组播消息具有管理数据、有效数据和消息认证码。
在根据本发明的方法的一个可能的实施形式中,组播消息的有效数据通过至少一个 GOOSE (面向通用对象的变电站事件)消息来形成。
在根据本发明的方法的另一可能的实施形式中,组播消息的有效数据通过至少一个 SMV (采样测量值)消息来形成。
在根据本发明的方法的一个可能的实施形式中,在组播消息中所包含的消息认证码借助 HMAC 函数或者借助 CBC-MAC 函数根据组播消息的有效数据和加密认证密钥通过发送设备来计算。
在根据本发明的方法的一个可能的实施形式中,如果包含在所接收的组播消息中的消息认证码与如下消息认证码相一致,则接收设备对所接收的和所存储的组播消息进行认证:所述消息认证码通过接收设备借助 HMAC 函数或者借助 CBC-MAC 函数根据组播消息的有效数据以及被识别为有效的加密认证密钥来计算,所述加密认证密钥包含在认证密钥释放消息中。
在根据本发明的方法的一个可能的实施形式中,包含在认证密钥释放消息中的加密认证密钥是哈希值,所述哈希值通过消息保护哈希链的在所计算的消息保护哈希链中在紧接在前的认证密钥释放消息中所包含的哈希值之前的链环节形成,直至达到消息保护哈希链的锚定值。
在根据本发明的方法的一个可能的实施形式中,在初始化阶段中通过发送设备基于该发送设备的锚定值所计算的初始化哈希链借助哈希函数来计算,所述初始化哈希链的链环节被设置用于初始化其他哈希链、尤其是消息保护哈希链。
在根据本发明的方法的一个实施形式中,设置有不同的组播消息类型,其中发送设备针对每种组播消息类型分别基于锚定值借助针对相关组播消息类型的预给定的哈希函数来计算相关消息类型哈希链。
在根据本发明的方法的一个实施形式中,不同的消息类型哈希链分别基于通过初始化哈希链所提供的锚定值来计算,其中锚定值通过初始化哈希链的链环节来形成。
此外,本发明还提出一种现场设备,其具有:
用于接收至少一个组播消息和时间延迟地获得的来自其他现场设备的相关认证密钥释放消息的接口,
数据存储器,用于存储所接收的组播消息和在相关认证密钥释放消息中分别包含的加密认证密钥,并且用于存储在初始化阶段中被分配给现场设备的初始化函数值,所述加密认证密钥被设置用于认证相应的组播消息,并且具有
认证单元,用于借助预给定的加密函数来计算相应的加密认证密钥的加密函数值,
其中所计算的函数值与所存储的初始化函数值进行比较,用于检验加密认证密钥的有效性,并且所存储的组播消息根据被识别为有效的加密认证密钥被认证。在该现场设备中,设置有不同的组播消息类型,其中发送设备针对每种组播消息类型分别基于锚定值借助针对相应的组播消息类型的预给定的哈希函数计算相关的消息类型哈希链,而且其中,不同的消息类型哈希链分别基于通过初始化哈希链所提供的锚定值来计算,其中锚定值通过初始化哈希链的链环节来形成。
在根据本发明的现场设备的另一可能的实施形式中,该现场设备此外还具有计算单元,所述计算单元借助加密函数来计算初始化函数值,其中初始化函数值在初始化阶段中以用现场设备的私钥签名的方式被分配给其他现场设备。
在根据本发明的现场设备的一个可能的实施形式中,现场设备通过接口发送至少一个组播消息,并且以时间延迟的方式给其他现场设备发送相关的认证密钥释放消息,其中认证密钥释放消息包含为认证组播消息而被现场设备释放的认证密钥。
在根据本发明的现场设备的一个可能的实施形式中,所发送的组播消息具有管理数据(报头)、有效数据和消息认证码。
在根据本发明的现场设备的一个可能的实施形式中,消息认证码根据组播消息的有效数据和加密认证密钥通过现场设备的计算单元来计算。
在根据本发明的现场设备的一个可能的实施形式中,组播消息的有效数据通过至少一个 GOOSE (面向通用对象的变电站事件)消息来形成。
在根据本发明的现场设备的一个可替选的实施形式中,组播消息的有效数据通过至少一个 SMV (采样测量值)消息来形成。
此外,本发明还提出了一种具有多个现场设备的对等系统,所述现场设备分别具有:用于接收至少一个组播消息和时间延迟地获得的来自其他现场设备的相关认证密钥释放消息的接口;用于存储所接收的组播消息、用于存储在相关认证释放消息中分别包含的加密认证密钥并且用于存储在初始化阶段中被分配给相应的现场设备的初始化函数值的数据存储器,所述加密认证密钥被设置用于认证相应的组播消息;以及被设置用于借助预给定的加密函数计算相应的加密认证密钥的加密函数值的认证单元,其中所计算的函数值与所存储的初始化函数值进行比较,用于检验加密认证密钥的有效性,并且所存储的组播消息根据被识别为有效的加密认证密钥被认证。其中,设置有不同的组播消息类型,其中发送设备针对每种组播消息类型分别基于锚定值借助针对相应的组播消息类型的预给定的哈希函数计算相关的消息类型哈希链,而且其中,不同的消息类型哈希链分别基于通过初始化哈希链所提供的锚定值来计算,其中锚定值通过初始化哈希链的链环节来形成。
在根据本发明的对等系统的一个优选实施形式中,现场设备在时间上彼此同步。
在根据本发明的对等系统的一个可能的实施形式中,现场设备分别具有用于接收 NTP ( Network Time Protocol (网络时间协议))同步消息或 MMS 消息的单元。
在根据本发明的对等系统的一个可能的实施形式中,在该系统中所交换的组播消息具有不同的组播消息类型,所述组播消息类型具有不同的优先级,其中在发送组播消息与发送相关的认证密钥释放消息之间的可配置的时长越短,则组播消息的相应的组播消息类型的优先级越高。
附图说明
此外,参照所附的视图描述了根据本发明的用于认证在对等系统的现场设备之间交换的组播消息的认证方法的可能实施形式。
图 1 示意性示出了对等系统,该对等系统具有多个根据本发明的现场设备,所述现场设备按照根据本发明的认证方法来认证组播消息;
图 2 示出了根据本发明的现场设备的一个实施例的框图;
图 3 示出了用于描述根据本发明的用于认证组播消息的方法的一个实施例的流程图;
图 4 示出了用于阐述根据本发明的认证方法的信号流图;
图 5 示出了通过根据本发明的方法可认证的组播消息的可能的数据格式。
具体实施方式
如从图 1 中可看到的那样,根据本发明的用于认证组播消息的认证方法例如可以使用在对等系统 1 中,该对等系统 1 具有多个现场设备 2-1 、 2-2 、 2-3 、 ... 、 2-m 。现场设备 2-i 可以通过它们彼此间交换消息的方式彼此经由无线的或有线的消息连接来通信。现场设备 2-i 可以是固定安装的现场设备,但也可以是移动现场设备。现场设备 2-i 可以作为发送设备发送消息并且可以作为接收设备来接收消息。如果通过现场设备(例如图 1 中所示的现场设备 2-i )识别出事件,则现场设备 2-i 可以作为发送设备将组播消息 MC-N 发送给对点对系统 1 的其余现场设备,如在图 1 中所示。现场设备 2-i 例如可以是测量设备、监控设备或其他控制设备。
图 2 示出了用于使用在图 1 中所示的系统 1 中的现场设备 2-i 的可能的实施例的框图。如图 2 中所示,现场设备 2 具有至少一个用于发送和接收消息的接口 2a 。接口 2a 可以是用于发送和接收无线电信号的无线接口。可替选地,接口 2a 也可以是用于连接到网络上的有线接口。接口 2a 适于接收至少一个组播消息 MC-N 。此外,在图 2 所示的实施例中通过接口 2a 可以接收时间延迟地获得的相关认证密钥释放消息 KRM ( Key Release Message ),其来自该系统的其他设备。
现场设备 2 如在图 2 中所示包含本地数据存储器 2b 。在数据存储器 2b 中可以存储或暂存至少一个所接收的组播消息 MC-N 。此外,在数据存储器 2b 中存储在所接收的相关认证密钥释放消息(或 Key Release Message ( KRM ))中分别包含的组播消息的加密认证密钥 K 。所存储的加密认证密钥 K 在此设置用于认证相应的组播消息 MC-N 。此外,在现场设备的数据存储器 2b 中存储在初始化阶段 IP 中分配给现场设备 2 的初始化函数值 hn
数据存储器 2b 与现场设备 2 的认证单元 2c 连接。该认证单元借助预给定的加密函数 H 来计算相应的加密认证密钥 K 的加密函数值 h ( k ),该加密函数值 h ( k )存储在数据存储器 2b 中。加密函数 H 例如可以是哈希函数。所计算的函数值 h ( K )与存储在数据存储器 2b 中的初始化函数值 hn 比较,用以检验该加密认证密钥 K 的有效性。如果加密认证密钥 K 识别为有效,则所存储的相关组播消息 MC-N 接着借助被识别为有效的加密认证密钥 K 通过该现场设备 2 的认证单元 2c 来认证。
如在图 2 中所示,现场设备 2 附加地可以具有计算单元 2d ,该计算单元 2d 借助加密函数 H 来计算初始化函数值,其中所计算的初始化函数值在该系统 1 的初始化阶段中以利用该现场设备 2 的私钥 Kpriv 签名的方式被分配给其他现场设备。私钥 Kpriv 可以以可配置的方式存储在该现场设备 2 的另外的存取安全的数据存储器中。在由图 2 中所示的现场设备 2 经由接口 2a 向该系统 1 的其他现场设备发送组播消息 MC-N 之后,该现场设备 2 时间延迟地经由接口 2a 将相关认证密钥释放消息 KRM 发送给其他现场设备。认证密钥释放消息(或 Key Release Message )在此包含至少一个为认证组播消息 MC-N 而由现场设备 2 释放的认证密钥 K 。在所发送的组播消息 MC-N 与接着所发送的相关认证密钥释放消息 KRM 之间的时间延迟在一个可能的实施形式中可配置并且可以取决于相应的组播消息或组播消息类型的优先级。
在一个可能的实施形式中,组播消息 MC-N 通过现场设备 2 的计算单元在检测到确定的事件之后自动生成和发送。为了检测事件,在图 2 中所示的现场设备 2 可以附加地拥有传感器。在另一可能的实施形式中,借助由其他节点或现场设备接收的消息来识别事件。由现场设备 2 在识别事件时所发送的组播消息 MC-N 具有管理数据(报头)、有效数据和消息认证码 MAC 。在此,认证码根据组播消息 MC-N 的有效数据和加密认证密钥 K 通过现场设备 2 的计算单元 2d 来计算。所发送的组播消息 MC-N 因此是确定数据格式的数据包。
图 5 示出了由现场设备 2 发送的组播消息 MC-N 的数据格式的可能的例子。该组播消息如图 5 中所示地包括报头(或管理)数据以及有效数据(或 Payload )数据。此外,组播消息 MC-N 包括所产生的消息认证码 MAC ,该消息认证码根据组播消息的有效数据和加密认证密钥 k 通过现场设备 2 的计算单元 2d 来计算。在一个可能的实施形式中,在组播消息中包含的有效数据就其而言是消息、尤其是 GOOSE ( Generic Object Oriented Substation Events (面向通用对象的变电站事件))消息或 SMV ( Sampled Measured Values (采样测量值))消息。
在现场设备 2 的一个可能的实施形式中,该现场设备 2 还如在图 2 中所示地拥有同步单元 2e ,该现场设备 2 利用该同步单元 2e 来与该系统 1 的其他现场设备同步。在一个可能的实施形式中,现场设备具有用于接收 NTP ( Network Time Protocol (网络时间协议))同步消息的单元。在一个可替选的实施形式中,现场设备 2 具有用于接收 MMS 消息的单元。在另一可替选的实施形式中,现场设备 2 具有用于接收 IEEE 1588 同步消息的单元。
图 3 示出了用于描述根据本发明的用于认证组播消息 MC-N 的方法的一个实施例的流程图。
该系统 1 如图 1 中所示的那样首先在初始化阶段 IP 中在步骤 S1 中基于相应的现场设备的预先确定的锚定值来计算初始化哈希链。接着,所计算的初始化哈希链的最后链环节作为初始化函数值分配给至少一个接收设备或其余现场设备。在此,发送设备或进行发送的设备在初始化阶段 IP 中利用加密私钥 Kpriv 来对初始化函数值 hn 签名并且将经签名的初始化函数值 hn 分配给其余现场设备,其中经签名的初始化函数值 hn 形成初始化哈希链的最后链环节。在由其余现场设备成功验证初始化函数值的情况下,所分配的初始化函数值 hn 存储在所述其余现场设备的分别存在的本地数据存储器 2b 中。初始化函数值因此在成功验证签名之后相应地存储在其余现场设备的数据存储器 2b 中,用于后续由所述其余现场设备检验在认证密钥释放消息 KRM 中包含的加密密钥 k 的有效性。在一个优选的实施形式中,在初始化阶段 IP 中所分配的初始化函数值 hn 通过哈希函数值形成,该哈希函数值利用预给定的哈希函数 H 来计算。通过进行发送的现场设备在初始化阶段 IP 中所分配的哈希函数值 hn 形成参考哈希值,该参考哈希值形成由进行发送的现场设备所计算的消息保护哈希链的最后环节。消息保护哈希链通过进行发送的现场设备或发送设备借助预给定的哈希函数 H 基于发送设备的锚定值在初始化阶段 IP 中被计算。该系统 1 的每个现场设备 2-i 优选地拥有各自的锚定值。
在现场设备 2-i 在初始化阶段中在步骤 S1 中从其他现场设备获得初始化函数值并且在成功验证之后已将该值存储在该现场设备的本地数据存储器 2b 中之后,该现场设备 2 在另一步骤 S2 中接收来自其他现场设备的组播消息 MC-N ,并且将所接收的组播消息 MC-N 同样存储在该现场设备的本地数据存储器 2b 中。
曾发送组播消息 MC-N 的现场设备在预先确定的可配置的时段Δ t 内发送相关认证密钥释放消息或密钥释放管理消息,认证密钥释放消息或密钥释放管理消息包含设置用于认证组播消息 MC-N 的认证密钥 K 。认证密钥释放消息 KRM 通过所接收的现场设备 2 在步骤 S3 中被接收。所接收的认证密钥释放消息 KRM 包含为认证已暂存在数据存储器 2 中的组播消息 MC-N 而由进行发送的现场设备所释放的加密认证密钥 K 。
在另一步骤 S4 中,通过所接收的现场设备的认证单元 2c 借助预给定的加密函数 H 来计算用于在所接收的认证密钥释放消息 KRM 中包含的加密认证密钥 K 的加密函数值 h ( K )。在一个可能的实施形式中,认证单元 2c 通过配置接口利用相应函数来预配置。
在另一步骤 S5 中,通过现场设备 2 的认证单元 2c 将由进行接收的现场设备 2 所计算的认证密钥 K 的加密函数值 h ( K )与在初始化阶段 IP 中事先由进行发送的现场设备分配给进行接收的现场设备 2 的初始化函数值 hn 比较,用于检验在认证密钥释放消息 KRM 中包含的加密认证密钥 K 的有效性。
如果加密认证密钥 K 由进行接收的现场设备识别为有效,则在另一步骤 S6 中对来自进行发送的现场设备的存储在进行接收的现场设备中的组播消息 MC-N 进行认证。经认证的组播消息 MC-N 于是被进一步处理或分析。
在一个可能的实施形式中,在组播消息 MC-N 中包含的消息认证码 MAC 借助 HMAC 函数根据组播消息 MC-N 的有效数据利用加密认证密钥 K 通过进行发送的现场设备来计算。在一个可能的实施形式中,利用 HMAC 函数计算完整性检查值(或 Integrity Check Value ICV )。在一个可能的实施形式中, HMAC 函数具有如下式子:
HMAC (H , N) = H((K XOR opad)|| H((K XOR ipad) ||N)) ;
其中 N 是消息,该消息作为有效数据包含在组播消息 MC-N 中。
在该变型方案中,进行接收的现场设备将所接收的消息存储用于验证其真实性。
在另一变型方案中,消息认证码 MAC 如下地计算:
MAC(K,N)=H(K||H(N)) 。
该变型方案允许预先计算消息 H ( H )的哈希值。
在该实施形式中,只需暂存哈希值而不暂存整个消息 N 来验证其真实性。
如果在所接收的组播消息 MC-N 中包含的消息认证码 MAC 与消息认证码 MAC' 相一致,则进行接收的现场设备认证所接收的和所存储的组播消息 MC-N ,其中消息认证码 MAC' 通过接收设备借助函数尤其是 HMAC 函数或 CBC-MAC 函数根据组播消息的有效数据和被识别为有效的加密认证密钥 K 来计算,被识别为有效的加密密钥 K 包含在认证密钥释放消息 KRM 中。
在认证密钥释放消息 KRM 中包含的加密认证密钥 K 在此优选形成哈希值,该哈希值通过消息保护哈希链的在所计算的消息保护哈希链中在紧接在前的认证密钥释放消息中所包含的哈希值 hn 之前的链环节 hn-1 形成,直至达到消息保护哈希链的锚定值。
在初始化阶段 IP 中,通过进行发送的现场设备或发送设备基于进行发送的现场设备的锚定值借助哈希函数 H 来计算初始化哈希链,该初始化哈希链的链环节 hi 在一个可能的实施形式中设置用于初始化其他哈希链,尤其是消息保护哈希链。
在根据本发明的方法的一个可能的实施形式中,设置有不同的组播消息类型。在此,进行发送的现场设备针对每个组播消息类型分别基于锚定值借助用于相应的组播消息类型的预给定的哈希函数来计算相关的消息类型哈希链。不同的消息类型哈希链分别基于通过初始化哈希链提供的锚定值来计算,其中锚定值分别通过初始化哈希链的链环节来形成。在该系统 1 中交换的组播消息 MC-N 可以具有不同的组播消息类型 MC-N-TYP ,组播消息类型 MC-N-TYP 具备不同的优先级。在一个可能的实施形式中,在发送组播消息 MC-N 与发送与其相关的认证密钥释放消息 KRM 之间可配置的时长Δ t 越短,则组播消息的相应组播消息类型的优先级就越高。例如,在一个可能的实施形式中,针对快消息( fast messages )、具有中等速度的消息( medium speed messages (中速消息))和具有必要的低传输速度的消息( low speed messages (低速消息))定义不同的优先级。快或关键消息再次是具有高优先级的待传输消息,也就是说,在这种消息的情况下,在发送相应的组播消息 MC-N 与发送与其相关的认证密钥释放消息 KRM 之间的时长是小的并且例如可以为小于 5 毫秒。
在图 4 中,还用于阐明根据本发明的方法。在初始化阶段 IP 中借助进行发送的现场设备或发送设备 SG 基于发送设备 SG 的锚定值来计算初始化哈希链,并且接着将初始化哈希链的最后链环节作为初始化函数值 hn 分配给至少一个接收设备 EG 。在该系统的运行阶段中,现场设备 SG 例如在检测到事件时将组播消息 MC-N 发送给其余进行接收的现场设备 EG 。在确定的可配置的时间延迟Δ t 之后,发送设备 SG 还将认证密钥释放消息 KRM ( Key Release Message )发送给其余现场设备,其中认证密钥释放消息 KRM 包含为认证事先所发送的组播消息 MC-N 而由发送设备 SG 释放的加密认证密钥 K 。通过接收设备 EG 如在图 4 中所示的那样借助预给定的加密函数 H 来计算用于在认证密钥释放消息 KRM 中包含的加密认证密钥 K 的加密函数值 h ( K )。通过接收设备 EG 所计算的认证密钥 K 的加密函数值 h ( k )接着与在初始化阶段 IP 中事先通过接收设备获得的初始化函数值 hn 比较,用于检验在认证密钥释放消息 KRM 中包含的加密认证密钥 K 的有效性。如果这两个比较值相同或基本相同,则接着对来自发送设备 SG 的存储在接收设备 EG 中的组播消息 MC-N 进行认证。经认证的消息 MC-N 接着可以被分析。
在根据本发明的方法中,通过使用借助插入数字签名的哈希链实现了多个消息的广播或组播的完整性保护。根据本发明的方法例如可以与用于能量现场设备例如保护站控制器的能量控制协议一起使用。
在根据本发明的方法的一个变型方案中,广播 - 组播 - 哈希链系接到确定等级或确定类型的消息上。控制消息的类型可以通过进行发送的现场设备具体说明为初始化信息的一部分。这允许进行接收的现场设备确定该哈希链是否趋于与进行接收的现场设备的控制指令相关。当情况如此时,则进行接收的现场设备或接收器存储初始化信息。在一个可能的实施形式中,进行接收的现场设备或接收设备验证所接收的控制消息或组播消息实际是否对应于与哈希初始化信息一致的预告的等级或所预告的类型。
在根据本发明的方法的一个可能的实施形式中,初始化哈希链的链环节分别形成其他哈希链尤其是消息保护哈希链的锚定值。这允许针对不同的消息等级或消息类型设置不同的哈希链。此外,可以以此方式确定哈希链,哈希链通常必须被提供,因为基于相应消息类型的高优先级,链环节被快速地消耗或使用。
在根据本发明的系统 1 的一个可能的实施形式中,不同的现场设备 2 针对不同事件执行本地登记,也就是说,每个现场设备 2 判定进行接收的组播消息中的哪些由相应的现场设备处理并且哪些组播消息 MC-N 由相应的现场设备 2 丢弃。在根据本发明的系统 1 的一个可能的实施形式中,不同的消息组合成消息组,该消息组可以具有不同的优先级。发送组播消息 MC-N 的进行发送的现场设备于是可以将哈希链系接成特定的消息群或确定的消息组。这例如通过群准则( Cluster-Kriterium )包含到所示的密钥信息中的方式来实现。此外可能的是,发送现场设备在分配链锚定值时提供该信息。
在一个可能的变型方案中,指令或在组播消息 MC-N 中传输的指令只有当其依据前面所执行的指令或控制数据和所包含的测量数据被评价为可信时才执行。
在根据本发明的系统 1 的一个可能的变型方案中,每个现场设备发送密钥材料的哈希链,以便提供消息保护,并且发送第二哈希链,以便提供另外的哈希链的锚定值。由此,可以减小不对称加密运算的数目。
在根据本发明的系统 1 的一个可能的实施形式中,每个现场设备 2 都拥有公钥对和由私钥组成的密钥对。在此情况下,公钥被证实并且可供其余现场设备使用。可替选地,证书可以作为协议的一部分被传输。在根据本发明的系统 1 的一个可能的实施形式中,所计算的哈希链的长度取决于在传输组播消息 MC-N 与传输密钥释放消息 KRM 之间所设置的时间间隔Δ t 。该时间间隔Δ t 越短,则针对相应哈希链所计算的链环节就越多。

Claims (21)

1.一种用于认证组播消息的方法,其具有下列步骤:
(a)通过发送设备基于该发送设备的锚定值来计算初始化哈希链,和在初始化阶段中将初始化哈希链的最后链环节作为初始化函数值分配给至少一个接收设备;
(b)通过存储所接收的组播消息(MC-N)的接收设备来接收组播消息(MC-N);
(c)通过接收设备从发送设备接收认证密钥释放消息(KRM),
其中认证密钥释放消息(KRM)包含为认证所存储的组播消息(MC-N)而被发送设备释放的加密认证密钥;
(d)通过接收设备借助预给定的加密函数来计算针对在认证密钥释放消息(KRM)中所包含的加密认证密钥的加密函数值;
(e)将通过接收设备所计算的加密认证密钥的加密函数值与在初始化阶段中事先通过发送设备被分配给接收设备的初始化函数值进行比较,用于检验包含在认证密钥释放消息(KRM)中的加密认证密钥的有效性;以及
f)通过接收设备根据被识别为有效的加密认证密钥对来自发送设备的被存储在接收设备中的组播消息(MC-N)进行认证,
其中,设置有不同的组播消息类型,其中发送设备针对每种组播消息类型分别基于锚定值借助针对相应的组播消息类型的预给定的哈希函数计算相关的消息类型哈希链,而且
其中,不同的消息类型哈希链分别基于通过初始化哈希链所提供的锚定值来计算,其中锚定值通过初始化哈希链的链环节来形成。
2.根据权利要求1所述的方法,
其中,发送设备在初始化阶段用加密私钥对初始化函数值进行签名并且将所述初始化函数值分配给接收设备,所述接收设备分别借助公钥来验证接收到的初始化函数值的签名,
其中,在成功验证签名之后,初始化函数值通过接收设备存储,用于后续对包含在认证密钥释放消息(KRM)中的加密认证密钥的检验。
3.根据权利要求1所述的方法,
其中,在初始化阶段所分配的初始化函数值通过哈希函数值来形成,所述哈希函数值利用预给定的哈希函数来计算,而且通过接收设备借助所述预给定的哈希函数来计算所述加密函数值。
4.根据权利要求3所述的方法,
其中,通过发送设备在初始化阶段中所分配的哈希函数值形成参考哈希值,所述参考哈希值形成通过发送设备计算的消息保护哈希链的最后环节,所述消息保护哈希链通过发送设备借助预给定的哈希函数基于发送设备的锚定值在初始化阶段被计算。
5.根据权利要求1至4中任何一个所述的方法,
其中,发送设备在发送组播消息(MC-N)之后在预先确定的可配置的时段内发送相关的认证密钥释放消息(KRM),所述认证密钥释放消息(KRM)包含为认证组播消息(MC-N)而设置的加密认证密钥。
6.根据权利要求1至4中任何一个所述的方法,
其中,接收设备所接收的并且所存储的组播消息(MC-N)具有管理数据、有效数据和消息认证码(MAC)。
7.根据权利要求6所述的方法,
其中,组播消息(MC-N)的有效数据通过面向通用对象的变电站事件GOOSE消息或者采样测量值SMV消息来构成。
8.根据权利要求6所述的方法,
其中,在组播消息(MC-N)中所包含的消息认证码(MAC)借助HMAC函数根据组播消息(MC-N)的有效数据和加密认证密钥通过发送设备来计算。
9.根据权利要求8所述的方法,
其中,如果包含在所接收的组播消息(MC-N)中的消息认证码(MAC)与通过接收设备借助HMAC函数根据组播消息(MC-N)的有效数据以及被识别为有效的加密认证密钥来计算的消息认证码相一致,则接收设备对所接收的和所存储的组播消息(MC-N)进行认证,其中所述被识别为有效的加密认证密钥包含在认证密钥释放消息(KRM)中。
10.根据权利要求2至4中任何一个所述的方法,
其中,包含在认证密钥释放消息(KRM)中的加密认证密钥是哈希值,所述哈希值通过消息保护哈希链的在所计算的消息保护哈希链中在紧接在前的认证密钥释放消息中所包含的哈希值之前的链环节形成,直至达到消息保护哈希链的锚定值。
11.根据权利要求10所述的方法,
其中,在初始化阶段中通过发送设备基于该发送设备的锚定值所计算的初始化哈希链借助哈希函数来计算,所述哈希函数的链环节被设置用于初始化其他哈希链。
12.根据权利要求11所述的方法,
其中,所述其他哈希链是消息保护哈希链。
13.一种现场设备,其具有:
(a)用于接收至少一个组播消息(MC-N)和时间延迟地获得的来自其他现场设备的相关的认证密钥释放消息(KRM)的接口(2A);
(b)数据存储器(2B),用于存储所接收的组播消息(MC-N)和在相关的认证密钥释放消息(KRM)中分别包含的加密认证密钥,并且用于存储在初始化阶段中被分配给现场设备的初始化函数值,所述加密认证密钥被设置用于认证相应的组播消息(MC-N);并且具有
(c)认证单元(2C),用于借助预给定的加密函数来计算相应的加密认证密钥的加密函数值,
其中所计算的加密函数值与所存储的初始化函数值进行比较,用于检验加密认证密钥的有效性,并且所存储的组播消息(MC-N)根据被识别为有效的加密认证密钥被认证,
其中,设置有不同的组播消息类型,其中发送设备针对每种组播消息类型分别基于锚定值借助针对相应的组播消息类型的预给定的哈希函数计算相关的消息类型哈希链,而且
其中,不同的消息类型哈希链分别基于通过初始化哈希链所提供的锚定值来计算,其中锚定值通过初始化哈希链的链环节来形成。
14.根据权利要求13所述的现场设备,
其中,该现场设备具有计算单元(2D),所述计算单元(2D)借助加密函数计算初始化函数值,所述初始化函数值在初始化阶段中以用现场设备的私钥签名的方式被分配给其他现场设备。
15.根据权利要求13或14所述的现场设备,
其中,现场设备通过接口(2A)发送至少一个组播消息(MC-N),并且时间延迟地给其他现场设备发送相关的认证密钥释放消息(KRM),其中认证密钥释放消息(KRM)包含为认证组播消息(MC-N)而被现场设备释放的加密认证密钥。
16.根据权利要求15所述的现场设备,
其中,所发送的组播消息(MC-N)具有管理数据、有效数据和消息认证码,所述消息认证码根据组播消息(MC-N)的有效数据和加密认证密钥通过现场设备的计算单元(2D)来计算。
17.根据权利要求16所述的现场设备,其中,组播消息(MC-N)的有效数据通过面向通用对象的变电站事件GOOSE消息或者采样测量值SMV消息来形成。
18.一种具有多个根据权利要求13至17中任何一个所述的现场设备的对等系统(1),这些现场设备彼此交换分别利用根据权利要求1至12中任何一个所述的方法来认证的组播消息(MC-N)。
19.根据权利要求18所述的对等系统,
其中,现场设备在时间上被同步。
20.根据权利要求19所述的对等系统,
其中,现场设备分别具有用于接收网络时间协议NTP同步消息或多媒体信息服务消息的单元。
21.根据权利要求18至20中任何一个所述的对等系统,
其中,在对等系统(1)中所交换的组播消息(MC-N)具有不同的组播消息类型(MC-N-TYP),所述组播消息类型(MC-N-TYP)具有不同的优先级,其中在发送组播消息(MC-N)与相关的认证密钥释放消息(KRM)之间的可配置的时长越短,则组播消息(MC-N)的相应的组播消息类型(MC-N-TYP)的优先级就越高。
CN201180044259.0A 2010-09-14 2011-08-17 用于认证组播消息的方法和设备 Expired - Fee Related CN103098415B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102010040688A DE102010040688A1 (de) 2010-09-14 2010-09-14 Verfahren und Vorrichtung zum Authentisieren von Multicast-Nachrichten
DE102010040688.0 2010-09-14
PCT/EP2011/064130 WO2012034807A2 (de) 2010-09-14 2011-08-17 Verfahren und vorrichtung zum authentisieren von multicast-nachrichten

Publications (2)

Publication Number Publication Date
CN103098415A CN103098415A (zh) 2013-05-08
CN103098415B true CN103098415B (zh) 2016-08-10

Family

ID=44582964

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180044259.0A Expired - Fee Related CN103098415B (zh) 2010-09-14 2011-08-17 用于认证组播消息的方法和设备

Country Status (6)

Country Link
US (1) US9191379B2 (zh)
EP (1) EP2569896B1 (zh)
CN (1) CN103098415B (zh)
BR (1) BR112013006097A2 (zh)
DE (1) DE102010040688A1 (zh)
WO (1) WO2012034807A2 (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090238365A1 (en) * 2008-03-20 2009-09-24 Kinamik Data Integrity, S.L. Method and system to provide fine granular integrity to digital data
DE102010040688A1 (de) 2010-09-14 2012-03-15 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Authentisieren von Multicast-Nachrichten
US10154025B2 (en) 2013-03-15 2018-12-11 Qualcomm Incorporated Seamless device configuration in a communication network
DE102013215577A1 (de) * 2013-08-07 2015-02-12 Siemens Aktiengesellschaft Verfahren und System zur geschützten Gruppenkommunikation mit Sender-Authentisierung
DE102014212895A1 (de) * 2014-07-03 2016-01-07 Siemens Aktiengesellschaft Verfahren zur performanten, feingranularen und nachweisbaren Autorisierung
EP2985977A1 (en) * 2014-08-14 2016-02-17 ABB Technology AG Field device with broadcasting ability
DE102014112611A1 (de) * 2014-09-02 2016-03-03 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit
CN104639328B (zh) * 2015-01-29 2018-04-13 华南理工大学 一种goose报文认证方法及系统
CN104639330B (zh) * 2015-02-04 2018-01-16 华南理工大学 一种goose报文完整性认证方法
EP3116196A1 (en) 2015-07-06 2017-01-11 Tridonic GmbH & Co KG Secure group communication
US20180048632A1 (en) * 2016-08-12 2018-02-15 Qualcomm Incorporated Precursory client configuration for network access
DE102016215915A1 (de) 2016-08-24 2018-03-01 Siemens Aktiengesellschaft Sicheres Konfigurieren eines Gerätes
EP3361765A1 (en) * 2017-02-10 2018-08-15 Kamstrup A/S Radio frequency communication system and method
KR102008670B1 (ko) * 2019-04-18 2019-08-08 주식회사 유니온플레이스 멀티캐스트 그룹을 모니터링하는 장치
CN116601925A (zh) * 2020-05-27 2023-08-15 斯特普软件有限责任公司 用于数据通信的系统和方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101115957A (zh) * 2005-02-05 2008-01-30 塞拉麦斯皮德有限公司 电加热设备
CN101326758A (zh) * 2005-12-07 2008-12-17 韩国电子通信研究院 以太网无源光网络中用于安全的密钥管理方法以及控制安全信道的设备

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6223286B1 (en) * 1996-03-18 2001-04-24 Kabushiki Kaisha Toshiba Multicast message transmission device and message receiving protocol device for realizing fair message delivery time for multicast message
JPH1165439A (ja) * 1996-08-09 1999-03-05 Nippon Telegr & Teleph Corp <Ntt> N進表現暗号による通信および認証方法、ならびにそれらの装置、およびn進表現暗号による通信および認証プログラムを格納した記憶媒体
US6643773B1 (en) * 1999-04-13 2003-11-04 Nortel Networks Limited Apparatus and method for authenticating messages in a multicast
US8230010B1 (en) * 2000-06-29 2012-07-24 Rockstar Bidco Lp System, device, and method for controlling access in a multicast communication network
US20020044662A1 (en) * 2000-08-22 2002-04-18 Jonathan Sowler Service message management system and method
DE102004024002B4 (de) * 2004-05-14 2008-05-21 Aim Infrarot-Module Gmbh Verfahren zur Authentifizierung von Sensordaten und zugehörigem Sensor
EP1681826A1 (en) * 2005-01-12 2006-07-19 Abb Research Ltd. Method of authenticating multicast messages
WO2007085763A1 (fr) * 2006-01-25 2007-08-02 France Telecom Systeme de fiabilisation de transmission de donnees multidiffusees
KR100836028B1 (ko) * 2006-12-08 2008-06-09 한국전자통신연구원 멀티캐스트 브로드캐스트 서비스 제공 방법
CN101836122B (zh) * 2007-10-25 2014-12-24 Abb研究有限公司 操作变电站自动化系统
US8549296B2 (en) * 2007-11-28 2013-10-01 Honeywell International Inc. Simple authentication of messages
US8068491B2 (en) * 2008-02-13 2011-11-29 Telcordia Technologies, Inc. Methods for reliable multicasting in local peer group (LPG) based vehicle ad hoc networks
DE102008046563A1 (de) * 2008-09-10 2010-03-11 Siemens Aktiengesellschaft Verfahren zur Datenübertragung zwischen Netzwerkknoten
TWI370642B (en) * 2008-12-16 2012-08-11 Ind Tech Res Inst Multicast communication method, and relay node and wireless network system using the same
US8356316B2 (en) * 2009-12-17 2013-01-15 At&T Intellectual Property I, Lp Method, system and computer program product for an emergency alert system for audio announcement
DE102010040688A1 (de) 2010-09-14 2012-03-15 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Authentisieren von Multicast-Nachrichten

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101115957A (zh) * 2005-02-05 2008-01-30 塞拉麦斯皮德有限公司 电加热设备
CN101326758A (zh) * 2005-12-07 2008-12-17 韩国电子通信研究院 以太网无源光网络中用于安全的密钥管理方法以及控制安全信道的设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A Taxonomy of Multicast Data Origin Authentication:Issues and Solutions;Yacine Challal等;《IEEE Communications Surveys & Tutorials》;20040701;第6卷(第3期);第34-57页 *

Also Published As

Publication number Publication date
DE102010040688A1 (de) 2012-03-15
US20130179687A1 (en) 2013-07-11
WO2012034807A2 (de) 2012-03-22
BR112013006097A2 (pt) 2016-05-31
EP2569896A2 (de) 2013-03-20
US9191379B2 (en) 2015-11-17
CN103098415A (zh) 2013-05-08
WO2012034807A3 (de) 2012-06-21
EP2569896B1 (de) 2018-03-07

Similar Documents

Publication Publication Date Title
CN103098415B (zh) 用于认证组播消息的方法和设备
CN107094155B (zh) 一种基于联盟区块链的数据安全存储方法及装置
CN109462836B (zh) 融合区块链共识机制的车联网恶意节点检测系统及方法
CN113572767B (zh) 用于加密交通工具数据服务交换的系统和方法
US9602290B2 (en) System and method for vehicle messaging using a public key infrastructure
CN101277185B (zh) 一种基于无线标识的认证方法、系统和无线标识、服务器
JP6617173B2 (ja) 複数のマネージャまたはアクセスポイントを有する無線ネットワークにおける独立したセキュリティ
CN101917270B (zh) 一种基于对称密码的弱认证和密钥协商方法
CN107710716A (zh) 用于实现在软件定义网络中选择性加密的通信设备
JP6452205B2 (ja) 衛星システムにおける鍵配布
US20060269066A1 (en) System and method for converting serial data into secure data packets configured for wireless transmission in a power system
CN104683112A (zh) 一种基于rsu协助认证的车-车安全通信方法
CN107710676B (zh) 网关装置及其控制方法
JP2013048374A (ja) 保護通信方法
US11303453B2 (en) Method for securing communication without management of states
CN101282208B (zh) 安全连接关联主密钥的更新方法和服务器及网络系统
CN102546184B (zh) 传感网内消息安全传输或密钥分发的方法和系统
JP5016394B2 (ja) 無線制御セキュリティシステム
CN102884756A (zh) 通信装置和通信方法
CN102347831B (zh) 时间消息处理方法、装置及系统
Szilagy et al. A flexible approach to embedded network multicast authentication
JP5503692B2 (ja) 無線制御セキュリティシステム
KR101575042B1 (ko) 이종의 자동제어 시스템간의 통신 인터페이스를 지원하는 2.5계층 보안 시스템
KR20140043537A (ko) Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법
CN104994085A (zh) 一种无线传感器网络中身份认证方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160810

Termination date: 20190817

CF01 Termination of patent right due to non-payment of annual fee