CN104618327A - 基于可信操作指令遥控远程自控装置的物联网安全实现方法 - Google Patents
基于可信操作指令遥控远程自控装置的物联网安全实现方法 Download PDFInfo
- Publication number
- CN104618327A CN104618327A CN201410833972.9A CN201410833972A CN104618327A CN 104618327 A CN104618327 A CN 104618327A CN 201410833972 A CN201410833972 A CN 201410833972A CN 104618327 A CN104618327 A CN 104618327A
- Authority
- CN
- China
- Prior art keywords
- matrix
- key
- row
- control device
- operational order
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Selective Calling Equipment (AREA)
Abstract
基于可信操作指令遥控远程自控装置的物联网安全实现方法,是在远程自控装置端嵌入一块SD卡,在物联网操作指令控制中心端服务器里插入加密卡,采用对称密码算法在物联网操作指令控制中心端和各个远程自控装置端,分别建立加密系统,并采用“密钥种子”组成三维矩阵来建立组合密钥生成算法,实时生成对称密钥,且基本一次一变,物联网操作指令控制中心端加密系统,将操作指令加密成密文后,再发送给远程自控装置端,远程自控装置端加密系统,将收到的操作指令密文,经过解密和完整性验证后,再确定是否执行操作指令的相关操作,从而,实现物联网操作指令控制中心对远程自控装置的可信遥控。
Description
技术领域:
本发明涉及操作指令遥控远程自控装置的物联网信息安全领域。
背景技术:
目前,在物联网应用方面,各国工业自动化系统都采用PLC的各种操作指令对工业自动化生产的全过程进行控制,而针对远程自控装置的运行控制,是采用遥控操作指令来实现,其中:远程自控装置如:卫星、无人机、无人值守仪器、自控设备,而实现工业自动化系统和远程自控装置的控制,都需要由物联网控制中心,向工业自动化系统的PLC发送操作指令,或向远程自控装置发送遥控操作指令,然而,物联网的操作指令都是以明文方式发送,容易被黑客、敌对组织或国家破解或篡改,造成财产损失,或造成对国家和社会的破坏,国内外采用的物联网安全技术理念,还停留在互联网的PKI技术上,PKI技术签名验证的速度较慢,会大大影响指令控制系统的效率,总之,现有的安全技术和产品都不能满足市场的需求。
发明内容:
基于可信操作指令遥控远程自控装置的物联网安全实现方法,是采用密码和芯片技术在物联网操作指令控制中心端和工业自动化系统的PLC设备,或远程自控装置端都分别建立加密系统,在工业自动化系统的PLC设备可信控制领域,将一块SD卡嵌入PLC设备里,在SD卡芯片里建立PLC端加密系统,并写入对称密码算法、组合密钥生产算法、PLC设备的标识Cj、一组“密钥种子”三维矩阵Tj元素和解密及签验协议,在物联网操作指令控制中心端服务器的PCI槽里插入加密卡,在加密卡芯片里,建立物联网操作指令控制中心端加密系统,并写入对称密码算法、摘要算法、组合密钥生产算法、一组“密钥种子”三维矩阵TT的元素和加密及签名协议,且将每个PLC设备的标识Cj,与对应的“密钥种子”三维矩阵Tj元素密文一起,存储在物联网操作指令控制中心端的密钥数据库里,其中:加密各个“密钥种子”三维矩阵Tj元素的存储密钥GKi,是根据组合密钥生成算法,由加 密卡芯片里的矩阵TT生成,j=1~m,m为全体PLC设备数量的总和;
当物联网操作指令控制中心向标识为Cj的PLC设备端发出操作指令LD时,在加密卡芯片里,物联网指令控制中心端加密系统首先生成存储密钥GKj,将对应PLC设备标识Cj“密钥种子”三维矩阵Tj元素的密文解密成明文,产生一组随机数S,由Cj和S生成摘要信息L,再生成LD的摘要信息MD,根据组合密钥生产算法,由L组成的矩阵G与矩阵Tj生成一组对称密钥LK1,对LD和MD进行加密,得到LD的密文以及LD的数字签名,将PLC设备的标识Cj、MD、LD的密文和LD的数字签名,以及矩阵G一并发送给对应标识为Cj的PLC设备端,Cj的PLC设备端加密系统,在SD卡芯片里,根据组合密钥生产算法,由矩阵G和矩阵Tj生成对称密钥LK2,将LD的密文和LD数字签名解密,得到LD的明文和LD的摘要信息MD1,在Cj的PLC设备端SD卡的芯片里,通过对比MD和MD1是否相同?来判断Cj的PLC设备端收到的操作指令是否可信、完整,若MD≠MD1,则Ci的PLC设备端停止操作指令LD的相关操作,若MD=MD1,则Cj的PLC设备端执行操作指令LD的相关操作,从而,实现在工业自动化领域,对PLC设备过程的可信控制;
本发明在远程自控装置的可信控制领域,由物联网操作指令控制中心,对远程自控装置发送可信操作指令,实现对远程自控装置的可信遥控,其方法的技术特征在于:
将一块SD卡嵌入到远程自控装置端,在SD卡芯片里,建立远程自控装置端加密系统,并写入对称密码算法、组合密钥生产算法、远程自控装置的标识Bi、一组“密钥种子”三维矩阵Ti元素和解密及签验协议,在物联网操作指令控制中心端服务器的PCI槽里插入加密卡,在加密卡芯片里,建立物联网操作指令控制中心端加密系统,并写入对称密码算法、摘要算法、组合密钥生产算法、一组“密钥种子”三维矩阵TT元素和加密及签名协议,将每个远程自控装置的标识Bi,与对应的“密钥种子”三维矩阵Ti元素密文一起,存储在物联网操作指令控制中心端的密钥数据库里,其中:加密各个“密钥种子”三维矩阵Ti元素的存储密钥CKi,是根据组合密钥生成算法,由加密卡芯片里的TT生成,i=1~n,n为全体远程自控装置数量的总和;
当物联网操作指令控制中心向远程自控装置发出操作指令时,物联网操作指令控制中心产生拟发送给远程自控装置Bi的操作指令Z,物联网指令控制中心端加密系统,在加密卡芯片里生成存储密钥CKi,将对应Bi的远程自控装置的“密钥种子”三维矩阵Ti元素的密文解密成明文,再生成Z的摘要信息M1,在加密卡芯片里,产生一组随机数S,与对应Bi生成摘要信息L1,根据组合密钥生产算法,由L1组成的矩阵G1与矩阵Ti,生成 一组对称密钥K1,对Z和M1进行加密,得到Z的密文以及Z的数字签名,将远程自控装置的标识Bi、M1、Z的密文和Z的数字签名,以及矩阵G1一并发送给标识为Bi的远程自控装置端,Bi的远程自控装置端加密系统,在SD卡芯片里,根据组合密钥生产算法,生成对称密钥K2,将控制指令Z的密文和Z的数字签名解密,得到Z的明文和Z的摘要信息M2,在Bi的远程自控装置端SD卡的芯片里,通过对比M1和M2是否相同?来判断收到的操作指令是否完整、可信,若M1≠M2,则Bi的远程自控装置停止操作指令的相关操作,若M1=M2,则Bi的远程自控装置执行操作指令的相关操作,从而,实现物联网操作指令控制中心对远程自控装置的可信遥控,全部过程用软件和硬件结合方式实现,具体方法如下:
1、在远程自控装置端插入SD卡硬件设备,在SD卡芯片里,建立远程自控装置端加密系统,并写入对称密码算法、组合密钥生成算法、远程自控装置的标识、一组“密钥种子”和解密及签验协议;
每个远程自控装置的标识Bi与一套“密钥种子”组成的三维矩阵Ti元素一一对应,其中:远程自控装置的标识两两不同,对应的“密钥种子”三维矩阵Ti的元素也两两不同,i=1~n,n为全体远程自控装置的总和。
2、在物联网操作指令控制中心端服务器的PCI槽里插入加密卡,在加密卡芯片里,建立物联网操作指令控制中心端加密系统,并写入对称密码算法、摘要算法、组合密钥生产算法、一组“密钥种子”三维矩阵TT元素和加密及签名协议,将每个远程自控装置的标识Bi,与对应的“密钥种子”三维矩阵Ti元素密文,一起存储在物联网操作指令控制中心端的密钥数据库里,其中:i=1~n,n为全体远程自控装置的总和。
3、对称密码算法使用SMS4、SM1、RC4、RC5、3DES、或AES算法,密钥长度为128或256比特,或者根据对称密码算法的要求而定;摘要算法使用SM3算法、SHA-2算法,摘要信息的长度为256比特。
4、每个远程自控装置的标识Bi对应的“密钥种子”组成的三维矩阵Ti元素,以及加密卡芯片里的“密钥种子”组成的三维矩阵TT元素,都是由物联网操作指令控制中心端加密卡里的随机数发生器产生,将每组“密钥种子”组成一个32行16列16页,或16行16列16页的三维矩阵Ti,矩阵Ti共有8192或4096个元素,每个元素占0.5字节或1字节,每个远程自控装置的标识Bi对应的“密钥种子”组成的三维矩阵Ti,占8192字节,或4096字节,或2048字节即:占8K,或4K,或2K字节,以32行16列16页三维矩阵Ti为例,设:“密钥种子”三维矩阵T为:32行16列16页,如图2所示。
矩阵T的第1页为t0:
其中:矩阵t0的元素为:tm x y,m为行,m=0~31,x为列,x=0~15,y为页,y=0;
矩阵T的第2页为t1:
其中:矩阵t1的元素为:tm x y,m为行,m=0~31,x为列,x=0~15,y为页,y=1;
……,
矩阵T的第16页为t15:
其中:矩阵t15的元素为:tm x y,m为行,m=0~31,x为列,x=0~15,y为页,y=15。
5、对称密钥管理方法:采用组合密钥生成算法来实时生成对称密钥,组合密钥生成算法,是由远程自控装置的标识和一组随机数的摘要信息L,并将摘要信息L组成矩阵G,再用矩阵G的元素与“密钥种子”三维矩阵中的元素建立映射关系;
以32行16列16页三维矩阵Ti为例,将摘要信息L共256比特作为二进制数,并分成64组,每组4位二进制数,将这64组4位二进制数的数值组成一个32×2矩阵如下:
1)矩阵G中的每个元素为4位二进制的数值,共有0~15种数值变化;
2)每个远程自控装置的标识Bi由11~20位英文字母和数字组成,随机数由32~128字节数字或英文字母组成,随机数由加密卡芯片里随机数发生器产生,一次一变;
3)使用摘要算法对远程自控装置的标识和一组随机数进行摘要,得到长度为256比特的摘要信息L,将摘要信息L分成64组,每组4位二进制数,再将摘要信息L组成矩阵G,由矩阵G的元素,对用户的“密钥种子”三维矩阵T的元素进行映射,将矩阵T中被映射到的32个元素取出,并合成一组对称密钥;
4)若密钥长度取128比特,则“密钥种子”三维矩阵T的元素取0.5字节,若密钥长度取256比特,则“密钥种子”三维矩阵T的元素取1字节,若采用“密钥种子”16行16列16页三维矩阵,则“密钥种子”三维矩阵T的元素取1字节。
6、组合密钥生成算法具体实现过程如下:
1)用矩阵G中第1行第1列元素g1,映射到“密钥种子”三维矩阵T中第1行的第g1列的元素上,再用矩阵G中第1行第2列元素g2,映射到“密钥种子”三维矩阵的第1行的第g1列和g2页交叉的元素,将该交叉的元素取出,设为:TK1;
用矩阵G中第2行第1列元素g3,映射到“密钥种子”三维矩阵T中第2行的第g3列的元素上,再用矩阵G中第2行第2列元素g4,映射到“密钥种子”三维矩阵的第2行的第g3列和g4页交叉的元素,将该交叉的元素取出,设为:TK2;
……;
用矩阵G中第32行第1列元素g63,映射到“密钥种子”三维矩阵T中第32行的第g63列的元素上,再用矩阵G中第32行第2列元素g64,映射到“密钥种子”三维矩阵的第32行的第g63列和g64页交叉的元素,将该交叉的元素取出,设为:TK32;
2)共选出32个元素,并合成一组对称密钥K=(TK1、TK2、......、TK32):
3)由矩阵G的32行2列元素共64个元素,对“密钥种子”三维矩阵T的32行16列16页共8192个元素进行映射,并将“密钥种子”三维矩阵T中被映射的元素取出,矩阵G的每个元素都为0~15的数值,共16种变化,矩阵G每行有2个元素就有16×16=28种变化,且矩阵G有32行,因此,矩阵G中元素映射矩阵T中元素的变化量为:2 (8×32)=2256,若“密钥种子,,为32行16列16页三维矩阵T,矩阵G为16行2列的矩阵,则矩阵G中元素映射矩阵T中元素的变化量为:2(8×16)=2128,因此,由该组合密钥生成算法实时生成的对称密钥,基本上一次一变,不重复。
7、举例说明采用组合密钥生成算法生成对称密钥的具体方法,设矩阵G1的元素为:g1=3,g2=0,g3=9,g4=6,……,g63=A,g64=F,其中:A表示二进制数值的10,F表示 二进制数值的15,则矩阵G1如下:
其中:矩阵G1是一个32行2列的矩阵,设:“密钥种子”三维矩阵为T,见本说明书第4条;
矩阵G1的第1行第1列的元素为:3,矩阵G1的第1行第2列的元素为:0,
则:取出“密钥种子”三维矩阵T的第1行的第4列和第1页交叉处的元素t 0 3 0 ,矩阵G1的第2行第1列的元素为:9,矩阵G1的第2行第2列的元素为:4,
则:取出“密钥种子”三维矩阵T的第2行的第10列和第5页交叉处的元素t 1 9 4 ,
……,
矩阵G1的第32行第1列的元素为:A,矩阵G1的第32行第2列的元素为:F,
则:取出“密钥种子”三维矩阵T的第32行的第11列和第16页交叉处的元素t 31 10 15 ,
将取出“密钥种子”三维矩阵T的32个元素,合成一组密钥为:(t 0 3 0 ,t 1 9 4 ,……,t 31 10 15 )。
8、在物联网操作指令控制中心端的服务器加密卡的芯片里,写入的一套“密钥种子”三维矩阵TT元素,是由加密卡中随机数发生器产生,具有随机性,并存储加密卡芯片里,且由“密钥种子”三维矩阵TT元素产生存储密钥的过程,也在加密卡芯片里完成,从而,保证矩阵TT元素的存储和运行安全。
9、“密钥种子”三维矩阵Ti元素,由物联网操作指令控制中心端加密卡里的随机数发生器产生,具有随机性;
物联网操作指令控制中心端加密系统,事先将“密钥种子”三维矩阵矩阵Ti的元素,与对应的远程自控装置的标识Bi,分别写入对应的远程自控装置端的SD卡芯片里,保证矩阵Ti在远程自控装置端的存储安全;
同时,实现密钥即:用户的“密钥种子”三维矩阵Ti元素,集中生成,集中灌装,且通过SD卡芯片硬件来分发;
物联网操作指令控制中心端加密系统,事先将全体对应远程自控装置标识Bi的“密钥种子”三维矩阵:T1、T2、……、Tn元素分别加密成密文后,存储在物联网操作指令控制中心端的密钥数据库中,
具体方法是:物联网操作指令控制中心端加密系统,在加密卡的芯片里,根据组合密钥生成算法,由矩阵TT产生n个存储密钥:CK1、CK2、……,CKn,分别将“密钥种子”三维矩阵:T1、T2、……、Tn的元素加密成密文后,与对应的远程自控装置的标识:B1、B2、……、Bn,一起存储在物联网操作指令控制中心端的密钥数据库中,在密钥数据库里存储的内容包括:远程自控装置的标识Bi、“密钥种子”三维矩阵Ti元素密文、一组随机数STi、Bi和一组随机数STi的摘要信息LTi,物联网操作指令控制中心端的密钥数据库记录中共有4个字段,共有n条记录,见下表:
| 字段1 | 字段2 | 字段3 | 字段4 |
| 远程自控装置的标识Bi | 矩阵Ti的元素密文 | 随机数STi | 摘要信息LTi, |
| B1 | 矩阵T1的元素密文 | 随机数ST1 | 摘要信息LT1 |
| B2 | 矩阵T2的元素密文 | 随机数ST2 | 摘要信息LT2 |
| …… | …… | …… | …… |
| Bn | 矩阵Tn的元素密文 | 随机数STn | 摘要信息LTn |
其中:字段4的内容为字段1的内容与字段3的内容两者的摘要信息,根据组合密钥生成算法,由摘要信息LTi组成一个矩阵LGi,用矩阵LGi的元素对矩阵TT的元素进行映射,并矩阵TT将被映射到的元素取出合成一组存储密钥CKi,用于将矩阵Ti的元素加密成密文,i=1~n,n为全体远程自控装置数量的总和;
将全体远程自控装置标识Bi对应的“密钥种子”三维矩阵Ti元素加密成密文后,存储在物联网操作指令控制中心端,保证全体远程自控装置标识Bi对应的“密钥种子”三维矩阵Ti元素,在物联网操作指令控制中心端的存储安全。
10、操作指令的加密传输过程:首先,物联网操作指令控制中心,产生拟发送给标识为Bi的远程自控装置端的操作指令Z,物联网操作指令控制中心端加密系统,将对应Bi的“密钥种子”三维矩阵Ti元素密文取出,并在加密卡芯片里解密成明文,再生成一组随机数S,调用摘要算法对Bi和随机数S进行摘要,得到摘要信息L1,由L1组成矩阵 G1,与矩阵Ti生成对称密钥K1,再用摘要算法对操作指令Z进行摘要,得到操作指令Z的摘要信息M1,用K1加密Z和M1,得到Z的密文和M1的密文即:Z的数字签名,将Bi、矩阵G1、M1、Z的密文和Z的数字签名,一并发送给标识为Bi的远程自控装置端,Bi的远程自控装置端加密系统,在SD卡的芯片里,由矩阵G1和矩阵Ti,生成对称密钥K2来解密Z的密文和Z的数字签名,得到Z的明文和Z的摘要信息M2,通过对比M1和M2是否相同?来判断操作指令Z是否可信、完整若M1≠M2,则远程自控装置认为操作指令已被篡改,不执行操作指令Z,若Mi=M2,远程自控装置执行操作指令Z。
11、在操作指令加密传输过程中,对称密钥都是由组合密钥生成算法产生,不需要人工更新密钥,能降低对远程自控装置进行可信遥控的物联网安全系统的维护成本,同时,由组合密钥生成算法产生的密钥,基本上一次一变,能大大提高操作指令加密传输协议的安全等级;
由“密钥种子”三维矩阵Ti元素生成对称密钥的过程,都是在加密卡或SD卡的芯片里完成,保证矩阵Ti元素在远程自控装置端和物联网操作指令控制中心端的运行安全;
在操作指令加密传输协议中,物联网操作指令控制中心端调用摘要算法,远程自控装置端不调用摘要算法,从而,在不降低操作指令加密传输协议安全等级的前提下,减少操作指令加密传输协议的环节,提高速度。
附图说明:
图1:物联网操作指令控制中心将操作指令加密后传输给远程自控装置的流程图
图2:“密钥种子”三维矩阵T的结构图
具体实施方式:
以下结合附图说明物联网操作指令签名和加密传输的实现步骤:
图1:说明物联网操作指令控制中心将操作指令加密传输给远程自控装置的过程,首先,物联网操作指令控制中心,产生拟发送给标识为Bi的远程自控装置的操作指令Z,物联网操作指令控制中心端加密系统,从密钥数据库中将对应Bi的“密钥种子”三维矩阵Ti元素密文和摘要信息LTi取出,见:说明书第9条中的表,并在加密卡芯片里,由LTi组成的矩阵LGi元素,对矩阵TT的元素进行映射,将矩阵TT被映射到的元素取出并合成存储密钥CKi,用CKi将矩阵Ti的元素密文解密成明文,再产生一组随机数S,并调用摘要算法对Bi和随机数S进行摘要,生成摘要信息L1,由L1组成矩阵G1,用矩阵G1 的元素对矩阵Ti的元素进行映射,将矩阵Ti被映射到的元素取出并合成对称密钥K1,再用摘要算法对操作指令Z进行摘要,得到操作指令Z的摘要信息M1,用K1对操作指令Z和操作指令Z的摘要信息M1进行加密,得到操作指令Z的密文和操作指令Z摘要信息M1的密文,即:操作指令Z的数字签名,将B1、矩阵G1、M1、操作指令Z的密文和操作指令Z的数字签名,一并发送给标识为Bi的远程自控装置端,Bi的远程自控装置端加密系统,在SD卡的芯片里,根据组合密钥生成算法,由矩阵G1的元素对矩阵Ti的元素进行映射,将矩阵Ti被映射到的元素取出并合成对称密钥K2,用K2来解密操作指令Z的密文和操作指令Z的数字签名,得到操作指令Z的明文和操作指令Z的摘要信息M2,在Bi的远程自控装置端的SD卡芯片里,通过对比M1和M2是否相同?来判断操作指令Z是否可信、完整,若M1≠M2,则远程自控装置认为操作指令Z已被篡改,不执行操作指令Z的相关操作,若M1=M2,则远程自控装置执行操作指令Z的相关操作。
Claims (7)
1.基于可信操作指令遥控远程自控装置的物联网安全实现方法,是采用密码和芯片技术在物联网操作指令控制中心端和工业自动化系统的PLC设备,或远程自控装置端都分别建立加密系统,在工业自动化系统的PLC设备可信控制领域,将一块SD卡嵌入PLC设备里,在SD卡芯片里建立PLC端加密系统,并写入对称密码算法、组合对称密钥生产算法、PLC设备的标识Cj、一组“密钥种子”三维矩阵Tj元素和解密及签验协议,在物联网操作指令控制中心端服务器的PCI槽里插入加密卡,在加密卡芯片里,建立物联网操作指令控制中心端加密系统,并写入对称密码算法、摘要算法、组合对称密钥生产算法、一组“密钥种子”三维矩阵TT的元素和加密及签名协议,且将每个PLC设备的标识Cj,与对应的“密钥种子”三维矩阵Tj元素密文一起,存储在物联网操作指令控制中心端的密钥数据库里,其中:加密各个“密钥种子”三维矩阵Tj元素的存储密钥GKi,是根据组合密钥生成算法,由加密卡芯片里的矩阵TT生成,j=1~m,m为全体PLC设备数量的总和;
当物联网操作指令控制中心向标识为Cj的PLC设备端发出操作指令LD时,在加密卡芯片里,物联网指令控制中心端加密系统首先生成存储密钥GKj,将对应PLC设备标识Cj“密钥种子”三维矩阵Tj元素的密文解密成明文,产生一组随机数S,由Cj和S生成摘要信息L,再生成LD的摘要信息MD,根据组合对称密钥生产算法,由L组成的矩阵G与矩阵Tj生成一组对称密钥LK1,对LD和MD进行加密,得到LD的密文以及LD的数字签名,将PLC设备的标识Cj、MD、LD的密文和LD的数字签名,以及矩阵G一并发送给对应标识为Cj的PLC设备端,Cj的PLC设备端加密系统,在SD卡芯片里,根据组合对称密钥生产算法,由矩阵G和矩阵Tj生成对称密钥LK2,将LD的密文和LD数字签名解密,得到LD的明文和LD的摘要信息MD1,在Cj的PLC设备端SD卡的芯片里,通过对比MD和MD1是否相同?来判断Cj的PLC设备端收到的操作指令是否可信、完整,若MD≠MD1,则Cj的PLC设备端停止操作指令LD的相关操作,若MD=MD1,则Cj的PLC设备端执行操作指令LD的相关操作,从而,实现在工业自动化领域,对PLC设备过程的可信控制;
本发明在远程自控装置的可信控制领域,由物联网操作指令控制中心,对远程自控装置发送可信操作指令,实现对远程自控装置的可信遥控,其方法的技术特征在于:
将一块SD卡嵌入到远程自控装置端,在SD卡芯片里,建立远程自控装置端加密系统,并写入对称密码算法、组合对称密钥生产算法、远程自控装置的标识Bi、一组“密钥种子”三维矩阵Ti元素和解密及签验协议,在物联网操作指令控制中心端服务器的PCI槽里插入加密卡,在加密卡芯片里,建立物联网操作指令控制中心端加密系统,并写入对称密码算法、摘要算法、组合对称密钥生产算法、一组“密钥种子”三维矩阵TT元素和加密及签名协议,将每个远程自控装置的标识Bi,与对应的“密钥种子”三维矩阵Ti元素密文一起,存储在物联网操作指令控制中心端的密钥数据库里,其中:加密各个“密钥种子”三维矩阵Ti元素的存储密钥CKi,是根据组合密钥生成算法,由加密卡芯片里的TT生成,i=1~n,n为全体远程自控装置数量的总和;
当物联网操作指令控制中心向远程自控装置发出操作指令时,物联网操作指令控制中心产生拟发送给远程自控装置Bi的操作指令Z,物联网指令控制中心端加密系统,在加密卡芯片里生成存储密钥CKi,将对应Bi的远程自控装置的“密钥种子”三维矩阵Ti元素的密文解密成明文,再生成Z的摘要信息M1,在加密卡芯片里,产生一组随机数S,与对应Bi生成摘要信息L1,根据组合对称密钥生产算法,由L1组成的矩阵G1与矩阵Ti,生成一组对称密钥K1,对Z和M1进行加密,得到Z的密文以及Z的数字签名,将远程自控装置的标识Bi、M1、Z的密文和Z的数字签名,以及矩阵G1一并发送给标识为Bi的远程自控装置端,Bi的远程自控装置端加密系统,在SD卡芯片里,根据组合对称密钥生产算法,生成对称密钥K2,将控制指令Z的密文和Z的数字签名解密,得到Z的明文和Z的摘要信息M2,在Bi的远程自控装置端SD卡的芯片里,通过对比M1和M2是否相同?来判断收到的操作指令是否完整、可信,若M1≠M2,则Bi的远程自控装置停止操作指令的相关操作,若M1=M2,则Bi的远程自控装置执行操作指令的相关操作,从而,实现物联网操作指令控制中心对远程自控装置的可信遥控。
2.根据权利要求1的方法,其特征在于:
每个远程自控装置的标识Bi对应的“密钥种子”组成的三维矩阵Ti元素,以及加密卡芯片里的“密钥种子”组成的三维矩阵TT元素,都是由物联网操作指令控制中心端加密卡里的随机数发生器产生,将每组“密钥种子”组成一个32行16列16页,或16行16列16页的三维矩阵Ti,矩阵Ti共有8192或4096个元素,每个元素占0.5字节或1字节,每个远程自控装置的标识Bi对应的“密钥种子”组成的三维矩阵Ti,占8192字节,或4096字节,或2048字节即:占8K,或4K,或2K字节。
3.根据权利要求1的方法,其特征在于:
对称密钥管理方法:采用组合密钥生成算法来实时生成对称密钥,组合密钥生成算法,是由远程自控装置的标识和一组随机数的摘要信息L,并将摘要信息L组成矩阵G,再用矩阵G的元素与“密钥种子”三维矩阵中的元素建立映射关系;
以32行16列16页三维矩阵Ti为例,将摘要信息L共256比特作为二进制数,并分成64组,每组4位二进制数,将这64组4位二进制数的数值组成一个32×2矩阵如下:
1)矩阵G中的每个元素为4位二进制的数值,共有0~15种数值变化;
2)每个远程自控装置的标识Bi由11~20位英文字母和数字组成,随机数由32~128字节数字或英文字母组成,随机数由加密卡芯片里随机数发生器产生,一次一变;
3)使用摘要算法对远程自控装置的标识和一组随机数进行摘要,得到长度为256比特的摘要信息L,将摘要信息L分成64组,每组4位二进制数,再将摘要信息L组成矩阵G,由矩阵G的元素,对用户的“密钥种子”三维矩阵T的元素进行映射,将矩阵T中被映射到的32个元素取出,并合成一组对称密钥;
4)若密钥长度取128比特,则“密钥种子”三维矩阵T的元素取0.5字节,若密钥长度取256比特,则“密钥种子”三维矩阵T的元素取1字节,若采用“密钥种子”16行16列16页三维矩阵,则“密钥种子”三维矩阵T的元素取1字节。
4.根据权利要求3的方法,其特征在于:
(1)组合密钥生成算法具体实现过程如下:
1)用矩阵G中第1行第1列元素g1,映射到“密钥种子”三维矩阵T中第1行的第g1列的元素上,再用矩阵G中第1行第2列元素g2,映射到“密钥种子”三维矩阵的第1行的第g1列和g2页交叉的元素,将该交叉的元素取出,设为:TK1;
用矩阵G中第2行第1列元素g3,映射到“密钥种子”三维矩阵T中第2行的第g3列的元素上,再用矩阵G中第2行第2列元素g4,映射到“密钥种子”三维矩阵的第2行的第g3列和g4页交叉的元素,将该交叉的元素取出,设为:TK2;
……;
用矩阵G中第32行第1列元素g63,映射到“密钥种子”三维矩阵T中第32行的第g63列的元素上,再用矩阵G中第32行第2列元素g64,映射到“密钥种子”三维矩阵的第32行的第g63列和g64页交叉的元素,将该交叉的元素取出,设为:TK32;
2)共选出32个元素,并合成一组对称密钥K=(TK1、TK2、......、TK32);
3)由矩阵G的32行2列元素共64个元素,对“密钥种子”三维矩阵T的32行16列16页共8192个元素进行映射,并将“密钥种子”三维矩阵T中被映射的元素取出,矩阵G的每个元素都为0~15的数值,共16种变化,矩阵G每行有2个元素就有16×16=28种变化,且矩阵G有32行,因此,矩阵G中元素映射矩阵T中元素的变化量为:2(8×32)=2256,若“密钥种子”为32行16列16页三维矩阵T,矩阵G为16行2列的矩阵,则矩阵G中元素映射矩阵T中元素的变化量为:2(8×16)=2128,因此,由该组合密钥生成算法实时生成的对称密钥,基本上一次一变,不重复;
(2)举例说明采用组合密钥生成算法生成对称密钥的具体方法,设矩阵G1的元素为:g1=3,g2=0,g3=9,g4=6,……,g63=A,g64=F,其中:A表示二进制数值的10,F表示二进制数值的15,则矩阵G1如下:
其中:矩阵G1是一个32行2列的矩阵,设:“密钥种子”三维矩阵为T,见本说明书第4条;
矩阵G1的第1行第1列的元素为:3,矩阵G1的第1行第2列的元素为:0,
则:取出“密钥种子”三维矩阵T的第1行的第4列和第1页交叉处的元素t 0 3 0 ,
矩阵G1的第2行第1列的元素为:9,矩阵G1的第2行第2列的元素为:4,
则:取出“密钥种子”三维矩阵T的第2行的第10列和第5页交叉处的元素t 1 9 4 ,
……,
矩阵G1的第32行第1列的元素为:A,矩阵G1的第32行第2列的元素为:F,
则:取出“密钥种子”三维矩阵T的第32行的第11列和第16页交叉处的元素t 31 10 15 ,
将取出“密钥种子”三维矩阵T的32个元素,合成一组密钥为:(t 0 3 0 ,t 1 9 4 ,……,t 31 10 15 )。
5.根据权利要求1的方法,其特征在于:
(1)在物联网操作指令控制中心端的服务器加密卡的芯片里,写入的一套“密钥种子”三维矩阵TT元素,是由加密卡中随机数发生器产生,具有随机性,并存储加密卡芯片里,且由“密钥种子”三维矩阵TT元素产生存储密钥的过程,也在加密卡芯片里完成,从而,保证矩阵TT元素的存储和运行安全;
(2)“密钥种子”三维矩阵Ti元素,由物联网操作指令控制中心端加密卡里的随机数发生器产生,具有随机性;
物联网操作指令控制中心端加密系统,事先将“密钥种子”三维矩阵矩阵Ti的元素,与对应的远程自控装置的标识Bi,分别写入对应的远程自控装置端的SD卡芯片里,保证矩阵Ti在远程自控装置端的存储安全;
同时,实现密钥即:用户的“密钥种子”三维矩阵Ti元素,集中生成,集中灌装,且通过SD卡芯片硬件来分发;
物联网操作指令控制中心端加密系统,事先将全体对应远程自控装置标识Bi的“密钥种子”三维矩阵:T1、T2、……、Tn元素分别加密成密文后,存储在物联网操作指令控制中心端的密钥数据库中,
具体方法是:物联网操作指令控制中心端加密系统,在加密卡的芯片里,根据组合密钥生成算法,由矩阵TT产生n个存储密钥:CK1、CK2、……,CKn,分别将“密钥种子”三维矩阵:T1、T2、……、Tn的元素加密成密文后,与对应的远程自控装置的标识:B1、B2、……、Bn,一起存储在物联网操作指令控制中心端的密钥数据库中,在密钥数据库里存储的内容包括:远程自控装置的标识Bi、“密钥种子”三维矩阵Ti元素密文、一组随机数STi、Bi和一组随机数STi的摘要信息LTi,物联网操作指令控制中心端的密钥数据库记录中共有4个字段,共有n条记录,
其中:字段4的内容为字段1的内容与字段3的内容两者的摘要信息,根据组合密钥生成算法,由摘要信息LTi组成一个矩阵LGi,用矩阵LGi的元素对矩阵TT的元素进行映射,并矩阵TT将被映射到的元素取出合成一组存储密钥CKi,用于将矩阵Ti的元素加密成密文,i=1~n,n为全体远程自控装置数量的总和;
将全体远程自控装置标识Bi对应的“密钥种子”三维矩阵Ti元素加密成密文后,存储在物联网操作指令控制中心端,保证全体远程自控装置标识Bi对应的“密钥种子”三维矩阵Ti元素,在物联网操作指令控制中心端的存储安全。
6.根据权利要求1的方法,其特征在于:
操作指令的加密传输过程:首先,物联网操作指令控制中心,产生拟发送给标识为Bi的远程自控装置端的操作指令Z,物联网操作指令控制中心端加密系统,将对应Bi的“密钥种子”三维矩阵Ti元素密文取出,并在加密卡芯片里解密成明文,再生成一组随机数S,调用摘要算法对Bi和随机数S进行摘要,得到摘要信息L1,由L1组成矩阵G1,与矩阵Ti生成对称密钥K1,再用摘要算法对操作指令Z进行摘要,得到操作指令Z的摘要信息M1,用K1加密Z和M1,得到Z的密文和M1的密文即:Z的数字签名,将Bi、矩阵G1、M1、Z的密文和Z的数字签名,一并发送给标识为Bi的远程自控装置端,Bi的远程自控装置端加密系统,在SD卡的芯片里,由矩阵G1和矩阵Ti,生成对称密钥K2来解密Z的密文和Z的数字签名,得到Z的明文和Z的摘要信息M2,通过对比M1和M2是否相同?来判断操作指令Z是否可信、完整若M1≠M2,则远程自控装置认为操作指令已被篡改,不执行操作指令Z,若M1=M2,远程自控装置执行操作指令Z。
7.根据权利要求6的方法,其特征在于:
(1)在操作指令加密传输过程中,对称密钥都是由组合密钥生成算法产生,不需要人工更新密钥,能降低对远程自控装置进行可信遥控的物联网安全系统的维护成本,同时,由组合密钥生成算法产生的密钥,基本上一次一变,能大大提高操作指令加密传输协议的安全等级;
由“密钥种子”三维矩阵Ti元素生成对称密钥的过程,都是在加密卡或SD卡的芯片里完成,保证矩阵Ti元素在远程自控装置端和物联网操作指令控制中心端的运行安全;
(2)在操作指令加密传输协议中,物联网操作指令控制中心端调用摘要算法,远程自控装置端不调用摘要算法,从而,在不降低操作指令加密传输协议安全等级的前提下,减少操作指令加密传输协议的环节,提高速度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410833972.9A CN104618327B (zh) | 2014-12-30 | 2014-12-30 | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410833972.9A CN104618327B (zh) | 2014-12-30 | 2014-12-30 | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104618327A true CN104618327A (zh) | 2015-05-13 |
| CN104618327B CN104618327B (zh) | 2018-11-20 |
Family
ID=53152603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410833972.9A Active CN104618327B (zh) | 2014-12-30 | 2014-12-30 | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104618327B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994112A (zh) * | 2015-07-23 | 2015-10-21 | 陈昊 | 一种无人机与地面站通信数据链加密的方法 |
| CN105429759A (zh) * | 2015-11-05 | 2016-03-23 | 天津津航计算技术研究所 | 用于无人机机载数据记录仪数据加密的密钥管理方法 |
| CN106506565A (zh) * | 2017-01-04 | 2017-03-15 | 上海上讯信息技术股份有限公司 | 一种远程命令执行方法及设备 |
| CN106685652A (zh) * | 2016-12-28 | 2017-05-17 | 四川大学 | 基于三维矩阵的预分布密钥方法 |
| CN106850206A (zh) * | 2017-02-28 | 2017-06-13 | 贝加莱工业自动化(中国)有限公司 | 基于plc的动态密码保护系统和方法 |
| CN107104948A (zh) * | 2017-03-21 | 2017-08-29 | 深圳洲际通航投资控股有限公司 | 无人机数据传输方法和无人机数据传输系统 |
| CN108632250A (zh) * | 2018-03-27 | 2018-10-09 | 北京安御道合科技有限公司 | 指令操控会话主密钥生成、操作指令传输的方法及设备 |
| CN112671838A (zh) * | 2020-12-10 | 2021-04-16 | 深圳市英威腾电气股份有限公司 | 基于物联网的机器操作方法、装置、设备及存储介质 |
| CN113703886A (zh) * | 2021-07-21 | 2021-11-26 | 青岛海尔科技有限公司 | 用户系统行为监控方法、系统、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833075A (zh) * | 2012-09-05 | 2012-12-19 | 北京市科学技术情报研究所 | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 |
| CN103078736A (zh) * | 2013-01-25 | 2013-05-01 | 匡创公司 | 一种多维度密钥生成方法 |
| CN103748526A (zh) * | 2011-08-30 | 2014-04-23 | 西门子公司 | 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 |
-
2014
- 2014-12-30 CN CN201410833972.9A patent/CN104618327B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103748526A (zh) * | 2011-08-30 | 2014-04-23 | 西门子公司 | 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 |
| CN102833075A (zh) * | 2012-09-05 | 2012-12-19 | 北京市科学技术情报研究所 | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 |
| CN103078736A (zh) * | 2013-01-25 | 2013-05-01 | 匡创公司 | 一种多维度密钥生成方法 |
Non-Patent Citations (3)
| Title |
|---|
| 冯福伟 等: "基于组合对称密钥技术认证系统的设计", 《计算机工程与设计》 * |
| 冯福伟 等: "基于集群架构的物联网身份认证系统", 《计算机应用》 * |
| 吴素妍 等: "基于组合对称密钥带加密数字签名方法的研究", 《电子科技大学学报》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994112A (zh) * | 2015-07-23 | 2015-10-21 | 陈昊 | 一种无人机与地面站通信数据链加密的方法 |
| CN105429759A (zh) * | 2015-11-05 | 2016-03-23 | 天津津航计算技术研究所 | 用于无人机机载数据记录仪数据加密的密钥管理方法 |
| CN106685652A (zh) * | 2016-12-28 | 2017-05-17 | 四川大学 | 基于三维矩阵的预分布密钥方法 |
| CN106685652B (zh) * | 2016-12-28 | 2019-11-29 | 四川大学 | 基于三维矩阵的预分布密钥方法 |
| CN106506565A (zh) * | 2017-01-04 | 2017-03-15 | 上海上讯信息技术股份有限公司 | 一种远程命令执行方法及设备 |
| CN106850206B (zh) * | 2017-02-28 | 2020-07-07 | 贝加莱工业自动化(中国)有限公司 | 基于plc的动态密码保护系统和方法 |
| CN106850206A (zh) * | 2017-02-28 | 2017-06-13 | 贝加莱工业自动化(中国)有限公司 | 基于plc的动态密码保护系统和方法 |
| CN107104948A (zh) * | 2017-03-21 | 2017-08-29 | 深圳洲际通航投资控股有限公司 | 无人机数据传输方法和无人机数据传输系统 |
| CN108632250A (zh) * | 2018-03-27 | 2018-10-09 | 北京安御道合科技有限公司 | 指令操控会话主密钥生成、操作指令传输的方法及设备 |
| CN108632250B (zh) * | 2018-03-27 | 2020-12-08 | 北京安御道合科技有限公司 | 指令操控会话主密钥生成、操作指令传输的方法及设备 |
| CN112671838A (zh) * | 2020-12-10 | 2021-04-16 | 深圳市英威腾电气股份有限公司 | 基于物联网的机器操作方法、装置、设备及存储介质 |
| CN112671838B (zh) * | 2020-12-10 | 2023-04-18 | 深圳市英威腾电气股份有限公司 | 基于物联网的机器操作方法、装置、设备及存储介质 |
| CN113703886A (zh) * | 2021-07-21 | 2021-11-26 | 青岛海尔科技有限公司 | 用户系统行为监控方法、系统、电子设备及存储介质 |
| CN113703886B (zh) * | 2021-07-21 | 2023-06-20 | 青岛海尔科技有限公司 | 用户系统行为监控方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104618327B (zh) | 2018-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104618327A (zh) | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 | |
| US10021085B1 (en) | Encryption and decryption techniques using shuffle function | |
| CN103778590B (zh) | 利用数字图像存储和传输信息的方法和装置 | |
| CN103532701B (zh) | 一种数值型数据的加密、解密方法 | |
| CN103152362B (zh) | 基于云计算的大数据文件加密传输方法 | |
| CN109245881A (zh) | 一种照片视频云端加密存储方法 | |
| CN104303453B (zh) | 加密装置、解密装置、加密方法、解密方法 | |
| CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| CN102185694A (zh) | 基于指纹信息的电子文件加密的方法及其系统 | |
| CN104318510B (zh) | 一种基于Matlab的图像加密和解译方法 | |
| CN106161017A (zh) | 标识认证安全管理系统 | |
| CN101826961B (zh) | 数据传输加解密方法、装置及系统 | |
| CN102833075A (zh) | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 | |
| CN102546156A (zh) | 一种分组加密方法、系统和装置 | |
| CN105637801A (zh) | 多形态加密密钥矩阵 | |
| CN103237302B (zh) | 一种物联网电子标签的传感信息安全防护方法 | |
| CN102833260A (zh) | 一种采用安全单钥管理技术的物联网密码认证方法 | |
| CN103051459A (zh) | 安全卡的交易密钥的管理方法和装置 | |
| CN104753918A (zh) | 一种手机离线认证的方法 | |
| CN105978686A (zh) | 密钥管理方法及系统 | |
| CN102938762B (zh) | 一种基于移动终端的文件安全管理系统 | |
| CN103117850B (zh) | 一种基于随机序列数据库的密码系统的建立方法 | |
| CN102833077A (zh) | 金融ic及金融社保ic卡远程发卡数据传输加解密方法 | |
| CN104883257A (zh) | 一种大数据加密方法 | |
| CN116232639A (zh) | 数据传输方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |