CN107276755B - 一种安全关联方法、装置及系统 - Google Patents

一种安全关联方法、装置及系统 Download PDF

Info

Publication number
CN107276755B
CN107276755B CN201710606978.6A CN201710606978A CN107276755B CN 107276755 B CN107276755 B CN 107276755B CN 201710606978 A CN201710606978 A CN 201710606978A CN 107276755 B CN107276755 B CN 107276755B
Authority
CN
China
Prior art keywords
signature
random number
routing
key
field device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710606978.6A
Other languages
English (en)
Other versions
CN107276755A (zh
Inventor
梁露露
代刚
常文娟
甘焕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhongce Anhua Technology Co ltd
Original Assignee
Beijing Zhongce Anhua Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhongce Anhua Technology Co ltd filed Critical Beijing Zhongce Anhua Technology Co ltd
Priority to CN201710606978.6A priority Critical patent/CN107276755B/zh
Publication of CN107276755A publication Critical patent/CN107276755A/zh
Application granted granted Critical
Publication of CN107276755B publication Critical patent/CN107276755B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种安全关联方法、装置及系统,当所述安全关联方法应用于现场设备时,该方法包括:现场设备通过网络接口与路由设备建立连接;将生成的第一随机数发送至所述路由设备;接收路由设备发送的第二随机数和第一签名;对第一签名进行验证,若验证通过,则根据第一随机数和第二随机数进行计算,获得第二签名,将第二签名发送至路由设备;接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥。通过本发明在保证应用范围的前提下,实现了工业无线网络中的现场设备和路由设备的通信安全的目的。

Description

一种安全关联方法、装置及系统
技术领域
本发明涉及信息安全技术领域,特别是涉及一种用于工业无线网络中现场设备与路由设备安全关联的方法、装置及系统。
背景技术
工业无线网络是由无线传感器网络发展而来的,用于工业控制领域的无线通信技术。工业无线网络具有低成本、低能耗、高灵活和强扩展性等特点,为工业自动化系统的发展提供了技术保证。然而,由于工业现场环境复杂以及在一些工业应用中存在特殊要求,使得无线网络面临着严峻的安全威胁。
安全关联协议可实现设备配对和共享密钥建立,是保障设备之间安全通信的基础,进而可以保证工业无线网络的安全。目前,工业无线网络中用于现场设备和路由设备安全关联的协议主要有两类:基于预分配秘密信息或公钥基础设施的安全关联协议和基于Diffie-Hellman密钥交换算法的安全关联协议。由于工业无线网络中的现场设备具有动态接入网络、可移动的特性,第一类安全关联方法在实际应用中不容易实现;第二类安全关联方法通常需要输入口令、建立带外信道等方法来防止中间人攻击,而实际应用有些现场设备和路由设备不具备输入界面和建立带外信道的条件,因此该方法的使用范围相对受限。由此可见,现有的安全关联方法都无法确保工业无线网络的安全。
发明内容
针对于上述问题,本发明提供一种安全关联方法、装置及系统,在保证应用范围的前提下,实现了工业无线网络中的现场设备和路由设备的通信安全的目的。
为了实现上述目的,根据本发明的第一方面,提供了一种安全关联方法,应用于现场设备,该方法包括:
所述现场设备通过网络接口与路由设备建立连接;
将生成的第一随机数发送至所述路由设备;
接收所述路由设备发送的第二随机数和第一签名,其中,所述第一签名为所述路由设备根据自身生成的第二随机数和接收到的第一随机数计算生成的第一签名;
对所述第一签名进行验证,若验证通过,则根据所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;
接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥,其中,所述密文为所述路由设备对所述第二签名验证通过后生成的所述随机密钥,并加密所述随机密钥获得所述密文;所述第三签名为根据所述密文计算获得的。
优选的,所述现场设备通过网络接口与路由设备建立连接之前,该方法还包括:
存储第一私钥,其中,所述第一私钥为根据所述现场设备身份生成的密钥。
根据本发明的第二方面,提供了一种安全关联方法,应用于路由设备,该方法包括:
所述路由设备通过网络接口与现场设备建立连接;
当接收到所述现场设备发送的第一随机数后,生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;
接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备,其中,所述第二签名为所述现场设备在接收到所述第二随机数和所述第一签名后,对所述第一签名进行验证,若验证通过,则根据所述第一随机数和所述第二随机数计算获得第二签名。
优选的,所述路由设备通过网络接口与现场设备建立连接之前,该方法还包括:
存储第二私钥,其中,所述第二私钥为根据所述路由设备身份生成的密钥。
根据本发明的第三方面,提供了一种安全关联装置,应用于现场设备,该装置包括:
第一连接模块,用于将所述现场设备通过网络接口与路由设备建立连接;
第一发送模块,用于将生成的第一随机数发送至所述路由设备;
第一接收模块,用于接收所述路由设备发送的第二随机数和第一签名,其中,所述第一签名为所述路由设备根据自身生成的第二随机数和接收到的第一随机数计算生成的第一签名;
第一验证模块,用于对所述第一签名进行验证,若验证通过,则根据所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;
第一解密模块,用于接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥,其中,所述密文为所述路由设备对所述第二签名验证通过后生成的所述随机密钥,并加密所述随机密钥获得所述密文;所述第三签名为根据所述密文计算获得的。
优选的,该装置还包括:
第一存储模块,用于存储第一私钥,其中,所述第一私钥为根据所述现场设备身份生成的密钥。
根据本发明的第四方面,提供了一种安全关联装置,应用于路由设备,该装置包括:
第二连接模块,用于将所述路由设备通过网络接口与现场设备建立连接;
第二发送模块,用于当接收到所述现场设备发送的第一随机数后,生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;
第二接收模块,用于接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备,其中,所述第二签名为所述现场设备在接收到所述第二随机数和所述第一签名后,对所述第一签名进行验证,若验证通过,则根据所述第一随机数和所述第二随机数计算获得第二签名。
优选的,所述装置还包括:
第二存储模块,用于存储第二私钥,其中,所述第二私钥为根据所述路由设备身份生成的密钥。
根据本发明第五方面,提供了一种安全关联系统,该系统包括:现场设备、路由设备和私钥生成设备,其中,
所述现场设备为根据本发明第三方面所述的安全关联装置;
所述路由设备为根据本发明第四方面所述的安全关联装置;
所述私钥生成设备用于根据所述现场设备身份生成第一私钥和根据所述路由设备生成第二私钥。
相较于现有技术,本发明通过现场设备与路由设备建立连接,现场设备生成第一随机数,并向路由设备发送第一随机数;路由设备生成第二随机数,并对第一随机数和第二随机数计算第一签名,并将第二随机数和第一签名发送到现场设备;现场设备验证第一签名,验证通过则对第一随机数和第二随机数计算第二签名,并将第二签名发送至路由设备;路由设备验证第二签名,验证通过则生成随机密钥,并加密随机密钥得到密文,对密文计算第三签名,并将密文和第三签名发送到现场设备;现场设备验证第三签名,验证通过则解密密文得到随机密钥。通过本发明能够在无预先分配的秘密信息、公钥基础设施、口令输入和带外信道的前提下,实现工业无线网络中现场设备和路由设备的认证配对,保证了应用范围的广泛,并为现场设备和路由设备分配共享随机密钥,保障了现场设备和路由设备的通信安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例一提供的一种安全关联方法的流程示意图;
图2为本发明实施例二提供的一种安全关联方法的流程示意图;
图3为本发明实施例三提供的一种安全关联装置的结构示意图;
图4为本发明实施例四提供的一种安全关联装置的结构示意图;
图5为本发明实施例五提供的一种安全关联系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
实施例一
参见图1为本发明实施例一提供的一种安全关联方法的流程示意图,所述方法应用于现场设备,该方法包括以下步骤:
S11、所述现场设备通过网络接口与路由设备建立连接;
可以理解的是,所谓安全关联其实质是实现现场设备与路由设备两者之间的认证配对和共享密钥的配置,其中,共享密钥的配置包括两种情况,一种情况是启用一个预先存储到两个设备的共享密钥;另一种情况是两个设备通过密钥协商生成一个共享密钥,在本发明的实施例中所描述的是后者这种情况。
S12、将生成的第一随机数发送至所述路由设备;
S13、接收所述路由设备发送的第二随机数和第一签名;
其中,所述第一签名为所述路由设备根据自身生成的第二随机数和接收到的第一随机数计算生成的第一签名;
具体的,所述路由设备在接收到所述第一随机数后,会通过随机数生成器生成第二随机数,并利用基于身份的签名算法对所述第一随机数和所述第二随机数计算第一签名,其中,所述第一签名可以包括时间戳信息。
S14、对所述第一签名进行验证,若验证通过,则根据所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;
具体的,所述现场设备在接收到所述第二随机数和第一签名后,会通过基于身份的验证算法验证所述第一签名,并在验证通过后,通过基于身份的签名算法对所述第一随机数和第二随机数计算第二签名,其中,所述第二签名还可以包括时间戳信息。
S15、接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥;
其中,所述密文为所述路由设备对所述第二签名验证通过后生成的所述随机密钥,并加密所述随机密钥获得所述密文;所述第三签名为根据所述密文计算获得的。
具体的,路由设备在接收到所述第二签名后,会通过基于身份的验证算法验证所述第二签名,并在验证通过后,通过随机数生成器生成随机密钥,并通过基于身份的加密算法加密所述随机密钥为密文,然后通过基于身份的签名算法对所述密文计算第三签名,并将所述密文和第三签名发送到所述现场设备,其中,所述第三签名可以包括时间戳信息;
所述现场设备在接收到所述密文和所述第三签名后,通过基于身份的验证算法验证所述第三签名,并在验证通过后,通过基于身份的解密算法解密所述密文得到所述随机密钥。此时,所述现场设备与所述路由设备完成安全关联,并各自秘密存储所述随机密钥。
相应的,所述现场设备通过网络接口与路由设备建立连接之前,该方法还包括:
S10、存储第一私钥,其中,所述第一私钥为根据所述现场设备身份生成的密钥。
具体的,在所述现场设备和路由设备出厂前,根据所述现场设备身份生成第一私钥,所述现场设备用于保存所述第一私钥,并使用所述第一私钥对所述第一随机数和第二随机数计算所述第二签名;同时使用所述第一私钥解密所述密文得到所述随机密钥。
通过本发明实施例一公开的技术方案,所述现场设备通过网络接口与路由设备建立连接;将生成的第一随机数发送至所述路由设备;接收所述路由设备发送的第二随机数和第一签名;对所述第一签名进行验证,若验证通过,则根据所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥。通过本发明实施例能够在无预先分配的秘密信息、公钥基础设施、口令输入和带外信道的前提下,使现场设备获得随机密钥,实现工业无线网络中现场设备和路由设备的认证配对,保证了应用范围的广泛,并保障了现场设备和路由设备的通信安全。
实施例二
参见图2为本发明实施例二提供的一种安全关联方法,所述方法适用于路由设备,该方法包括以下步骤:
S21、所述路由设备通过网络接口与现场设备建立连接;
S22、当接收到所述现场设备发送的第一随机数后,生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;
S23、接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备,其中,所述第二签名为所述现场设备在接收到所述第二随机数和所述第一签名后,对所述第一签名进行验证,若验证通过,则根据所述第一随机数和所述第二随机数计算获得第二签名。
相应的,所述路由设备通过网络接口与现场设备建立连接之前,该方法还包括:
S20、存储第二私钥,其中,所述第二私钥为根据所述路由设备身份生成的密钥。
具体的,路由设备在出厂前被写入第二私钥,所述第二私钥是根据所述路由设备身份生成的,所述路由设备使用所述第二私钥对所述第一随机数和第二随机数计算所述第一签名,并使用所述第二私钥对所述密文计算所述第三签名。
根据本发明实施例二公开的技术方案,所述路由设备通过网络接口与现场设备建立连接;当接收到所述现场设备发送的第一随机数后,生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备。通过本发明实施例能够在无预先分配的秘密信息、公钥基础设施、口令输入和带外信道的前提下,使路由设备获得随机密钥,实现工业无线网络中现场设备和路由设备的认证配对,保证了应用范围的广泛,并保障了现场设备和路由设备的通信安全。
实施例三
与本发明实施例一所公开的安全关联方法相对应,本发明的实施例三还提供了一种安全关联装置,参见图3,所述装置应用于现场设备,该装置包括:
第一连接模块11,用于将所述现场设备通过网络接口与路由设备建立连接;
第一发送模块12,用于将生成的第一随机数发送至所述路由设备;
第一接收模块13,用于接收所述路由设备发送的第二随机数和第一签名,其中,所述第一签名为所述路由设备根据自身生成的第二随机数和接收到的第一随机数计算生成的第一签名;
第一验证模块14,用于对所述第一签名进行验证,若验证通过,则根据所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;
第一解密模块15,用于接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥,其中,所述密文为所述路由设备对所述第二签名验证通过后生成的所述随机密钥,并加密所述随机密钥获得所述密文;所述第三签名为根据所述密文计算获得的。
具体的,该装置还包括:
第一存储模块10,用于存储第一私钥,其中,所述第一私钥为根据所述现场设备身份生成的密钥。
在本发明的实施例三中,通过第一连接模块与路由设备建立连接;在第一发送模块中将生成的第一随机数发送至所述路由设备;第一接收模块中接收所述路由设备发送的第二随机数和第一签名;再通过第一验证模块对所述第一签名进行验证,若验证通过,则根据所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;最后在第一解密模块中接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥。通过本发明实施例能够在无预先分配的秘密信息、公钥基础设施、口令输入和带外信道的前提下,使现场设备获得随机密钥,实现工业无线网络中现场设备和路由设备的认证配对,保证了应用范围的广泛,并保障了现场设备和路由设备的通信安全。
实施例四
与本发明实施例二提供的一种安全关联方法相对应,本发明实施例四提供了一种安全关联装置,所述装置应用于路由设备,参见图4,该装置包括:
第二连接模块21,用于将所述路由设备通过网络接口与现场设备建立连接;
第二发送模块22,用于当接收到所述现场设备发送的第一随机数后,生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;
第二接收模块23,用于接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备,其中,所述第二签名为所述现场设备在接收到所述第二随机数和所述第一签名后,对所述第一签名进行验证,若验证通过,则根据所述第一随机数和所述第二随机数计算获得第二签名。
具体的,所述装置还包括:
第二存储模块20,用于存储第二私钥,其中,所述第二私钥为根据所述路由设备身份生成的密钥。
根据本发明实施例四公开的技术方案,通过第二连接模块与现场设备建立连接;当接收到所述现场设备发送的第一随机数后,在第二发送模块中生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;最后在第二接收模块中接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备。通过本发明实施例能够在无预先分配的秘密信息、公钥基础设施、口令输入和带外信道的前提下,使路由设备获得随机密钥,实现工业无线网络中现场设备和路由设备的认证配对,保证了应用范围的广泛,并保障了现场设备和路由设备的通信安全。
实施例五
与本发明实施例三和实施例四提供的安全关联装置相对应,本发明实施例五还提供了一种安全关联系统,参见图5,该系统包括:现场设备1、路由设备2和私钥生成设备3,其中,
所述现场设备为本发明实施例三所述的安全关联装置;
所述路由设备为本发明实施例四所述的安全关联装置;
所述私钥生成设备用于根据所述现场设备身份生成第一私钥和根据所述路由设备生成第二私钥。
可以理解的是,本发明用于工业无线网络中的安全关联系统涉及三个模块即:现场设备、路由设备和私钥生成设备,所述私钥生成设备用于生成所述现场设备的第一私钥和路由设备的第二私钥,因此私钥生成设备内部需要设置随机数生成器和基于身份的私钥提取算法,利用基于身份的私钥提取算法生成第一私钥和第二私钥,并存储所述私钥生成设备的系统主私钥和系统主公钥。所述现场设备需要部署基于身份的解密算法、基于身份的签名及验证算法和随机数生成器,同时应将自己的第一私钥秘密存储。所述路由设备内部需部署基于身份的加密算法、基于身份的签名及验证算法和随机数生成器,同时应将自己的第二私钥秘密存储。并且,由于所述现场设备和路由设备通过无线连接,所以二者背部都应包括网络接口。
在本发明实施例五中,在现场设备合和路由设备出厂前,为两者分别安全存入第一私钥和第二私钥,由于第一私钥和第二私钥之间不存在关联,即任何设备在出厂前需要存入的私钥为各自所持有的秘密信息,与已出厂设备的私钥不需要建立关联,因此本发明优于基于预分配秘密信息或公钥基础设施的安全关联协议;现场设备和路由设备出厂后,在进行安全关联时,直接使用对方的身份作为用于加密消息和验证签名的公钥,不需要借助口令、带外信道等,优于基于Diifie-Hellman等密钥交换算法的安全关联协议,保障了现场设备和路由设备的通信安全。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (7)

1.一种安全关联方法,其特征在于,应用于现场设备,该方法包括:
所述现场设备通过无线网络接口与路由设备建立连接;
将生成的第一随机数发送至所述路由设备;
接收所述路由设备发送的第二随机数和第一签名,其中,所述第一签名为所述路由设备根据自身生成的第二随机数和接收到的第一随机数计算生成的第一签名;
存储第一私钥,其中,所述第一私钥为根据所述现场设备身份生成的密钥;
对所述第一签名进行验证,若验证通过,则根据所述第一私钥对所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;
接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥,其中,所述密文为所述路由设备对所述第二签名验证通过后生成的所述随机密钥,并加密所述随机密钥获得所述密文;所述第三签名为根据所述密文计算获得的;所述随机密钥用于工业无线网络中所述现场设备和所述路由设备的认证配对。
2.一种安全关联方法,其特征在于,应用于路由设备,该方法包括:
所述路由设备通过无线网络接口与现场设备建立连接;
当接收到所述现场设备发送的第一随机数后,生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;
接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备,其中,所述第二签名为所述现场设备在接收到所述第二随机数和所述第一签名后,对所述第一签名进行验证,若验证通过,则根据所述第一随机数和所述第二随机数计算获得第二签名;所述随机密钥用于工业无线网络中所述现场设备和所述路由设备的认证配对。
3.根据权利要求2所述的方法,其特征在于,所述路由设备通过网络接口与现场设备建立连接之前,该方法还包括:
存储第二私钥,其中,所述第二私钥为根据所述路由设备身份生成的密钥。
4.一种安全关联装置,其特征在于,应用于现场设备,该装置包括:
第一连接模块,用于将所述现场设备通过无线网络接口与路由设备建立连接;
第一发送模块,用于将生成的第一随机数发送至所述路由设备;
第一接收模块,用于接收所述路由设备发送的第二随机数和第一签名,其中,所述第一签名为所述路由设备根据自身生成的第二随机数和接收到的第一随机数计算生成的第一签名;
第一存储模块,用于存储第一私钥,其中,所述第一私钥为根据所述现场设备身份生成的密钥;
第一验证模块,用于对所述第一签名进行验证,若验证通过,则根据所述第一私钥对所述第一随机数和第二随机数进行计算,获得第二签名,将所述第二签名发送至所述路由设备;
第一解密模块,用于接收所述路由设备发送的密文和第三签名,并对所述第三签名进行验证,若验证通过,则解密所述密文获得随机密钥,其中,所述密文为所述路由设备对所述第二签名验证通过后生成的所述随机密钥,并加密所述随机密钥获得所述密文;所述第三签名为根据所述密文计算获得的;所述随机密钥用于工业无线网络中所述现场设备和所述路由设备的认证配对。
5.一种安全关联装置,其特征在于,应用于路由设备,该装置包括:
第二连接模块,用于将所述路由设备通过无线网络接口与现场设备建立连接;
第二发送模块,用于当接收到所述现场设备发送的第一随机数后,生成第二随机数,并根据所述第一随机数和第二随机数计算获得第一签名,并将所述第二随机数和所述第一签名发送至所述现场设备;
第二接收模块,用于接收所述现场设备发送的第二签名,并对所述第二签名进行验证,若验证通过则生成随机密钥,加密所述随机密钥获得密文,根据所述密文计算获得第三签名,并将所述第三签名发送至所述现场设备,其中,所述第二签名为所述现场设备在接收到所述第二随机数和所述第一签名后,对所述第一签名进行验证,若验证通过,则根据所述第一随机数和所述第二随机数计算获得第二签名;所述随机密钥用于工业无线网络中所述现场设备和所述路由设备的认证配对。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二存储模块,用于存储第二私钥,其中,所述第二私钥为根据所述路由设备身份生成的密钥。
7.一种安全关联系统,其特征在于,该系统包括:现场设备、路由设备和私钥生成设备,其中,
所述现场设备为权利要求4所述的安全关联装置;
所述路由设备为权利要求5-6任一项所述的安全关联装置;
所述私钥生成设备用于根据所述现场设备身份生成第一私钥和根据所述路由设备生成第二私钥。
CN201710606978.6A 2017-07-24 2017-07-24 一种安全关联方法、装置及系统 Active CN107276755B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710606978.6A CN107276755B (zh) 2017-07-24 2017-07-24 一种安全关联方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710606978.6A CN107276755B (zh) 2017-07-24 2017-07-24 一种安全关联方法、装置及系统

Publications (2)

Publication Number Publication Date
CN107276755A CN107276755A (zh) 2017-10-20
CN107276755B true CN107276755B (zh) 2020-07-14

Family

ID=60079600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710606978.6A Active CN107276755B (zh) 2017-07-24 2017-07-24 一种安全关联方法、装置及系统

Country Status (1)

Country Link
CN (1) CN107276755B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018131084A1 (de) * 2018-12-05 2020-06-10 Uniscon Universal Identity Control Gmbh Verfahren zur Sicherung der Vertrauenswürdigkeit von Quellcodes
CN113239343B (zh) * 2021-07-13 2021-12-17 深圳市深圳通有限公司 内部认证的加密方法、智能卡、内部认证方法以及读卡器

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1708018A (zh) * 2004-06-04 2005-12-14 华为技术有限公司 一种无线局域网移动终端接入的方法
CN101789934A (zh) * 2009-11-17 2010-07-28 北京飞天诚信科技有限公司 网上安全交易方法和系统
CN104158567A (zh) * 2014-07-25 2014-11-19 天地融科技股份有限公司 蓝牙设备间的配对方法和系统、数据交互方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1708018A (zh) * 2004-06-04 2005-12-14 华为技术有限公司 一种无线局域网移动终端接入的方法
CN101789934A (zh) * 2009-11-17 2010-07-28 北京飞天诚信科技有限公司 网上安全交易方法和系统
CN104158567A (zh) * 2014-07-25 2014-11-19 天地融科技股份有限公司 蓝牙设备间的配对方法和系统、数据交互方法和系统

Also Published As

Publication number Publication date
CN107276755A (zh) 2017-10-20

Similar Documents

Publication Publication Date Title
CN107317674B (zh) 密钥分发、认证方法,装置及系统
EP3432532B1 (en) Key distribution and authentication method, apparatus and system
CN106603485B (zh) 密钥协商方法及装置
EP3016422B1 (en) A computer implemented system and method for secure session establishment and encrypted exchange of data
CN100558035C (zh) 一种双向认证方法及系统
EP2810418B1 (en) Group based bootstrapping in machine type communication
CN111865603A (zh) 认证方法、认证装置和认证系统
CN103763356A (zh) 一种安全套接层连接的建立方法、装置及系统
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
JP2012019511A (ja) 無線通信機器とサーバとの間でのデータの安全なトランザクションのためのシステムおよび方法
CN104821933A (zh) 证书生成的设备和方法
CN103532713A (zh) 传感器认证和共享密钥产生方法和系统以及传感器
EP3570487B1 (en) Private key generation method, device and system
CN114765534B (zh) 基于国密标识密码算法的私钥分发系统和方法
CN109194474A (zh) 一种数据传输方法及装置
CN101895881B (zh) 一种实现gba密钥的方法及终端可插拔设备
Qiu et al. An anonymous authentication scheme for multi-domain machine-to-machine communication in cyber-physical systems
CN104753682A (zh) 一种会话秘钥的生成系统及方法
CN105554008A (zh) 用户终端、认证服务器、中间服务器、系统和传送方法
CN114520726A (zh) 基于区块链数据的处理方法和装置、处理器及电子设备
CN107276755B (zh) 一种安全关联方法、装置及系统
GB2543359A (en) Methods and apparatus for secure communication
Kim et al. Secure and efficient anonymous authentication scheme in global mobility networks
CN107733929B (zh) 认证方法和认证系统
Doh et al. Key establishment and management for secure cellular machine-to-machine communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant