CN109787765B - 一种用于水质在线监测的远程数据网关加密方法 - Google Patents
一种用于水质在线监测的远程数据网关加密方法 Download PDFInfo
- Publication number
- CN109787765B CN109787765B CN201910147068.5A CN201910147068A CN109787765B CN 109787765 B CN109787765 B CN 109787765B CN 201910147068 A CN201910147068 A CN 201910147068A CN 109787765 B CN109787765 B CN 109787765B
- Authority
- CN
- China
- Prior art keywords
- signature
- data
- water quality
- gateway
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种用于水质在线监测的远程数据网关加密方法,发送水质数据时,通过椭圆曲线加密对帧数据进行链式加密,并通过链式加密结果更新签名写入远程网关,网关设备每次上电工作前,检查签名有效性,如果有效则正常工作,否则给出无效提示停止工作。本发明基于椭圆曲线加密机制,通过链式签名更新的方法完成网关签名验证,把这种加密技术在硬件上实现,不仅保证了远程通信网关软件配置的数据安全,而且保证了通信网关上传水质数据的安全性。基于本发明方法可以实时检测设备的完备性,在设备硬件遭到篡改时能够给出警告并及时停止工作,能保证数据上传的机密性,相较于传统的在线水质监测系统的集成方案,具有更强的安全性。
Description
技术领域
本发明属于在线水质监测技术领域,涉及一种用于水质在线监测的远程数据网关加密方法。
背景技术
为了保证水质的可靠性和人民的饮水安全,水厂水司需要在水源地、水厂处理中心、管网等各处安装在线水质监测设备。设备主要用于监测浊度、余氯、氨氮、COD、PH、电导率等参数,由于水路水质信息为敏感信息,其安全性要求极高,但目前尚无安全性较高的加密技术对水路水质信息进行加密,尤其是无法在设备硬件遭到篡改时进行防范,具有严重的安全隐患。
发明内容
为解决上述问题,本发明提供了一种用于水质在线监测的远程数据网关加密方法,在设备硬件遭到篡改时能够给出警告并及时停止工作,能保证数据上传的机密性。
为了达到上述目的,本发明提供如下技术方案:
一种用于水质在线监测的远程数据网关加密方法,包括如下步骤:
网关读取在线水质监测设备的水质数据,并实时向服务器发送水质数据,发送水质数据时,通过椭圆曲线加密对帧数据进行链式加密,并通过链式加密结果更新签名写入远程网关,网关设备每次上电工作前,检查签名有效性,如果有效则正常工作,否则给出无效提示停止工作。
进一步的,具体包括如下步骤:
步骤1:上位机设备通过操作系统生成随机数k,然后进行SHA256(k)运算得到私钥,然后通过椭圆曲线算法将私钥转换为公钥K,在完成私钥和公钥生成后,上位机将公钥发送至服务器进行网关设备注册,将私钥发送至网关设备进行设备激活;
步骤2:网关设备在接收到上位机设备的激活指令后,将私钥写入控制单元内部的第一存储单元,完成设备激活;
步骤3:网关设备激活后首次上电加载程序时,会利用第一存储单元中的私钥和随机数生成一个初始签名写入第二存储单元中,签名更新公式如下:
其中s0为初始签名,SHA256(SHA256(r))为消息体内容,ps为私钥,x为有限域rG(x,y)上的x的值;
步骤4:正常运行时,网关设备根据配置的解析协议解析水质设备数据,并组帧加密发送至服务器,同时每次传输新帧时,利用第二存储单元中的旧签名和新帧数据组合,通过私钥生成新签名,并将其更新至第二存储单元中,更新公式如下:
其中snew为新签名,SHA256(Message)为发送的数据帧Message的哈希运算结果,ps为私钥,x为有限域soldG(x,y)上的x的值,sold为旧签名;
步骤5:设备每次上电工作前,检查EEPROM中的签名有效性,如果有效则进入系统正常工作,否则给出无效提示。
进一步的,所述步骤1中,所用椭圆曲线为Secp256k1,其公式如下:
y2mod p=(x3+7)mod p (1)
modp表明曲线是在素数p的限定域中的,p的取值为p=2256-232-29-28-27-26-24-1;
满足上述公式的点就记为GF(x,y)。
进一步的,所述步骤1中随机数k生成范围是0~2256-1。
进一步的,所述步骤5中验证签名的方法如下:
根据系统存储的上一条Message计算SHA256(Message),使用公钥K计算hG/s+xK/s并与soldG比较,如相等则验证成功。
与现有技术相比,本发明具有如下优点和有益效果:
1.本发明基于椭圆曲线加密机制,通过网关自产生的种子产生公钥,私钥,把公钥发到与远程网关连接的云端平台或数据中心,通过链式签名更新的方法完成双方验证,并把这种加密技术在硬件上实现,不仅保证了远程通信网关软件配置的数据安全,而且保证了通信网关上传水质数据的安全性。
2.基于本发明方法可以实时检测设备的完备性,在设备硬件遭到篡改时能够给出警告并及时停止工作,能保证数据上传的机密性,相较于传统的在线水质监测系统的集成方案,具有更强的安全性。
附图说明
图1为本发明方法流程图。
图2为本发明所用的椭圆曲线加密方法的加密曲线示意图。
具体实施方式
以下将结合具体实施例对本发明提供的技术方案进行详细说明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
本发明中,网关用于读取在线水质监测设备的水质数据,并实时向服务器发送水质数据,在网关正常工作向服务器定时发送水质数据时,采用硬件链式签名安全认证方法,通过椭圆曲线加密对帧数据进行链式加密,并通过链式加密结果更新签名写入远程网关,从而保证在设备硬件遭到篡改时能够给出警告并及时停止工作。本发明方法流程如图1所示,具体包括如下步骤:
步骤1:上位机设备通过操作系统生成随机数k,生成范围是0~2256-1,然后进行SHA256(k)运算得到私钥,然后通过椭圆曲线算法将私钥转换为公钥K,所用椭圆曲线为Secp256k1,其公式如下:
y2mod p=(x3+7)mod p (1)
modp表明曲线是在素数p的限定域中的,p的取值为p=2256-232-29-28-27-26-24-1;
满足上述公式的点就记为GF(x,y);
在完成私钥和公钥生成后,上位机将公钥发送至服务器进行网关设备注册,将私钥发送至网关设备进行设备激活;
步骤2:网关设备在接收到上位机设备的激活指令后,将私钥写入MCU内部的flash,完成设备激活;
步骤3:网关设备激活后首次上电加载程序时,会利用flash中的私钥和随机数生成一个初始签名写入EEPROM中,签名更新公式如下:
其中s0为初始签名,因为初始化没有数据帧,因此将随机数的两次哈希作为消息体内容,即SHA256(SHA256(r)),r为步骤3所述随机数,ps为私钥,x为有限域rG(x,y)上的x的值;
步骤4:正常运行时,网关设备根据配置的解析协议解析水质设备数据,并组帧加密发送至服务器,同时每次传输新帧时,利用EEPROM中的旧签名和新帧数据组合,通过私钥生成新签名,并将其更新至EEPROM中,更新公式如下:
其中snew为新签名,SHA256(Message)为发送的数据帧Message的哈希运算结果,ps为私钥,x为有限域soldG(x,y)上的x的值,sold为旧签名;
步骤5:设备每次上电工作前,检查EEPROM中的签名有效性,如果有效则进入系统正常工作,否则给出无效提示。验证签名的方法如下:
根据系统存储的上一条Message计算SHA256(Message),使用公钥K计算hG/s+xK/s并与soldG比较,如相等则验证成功。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (4)
1.一种用于水质在线监测的远程数据网关加密方法,其特征在于,包括如下步骤:
远程网关读取在线水质监测设备的水质数据,并实时向服务器发送水质数据,发送水质数据时,通过椭圆曲线加密对帧数据进行链式加密,并通过链式加密结果更新签名写入远程网关,远程网关每次上电工作前,检查签名有效性,如果有效则正常工作,否则给出无效提示停止工作;
具体步骤为:
步骤1:上位机设备通过操作系统生成随机数k,然后进行SHA256(k)运算得到私钥,然后通过椭圆曲线算法将私钥转换为公钥K,在完成私钥和公钥生成后,上位机将公钥发送至服务器进行远程网关注册,将私钥发送至远程网关进行设备激活;
步骤2:远程网关在接收到上位机设备的激活指令后,将私钥写入控制单元内部的第一存储单元,完成设备激活;
步骤3:远程网关激活后首次上电加载程序时,会利用第一存储单元中的私钥和随机数r生成一个初始签名写入第二存储单元中,初始签名公式如下:
其中s0为初始签名,SHA256(SHA256(r))为消息体内容,ps为私钥,x为有限域rG(x,y)上的x的值;
步骤4:正常运行时,远程网关根据配置的解析协议解析水质设备数据,并组帧加密发送至服务器,同时每次传输新帧时,利用第二存储单元中的旧签名和新帧数据组合,通过私钥生成新签名,并将其更新至第二存储单元中,更新公式如下:
其中snew为新签名,SHA256(Message)为发送的数据帧Message的哈希运算结果,ps为私钥,x为有限域soldG(x,y)上的x的值,sold为旧签名;
步骤5:设备每次上电工作前,检查EEPROM中的签名有效性,如果有效则进入系统正常工作,否则给出无效提示。
2.根据权利要求1所述的用于水质在线监测的远程数据网关加密方法,其特征在于,所述步骤1中,所用椭圆曲线为Secp256k1,其公式如下:
y2mod p=(x3+7)mod p (1)
mod p表明曲线是在素数p的限定域中的,p的取值为p=2256-232-29-28-27-26-24-1;
满足上述公式的点就记为GF(x,y)。
3.根据权利要求1所述的用于水质在线监测的远程数据网关加密方法,其特征在于,所述步骤1中随机数k生成范围是0~2256-1。
4.根据权利要求1所述的用于水质在线监测的远程数据网关加密方法,其特征在于,所述步骤5中检查签名的方法如下:
根据系统存储的上一条Message计算SHA256(Message),使用公钥K计算hG/s+xK/s并与soldG比较,如相等则验证成功。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910147068.5A CN109787765B (zh) | 2019-02-27 | 2019-02-27 | 一种用于水质在线监测的远程数据网关加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910147068.5A CN109787765B (zh) | 2019-02-27 | 2019-02-27 | 一种用于水质在线监测的远程数据网关加密方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109787765A CN109787765A (zh) | 2019-05-21 |
CN109787765B true CN109787765B (zh) | 2022-02-15 |
Family
ID=66487235
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910147068.5A Active CN109787765B (zh) | 2019-02-27 | 2019-02-27 | 一种用于水质在线监测的远程数据网关加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109787765B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006077820A1 (ja) * | 2005-01-24 | 2006-07-27 | Matsushita Electric Industrial Co., Ltd. | 署名生成装置、鍵生成装置及び署名生成方法 |
US8393001B1 (en) * | 2002-07-26 | 2013-03-05 | Mcafee, Inc. | Secure signature server system and associated method |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140173287A1 (en) * | 2011-07-11 | 2014-06-19 | Takeshi Mizunuma | Identifier management method and system |
DE102015209116A1 (de) * | 2015-05-19 | 2016-11-24 | Robert Bosch Gmbh | Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes |
CN106452785B (zh) * | 2016-09-29 | 2019-05-17 | 财付通支付科技有限公司 | 区块链网络、分支节点及区块链网络应用方法 |
CN106910066A (zh) * | 2017-01-22 | 2017-06-30 | 武汉慧通云信息科技有限公司 | 一种基于区块链技术的支付加密存储系统及方法 |
CN108919737B (zh) * | 2018-06-29 | 2020-03-24 | 河南聚合科技有限公司 | 一种可远程监控的气水暖电供应及污水处理的运维系统 |
CN108964916B (zh) * | 2018-08-03 | 2021-07-16 | 中思博安科技(北京)有限公司 | 签名生成方法、生成装置、签名验证方法和验证装置 |
CN109242491A (zh) * | 2018-08-31 | 2019-01-18 | 深圳付贝科技有限公司 | 挖矿身份认证方法、挖矿机及区块链系统 |
CN109194466B (zh) * | 2018-10-29 | 2021-07-06 | 南开大学 | 一种基于区块链的云端数据完整性检测方法及系统 |
-
2019
- 2019-02-27 CN CN201910147068.5A patent/CN109787765B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8393001B1 (en) * | 2002-07-26 | 2013-03-05 | Mcafee, Inc. | Secure signature server system and associated method |
WO2006077820A1 (ja) * | 2005-01-24 | 2006-07-27 | Matsushita Electric Industrial Co., Ltd. | 署名生成装置、鍵生成装置及び署名生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109787765A (zh) | 2019-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019127278A1 (zh) | 安全访问区块链的方法、装置、系统、存储介质及电子设备 | |
CA2838322C (en) | Secure implicit certificate chaining | |
CN114730420A (zh) | 用于生成签名的系统和方法 | |
JP2001051596A (ja) | データ生成装置およびデータ検証装置ならびにその方法 | |
CN110958219B (zh) | 一种面向医疗云共享数据的sm2代理重加密方法与装置 | |
CN105790938A (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
CN101005361A (zh) | 一种服务器端软件保护方法及系统 | |
CN106850207B (zh) | 无ca的身份认证方法和系统 | |
CN101340285A (zh) | 利用指纹USBkey进行身份验证的方法及系统 | |
CN110943976A (zh) | 一种基于口令的用户签名私钥管理方法 | |
WO2015003503A1 (zh) | 一种提高信息安全性的方法、终端设备及网络设备 | |
CN108830983A (zh) | 一种基于区块链的门禁系统及其工作方法 | |
CN107995148B (zh) | 文件防篡改的方法、系统、终端和可信云平台 | |
CN101009562A (zh) | 提高智能密钥设备安全性的方法和系统 | |
CN113672957B (zh) | 埋点数据的处理方法、装置、设备及存储介质 | |
WO2023050557A1 (zh) | 一种零知识证明等区块链身份认证及隐私保护核心技术 | |
CN103701598A (zh) | 一种基于sm2签名算法的复核签名方法和数字签名设备 | |
CN112487380B (zh) | 一种数据交互方法、装置、设备及介质 | |
US20190296911A1 (en) | Secure network communication method | |
CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其系统 | |
CN110971574A (zh) | 一种登录车载系统方法、装置、系统和存储介质 | |
CN111884814B (zh) | 一种用于智能终端防伪造的方法和系统 | |
CN115396121A (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
CN110990814A (zh) | 一种可信数字身份认证方法、系统、设备及介质 | |
CN103973703A (zh) | 一种用于应用程序和服务器之间交换数据安全的请求方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |