CN110401528B - 一种现场总线信道加密设备密钥管理方法 - Google Patents

一种现场总线信道加密设备密钥管理方法 Download PDF

Info

Publication number
CN110401528B
CN110401528B CN201910639109.2A CN201910639109A CN110401528B CN 110401528 B CN110401528 B CN 110401528B CN 201910639109 A CN201910639109 A CN 201910639109A CN 110401528 B CN110401528 B CN 110401528B
Authority
CN
China
Prior art keywords
equipment
channel encryption
channel
encryption equipment
field bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910639109.2A
Other languages
English (en)
Other versions
CN110401528A (zh
Inventor
傅晓
王志坚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hohai University HHU
Original Assignee
Hohai University HHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hohai University HHU filed Critical Hohai University HHU
Priority to CN201910639109.2A priority Critical patent/CN110401528B/zh
Publication of CN110401528A publication Critical patent/CN110401528A/zh
Priority to PCT/CN2020/085964 priority patent/WO2021008181A1/zh
Application granted granted Critical
Publication of CN110401528B publication Critical patent/CN110401528B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Abstract

本发明提供一种现场总线信道加密设备密钥管理方法,通过对于接入现场总线的信道加密设备进行密钥分配、更新及移除,实现去中心化的分布式密钥管理。在现场总线中,无需建立单独的公钥基础设施(Public Key Infrastructure)与认证中心(Certificate Authority),即可实现信道接入设备的身份认证,具有访问效率高、时间开销小、兼容性强的优点。无需对现有总线型网络拓扑结构进行改造,能够有效预防未经授权的非法设备在现场总线的信道上监听、拦截、篡改数据监测及控制信息,对于中间人攻击具有较高的抵抗能力。能够降低在水利、智能制造、环境监测等行业的自动化控制系统中,因现场总线信道受到侵入而产生的安全风险,对于国民经济领域中关键性基础设施提供可靠的安全保障。

Description

一种现场总线信道加密设备密钥管理方法
技术领域
本发明属于信息技术领域,尤其涉及一种现场总线信道加密设备密钥管理方法。
背景技术
在我国现有的工业互联网系统中,上位机与下位机之间绝大部分使用现场总线网络实现数据通信,通信协议多为Modbus。Modbus应用数据单元(ADU)的结构在系统安全性方面存在较高的脆弱性:其中的协议数据单元(PDU)以明文传输,缺乏保密性;完整性校验机制过于简单,易被篡改;对重放攻击没有任何抵抗性。为了针对现场总线网络中由于上述脆弱性导致的安全风险,可通过在上位机、下位机等自动化控制设备,与现场总线之间部署信道加密设备,实现ADU的安全传输。如何对此类加密设备的密钥进行管理,目前是一个较为重要的问题。
由于总线型网络的信道共享特性,以及自动化控制设备较低的通信速率,在现场总线中建立单独的公钥基础设施(PKI)和认证中心(CA)实现中心化的密钥分配与管理,将会对系统的效率产生较大影响,甚至有可能造成可用性的降低。
因此,如何在保证系统效率和可用性的前提下,设计一套去中心化的现场总线信道加密设备密钥管理方法,实现便捷、高效的密钥分配、更新及移除,提高对于中间人攻击的抵抗能力,预防未经授权的非法设备在现场总线的信道上监听、拦截、篡改数据监测及控制信息,降低在水利、智能制造、环境监测等行业的自动化控制系统中因现场总线信道受到侵入而产生的安全风险,对于国民经济领域中关键性基础设施提供可靠的安全保障,是一个具有较高学术及应用价值的课题。
发明内容
发明目的:针对以上问题,本发明提出一种现场总线信道加密设备密钥管理方法,实现去中心化的分布式加密设备密钥管理功能。
技术方案:为实现本发明的目的,本发明所采用的技术方案是:一种现场总线信道加密设备密钥管理方法,包括如下步骤:
S1:设自动化控制系统的某一条现场总线FB,在自动化控制设备与现场总线的网络物理接口之间接入信道加密设备,对信道加密设备进行初始化,初始化过程包括信道加密设备密钥生成及信道加密设备预分配;
S2:当现场总线FB上的自动化控制设备DD的地址码发生变化,对自动化控制设备DD所连接的信道加密设备密钥进行更新,更新过程包括生成该信道加密设备新密钥,撤销原密钥以及信道加密设备预分配;
S3:当现场总线FB上的自动化控制设备DD暂时或永久性地断开与现场总线FB上其他设备的逻辑连接,对该自动化控制设备DD所连接的信道加密设备中的密钥进行移除处理,移除过程包括该信道加密设备的密钥重置,并将该信道加密设备原密钥从现场总线FB上的其他每一台信道加密设备中删除。
进一步,步骤S1所述对信道加密设备进行初始化;方法如下:
使用信道加密设备内置的非对称加密模块,生成一个非对称密钥对PRK、PUK,其对应的非对称加密算法包括但不限于RSA、ECC、SM2;设PRK为私钥,PUK为公钥;设信道加密设备连接的自动化控制设备的地址码为DADR;
将PRK、DADR作为一个二元组,写入信道加密设备的存储器中,该存储器包括但不限于NAND Flash、eMMC;将PUK、DADR作为一个二元组,导出至移动设备MD中,以备预分配阶段使用,移动设备MD的形态包括但不限于移动硬盘、U盘、SD卡;
完成现场总线FB上所有信道加密设备的密钥生成后,对每一台信道加密设备分别执行预分配操作,预分配完成后,初始化过程结束。
进一步,对现场总线FB上的每一台信道加密设备分别执行预分配操作;方法如下:
若信道加密设备连接的自动化控制设备为主设备(Master),将现场总线FB上所有连接其他从设备(Slave)的信道加密设备中导出至移动设备MD的二元组PUK、DADR,分别写入与主设备连接的该信道加密设备的存储器中;
若信道加密设备连接的自动化控制设备为从设备(Slave),将现场总线FB上唯一的连接主设备(Master)的信道加密设备中导出至移动设备MD的二元组PUK、DADR,写入与从设备连接的该信道加密设备的存储器中。
进一步,步骤S2所述当现场总线FB上的自动化控制设备DD的地址码发生变化,对自动化控制设备DD所连接的信道加密设备密钥进行更新;设自动化控制设备DD的原地址码为DADR,对于其连接的信道加密设备,更新方法如下:
S2.1:使用该信道加密设备内置的非对称加密模块,重新生成该信道加密设备的一个密钥对PRK_NEW和PUK_NEW,其对应的非对称加密算法包括但不限于RSA、ECC、SM2;设PRK_NEW为私钥,PUK_NEW为公钥;设自动化控制设备DD的新地址码为DADR_NEW;
将PRK_NEW、DADR_NEW作为一个二元组,写入该信道加密设备的存储器中,并覆盖该信道加密设备的原二元组PRK、DADR;将PUK_NEW、DADR_NEW作为一个二元组,导出至移动设备MD,并覆盖MD中已存储的该信道加密设备的原二元组PUK、DADR,以备预分配阶段使用,移动设备MD的形态包括但不限于移动硬盘、U盘、SD卡;
S2.2:完成该信道加密设备的新密钥生成后,对现场总线FB上其他每一台信道加密设备分别执行撤销该信道加密设备原密钥操作,若现场总线FB上其他信道加密设备的存储器中存在已写入的该信道加密设备的原二元组PUK、DADR,将该二元组删除;
S2.3:完成所有其他信道加密设备对该信道加密设备原密钥的撤销后,对该信道加密设备执行预分配操作;
若该信道加密设备所连接的地址码发生变化的自动化控制设备DD为主设备(Master),将该信道加密设备导出至移动设备MD的二元组PUK_NEW、DADR_NEW,分别写入现场总线FB上所有连接其他从设备(Slave)的信道加密设备的存储器中;
若该信道加密设备所连接的地址码发生变化的自动化控制设备DD为从设备(Slave),将该信道加密设备导出至移动设备MD的二元组PUK_NEW、DADR_NEW,写入现场总线FB上唯一的连接主设备(Master)的信道加密设备的存储器中;
S2.4:步骤S2.3执行预分配完成后,更新过程结束。
进一步,步骤S3所述当现场总线FB上的自动化控制设备DD暂时或永久性地断开与现场总线FB上其他设备的逻辑连接,将该自动化控制设备DD所连接的信道加密设备中的密钥进行移除;设该自动化控制设备DD的原地址码为DADR,对于与其连接的信道加密设备,移除方法如下:
S3.1:若该信道加密设备的存储器中存在已写入的二元组PRK、DADR,将该二元组删除,将该信道加密设备的存储器重置为原始状态;
S3.2:该信道加密设备重置完成后,对现场总线FB上其他每一台信道加密设备分别执行撤销该信道加密设备原密钥操作;若其他信道加密设备的存储器中存在已写入的该信道加密设备的原二元组PUK、DADR,将该二元组删除;
S3.3:完成所有其他信道加密设备对该信道加密设备原密钥的撤销后,移除过程结束。
有益效果:与现有技术相比,本发明的技术方案具有以下有益的技术效果:
本发明通过密钥离线分配、更新及移除的方法,实现了现场总线信道加密设备密钥去中心化的分布式管理。在现有自动化控制系统的现场总线网络中,无需建立单独的公钥基础设施(Public Key Infrastructure)与认证中心(Certificate Authority),即可实现信道接入设备的身份认证,具有访问效率高、时间开销小、兼容性强的优点。无需对现有总线型网络拓扑结构进行改造,能够有效预防未经授权的非法设备在现场总线的信道上监听、拦截、篡改数据监测及控制信息,对于中间人攻击具有较高的抵抗能力。能够降低在水利、智能制造、环境监测等行业的自动化控制系统中,因现场总线信道受到侵入而产生的安全风险,对于国民经济领域中关键性基础设施提供可靠的安全保障。
附图说明
图1是本发明方法层次结构图;
图2是本发明初始化流程图;
图3是本发明更新流程图;
图4是本发明移除流程图。
具体实施方式
下面结合附图和实施例对本发明的技术方案作进一步的说明。
设某自动化控制系统中,一条现场总线FB上,分别存在自动化控制设备D1、D2、D3,其中D1为上位机,设为master模式,地址为0x01;D2、D3为下位机,设为slave模式,地址分别为0x02、0x03。自动化控制设备D1、D2、D3均直接连接至现场总线FB,与现场总线FB之间未部署任何信道加密设备。
本实施例所述的一种现场总线信道加密设备密钥管理方法,如图1所示,包括以下步骤:
S1:将新的信道加密设备ND1、ND2、ND3分别部署至自动化控制设备D1、D2、D3与现场总线FB之间,依次对ND1、ND2、ND3执行以下操作:
使用ND1内置的非对称加密模块,生成一个非对称密钥对PRK1、PUK1,其对应的非对称加密算法为SM2。设PRK1为私钥,PUK1为公钥。ND1连接的自动化控制设备D1的地址码DADR1为0x01,将PRK1、DADR1作为一个二元组,写入ND1的存储器中,该存储器为NANDFlash。将PUK1、DADR1作为一个二元组,导出至移动设备MD中,移动设备MD的形态为U盘。
使用ND2内置的非对称加密模块,生成一个非对称密钥对PRK2、PUK2,其对应的非对称加密算法为SM2。设PRK2为私钥,PUK2为公钥。ND2连接的自动化控制设备D2的地址码DADR2为0x02,将PRK2、DADR2作为一个二元组,写入ND2的存储器中,该存储器为NANDFlash。将PUK2、DADR2作为一个二元组,导出至移动设备MD中。
使用ND3内置的非对称加密模块,生成一个非对称密钥对PRK3、PUK3,其对应的非对称加密算法为SM2。设PRK3为私钥,PUK3为公钥。ND3连接的自动化控制设备D3的地址码DADR3为0x03,将PRK3、DADR3作为一个二元组,写入ND3的存储器中,该存储器为NANDFlash。将PUK3、DADR3作为一个二元组,导出至移动设备MD中。
ND1连接的自动化控制设备D1为主设备(Master),将现场总线FB上所有连接其他从设备(Slave)D2、D3的信道加密设备ND2、ND3中导出至移动设备MD的二元组PUK2、DADR2和PUK3、DADR3,分别写入ND1的存储器中。
ND2连接的自动化控制设备D2为从设备(Slave),将现场总线FB上唯一的连接主设备(Master)D1的信道加密设备ND1中导出至移动设备MD的二元组PUK1、DADR1,写入ND2的存储器中。
ND3连接的自动化控制设备D3为从设备(Slave),将现场总线FB上唯一的连接主设备(Master)D1的信道加密设备ND1中导出至移动设备MD的二元组PUK1、DADR1,写入ND3的存储器中。
此时,初始化过程结束,ND1、ND2、ND3的存储器中均写入了自己的私钥。其中,ND1的存储器中写入了ND2、ND3的地址与公钥,ND2、ND3的存储器中写入了ND1的地址与公钥。因此,ND1可以分别与ND2、ND3进行数据通信,ND2与ND3之间由于缺少对方的公钥,无法进行数据通信,实现了从设备间的通信数据隔离。初始化流程如图2所示。
S2:当现场总线FB上的自动化控制设备D2因故障需要更换,更换后的新设备D2的地址码从0x02变为0x04,对于已部署在D2和FB之间的ND2,依次执行以下操作:
使用ND2内置的非对称加密模块,重新生成一个非对称密钥对PRK4、PUK4,其对应的非对称加密算法为SM2。设PRK4为私钥,PUK4为公钥。ND2连接的新设备D2的新地址码DADR4为0x04,将PRK4、DADR4作为一个二元组,写入ND2的存储器中,并覆盖原二元组PRK2、DADR2。将PUK4、DADR4作为一个二元组,导出至移动设备MD,并覆盖MD中已存储的原二元组PUK2、DADR2。
然后,依次在ND1、ND3的存储器中查找ND2的原二元组PUK2、DADR2,由于ND1的存储器中已写入该二元组,故需要执行撤销ND2原密钥操作,将ND1存储器中的该二元组进行删除。
最后,执行预分配操作。由于自动化控制设备D2为从设备(Slave),将导出至移动设备MD的二元组PUK4、DADR4,写入现场总线FB上唯一的连接主设备(Master)D1的信道加密设备ND1的存储器中。
此时,更新过程结束。原设备D2的PRK2、PUK2均被从信道加密设备ND2的存储器中移除,即使将原设备D2通过信道加密设备ND2连接现场总线FB,也无法与主设备D1进行通信。新设备D2可以正常与主设备D1进行通信。更新流程如图3所示。
S3:当现场总线FB上的自动化控制设备D3报废,需要永久性地断开与D1、D2的逻辑连接,对于已部署在D3和FB之间的信道加密设备ND3,依次执行以下操作:
由于ND3的存储器中存在已写入的二元组PRK3、DADR3,先将该二元组删除,然后将ND3的存储器重置为初始化过程之前的状态。
与主设备D1连接的信道加密设备ND1的存储器中存在已写入的ND3的原二元组PUK3、DADR3,将该二元组删除。
此时,移除过程结束。ND1、ND2、ND3中均不存在PRK3、PUK3,D3无法与D1进行任何数据通信。此时,即使报废后的D3被恶意攻击者获取,接入信道加密设备ND3后也不能对现场总线FB上的D1、D2进行攻击。若需要将新的自动化控制设备与信道加密设备ND3连接并接入现场总线FB时,则需要重新对信道加密设备ND1、ND2、ND3进行初始化。移除流程如图4所示。
实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。

Claims (5)

1.一种现场总线信道加密设备密钥管理方法,其特征在于:该方法包括如下步骤:
S1:对于自动化控制系统的一条现场总线,在自动化控制设备与现场总线的网络物理接口之间接入信道加密设备,对信道加密设备进行初始化;初始化过程包括信道加密设备密钥生成及信道加密设备预分配;
初始化方法如下:
使用信道加密设备内置的非对称加密模块,生成一个非对称密钥对PRK、PUK;设PRK为私钥,PUK为公钥;设信道加密设备连接的自动化控制设备的地址码为DADR;
将PRK、DADR作为一个二元组,写入信道加密设备的存储器中;将PUK、DADR作为一个二元组,导出至移动设备MD中;
完成现场总线上所有信道加密设备的密钥生成后,对每一台信道加密设备分别执行预分配操作,预分配完成后,初始化过程结束;
信道加密设备预分配方法如下:
若该信道加密设备连接的自动化控制设备为主设备(Master),将现场总线上所有连接其他从设备(Slave)的信道加密设备中导出至移动设备MD的二元组PUK、DADR,分别写入与主设备连接的该信道加密设备的存储器中;
若该信道加密设备连接的自动化控制设备为从设备(Slave),将现场总线上唯一的连接主设备(Master)的信道加密设备中导出至移动设备MD的二元组PUK、DADR,写入与从设备连接的该信道加密设备的存储器中;
S2:当现场总线上的自动化控制设备的地址码发生变化,对该自动化控制设备所连接的信道加密设备密钥进行更新处理;更新过程包括生成该信道加密设备新密钥,撤销原密钥以及信道加密设备预分配;
S3:当现场总线上的自动化控制设备暂时或永久性地断开与现场总线上其他设备的逻辑连接,对该自动化控制设备所连接的信道加密设备中的密钥进行移除处理;移除过程包括该信道加密设备的密钥重置,并将该信道加密设备原密钥从现场总线上的其他每一台信道加密设备中删除。
2.根据权利要求1所述的一种现场总线信道加密设备密钥管理方法,其特征在于:步骤S2所述当现场总线上的自动化控制设备的地址码发生变化,对自动化控制设备所连接的信道加密设备密钥进行更新;设自动化控制设备的原地址码为DADR,对于其连接的信道加密设备,更新方法如下:
S2.1:使用该信道加密设备内置的非对称加密模块,重新生成该信道加密设备的一个非对称密钥对PRK_NEW和PUK_NEW;设PRK_NEW为私钥,PUK_NEW为公钥;设自动化控制设备的新地址码为DADR_NEW;
将PRK_NEW、DADR_NEW作为一个二元组,写入该信道加密设备的存储器中,并覆盖该信道加密设备的原二元组PRK、DADR;将PUK_NEW、DADR_NEW作为一个二元组,导出至移动设备MD,并覆盖MD中已存储的该信道加密设备的原二元组PUK、DADR;
S2.2:完成该信道加密设备的新密钥生成后,对现场总线上其他每一台信道加密设备分别执行撤销该信道加密设备原密钥操作,若现场总线上其他信道加密设备的存储器中存在已写入的该信道加密设备的原二元组PUK、DADR,将该二元组删除;
S2.3:完成所有其他信道加密设备对该信道加密设备原密钥的撤销后,对该信道加密设备执行预分配操作;
若该信道加密设备所连接的地址码发生变化的自动化控制设备为主设备(Master),将该信道加密设备导出至移动设备MD的二元组PUK_NEW、DADR_NEW,分别写入现场总线上所有连接其他从设备(Slave)的信道加密设备的存储器中;
若该信道加密设备所连接的地址码发生变化的自动化控制设备为从设备(Slave),将该信道加密设备导出至移动设备MD的二元组PUK_NEW、DADR_NEW,写入现场总线上唯一的连接主设备(Master)的信道加密设备的存储器中;
S2.4:步骤S2.3执行预分配完成后,更新过程结束。
3.根据权利要求1所述的一种现场总线信道加密设备密钥管理方法,其特征在于:步骤S3所述当现场总线上的自动化控制设备暂时或永久性地断开与现场总线上其他设备的逻辑连接,对该自动化控制设备所连接的信道加密设备中的密钥进行移除处理;设该自动化控制设备的原地址码为DADR,对于与其连接的信道加密设备,移除方法如下:
S3.1:若该信道加密设备的存储器中存在已写入的二元组PRK、DADR,将该二元组删除,将该信道加密设备的存储器重置为原始状态;
S3.2:该信道加密设备重置完成后,对现场总线上其他每一台信道加密设备分别执行撤销该信道加密设备原密钥操作;若其他信道加密设备的存储器中存在已写入的该信道加密设备的原二元组PUK、DADR,将该二元组删除;
S3.3:完成所有其他信道加密设备对该信道加密设备原密钥的撤销后,移除过程结束。
4.根据权利要求1-3任一所述的一种现场总线信道加密设备密钥管理方法,其特征在于:使用信道加密设备内置的非对称加密模块,生成一个非对称密钥对PRK、PUK,其对应的非对称加密算法包括RSA、ECC和SM2。
5.根据权利要求1-3任一所述的一种现场总线信道加密设备密钥管理方法,其特征在于:信道加密设备的存储器包括NAND Flash和eMMC;移动设备MD的形态包括移动硬盘、U盘和SD卡。
CN201910639109.2A 2019-07-16 2019-07-16 一种现场总线信道加密设备密钥管理方法 Active CN110401528B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910639109.2A CN110401528B (zh) 2019-07-16 2019-07-16 一种现场总线信道加密设备密钥管理方法
PCT/CN2020/085964 WO2021008181A1 (zh) 2019-07-16 2020-04-21 一种现场总线信道加密设备密钥管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910639109.2A CN110401528B (zh) 2019-07-16 2019-07-16 一种现场总线信道加密设备密钥管理方法

Publications (2)

Publication Number Publication Date
CN110401528A CN110401528A (zh) 2019-11-01
CN110401528B true CN110401528B (zh) 2021-09-28

Family

ID=68325606

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910639109.2A Active CN110401528B (zh) 2019-07-16 2019-07-16 一种现场总线信道加密设备密钥管理方法

Country Status (2)

Country Link
CN (1) CN110401528B (zh)
WO (1) WO2021008181A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110401528B (zh) * 2019-07-16 2021-09-28 河海大学 一种现场总线信道加密设备密钥管理方法
CN110493257A (zh) * 2019-09-06 2019-11-22 江苏省水文水资源勘测局 一种水利工业控制系统加密设备中会话密钥管理方法
CN114389879A (zh) * 2022-01-13 2022-04-22 重庆东电通信技术有限公司 一种物联网终端数据管控系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8472627B2 (en) * 2000-10-30 2013-06-25 Geocodex Llc System and method for delivering encrypted information in a communication network using location indentity and key tables
CN104850091A (zh) * 2014-02-14 2015-08-19 基岩自动化平台公司 用于工业控制系统的安全电源
CN105531635A (zh) * 2013-08-06 2016-04-27 基岩自动化平台公司 安全工业控制系统
CN108650096A (zh) * 2018-04-23 2018-10-12 广东水利电力职业技术学院(广东省水利电力技工学校) 一种工业现场总线控制系统
US10320843B1 (en) * 2017-12-08 2019-06-11 Symbiont.Io, Inc. Methods, systems, and devices for encrypted electronic storage and confidential network transfer of private data through a trustless distributed ledger technology system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231690A (zh) * 2011-03-31 2011-11-02 华立仪表集团股份有限公司 一种公用事业仪表远程抄表方法
US9369279B2 (en) * 2013-09-23 2016-06-14 Venafi, Inc. Handling key rotation problems
US10523435B2 (en) * 2015-07-20 2019-12-31 Digicert, Inc. Mutable fields in digital certificates
CN106790053B (zh) * 2016-12-20 2019-08-27 江苏大学 一种can总线中ecu安全通信的方法
CN110401528B (zh) * 2019-07-16 2021-09-28 河海大学 一种现场总线信道加密设备密钥管理方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8472627B2 (en) * 2000-10-30 2013-06-25 Geocodex Llc System and method for delivering encrypted information in a communication network using location indentity and key tables
CN105531635A (zh) * 2013-08-06 2016-04-27 基岩自动化平台公司 安全工业控制系统
CN104850091A (zh) * 2014-02-14 2015-08-19 基岩自动化平台公司 用于工业控制系统的安全电源
US10320843B1 (en) * 2017-12-08 2019-06-11 Symbiont.Io, Inc. Methods, systems, and devices for encrypted electronic storage and confidential network transfer of private data through a trustless distributed ledger technology system
CN108650096A (zh) * 2018-04-23 2018-10-12 广东水利电力职业技术学院(广东省水利电力技工学校) 一种工业现场总线控制系统

Also Published As

Publication number Publication date
WO2021008181A1 (zh) 2021-01-21
CN110401528A (zh) 2019-11-01

Similar Documents

Publication Publication Date Title
CN109274524B (zh) 一种基于联盟区块链的设备管理与共享系统
CN110401528B (zh) 一种现场总线信道加密设备密钥管理方法
WO2021042735A1 (zh) 一种水利工业控制系统加密设备中会话密钥管理方法
CN106982136B (zh) 一种多域分层的多域物联网平台及多域管理方法
CN107947357B (zh) 一种基于安全接入区的配电自动化数据采集装置及方法
CN110784495B (zh) 基于区块链的大数据集群系统的发现与配置信息管理方法
CN112134956A (zh) 一种基于区块链的分布式物联网指令管理方法和系统
CN112686668A (zh) 联盟链跨链系统及方法
CN112235193B (zh) 基于跨网络多级路由的数据传输方法、装置、设备和介质
CN105610837A (zh) 用于scada系统主站与从站间身份认证的方法及系统
CN108073823A (zh) 数据处理方法、装置及系统
CN105471901A (zh) 一种工业信息安全认证系统
CN110557244B (zh) 一种水利工业控制系统中应用数据单元加密方法
CN111008384A (zh) 人工智能平台配置文件加密方法、系统、终端及存储介质
CN113067861A (zh) 基于区块链的分布式可扩展访问控制授权系统和方法
CN109547408B (zh) 一种基于区块链管理的基站动环信息监控方法
CN114066182A (zh) 继电保护定值管理智能合约方法、系统、设备及存储介质
CN106162553B (zh) 拓扑结构无关的ZigBee物理位置标识系统及方法
CN102291254A (zh) 一种应用系统的子系统之间的通信管理方法
CN107426116A (zh) 集成安全管理交换机
CN104113535B (zh) 身份标志更新方法、系统、管理服务器和接入设备
CN207427190U (zh) 电源分立的安全管理交换机
CN207083107U (zh) 集成安全管理交换机
CN220359171U (zh) 车联网安全加密系统
CN109302373A (zh) 一种用于新能源电站通信安全接入的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant