CN111049657B - 一种can总线网络设备节点访问权限管理方法及系统 - Google Patents
一种can总线网络设备节点访问权限管理方法及系统 Download PDFInfo
- Publication number
- CN111049657B CN111049657B CN201911258691.4A CN201911258691A CN111049657B CN 111049657 B CN111049657 B CN 111049657B CN 201911258691 A CN201911258691 A CN 201911258691A CN 111049657 B CN111049657 B CN 111049657B
- Authority
- CN
- China
- Prior art keywords
- node
- information
- operator
- equipment node
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000007726 management method Methods 0.000 title claims description 55
- 238000000034 method Methods 0.000 claims abstract description 14
- 238000004891 communication Methods 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 238000009432 framing Methods 0.000 abstract description 3
- 230000000694 effects Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种CAN总线网络设备节点访问权限管理方法及系统,涉及信息安全技术领域,其对设备节点的访问权限进行分级式管理,不同权限的操作员分别持有自己的操作员许可证,可以作为CAN总线网络的其中一个节点接入网络,对网络中不同节点下的设备进行安全访问、管理,同时设备节点会记录操作员的操作日志,采用数字签名+动态令牌+双重安全认证的方法确保了CAN总线网络设备节点对操作员的身份认证,也保证数据在分帧传输过程中不被仿冒和篡改。
Description
技术领域
本发明涉及信息安全技术领域,具体而言,涉及一种CAN总线网络设备节点访问权限管理方法及系统。
背景技术
CAN总线是工业控制中的常见总线形式,广泛应用于汽车、厂矿、楼宇自动化等行业的数据传输和设备控制中,同一组CAN总线网络可以控制多个不同的设备,根据设备的重要性、功能或者设备所处区域的不同,管理员会针对不同的操作员开放不同等级的控制权限。在这个过程中其总线数据和控制指令容易被监听和非法控制,存在一定的安全隐患,如果总线网络中的重要设备被非法控制,可能会带来严重的后果。例如在工业车间中的工业设备的随意启停,会对安全生产和生命财产安全造成严重的影响。为解决这一安全隐患,现有技术通常采用了密码系统,即在同一软硬件平台下,给不同的人员分配不同的密码,人员输入密码后,CAN总线控制器比对输入的密码,完成安全认证,开放相应的控制权限。但是方法仍然存在缺陷,主要体现在:使用者可以监听总线上的密码数据,记录后在总线上回放便可形成对CAN总线节点设备的控制权。
发明内容
本发明在于提供一种CAN总线安全认证系统、节点设备访问权限管理方法,其能够缓解上述问题。
为了缓解上述的问题,本发明采取的技术方案如下:
第一方面,本发明提供了一种CAN总线网络设备节点访问权限管理方法,包括以下步骤:
S1、系统管理员在管理员计算机上运行权限管理软件,根据操作员安全级别生成权限管理文件Ⅰ,使用私钥1将所述权限管理文件Ⅰ加密生成操作员许可证;
S2、根据所述操作员许可证获取操作许可,向设备节点索取动态令牌;
S3、设备节点产生随机动态令牌,将随机动态令牌存入本地的SRAM地址段Ⅰ;
S4、将随机动态令牌、操作员许可证和操作码一起进行数字签名以形成信息摘要Ⅰ,通过公钥2对信息摘要Ⅰ进行加密并生成数字签名Ⅰ;
S5、设备节点将操作员许可证存入本地的SRAM地址段Ⅱ,将操作码存入本地的SRAM地址段Ⅲ,将数字签名Ⅰ存入本地的SRAM地址段Ⅳ;
S6、设备节点读取SRAM地址段Ⅰ、SRAM地址段Ⅱ和SRAM地址段Ⅲ中的内容并通过计算得到信息摘要Ⅱ;
S7、设备节点读取SRAM地址段Ⅳ中的内容,利用私钥2解密得到所述信息摘要Ⅰ;
S8、进行第一层安全认证,设备节点将信息摘要Ⅱ和信息摘要Ⅰ进行对比,若信息摘要Ⅱ和信息摘要Ⅰ的信息帧来源于同一个节点,则第一层安全认证通过,继续执行步骤S9,否则第一层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
S9、进行第二层安全认证,设备节点读取SRAM地址段Ⅰ中的内容,并利用公钥1解密获取权限管理文件Ⅱ,解析权限管理文件Ⅱ的内容,如果解析得到的权限管理文件Ⅱ的内容遵循权限管理文件Ⅰ的格式,则第二层安全认证通过,继续执行步骤S10,否则第二层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
S10、设备节点按操作码所设置的参数投入使用,并在日志中记录本次操作信息。
本技术方案的技术效果是:该方法为一种分级式管理方法,采用数字签名+动态令牌+双重安全认证的方法确保了CAN总线网络设备节点对操作员的身份认证,也保证数据在分帧传输过程中不被仿冒和篡改;不同权限的操作员分别持有自己的操作员许可证,可以作为CAN总线网络的其中一个节点接入网络,对网络中不同设备节点下的设备进行安全访问、管理,同时设备节点会记录操作员的操作日志。
可选地,所述操作码为设备节点的设备控制参数。
可选地,所述步骤S4中获取信息摘要Ⅰ时与所述步骤S6中获取信息摘要Ⅱ时均采用相同的哈希函数进行计算。
本技术方案的技术效果是:保证操作员节点和相应的设备节点的“动态令牌+用户许可证+操作码”内容是完全相同的,没被仿冒和篡改。
可选地,所述步骤S8中,若信息摘要Ⅱ和信息摘要Ⅰ完全相同,则信息摘要Ⅱ和信息摘要Ⅰ的信息帧来源于同一个节点。
可选地,所述步骤S10中的操作信息指的是操作时间、操作员ID和操作码。
本技术方案的技术效果是:以便具有特权的某类操作员(如系统管理员)能够读取设备节点日志,获取设备的操作情况。
第二方面,本发明提供了一种CAN总线网络设备节点访问权限管理系统,包括:
管理员计算机,其用于执行步骤S1;
操作员节点,其用于执行步骤S2、S4;
设备节点,其用于执行步骤S3、S5、S6、S7、S8、S9、S10;
CAN总线,其同时与所述操作员节点和所述设备节点连接,用于实现所述操作员节点和所述设备节点之间的通信。
本技术方案的技术效果是:提供了一种实现CAN总线网络设备节点访问权限管理方法的系统,通过CAN总线能够实现多个操作员节点和多个设备节点的通信,能够实现对CAN总线网络中不同设备节点下的设备进行安全访问、管理。
可选地,所述操作员节点为安装有设备节点管理软件的终端设备,其通过USB转CAN适配器接入所述CAN总线,所述设备节点连接有若干设备。
本技术方案的技术效果是:操作员节点可以方便地接入CAN网络,对设备进行操作管理。
可选地,所述终端设备为带有USB接口的台式计算机或者便携式移动终端,所述便携式移动终端为智能手机或平板电脑。
可选地,所述设备节点管理软件为SJC_Client960W或SJC_Client960A,所述权限管理软件为SJC_Admin960。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举本发明实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是实施例中所述CAN总线网络设备节点访问权限管理方法的流程图;
图2是实施例中的CAN设备权限管理文件格式示意图;
图3是实施例中的工业车间CAN总线网络拓扑图;
图4是实施例中的操作员节点示意图;
图5是实施例中的设备节点示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参照图1,本实施例提供了一种CAN总线网络设备节点访问权限管理方法,包括以下步骤:
S1、系统管理员在管理员计算机上运行权限管理软件,根据操作员安全级别生成权限管理文件Ⅰ,使用私钥1将权限管理文件Ⅰ加密生成操作员许可证;
S2、根据操作员许可证获取操作许可,向设备节点索取动态令牌;
S3、设备节点产生随机动态令牌,将随机动态令牌存入本地的SRAM地址段Ⅰ;
S4、将随机动态令牌、操作员许可证和操作码一起进行数字签名以形成信息摘要Ⅰ,通过公钥2对信息摘要Ⅰ进行加密并生成数字签名Ⅰ;
S5、设备节点将操作员许可证存入本地的SRAM地址段Ⅱ,将操作码存入本地的SRAM地址段Ⅲ,将数字签名Ⅰ存入本地的SRAM地址段Ⅳ;
S6、设备节点读取SRAM地址段Ⅰ、SRAM地址段Ⅱ和SRAM地址段Ⅲ中的内容并通过计算得到信息摘要Ⅱ;
S7、设备节点读取SRAM地址段Ⅳ中的内容,利用私钥2解密得到信息摘要Ⅰ;
S8、进行第一层安全认证,设备节点将信息摘要Ⅱ和信息摘要Ⅰ进行对比,若信息摘要Ⅱ和信息摘要Ⅰ的信息帧来源于同一个节点,则第一层安全认证通过,继续执行步骤S9,否则第一层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
S9、进行第二层安全认证,设备节点读取SRAM地址段Ⅰ中的内容,并利用公钥1解密获取权限管理文件Ⅱ,解析权限管理文件Ⅱ的内容,如果解析得到的权限管理文件Ⅱ的内容遵循权限管理文件Ⅰ的格式,则第二层安全认证通过,继续执行步骤S10,否则第二层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
S10、设备节点按操作码所设置的参数投入使用,并在日志中记录本次操作信息。
在本实施例的认证过程中,操作员不会直接接触任何密钥,即使公钥2被攻击者获取,因为没有私钥2也无法解密数字签名Ⅰ,这样既满足了操作员使用方便的同时,又确保密钥的安全性。
在本实施例的整个过程,还涉及两次加解密,为简化系统复杂度,本实施例采用同一种非对称密钥加密算法,只是采用了不同密钥对(公钥1和私钥1,公钥2和私钥2)。
在本实施例中,数字签名Ⅰ既用于操作员身份认证,也可以保证数据在通信网络分帧传输的过程中不被篡改。
在本实施例中,不需要为每位操作员提供不同的密钥对,只需要两个密钥对分别对不同的权限管理文件/操作员许可证和信息摘要/数字签名进行加、解密即可,避免了大量密钥的生成和管理。
在本实施例中,操作码可以为设备节点的设备控制参数。
操作码指令由3个字节数据组成,第一字节为设备类型(如风机为0xA0,温度传感器为0x10),第二、三字节为设备对应的控制指令。例如风机的启动控制指令为(0xA00001),读取温度指令(0x100001)。
在本实施例中,权限管理文件为64bit数据,图2示出了一种CAN设备权限管理文件格式,该权限管理文件描述了某位操作员对各类节点设备的管理权限。
如:0x9635070061A02380
0x96为权限管理文件固定的标识符,操作员ID为0x35,该操作员具有对二类设备状态参数的读权限(如读取机床的运行状态),和对三类设备指令参数的读写权限(如可读取和控制灯光的开关),0x61A02380表示该权限管理文件的有效期至2021年11月26日。
又如:0x9601AA0068124900
0x96为权限管理文件固定的标识符,操作员ID为0x01,该操作员可以读取、删除设备节点日志;可以读取所有类别的设备的状态参数,也可以更改所有类别设备控制指令;0x68124900表示该权限管理文件的有效期至2025年5月1日。
在本实施例中,步骤S4中获取信息摘要Ⅰ时与步骤S6中获取信息摘要Ⅱ时可以均采用相同的哈希函数进行计算。
在本实施例中的步骤S8中,若信息摘要Ⅱ和信息摘要Ⅰ完全相同,则表面信息摘要Ⅱ和信息摘要Ⅰ的信息帧来源于同一个节点。
在本实施例中,步骤S10中的操作信息指的是操作时间、操作员ID和操作码。
在本实施例中,步骤S9中是将,权限管理文件Ⅱ和权限管理文件Ⅰ的标识符和校验位进行比较,以判断权限管理文件Ⅱ的内容是否遵循权限管理文件Ⅰ。
实施例2
请参照图3、图4和图5,本实施例提供了一种CAN总线网络设备节点访问权限管理系统,包括:
管理员计算机,其用于执行步骤S1;
操作员节点,其用于执行步骤S2、S4;
设备节点,其用于执行步骤S3、S5、S6、S7、S8、S9、S10;
CAN总线,其同时与操作员节点和设备节点连接,用于实现操作员节点和设备节点之间的通信。
在本实施例中,设备节点管理软件为SJC_Client960W或SJC_Client960A,权限管理软件为SJC_Admin960。操作员通过设备节点管理软件的用户界面,导入用户许可证,设置操作码,与设备节点建立通信。
在本实施例中,可选地,所述操作员节点为安装有设备节点管理软件的终端设备,其通过USB转CAN适配器接入所述CAN总线,所述设备节点连接有若干设备,如温度传感器、风机、安全门开关、空调系统、机床、抽水电机、门禁系统、RFID采集设备、灯光管理设备等。
在本实施例中,终端设备为带有USB接口的台式计算机或者便携式移动终端,便携式移动终端可以为智能手机或平板电脑。
在本实施例中,管理员可根据不同类别的操作员(也可以是管理员自己)生成不同的权限管理文件(按一定的格式排列,包括操作员ID,各个节点设备的访问权限,比如,禁止访问、可读取状态参数、可更改控制参数等权限),如图3所示,并使用私钥1加密生成操作员许可证,然后提供给操作员节点。
在本实施例中,操作员节点的管理软件包括数字签名模块(内含公钥2)和通信模块。
在本实施例中,设备节点由CAN数据收发器、控制器及各类设备组成,其中控制器(MCU/DSP)是节点的主控单元,在安全认证过程中负责生成动态令牌、解密数字签名和操作员许可证、解析权限管理文件;ROM存放控制器的程序固件及公钥1和私钥2;SRAM是用于安全认证的1KB可读写的存贮器空间;根据控制器(MCU/DSP)的权限解析结果,控制该设备节点所有设备的访问权限。
在本实施例中,CAN总线在通过安全认证前,操作员节点只能对其它节点内的1KBSRAM具有可读写权限。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种CAN总线网络设备节点访问权限管理方法,其特征在于,包括以下步骤:
S1、系统管理员在管理员计算机上运行权限管理软件,根据操作员安全级别生成权限管理文件Ⅰ,使用私钥1将所述权限管理文件Ⅰ加密生成操作员许可证;
S2、根据所述操作员许可证获取操作许可,向设备节点索取动态令牌;
S3、设备节点产生随机动态令牌,将随机动态令牌存入本地的SRAM地址段Ⅰ;
S4、将随机动态令牌、操作员许可证和操作码一起进行数字签名以形成信息摘要Ⅰ,通过公钥2对信息摘要Ⅰ进行加密并生成数字签名Ⅰ;
S5、设备节点将操作员许可证存入本地的SRAM地址段Ⅱ,将操作码存入本地的SRAM地址段Ⅲ,将数字签名Ⅰ存入本地的SRAM地址段Ⅳ;
S6、设备节点读取SRAM地址段Ⅰ、SRAM地址段Ⅱ和SRAM地址段Ⅲ中的内容并通过计算得到信息摘要Ⅱ;
S7、设备节点读取SRAM地址段Ⅳ中的内容,利用私钥2解密得到所述信息摘要Ⅰ;
S8、进行第一层安全认证,设备节点将信息摘要Ⅱ和信息摘要Ⅰ进行对比,若信息摘要Ⅱ和信息摘要Ⅰ的信息帧来源于同一个节点,则第一层安全认证通过,继续执行步骤S9,否则第一层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
S9、进行第二层安全认证,设备节点读取SRAM地址段Ⅰ中的内容,并利用公钥1解密获取权限管理文件Ⅱ,解析权限管理文件Ⅱ的内容,如果解析得到的权限管理文件Ⅱ的内容遵循权限管理文件Ⅰ的格式,则第二层安全认证通过,继续执行步骤S10,否则第二层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
S10、设备节点按操作码所设置的参数投入使用,并在日志中记录本次操作信息。
2.根据权利要求1所述的CAN总线网络设备节点访问权限管理方法,其特征在于,所述操作码为设备节点的设备控制参数。
3.根据权利要求1所述的CAN总线网络设备节点访问权限管理方法,其特征在于,所述步骤S4中获取信息摘要Ⅰ时与所述步骤S6中获取信息摘要Ⅱ时均采用相同的哈希函数进行计算。
4.根据权利要求1所述的CAN总线网络设备节点访问权限管理方法,其特征在于,所述步骤S8中,若信息摘要Ⅱ和信息摘要Ⅰ完全相同,则信息摘要Ⅱ和信息摘要Ⅰ的信息帧来源于同一个节点。
5.根据权利要求1所述的CAN总线网络设备节点访问权限管理方法,其特征在于,所述步骤S10中的操作信息指的是操作时间、操作员ID和操作码。
6.一种CAN总线网络设备节点访问权限管理系统,其特征在于,包括:
管理员计算机,其用于执行步骤S1、系统管理员在管理员计算机上运行权限管理软件,根据操作员安全级别生成权限管理文件Ⅰ,使用私钥1将所述权限管理文件Ⅰ加密生成操作员许可证;
操作员节点,其用于执行步骤S2、根据所述操作员许可证获取操作许可,向设备节点索取动态令牌;
执行步骤S4、将随机动态令牌、操作员许可证和操作码一起进行数字签名以形成信息摘要Ⅰ,通过公钥2对信息摘要Ⅰ进行加密并生成数字签名Ⅰ;
设备节点,其用于:
执行步骤S3、设备节点产生随机动态令牌,将随机动态令牌存入本地的SRAM地址段Ⅰ;
执行步骤S5、设备节点将操作员许可证存入本地的SRAM地址段Ⅱ,将操作码存入本地的SRAM地址段Ⅲ,将数字签名Ⅰ存入本地的SRAM地址段Ⅳ;
执行步骤S6、设备节点读取SRAM地址段Ⅰ、SRAM地址段Ⅱ和SRAM地址段Ⅲ中的内容并通过计算得到信息摘要Ⅱ;
执行步骤S7、设备节点读取SRAM地址段Ⅳ中的内容,利用私钥2解密得到所述信息摘要Ⅰ;
执行步骤S8、进行第一层安全认证,设备节点将信息摘要Ⅱ和信息摘要Ⅰ进行对比,若信息摘要Ⅱ和信息摘要Ⅰ的信息帧来源于同一个节点,则第一层安全认证通过,继续执行步骤S9,否则第一层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
执行步骤S9、进行第二层安全认证,设备节点读取SRAM地址段Ⅰ中的内容,并利用公钥1解密获取权限管理文件Ⅱ,解析权限管理文件Ⅱ的内容,如果解析得到的权限管理文件Ⅱ的内容遵循权限管理文件Ⅰ的格式,则第二层安全认证通过,继续执行步骤S10,否则第二层安全认证不通过,终止本次通信,设备节点在日志中记录本次异常访问;
执行步骤S10、设备节点按操作码所设置的参数投入使用,并在日志中记录本次操作信息;
CAN总线,其同时与所述操作员节点和所述设备节点连接,用于实现所述操作员节点和所述设备节点之间的通信。
7.根据权利要求6所述的CAN总线网络设备节点访问权限管理系统,其特征在于,所述操作员节点为安装有设备节点管理软件的终端设备,其通过USB转CAN适配器接入所述CAN总线,所述设备节点连接有若干设备。
8.根据权利要求7所述的CAN总线网络设备节点访问权限管理系统,其特征在于,所述终端设备为带有USB接口的台式计算机或者便携式移动终端,所述便携式移动终端为智能手机或平板电脑。
9.根据权利要求7所述的CAN总线网络设备节点访问权限管理系统,其特征在于,所述设备节点管理软件为SJC_Client960W或SJC_Client960A,所述权限管理软件为SJC_Admin960。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911258691.4A CN111049657B (zh) | 2019-12-10 | 2019-12-10 | 一种can总线网络设备节点访问权限管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911258691.4A CN111049657B (zh) | 2019-12-10 | 2019-12-10 | 一种can总线网络设备节点访问权限管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049657A CN111049657A (zh) | 2020-04-21 |
| CN111049657B true CN111049657B (zh) | 2021-04-20 |
Family
ID=70235392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911258691.4A Expired - Fee Related CN111049657B (zh) | 2019-12-10 | 2019-12-10 | 一种can总线网络设备节点访问权限管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049657B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087417B (zh) * | 2020-07-22 | 2022-10-21 | 深圳奇迹智慧网络有限公司 | 终端权限控制方法、装置、计算机设备和存储介质 |
| CN118555163A (zh) * | 2024-07-30 | 2024-08-27 | 比亚迪股份有限公司 | 一种通信方法、第一节点、第二节点、架构、车辆及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012210327A1 (de) * | 2012-06-19 | 2013-12-19 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zum Übertragen von Nachrichten in einem Kommunikationssystem, insbesondere eines Fahrzeugs |
| CN104079408A (zh) * | 2014-05-30 | 2014-10-01 | 国家电网公司 | 一种工业控制系统中增强通信安全性的方法 |
| CN106453326A (zh) * | 2016-10-19 | 2017-02-22 | 中国第汽车股份有限公司 | 一种can总线的认证与访问控制方法 |
| CN108650096A (zh) * | 2018-04-23 | 2018-10-12 | 广东水利电力职业技术学院(广东省水利电力技工学校) | 一种工业现场总线控制系统 |
| CN109525570A (zh) * | 2018-11-06 | 2019-03-26 | 东南大学 | 一种面向集团客户的数据分层安全访问控制方法 |
| CN109921908A (zh) * | 2019-02-13 | 2019-06-21 | 北京仁信证科技有限公司 | 一种can总线身份认证方法及身份认证系统 |
| CN110427743A (zh) * | 2019-08-08 | 2019-11-08 | 湖南第一师范学院 | 一种车载电子设备控制装置及方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103490895B (zh) * | 2013-09-12 | 2016-09-14 | 电小虎能源科技(北京)有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| US10051059B2 (en) * | 2015-06-05 | 2018-08-14 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity |
| CN110457926A (zh) * | 2019-08-13 | 2019-11-15 | 重庆邮电大学 | 一种工业物联网中基于数据加密存储的数据共享方法 |
-
2019
- 2019-12-10 CN CN201911258691.4A patent/CN111049657B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012210327A1 (de) * | 2012-06-19 | 2013-12-19 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zum Übertragen von Nachrichten in einem Kommunikationssystem, insbesondere eines Fahrzeugs |
| CN104079408A (zh) * | 2014-05-30 | 2014-10-01 | 国家电网公司 | 一种工业控制系统中增强通信安全性的方法 |
| CN106453326A (zh) * | 2016-10-19 | 2017-02-22 | 中国第汽车股份有限公司 | 一种can总线的认证与访问控制方法 |
| CN108650096A (zh) * | 2018-04-23 | 2018-10-12 | 广东水利电力职业技术学院(广东省水利电力技工学校) | 一种工业现场总线控制系统 |
| CN109525570A (zh) * | 2018-11-06 | 2019-03-26 | 东南大学 | 一种面向集团客户的数据分层安全访问控制方法 |
| CN109921908A (zh) * | 2019-02-13 | 2019-06-21 | 北京仁信证科技有限公司 | 一种can总线身份认证方法及身份认证系统 |
| CN110427743A (zh) * | 2019-08-08 | 2019-11-08 | 湖南第一师范学院 | 一种车载电子设备控制装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 支持车联网连接的CAN总线应用层协议设计与实现;金泽珠;《中国优秀硕士论文全文数据库(电子期刊)》;20130930;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049657A (zh) | 2020-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111082940B (zh) | 物联网设备控制方法、装置及计算设备、存储介质 | |
| JP6275653B2 (ja) | データ保護方法及びシステム | |
| JP4089171B2 (ja) | 計算機システム | |
| CN106100836B (zh) | 一种工业用户身份认证和加密的方法及系统 | |
| CN102365839B (zh) | 密钥安装系统 | |
| US20160204935A1 (en) | Systems and methods with cryptography and tamper resistance software security | |
| EP1580663A1 (en) | A method for realizing security data storage and algorithm storage by means of semiconductor memory device | |
| CN111049657B (zh) | 一种can总线网络设备节点访问权限管理方法及系统 | |
| CN109064596B (zh) | 密码管理方法、装置及电子设备 | |
| CN107508791A (zh) | 一种基于分散密钥加密的终端身份验证方法及系统 | |
| CN114267100B (zh) | 开锁认证方法、装置、安全芯片及电子钥匙管理系统 | |
| CN104778954B (zh) | 一种光盘分区加密方法及系统 | |
| CN112560051A (zh) | 一种工业数据安全管理方法、装置、电子设备及存储介质 | |
| CN112347451A (zh) | 一种基于区块链技术的mes数据管理追踪方法及系统 | |
| CN105554038A (zh) | 一种在线系统和离线系统数据交互时数据安全的管控方法 | |
| CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
| CN107273725B (zh) | 一种针对涉密信息的数据备份方法及系统 | |
| CN111046405A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
| CN112434270B (zh) | 一种增强计算机系统数据安全的方法及系统 | |
| KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
| CN115514578B (zh) | 基于区块链的数据授权方法和装置、电子设备和存储介质 | |
| CN111737747A (zh) | 数据库保密方法、装置、设备及计算机存储介质 | |
| CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
| CN113221139A (zh) | 一种电子信息加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210420 |