CN112118091B - 一种数据加密总线自适应的工业设备远程系统升级方法 - Google Patents
一种数据加密总线自适应的工业设备远程系统升级方法 Download PDFInfo
- Publication number
- CN112118091B CN112118091B CN202011005123.6A CN202011005123A CN112118091B CN 112118091 B CN112118091 B CN 112118091B CN 202011005123 A CN202011005123 A CN 202011005123A CN 112118091 B CN112118091 B CN 112118091B
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- bus
- watermark
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40143—Bus networks involving priority mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种数据加密总线自适应的工业设备远程系统升级方法,所述方法包括:将智能设备接入到工业设备所有的总线网络中;智能设备上电后,向远程服务器连接,通过网络技术连接传输链路,远程服务器接收到智能设备的联网请求后,建立传输链路待连接完成后,监听远程服务器的指令;远程服务器在下发数据后,进行软件数据的第一层加密,所述第一层加密是将要传输的软件数据进行进制的转换;在数据的进制转换完毕后,对数据进行第二层加密,其中,所述第二层加密后的数据包含网络IP及端口;经过第二层加密后的数据,通过网络传输链路下发至智能设备。
Description
技术领域
本发明涉及工业设备技术领域,尤其涉及一种数据加密总线自适应的工业设备远程系统升级方法。
背景技术
工业设备在国民经济体系中扮演者越来越重要的角色,有着使用时间长、质量可靠、耐磨损的优良特性,一旦投入正常的使用过程中,对其系统升级更新往往费时费力,期间涉及到整机设备的拆卸、现场的升级材料准备、升级系统的校验,更重要的是,在准备的工程中,需要双方的技术人员共同努力,造成人力、财力、时间的多重浪费,如何保证工业设备系统的快速升级已经成为行业内的重点问题。
工业设备的系统升级,优先需要保证系统升级过程中的数据保密性,以防非法分子通过技术手段获取设备的核心系统;其次,需要考虑升级的简便性。工业设备所在系统中,涉及到多种多样的数据总线,不同总线传递数据的方式各不一样,每个场景的工业设备特地去适配一种单一的数据总线,系统升级起来非常麻烦。
得益于国内互联网技术的飞速发展,工业设备的远程升级方案已经屡见不鲜,但现有的升级方案中,采用的是直接的网络数据交互,导致工业设备的系统数据直接暴露在网络中,让不法分子有机可乘。同时,因工业设备总线繁多,目前的技术手段,针对不同的总线,需要不同的设备方案,导致升级流程响应不及时。
中国专利CN107040459A公开了一种智能工业安全云网关设备系统和方法,它对上行云端数据加密下行数据解密,加密后数据添加数据分类标识和时间戳,实现多重访问认证安全控制,协议转换,多向互联互通透明传输和安全隔离的工业云网关,所述的智能工业云安全网关设备包括:以多核处理器为核心的嵌入式智能工业云安全网关设备平台;工业现场各种智能设备通信接口通道:含多路RS232、RS485、CAN、AS-INTERFACE、LONWORKS、工业以太网(EtherCAT、PROFINET、EtherNET/IP、PROFIBUS、POWERINK、SERCOS 3、BlueTeeth、WiFi)等可选;云端通信接口通道:含3G/4G/GPRS通信接口可选;内置10M/100M/1000M以太网交换机;GPS定位对时模块;加解密模块;数据分类标识时间戳模块;访问安全认证控制模块,它安装在工业现场数据出口处,也是云服务的起点对数据加密,选择安全方式传输及数据访问控制,对访问者身份ID、访问设备ID、访问设备IP和权限及路径方式等多重安全认证,安全扫描进入网关的数据,完成多种协议实时转换,实现多方设备透明互联互通的智能工业云安全网关,它是智能工厂与云服务之间数据通道的安全物理隔离屏障,能有效地防止数据泄露和网络病毒攻击。
上述传统的升级方案,依托于网络连接,将数据直接传递给设备,数据的加密保护效果不佳,且没有网络的频段保护,致使通过网络数据抓包功能能够轻而易举的获取到核心数据,更有不法分子,会模拟整个的发送链路,将异常的数据传递给工业设备,导致工业设备系统更新失败,工作异常。与此同时,因在升级中没有做到传输总线的自适应,不同的设备需要不同的传输总线,造成工业设备系统升级的严重迟滞。
发明内容
本发明旨在提供一种能够数据加密并且自适应总线的工业设备远程系统升级方法。需要对工业设备进行系统升级时,将通用型的升级模块接入到工业设备所在的数据总线上,即可接收来自服务器上的升级数据实现对工业设备的系统升级,方便快速的完成工业设备的系统更新。
本发明公开一种数据加密总线自适应的工业设备远程系统升级方法,所述方法包括:将智能设备接入到工业设备所有的总线网络中;智能设备上电后,向远程服务器连接,通过网络技术连接传输链路,远程服务器接收到智能设备的联网请求后,建立传输链路待连接完成后,监听远程服务器的指令;远程服务器在下发数据后,进行软件数据的第一层加密,所述第一层加密是将要传输的软件数据进行进制的转换;在数据的进制转换完毕后,对数据进行第二层加密,其中,所述包含网络IP及端口;经过第二层加密后的数据,通过网络传输链路下发至智能设备。
根据一种优选的实施方式,智能设备在接收到数据后,先对数据进行第一次解密,得到进行转换后的数据,再对转换后的数据进行第二次解密,对进制进行反转化解析出真实的数据源。
根据一种优选的实施方式,智能设备在进行解密的同时,监听整个总线上的数据,并与其内部的总线监听程序不断进行匹配,判定出总线的类型和关键参数,然后将解密后的数据,发送给工业设备。
根据一种优选的实施方式,远程服务器通过I2C接口与工业设备的总线通信获取时间戳信息,根据获取的时间戳信息和电子控制单元的安全标示码计算出密钥并对传输数据加密。
根据一种优选的实施方式,加密信息包括芯片标识ID、芯片公钥、工业设备VIN,使工业设备信息交互身份的唯一性,工业设备的组网标准化。
根据一种优选的实施方式,数据加密模块采用LKT4305-GM,加密模块集成了国密SM2/SM3、RSA非对称加密和AES对称加密。
根据一种优选的实施方式,在数据发送前,远程服务器通过预存水印生成第一密钥和移动因子,进一步地,使用动态数字水印生成算法生成数字水印;利用预存水印的位置信息生成第二密钥;根据数据中未利用的数据位的位置,对数据进行删减,然后根据预存的水印的位置信息将水印插入数据中,使得插入水印后的数据长度和原始数据的长度相同。
根据一种优选的实施方式,在智能设备收到数据后,利用预存的水印生成第一密钥和移动因子,通过动态数字水印生成算法生成数字水印;利用预存水印的位置信息提取出第二密钥;从接收到的数据中根据水印提取位置的信息提取出水印,将提取出的水印与生成的水印相对比;如果提取出的水印与生成的水印相同,说明传输的数据没有被修改或重置;若提取出的水印与生成的水印不相同,说明数据在传输过程中被修改或重置。
本发明还公开一种数据加密总线自适应的工业设备远程升级系统,至少包括智能设备和远程服务器,智能设备接入到工业设备的总线网络中,智能设备上电后,向远程服务器连接,通过网络技术连接传输链路,远程服务器接收到智能设备的联网请求后,建立传输链路待连接完成后,监听远程服务器的指令;远程服务器在下发数据后,进行软件数据的第一层加密,所述第一层加密是将要传输的软件数据进行进制的转换;在数据的进制转换完毕后,对数据进行第二层加密,其中,所述包含网络IP及端口;经过第二层加密后的数据,通过网络传输链路下发至智能设备。
根据一种优选的实施方式,智能设备在接收到数据后,先对数据进行第一次解密,得到进行转换后的数据,再对转换后的数据进行第二次解密,对进制进行反转化解析出真实的数据源;智能设备在进行解密的同时,监听整个总线上的数据,并与其内部的总线监听程序不断进行匹配,判定出总线的类型和关键参数,然后将解密后的数据,发送给工业设备。
传统的远程升级,远端服务器通过直接网络传输的方式,将要升级的数据直接下发到升级终端,传输的过程中,没有做任何的数据安全加密,有心者可通过网络抓包工具直接获取传输的数据,或者以同样的路径方式向设备发送升级数据,造成工业设备的异常。同时,针对每一次的更新,需要匹配不同的总线终端,往往要携带多个升级终端,效率低下。
本发明依托智能升级设备模块。智能设备为一可联网的设备,兼容目前主流的工业数据总线。在进行工业设备的远程系统升级时,优先将智能设备接入到工业设备所处的工业总线内,整个系统上电时,智能设备会进行网络连接,连接至位于云端的升级服务器。操作人员在升级服务器上选择要升级的软件后,开始对智能设备进行数据的传输,不同于以往的升级模式,该方法在升级的过程中会对数据进行两次加密,第一次加密将要传输的数据进制进行转换,第二次加密将转换后的数据进行重新组合。加密后的数据通过网络传输发送给智能设备,智能设备接收到数据后,将进行两次解密。第一次将数据进行反组合,得到进行转换后的数据,第二次将解密后的数据再次进行进制反转换,得到真实有效的数据。智能设备在进行界面的同时,会监听整个总线上的数据,并与其内部的总线监听程序不断进行匹配,判定出总线的类型和关键参数,然后将解密后的数据,通过总线传递给工业设备,以达到工业设备系统更新的目的。
附图说明
图1是本发明的数据加密总线自适应的工业设备远程系统升级方法的整体流程图。
具体实施方式
下面结合附图进行详细说明。
实施例1
本实施例公开一种数据加密总线自适应的工业设备远程系统升级方法,如图1所示,所述方法包括:将智能设备接入到工业设备所有的总线网络中;智能设备上电后,向远程服务器连接,通过网络技术连接传输链路,远程服务器接收到智能设备的联网请求后,建立传输链路待连接完成后,监听远程服务器的指令;远程服务器在下发数据后,进行软件数据的第一层加密,所述第一层加密是将要传输的软件数据进行进制的转换;在数据的进制转换完毕后,对数据进行第二层加密,其中,所述第二层加密后的数据包含网络IP及端口;经过第二层加密后的数据,通过网络传输链路下发至智能设备。总线自适应:是指能够自动适配工业上通常使用的传输协议链路,包含CAN总线、RS485总线、RS-232-C总线等。在本实施例中,远程服务器又称为云端服务器。
优选的,智能设备又称智能升级设备模块。智能设备为一可联网的设备,兼容目前主流的工业数据总线。在进行工业设备的远程系统升级时,优先将智能设备接入到工业设备所处的工业总线内,整个系统上电时,智能设备会进行网络连接,连接至位于云端的升级服务器。操作人员在升级服务器上选择要升级的软件后,开始对智能设备进行数据的传输,不同于以往的升级模式,该方法在升级的过程中会对数据进行两次加密,第一次加密将要传输的数据进制进行转换,第二次加密将转换后的数据进行重新组合。加密后的数据通过网络传输发送给智能设备,智能设备接收到数据后,将进行两次解密。第一次将数据进行反组合,得到进行转换后的数据,第二次将解密后的数据再次进行进制反转换,得到真实有效的数据。智能设备在进行界面的同时,会监听整个总线上的数据,并与其内部的总线监听程序不断进行匹配,判定出总线的类型和关键参数,然后将解密后的数据,通过总线传递给工业设备,以达到工业设备系统更新的目的。
CAN是controller Area Network的缩写,是ISO国际标准化的串行通信协议。CAN总线为分布式控制系统实现各节点之间实时、可靠的数据通信提供了强有力的技术支持。CAN总线通信接口中集成了CAN协议的物理层和数据链路层功能,可完成对通信数据的成帧处理,包括位填充、数据块编码、循环冗余检验、优先级判别等项工作。CAN协议废除了传统的站地址编码,而代之以对通信数据块进行编码,可使网络内的节点个数在理论上不受限制,数据块的标识符可由11位或29位二进制数组成,因此可以定义2或2个以上不同的数据块,这种按数据块编码的方式,还可使不同的节点同时接收到相同的数据,这一点在分布式控制系统中非常有用。数据段长度最多为8个字节,可满足通常工业领域中控制命令、工作状态及测试数据的一般要求。同时,8个字节不会占用总线时间过长,从而保证了通信的实时性。CAN协议采用CRC检验并可提供相应的错误处理功能,保证了数据通信的可靠性。
CAN总线采用了多主竞争式总线结构,具有多主站运行和分散仲裁的串行总线以及广播通信的特点。CAN总线上任意节点可在任意时刻主动地向网络上其它节点发送信息而不分主次,因此可在各节点之间实现自由通信。CAN总线插卡可以任意插在PC AT XT兼容机上,方便地构成分布式监控系统。
rs-485采用半双工工作方式,支持多点数据通信。rs-485总线网络拓扑一般采用终端匹配的总线型结构。即采用一条总线将各个节点串接起来,不支持环形或星型网络。rs-485采用平衡发送和差分接收,因此具有抑制共模干扰的能力。加上总线收发器具有高灵敏度,能检测低至200mv的电压,故传输信号能在千米以外得到恢复。优选的,rs-485收发器修改输入阻抗以便允许将多达8倍以上的节点数连接到相同总线。rs-485采用平衡发送和差分接收方式实现通信:发送端将串行口的ttl电平信号转换成差分信号a,b两路输出,经过线缆传输之后在接收端将差分信号还原成ttl电平信号。由于传输线通常使用双绞线,又是差分传输,所以有强大的抗共模干扰的能力,总线收发器灵敏度很高,可以检测到低至200mv电压。故传输信号在千米之外都是可以恢复。rs-485最大的通信距离约为1219m,最大传输速率为10mb/s,传输速率与传输距离成反比,在10kb/s的传输速率下,才可以达到最大的通信距离,如果需传输更长的距离,需要加485中继器。rs-485采用半双工工作方式,支持多点数据通信。rs-485总线网络拓扑一般采用终端匹配的总线型结构。即采用一条总线将各个节点串接起来,不支持环形或星型网络。如果需要使用星型结构,就必须使用485中继器或者485集线器才可以。rs-485总线一般最大支持32个节点,如果使用特制的485芯片,可以达到128个或者256个节点,最大的可以支持到400个节点。
RS-232-C总线标准设有25条信号线,包括一个主通道和一个辅助通道,在多数情况下主要使用主通道,对于一般双工通信,仅需几条信号线就可实现,如一条发送线、一条接收线及一条地线。RS-232-C标准规定的数据传输速率为每秒50、75、100、150、300、600、1200、2400、4800、9600、19200波特。RS-232-C标准规定,驱动器允许有2500pF的电容负载,通信距离将受此电容限制。采用150pF/m的通信电缆时,最大通信距离为15m;若每米电缆的电容量减小,通信距离可以增加。传输距离短的另一原因是RS-232属单端信号传送,存在共地噪声和不能抑制共模干扰等问题,因此一般用于20m以内的通信。
优选的,第一层加密所进行的进制转换包括二进制转换、八进制转换或者十六进制转换。进制转换方式根据发送数据的类型决定。优选的,double类型数据采用十六进制转换,float类型数据采用八进制转换,int类型数据采用二进制转换。通过这种方式,能够保证加密数据转换的精度和准确度。
优选的,将进制转换后的数据依次分为位数相等的两组数字。如果转换后的数据是奇数位,在首位加零后再拆分。优选的,上述拆分可以是按照位数顺序拆分也可以是隔位拆分。根据一种具体的实施方式,例如,二进制转换后的数据为1000101,由于位数为奇数,首位加零后进行拆分,若按照位数顺序拆分,则拆分为0100和0101,若按照隔位拆分,则拆分为0000和1011。更优选的,还可以在拆分前对待拆分的数据进行逆序排列,逆序排列后再进行拆分。根据另一种实施方式,可以对拆分后的位数相等的两组数字中的一组或两组进行逆序排列后再进行传输。优选的,在每个传输数据前增加三位二进制字符表示数据所经过的处理。例如,根据一种优选的实施方式,增加的三位二进制字符中,第一位以“0”表示待拆分数据未逆序排列,第一位以“1”表示待拆分数据经过逆序排列,第二位以“0”表示按照顺序拆分,第二位以“1”表示隔位拆分,第三位以“0”表示拆分后未进行逆序排列,第三位以“1”表示拆分后经过逆序排列。由此能够形成000、001、010、100、111、110、101、011这8种处理模式。通过上述处理方式,能够进一步保证数据加密的安全性。即使数据被窃听,也无法简单地通过进制还原得到原始数据,方式了数据被窃取后可能造成的危害。
根据一种优选的实施方式,智能设备在接收到数据后,先对数据进行第一次解密,得到进行转换后的数据,再对转换后的数据进行第二次解密,对进制进行反转化解析出真实的数据源。
优选的,在第一次解密时按照加密时对数据的操作和传输数据前三位的指示进行逆操作。通过这种方式,能够以较小的传输负荷和附加传输成本实现更安全的加密传输。更重要的是,在数据被窃取而且被传输入异常数据的情况下,一方面,能够通过数据前三位的数字快速识别是否是异常数据,从而能够进行异常数据的处理或报警,另一方面,即使未能准确识别出异常数据,将异常数据进行拟转换后也无法得到原始传输的异常数据,避免异常数据可能造成的对系统的破坏。例如,从数据处理的8种模式中限定4种专用的模式,那么,通过识别前三位数字是否与这4种模式的代码相同,即可快速判断是否为异常数据。优选的,识别出为异常数据后,立刻终止后续数据的传输。通过这种方式,在快速识别异常数据的基础上,还进一步降低了数据传输量,从而避免了将异常数据完全接收后才能进行判断的情况,也避免了完全接收异常数据所可能造成的其他负面影响。根据一种优选的实施方式,智能设备在进行解密的同时,监听整个总线上的数据,并与其内部的总线监听程序不断进行匹配,判定出总线的类型和关键参数,然后将解密后的数据,发送给工业设备。
优选的,第一层加密后的数据处理的处理模式和/或第二次加密的方式与总线类型和/或关键参数相关联。例如,根据一种具体的实施方式,数据处理模式“111”专属用于CAN总线,模式“000”专属用于RS485总线,模式“100”专属用于RS-232-C总线,以此类推。通过这种方式,在监听到总线类型和关键参数后,智能设备能发送给远程服务器。远程服务器能够立即相应地切换数据处理模式和/或第二层加密方法。通过这种方式,能够对总线类型进行双向验证。在具有多种类型总线的情况下,避免数据错传误传。此外,这种方法最大限度地节约了传输成本,减小了传输负荷,通过最小的额外数据传输量实现了多种模式的安全验证并确保传输的准确性。
根据一种优选的实施方式,远程服务器通过I2C接口与工业设备的总线通信获取时间戳信息,根据获取的时间戳信息和电子控制单元的安全标示码计算出密钥并对传输数据第二层加密。
根据一种优选的实施方式,加密信息包括芯片标识ID、芯片公钥、工业设备VIN,使工业设备信息交互身份的唯一性,工业设备的组网标准化。优选的,加密信息还包括系统升级版本信息和系统升级信息,使升级后的工业设备组网信息保持一致统一。
根据一种优选的实施方式,第二层加密采用数据加密模块进行,数据加密模块采用LKT4305-GM,加密模块集成了国密SM2/SM3、RSA非对称加密和AES对称加密。
根据一种优选的实施方式,在数据发送前,远程服务器通过预存水印生成第一密钥和移动因子,进一步地,使用动态数字水印生成算法生成数字水印;利用预存水印的位置信息生成第二密钥;根据数据中未利用的数据位的位置,对数据进行删减,然后根据预存的水印的位置信息将水印插入数据中,使得插入水印后的数据长度和原始数据的长度相同。
根据一种优选的实施方式,在智能设备收到数据后,利用预存的水印生成第一密钥和移动因子,通过动态数字水印生成算法生成数字水印;利用预存水印的位置信息提取出第二密钥;从接收到的数据中根据水印提取位置的信息提取出水印,将提取出的水印与生成的水印相对比;如果提取出的水印与生成的水印相同,说明传输的数据没有被修改或重置;若提取出的水印与生成的水印不相同,说明数据在传输过程中被修改或重置。通过这种方式,与前述的数据处理模式识别相结合,能够进一步准确判断数据是否被窃听、篡改或替换,保证数据传输的安全性,避免异常数据带来的破坏或影响。
在现有的升级方案中,采用的是直接的网络数据交互,导致工业设备的系统数据直接暴露在网络中,让不法分子有机可乘获取核心的工业设备系统数据。同时,因工业设备总线繁多,目前的技术手段,针对不同的总线,需要不同的设备方案,导致升级流程响应不及时。
传统的升级方案,依托于网络连接,将数据直接传递给设备,既没有数据的加密,也没有网络的频段保护,致使通过网络数据抓包功能能够轻而易举的获取到核心数据,更有不发分子,会模拟整个的发送链路,将异常的数据传递给工业设备,导致工业设备系统更新失败,工作异常。与此同时,因在升级中没有做到传输总线的自适应,不同的设备需要不同的传输总线,造成工业设备系统升级的严重迟滞。
本发明依托智能升级设备模块对工业设备进行系统升级。整个系统升级的从数据源头处对数据进行二次加密,通过在智能设备处对数据进行二次解密,并对总线进行监听响应,获取总线的类型及参数,实现总线自适应,保证快捷、安全、稳定的实现对工业设备的远程升级。
使用工业设备总线中传输数据中未利用的数据位插入水印信息,在不增加额外的通信量的情况下在数据中插入水印信息对其进行了加密,保证了数据的安全,还可以验证数据的完整性,防止传输数据被篡改或攻击。通过采用动态数字水印生成算法来生成动态的水印信息,能够保证水印信息的动态生成,每次生成的动态水印只会被使用一次,能够进一步防止攻击。
实施例2
本实施例公开了一种数据加密总线自适应的工业设备远程升级系统,至少包括智能设备和远程服务器,智能设备接入到工业设备的总线网络中,智能设备上电后,向远程服务器连接,通过网络技术连接传输链路,远程服务器接收到智能设备的联网请求后,建立传输链路待连接完成后,监听远程服务器的指令;远程服务器在下发数据后,进行软件数据的第一层加密,所述第一层加密是将要传输的软件数据进行进制的转换;在数据的进制转换完毕后,对数据进行第二层加密,其中,所述包含网络IP及端口;经过第二层加密后的数据,通过网络传输链路下发至智能设备。
优选的,智能设备在接收到数据后,先对数据进行第一次解密,得到进行转换后的数据,再对转换后的数据进行第二次解密,对进制进行反转化解析出真实的数据源;智能设备在进行解密的同时,监听整个总线上的数据,并与其内部的总线监听程序不断进行匹配,判定出总线的类型和关键参数,然后将解密后的数据,发送给工业设备。
需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。
Claims (6)
1.一种数据加密总线自适应的工业设备远程系统升级方法,其特征在于,所述方法包括:
将智能设备接入到工业设备所有的总线网络中;
智能设备上电后,向远程服务器连接,通过网络技术连接传输链路,远程服务器接收到智能设备的联网请求后,建立传输链路待连接完成后,监听远程服务器的指令;
远程服务器在下发数据后,进行软件数据的第一层加密,所述第一层加密是将要传输的软件数据进行进制的转换,将进制转换后的数据依次分为位数相等的两组数字,如果转换后的数据是奇数位,在首位加零后再拆分,所述拆分按照位数顺序拆分或隔位拆分,对拆分后的位数相等的两组数字中的一组或两组进行逆序排列后再进行传输;
在每个传输数据前增加三位二进制字符表示数据所经过的数据处理模式;
随后对数据进行第二层加密,其中,所述第二层加密后的数据包含网络IP及端口;
经过第二层加密后的数据,通过网络传输链路下发至智能设备;
智能设备在接收到数据后,先对数据进行第一次解密,在第一次解密时按照加密时对数据的操作和传输数据前三位的指示进行逆操作,判断是否为异常数据,如果识别出为异常数据后,立刻终止后续数据的传输,如果识别出不为异常数据后,则得到进行转换后的数据,再对转换后的数据进行第二次解密,对进制进行反转化解析出真实的数据源;
智能设备在进行解密的同时,监听整个总线上的数据,并与其内部的总线监听程序不断进行匹配,判定出总线的类型和关键参数,然后将解密后的数据,发送给工业设备;
第一层加密后的数据处理模式和第二次加密的方式与总线类型和关键参数相关联;
智能设备在监听到总线类型和关键参数后,能发送给远程服务器,远程服务器能够立即相应地切换所述数据处理模式和第二层加密方法。
2.如权利要求1所述的数据加密总线自适应的工业设备远程系统升级方法,其特征在于,远程服务器通过I2C接口与工业设备的总线通信获取时间戳信息,根据获取的时间戳信息和电子控制单元的安全标示码计算出密钥并对传输数据加密。
3.如权利要求2所述的数据加密总线自适应的工业设备远程系统升级方法,其特征在于,加密信息包括芯片标识ID、芯片公钥、工业设备VIN,使工业设备信息交互身份的唯一性,工业设备的组网标准化。
4.如权利要求3所述的数据加密总线自适应的工业设备远程系统升级方法,其特征在于,数据加密模块采用LKT4305-GM,加密模块集成了国密SM2/SM3、RSA非对称加密和AES对称加密。
5.如权利要求4所述的数据加密总线自适应的工业设备远程系统升级方法,其特征在于,在数据发送前,远程服务器通过预存水印生成第一密钥和移动因子,进一步地,使用动态数字水印生成算法生成数字水印;利用预存水印的位置信息生成第二密钥;根据数据中未利用的数据位的位置,对数据进行删减,然后根据预存的水印的位置信息将水印插入数据中,使得插入水印后的数据长度和原始数据的长度相同。
6.如权利要求5所述的数据加密总线自适应的工业设备远程系统升级方法,其特征在于,在智能设备收到数据后,利用预存的水印生成第一密钥和移动因子,通过动态数字水印生成算法生成数字水印;利用预存水印的位置信息提取出第二密钥;从接收到的数据中根据水印提取位置的信息提取出水印,将提取出的水印与生成的水印相对比;如果提取出的水印与生成的水印相同,说明传输的数据没有被修改或重置;若提取出的水印与生成的水印不相同,说明数据在传输过程中被修改或重置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011005123.6A CN112118091B (zh) | 2020-09-22 | 2020-09-22 | 一种数据加密总线自适应的工业设备远程系统升级方法 |
| CN202110663759.8A CN113411180B (zh) | 2020-09-22 | 2020-09-22 | 一种数据加密总线自适应的工业设备远程升级系统 |
| CN202110663687.7A CN113411179B (zh) | 2020-09-22 | 2020-09-22 | 一种基于工业数据总线的安全通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011005123.6A CN112118091B (zh) | 2020-09-22 | 2020-09-22 | 一种数据加密总线自适应的工业设备远程系统升级方法 |
Related Child Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110663687.7A Division CN113411179B (zh) | 2020-09-22 | 2020-09-22 | 一种基于工业数据总线的安全通信方法 |
| CN202110663759.8A Division CN113411180B (zh) | 2020-09-22 | 2020-09-22 | 一种数据加密总线自适应的工业设备远程升级系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118091A CN112118091A (zh) | 2020-12-22 |
| CN112118091B true CN112118091B (zh) | 2021-04-23 |
Family
ID=73800957
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011005123.6A Active CN112118091B (zh) | 2020-09-22 | 2020-09-22 | 一种数据加密总线自适应的工业设备远程系统升级方法 |
| CN202110663687.7A Active CN113411179B (zh) | 2020-09-22 | 2020-09-22 | 一种基于工业数据总线的安全通信方法 |
| CN202110663759.8A Active CN113411180B (zh) | 2020-09-22 | 2020-09-22 | 一种数据加密总线自适应的工业设备远程升级系统 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110663687.7A Active CN113411179B (zh) | 2020-09-22 | 2020-09-22 | 一种基于工业数据总线的安全通信方法 |
| CN202110663759.8A Active CN113411180B (zh) | 2020-09-22 | 2020-09-22 | 一种数据加密总线自适应的工业设备远程升级系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (3) | CN112118091B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238001A (zh) * | 2010-05-07 | 2011-11-09 | 腾讯数码(深圳)有限公司 | 一种提高数据安全性的方法和装置 |
| CN105528347A (zh) * | 2014-09-28 | 2016-04-27 | 北京古盘创世科技发展有限公司 | 数据块储存方法、数据查询方法和数据修改方法 |
| CN109600287A (zh) * | 2018-10-18 | 2019-04-09 | 广州虹科电子科技有限公司 | 网关、处理端监控can总线的方法及存储介质 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102981440B (zh) * | 2012-11-02 | 2014-10-29 | 武汉理工大学 | 基于SaaS的智能设备监控管理系统 |
| CN105005215A (zh) * | 2015-05-28 | 2015-10-28 | 徐禄勇 | 工业总线设备协议转换装置及数据采集控制系统 |
| US9756024B2 (en) * | 2015-09-18 | 2017-09-05 | Trillium Incorporated | Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same |
| CN106101147B (zh) * | 2016-08-12 | 2019-04-23 | 北京同余科技有限公司 | 一种实现智能设备与远程终端动态加密通讯的方法及系统 |
| CN107040459A (zh) * | 2017-03-27 | 2017-08-11 | 高岩 | 一种智能工业安全云网关设备系统和方法 |
| CN107222553A (zh) * | 2017-06-26 | 2017-09-29 | 深圳市智物联网络有限公司 | 通过物联网适配器升级设备的方法、系统及物联网适配器 |
| CN109429222B (zh) * | 2017-08-22 | 2022-06-07 | 叶毅嵘 | 一种对无线网络设备升级程序及通讯数据加密的方法 |
| CN107682148A (zh) * | 2017-10-12 | 2018-02-09 | 华东师范大学 | 一种车辆总线与互联网通讯系统之间的安全访问系统及方法 |
| CN109818910B (zh) * | 2017-11-21 | 2022-07-01 | 中移(杭州)信息技术有限公司 | 一种数据传输方法、装置和介质 |
| WO2019168907A1 (en) * | 2018-02-27 | 2019-09-06 | Excelfore Corporation | Broker-based bus protocol and multi-client architecture |
| CN108551450B (zh) * | 2018-04-18 | 2021-04-20 | 何小林 | 一种基于无线协议的数据分段传输方法和系统 |
| CN109150703B (zh) * | 2018-08-23 | 2019-07-02 | 北方工业大学 | 一种工业物联网智能云网关及其通信方法 |
| US11539782B2 (en) * | 2018-10-02 | 2022-12-27 | Hyundai Motor Company | Controlling can communication in a vehicle using shifting can message reference |
| CN111083025A (zh) * | 2018-10-22 | 2020-04-28 | 中兴通讯股份有限公司 | 一种数据传输方法、车载通讯设备及计算机可读存储介质 |
| CN111049803A (zh) * | 2019-11-20 | 2020-04-21 | 江苏物联网络科技发展有限公司 | 基于车载can总线通讯系统数据加密及平台安全访问的方法 |
| CN111224951A (zh) * | 2019-12-24 | 2020-06-02 | 广州市中海达测绘仪器有限公司 | 数据的处理方法、装置、车载终端和存储介质 |
| CN111327689A (zh) * | 2020-01-22 | 2020-06-23 | 大运汽车股份有限公司 | 基于uds通信协议实现车辆ecu远程升级的方法 |
| CN111404925B (zh) * | 2020-03-12 | 2021-05-11 | 北京航空航天大学 | 一种基于动态数字水印的车载can总线数据加密方法 |
| CN111614728A (zh) * | 2020-04-27 | 2020-09-01 | 西安电子科技大学 | 一种数据传输方法和系统 |
-
2020
- 2020-09-22 CN CN202011005123.6A patent/CN112118091B/zh active Active
- 2020-09-22 CN CN202110663687.7A patent/CN113411179B/zh active Active
- 2020-09-22 CN CN202110663759.8A patent/CN113411180B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238001A (zh) * | 2010-05-07 | 2011-11-09 | 腾讯数码(深圳)有限公司 | 一种提高数据安全性的方法和装置 |
| CN105528347A (zh) * | 2014-09-28 | 2016-04-27 | 北京古盘创世科技发展有限公司 | 数据块储存方法、数据查询方法和数据修改方法 |
| CN109600287A (zh) * | 2018-10-18 | 2019-04-09 | 广州虹科电子科技有限公司 | 网关、处理端监控can总线的方法及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113411179B (zh) | 2022-05-03 |
| CN113411179A (zh) | 2021-09-17 |
| CN112118091A (zh) | 2020-12-22 |
| CN113411180B (zh) | 2022-05-06 |
| CN113411180A (zh) | 2021-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10547594B2 (en) | Systems and methods for implementing data communication with security tokens | |
| WO2017067154A1 (zh) | 用于包括多个子网的车载网络的数据通信方法、系统及网关 | |
| CN107836095B (zh) | 用于在网络中产生秘密或密钥的方法 | |
| CN114071698A (zh) | 一种具备参数动态配置与状态感知的自组网数据收发方法及装置 | |
| CN116405302B (zh) | 一种用于车内安全通信的系统及方法 | |
| CN104993993A (zh) | 一种报文处理方法、设备和系统 | |
| NZ337060A (en) | Secure packet radio network, newly activated user stations pass key request to network operator station | |
| CN115766242A (zh) | 一种基于安全隔离通讯的环保管理系统 | |
| CN111211894B (zh) | 一种数据传输方法、装置及系统 | |
| CN112118091B (zh) | 一种数据加密总线自适应的工业设备远程系统升级方法 | |
| US9729521B2 (en) | Methods and systems for auto-commissioning of devices in a communication network | |
| CN110290151B (zh) | 报文发送方法、装置及可读取存储介质 | |
| US10841085B2 (en) | Method for generating a secret or a key in a network | |
| CN103560891A (zh) | 家居无线物联网的通信标识鉴别方法 | |
| KR100265978B1 (ko) | 단말기기와 브랜치 프로세서간의 통신제어 방법 및 장치 | |
| CN108234461A (zh) | 一种基于usb配对的加密隐蔽通信系统及方法 | |
| US11882114B2 (en) | Authentication method and authentication system in IP communication | |
| KR101658322B1 (ko) | 지능형 원격 검침 시스템용 프로토콜 처리 장치 및 방법 | |
| CN115296887B (zh) | 数据传输方法、装置、电子设备和存储介质 | |
| CN108141357B (zh) | 用于在网络中生成秘密的电路装置 | |
| CN118249994A (zh) | 基于IPv6和QKD的多通道认证加密通信方法和系统 | |
| US20050097201A1 (en) | Method and apparatus for securing network management communications | |
| KR20240112239A (ko) | 양자 기술 기반 가상 사설망의 보안 세션 연결 방법, 장치 및 시스템 | |
| CN114760084A (zh) | 车辆数据通信方法、装置及系统 | |
| EP3565198A1 (en) | Transmitting security information over a wired link |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: No.99, Jingbei 6th Road, Zhengzhou area (Jingkai), Henan pilot Free Trade Zone, Zhengzhou, Henan Province, 450000 Patentee after: Henan Jiachen Intelligent Control Co.,Ltd. Address before: No.99, Jingbei 6th Road, Zhengzhou area (Jingkai), Henan pilot Free Trade Zone, Zhengzhou, Henan Province, 450000 Patentee before: ZHENGZHOU JIACHEN ELECTRIC Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |