CN112565176B - 与分布式控制系统中的装置安全地通信 - Google Patents
与分布式控制系统中的装置安全地通信 Download PDFInfo
- Publication number
- CN112565176B CN112565176B CN202011024616.4A CN202011024616A CN112565176B CN 112565176 B CN112565176 B CN 112565176B CN 202011024616 A CN202011024616 A CN 202011024616A CN 112565176 B CN112565176 B CN 112565176B
- Authority
- CN
- China
- Prior art keywords
- key
- server
- nonce
- public key
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/4028—Bus for use in transportation systems the transportation system being an aircraft
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
一种方法,包括服务器生成服务器nonce并向装置传送服务器公共密钥,密钥签名和服务器nonce,该装置验证服务器公共密钥,使用装置私有密钥对服务器nonce进行签名,生成装置nonce,并向服务器传送服务器nonce,服务器nonce签名,装置公共密钥,装置密钥签名和装置nonce,服务器验证服务器nonce和装置公共密钥,生成会话密钥,使用装置公共密钥对会话密钥进行加密,使用服务器私有密钥对装置nonce和会话密钥进行签名,并向装置传送装置nonce,签名的装置nonce和会话密钥以及加密的会话密钥,并且该装置验证装置nonce,使用装置私有密钥对加密的会话密钥进行解密,并验证解密的会话密钥。
Description
技术领域
本公开涉及用于在飞行器系统中的装置之间进行通信的装置,系统和方法,并且更具体地,涉及用于与分布式控制系统中的装置安全地通信的装置,系统和方法。
背景技术
飞行器和其他系统通常包括具有嵌入式装置的分布式控制系统。出于安全性和其他原因,嵌入式部件之间的安全通信非常重要。因此,需要在分布式控制系统中的嵌入式产品之间快速建立安全通信协议的系统和方法。
发明内容
在一个实施例中,一种在分布式控制系统中的服务器和装置之间建立安全通信的方法,其中,包括服务器公共密钥和服务器私有密钥的第一公共-私有密钥对与服务器相关联,并且其中,包括装置公共密钥和装置私有密钥的第二公共-私有密钥对与该装置相关联,该方法包括使用服务器生成服务器nonce。该方法进一步包括从服务器向装置传送服务器公共密钥,服务器密钥签名和服务器nonce。该方法进一步包括使用该装置验证服务器公共密钥,使用装置私有密钥对服务器nonce进行签名,得到服务器nonce签名,并生成装置nonce。该方法还包括从装置向服务器传送服务器nonce,服务器nonce签名,装置公共密钥,装置密钥签名和装置nonce。该方法还包括使用服务器验证服务器nonce,验证装置公共密钥,生成会话密钥,使用装置公共密钥对会话密钥进行加密,得到加密的会话密钥,并使用服务器私有密钥对装置nonce和会话密钥的组合进行签名,得到组合签名。该方法还包括从服务器向装置传送装置nonce,组合签名和加密的会话密钥。该方法还包括使用该装置验证装置nonce,使用装置私有密钥对加密的会话密钥进行解密,得到解密的会话密钥,以及验证解密的会话密钥。
在一个实施例中,一种分布式控制系统包括电子控制单元和一个或多个分布式控制模块。包括服务器公共密钥和服务器私有密钥的服务器公共-私有密钥对与电子控制单元相关联。一个或多个装置公共-私有密钥对,每个装置公共-私有密钥对包括装置公共密钥和装置私有密钥,一个或多个装置公共-私有密钥对与一个或多个分布式控制模块相关联。包括授权公共密钥和授权私有密钥的授权公共-私有密钥对与分布式控制系统相关联。服务器密钥签名包括使用授权私有密钥签名的服务器公共密钥。装置密钥签名包括使用授权私有密钥签名的装置公共密钥。电子控制单元和至少一个分布式控制模块进行第一方法,以建立用于彼此之间进行半安全的加密通信的第一会话密钥。电子控制单元和至少一个分布式控制模块还进行第二方法,以建立用于彼此之间进行安全的加密通信的第二会话密钥。
在一个实施例中,一种电子发动机控制包括密钥数据库,该密钥数据库存储包括服务器公共密钥和对应的服务器私有密钥的公共-私有密钥对。电子发动机控制还包括收发器,该收发器向一个或多个装置发送消息并从一个或多个装置接收消息。电子发动机控制还包括生成服务器nonce的服务器nonce生成器。电子发动机控制还包括密钥签名模块,该密钥签名模块使用服务器私有密钥对消息进行签名。电子发动机控制还包括加密模块,该加密模块使用装置公共密钥来加密消息,并使用会话密钥对消息进行加密。电子发动机控制还包括解密模块,该解密模块使用服务器私有密钥来对使用服务器公共密钥加密的消息进行解密,并使用会话密钥来使用会话密钥加密的消息进行解密。电子发动机控制还包括验证模块,该验证模块使用接收到的公共密钥来对使用与接收到的公共密钥对应的私有密钥签名的消息进行解密。电子发动机控制还包括生成会话密钥的会话密钥生成器。
在参考附图考虑以下描述和所附权利要求时,本技术的这些和其他特征和特性,以及操作的方法,结构的相关元件的功能,零部件的组合和制造的经济性将变得更加明显,所有这些均构成本说明书的一部分,其中,相似的附图标记在各个附图中表示对应的零部件。然而,应当明确地理解,附图仅出于说明和描述的目的,并且不旨在作为对本发明的限制的限定。如说明书和权利要求书中所使用的,单数形式的“一”,“一种”和“该”包括复数指代,除非上下文另有明确规定。
附图说明
图1示意性地描绘了根据本文示出和描述的一个或多个实施例的示例性分布式控制系统;
图2示意性地描绘了图1的分布式控制系统的一部分;
图3示意性地描绘了图1-2的电子发动机控制;
图4示意性地描绘了图1-2的分布式控制模块;和
图5描绘了在图1的分布式控制系统的嵌入式装置之间建立安全通信的示例性方法的流程图。
具体实施方式
本公开大体上涉及用于在分布式控制系统(例如具有分布式架构的飞行器系统)中的的嵌入式装置之间建立安全通信协议的装置,系统和方法。本文描述的装置,系统和方法确保仅在分布式控制系统内的装置之间进行通信。这样可以确保装置之间传送的数据的完整性和机密性。当与安全启动(secure boot)结合使用时,这可确保分布式控制系统未被篡改,从而确保系统安全。
图1描绘了示例性分布式控制系统100,其根据各种实施例被用于控制飞行器130的各种部件。飞行器130通常包括机身132,机翼组件138和一个或多个发动机140。虽然图1将飞行器130描述为具有两个机翼组件138的固定翼飞行器,其中一个发动机140安装在每个机翼组件138上(总共两个发动机140),但是可以想到其他构造。例如,其他构造可以包括多于两个的机翼组件138,多于两个的发动机140(例如,三喷气发动机,四喷气发动机等),未安装至机翼组件138(例如,安装至机身,尾翼,安装在机头(nose)上等)的发动机140,非固定的机翼(例如,旋翼飞行器)等。
如图1所示,飞行器130可以包括联接到机翼组件138和/或机身132的发动机140,定位在机身132中的驾驶舱134,以及从机身132向外延伸的机翼组件138。用于控制飞行器130的控制机构160包括在驾驶舱134中并且可以由位于其中的飞行员操作。应当理解,本文所使用的术语“控制机构”是用于包含所有飞行器控制部件的通用术语,特别是通常在驾驶舱134中发现的那些飞行器控制部件。
能够使飞行器130正常运行的多个附加飞行器系统144也可以包括在飞行器130以及发动机控制器136和具有飞行器无线通信链路166的通信系统中。附加飞行器系统144通常可以是对飞行器130的一个或多个部件进行有效控制(例如机舱压力控制,升降舵控制,方向舵控制,襟翼控制,扰流器控制,起落架控制,热交换器控制等)的任何系统。在一些实施例中,飞行器130的航空电子装置可以由一个或多个附加飞行器系统144包围。飞行器无线通信链路166通常可以是现在已知或以后开发的任何空对地通信系统。飞行器无线通信链路166的示例性示例包括但不限于应答器,超高频(VHF)通信系统,飞行器通信寻址和报告系统(ACARS),控制器-飞行员数据链路通信(CPDLC)系统,未来的空中导航系统(FANS)等。发动机控制器136可以可操作地联接到多个飞行器系统144和发动机140。尽管图1示出的实施例具体指的是发动机控制器136,但是应该理解,其他控制器也可以包括在飞行器130内,以控制与发动机140不具体相关的各种其他飞行器系统144。
在一些实施例中,发动机控制器136安装到一个或多个发动机140上。然而,在其他实施例中,发动机控制器136可以被安装到其他飞行器部件上或与其他飞行器部件集成。例如,在一些实施例中,发动机控制器可以安装在飞行器内(例如,不安装在一个或多个发动机140上)。发动机控制器136也可以与飞行器130的其他控制器连接。在实施例中,发动机控制器136可以包括处理器162和/或存储器164(包括非暂时性存储器)。在一些实施例中,存储器164可以包括随机存取存储器(RAM),只读存储器(ROM),闪存或一种或多种不同类型的便携式电子存储器,诸如盘,DVD,CD-ROM等或这些类型的存储器的任何合适组合。处理器162可以执行存储在存储器164上的一个或多个编程指令,从而导致发动机控制器136的操作。也就是说,发动机控制器136内的处理器162和存储器164可以可操作以执行本文中描述的关于发动机控制器136的各种处理,包括操作飞行器130的各种部件(例如发动机140和/或其部件),监测飞行器130的各种部件(例如,发动机140和/或其部件)的健康状况,监测飞行器130和/或其部件的操作。
在一些实施例中,发动机控制器136可以是全权数字发动机控制(FADEC)系统。FADEC系统包括电子发动机控制器(EEC)200或发动机控制单元(ECU)或电子控制单元以及分布式控制模块(DCM)202,如图2所示,并在下面进一步详细描述。返回图1,FADEC系统还可以包含一个或多个附加部件,这些附加部件被构造成控制发动机140的性能的各个方面。FADEC系统通常对发动机140的运行参数具有完全的权限,并且不能被手动覆盖。FADEC系统通常通过接收当前飞行状况的多个输入变量来工作,这些输入变量包括但不限于空气密度,油门杆位置,发动机温度,发动机压力等。输入被接收,分析并用于确定操作参数,例如但不限于燃料流量,定子轮叶位置,放气阀位置等。FADEC系统还可以控制发动机140的启动或重启。FADEC的操作参数可以通过安装和/或更新软件来修改。这样,可以以编程方式控制FADEC以确定发动机限制,接收发动机健康状况报告,接收发动机维护报告等,以在某些条件下采取某些措施和/或动作。
在一些实施例中,发动机控制器136可以包括用于诊断和/或预测飞行器130中的一个或多个发动机系统故障的一个或多个编程指令。诊断的和/或预测的故障可以包括但不限于部件的不当操作,部件的故障,部件将来发生故障的指标等。如本文所使用的,术语诊断是指故障已经发生之后的确定,并且与预测形成相比,预测是指在故障发生之前提前知道故障的前瞻性确定。在诊断的同时,发动机控制器136可以检测故障。
由发动机控制器136运行(例如,由处理器162执行并且存储在存储器164内)的程序可以包括计算机程序产品,该计算机程序产品包括用于携带或具有机器可执行指令或数据结构的机器可读介质。这样的机器可读介质可以是任何可用的介质,该介质可以由通用或专用计算机或具有处理器的其他机器访问。通常,这种计算机程序可以包括具有执行特定任务或实现特定抽象数据类型的技术效果的例程,程序,对象,部件,数据结构,算法等。机器可执行指令,相关联的数据结构和程序表示用于执行如本文所公开的信息交换的程序代码的示例。机器可执行指令可以包括例如指令和数据,该指令和数据使通用计算机,专用计算机或专用处理机器执行某些功能或一组功能。在一些实施例中,计算机程序产品可以由发动机控制器136外部的部件提供并且被安装以供发动机控制器136使用。
在实施例中,发动机140中的每个发动机可以包括风扇142和用于在发动机140的操作期间感测风扇142的各种特性的一个或多个传感器150。一个或多个传感器150的示例性示例包括但不限于风扇速度传感器152,温度传感器154和压力传感器156。风扇速度传感器152通常是测量发动机140内的风扇142的旋转速度的传感器。温度传感器154可以是测量发动机140内的流体温度(例如发动机空气温度),发动机进气位置处的流体(例如,空气)的温度,压缩机内的流体(例如,空气)的温度,涡轮内的流体(例如,空气)的温度,燃烧室内的流体(例如,空气)的温度,发动机排气位置处的流体(例如,空气)的温度,发动机中或发动机周围的热交换器中使用的冷却流体和/或加热流体的温度等的传感器。压力传感器156可以是测量发动机140内和/或发动机140周围的各个位置中的流体压力(例如,空气压力),例如发动机进气口处的流体压力(例如,空气压力),压缩机内的流体压力(例如,空气压力),涡轮内的流体压力(例如,空气压力),燃烧室内的流体压力(例如,空气压力),发动机排气位置处的流体压力(例如,空气压力)等的传感器。
在一些实施例中,发动机140中的每个发动机可以具有与其相关联的多个传感器150(包括一个或多个风扇速度传感器152,一个或多个温度传感器154和/或一个或多个压力传感器156)。也就是说,可以使用多于一个的相同类型的传感器150来感测发动机140的特性(例如,用于同一发动机140的每个不同区域的传感器150)。在一些实施例中,一个或多个传感器150可以用于感测多于一个的发动机140的特性(例如,单个传感器150可以用于感测两个发动机140的特性)。发动机140可以进一步包括本文未具体描述的附加部件,并且可以包括在一些实施例中并入这种附加部件或构造成感测这种附加部件的一个或多个附加传感器150。
在实施例中,传感器150中的每个传感器(包括但不限于风扇速度传感器152,温度传感器154和压力传感器156)可以通信地联接到飞行器130的一个或多个部件,以便从传感器150发送与一个或多个感测到的特性有关的信号和/或数据,以确定,检测和/或预测故障,以及根据需要传感器信息的软件编程来完成一个或多个其他动作。如在图1所示的实施例中,在各个传感器150(例如,风扇速度传感器152,温度传感器154和压力传感器156)和飞行器系统144和发动机控制器136之间延伸的虚线所示,在一些实施例中,各种传感器150可以通信地联接到飞行器系统144和/或发动机控制器136。这样,各种传感器150可以经由有线或无线通信地联接到飞行器系统144和/或发动机控制器136,以将信号和/或数据发送到飞行器系统144和/或发动机控制器136。
应当理解,飞行器130仅表示一个示例性实施例,该飞行器130可以构造成实现本文所述的装置,系统和方法的实施例或实施例的一部分。在操作期间,飞行器130(例如发动机控制器136和/或另一部件)可以诊断或预测各种飞行器系统144中的一个或多个飞行器系统中的系统故障。通过非限制性示例的方式,当操作飞行器130时,控制机构160可以用于操作一个或多个飞行器系统144。各种传感器150(包括但不限于风扇速度传感器152,温度传感器154和/或压力传感器156)可以输出与发动机140和/或其他飞行器系统144的各种特性有关的数据。发动机控制器136可以利用来自控制机构160,风扇速度传感器152,温度传感器154,压力传感器156,各种飞行器系统144,一个或多个数据库的输入和/或来自航空公司控制,飞行操作等的信息以诊断,检测和/或预测航空公司维修人员可能不知道的故障。此外,发动机控制器136分析由各种传感器150(例如,风扇速度传感器152,温度传感器154,压力传感器156等)可以在一段时间内输出的数据,以确定发动机140和/或各种其他飞行器系统144的操作中的漂移,趋势,步骤或峰值。发动机控制器136还可以分析系统数据以确定历史压力,历史温度,飞行器130上的多个发动机140之间的压力差,飞行器130上的多个发动机140之间的温度差等,并且基于此诊断,检测和/或预测发动机140和/或各种其他飞行器系统144中的故障。一旦已经诊断,检测和/或预测了故障,就可以在飞行器130上和/或在地面系统120处提供指示。可以想到,故障的诊断,检测和/或预测可以在飞行前检查期间,可以在飞行期间完成,可以在飞行后完成,或者可以在多次飞行之后完成。飞行器无线通信链路166和地面无线通信链路122可以发送数据,使得与故障有关的数据和/或信息可以从飞行器130上发送出去。
应当理解,尽管在图1中示出并描述了特定的飞行器,其他构造和/或飞行器,例如带有补充平移推力系统的高速复合旋翼飞行器,双反向旋转飞行器,同轴旋翼系统飞行器,涡轮螺旋桨飞行器,倾斜旋翼飞行器,倾斜翼飞行器,常规起飞降落飞行器和其他涡轮驱动的机器也将从本公开中受益。
虽然图1的实施例具体涉及飞行器130内的部件,但是本公开不限于此。也就是说,关于飞行器130描绘的各种部件可以并入各种其他类型的飞行器内,并且可以以类似的方式工作,以将新的软件和/或更新的软件递送和安装到发动机控制器136,如本文所述。例如,在不脱离本公开的范围的情况下,本文关于飞行器130所描述的各种部件可以存在于船只,航天器等中。
仍然参考图1,地面系统120通常是位于地面上的传送系统,该传送系统能够向飞行器130发送信号和/或从飞行器130接收信号。也就是说,地面系统120可以包括地面无线通信链路122,该地面无线通信链路122无线通信地联接到飞行器无线通信链路166以发送和/或接收信号和/或数据。在一些实施例中,地面系统120可以是空中交通管制(ATC)塔架和/或其一个或多个部件或系统。因此,地面无线通信链路122可以是VHF通信系统,ACARS单元,CPDLC系统,FANS等。使用地面系统120和地面无线通信链路122,图1的实施例中所描绘的各种非飞行器部件可以通信地联接到飞行器130,甚至在飞行器130在空中并且飞行的情况下也是如此。然而,应当理解,图1中所描绘的实施例仅是示例性的。在其他实施例中,飞行器130在地面上时可以通信地联接到分布式控制系统100的各种其他部件。
转到图2,描绘了分布式控制系统100的各种部件的示意图。特别地,图2描绘了发动机控制器136的示意图。如上所述,在一些实施例中,发动机控制器136包括FADEC系统。同样如上所述,发动机控制器136包括电子发动机控制(EEC)200和分布式控制模块(DCM)202。EEC 200通过数据总线204联接到DCM 202。在一些实施例中,数据总线204包括发动机区域分布式互连网络(EADIN)。在EADIN数据总线协议下,EEC 200和DCM 202以主/从结构操作,其中EEC 200是主结构,而DCM 202是从结构。因此,EEC 200通过DCM 202控制飞行器130的各种部件的操作。
DCM 202联接到多个传感器节点206a,206b,206c和多个致动器节点208a,208b,208c。在图2的图示中,为了说明的目的,示出了三个传感器节点和三个致动器节点。然而,应当理解,分布式控制系统100可以包括任何数量的传感器节点和/或致动器节点。传感器节点206a,206b,206c从各种传感器(例如,图1的传感器150)发送和接收数据。致动器节点208a,208b,208c可以控制致动装置,例如图1的飞行器系统144。在一些实施例中,节点全部位于飞行器130上。在其他实施例中,一些节点可以位于飞行器130之外。在一些实施例中,发动机控制器136可以包括通过数据总线204联接到EEC 200的多个分布式控制模块202。在这些实施例中,每个DCM 202可以联接到多个不同的节点。
军事和/或民用客户可能需要沿着数据总线204进行身份验证和加密,以防止篡改。此外,重要的是,快速处理来自飞行器上的传感器的数据和发送到飞行器上的致动器的命令,以维持对发动机140的控制并支持飞行器130的运行。因此,分布式发动机控制具有严格的实时约束。
迪菲-赫尔曼(Diffie-Hellman)密钥交换使用模块化算法,该模块化算法涉及由大质数(prime number)(通常为数百位长)组成的公共-私有密钥对,以建立以用于对装置之间的通信进行加密的对称会话密钥。如果使用的质数足够大,则此方法非常安全。然而,使用诸如迪菲-赫尔曼密钥交换的系统建立安全的通信协议可能需要装置之间的多次传送和大量流量,并且可能需要几秒钟才能完成,具体取决于处理器加载。因此,本文公开了一种用于快速建立半安全加密的方法,该方法可以用于装置之间的通信,同时在装置之间建立更安全的加密协议。
EEC 200和DCM 202使用公共-私有密钥基础结构来建立半安全会话密钥,该半安全会话密钥可以用于对消息进行加密,同时通过使用例如迪菲-赫尔曼密钥交换来建立更安全的通信协议。一旦建立了半安全会话密钥,就可以使用该会话密钥对EEC 200和DCM202之间的通信进行加密。然后,当使用会话密钥进行通信时,可以在后台执行迪菲-赫尔曼密钥交换或其他方法。
EEC 200和DCM 202各自具有公共-私有密钥对。也就是说,EEC 200具有服务器公共密钥和相关联的服务器私有密钥,并且DCM 202具有装置公共密钥和相关联的装置私有密钥。当使用公用密钥对消息进行加密时,可以使用对应的私有密钥对消息进行解密以揭示原始消息。这允许安全的通信。此外,当使用私有密钥对消息进行签名时,可以使用对应的公共密钥对其进行读取以揭示原始消息。这可以用来验证消息的发送者。在一些实施例中,EEC 200和DCM 202各自具有用于对消息进行加密的一个公共-私有密钥对和用于对消息进行签名的另一公共-私有密钥对。
在包括多个分布式控制模块202的实施例中,每个这样的DCM可以具有其自己相关联的公共-私有密钥对。在这些实施例中,本文描述的方法可以用于在EEC 200和每个DCM202之间建立安全通信。
EEC 200和DCM 202的公共密钥可以被自由地传送并公开已知。仅私有密钥需要保持私有。因此,使用本文公开的方法,即使在建立会话密钥之间的通信被拦截,也可以在EEC200和DCM 202之间建立安全的会话密钥。
转向图3,示出了EEC 200的示意图。EEC 200包括密钥数据库300,收发器302,服务器nonce生成器304,密钥签名模块306,加密模块308,解密模块310,验证模块312和会话密钥生成器314。
密钥数据库300存储服务器公共密钥和服务器私有密钥。如上所讨论的,服务器公共密钥可以在不损害安全性的情况下公开可用,但是服务器私有密钥应该保持私有并且仅对EEC 200已知。密钥数据库300还可以存储作为授权公共-私有密钥对的一部分的授权公共密钥。
在密钥供应期间,在发动机控制器136外部建立授权公共-私有密钥对,并用于授权或认证EEC 200和DCM 202的公共密钥。授权私有密钥远离发动机控制器136存储并用于对服务器公共密钥进行签名以创建服务器密钥签名,并且用于对装置公共密钥进行签名以创建装置密钥签名。授权公共密钥可以用于读取服务器密钥签名以获得服务器公共密钥。这可以用于认证服务器公共密钥。授权公共密钥还可以用于读取装置密钥签名以获得装置公共密钥,从而认证装置公共密钥。服务器密钥签名可以存储在密钥数据库300上。
参考图2和图3,收发器302向数据总线204发送消息和从数据总线204接收消息,其中消息可以被引导到DCM 202或飞行器130的其他部件。当与DCM 202建立安全通信会话时,收发器302根据本文公开的方法发送和接收消息。一旦建立会话密钥,收发器302就可以通过数据总线204向DCM 202发送命令或从DCM 202接收传感器信息。
服务器nonce生成器304生成服务器nonce。服务器nonce是一次性使用的随机数,用于建立会话密钥,如下面进一步详细说明。由于服务器nonce是随机生成的并且不会重复使用,因此服务器nonce可防止来自拦截服务器nonce的任何中介的重放攻击。通常,nonce最少为128位。在一些实施例中,由EEC 200生成的服务器nonce包含256位。
密钥签名模块306使用服务器私有密钥对消息进行签名。如上所述,使用私有密钥对消息进行签名会创建加密的消息,该加密的消息只能使用关相关联的公共密钥进行解密。因为私有密钥仅由发送者知道,所以能够使用相关联的公共密钥成功解密消息的消息接收者可以确信消息来自私有密钥的所有者。
在一些实施例中,密钥签名模块306首先将哈希函数应用于消息并对产生的哈希进行签名,而不是对消息本身进行签名。在这些实施例中,签名的哈希与要验证的原始消息一起被传送到DCM 202。然后,当DCM 202接收到消息和签名的哈希时,可以使用服务器公共密钥来读取签名的哈希,并且可以将由密钥签名模块306所使用的哈希函数应用于接收到的消息。然后可以比较结果以验证它们匹配,从而确保接收到的消息实际上来自EEC200。这种仅对消息的哈希进行签名而不是整个消息进行签名的方法可以减少需要签名的数据量,从而提高了计算效率。
加密模块308使用装置公共密钥或会话密钥对消息进行加密。如上所述,使用公共密钥对消息进行加密会创建加密的消息,该加密的消息只能使用相关联的私有密钥进行解密。因此,使用公共密钥加密的消息只能由私有密钥的持有者进行解密,这确保了如果消息被拦截则不能进行解密。使用对称会话密钥加密的消息只能使用会话密钥进行解密。因此,一旦建立了安全或半安全的会话密钥,加密模块308就可以对消息进行加密以安全地发送到DCM 202。
解密模块310使用服务器私有密钥或会话密钥对接收到的消息进行解密。特别地,从DCM 202接收到的已经使用服务器公共密钥进行加密的消息使用服务器公共密钥进行解密。因为私有密钥是由EEC 200持有的,所以如果消息被拦截,则任何其他实体(entity)都无法对此类消息进行解密。一旦建立了安全或半安全的会话密钥,解密模块310就可以对从DCM 202接收到的已经使用会话密钥进行加密的消息进行解密。
验证模块312验证消息的发送者。具体地,验证模块312验证由DCM 202签名的消息实际上来自DCM 202。验证模块312通过使用装置公共密钥来解密和读取使用装置私有密钥签名的消息来实现这一点。如果可以成功解密此类消息,则验证模块312验证该消息实际上来自DCM 202。此外,验证模块312通过读取带有授权公共密钥的服务器密钥签名来验证装置公共密钥的完整性。
在如上所述的密钥签名模块306对哈希进行签名的实施例中,验证模块312可以使用装置公共密钥来读取签名的哈希,然后将哈希函数应用于结果以验证DCM 202作为消息的发送者。
在建立更安全的通信协议的同时,会话密钥生成器314生成将由EEC 200和DCM202使用以对它们之间的通信进行加密的会话密钥。在一些实施例中,会话密钥生成器314随机生成仅用于对一个通信会话的消息进行加密的会话密钥。一旦会话密钥生成器314生成了会话密钥,就必须将其安全地传送到DCM 202。本文的方法公开了这是如何实现的。
转向图4,示出了DCM 202的示意图。DCM 202包括密钥数据库400,收发器402,装置nonce生成器404,密钥签名模块414,加密模块408,解密模块410和验证模块412。
密钥数据库400存储装置公共密钥和装置私有密钥。如上所述,可以公共地公开装置公共密钥,而装置私有密钥应保持私有。密钥数据库400还可以存储授权公共密钥和装置密钥签名。
参考图2和图4,收发器402向数据总线204发送通信和从数据总线204接收通信,以及向节点206a,206b,206c,208a,208b,208c和作为分布式控制系统100的一部分的其他节点发送通信和从节点206a,206b,206c,208a,208b,208c和作为分布式控制系统100的一部分的其他节点接收通信。收发器402用于向EEC 200发送通信和从EEC 200接收通信,如以下方法中所公开的。
装置nonce生成器404生成装置nonce。装置nonce可以是随机生成的数字,类似于由服务器nonce生成器304(图3)生成的服务器nonce。
仍参考图2和图4,密钥签名模块406使用装置私有密钥对消息进行签名。DCM 202的密钥签名模块406具有与EEC 200的密钥签名模块306类似的功能。在一些实施例中,密钥签名模块406将哈希函数应用于消息,并以与以上结合密钥签名模块306所讨论的方式类似的方式对产生的哈希进行签名,而不是对消息进行签名。
加密模块408使用服务器公共密钥或会话密钥对消息进行加密。DCM 202的加密模块408具有与EEC 200的加密模块308类似的功能。
解密模块410使用装置私有密钥或会话密钥对接收到的消息进行解密。DCM 202的解密模块410具有与EEC 200(图3)的解密模块310类似的功能。
仍参考图2和图4,验证模块412验证消息的发送者并验证服务器公共密钥的完整性。DCM 202的验证模块412具有与EEC 200(图3)的验证模块312类似的功能。具体地,验证模块412通过使用服务器公共密钥读取由服务器私有密钥签名的消息来验证由EEC200签名的消息实际上是来自EEC 200的。验证模块412还通过读取具有授权公共密钥的服务器密钥签名来认证服务器公共密钥。
图5描绘了在装置之间(例如在图2的EEC 200和DCM 202之间)认证和建立安全通信协议的示例性方法500的流程图。图5的方法允许在建立完全安全的通信的同时在EEC200和DCM 202之间进行半安全的加密通信。图5的方法500使用公共密钥密码术来对EEC200与DCM之间的通信进行加密并验证那些通信的完整性,如本文所述。
参照图2-5,在框502处,由EEC 200中的生成服务器nonce的服务器nonce生成器304发起会话请求(即,在EEC 200与DCM 202之间建立安全通信的请求)。
在框504中,收发器302向DCM 202传送服务器公共密钥,服务器密钥签名和所生成的服务器nonce。部分公共密钥可以包括来自用于生成本文所述的各种公共密钥和私有密钥的根(root)签名密钥的签名。根签名密钥可以是公共密钥基础结构(PKI)的一部分。
在框506中,DCM 202的收发器402从EEC 200接收通信,并且验证模块412使用授权公共密钥来读取接收到的服务器密钥签名,并验证结果与接收到的服务器公共密钥匹配。这确保了来自EEC 200的通信和接收到的服务器公共密钥的完整性。然后,密钥签名模块406使用装置私有密钥对接收到的服务器nonce进行签名。然后,在框508中,装置nonce生成器404生成装置nonce。与上述服务器nonce类似,装置nonce可以是单次使用的、随机生成的数字,以防止重放攻击。服务器nonce和装置nonce的使用允许相互认证,从而通信的每一端都相互认证。
在框510中,收发器402将服务器nonce签名,原始服务器nonce,装置公共密钥,装置密钥签名以及所生成的装置nonce传送回EEC 200。
在框512中,EEC 200的收发器302从DCM 202接收通信,并且验证模块312验证接收到的服务器nonce与生成的服务器nonce匹配。然后,验证模块312使用接收到的装置公共密钥来读取接收到的服务器nonce签名并验证结果与原始服务器nonce匹配。验证模块312还使用授权公共密钥来读取接收到的装置密钥签名并验证结果与接收到的装置公共密钥匹配。这确保了来自DCM 202的通信的完整性以及接收到的装置公共密钥的完整性。
在框514中,在建立更安全的加密协议的同时,会话密钥生成器314生成用于在EEC200和DCM 202之间进行半安全通信的对称会话密钥。然后,加密模块308使用接收到的装置公共密钥对生成的会话密钥进行加密。然后,在框516中,密钥签名模块306使用服务器私有密钥对接收到的装置nonce和所生成的会话密钥的组合(例如,装置nonce和会话密钥的串接(concatenation))进行签名。如果EEC 200和DCM 202之间的通信被拦截,则这防止了会话密钥被替换。在框518中,收发器302向DCM 202传送装置nonce,装置nonce和会话密钥的签名组合以及加密的会话密钥。
在框520中,DCM 202的收发器402接收来自EEC 200和验证模块412的通信,并使用服务器公共密钥读取装置nonce和会话密钥的签名组合,以获得经过验证的装置nonce和经过验证的会话密钥。验证模块412验证经过验证的装置nonce与接收到的装置nonce匹配。验证模块412使用装置私有密钥对加密的会话密钥进行解密,并验证结果与验证的会话密钥匹配。
此时,EEC 200和DCM 202相互进行了身份验证,并建立了可以用于半安全通信的安全会话密钥。EEC 200和DCM 202可以开始使用对称会话密钥彼此安全地通信。加密模块308和408可以使用会话密钥对消息进行加密,并且解密模块310和410可以对接收到的加密消息进行解密。在一些实施例中,执行图5的方法大约需要30毫秒(ms)。因此,在EEC 200和DCM 202之间的会话请求的发起与半安全通信的开始之间几乎没有延迟。
当这种半安全通信发生时,EEC 200和DCM 202可以建立完全安全的对称密钥,以在后台进行更安全的通信。在一些实施例中,EEC 200和装置可以建立前向安全密钥交换,例如迪菲-赫尔曼密钥交换。在一些实施例中,使用迪菲-赫尔曼密钥交换来建立前向安全密钥大约需要1-2秒。因此,在建立前向安全密钥的同时,图5的方法500可以用于快速建立半安全会话密钥,该半安全会话密钥可以在执行迪菲-赫尔曼密钥交换时用于对通信进行加密。一旦通过迪菲-赫尔曼密钥交换商定了前向安全会话密钥,EEC 200和DCM 202就可以放弃使用图5的方法500建立的会话密钥,并且可以切换到使用更安全的前向安全会话密钥来对通信进行加密。
现在应当理解,本文描述的装置,系统和方法利用用于在分布式控制系统中的嵌入式装置之间建立安全通信协议的装置,系统和方法。本文所述的装置,系统和方法在建立完全安全的通信的同时及时建立半安全的通信。
尽管本文已经图示和描述了特定的实施例,但是应该理解,在不脱离所要求保护的主题的精神和范围的情况下,可以做出各种其他改变和修改。而且,尽管本文已经描述了所要求保护的主题的各个方面,但是这些方面不需要结合使用。因此,意图是所附权利要求覆盖在所要求保护的主题的范围内的所有这样的改变和修改。
本发明的进一步方面由以下条项的主题提供。
一种在分布式控制系统中的服务器和装置之间建立安全通信的方法,其中,包括服务器公共密钥和服务器私有密钥的第一公共-私有密钥对与该服务器相关联,并且其中包括装置公共密钥和装置私有密钥的第二公共-私有密钥对与该装置相关联,该方法包括:使用服务器,生成服务器nonce;从服务器向装置发送服务器公共密钥,服务器密钥签名和服务器nonce;使用该装置,验证服务器公共密钥,使用该装置私有密钥对服务器nonce进行签名,得到服务器nonce签名,并生成装置nonce;从装置向服务器传送服务器nonce,服务器nonce签名,装置公共密钥,装置密钥签名和装置nonce;使用服务器,验证服务器nonce,验证装置公共密钥,生成会话密钥,使用装置公共密钥对会话密钥进行加密,得到加密的会话密钥,并使用服务器私有密钥对装置nonce和会话密钥的组合进行签名,得到组合签名;从服务器向装置发送装置nonce,组合签名和加密的会话密钥;使用装置,验证装置nonce,使用装置私有密钥对加密的会话密钥进行解密,得到解密的会话密钥,并验证解密的会话密钥。
根据任何在前条项的方法,其中,服务器密钥签名包括用授权私有密钥签名的服务器公共密钥;并且其中装置密钥签名包括使用授权私有密钥签名的装置公共密钥。
根据任何在前条项的方法,其中验证服务器公共密钥包括使用授权公共密钥读取服务器密钥签名,并验证结果与服务器公共密钥匹配。
根据任何在前条项的方法,其中,验证服务器nonce包括使用装置公共密钥读取服务器nonce签名,并验证结果与服务器nonce匹配。
根据任何在前条项的方法,其中,验证装置公共密钥包括使用授权公共密钥读取装置密钥签名,并验证结果与装置公共密钥匹配。
根据任何在前条项的方法,其中,验证装置nonce包括使用服务器公共密钥读取组合签名,并验证结果的一部分与装置nonce匹配。
根据任何在前条项的方法,其中,验证解密的会话密钥包括使用服务器公共密钥读取组合签名,并验证结果的一部分与解密的会话密钥匹配。
根据任何在前条项的方法,还包括使用会话密钥在服务器和装置之间传送加密的通信。
根据任何在前条项的方法,还包括在服务器与装置之间建立前向安全密钥。
根据任何在前条项的方法,其中,使用迪菲-赫尔曼密钥交换协议来建立前向安全密钥。
根据任何在前条项的方法,还包括在建立前向安全密钥之后,停止使用会话密钥在服务器和装置之间传送加密的通信;以及使用前向安全密钥在服务器和装置之间传送加密的通信。
一种分布式控制系统,包括:电子控制单元;和一个或多个分布式控制模块;其中,包括服务器公共密钥和服务器私有密钥的服务器公共-私有密钥对与电子控制单元相关联;一个或多个公共-私有密钥对,每个公共-私有密钥对包括装置公共密钥和装置私有密钥,一个或多个公共-私有密钥对与一个或多个分布式控制模块相关联;包括授权公共密钥和授权私有密钥的授权公共-私有密钥对与分布式控制系统相关联;服务器密钥签名包括使用授权私有密钥签名的服务器公共密钥;装置密钥签名包括使用授权私有密钥签名的装置公共密钥;电子控制单元和至少一个分布式控制模块进行第一方法,以建立用于彼此之间进行半安全的加密通信的第一会话密钥;以及电子控制单元和至少一个分布式控制模块还进行第二种方法,以建立用于彼此之间进行安全的加密通信的第二会话密钥。
根据任何在前条项的分布式控制系统,其中,电子控制单元构造成通过以下步骤建立第一会话密钥:生成服务器nonce;向至少一个分布式控制模块传送服务器公共密钥,服务器密钥签名和服务器nonce;从至少一个分布式控制模块接收服务器nonce,服务器nonce签名,装置公共密钥,装置密钥签名和装置nonce;验证服务器nonce;验证装置公共密钥;生成第一会话密钥;使用装置公共密钥对第一会话密钥进行加密,得到加密的第一会话密钥;使用服务器私有密钥对装置nonce和第一个会话密钥的组合进行签名,得到签名的组合签名;以及向至少一个分布式控制模块传送制造nonce,组合签名和加密的第一会话密钥。
根据任何在前条项的分布式控制系统,其中,电子控制单元通过使用装置公共密钥读取服务器nonce签名、并验证结果与服务器nonce匹配,来验证服务器nonce。
根据任何在前条项的分布式控制系统,其中,电子控制单元通过使用授权公共密钥读取装置密钥签名、并验证结果与装置公共密钥匹配,来验证装置公共密钥。
根据任何在前条项的分布式控制系统,其中,至少一个分布式控制模块构造成通过以下方式建立第一会话密钥:从电子控制单元接收服务器公共密钥,服务器密钥签名和服务器nonce;验证服务器公共密钥;使用装置私有密钥对服务器nonce进行签名,得到服务器nonce签名;生成装置nonce;向电子控制单元传送服务器nonce,服务器nonce签名,装置公共密钥,装置密钥签名和装置nonce;从电子控制单元接收装置nonce,装置nonce和第一会话密钥的组合签名以及加密的第一会话密钥;验证装置nonce;使用装置私有密钥对加密的第一会话密钥进行解密,得到解密的第一会话密钥;以及验证第一会话密钥。
根据任何在前条项的分布式控制系统,其中,至少一个分布式控制模块通过使用授权公共密钥读取服务器密钥签名、并验证结果与服务器公共密钥匹配,来验证服务器公共密钥。
根据任何在前条项的分布式控制系统,其中,至少一个分布式控制模块通过使用服务器公共密钥读取组合签名、并验证结果与装置nonce匹配,来验证装置nonce。
一种电子发动机控制,包括:密钥数据库,该密钥数据库存储包括服务器公共密钥和对应的服务器私有密钥的公共-私有密钥对;收发器,该收发器向一个或多个装置发送消息并从一个或多个装置接收消息;生成服务器nonce的服务器nonce生成器;使用服务器私有密钥对消息进行签名的密钥签名模块;加密模块,该加密模块使用装置公共密钥对消息进行加密,并使用会话密钥对消息进行加密;解密模块,该解密模块使用服务器私有密钥对使用服务器公共密钥加密的消息进行解密,并使用会话密钥对使用会话密钥加密的消息进行解密;验证模块,该验证模块使用接收到的公共密钥来对使用与接收到的公共密钥对应的私有密钥签名的消息进行解密;以及生成会话密钥的会话密钥生成器。
根据任何在前条项的电子发动机控制,其中,密钥签名模块通过使用服务器私有密钥对服务器公共密钥进行签名来创建服务器密钥签名。
Claims (11)
1.一种在分布式控制系统中的服务器和装置之间建立安全通信的方法,其特征在于,其中,包括服务器公共密钥和服务器私有密钥的第一公共-私有密钥对与所述服务器相关联,并且其中,包括装置公共密钥和装置私有密钥的第二公共-私有密钥对与所述装置相关联,所述方法包括:
使用所述服务器生成服务器nonce;
从所述服务器向所述装置传送所述服务器公共密钥,服务器密钥签名和所述服务器nonce;
使用所述装置,验证所述服务器公共密钥,使用所述装置私有密钥对所述服务器nonce进行签名,得到服务器nonce签名,并生成装置nonce;
从所述装置向所述服务器传送所述服务器nonce,所述服务器nonce签名,所述装置公共密钥,装置密钥签名和所述装置nonce;
使用所述服务器,验证所述服务器nonce,验证所述装置公共密钥,生成会话密钥,使用所述装置公共密钥对所述会话密钥进行加密,得到加密的会话密钥,并使用所述服务器私有密钥对所述装置nonce和所述会话密钥的组合进行签名,得到组合签名;
从所述服务器向所述装置传送所述装置nonce,所述组合签名和所述加密的会话密钥;和
使用所述装置,验证所述装置nonce,使用所述装置私有密钥对所述加密的会话密钥进行解密,得到解密的会话密钥,并验证所述解密的会话密钥。
2.根据权利要求1所述的方法,其特征在于,其中,所述服务器密钥签名包括使用授权私有密钥签名的所述服务器公共密钥;并且
其中,所述装置密钥签名包括使用所述授权私有密钥签名的所述装置公共密钥。
3.根据权利要求2所述的方法,其特征在于,其中,验证所述服务器公共密钥包括使用授权公共密钥读取所述服务器密钥签名,并验证结果与所述服务器公共密钥匹配。
4.根据权利要求1所述的方法,其特征在于,其中,验证所述服务器nonce包括使用所述装置公共密钥读取所述服务器nonce签名,并验证结果与所述服务器nonce匹配。
5.根据权利要求2所述的方法,其特征在于,其中,验证所述装置公共密钥包括使用授权公共密钥读取所述装置密钥签名,并验证结果与所述装置公共密钥匹配。
6.根据权利要求1所述的方法,其特征在于,其中,验证所述装置nonce包括使用所述服务器公共密钥读取所述组合签名,并验证结果的一部分与所述装置nonce匹配。
7.根据权利要求1所述的方法,其特征在于,其中,验证所述解密的会话密钥包括使用所述服务器公共密钥读取所述组合签名,并验证结果的一部分与所述解密的会话密钥匹配。
8.根据权利要求1所述的方法,其特征在于,进一步包括使用所述会话密钥在所述服务器和所述装置之间传送加密的通信。
9.根据权利要求1所述的方法,其特征在于,进一步包括在所述服务器和所述装置之间建立前向安全密钥。
10.根据权利要求9所述的方法,其特征在于,其中,使用迪菲-赫尔曼密钥交换协议来建立所述前向安全密钥。
11.根据权利要求9所述的方法,其特征在于,进一步包括在建立所述前向安全密钥之后:
停止使用所述会话密钥在所述服务器和所述装置之间传送加密的通信;以及
使用所述前向安全密钥在所述服务器和所述装置之间传送加密的通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211543698.2A CN116015732A (zh) | 2019-09-26 | 2020-09-25 | 与分布式控制系统中的装置安全地通信 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962906355P | 2019-09-26 | 2019-09-26 | |
| US62/906,355 | 2019-09-26 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211543698.2A Division CN116015732A (zh) | 2019-09-26 | 2020-09-25 | 与分布式控制系统中的装置安全地通信 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565176A CN112565176A (zh) | 2021-03-26 |
| CN112565176B true CN112565176B (zh) | 2022-12-23 |
Family
ID=72473440
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211543698.2A Pending CN116015732A (zh) | 2019-09-26 | 2020-09-25 | 与分布式控制系统中的装置安全地通信 |
| CN202011024616.4A Active CN112565176B (zh) | 2019-09-26 | 2020-09-25 | 与分布式控制系统中的装置安全地通信 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211543698.2A Pending CN116015732A (zh) | 2019-09-26 | 2020-09-25 | 与分布式控制系统中的装置安全地通信 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US11711206B2 (zh) |
| EP (2) | EP4274157A3 (zh) |
| CN (2) | CN116015732A (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11416852B1 (en) * | 2017-12-15 | 2022-08-16 | Worldpay, Llc | Systems and methods for generating and transmitting electronic transaction account information messages |
| DE102021123327A1 (de) * | 2021-09-09 | 2023-03-09 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zum sicheren Konfigurieren einer Vielzahl von Gateway-Steuergeräten eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug |
| US20230078954A1 (en) * | 2021-09-10 | 2023-03-16 | Assa Abloy Ab | Fast bilateral key confirmation |
| US20240113867A1 (en) * | 2022-09-30 | 2024-04-04 | General Electric Company | Methods and systems for starting secure communication in systems with high availability |
| CN116094748A (zh) * | 2022-11-23 | 2023-05-09 | 紫光云技术有限公司 | 一种基于布隆过滤器的报文验签拦截系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603485A (zh) * | 2016-10-31 | 2017-04-26 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| CN106656481A (zh) * | 2016-10-28 | 2017-05-10 | 美的智慧家居科技有限公司 | 身份认证方法、装置以及系统 |
| WO2017188895A1 (en) * | 2016-04-27 | 2017-11-02 | Huawei International Pte. Ltd. | Method and system for authentication with asymmetric key |
| CN108512846A (zh) * | 2018-03-30 | 2018-09-07 | 北京邮电大学 | 一种终端与服务器之间的双向认证方法和装置 |
| CN110138548A (zh) * | 2019-04-22 | 2019-08-16 | 如般量子科技有限公司 | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7240366B2 (en) | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
| JP4504099B2 (ja) * | 2003-06-25 | 2010-07-14 | 株式会社リコー | デジタル証明書管理システム、デジタル証明書管理装置、デジタル証明書管理方法、更新手順決定方法およびプログラム |
| US7552321B2 (en) | 2003-11-20 | 2009-06-23 | The Boeing Company | Method and hybrid system for authenticating communications |
| US9576404B2 (en) | 2004-09-16 | 2017-02-21 | Harris Corporation | System and method of transmitting data from an aircraft |
| US7620374B2 (en) | 2004-09-16 | 2009-11-17 | Harris Corporation | System and method of transmitting data from an aircraft |
| US8539233B2 (en) * | 2007-05-24 | 2013-09-17 | Microsoft Corporation | Binding content licenses to portable storage devices |
| FR2920410B1 (fr) | 2007-09-03 | 2009-10-30 | Airbus France Sas | Architecture repartie entre un fadec et des composants avioniques |
| US8001381B2 (en) * | 2008-02-26 | 2011-08-16 | Motorola Solutions, Inc. | Method and system for mutual authentication of nodes in a wireless communication network |
| US8130773B2 (en) | 2008-06-25 | 2012-03-06 | Honeywell International Inc. | Hybrid topology ethernet architecture |
| US8479260B2 (en) | 2009-12-21 | 2013-07-02 | The Boeing Company | Multi-level security controls system |
| US8868201B2 (en) * | 2011-04-20 | 2014-10-21 | Medtronic, Inc. | Adaptively configuring the validation timeout of a session key used for securing communication with an implantable medical device |
| US20130305391A1 (en) | 2012-05-14 | 2013-11-14 | Rosemount Aerospace, Inc. | Common Computing Apparatus Providing Distinct Non-Certified And Certified Computing Platforms |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| WO2016202375A1 (en) * | 2015-06-17 | 2016-12-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for enabling a secure provisioning of a credential, and related wireless devices and servers |
| KR101841560B1 (ko) * | 2016-10-11 | 2018-05-04 | 주식회사 코인플러그 | Utxo 기반 프로토콜을 사용하여 전자 바우처를 발행, 사용, 환불, 정산 및 파기하는 방법과 이를 이용한 서버 |
| US10547613B1 (en) * | 2017-05-17 | 2020-01-28 | Amazon Technologies, Inc. | Simplified association of devices with a network using unique codes on the devices and side channel communication |
| US11057240B2 (en) | 2018-12-20 | 2021-07-06 | Rolls-Royce North American Technologies Inc. | Method and process for securing an executable image |
| US11803168B2 (en) | 2019-03-08 | 2023-10-31 | General Electric Company | Distributed control modules with cumulating command references |
| US11212113B2 (en) * | 2019-05-20 | 2021-12-28 | Citrix Systems, Inc. | Systems and methods providing connection lease anti-theft features for virtual computing sessions |
-
2020
- 2020-09-11 EP EP23198715.7A patent/EP4274157A3/en active Pending
- 2020-09-11 EP EP20195683.6A patent/EP3799349B1/en active Active
- 2020-09-24 US US17/030,682 patent/US11711206B2/en active Active
- 2020-09-25 CN CN202211543698.2A patent/CN116015732A/zh active Pending
- 2020-09-25 CN CN202011024616.4A patent/CN112565176B/zh active Active
-
2023
- 2023-06-06 US US18/206,194 patent/US20230318812A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017188895A1 (en) * | 2016-04-27 | 2017-11-02 | Huawei International Pte. Ltd. | Method and system for authentication with asymmetric key |
| CN106656481A (zh) * | 2016-10-28 | 2017-05-10 | 美的智慧家居科技有限公司 | 身份认证方法、装置以及系统 |
| CN106603485A (zh) * | 2016-10-31 | 2017-04-26 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| CN108512846A (zh) * | 2018-03-30 | 2018-09-07 | 北京邮电大学 | 一种终端与服务器之间的双向认证方法和装置 |
| CN110138548A (zh) * | 2019-04-22 | 2019-08-16 | 如般量子科技有限公司 | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11711206B2 (en) | 2023-07-25 |
| EP4274157A2 (en) | 2023-11-08 |
| US20210099292A1 (en) | 2021-04-01 |
| EP3799349B1 (en) | 2023-11-08 |
| CN112565176A (zh) | 2021-03-26 |
| EP4274157A3 (en) | 2024-04-17 |
| CN116015732A (zh) | 2023-04-25 |
| EP3799349A3 (en) | 2021-06-16 |
| US20230318812A1 (en) | 2023-10-05 |
| EP3799349A2 (en) | 2021-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112565176B (zh) | 与分布式控制系统中的装置安全地通信 | |
| US20200200090A1 (en) | Blockchain based vehicle control | |
| US9397997B2 (en) | Systems and methods for secure operation of an industrial controller | |
| WO2017181204A1 (en) | System for verification of integrity of unmanned aerial vehicles | |
| EP1917616B1 (en) | Security certificate management | |
| EP3249880A1 (en) | Sensor network | |
| EP2912527B1 (en) | Control systems for unmanned vehicles | |
| US11492132B2 (en) | Gas turbine engine configuration data synchronization with a ground-based system | |
| EP3370386B1 (en) | A system and a computer-implemented method for machine-to-machine authentication of an apparatus | |
| EP3672196A1 (en) | A method and process for blockchain implementation with third party devices | |
| EP2660751B1 (en) | System and method for securing controllers | |
| US20190372975A1 (en) | Systems and methods for authenticating data transmissions to vehicle | |
| JP6868366B2 (ja) | 冗長列線交換ユニット(「lru」)及び複合的な、航空会社によって変更可能な情報(「ami」)を用いた飛行機の識別管理 | |
| US11934527B2 (en) | Devices, systems, and methods for securely initializing an embedded system | |
| US20210273947A1 (en) | Devices, systems, and methods for modifying an access permission level | |
| EP3343518A1 (en) | System and method to activate avionics functions remotely | |
| EP4346166A1 (en) | Methods and systems for starting secure communication in systems with high availability | |
| US20240111872A1 (en) | Devices, systems, and methods for securely loading embedded software using a manifest | |
| Behbahani et al. | Secure Embedded Distributed Control and Instrumentation Architecture for Aircraft Propulsion Systems: Framework, Process, Methods, Challenges, and Opportunities | |
| Schalk et al. | Detection and Mitigation of Vulnerabilities in Space Network Software Bus Architectures | |
| WO2024111658A1 (ja) | 認証方法、有効性判定方法、飛行体の制御方法、認証システムおよび飛行体の制御システム | |
| EP3958529A1 (en) | Systems and methods for multi-factor digital authentication of aircraft operations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |