CN113519142A - 从站装置及从站程序 - Google Patents
从站装置及从站程序 Download PDFInfo
- Publication number
- CN113519142A CN113519142A CN201980093219.1A CN201980093219A CN113519142A CN 113519142 A CN113519142 A CN 113519142A CN 201980093219 A CN201980093219 A CN 201980093219A CN 113519142 A CN113519142 A CN 113519142A
- Authority
- CN
- China
- Prior art keywords
- frame
- slave
- slave station
- authentication code
- message authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/28—Flow control; Congestion control in relation to timing considerations
- H04L47/283—Flow control; Congestion control in relation to timing considerations in response to processing delays, e.g. caused by jitter or round trip time [RTT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
接收部(221)对从在下游侧配置的从站向在上游侧配置的主站的帧进行接收。连结中继部(230)使用接收到的帧所包含的消息认证码即接收消息认证码,对所述接收消息认证码的中途计算结果进行计算。连结中继部将向所述主站发送的发送数据与接收到的帧所包含的发送数据串连结。连结中继部使用所述中途计算结果来计算针对连结后的发送数据串的消息认证码。发送部(224)向上游侧发送帧,该帧包含所述连结后的发送数据串,并且替代所述接收消息认证码而包含使用所述中途计算结果计算出的消息认证码。
Description
技术领域
本发明涉及从站向主站的帧的发送。
背景技术
在控制系统的现场网络中,多数采用线连接型网络。
在线连接型网络中,1个主站与N个从站连接为线状。
为了在线连接型网络中保证从各从站向主站的通信数据的完整性,考虑引入消息认证码(MAC)。
主站如果接收到从各从站发送来的帧,则通过对赋予给帧的MAC进行验证,从而对帧中的数据的完整性进行验证。
在该情况下,主站需要对N个从站量的N个MAC进行验证。因此,MAC验证涉及的主站的负荷大。
专利文献1公开了帧连结方式。
在帧连结方式中,各从站如果从物理地相邻的从站接收到帧,则将自身的数据与帧中的数据连结。
通过帧连结方式的应用,能够减轻MAC验证涉及的主站的负荷。
各从站对帧赋予针对连结后的数据的MAC,对帧进行中继。另一方面,主站如果从物理地相邻的从站接收到帧,则对赋予给帧的1个MAC进行验证。由此,对帧中的各从站的数据的完整性进行验证。因此,由主站验证的MAC的数量减少,所以会削减MAC验证涉及的主站的负荷。
专利文献2公开了如下方法,即,在由数据收集服务器和多个网关装置构成的数据收集系统中,削减对以防止数据收集服务器中的收集数据的篡改为目的的签名进行验证的负荷。在该方法中,网关装置将自身的数据依次与从其它网关装置接收到的数据结合,进一步将签名叠加上去而进行发送。这里,所叠加的签名仅为根据从其它网关装置接收到的签名和自身的数据生成的签名(聚合签名)。因此,网关装置为不需要生成多个签名的结构。由此,不仅能够与帧连结方式的应用所期待的效果相同地削减数据收集服务器的签名验证负荷,还能够对各网关装置中的签名赋予负荷的增大进行抑制。
但是,在专利文献2中,作为签名主要设想了CRC。而且,在专利文献2中公开的仅仅是与基于接收到的签名生成对发送数据赋予的签名的聚合签名生成方法相关的技术。CRC是Cyclic Redundancy Check(循环冗余校验)的简称。
另一方面,接收到的MAC无法直接用于发送的MAC的计算。
非专利文献1公开了基于块密码(block cipher)的MAC(CMAC)。
专利文献1:日本专利第5393528号公报
专利文献2:日本特开2015-23375号公报
非专利文献1:Morris Dworkin,“Recommendation for Block Cipher Modes ofOperation:The CMAC Mode for Authentication”,NIST Special Publication 800-38B,2005.
发明内容
在帧连结方式的应用中存在如下课题。
各从站针对自身的数据和其它从站的数据的连结数据对MAC进行计算。针对连结数据的MAC的计算量比针对自身的数据的MAC的计算量大。即,MAC赋予涉及的各从站的负荷增大。而且,在各从站中帧的中继延迟增大。
通常,在控制系统中要求通信周期限制。因此,主站需要以满足通信周期限制的方式完成来自各从站的帧的接收。但是,如果在各从站中帧的中继延迟增大,则存在与对帧进行中继的从站的数量相应地,中继延迟累积下来,变得不满足通信周期限制的可能性。
本发明的目的在于满足通信周期限制。
本发明的从站装置具有:
接收部,其对从在下游侧配置的从站向在上游侧配置的主站的帧进行接收;
中途计算结果计算部,其使用接收到的帧所包含的消息认证码即接收消息认证码,对中途计算结果进行计算,该中途计算结果是对用于计算所述接收消息认证码的计算式的一部分进行计算而得到的;
发送数据连结部,其将向所述主站发送的发送数据与接收到的帧所包含的发送数据串连结;
消息认证码计算部,其使用所述中途计算结果来计算针对连结后的发送数据串的消息认证码;以及
发送部,其向上游侧发送包含以下内容的帧,即,包含所述连结后的发送数据串,并且替代所述接收消息认证码而包含使用所述中途计算结果计算出的消息认证码。
发明的效果
根据本发明,会削减消息认证码(MAC)的计算量。因此,在各从站中帧的中继延迟减少。其结果,能够满足通信周期限制。
附图说明
图1是实施方式1中的控制系统100的结构图。
图2是实施方式1中的从站装置200的结构图。
图3是实施方式1中的通信管理部220的结构图。
图4是实施方式1中的连结中继部230的结构图。
图5是实施方式1中的存储部290的结构图。
图6是实施方式1中的主站装置300的结构图。
图7是表示实施方式1中的从站装置200的发送处理的流程图。
图8是表示实施方式1中的从站装置200的接收处理的流程图。
图9是实施方式1中的连结中继处理(S140)的流程图。
图10是表示实施方式1中的帧(111~114)的图。
图11是实施方式2中的通信管理部220的结构图。
图12是实施方式2中的存储部290的结构图。
图13是实施方式2中的主站装置300的结构图。
图14是实施方式2中的划分管理部330的结构图。
图15是表示实施方式2中的从站装置200的接收处理的流程图。
图16是表示实施方式2中的主站装置300的划分决定处理的流程图。
图17是实施方式中的从站装置200的硬件结构图。
图18是实施方式中的主站装置300的硬件结构图。
具体实施方式
在实施方式及附图中,对相同要素或对应的要素标注相同标号。适当省略或简化标注了与说明过的要素相同标号的要素的说明。图中的箭头主要表示数据的流转或处理的流转。
实施方式1.
基于图1至图10对采用线连接型网络的控制系统100进行说明。
***结构的说明***
基于图1,对控制系统100的结构进行说明。
控制系统100具有主站101和多个从站(s_1~s_N),实现特定的控制。“N”为大于或等于2的整数。
将在距离主站101最远处配置的从站称为从站s_1。
将在距离主站101最近处配置的从站称为从站s_N。
将从从站s_1开始数第(i-1)个从站称为从站s_i-1,将从从站s_1开始数第i个从站称为从站s_i。“i”为大于或等于2且小于或等于(N-1)的整数。
在不特定地指定从站的情况下,将它们称为从站102。
在控制系统100的现场网络中,采用将主站101和多个从站102连接为线状的结构。将这样的结构称为线连接型网络。
在线连接型网络中,将主站101所在的一侧称为“上游侧”,将从站s_1所在的一侧称为“下游侧”。
即,从站s_N为最上游的从站102,从站s_1为最下游的从站102。
基于图2,对从站装置200的结构进行说明。
从站装置200为作为从站102起作用的计算机,具有处理器201、存储器202、辅助存储装置203和通信装置204这样的硬件。这些硬件经由信号线彼此连接。
处理器201为进行运算处理的IC,对其它硬件进行控制。例如,处理器201为CPU、DSP或GPU。
IC是Integrated Circuit(集成电路)的简称。
CPU是Central Processing Unit(中央处理单元)的简称。
DSP是Digital Signal Processor(数字信号处理器)的简称。
GPU是Graphics Processing Unit(图形处理单元)的简称。
存储器202为易失性的存储装置。存储器202也称为主存储装置或主存储器。例如,存储器202为RAM。在存储器202存储的数据与需要对应地被保存于辅助存储装置203。
RAM是Random Access Memory(随机存取存储器)的简称。
辅助存储装置203为非易失性的存储装置。例如,辅助存储装置203为ROM、HDD或闪存。在辅助存储装置203存储的数据与需要对应地被载入至存储器202。
ROM是Read Only Memory(只读存储器)的简称。
HDD是Hard Disk Drive(硬盘驱动器)的简称。
通信装置204为接收器及发射器。例如,通信装置204为通信芯片或NIC。NIC是Network Interface Card(网络接口卡)的简称。
通信装置204具有上游侧接口205和下游侧接口206。上游侧接口205为与线连接型网络的上游侧连接的通信接口。下游侧接口206为与线连接型网络的下游侧连接的通信接口。
从站装置200的通信由通信装置204实现。
从站装置200具有应用部210和通信管理部220这样的要素。这些要素由软件实现。
在辅助存储装置203中对用于使计算机作为应用部210和通信管理部220起作用的从站程序进行存储。从站程序被载入至存储器202,由处理器201执行。
在辅助存储装置203中还对OS进行存储。OS的至少一部分被载入至存储器202,由处理器201执行。
处理器201一边执行OS,一边执行从站程序。
OS是Operating System(操作系统)的简称。
从站程序的输入输出数据存储于存储部290。
存储器202作为存储部290起作用。但是,也可以是辅助存储装置203、处理器201内的寄存器及处理器201内的缓存存储器等存储装置替代存储器202或与存储器202一起作为存储部290起作用。
从站装置200也可以具有代替处理器201的多个处理器。多个处理器分担处理器201的作用。
从站程序能够以计算机可读取的方式记录(储存)于光盘或闪存等非易失性的记录介质。
基于图3,对通信管理部220的结构进行说明。
通信管理部220具有接收部221、受理部222、通常中继部223、发送部224和连结中继部230。
基于图4,对连结中继部230的结构进行说明。
连结中继部230具有验证部231。
连结中继部230还具有分离部232、中途计算结果计算部233、发送数据连结部234、MAC计算部235和帧生成部236。
“MAC”是消息认证码的简称。具体的消息认证码是基于块密码的消息认证码(CMAC)。
基于图5,对存储部290的结构进行说明。
在存储部290中预先对公共密钥291及副密钥292等进行存储。
公共密钥291是由用于计算MAC的计算式(MAC计算式)使用的公共密钥。在各个从站102中使用相同的公共密钥291。
副密钥292是与公共密钥291对应的副密钥。在各个从站102中使用相同的副密钥292。
基于图6,对主站装置300的结构进行说明。
主站装置300为作为主站101起作用的计算机,其是具有处理器301、存储器302、辅助存储装置303和通信装置304这样的硬件的计算机。这些硬件经由信号线彼此连接。
处理器301为进行运算处理的IC,对其它硬件进行控制。例如,处理器301为CPU、DSP或GPU。
存储器302为易失性的存储装置。存储器302也称为主存储装置或主存储器。例如,存储器302为RAM。在存储器302存储的数据与需要对应地被保存于辅助存储装置303。
辅助存储装置303为非易失性的存储装置。例如,辅助存储装置303为ROM、HDD或闪存。在辅助存储装置303存储的数据与需要对应地被载入至存储器302。
通信装置304为接收器及发射器。例如,通信装置304为通信芯片或NIC。
通信装置304具有通信接口305。通信接口305与线连接型网络连接。
主站装置300的通信由通信装置304实现。
主站装置300具有应用部310和通信管理部320这样的要素。这些要素由软件实现。
在辅助存储装置303中对用于使计算机作为应用部310和通信管理部320起作用的主站程序进行存储。主站程序被载入至存储器302,由处理器301执行。
在辅助存储装置303中还对OS进行存储。OS的至少一部分被载入至存储器302,由处理器301执行。
处理器301一边执行OS,一边执行主站程序。
主站程序的输入输出数据存储于存储部390。例如,在存储部390中预先对与公共密钥291和副密钥292各自相同的密钥进行存储。
存储器302作为存储部390起作用。但是,也可以是辅助存储装置303、处理器301内的寄存器及处理器301内的缓存存储器等存储装置替代存储器302或与存储器302一起作为存储部390起作用。
主站装置300也可以具有代替处理器301的多个处理器。多个处理器分担处理器301的作用。
主站程序能够以计算机可读取的方式记录(储存)于光盘或闪存等非易失性的记录介质。
***动作的说明***
控制系统100的动作与控制方法相当。另外,控制方法的流程与控制程序的流程相当。
从站装置200的动作的流程与从站程序的流程相当。主站装置300的动作的流程与主站程序的流程相当。
基于图7,对从站装置200的发送处理进行说明。
从站装置200的发送处理是在应用部210中产生了发送数据时执行的。
应用部210生成发送数据,对发送请求和发送数据的组进行输出。发送请求和发送数据的组被输入至通信管理部220。
在步骤S101中,受理部222对发送请求和发送数据的组进行接收。
在发送请求中包含对发送数据的发送目标进行确定的信息(发送目标信息)。
在步骤S102中,受理部222基于发送请求所包含的发送目标信息,对发送数据的发送目标进行判定。
在发送数据的发送目标为其它从站102的情况下,处理进入步骤S103。
在发送数据的发送目标为主站101的情况下,处理进入步骤S104。
在步骤S103中,发送部224生成包含以其它从站102为目标的发送数据的帧。此时,发送部224也可以使用公共密钥291来计算针对发送数据的MAC,对帧赋予计算出的MAC。
然后,发送部224将生成的帧向其它从站102发送。
例如,发送部224如下所述地对生成的帧进行发送。
控制系统100的结构信息数据被预先存储于存储部290。控制系统100的结构信息数据表示控制系统100的结构。
发送部224基于控制系统100的结构信息数据,对其它从站102是上游侧的从站102还是下游侧的从站102进行判定。
在其它从站是上游侧的从站的情况下,发送部224将生成的帧向上游侧发送。
在其它从站是下游侧的从站的情况下,发送部224将生成的帧向下游侧发送。
在步骤S104中,受理部222将以主站为目标的发送数据保存于存储部290。后面会对以主站为目标的发送数据的发送进行叙述。
基于图8,对从站装置200的接收处理进行说明。
从站装置200的接收处理是在帧到达从站装置200时执行的。
在步骤S111中,接收部221对帧进行接收。
在步骤S112中,接收部221参照接收到的帧的帧头,对接收到的帧的发送目标进行判定。
在接收到的帧的发送目标为本从站102的情况下,处理进入步骤S120。
在接收到的帧的发送目标为其它从站102的情况下,处理进入步骤S130。
在接收到的帧的发送目标为主站101的情况下,处理进入步骤S140。
对通常接收处理(S120)进行说明。
通常接收处理(S120)是在接收到以本从站为目标的帧时执行的以往的处理。
例如,从站装置200如下所述地进行动作。
接收部221将以本从站102为目标的帧存储于存储部290,对应用部210作出接收的通知。
应用部210对以本从站102为目标的帧进行处理。
对通常中继处理(S130)进行说明。
通常中继处理(S130)是在接收到以其它从站为目标的帧时执行的以往的处理。
例如,从站装置200如下所述地进行动作。
接收部221将以其它从站102为目标的帧移交给通常中继部223。
通常中继部223将移交来的帧向其它从站102发送。
例如,通常中继部223如下所述地对移交来的帧进行发送。
控制系统100的结构信息数据被预先存储于存储部290。控制系统100的结构信息数据表示控制系统100的结构。
通常中继部223基于控制系统100的结构信息数据,对其它从站102是上游侧的从站102还是下游侧的从站102进行判定。
在其它从站102是上游侧的从站102的情况下,通常中继部223将移交来的帧向上游侧发送。
在其它从站102是下游侧的从站102的情况下,通常中继部223将移交来的帧向下游侧发送。
基于图9,对连结中继处理(S140)进行说明。
连结中继处理(S140)是在从下游侧的从站102接收到以主站101为目标的帧时执行的处理。
接收部221将以主站101为目标的帧移交给连结中继部230。将移交来的帧称为“接收帧”。另外,将对接收帧赋予的MAC称为“接收MAC”。
在步骤S141中,验证部231对接收帧的MAC(接收MAC)进行验证。对接收MAC进行验证的方法与对MAC进行验证的以往的方法相同。
由于MAC的验证耗费时间,因此与步骤S141并行地执行步骤S142至步骤S147。
在步骤S142中,分离部232将接收帧分离为主帧和接收MAC。换言之,分离部232从接收帧提取主帧和接收MAC。
主帧是从接收帧除去接收MAC后的部分,包含发送数据串。
发送数据串为从大于或等于1个从站102向主站101发送的大于或等于1个发送数据。
接收MAC为接收帧中的针对主帧的MAC。
在步骤S142后,处理进入步骤S143及步骤S144。
在步骤S143中,中途计算结果计算部233对接收MAC的中途计算结果进行计算。
接收MAC的中途计算结果是通过对用于计算接收MAC的计算式的一部分进行计算而得到的值。
后面会对接收MAC的中途计算结果的计算方法进行叙述。
在步骤S143后,处理进入步骤S145。
在步骤S144中,发送数据连结部234从存储部290取得从本从站102向主站101的发送数据(参照图7的步骤S104)。
然后,发送数据连结部234将取得的发送数据与主帧中的发送数据串连结。
在步骤S144后,处理进入步骤S145。
在步骤S145中,MAC计算部235使用接收MAC的中途计算结果,对针对连结后的主帧的MAC进行计算。
连结后的主帧是通过步骤S144得到的主帧,包含连结后的发送数据串。
后面会对针对连结后的主帧的MAC的计算方法进行叙述。
将针对连结后的主帧的MAC称为“发送MAC”。
在步骤S146中,帧生成部236通过对连结后的主帧赋予发送MAC,从而生成以主站101为目标的帧。将生成的帧称为“发送帧”。
在步骤S147中,发送部224将发送帧向上游侧发送。
发送帧包含连结后的发送数据串,并且替代接收MAC而包含发送MAC。
对在步骤S141中接收MAC的验证完成后的处理进行说明。
在判定为接收MAC正常的情况下,处理结束。
在判定为接收MAC异常的情况下,处理进入步骤S148。
在步骤S148中,验证部231将接收MAC的异常通知给发送部224。
发送部224生成以主站101为目标的异常通知帧,将异常通知帧向上游侧发送。
异常通知帧为用于通知接收MAC的异常的帧。
下面,对接收MAC的中途计算结果的计算方法(参照图9的步骤S143)及发送MAC的计算方法(参照图9的步骤S145)进行说明。
首先,基于图10,对以主站101为目标的帧的结构进行说明。
“hd”为以主站101为目标的帧的帧头。
“d_x”为从站x的发送数据。
“MAC_x”为由从站x对发送帧赋予的MAC。
帧111为从站s_1的发送帧。帧111的MAC_1是针对发送数据d_1的MAC。
帧112是从站s_i-1的发送帧。帧112的MAC_i-1是针对发送数据串{d_1,…,d_i-1}的MAC。
帧113是从站s_i的发送帧。帧113的MAC_i是针对发送数据串{d_1,…,d_i-1,d_i}的MAC。
帧114为从站s_N的发送帧。帧114的MAC_N是针对发送数据串{d_1,…,d_i-1,d_i,…,d_N}的MAC。
为了简化说明,将各从站102的发送数据的位数设为块大小B的倍数。
接着,对接收MAC的中途计算结果的计算方法(参照图9的步骤S143)进行说明。
计算出接收MAC的从站102为从站s_i-1,对接收MAC的中途计算结果进行计算的从站102为从站s_i。即,接收MAC为MAC_i-1(参照图10)。
在从站s_i-1中,通过对式(1-1)进行计算而对接收MAC进行计算。
[数学式1]
“MAC_i-1”为接收MAC。
“E(b)”为使用公共密钥291而加密后的位串b。
{ri1,…,rip}为位串rix的集合。位串rix的集合是通过以块大小B对接收帧所包含的发送数据串{d_1,…,d_i-1}进行p分割而得到的。
“subkey”为副密钥292。
在圆圈中记载有“+”的符号是指XOR运算。“XOR”是指异或。
如果将式(1-1)中的一部分替换为“t_i-1”,则得到式(1-2)。
[数学式2]
式(1-2)被展开为式(1-3)。
[数学式3]
“D(MAC_i-1)”是通过对接收MAC使用公共密钥291进行的解密运算而得到的值。
中途计算结果计算部233通过对式(1-3)进行计算,从而对接收MAC的中途计算结果t_i-1进行计算。
即,中途计算结果计算部233通过1次解密运算和1次XOR运算,对中途计算结果t_i-1进行计算。
接着,对发送MAC的计算方法(参照图9的步骤S145)进行说明。
对发送MAC进行计算的从站102为从站s_i。即,发送MAC为MAC_i(参照图10)。
通过对式(1-4)进行计算,从而能够对发送MAC进行计算。
[数学式4]
“MAC_i”为发送MAC。
{vi1,…,viq}为位串viy的集合。位串viy的集合是通过以块大小B对从站s_i的发送数据进行q分割而得到的。
式(1-4)的一部分与式(1-1)的一部分“t_i-1”共通。
如果将式(1-4)的一部分替换为“t_i-1”,则得到式(1-5)。
[数学式5]
MAC计算部235通过使用中途计算结果ti-1对式(1-5)进行计算,从而对发送MAC进行计算。
通过使用中途计算结果t_i-1对发送MAC进行计算,能够省略式(1-4)的一部分的计算。即,能够省略p-1次加密运算和p-2次XOR运算。
最后,对主站装置300的动作进行说明。
主站装置300进行与线连接型网络中的以往的主站相同的动作。
例如,主站装置300如下所述地进行动作。
如果帧到达主站装置300,则通信管理部320对帧进行接收。将接收到的帧称为接收帧。
然后,通信管理部320对接收帧的MAC进行验证。
在接收帧的MAC正常的情况下或在接收帧中不包含MAC的情况下,通信管理部320对接收帧是通常帧还是异常通知帧进行判定。
在接收帧是通常帧的情况下,通信管理部320将接收帧存储于存储部390,对应用部310通知通常帧的接收。应用部310对接收帧进行处理。
在接收帧是异常通知帧的情况下,通信管理部320对应用部310通知中继异常。应用部310进行中继异常用处理。
在接收帧的MAC异常的情况下,通信管理部320对应用部310通知MAC异常。应用部310进行MAC异常用处理。
***实施方式1的效果***
根据实施方式1,利用从接收帧所包含的MAC_i-1逆运算的中途计算结果,能够对从站s_i中的MAC_i进行计算。因此,在将帧连结方式及MAC用于线型连接网络中的主站-从站间的通信时,也能够削减各从站的MAC赋予负荷。其结果,在各从站中帧的中继延迟减少。而且,能够满足通信周期限制。
实施方式2.
针对用于在控制系统100所要求的限制时间以内使得帧从最下游的从站102到达主站101的方式,基于图11至图16,主要对与实施方式1的不同之处进行说明。
***结构的说明***
控制系统100的结构与实施方式1中的结构相同(参照图1)。
从站装置200的结构除了通信管理部220的结构和存储部290的结构之外,与实施方式1中的结构相同(参照图2)。
基于图11,对通信管理部220的结构进行说明。
通信管理部220还具有连结判定部225。其它结构与实施方式1中的结构相同(参照图3)。
基于图12,对存储部290的结构进行说明。
在存储部290中除了公共密钥291和副密钥292之外,预先对对象地址293进行存储。即,对象地址293被设定于从站装置200。
对象地址293是作为成为数据连结的对象的帧的发送源地址而设定的地址。
后面会对对象地址293的详情进行叙述。
基于图12,对主站装置300的结构进行说明。
主站装置300还具有划分管理部330。其它结构与实施方式1中的结构相同(参照图6)。
基于图14,对划分管理部330的结构进行说明。
划分管理部330具有划分决定部331和地址设定部332。
***动作的说明***
从站装置200的发送处理与实施方式1中的发送处理相同(参照图7)。
基于图15,对从站装置200的接收处理进行说明。
步骤S111及步骤S112与在实施方式1中说明过的相同(参照图8)。
在接收到的帧的发送目标为主站101的情况下,处理进入步骤S201。
在步骤S201中,连结判定部225基于接收到的帧的发送源地址,判定能否进行数据连结。
具体而言,连结判定部225将接收到的帧的发送源地址与对象地址293进行比较。在发送源地址与对象地址293一致的情况下,连结判定部225判定为能够进行数据连结。在发送源地址与对象地址293不一致的情况下,连结判定部225判定为不能进行数据连结。
在判定为能够进行数据连结的情况下,处理进入步骤S140。连结中继处理(S140)与在实施方式1中说明过的相同(参照图9)。
在判定为不能进行数据连结的情况下,处理进入步骤S130。在步骤S130中,发送部224将接收到的帧向上游侧发送。
接着,对对象地址293的详情进行说明。将设为说明对象的从站102称为从站装置200。
多个从站102被划分为大于或等于1个从站组。从站组为大于或等于1个从站102。各个从站组中的通信时间小于限制时间。通信时间是指帧从各个从站组中的最下游的从站102到达主站101所需要的时间。限制时间是由控制系统100所要求的通信周期限制规定的时间。
在从站装置200所属的从站组中,将在从站装置200的下游侧与从站装置200相邻的从站102称为“假想相邻从站”。即,假想相邻从站是在从站装置200所属的从站组中从下游侧接口206算起的跳数最小的从站102。另一方面,将与从站装置200的下游侧接口206物理地直接连接的从站102称为“物理相邻从站”。
对象地址293为假想相邻从站的地址。即,在接收到从假想相邻从站发送来的以主站101为目标的帧的情况下,从站装置200进行连结中继处理(S140)。另外,在接收到从物理相邻从站(除了假想相邻从站以外)发送来的以主站101为目标的帧的情况下,从站装置200进行通常中继处理(S130)。
对象地址293由主站101设定于从站装置200。具体而言,在开始从各从站102向主站101的帧的通信前,对象地址293被设定于从站装置200。
划分决定部331基于限制时间将多个从站102划分为大于或等于1个从站组。后面会对划分决定部331的处理的具体例进行叙述。
地址设定部332从大于或等于1个从站组对从站装置200所属的从站组进行选择,从选择出的从站组对从站装置200的假想相邻从站进行选择。然后,地址设定部332通过与从站装置200进行通信,将假想相邻从站的地址(对象地址293)设定于从站装置200。
对划分决定部331的处理的具体例进行说明。
划分决定部331使用将多个从站102划分为大于或等于1个从站组的近似解法。但是,划分决定部331也可以使用其它近似解法或严格解法。
基于图16,对划分决定处理进行说明。
在步骤S211中,划分决定部331将片段集合C和各连结片段cj的从站集合SC(cj)初始化。
片段集合C为M个连结片段{c1,…,cM}。“M”为小于或等于N的整数。“N”为从站102的数量。
连结片段cj为用于对是否进行数据连结进行判定的片段,与从站组相当。
从站集合SC(cj)为属于连结片段cj的大于或等于1个从站102。
片段集合C的初始化能够由式(2-1)表示。
C←{c0}(2-1)
从站集合SC(cj)的初始化能够由式(2-2)表示。“S”为N个从站102。
SC(c0)←S(2-2)
S={s_1,…,s_N}
在步骤S212中,划分决定部331对片段集合C中的最大通信时间Dmax进行计算。
最大通信时间Dmax是片段集合C中的通信时间Drcv(cj)的最大值。
通信时间Drcv(cj)是在连结片段cj中最下游的从站102开始帧的发送处理后至帧到达从站102所需要的时间。
片段集合C所包含的连结片段cj的数量越多,则通信时间Drcv(cj)越短。在片段集合C由1个连结片段cj构成的情况下,通信时间Drcv(cj)最大。
即,划分决定部331对片段集合C所包含的各连结片段cj的通信时间Drcv(cj)进行计算,对最大的通信时间Drcv(cj)进行选择。被选择的通信时间Drcv(cj)为最大通信时间Dmax。
通信时间Drcv(cj)是基于属于连结片段cj的各从站102的发送数据大小、与各发送数据大小对应的MAC运算时间、及与各发送数据大小对应的帧中继时间等各种参数计算的。各种参数预先存储于存储部390。
在步骤S213中,划分决定部331将最大通信时间Dmax与限制时间Tc进行比较。
在最大通信时间Dmax小于限制时间Tc的情况下,划分决定处理结束。
在最大通信时间Dmax大于或等于限制时间Tc的情况下,处理进入步骤S214。
在步骤S214中,划分决定部331将连结片段c|c|+1追加至片段集合C作为新的要素。
连结片段c|c|+1的追加能够由式(2-3)表示。
[数学式6]
C←C∪{c|C|+1} (2-3)
在步骤S215中,划分决定部331针对片段集合C所包含的各连结片段cj,决定从站集合SC(cj)的结构。
具体而言,划分决定部331从上游侧的从站102起依次将各从站102分配给某连结片段cj。从站s_i的分配是以如下方式进行的。“i”越大的从站s_i越位于上游侧。即,“i”越大的从站s_i越接近从站102。
首先,划分决定部331对各连结片段cj中的通信时间Drcv(cj)进行计算。
接着,划分决定部331对与最小的通信时间Drcv(cj)对应的连结片段cj进行选择。
然后,划分决定部331将从站s_i追加至选择出的连结片段cj。
从站s_i的追加能够由式(2-4)表示。
[数学式7]
SC(cj)←SC(cj)∪{s_i} (2-4)
在步骤S215后,处理进入步骤S212。
***实施方式2的效果***
在实施方式2中,与通信周期限制对应地将多个从站102划分为多份。然后,针对各个片段进行发送数据的连结。因此,能够削减累积中继延迟。其结果,能够满足通信周期限制。
***实施方式的补充***
基于图17,对从站装置200的硬件结构进行说明。
从站装置200具有处理电路209。
处理电路209是实现应用部210和通信管理部220的硬件。
处理电路209可以是专用的硬件,也可以是执行在存储器202储存的程序的处理器201。
在处理电路209为专用的硬件的情况下,处理电路209例如是单一电路、复合电路、被程序化后的处理器、被并行程序化后的处理器、ASIC、FPGA、或它们的组合。
ASIC是Application Specific Integrated Circuit(专用集成电路)的简称。
FPGA是Field Programmable Gate Array(现场可编程逻辑门阵列)的简称。
从站装置200也可以具有代替处理电路209的多个处理电路。多个处理电路分担处理电路209的作用。
在处理电路209中,也可以是一部分功能由专用的硬件实现,剩余的功能由软件或固件实现。
如上所述,处理电路209能够由硬件、软件、固件或它们的组合实现。
基于图18,对主站装置300的硬件结构进行说明。
主站装置300具有处理电路309。
处理电路309是实现应用部310、通信管理部320和划分管理部330的硬件。
处理电路309可以是专用的硬件,也可以是执行在存储器202储存的程序的处理器201。
在处理电路309为专用的硬件的情况下,处理电路309例如是单一电路、复合电路、被程序化后的处理器、被并行程序化后的处理器、ASIC、FPGA、或它们的组合。
主站装置300也可以具有代替处理电路309的多个处理电路。多个处理电路分担处理电路309的作用。
在处理电路309中,也可以是一部分功能由专用的硬件实现,剩余的功能由软件或固件实现。
如上所述,处理电路309能够由硬件、软件、固件或它们的组合实现。
实施方式是优选方式的例示,并不意在对本发明的技术范围进行限制。实施方式可以部分地实施,也可以与其它方式组合而实施。也可以适当对使用流程图等进行了说明的流程进行变更。
也可以将从站装置200和主站装置300各自的要素即“部”改称为“处理”或“工序”。
标号的说明
100控制系统,101主站,102从站,111帧,112帧,113帧,114帧,200从站装置,201处理器,202存储器,203辅助存储装置,204通信装置,205上游侧接口,206下游侧接口,209处理电路,210应用部,220通信管理部,221接收部,222受理部,223通常中继部,224发送部,225连结判定部,230连结中继部,231验证部,232分离部,233中途计算结果计算部,234发送数据连结部,235MAC计算部,236帧生成部,290存储部,291公共密钥,292副密钥,293对象地址,300主站装置,301处理器,302存储器,303辅助存储装置,304通信装置,305通信接口,309处理电路,310应用部,320通信管理部,330划分管理部,331划分决定部,332地址设定部,390存储部。
Claims (8)
1.一种从站装置,其具有:
接收部,其对从在下游侧配置的从站向在上游侧配置的主站的帧进行接收;
中途计算结果计算部,其使用接收到的帧所包含的消息认证码即接收消息认证码,对中途计算结果进行计算,该中途计算结果是对用于计算所述接收消息认证码的计算式的一部分进行计算而得到的;
发送数据连结部,其将向所述主站发送的发送数据与接收到的帧所包含的发送数据串连结;
消息认证码计算部,其使用所述中途计算结果来计算针对连结后的发送数据串的消息认证码;以及
发送部,其向上游侧发送包含以下内容的帧,即,包含所述连结后的发送数据串,并且替代所述接收消息认证码而包含使用所述中途计算结果计算出的消息认证码。
2.根据权利要求1所述的从站装置,其中,
各帧的消息认证码是通过基于块密码的消息认证码算法计算的值,
所述中途计算结果计算部通过进行对所述接收消息认证码使用与在所述计算式中使用的密钥相同的公共密钥进行的解密运算、求出通过所述解密运算得到的值和与所述公共密钥对应的副密钥的异或的异或运算,从而将通过所述异或运算得到的值计算作为所述中途计算结果。
3.根据权利要求1或2所述的从站装置,其中,
所述从站装置还具有连结判定部,该连结判定部基于接收到的帧的发送源地址来判定能否进行数据连结,
所述发送部在判定为能够进行数据连结的情况下,向上游侧发送包含所述连结后的发送数据串和使用所述中途计算结果计算出的消息认证码的帧,在判定为不能进行数据连结的情况下,将接收到的帧向上游侧发送。
4.根据权利要求3所述的从站装置,其中,
在所述从站装置中设定对象地址作为成为数据连结的对象的帧的发送源地址,
所述连结判定部在接收到的帧的发送源地址与所述对象地址一致的情况下判定为能够进行数据连结。
5.根据权利要求4所述的从站装置,其中,
所述从站装置为与所述主站一起构成控制系统的多个从站中的1个从站,
所述多个从站被划分为大于或等于1个从站组,
所述对象地址是在所述从站装置所属的从站组中在所述从站装置的下游侧与所述从站装置相邻的从站的地址。
6.根据权利要求5所述的从站装置,其中,
帧从各个从站组中的最下游的从站到达所述主站所需要的时间小于所述控制系统所要求的限制时间。
7.根据权利要求6所述的从站装置,其中,
所述主站基于所述限制时间将所述多个从站划分为所述大于或等于1个从站组,通过与所述从站装置进行通信而将所述对象地址设定于所述从站装置。
8.一种从站程序,其用于使计算机执行:
接收处理,对从在下游侧配置的从站向在上游侧配置的主站的帧进行接收;
中途计算结果计算处理,使用接收到的帧所包含的消息认证码即接收消息认证码,对中途计算结果进行计算,该中途计算结果是对用于计算所述接收消息认证码的计算式的一部分进行计算而得到的;
发送数据连结处理,将向所述主站发送的发送数据与接收到的帧所包含的发送数据串连结;
消息认证码计算处理,使用所述中途计算结果来计算针对连结后的发送数据串的消息认证码进行计算;以及
发送处理部,向上游侧发送包含以下内容的帧,即,包含所述连结后的发送数据串,并且替代所述接收消息认证码而包含使用所述中途计算结果计算出的消息认证码。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/008012 WO2020178879A1 (ja) | 2019-03-01 | 2019-03-01 | スレーブ装置およびスレーブプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113519142A true CN113519142A (zh) | 2021-10-19 |
Family
ID=72338245
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980093219.1A Withdrawn CN113519142A (zh) | 2019-03-01 | 2019-03-01 | 从站装置及从站程序 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20210344503A1 (zh) |
JP (1) | JP6906726B2 (zh) |
KR (1) | KR20210110388A (zh) |
CN (1) | CN113519142A (zh) |
DE (1) | DE112019006762T5 (zh) |
TW (1) | TW202034668A (zh) |
WO (1) | WO2020178879A1 (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006311394A (ja) * | 2005-04-28 | 2006-11-09 | Toyota Industries Corp | 無線通信装置 |
CN101753312A (zh) * | 2010-02-03 | 2010-06-23 | 北京融通高科科技发展有限公司 | 一种电网设备的安全认证方法、装置及一种负控终端 |
CN102377773A (zh) * | 2010-08-24 | 2012-03-14 | 巴比禄股份有限公司 | 网络中继装置及接收帧的中继控制方法 |
JP5393528B2 (ja) * | 2010-02-22 | 2014-01-22 | 三菱電機株式会社 | 通信装置及びプログラム |
JP2015023375A (ja) * | 2013-07-18 | 2015-02-02 | 日本電信電話株式会社 | データ収集システム、データ収集方法、ゲートウェイ装置及びデータ集約プログラム |
WO2015186829A1 (ja) * | 2014-06-05 | 2015-12-10 | Kddi株式会社 | 送信ノード、受信ノード、通信ネットワークシステム、メッセージ作成方法およびコンピュータプログラム |
CN106464499A (zh) * | 2014-06-05 | 2017-02-22 | Kddi株式会社 | 通信网络系统、发送节点、接收节点、消息检查方法及计算机程序 |
CN106656714A (zh) * | 2017-02-10 | 2017-05-10 | 广东工业大学 | 一种基于EtherCAT总线的通信协议方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5393528A (en) | 1992-05-07 | 1995-02-28 | Staab; Robert J. | Dissolvable device for contraception or delivery of medication |
FR2806859A1 (fr) * | 2000-03-21 | 2001-09-28 | Sts | Procede, automate, dispositif informatique et reseau pour la transmission certifiee de documents |
US7995994B2 (en) * | 2006-09-22 | 2011-08-09 | Kineto Wireless, Inc. | Method and apparatus for preventing theft of service in a communication system |
US20190122186A1 (en) * | 2016-03-31 | 2019-04-25 | Bitflyer, Inc. | Hierarchical Network System, And Node And Program Used In Same |
EP3654579A1 (en) * | 2018-11-13 | 2020-05-20 | Koninklijke Philips N.V. | Methods and devices for providing message authentication code suitable for short messages |
-
2019
- 2019-03-01 WO PCT/JP2019/008012 patent/WO2020178879A1/ja active Application Filing
- 2019-03-01 KR KR1020217026452A patent/KR20210110388A/ko active IP Right Grant
- 2019-03-01 CN CN201980093219.1A patent/CN113519142A/zh not_active Withdrawn
- 2019-03-01 JP JP2021503236A patent/JP6906726B2/ja active Active
- 2019-03-01 DE DE112019006762.1T patent/DE112019006762T5/de not_active Withdrawn
- 2019-08-22 TW TW108129995A patent/TW202034668A/zh unknown
-
2021
- 2021-07-14 US US17/375,611 patent/US20210344503A1/en not_active Abandoned
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006311394A (ja) * | 2005-04-28 | 2006-11-09 | Toyota Industries Corp | 無線通信装置 |
CN101753312A (zh) * | 2010-02-03 | 2010-06-23 | 北京融通高科科技发展有限公司 | 一种电网设备的安全认证方法、装置及一种负控终端 |
JP5393528B2 (ja) * | 2010-02-22 | 2014-01-22 | 三菱電機株式会社 | 通信装置及びプログラム |
CN102377773A (zh) * | 2010-08-24 | 2012-03-14 | 巴比禄股份有限公司 | 网络中继装置及接收帧的中继控制方法 |
JP2015023375A (ja) * | 2013-07-18 | 2015-02-02 | 日本電信電話株式会社 | データ収集システム、データ収集方法、ゲートウェイ装置及びデータ集約プログラム |
WO2015186829A1 (ja) * | 2014-06-05 | 2015-12-10 | Kddi株式会社 | 送信ノード、受信ノード、通信ネットワークシステム、メッセージ作成方法およびコンピュータプログラム |
CN106464499A (zh) * | 2014-06-05 | 2017-02-22 | Kddi株式会社 | 通信网络系统、发送节点、接收节点、消息检查方法及计算机程序 |
CN106656714A (zh) * | 2017-02-10 | 2017-05-10 | 广东工业大学 | 一种基于EtherCAT总线的通信协议方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
DE112019006762T5 (de) | 2021-10-28 |
JPWO2020178879A1 (ja) | 2021-09-13 |
WO2020178879A1 (ja) | 2020-09-10 |
JP6906726B2 (ja) | 2021-07-21 |
KR20210110388A (ko) | 2021-09-07 |
TW202034668A (zh) | 2020-09-16 |
US20210344503A1 (en) | 2021-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7461942B2 (ja) | モノのインターネットのデバイスプールを利用した暗号オペレーション | |
US7158637B2 (en) | Security communication packet processing apparatus and the method thereof | |
Charles et al. | Securing network-on-chip using incremental cryptography | |
CN109905368B (zh) | 区块链跨链数据交互和验证方法、区块链系统及存储介质 | |
US8086864B2 (en) | Low power HMAC encryption apparatus | |
CN111264044B (zh) | 芯片、生成私钥的方法和可信证明的方法 | |
CN110690928A (zh) | 一种量子中继链路虚拟化方法与装置 | |
CN110690961B (zh) | 一种量子网络功能虚拟化方法与装置 | |
Li et al. | On the security and efficiency of content distribution via network coding | |
CN112769745A (zh) | 传输组播报文的方法和相关装置 | |
JPWO2018179293A1 (ja) | 検証情報付与装置、検証装置、情報管理システム、方法およびプログラム | |
CN115943609A (zh) | 区块链网络中中毒交易的区块传播 | |
US11418354B2 (en) | Authentication method, device, and system | |
US20230379146A1 (en) | Securing network communications using dynamically and locally generated secret keys | |
CN113519142A (zh) | 从站装置及从站程序 | |
US10530772B2 (en) | Communication apparatus | |
CN112367124B (zh) | 一种量子中继节点虚拟化方法与装置 | |
WO2010032391A1 (ja) | 完全性検証のための通信システム、通信装置、及びそれらを用いた通信方法及びプログラム | |
Yang et al. | HHT-based security enhancement approach with low overhead for coding-based reprogramming protocols in wireless sensor networks | |
CN103198258B (zh) | 复合系统以及传输数据的方法 | |
CN114503506A (zh) | 支持交易中包含的明文数据变更的区块链系统 | |
Xie et al. | Message matching-based greedy behavior detection in delay tolerant networks | |
CN110945832A (zh) | 对称群体认证的方法和系统 | |
CN115001719B (zh) | 隐私数据处理系统、方法、装置、计算机设备及存储介质 | |
KR101870042B1 (ko) | 내재적 인증서에서 효율적인 공개키 추출 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20211019 |
|
WW01 | Invention patent application withdrawn after publication |