CN115664661A - 工业现场总线上的密钥更新方法及装置、设备、存储介质 - Google Patents
工业现场总线上的密钥更新方法及装置、设备、存储介质 Download PDFInfo
- Publication number
- CN115664661A CN115664661A CN202211350251.3A CN202211350251A CN115664661A CN 115664661 A CN115664661 A CN 115664661A CN 202211350251 A CN202211350251 A CN 202211350251A CN 115664661 A CN115664661 A CN 115664661A
- Authority
- CN
- China
- Prior art keywords
- key
- multicast network
- node
- new
- new key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供了本申请提出一种工业现场总线上的密钥更新方法及装置、设备、存储介质,该工业现场总线上包括至少一个组播网络,所述组播网络包括多个节点;所述方法包括:在所述组播网络的节点中生成新密钥,并将所述新密钥存储到该组播网络的各节点的密钥存储表;根据切换指令将所述新密钥切换为在用密钥,以使用所述在用密钥进行数据加密。本申请能够实现工业现场总线的组播网络中各节点的密钥管理及同步更新,保证了密钥的安全性,实现了工业现场总线上的数据加密传输。
Description
技术领域
本申请涉及工业现场总线通信技术领域,特别涉及一种工业现场总线上的密钥更新方法及装置、设备、存储介质。
背景技术
工业现场总线具有多节点、高带宽、高实时以及可远距离传输的等优点,被广泛应用于工业控制系统。然而工业现场总线作为一种相对较新的总线,其加密机制还不完善,数据在通信过程中会面临较大的安全风险。
为保证工业现场总线通信过程中的数据安全性,在利用工业现场总线进行组网时,会在组播网络中部署相应的加密设备,以对工业现场总线上广播的数据进行加密处理,而在该加密设备的部署以及执行过程中,如何在加密设备中实现密钥分配、更新及移除,提高对于中间人攻击的抵抗能力,预防未经授权的非法设备在工业现场总线的信道上监听、拦截、篡改数据监测及控制信息,成为了一个亟待解决的重要难题。
发明内容
有鉴于此,本申请提出一种工业现场总线上的密钥更新方法及装置、设备、存储介质,能够实现工业现场总线的组播网络中各节点的密钥管理及同步更新,保证了密钥的安全性,实现了工业现场总线上的数据加密传输。
第一方面,本申请提供了一种工业现场总线上的密钥更新方法,工业现场总线上包括至少一个组播网络,所述组播网络包括多个节点;所述方法包括:
在所述组播网络的节点中生成新密钥,并将所述新密钥存储到该组播网络的各节点的密钥存储表;
根据切换指令将所述新密钥切换为在用密钥,以使用所述在用密钥进行数据加密。
由上,本申请提高的密钥更新方法中,通过构建一密钥存储表并保存于组播网络的各节点中,在进行密钥管理及更新过程中,通过在组播网络的节点中生成新密钥,并存储到各节点的密钥存储表中,以实现组播网络的各节点的密钥同步更新,当需要更换密钥时,根据切换指令,将存储的该新密钥切换为在用密钥,以利用该在用密钥进行数据加密。本申请通过对各节点的密钥进行同步管理及同步更新,能够尽可能的保证密钥的安全性,由此实现工业现场总线上的数据加密传输。
可选的,所述在所述组播网络的节点中生成新密钥包括:
所述组播网络的各节点分别利用该组播网络的本地信息计算生成所述新密钥。
可选的,所述在所述组播网络的节点中生成新密钥包括:
所述组播网络的其中一个节点利用该组播网络的本地信息计算生成所述新密钥,并分别利用该组播网络的其它各节点的公钥将所述新密钥加密,生成加密新密钥;
将所述加密新密钥发送到所述其它各节点,以使其它各节点利用对应的私钥对该加密新密钥进行解密,获得所述新密钥。
由上,本申请提供了两种密钥生成方法,其一是由组播网络的各个节点分别根据该组播网络的本地信息计算生成新密钥,其二是由该组播网络的其中一个节点根据该组播网络的本地信息计算生成新密钥,并采用加密的方式将新密钥发送给组播网络的其它各节点,对新密钥加密可采用密钥对的方式,该其中一个节点根据其它各节点的公钥对该新密钥进行加密并发送到其它各节点,其它各节点可分别根据与公钥对应的私钥进行解密,以得到新密钥。
可选的,所述本地信息包括当前时刻的在用密钥,所述利用该组播网络的本地信息计算生成所述新密钥包括:
采用哈希算法计算当前时刻的在用密钥的哈希值,将所述哈希值作为新密钥。
由上,哈希算法是一种基于Hash函数的文件构造方法,可以把给定的任意长关键宇映射为一个固定长度的无规律数值,具有运算简单、预处理时间短、内存消耗低、匹配查找速度快等优点,本申请可采用哈希算法(SM3算法)计算该组播网络的当前时刻的在用密钥的哈希值,将该哈希值作为新密钥。
可选的,所述密钥存储表以所述组播网络的组ID为维度地址,每个维度地址下包括两个存储空间,其中一个存储空间为在用状态,另一个存储空间为备份状态或空闲状态;
所述新密钥存储到所述备份状态或空闲状态的存储空间,并配置为备份密钥。
由上,工业现场总线上具有多个组播网络时,分别为每个组播网络配置组ID,在进行密钥存储时,以组ID为维度地址将同一组播网络的密钥存储于对应的组ID维度地址下,以使得各个组播网络的密钥互不相同,且不会被其他组播网络的节点获取或修改。该密钥存储表依据其存储的密钥的类型,可将存储空间的状态区分为在用状态、备份状态或空闲状态,其中在用密钥所处的存储空间为在用状态,备份密钥所处的存储空间为备份状态,未存储或已用密钥所处的存储空间为空闲状态,本申请可以将生成的新密钥存储到处于备份状态或空闲状态的存储空间,并将该新密钥配置为备份密钥,以用于切换。
可选的,所述根据切换指令将所述新密钥切换为在用密钥包括:
当所述新密钥配置为备份密钥时,根据所述切换指令将配置的所述备份密钥切换为在用密钥,并将前一时刻的在用密钥切换为已用密钥。
由上,当完成备份密钥的配置后,可根据切换指令将配置完成的备份密钥切换为在用密钥,则该备份状态的存储空间切换为在用状态,并将前一时刻的在用密钥切换为已用密钥,则前一时刻处于在用状态的存储空间切换为空闲状态。
可选的,还包括:
在对所述组播网络进行初始化时,生成初始密钥并存储到所述密钥存储表,并根据切换指令将所述初始密钥切换为在用密钥。
由上,在对组播网络进行初始化时,可生成初始密钥并存储到密钥存储表,需要使用时,可根据切换指令,将该初始密钥切换为在用密钥,以执行对待发送数据的加密。
可选的,所述切换指令包括设定的定时切换指令或上层下发的切换指令。
由上,本申请提供了两种切换密钥触发机制,其一是按照设定时间定时切换密钥,其二是根据上层下发的切换指令切换密钥,以保持组播网络的密钥在各节点中周期性或触发性的同步更新。
第二方面,本申请提供了一种工业现场总线上的密钥更新装置,工业现场总线上包括至少一个组播网络,所述组播网络包括多个节点;所述装置包括:
生成模块,用于在所述组播网络的节点中生成新密钥,并将所述新密钥存储到该组播网络的各节点的密钥存储表;
切换模块,用于根据切换指令将所述新密钥切换为在用密钥,以使用所述在用密钥进行数据加密。
第三方面,本申请提供了一种计算设备,所述计算设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的一种工业现场总线上的密钥更新方法。
第四方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机执行时实现上述的一种工业现场总线上的密钥更新方法。
本申请的这些和其它方面在以下(多个)实施例的描述中会更加简明易懂。
附图说明
图1为本申请实施例提供的一种工业现场总线上的密钥更新方法的流程图;
图2为本申请实施例提供的一种工业现场总线通信网络的示意图;
图3为本申请实施例提供的一种工业现场总线上的密钥更新装置的结构图;
图4为本申请实施例提供的一种计算设备的结构图。
应理解,上述结构示意图中,各框图的尺寸和形态仅供参考,不应构成对本申请实施例的排他性的解读。结构示意图所呈现的各框图间的相对位置和包含关系,仅为示意性地表示各框图间的结构关联,而非限制本申请实施例的物理连接方式。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本申请实施例提供了一种工业现场总线上的密钥更新方法,通过构建一密钥存储表并保存于组播网络的各节点中,在进行密钥管理及更新过程中,通过在组播网络的节点中生成新密钥,并存储到各节点的密钥存储表中,以实现组播网络的各节点的密钥同步更新,当需要更换密钥时,根据切换指令,将存储的该新密钥切换为在用密钥,以利用该在用密钥进行数据加密。本申请实施例通过对各节点的密钥进行同步管理及同步更新,能够尽可能的保证密钥的安全性,由此实现工业现场总线上的数据加密传输。
本申请实施例可以适用于任何一种工业现场总线,例如可以是AUTBUS、EtherCAT、Interbus、PROFIBUS、POWERLINK等工业现场总线。
如图1所示,本申请实施例提供的一种工业现场总线上的密钥更新方法中,工业现场总线上包括至少一个组播网络,该组播网络包括多个节点;参照图1所示,该方法包括:
S110:在所述组播网络的节点中生成新密钥,并将所述新密钥存储到该组播网络的各节点的密钥存储表;
本实施例中,工业现场总线的组播网络中可以包含一个发送节点和多个接收节点,通过为该组播网络分配组ID,并为该组播网络中的各节点分配不同的节点ID,以使得该组播网络中的各节点拥有相同的组ID和不同的节点ID,各节点能够根据其拥有的组ID和节点ID相互识别身份,以便于发送节点的加密数据在工业现场总线上广播时,能够被同组的各个接收节点接收。
根据上述分配的组ID和节点ID,本实施例可以构建用于存储密钥(key)的密钥存储表,并保存组播网络的各节点中,该密钥存储表的维度地址为上述组ID,其中每个维度地址下配置两个存储空间,其中一个存储空间用于存储当前时刻的在用密钥,另一个存储空间用于存储新密钥并将新密钥配置为备份密钥,或者用于存储已用密钥,或者暂不存储。该密钥存储表依据其存储的密钥的类型,可将存储空间的状态区分为在用状态、备份状态或空闲状态,该密钥存储表中的密钥根据当前使用情况也可分为在用密钥、备份密钥或已用密钥,其中在用密钥所处的存储空间为在用状态,备份密钥所处的存储空间为备份状态,未存储或已用密钥所处的存储空间为空闲状态。本实施例在进行密钥管理及更新过程中,通过在组播网络的节点中生成新密钥,并存储到各节点的密钥存储表的处于备份状态或空闲状态的存储空间,并将该新密钥配置为备份密钥,以用于切换。
本实施例提供了两种密钥生成方法,其一是由组播网络的各节点分别利用该组播网络的本地信息计算生成所述新密钥;其二是由该组播网络的其中一个节点根据该组播网络的本地信息计算生成新密钥,并采用加密的方式将新密钥发送给组播网络的其它各节点,对新密钥加密可采用由公钥和私钥组成的密钥对,该其中一个节点根据其它各节点的公钥分别对该新密钥进行加密并对应发送到其它各节点,其它各节点可分别根据与其提供的公钥对应的私钥对加密新密钥进行解密,以得到新密钥。在一些实施例中,组播网络的本地信息可以是该组播网络的各节点的当前时刻的在用密钥,可以通过哈希算法计算当前时刻的在用密钥的哈希(Hash)值,将所述哈希值作为新密钥。
S120:根据切换指令将所述新密钥切换为在用密钥,以使用所述在用密钥进行数据加密。
本实施例提供了两种切换密钥触发机制,其一是按照设定时间定时切换密钥,其二是根据上层下发的切换指令切换密钥,以保持组播网络的密钥在各节点中周期性或触发性的同步更新。
当完成备份密钥的配置后,可根据上述切换指令将配置完成的备份密钥切换为在用密钥,则该备份状态的存储空间切换为在用状态,并将前一时刻的在用密钥切换为已用密钥,则前一时刻处于在用状态的存储空间切换为空闲状态。当存储密钥表中未存储新密钥或者未将新密钥配置为备份密钥时,则收到切换指令后,不进行密钥切换。
在一些实施例中,当第一次在工业现场总线上配置完成组播网络时,需要对该组播网络进行初始化,此时可根据该组播网络的本地信息生成初始密钥,并将生成的初始密钥存储到各节点的密钥存储表,然后根据切换指令,将该初始密钥切换为在用密钥,以执行对待发送数据的加密,并通过组播网络的节点继续生成新密钥,并将新密钥存储到该密钥存储表中,以便于进行下一次的密钥切换。
基于该密钥存储表中存储的密钥,当发送节点对待发送数据进行加密时,即可根据其所在的组播网络的组ID和其节点ID在密钥存储表中查找到对应的在用密钥,发送节点根据获取的该在用密钥即可对待发送数据进行加密,并将得到的加密数据发送到工业现场总线上进行广播,以使组播网络的其他节点接收。
如图2所示,本申请实施例提供了一种工业现场总线通信网络的示意图,在该图2所示的工业现场总线上分布有节点1、节点2和节点3,分别对应的节点ID为节点ID1、节点ID2和节点ID3,其中该节点1、节点2和节点3构成组播网络1,对应的组ID为组ID1;节点1和节点2构成组播网络2,对应的组ID为组ID2。
基于此,本实施例在进行工业现场总线组网上的密钥更新时,需要根据各节点的组ID,构建节点1、节点2和节点3的密钥存储表,并分别保存于节点1、节点2和节点3中。该密钥存储表以所述组播网络的组ID为维度地址,每个维度地址下包括两个存储空间,其中一个存储空间为在用状态,存储有在用密钥(在用key),另一个存储空间为备份状态或空闲状态,为备份状态时,存储有备份密钥(备份key),为空闲状态时,存储有已用密钥(已用key),或者暂不存储(空闲)。本实施例在配置备份密钥(备份key)时,可以将生成的新密钥存储到备份状态或空闲状态的存储空间,并配置成备份密钥(备份key)。通过在每个维度地址下配置两个存储空间,可在不中断业务的前提下,将备份密钥切换为在用密钥,并且将前一时刻的在用密钥切换为已用密钥并暂时存储,针对一些无需每次更换新密钥的应用场景,可以将两个密钥轮换使用,减少系统生成新密钥的运算量。其中,节点1和节点2均同时位于组播网络1和组播网络2,节点3仅位于组播网络1,因此节点1和节点2的密钥存储表中均包含组播网络1的密钥数据和组播网络2的密钥数据,节点3的密钥存储表中仅包含组播网络1的密钥数据;
以下根据三个时刻的密钥存储状态对节点1、节点2和节点3的密钥存储表的状态进行描述,具体的:
时刻1,节点1和节点2的密钥存储表如下所示:
| 地址 | 组ID1 | 组ID2 |
| 存储空间1 | 在用key | 在用key |
| 存储空间2 | 备份key | 空闲 |
节点3的密钥存储表如下所示:
| 地址 | 组ID1 |
| 存储空间1 | 在用key |
| 存储空间2 | 备份key |
时刻2,组播网络1的节点1、节点2和节点3分别计算时刻1的在用密钥(在用key)的哈希值(hash值),将该哈希值作为新密钥(新key),并将该新密钥存储到存储密钥表的组ID1对应的存储空间2中,并将该新密钥(新key)配置为备份密钥(备份key),以替代时刻1的备份密钥(备份key);
时刻3,根据切换指令,将密钥存储表中组ID1对应的存储空间2中的备份密钥(备份key)切换为在用密钥(在用key),则存储空间1中的在用密钥(在用key)则切换为已用密钥(已用key);
时刻3,节点1和节点2的密钥存储表如下所示:
| 地址 | 组ID1 | 组ID2 |
| 存储空间1 | 已用key | 在用key |
| 存储空间2 | 在用key | 空闲 |
节点3的密钥存储表如下所示:
| 地址 | 组ID1 |
| 存储空间1 | 已用key |
| 存储空间2 | 在用key |
基于上述构建的密钥存储表,假设节点1为发送节点,节点2和节点3为接收节点;当组播网络1进行数据广播时,节点1根据其组ID1在密钥存储表查找到对应的在用密钥(在用key),根据该在用密钥(在用key)对待发送数据进行加密,并将得到的加密数据在工业现场总线上广播;
该组播网络1中的节点2和节点3可接收到节点1发送的加密数据,并根据组ID1在其保存的密钥存储表中查找到对应组ID1的在用密钥(在用key),以根据该在用密钥(在用key)对加密数据进行解密,以得到明文。
如图3所示,本申请实施例提供了一种工业现场总线上的密钥更新装置,该装置可用于实现上述的工业现场总线上的密钥更新方法的任一步骤及其可选的实施例。参照如图3所示,该装置包括生成模块210和切换模块220;
生成模块210用于在组播网络的节点中生成新密钥,并将所述新密钥存储到该组播网络的各节点的密钥存储表;切换模块220用于根据切换指令将所述新密钥切换为在用密钥,以使用所述在用密钥进行数据加密。
应理解的是,本申请实施例中的装置或模块可以由软件实现,例如可以由具有上述功能计算机程序或指令来实现,相应计算机程序或指令可以存储在终端内部的存储器中,通过处理器读取该存储器内部的相应计算机程序或指令来实现上述功能。或者,本申请实施例的装置或模块还可以由硬件来实现。又或者,本申请实施例中的装置或模块还可以由处理器和软件模块的结合实现。
应理解,本申请实施例中的装置或模块的处理细节可以参考图1-图2所示的实施例及相关扩展实施例的相关表述,本申请实施例将不再重复赘述。
图4是本申请实施例提供的一种计算设备1000的结构性示意性图。该计算设备1000包括:处理器1010、存储器1020、通信接口1030、总线1040。
应理解,图4所示的计算设备1000中的通信接口1030可以用于与其他设备之间进行通信。
其中,该处理器1010可以与存储器1020连接。该存储器1020可以用于存储该程序代码和数据。因此,该存储器1020可以是处理器1010内部的存储单元,也可以是与处理器1010独立的外部存储单元,还可以是包括处理器1010内部的存储单元和与处理器1010独立的外部存储单元的部件。
可选的,计算设备1000还可以包括总线1040。其中,存储器1020、通信接口1030可以通过总线1040与处理器1010连接。总线1040可以是外设部件互连标准(PeripheralComponent Interconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。所述总线1040可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。
应理解,在本申请实施例中,该处理器1010可以采用中央处理单元(centralprocessing unit,CPU)。该处理器还可以是其它通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。或者该处理器1010采用一个或多个集成电路,用于执行相关程序,以实现本申请实施例所提供的技术方案。
该存储器1020可以包括只读存储器和随机存取存储器,并向处理器1010提供指令和数据。处理器1010的一部分还可以包括非易失性随机存取存储器。例如,处理器1010还可以存储设备类型的信息。
在计算设备1000运行时,所述处理器1010执行所述存储器1020中的计算机执行指令执行上述方法的操作步骤。
应理解,根据本申请实施例的计算设备1000可以对应于执行根据本申请各实施例的方法中的相应主体,并且计算设备1000中的各个模块的上述其它操作和/或功能分别为了实现本实施例各方法的相应流程,为了简洁,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时用于执行上述方法,该方法包括上述各个实施例所描述的方案中的至少之一。
本申请实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是,但不限于,电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括、但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
需要说明的是,本申请所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,上述对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
说明书和权利要求书中的词语“第一、第二、第三等”或模块A、模块B、模块C等类似用语,仅用于区别类似的对象,不代表针对对象的特定排序,可以理解地,在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
在上述的描述中,所涉及的表示步骤的标号,并不表示一定会按此步骤执行,还可以包括中间的步骤或者由其他的步骤代替,在允许的情况下可以互换前后步骤的顺序,或同时执行。
说明书和权利要求书中使用的术语“包括”不应解释为限制于其后列出的内容;它不排除其它的元件或步骤。因此,其应当诠释为指定所提到的所述特征、整体、步骤或部件的存在,但并不排除存在或添加一个或更多其它特征、整体、步骤或部件及其组群。因此,表述“包括装置A和B的设备”不应局限为仅由部件A和B组成的设备。
本说明书中提到的“一个实施例”或“实施例”意味着与该实施例结合描述的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在本说明书各处出现的用语“在一个实施例中”或“在实施例中”并不一定都指同一实施例,但可以指同一实施例。此外,在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
注意,上述仅为本申请的较佳实施例及所运用的技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明的构思的情况下,还可以包括更多其他等效实施例,均属于本发明的保护范畴。
Claims (11)
1.一种工业现场总线上的密钥更新方法,其特征在于,工业现场总线上包括至少一个组播网络,所述组播网络包括多个节点;所述方法包括:
在所述组播网络的节点中生成新密钥,并将所述新密钥存储到该组播网络的各节点的密钥存储表;
根据切换指令将所述新密钥切换为在用密钥,以使用所述在用密钥进行数据加密。
2.根据权利要求1所述的方法,其特征在于,所述在所述组播网络的节点中生成新密钥包括:
所述组播网络的各节点分别利用该组播网络的本地信息计算生成所述新密钥。
3.根据权利要求1所述的方法,其特征在于,所述在所述组播网络的节点中生成新密钥包括:
所述组播网络的其中一个节点利用该组播网络的本地信息计算生成所述新密钥,并分别利用该组播网络的其它各节点的公钥将所述新密钥加密,生成加密新密钥;
将所述加密新密钥发送到所述其它各节点,以使其它各节点利用对应的私钥对该加密新密钥进行解密,获得所述新密钥。
4.根据权利要求2或3所述的方法,其特征在于,所述本地信息包括当前时刻的在用密钥,所述利用该组播网络的本地信息计算生成所述新密钥包括:
采用哈希算法计算当前时刻的在用密钥的哈希值,将所述哈希值作为新密钥。
5.根据权利要求1所述的方法,其特征在于,所述密钥存储表以所述组播网络的组ID为维度地址,每个维度地址下包括两个存储空间,其中一个存储空间为在用状态,另一个存储空间为备份状态或空闲状态;
所述新密钥存储到所述备份状态或空闲状态的存储空间,并配置为备份密钥。
6.根据权利要求5所述的方法,其特征在于,所述根据切换指令将所述新密钥切换为在用密钥包括:
当所述新密钥配置为备份密钥时,根据所述切换指令将配置的所述备份密钥切换为在用密钥,并将前一时刻的在用密钥切换为已用密钥。
7.根据权利要求1所述的方法,其特征在于,还包括:
在对所述组播网络进行初始化时,生成初始密钥并存储到所述密钥存储表,根据切换指令将所述初始密钥切换为在用密钥。
8.根据权利要求1至3、5至7任意一项所述的方法,其特征在于,所述切换指令包括设定的定时切换指令或上层下发的切换指令。
9.一种工业现场总线上的密钥更新装置,其特征在于,工业现场总线上包括至少一个组播网络,所述组播网络包括多个节点;所述装置包括:
生成模块,用于在所述组播网络的节点中生成新密钥,并将所述新密钥存储到该组播网络的各节点的密钥存储表;
切换模块,用于根据切换指令将所述新密钥切换为在用密钥,以使用所述在用密钥进行数据加密。
10.一种计算设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至8任意一项所述的一种工业现场总线上的密钥更新方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被计算机执行时实现如权利要求1至8任意一项所述的一种工业现场总线上的密钥更新方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211350251.3A CN115664661A (zh) | 2022-10-31 | 2022-10-31 | 工业现场总线上的密钥更新方法及装置、设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211350251.3A CN115664661A (zh) | 2022-10-31 | 2022-10-31 | 工业现场总线上的密钥更新方法及装置、设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115664661A true CN115664661A (zh) | 2023-01-31 |
Family
ID=84995312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211350251.3A Pending CN115664661A (zh) | 2022-10-31 | 2022-10-31 | 工业现场总线上的密钥更新方法及装置、设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115664661A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117278325A (zh) * | 2023-11-17 | 2023-12-22 | 临沂大学 | 一种计算机网络大数据安全防护方法及系统 |
-
2022
- 2022-10-31 CN CN202211350251.3A patent/CN115664661A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117278325A (zh) * | 2023-11-17 | 2023-12-22 | 临沂大学 | 一种计算机网络大数据安全防护方法及系统 |
| CN117278325B (zh) * | 2023-11-17 | 2024-01-26 | 临沂大学 | 一种计算机网络大数据安全防护方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11595196B2 (en) | Quantum key distribution method and device, and storage medium | |
| CN109379772B (zh) | 网络信道的切换方法、装置、设备和存储介质 | |
| CN109523040B (zh) | 一种可保护隐私的用户设备报修方法、服务器、系统及介质 | |
| WO2021023304A1 (zh) | 分叉处理方法以及区块链节点 | |
| EP3920503A1 (en) | Resource request method, device and storage medium | |
| US20210182347A1 (en) | Policy-based trusted peer-to-peer connections | |
| CN109194473A (zh) | 一种数据传输方法、系统、装置、终端及存储介质 | |
| CN115664661A (zh) | 工业现场总线上的密钥更新方法及装置、设备、存储介质 | |
| CN115941182B (zh) | 用于网络密钥更新的方法、计算设备和存储介质 | |
| US11853449B1 (en) | Data processing method based on secure multi-party computation, electronic device, and storage medium | |
| WO2020253380A1 (zh) | 数据加密方法、装置及终端设备 | |
| CN103152346A (zh) | 海量用户的隐私保护方法、服务器和系统 | |
| CN112883388A (zh) | 文件加密方法及装置、存储介质、电子装置 | |
| CN112235299A (zh) | 数据加解密方法、装置、设备、系统及介质 | |
| CN111246407A (zh) | 用于短信传输的数据加密、解密方法及装置 | |
| Kushilevitz et al. | An Ω (D log (N/D)) lower bound for broadcast in radio networks | |
| CN112887297B (zh) | 保护隐私的差异数据确定方法、装置、设备及系统 | |
| CN111988260A (zh) | 一种对称密钥管理系统、传输方法及装置 | |
| CN102769495B (zh) | 一种光纤接入网设备通信方法、装置及系统 | |
| CN112966303A (zh) | 数据的加解密方法及装置、电子设备、计算机存储介质 | |
| CN112953940A (zh) | 基于混合加密算法和关键属性过滤的安全发布订阅系统及方法 | |
| US20120179902A1 (en) | Network key update system, a server, a network key update method and a recording medium | |
| CN113938883B (zh) | 基于中间节点的数据加密发送方法及装置 | |
| Cui et al. | On secure network coding with unequal link capacities and restricted wiretapping sets | |
| CN112653539B (zh) | 一种待存储数据的存储方法、装置以及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |