WO2023109468A1 - 一种工业控制器多播通讯密钥分发方法及*** - Google Patents

一种工业控制器多播通讯密钥分发方法及*** Download PDF

Info

Publication number
WO2023109468A1
WO2023109468A1 PCT/CN2022/134182 CN2022134182W WO2023109468A1 WO 2023109468 A1 WO2023109468 A1 WO 2023109468A1 CN 2022134182 W CN2022134182 W CN 2022134182W WO 2023109468 A1 WO2023109468 A1 WO 2023109468A1
Authority
WO
WIPO (PCT)
Prior art keywords
multicast
key
key distribution
group
information
Prior art date
Application number
PCT/CN2022/134182
Other languages
English (en)
French (fr)
Inventor
陈银桃
马纳
章维
张高达
Original Assignee
浙江中控技术股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 浙江中控技术股份有限公司 filed Critical 浙江中控技术股份有限公司
Publication of WO2023109468A1 publication Critical patent/WO2023109468A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Definitions

  • the invention relates to the technical field of industrial information security, in particular to a method and system for distributing multicast communication keys for industrial controllers.
  • the control system has high requirements for real-time communication and reliability. Furthermore, the controller itself has limited computing resources, and usually cannot support security encryption protocols that require large computing power, such as TLS/DTLS protocols. On the other hand, traditional devices mostly use digital certificate-based public key encryption technology for identity authentication, and digital certificates are cumbersome and inconvenient in daily system maintenance.
  • the key distribution server uses the group member device ID to query the stored multicast group address and multicast group communication key of the group member, and further based on the multicast key request
  • the message, multicast group address, and multicast group communication key generate a multicast communication key distribution message and send it to the group members;
  • the key distribution server uses the group member device identifier to query the multicast group address of the group member and the multicast group communication key pre-stored in the key distribution server;
  • the key distribution server signs the multicast communication key distribution information by using the private key of the root certificate, and obtains the second signature information;
  • the group member stores the multicast communication key and the multicast group address in the multicast communication key distribution information whose verification result is correct.
  • the multicast key request information includes: random numbers of group members, device identifiers of group members, and time stamps of group members;
  • the group members are also used to verify the multicast communication key distribution message, and store the corresponding multicast communication key and multicast group address in the multicast communication key distribution message whose verification result is correct.
  • the group member stores the multicast communication key and the multicast group address in the multicast communication key distribution information whose verification result is correct.
  • the multicast key request information includes: group member random numbers, group member device identifiers, and group member time stamps.
  • the group member generates multicast key request information
  • the multicast communication key distribution information includes: group member random number, group member multicast group address, multicast communication key and key distribution server timestamp information;
  • the group members are also used to verify the multicast communication key distribution message, and store the corresponding multicast communication key and multicast group address in the multicast communication key distribution message whose verification result is correct.
  • the key distribution server uses the group member device ID to query the stored multicast group address of the group member and the multicast group communication key, and further based on the multicast key request message , multicast group address, and multicast group communication key to generate a multicast communication key distribution message and send it to group members, including:
  • the key distribution server receives the multicast key request message, and uses the private key of the root certificate of the key distribution server to decrypt the multicast key request message, and obtains the multicast key request information and the first signature information.
  • the group member stores the multicast communication key and the multicast group address in the multicast communication key distribution information whose verification result is correct.
  • the key distribution server generates multicast communication key distribution information based on the group member random number, multicast group address and multicast group communication key in the multicast key request information.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种工业控制器多播通讯密钥分发方法及***,该方法应用于组成员与密钥分发服务器之间,该方法包括:组成员生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器;密钥分发服务器根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员;组成员对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址。

Description

一种工业控制器多播通讯密钥分发方法及*** 技术领域
本发明涉及工业信息安全技术领域,尤其涉及一种工业控制器多播通讯密钥分发方法及***。
背景技术
一个DCS***包括部署DCS控制器、操作员站、工程师、组态服务器、历史数据服务器等,操作站(工程师站)需通过相关通讯协议对控制器进行组态配置、数据采集、命令下发,固件升级等操作。DCS***通讯网络存在多种形式的通讯方式其通讯形式,包括了单播通讯、组播通讯以及广播通讯,其中组播通讯一般用于某类消息需通知多个对象(例如控制器状态数据、自身诊断信息发布以及协同控制),从而降低通讯流量,提升网络通讯效率。在传统控制***中,控制***组播通讯未考虑安全机制,例如加密通讯,身份认证机制,其通讯信息以明文方式进行传输,因此其通讯过程易被监听,攻击者可通过中间人攻击,伪造携带错误状态或者控制指令的数据包,欺骗控制***控制节点或者监控节点,可对***进行破坏,同时可使用户无法及时发现控制***异常。因此从实际应用的角度考虑,控制***的组播通讯的安全性将对控制***整体安全产生重要影响。因此根据控制***本身特点出发,考虑增加适用控制***的组播通讯身份认证及通讯加密方法成为亟需解决的问题。
控制***对通讯实时性以及可靠性要求较高,进一步,控制器自身计算资源有限,通常无法支持需较大计算能力安全加密协议,例如TLS/DTLS协议。另一方面,传统的设备多采用基于基于数字证书的公钥加密技术进行身份认证,而数字证书在日常***维护中存在繁琐不便的问题。
发明内容
(一)要解决的技术问题
鉴于现有技术的上述缺点、不足,本发明提供一种工业控制器多播通讯密钥分发方法及***,其解决了传统DCS控制***中涉及的组播通讯无法建立有效的安全通讯机制,存在组播组成员无法进行身份认证、组播数据未加密导致多种安全风险的技术问题。
(二)技术方案
为了达到上述目的,本发明采用的主要技术方案包括:
第一方面,本发明实施例提供一种工业控制器多播通讯密钥分发方法,所述方法应用于组成员与密钥分发服务器之间,其中组成员为DCS控制网络内任意一个参与组播通讯终端节点设备,所述方法包括:
S1、组成员生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器;
所述多播密钥请求信息包含了:组成员随机数、组成员的设备标识、组成员时间戳;
S2、密钥分发服务器根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员;
S3、组成员对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址。
优选的,所述S1包括:
S11、组成员生成多播密钥请求信息;
S12、组成员使用组成员设备证书私钥对所述多播密钥请求信息进行签名,获取第一签名信息;
S13、组成员将所述多播密钥请求信息和所述第一签名信息使用密钥分发服务器根证书公钥加密,生成多播密钥请求报文,并将该多播密钥请求报文发送至密钥分发服务器。
优选的,所述S2包括:
S21、密钥分发服务器接收多播密钥请求报文,并使用密钥分发服务器根证书的私钥针对该多播密钥请求报文进行解密,获取多播密钥请求信息和第一签名信息;
S22、密钥分发服务器采用其所含的设备证书公钥验证该第一签名信息是否正确,若正确,则记录该多播密钥请求信息;
S23、密钥分发服务器使用组成员设备标识查询密钥分发服务器中所预先存储的组成员所在多播组地址以及多播组通讯密钥;
S24、若查询成功,则密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员。
优选的,所述S24包括:
S241、密钥分发服务器基于所述多播密钥请求信息中的组成员随机数、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息;
所述多播通讯密钥分发信息包括:组成员随机数、组成员多播组地址、多播通讯密钥以及密钥分发服务器时间戳信息;
S242、密钥分发服务器使用根证书私钥对多播通讯密钥分发信息进行签名,获取第二签名信息;
S243、密钥分发服务器将多播通讯密钥分发信息及第二签名信息使 用组成员设备证书所含的设备证书公钥进行加密,获取多播通讯密钥分发报文,并将该多播通讯密钥分发报文发送至组成员。
优选的,所述S3包括:
S31、组成员接收多播通讯密钥分发报文,并使用组成员设备证书私钥对多播通讯密钥分发报文进行解密,获取第二签名信息和多播通讯密钥分发信息;
S32、组成员使用根证书公钥验证第二签名信息及多播通讯密钥分发信息所含组成员随机数、密钥分发服务器时间戳信息是否正确;
S33、若正确,则组成员存储验证结果为正确的多播通讯密钥分发信息中的多播通讯密钥及多播组地址。
另一方面,本实施例还提供一种工业控制器多播通讯秘钥分发***,包括:
组成员,用于生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器;
所述多播密钥请求信息包含了:组成员随机数、组成员的设备标识、组成员时间戳;
密钥分发服务器,用于根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员;
组成员,还用于对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址。
优选的,
组成员用于生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器,具体包括:
组成员生成多播密钥请求信息;
组成员使用组成员设备证书私钥对所述多播密钥请求信息进行签名,获取第一签名信息;
组成员将所述多播密钥请求信息和所述第一签名信息使用密钥分发服务器根证书公钥加密,生成多播密钥请求报文,并将该多播密钥请求报文发送至密钥分发服务器;
密钥分发服务器根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员,具体包括:
密钥分发服务器接收多播密钥请求报文,并使用密钥分发服务器根证书的私钥针对该多播密钥请求报文进行解密,获取多播密钥请求信息和第一签名信息;
密钥分发服务器采用其所含的设备证书公钥验证该第一签名信息是否正确,若正确,则记录该多播密钥请求信息;
密钥分发服务器使用组成员设备标识查询密钥分发服务器中所预先存储的组成员所在多播组地址以及多播组通讯密钥;
若查询成功,则密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员;
组成员对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址,具体包括:
组成员接收多播通讯密钥分发报文,并使用组成员设备证书私钥对多播通讯密钥分发报文进行解密,获取第二签名信息和多播通讯密钥分发信息;
组成员使用根证书公钥验证第二签名信息及多播通讯密钥分发信息所含组成员随机数、密钥分发服务器时间戳信息是否正确;
若正确,则组成员存储验证结果为正确的多播通讯密钥分发信息中的多播通讯密钥及多播组地址。
优选的,
所述密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员,具体包括:
密钥分发服务器基于所述多播密钥请求信息中的组成员随机数、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息;
所述多播通讯密钥分发信息包括:组成员随机数、组成员多播组地址、多播通讯密钥以及密钥分发服务器时间戳信息;
密钥分发服务器使用根证书私钥对多播通讯密钥分发信息进行签名,获取第二签名信息;
密钥分发服务器将多播通讯密钥分发信息及第二签名信息使用组成员设备证书所含的设备证书公钥进行加密,获取多播通讯密钥分发报文,并将该多播通讯密钥分发报文发送至组成员。
优选的,
所述密钥分发服务器,还用于生成多播通讯密钥更新信息,并使用多播通讯密钥生成多播通讯密钥更新信息的消息认证码HMAC;密钥分发服务器将多播通讯密钥更新信息及消息认证码HMAC使用多播通讯密钥加密后作为多播通讯密钥更新报文发送至组成员;
所述多播通讯密钥更新信息包括密钥更新时间戳、多播通讯更新密钥;
所述组成员,还用于接收多播通讯密钥更新报文后,使用多播通讯密钥进行解密,获取并验证多播通讯密钥更新信息及消息认证码HMAC,若正确,则将所述多播通讯密钥更新信息中的多播通讯更新密钥作为新的多播通讯密钥。
优选的,
所述密钥分发服务器,还用于将组成员设备标识、设备证书及其多播组地址进行存储完成组成员注册授权。
(三)有益效果
本发明的有益效果是:本发明的一种工业控制器多播通讯密钥分发方法及***,由于采用组成员与密钥分发服务器之间通过多播密钥请求报文和多播通讯密钥分发报文,实现组成员的身份合法性认证,以及组播数据加密,提高了安全性,另一方面,通过轻量级通讯密钥分发机制,通讯流程实现了简化。
附图说明
图1为本发明的一种工业控制器多播通讯密钥分发方法示意图;
图2为本发明实施例中DCS多播通讯网络拓扑图;
图3为本发明的一种工业控制器多播通讯密钥分发***结构示意图。
具体实施方式
为了更好的解释本发明,以便于理解,下面结合附图,通过具体实 施方式,对本发明作详细描述。
为了更好的理解上述技术方案,下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更清楚、透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
参见图1,本实施例提供一种工业控制器多播通讯密钥分发方法,所述方法应用于组成员与密钥分发服务器之间,其中组成员为DCS控制网络内任意一个参与组播通讯终端节点设备,所述方法包括:
S1、组成员生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器。
所述多播密钥请求信息包含了:组成员随机数、组成员的设备标识、组成员时间戳。
S2、密钥分发服务器根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员。
S3、组成员对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址。
本实施例提供的一种工业控制器多播通讯密钥分发方法,所述方法应用于DCS控制***内DCS控制器、操作站、工程师间的多通讯身份认证、通讯加密。典型的DCS多播通讯网络拓扑如图2所示。所述方法涉及多播组成员(即组成员)和密钥分发服务器,其中组成员可以为DCS控 制网络内任意一个参与组播通讯终端节点设备,例如DCS控制器、操作站、工程师站。
在本实施例的实际应用中,所述S1包括:
S11、组成员生成多播密钥请求信息;
S12、组成员使用组成员设备证书私钥对所述多播密钥请求信息进行签名,获取第一签名信息;
S13、组成员将所述多播密钥请求信息和所述第一签名信息使用密钥分发服务器根证书公钥加密,生成多播密钥请求报文,并将该多播密钥请求报文发送至密钥分发服务器。
在本实施例的实际应用中,所述S2包括:
S21、密钥分发服务器接收多播密钥请求报文,并使用密钥分发服务器根证书的私钥针对该多播密钥请求报文进行解密,获取多播密钥请求信息和第一签名信息。
S22、密钥分发服务器采用其所含的设备证书公钥验证该第一签名信息是否正确,若正确,则记录该多播密钥请求信息;(设备证书公钥信息已经存储在密钥分发服务器上)。
S23、密钥分发服务器使用组成员设备标识查询密钥分发服务器中所预先存储的组成员所在多播组地址以及多播组通讯密钥。
具体的,密钥分发服务器将已经注册授权的组成员中的设备标识、设备证书及其多播组地址进行存储。
S24、若查询成功,则密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员。
具体的,如果查询失败(也就是在密钥分发服务器中没有查询到该 组成员的设备标识、设备证书及其多播组地址),则停止后续流程。设备其实就是数字证书,是代表身份的一个东西,里面含有公钥信息,对应一个私钥信息。
在本实施例的实际应用中,所述S24包括:
S241、密钥分发服务器基于所述多播密钥请求信息中的组成员随机数、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息;
所述多播通讯密钥分发信息包括:组成员随机数、组成员多播组地址、多播通讯密钥以及密钥分发服务器时间戳信息;
S242、密钥分发服务器使用根证书私钥对多播通讯密钥分发信息进行签名,获取第二签名信息;(根证书预先存储在组成员设备上,根证书为密钥分服务器拥有的数字证书)。
S243、密钥分发服务器将多播通讯密钥分发信息及第二签名信息使用组成员设备证书所含的设备证书公钥进行加密,获取多播通讯密钥分发报文,并将该多播通讯密钥分发报文发送至组成员。
在本实施例的实际应用中,所述S3包括:
S31、组成员接收多播通讯密钥分发报文,并使用组成员设备证书私钥对多播通讯密钥分发报文进行解密,获取第二签名信息和多播通讯密钥分发信息。
S32、组成员使用根证书公钥验证第二签名信息及多播通讯密钥分发信息所含组成员随机数、密钥分发服务器时间戳信息是否正确。
S33、若正确,则组成员存储验证结果为正确的多播通讯密钥分发信息中的多播通讯密钥及多播组地址。
另一方面,参见图3本实施例还提供一种工业控制器多播通讯密钥分发***,包括:
组成员,用于生成多播密钥请求信息,并对该多播密钥请求信息进 行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器。
所述多播密钥请求信息包含了:组成员随机数、组成员的设备标识、组成员时间戳。
密钥分发服务器,用于根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员。
组成员,还用于对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址。
在本实施例的实际应用中,组成员用于生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器,具体包括:
组成员生成多播密钥请求信息。
组成员使用组成员设备证书私钥对所述多播密钥请求信息进行签名,获取第一签名信息。
组成员将所述多播密钥请求信息和所述第一签名信息使用密钥分发服务器根证书公钥加密,生成多播密钥请求报文,并将该多播密钥请求报文发送至密钥分发服务器。
密钥分发服务器根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员,具体包括:
密钥分发服务器接收多播密钥请求报文,并使用密钥分发服务器根证书的私钥针对该多播密钥请求报文进行解密,获取多播密钥请求信息和第一签名信息。
密钥分发服务器采用其所含的设备证书公钥验证该第一签名信息是否正确,若正确,则记录该多播密钥请求信息。
密钥分发服务器使用组成员设备标识查询密钥分发服务器中所预先存储的组成员所在多播组地址以及多播组通讯密钥。
若查询成功,则密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员。
组成员对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址,具体包括。
组成员接收多播通讯密钥分发报文,并使用组成员设备证书私钥对多播通讯密钥分发报文进行解密,获取第二签名信息和多播通讯密钥分发信息。
组成员使用根证书公钥验证第二签名信息及多播通讯密钥分发信息所含组成员随机数、密钥分发服务器时间戳信息是否正确。
若正确,则组成员存储验证结果为正确的多播通讯密钥分发信息中的多播通讯密钥及多播组地址。
在本实施例的实际应用中,所述密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员,具体包括:
密钥分发服务器基于所述多播密钥请求信息中的组成员随机数、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息。
所述多播通讯密钥分发信息包括:组成员随机数、组成员多播组地址、多播通讯密钥以及密钥分发服务器时间戳信息。
密钥分发服务器使用根证书私钥对多播通讯密钥分发信息进行签名,获取第二签名信息。
密钥分发服务器将多播通讯密钥分发信息及第二签名信息使用组成员设备证书所含的设备证书公钥进行加密,获取多播通讯密钥分发报文,并将该多播通讯密钥分发报文发送至组成员。
在本实施例的实际应用中,所述密钥分发服务器,还用于生成多播通讯密钥更新信息,并使用多播通讯密钥生成多播通讯密钥更新信息的消息认证码HMAC;密钥分发服务器将多播通讯密钥更新信息及消息认证码HMAC使用多播通讯密钥加密后作为多播通讯密钥更新报文发送至组成员。
所述多播通讯密钥更新信息包括密钥更新时间戳、多播通讯更新密钥。
本实施例中的工业控制器多播通讯密钥分发***实现了组播密钥更新功能,基于共享密钥技术实现组播密钥更新通信信息的来源真实性鉴别以及通讯数据的加密,共享密钥技术相比公钥加密技术效率高,因此组播密钥更新速率快,在保障通讯安全性的同时,提升了密钥分发效率。通过定期性更新组播通讯密钥,提高了***安全。
所述组成员,还用于接收多播通讯密钥更新报文后,使用多播通讯密钥进行解密,获取并验证多播通讯密钥更新信息及消息认证码HMAC,若正确,则将所述多播通讯密钥更新信息中的多播通讯更新密钥作为新的多播通讯密钥。
在本实施例的实际应用中,所述密钥分发服务器,还用于将组成员设备标识、设备证书及其多播组地址进行存储完成组成员注册授权。
本实施例中的一种工业控制器多播通讯密钥分发方法及***,由于采用组成员与密钥分发服务器之间通过多播密钥请求报文和多播通讯密钥分发报文,实现组成员的身份合法性认证,以及组播数据加密,提高了安全性,另一方面,通过轻量级通讯密钥分发机制,通讯流程实现了简化。
由于本发明上述实施例所描述的***,为实施本发明上述实施例的方法所采用的***,故而基于本发明上述实施例所描述的方法,本领域所属技术人员能够了解该***/装置的具体结构及变形,因而在此不再赘述。凡是本发明上述实施例的方法所采用的***都属于本发明所欲保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例,或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。
应当注意的是,在权利要求中,不应将位于括号之间的任何附图标记理解成对权利要求的限制。词语“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的词语“一”或“一个”不排除存在 多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的权利要求中,这些装置中的若干个可以是通过同一个硬件来具体体现。词语第一、第二、第三等的使用,仅是为了表述方便,而不表示任何顺序。可将这些词语理解为部件名称的一部分。
此外,需要说明的是,在本说明书的描述中,术语“一个实施例”、“一些实施例”、“实施例”、“示例”、“具体示例”或“一些示例”等的描述,是指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管已描述了本发明的优选实施例,但本领域的技术人员在得知了基本创造性概念后,则可对这些实施例作出另外的变更和修改。所以,权利要求应该解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种修改和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也应该包含这些修改和变型在内。

Claims (10)

  1. 一种工业控制器多播通讯密钥分发方法,其特征在于,所述方法应用于组成员与密钥分发服务器之间,其中组成员为DCS控制网络内任意一个参与组播通讯终端节点设备,所述方法包括:
    S1、组成员生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器;
    所述多播密钥请求信息包含了:组成员随机数、组成员的设备标识、组成员时间戳;
    S2、密钥分发服务器根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员;
    S3、组成员对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址。
  2. 根据权利要求1所述的方法,其特征在于,所述S1包括:
    S11、组成员生成多播密钥请求信息;
    S12、组成员使用组成员设备证书私钥对所述多播密钥请求信息进行签名,获取第一签名信息;
    S13、组成员将所述多播密钥请求信息和所述第一签名信息使用密钥分发服务器根证书公钥加密,生成多播密钥请求报文,并将该多播密钥请求报文发送至密钥分发服务器。
  3. 根据权利要求2所述的方法,其特征在于,所述S2包括:
    S21、密钥分发服务器接收多播密钥请求报文,并使用密钥分发服务器根证书的私钥针对该多播密钥请求报文进行解密,获取多播密钥请求 信息和第一签名信息;
    S22、密钥分发服务器采用其所含的设备证书公钥验证该第一签名信息是否正确,若正确,则记录该多播密钥请求信息;
    S23、密钥分发服务器使用组成员设备标识查询密钥分发服务器中所预先存储的组成员所在多播组地址以及多播组通讯密钥;
    S24、若查询成功,则密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员。
  4. 根据权利要求3所述的方法,其特征在于,所述S24包括:
    S241、密钥分发服务器基于所述多播密钥请求信息中的组成员随机数、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息;
    所述多播通讯密钥分发信息包括:组成员随机数、组成员多播组地址、多播通讯密钥以及密钥分发服务器时间戳信息;
    S242、密钥分发服务器使用根证书私钥对多播通讯密钥分发信息进行签名,获取第二签名信息;
    S243、密钥分发服务器将多播通讯密钥分发信息及第二签名信息使用组成员设备证书所含的设备证书公钥进行加密,获取多播通讯密钥分发报文,并将该多播通讯密钥分发报文发送至组成员。
  5. 根据权利要求4所述的方法,其特征在于,所述S3包括:
    S31、组成员接收多播通讯密钥分发报文,并使用组成员设备证书私钥对多播通讯密钥分发报文进行解密,获取第二签名信息和多播通讯密钥分发信息;
    S32、组成员使用根证书公钥验证第二签名信息及多播通讯密钥分发信息所含组成员随机数、密钥分发服务器时间戳信息是否正确;
    S33、若正确,则组成员存储验证结果为正确的多播通讯密钥分发信息中的多播通讯密钥及多播组地址。
  6. 一种工业控制器多播通讯秘钥分发***,其特征在于,包括:
    组成员,用于生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器;
    所述多播密钥请求信息包含了:组成员随机数、组成员的设备标识、组成员时间戳;
    密钥分发服务器,用于根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员;
    组成员,还用于对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址。
  7. 根据权利要求6所述的***,其特征在于,
    组成员用于生成多播密钥请求信息,并对该多播密钥请求信息进行签名,获取第一签名信息,以及进一步基于该多播密钥请求信息和该第一签名信息生成多播密钥请求报文,并发送至密钥分发服务器,具体包括:
    组成员生成多播密钥请求信息;
    组成员使用组成员设备证书私钥对所述多播密钥请求信息进行签名,获取第一签名信息;
    组成员将所述多播密钥请求信息和所述第一签名信息使用密钥分发服务器根证书公钥加密,生成多播密钥请求报文,并将该多播密钥请求 报文发送至密钥分发服务器;
    密钥分发服务器根据该多播密钥请求报文,并使用组成员设备标识查询其所存储的组成员所在多播组地址以及多播组通讯密钥,进一步基于该多播密钥请求报文、多播组地址、多播组通讯密钥生成多播通讯密钥分发报文并发送至组成员,具体包括:
    密钥分发服务器接收多播密钥请求报文,并使用密钥分发服务器根证书的私钥针对该多播密钥请求报文进行解密,获取多播密钥请求信息和第一签名信息;
    密钥分发服务器采用其所含的设备证书公钥验证该第一签名信息是否正确,若正确,则记录该多播密钥请求信息;
    密钥分发服务器使用组成员设备标识查询密钥分发服务器中所预先存储的组成员所在多播组地址以及多播组通讯密钥;
    若查询成功,则密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员;
    组成员对该多播通讯密钥分发报文进行验证,并存储验证结果为正确的多播通讯密钥分发报文中所对应的多播通讯密钥及多播组地址,具体包括:
    组成员接收多播通讯密钥分发报文,并使用组成员设备证书私钥对多播通讯密钥分发报文进行解密,获取第二签名信息和多播通讯密钥分发信息;
    组成员使用根证书公钥验证第二签名信息及多播通讯密钥分发信息所含组成员随机数、密钥分发服务器时间戳信息是否正确;
    若正确,则组成员存储验证结果为正确的多播通讯密钥分发信息中 的多播通讯密钥及多播组地址。
  8. 根据权利要求7所述的***,其特征在于,
    所述密钥分发服务器基于所述多播密钥请求信息、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息,并基于该多播通讯密钥分发信息获取多播通讯密钥分发报文,进一步将该多播通讯密钥分发报文发送至组成员,具体包括:
    密钥分发服务器基于所述多播密钥请求信息中的组成员随机数、多播组地址以及多播组通讯密钥,生成多播通讯密钥分发信息;
    所述多播通讯密钥分发信息包括:组成员随机数、组成员多播组地址、多播通讯密钥以及密钥分发服务器时间戳信息;
    密钥分发服务器使用根证书私钥对多播通讯密钥分发信息进行签名,获取第二签名信息;
    密钥分发服务器将多播通讯密钥分发信息及第二签名信息使用组成员设备证书所含的设备证书公钥进行加密,获取多播通讯密钥分发报文,并将该多播通讯密钥分发报文发送至组成员。
  9. 根据权利要求8所述的***,其特征在于,
    所述密钥分发服务器,还用于生成多播通讯密钥更新信息,并使用多播通讯密钥生成多播通讯密钥更新信息的消息认证码HMAC;密钥分发服务器将多播通讯密钥更新信息及消息认证码HMAC使用多播通讯密钥加密后作为多播通讯密钥更新报文发送至组成员;
    所述多播通讯密钥更新信息包括密钥更新时间戳、多播通讯更新密钥;
    所述组成员,还用于接收多播通讯密钥更新报文后,使用多播通讯密钥进行解密,获取并验证多播通讯密钥更新信息及消息认证码HMAC,若正确,则将所述多播通讯密钥更新信息中的多播通讯更新密钥作为新 的多播通讯密钥。
  10. 根据权利要求9所述的***,其特征在于,
    所述密钥分发服务器,还用于将组成员设备标识、设备证书及其多播组地址进行存储完成组成员注册授权。
PCT/CN2022/134182 2021-12-17 2022-11-24 一种工业控制器多播通讯密钥分发方法及*** WO2023109468A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202111555495.0 2021-12-17
CN202111555495.0A CN114422118A (zh) 2021-12-17 2021-12-17 一种工业控制器多播通讯密钥分发方法及***

Publications (1)

Publication Number Publication Date
WO2023109468A1 true WO2023109468A1 (zh) 2023-06-22

Family

ID=81266725

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2022/134182 WO2023109468A1 (zh) 2021-12-17 2022-11-24 一种工业控制器多播通讯密钥分发方法及***

Country Status (2)

Country Link
CN (1) CN114422118A (zh)
WO (1) WO2023109468A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114422118A (zh) * 2021-12-17 2022-04-29 浙江中控技术股份有限公司 一种工业控制器多播通讯密钥分发方法及***
CN115460134A (zh) * 2022-09-05 2022-12-09 国网智能电网研究院有限公司 一种针对电力5g业务的mec数据多播转发方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6295361B1 (en) * 1998-06-30 2001-09-25 Sun Microsystems, Inc. Method and apparatus for multicast indication of group key change
CN1780413A (zh) * 2004-11-25 2006-05-31 华为技术有限公司 一种组播广播业务密钥控制方法
CN101155027A (zh) * 2006-09-27 2008-04-02 华为技术有限公司 密钥共享方法和***
US20110016307A1 (en) * 2009-07-14 2011-01-20 Killian Thomas J Authorization, authentication and accounting protocols in multicast content distribution networks
CN108737430A (zh) * 2018-05-25 2018-11-02 全链通有限公司 区块链节点的加密通信方法和***
CN114422118A (zh) * 2021-12-17 2022-04-29 浙江中控技术股份有限公司 一种工业控制器多播通讯密钥分发方法及***

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4554264B2 (ja) * 2004-04-19 2010-09-29 エヌ・ティ・ティ・ソフトウェア株式会社 デジタル署名処理方法及びそのためのプログラム
US11368325B2 (en) * 2020-02-11 2022-06-21 Honeywell International Inc. System for communication on a network
CN112653551A (zh) * 2020-10-11 2021-04-13 黑龙江头雁科技有限公司 一种基于密钥分发组播的集中密钥管理方法
CN112350826A (zh) * 2021-01-08 2021-02-09 浙江中控技术股份有限公司 一种工业控制***数字证书签发管理方法和加密通信方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6295361B1 (en) * 1998-06-30 2001-09-25 Sun Microsystems, Inc. Method and apparatus for multicast indication of group key change
CN1780413A (zh) * 2004-11-25 2006-05-31 华为技术有限公司 一种组播广播业务密钥控制方法
CN101155027A (zh) * 2006-09-27 2008-04-02 华为技术有限公司 密钥共享方法和***
US20110016307A1 (en) * 2009-07-14 2011-01-20 Killian Thomas J Authorization, authentication and accounting protocols in multicast content distribution networks
CN108737430A (zh) * 2018-05-25 2018-11-02 全链通有限公司 区块链节点的加密通信方法和***
CN114422118A (zh) * 2021-12-17 2022-04-29 浙江中控技术股份有限公司 一种工业控制器多播通讯密钥分发方法及***

Also Published As

Publication number Publication date
CN114422118A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
WO2023109468A1 (zh) 一种工业控制器多播通讯密钥分发方法及***
JP7324765B2 (ja) 認証された装置から装置への通信のための動的ドメイン鍵交換
JP5288210B2 (ja) ネットワークでのユニキャスト鍵の管理方法およびマルチキャスト鍵の管理方法
WO2017185999A1 (zh) 密钥分发、认证方法,装置及***
US7813510B2 (en) Key management for group communications
JP5975594B2 (ja) 通信端末及び通信システム
CN101090316B (zh) 离线状态下存储卡与终端设备之间的身份认证方法
PT1362444E (pt) Método para armazenamento e distribuição de chaves de cifra
US11962685B2 (en) High availability secure network including dual mode authentication
KR102325725B1 (ko) 디지털 인증서 관리 방법 및 장치
CN101420686B (zh) 基于密钥的工业无线网络安全通信实现方法
US20160066354A1 (en) Communication system
CN108259469A (zh) 一种基于区块链的集群安全认证方法、一种节点及集群
CN101282208B (zh) 安全连接关联主密钥的更新方法和服务器及网络***
Lai et al. A secure blockchain-based group mobility management scheme in VANETs
CN104901940A (zh) 一种基于cpk标识认证的802.1x网络接入方法
CN102255916A (zh) 接入认证方法、设备、服务器及***
CN108965824B (zh) 基于cpk的视频监控方法、***、摄像头、服务器及客户端
US7751569B2 (en) Group admission control apparatus and methods
CN113992418A (zh) 一种基于区块链技术的IoT设备管理方法
CN112804356A (zh) 一种基于区块链的联网设备监管认证方法及***
CN101345723B (zh) 客户网关的管理认证方法和认证***
WO2020029859A1 (zh) 一种终端与服务器的通信方法和装置
Heimgaertner et al. A security architecture for the publish/subscribe C-DAX middleware
CN103312495B (zh) 一种成组ca的形成方法和装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22906219

Country of ref document: EP

Kind code of ref document: A1