本發(fā)明涉及信息安全技術領域,特別是涉及一種用于工業(yè)無線網(wǎng)絡中現(xiàn)場設備與路由設備安全關聯(lián)的方法、裝置及系統(tǒng)。
背景技術:
工業(yè)無線網(wǎng)絡是由無線傳感器網(wǎng)絡發(fā)展而來的,用于工業(yè)控制領域的無線通信技術。工業(yè)無線網(wǎng)絡具有低成本、低能耗、高靈活和強擴展性等特點,為工業(yè)自動化系統(tǒng)的發(fā)展提供了技術保證。然而,由于工業(yè)現(xiàn)場環(huán)境復雜以及在一些工業(yè)應用中存在特殊要求,使得無線網(wǎng)絡面臨著嚴峻的安全威脅。
安全關聯(lián)協(xié)議可實現(xiàn)設備配對和共享密鑰建立,是保障設備之間安全通信的基礎,進而可以保證工業(yè)無線網(wǎng)絡的安全。目前,工業(yè)無線網(wǎng)絡中用于現(xiàn)場設備和路由設備安全關聯(lián)的協(xié)議主要有兩類:基于預分配秘密信息或公鑰基礎設施的安全關聯(lián)協(xié)議和基于diffie-hellman密鑰交換算法的安全關聯(lián)協(xié)議。由于工業(yè)無線網(wǎng)絡中的現(xiàn)場設備具有動態(tài)接入網(wǎng)絡、可移動的特性,第一類安全關聯(lián)方法在實際應用中不容易實現(xiàn);第二類安全關聯(lián)方法通常需要輸入口令、建立帶外信道等方法來防止中間人攻擊,而實際應用有些現(xiàn)場設備和路由設備不具備輸入界面和建立帶外信道的條件,因此該方法的使用范圍相對受限。由此可見,現(xiàn)有的安全關聯(lián)方法都無法確保工業(yè)無線網(wǎng)絡的安全。
技術實現(xiàn)要素:
針對于上述問題,本發(fā)明提供一種安全關聯(lián)方法、裝置及系統(tǒng),在保證應用范圍的前提下,實現(xiàn)了工業(yè)無線網(wǎng)絡中的現(xiàn)場設備和路由設備的通信安全的目的。
為了實現(xiàn)上述目的,根據(jù)本發(fā)明的第一方面,提供了一種安全關聯(lián)方法,應用于現(xiàn)場設備,該方法包括:
所述現(xiàn)場設備通過網(wǎng)絡接口與路由設備建立連接;
將生成的第一隨機數(shù)發(fā)送至所述路由設備;
接收所述路由設備發(fā)送的第二隨機數(shù)和第一簽名,其中,所述第一簽名為所述路由設備根據(jù)自身生成的第二隨機數(shù)和接收到的第一隨機數(shù)計算生成的第一簽名;
對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和第二隨機數(shù)進行計算,獲得第二簽名,將所述第二簽名發(fā)送至所述路由設備;
接收所述路由設備發(fā)送的密文和第三簽名,并對所述第三簽名進行驗證,若驗證通過,則解密所述密文獲得隨機密鑰,其中,所述密文為所述路由設備對所述第二簽名驗證通過后生成的所述隨機密鑰,并加密所述隨機密鑰獲得所述密文;所述第三簽名為根據(jù)所述密文計算獲得的。
優(yōu)選的,所述現(xiàn)場設備通過網(wǎng)絡接口與路由設備建立連接之前,該方法還包括:
存儲第一私鑰,其中,所述第一私鑰為根據(jù)所述現(xiàn)場設備身份生成的密鑰。
根據(jù)本發(fā)明的第二方面,提供了一種安全關聯(lián)方法,應用于路由設備,該方法包括:
所述路由設備通過網(wǎng)絡接口與現(xiàn)場設備建立連接;
當接收到所述現(xiàn)場設備發(fā)送的第一隨機數(shù)后,生成第二隨機數(shù),并根據(jù)所述第一隨機數(shù)和第二隨機數(shù)計算獲得第一簽名,并將所述第二隨機數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設備;
接收所述現(xiàn)場設備發(fā)送的第二簽名,并對所述第二簽名進行驗證,若驗證通過則生成隨機密鑰,加密所述隨機密鑰獲得密文,根據(jù)所述密文計算獲得第三簽名,并將所述第三簽名發(fā)送至所述現(xiàn)場設備,其中,所述第二簽名為所述現(xiàn)場設備在接收到所述第二隨機數(shù)和所述第一簽名后,對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和所述第二隨機數(shù)計算獲得第二簽名。
優(yōu)選的,所述路由設備通過網(wǎng)絡接口與現(xiàn)場設備建立連接之前,該方法還包括:
存儲第二私鑰,其中,所述第二私鑰為根據(jù)所述路由設備身份生成的密鑰。
根據(jù)本發(fā)明的第三方面,提供了一種安全關聯(lián)裝置,應用于現(xiàn)場設備,該裝置包括:
第一連接模塊,用于將所述現(xiàn)場設備通過網(wǎng)絡接口與路由設備建立連接;
第一發(fā)送模塊,用于將生成的第一隨機數(shù)發(fā)送至所述路由設備;
第一接收模塊,用于接收所述路由設備發(fā)送的第二隨機數(shù)和第一簽名,其中,所述第一簽名為所述路由設備根據(jù)自身生成的第二隨機數(shù)和接收到的第一隨機數(shù)計算生成的第一簽名;
第一驗證模塊,用于對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和第二隨機數(shù)進行計算,獲得第二簽名,將所述第二簽名發(fā)送至所述路由設備;
第一解密模塊,用于接收所述路由設備發(fā)送的密文和第三簽名,并對所述第三簽名進行驗證,若驗證通過,則解密所述密文獲得隨機密鑰,其中,所述密文為所述路由設備對所述第二簽名驗證通過后生成的所述隨機密鑰,并加密所述隨機密鑰獲得所述密文;所述第三簽名為根據(jù)所述密文計算獲得的。
優(yōu)選的,該裝置還包括:
第一存儲模塊,用于存儲第一私鑰,其中,所述第一私鑰為根據(jù)所述現(xiàn)場設備身份生成的密鑰。
根據(jù)本發(fā)明的第四方面,提供了一種安全關聯(lián)裝置,應用于路由設備,該裝置包括:
第二連接模塊,用于將所述路由設備通過網(wǎng)絡接口與現(xiàn)場設備建立連接;
第二發(fā)送模塊,用于當接收到所述現(xiàn)場設備發(fā)送的第一隨機數(shù)后,生成第二隨機數(shù),并根據(jù)所述第一隨機數(shù)和第二隨機數(shù)計算獲得第一簽名,并將所述第二隨機數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設備;
第二接收模塊,用于接收所述現(xiàn)場設備發(fā)送的第二簽名,并對所述第二簽名進行驗證,若驗證通過則生成隨機密鑰,加密所述隨機密鑰獲得密文,根據(jù)所述密文計算獲得第三簽名,并將所述第三簽名發(fā)送至所述現(xiàn)場設備,其中,所述第二簽名為所述現(xiàn)場設備在接收到所述第二隨機數(shù)和所述第一簽名后,對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和所述第二隨機數(shù)計算獲得第二簽名。
優(yōu)選的,所述裝置還包括:
第二存儲模塊,用于存儲第二私鑰,其中,所述第二私鑰為根據(jù)所述路由設備身份生成的密鑰。
根據(jù)本發(fā)明第五方面,提供了一種安全關聯(lián)系統(tǒng),該系統(tǒng)包括:現(xiàn)場設備、路由設備和私鑰生成設備,其中,
所述現(xiàn)場設備為根據(jù)本發(fā)明第三方面所述的安全關聯(lián)裝置;
所述路由設備為根據(jù)本發(fā)明第四方面所述的安全關聯(lián)裝置;
所述私鑰生成設備用于根據(jù)所述現(xiàn)場設備身份生成第一私鑰和根據(jù)所述路由設備生成第二私鑰。
相較于現(xiàn)有技術,本發(fā)明通過現(xiàn)場設備與路由設備建立連接,現(xiàn)場設備生成第一隨機數(shù),并向路由設備發(fā)送第一隨機數(shù);路由設備生成第二隨機數(shù),并對第一隨機數(shù)和第二隨機數(shù)計算第一簽名,并將第二隨機數(shù)和第一簽名發(fā)送到現(xiàn)場設備;現(xiàn)場設備驗證第一簽名,驗證通過則對第一隨機數(shù)和第二隨機數(shù)計算第二簽名,并將第二簽名發(fā)送至路由設備;路由設備驗證第二簽名,驗證通過則生成隨機密鑰,并加密隨機密鑰得到密文,對密文計算第三簽名,并將密文和第三簽名發(fā)送到現(xiàn)場設備;現(xiàn)場設備驗證第三簽名,驗證通過則解密密文得到隨機密鑰。通過本發(fā)明能夠在無預先分配的秘密信息、公鑰基礎設施、口令輸入和帶外信道的前提下,實現(xiàn)工業(yè)無線網(wǎng)絡中現(xiàn)場設備和路由設備的認證配對,保證了應用范圍的廣泛,并為現(xiàn)場設備和路由設備分配共享隨機密鑰,保障了現(xiàn)場設備和路由設備的通信安全。
附圖說明
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)提供的附圖獲得其他的附圖。
圖1為本發(fā)明實施例一提供的一種安全關聯(lián)方法的流程示意圖;
圖2為本發(fā)明實施例二提供的一種安全關聯(lián)方法的流程示意圖;
圖3為本發(fā)明實施例三提供的一種安全關聯(lián)裝置的結構示意圖;
圖4為本發(fā)明實施例四提供的一種安全關聯(lián)裝置的結構示意圖;
圖5為本發(fā)明實施例五提供的一種安全關聯(lián)系統(tǒng)的結構示意圖。
具體實施方式
下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”和“第二”等是用于區(qū)別不同的對象,而不是用于描述特定的順序。此外術語“包括”和“具有”以及他們任何變形,意圖在于覆蓋不排他的包含。例如包含了一系列步驟或單元的過程、方法、系統(tǒng)、產品或設備沒有設定于已列出的步驟或單元,而是可包括沒有列出的步驟或單元。
實施例一
參見圖1為本發(fā)明實施例一提供的一種安全關聯(lián)方法的流程示意圖,所述方法應用于現(xiàn)場設備,該方法包括以下步驟:
s11、所述現(xiàn)場設備通過網(wǎng)絡接口與路由設備建立連接;
可以理解的是,所謂安全關聯(lián)其實質是實現(xiàn)現(xiàn)場設備與路由設備兩者之間的認證配對和共享密鑰的配置,其中,共享密鑰的配置包括兩種情況,一種情況是啟用一個預先存儲到兩個設備的共享密鑰;另一種情況是兩個設備通過密鑰協(xié)商生成一個共享密鑰,在本發(fā)明的實施例中所描述的是后者這種情況。
s12、將生成的第一隨機數(shù)發(fā)送至所述路由設備;
s13、接收所述路由設備發(fā)送的第二隨機數(shù)和第一簽名;
其中,所述第一簽名為所述路由設備根據(jù)自身生成的第二隨機數(shù)和接收到的第一隨機數(shù)計算生成的第一簽名;
具體的,所述路由設備在接收到所述第一隨機數(shù)后,會通過隨機數(shù)生成器生成第二隨機數(shù),并利用基于身份的簽名算法對所述第一隨機數(shù)和所述第二隨機數(shù)計算第一簽名,其中,所述第一簽名可以包括時間戳信息。
s14、對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和第二隨機數(shù)進行計算,獲得第二簽名,將所述第二簽名發(fā)送至所述路由設備;
具體的,所述現(xiàn)場設備在接收到所述第二隨機數(shù)和第一簽名后,會通過基于身份的驗證算法驗證所述第一簽名,并在驗證通過后,通過基于身份的簽名算法對所述第一隨機數(shù)和第二隨機數(shù)計算第二簽名,其中,所述第二簽名還可以包括時間戳信息。
s15、接收所述路由設備發(fā)送的密文和第三簽名,并對所述第三簽名進行驗證,若驗證通過,則解密所述密文獲得隨機密鑰;
其中,所述密文為所述路由設備對所述第二簽名驗證通過后生成的所述隨機密鑰,并加密所述隨機密鑰獲得所述密文;所述第三簽名為根據(jù)所述密文計算獲得的。
具體的,路由設備在接收到所述第二簽名后,會通過基于身份的驗證算法驗證所述第二簽名,并在驗證通過后,通過隨機數(shù)生成器生成隨機密鑰,并通過基于身份的加密算法加密所述隨機密鑰為密文,然后通過基于身份的簽名算法對所述密文計算第三簽名,并將所述密文和第三簽名發(fā)送到所述現(xiàn)場設備,其中,所述第三簽名可以包括時間戳信息;
所述現(xiàn)場設備在接收到所述密文和所述第三簽名后,通過基于身份的驗證算法驗證所述第三簽名,并在驗證通過后,通過基于身份的解密算法解密所述密文得到所述隨機密鑰。此時,所述現(xiàn)場設備與所述路由設備完成安全關聯(lián),并各自秘密存儲所述隨機密鑰。
相應的,所述現(xiàn)場設備通過網(wǎng)絡接口與路由設備建立連接之前,該方法還包括:
s10、存儲第一私鑰,其中,所述第一私鑰為根據(jù)所述現(xiàn)場設備身份生成的密鑰。
具體的,在所述現(xiàn)場設備和路由設備出廠前,根據(jù)所述現(xiàn)場設備身份生成第一私鑰,所述現(xiàn)場設備用于保存所述第一私鑰,并使用所述第一私鑰對所述第一隨機數(shù)和第二隨機數(shù)計算所述第二簽名;同時使用所述第一私鑰解密所述密文得到所述隨機密鑰。
通過本發(fā)明實施例一公開的技術方案,所述現(xiàn)場設備通過網(wǎng)絡接口與路由設備建立連接;將生成的第一隨機數(shù)發(fā)送至所述路由設備;接收所述路由設備發(fā)送的第二隨機數(shù)和第一簽名;對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和第二隨機數(shù)進行計算,獲得第二簽名,將所述第二簽名發(fā)送至所述路由設備;接收所述路由設備發(fā)送的密文和第三簽名,并對所述第三簽名進行驗證,若驗證通過,則解密所述密文獲得隨機密鑰。通過本發(fā)明實施例能夠在無預先分配的秘密信息、公鑰基礎設施、口令輸入和帶外信道的前提下,使現(xiàn)場設備獲得隨機密鑰,實現(xiàn)工業(yè)無線網(wǎng)絡中現(xiàn)場設備和路由設備的認證配對,保證了應用范圍的廣泛,并保障了現(xiàn)場設備和路由設備的通信安全。
實施例二
參見圖2為本發(fā)明實施例二提供的一種安全關聯(lián)方法,所述方法適用于路由設備,該方法包括以下步驟:
s21、所述路由設備通過網(wǎng)絡接口與現(xiàn)場設備建立連接;
s22、當接收到所述現(xiàn)場設備發(fā)送的第一隨機數(shù)后,生成第二隨機數(shù),并根據(jù)所述第一隨機數(shù)和第二隨機數(shù)計算獲得第一簽名,并將所述第二隨機數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設備;
s23、接收所述現(xiàn)場設備發(fā)送的第二簽名,并對所述第二簽名進行驗證,若驗證通過則生成隨機密鑰,加密所述隨機密鑰獲得密文,根據(jù)所述密文計算獲得第三簽名,并將所述第三簽名發(fā)送至所述現(xiàn)場設備,其中,所述第二簽名為所述現(xiàn)場設備在接收到所述第二隨機數(shù)和所述第一簽名后,對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和所述第二隨機數(shù)計算獲得第二簽名。
相應的,所述路由設備通過網(wǎng)絡接口與現(xiàn)場設備建立連接之前,該方法還包括:
s20、存儲第二私鑰,其中,所述第二私鑰為根據(jù)所述路由設備身份生成的密鑰。
具體的,路由設備在出廠前被寫入第二私鑰,所述第二私鑰是根據(jù)所述路由設備身份生成的,所述路由設備使用所述第二私鑰對所述第一隨機數(shù)和第二隨機數(shù)計算所述第一簽名,并使用所述第二私鑰對所述密文計算所述第三簽名。
根據(jù)本發(fā)明實施例二公開的技術方案,所述路由設備通過網(wǎng)絡接口與現(xiàn)場設備建立連接;當接收到所述現(xiàn)場設備發(fā)送的第一隨機數(shù)后,生成第二隨機數(shù),并根據(jù)所述第一隨機數(shù)和第二隨機數(shù)計算獲得第一簽名,并將所述第二隨機數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設備;接收所述現(xiàn)場設備發(fā)送的第二簽名,并對所述第二簽名進行驗證,若驗證通過則生成隨機密鑰,加密所述隨機密鑰獲得密文,根據(jù)所述密文計算獲得第三簽名,并將所述第三簽名發(fā)送至所述現(xiàn)場設備。通過本發(fā)明實施例能夠在無預先分配的秘密信息、公鑰基礎設施、口令輸入和帶外信道的前提下,使路由設備獲得隨機密鑰,實現(xiàn)工業(yè)無線網(wǎng)絡中現(xiàn)場設備和路由設備的認證配對,保證了應用范圍的廣泛,并保障了現(xiàn)場設備和路由設備的通信安全。
實施例三
與本發(fā)明實施例一所公開的安全關聯(lián)方法相對應,本發(fā)明的實施例三還提供了一種安全關聯(lián)裝置,參見圖3,所述裝置應用于現(xiàn)場設備,該裝置包括:
第一連接模塊11,用于將所述現(xiàn)場設備通過網(wǎng)絡接口與路由設備建立連接;
第一發(fā)送模塊12,用于將生成的第一隨機數(shù)發(fā)送至所述路由設備;
第一接收模塊13,用于接收所述路由設備發(fā)送的第二隨機數(shù)和第一簽名,其中,所述第一簽名為所述路由設備根據(jù)自身生成的第二隨機數(shù)和接收到的第一隨機數(shù)計算生成的第一簽名;
第一驗證模塊14,用于對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和第二隨機數(shù)進行計算,獲得第二簽名,將所述第二簽名發(fā)送至所述路由設備;
第一解密模塊15,用于接收所述路由設備發(fā)送的密文和第三簽名,并對所述第三簽名進行驗證,若驗證通過,則解密所述密文獲得隨機密鑰,其中,所述密文為所述路由設備對所述第二簽名驗證通過后生成的所述隨機密鑰,并加密所述隨機密鑰獲得所述密文;所述第三簽名為根據(jù)所述密文計算獲得的。
具體的,該裝置還包括:
第一存儲模塊10,用于存儲第一私鑰,其中,所述第一私鑰為根據(jù)所述現(xiàn)場設備身份生成的密鑰。
在本發(fā)明的實施例三中,通過第一連接模塊與路由設備建立連接;在第一發(fā)送模塊中將生成的第一隨機數(shù)發(fā)送至所述路由設備;第一接收模塊中接收所述路由設備發(fā)送的第二隨機數(shù)和第一簽名;再通過第一驗證模塊對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和第二隨機數(shù)進行計算,獲得第二簽名,將所述第二簽名發(fā)送至所述路由設備;最后在第一解密模塊中接收所述路由設備發(fā)送的密文和第三簽名,并對所述第三簽名進行驗證,若驗證通過,則解密所述密文獲得隨機密鑰。通過本發(fā)明實施例能夠在無預先分配的秘密信息、公鑰基礎設施、口令輸入和帶外信道的前提下,使現(xiàn)場設備獲得隨機密鑰,實現(xiàn)工業(yè)無線網(wǎng)絡中現(xiàn)場設備和路由設備的認證配對,保證了應用范圍的廣泛,并保障了現(xiàn)場設備和路由設備的通信安全。
實施例四
與本發(fā)明實施例二提供的一種安全關聯(lián)方法相對應,本發(fā)明實施例四提供了一種安全關聯(lián)裝置,所述裝置應用于路由設備,參見圖4,該裝置包括:
第二連接模塊21,用于將所述路由設備通過網(wǎng)絡接口與現(xiàn)場設備建立連接;
第二發(fā)送模塊22,用于當接收到所述現(xiàn)場設備發(fā)送的第一隨機數(shù)后,生成第二隨機數(shù),并根據(jù)所述第一隨機數(shù)和第二隨機數(shù)計算獲得第一簽名,并將所述第二隨機數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設備;
第二接收模塊23,用于接收所述現(xiàn)場設備發(fā)送的第二簽名,并對所述第二簽名進行驗證,若驗證通過則生成隨機密鑰,加密所述隨機密鑰獲得密文,根據(jù)所述密文計算獲得第三簽名,并將所述第三簽名發(fā)送至所述現(xiàn)場設備,其中,所述第二簽名為所述現(xiàn)場設備在接收到所述第二隨機數(shù)和所述第一簽名后,對所述第一簽名進行驗證,若驗證通過,則根據(jù)所述第一隨機數(shù)和所述第二隨機數(shù)計算獲得第二簽名。
具體的,所述裝置還包括:
第二存儲模塊20,用于存儲第二私鑰,其中,所述第二私鑰為根據(jù)所述路由設備身份生成的密鑰。
根據(jù)本發(fā)明實施例四公開的技術方案,通過第二連接模塊與現(xiàn)場設備建立連接;當接收到所述現(xiàn)場設備發(fā)送的第一隨機數(shù)后,在第二發(fā)送模塊中生成第二隨機數(shù),并根據(jù)所述第一隨機數(shù)和第二隨機數(shù)計算獲得第一簽名,并將所述第二隨機數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設備;最后在第二接收模塊中接收所述現(xiàn)場設備發(fā)送的第二簽名,并對所述第二簽名進行驗證,若驗證通過則生成隨機密鑰,加密所述隨機密鑰獲得密文,根據(jù)所述密文計算獲得第三簽名,并將所述第三簽名發(fā)送至所述現(xiàn)場設備。通過本發(fā)明實施例能夠在無預先分配的秘密信息、公鑰基礎設施、口令輸入和帶外信道的前提下,使路由設備獲得隨機密鑰,實現(xiàn)工業(yè)無線網(wǎng)絡中現(xiàn)場設備和路由設備的認證配對,保證了應用范圍的廣泛,并保障了現(xiàn)場設備和路由設備的通信安全。
實施例五
與本發(fā)明實施例三和實施例四提供的安全關聯(lián)裝置相對應,本發(fā)明實施例五還提供了一種安全關聯(lián)系統(tǒng),參見圖5,該系統(tǒng)包括:現(xiàn)場設備1、路由設備2和私鑰生成設備3,其中,
所述現(xiàn)場設備為本發(fā)明實施例三所述的安全關聯(lián)裝置;
所述路由設備為本發(fā)明實施例四所述的安全關聯(lián)裝置;
所述私鑰生成設備用于根據(jù)所述現(xiàn)場設備身份生成第一私鑰和根據(jù)所述路由設備生成第二私鑰。
可以理解的是,本發(fā)明用于工業(yè)無線網(wǎng)絡中的安全關聯(lián)系統(tǒng)涉及三個模塊即:現(xiàn)場設備、路由設備和私鑰生成設備,所述私鑰生成設備用于生成所述現(xiàn)場設備的第一私鑰和路由設備的第二私鑰,因此私鑰生成設備內部需要設置隨機數(shù)生成器和基于身份的私鑰提取算法,利用基于身份的私鑰提取算法生成第一私鑰和第二私鑰,并存儲所述私鑰生成設備的系統(tǒng)主私鑰和系統(tǒng)主公鑰。所述現(xiàn)場設備需要部署基于身份的解密算法、基于身份的簽名及驗證算法和隨機數(shù)生成器,同時應將自己的第一私鑰秘密存儲。所述路由設備內部需部署基于身份的加密算法、基于身份的簽名及驗證算法和隨機數(shù)生成器,同時應將自己的第二私鑰秘密存儲。并且,由于所述現(xiàn)場設備和路由設備通過無線連接,所以二者背部都應包括網(wǎng)絡接口。
在本發(fā)明實施例五中,在現(xiàn)場設備合和路由設備出廠前,為兩者分別安全存入第一私鑰和第二私鑰,由于第一私鑰和第二私鑰之間不存在關聯(lián),即任何設備在出廠前需要存入的私鑰為各自所持有的秘密信息,與已出廠設備的私鑰不需要建立關聯(lián),因此本發(fā)明優(yōu)于基于預分配秘密信息或公鑰基礎設施的安全關聯(lián)協(xié)議;現(xiàn)場設備和路由設備出廠后,在進行安全關聯(lián)時,直接使用對方的身份作為用于加密消息和驗證簽名的公鑰,不需要借助口令、帶外信道等,優(yōu)于基于diifie-hellman等密鑰交換算法的安全關聯(lián)協(xié)議,保障了現(xiàn)場設備和路由設備的通信安全。
本說明書中各個實施例采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言,由于其與實施例公開的方法相對應,所以描述的比較簡單,相關之處參見方法部分說明即可。
對所公開的實施例的上述說明,使本領域專業(yè)技術人員能夠實現(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實施例中實現(xiàn)。因此,本發(fā)明將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。