一种实现工业物联网安全时钟同步的装置及其功能实现方法制造方法及图纸

一种实现工业物联网安全时钟同步的装置及其功能实现方法，所述装置的特征是：其处理器包含了兼容NTP和PTP协议的时钟同步硬件模块，在该时钟同步硬件模块的基础上嵌入量子随机数生成模块，用于实现对节点时钟同步报文的一次一密、抗量子计算攻击和轻量级认证及加密功能的双向认证安全策略。本发明专利技术通过“量子随机数+后量子密钥交换+基于身份标识的签密”机制，在保证安全性的基础上，融合后量子密钥交换扩展协议，采用短的消息长度和低计算复杂度的运算操作，体现出降低计算量实现高效认证的能力，满足工业物联网实际通信需求，增加了灵活性和实用性。活性和实用性。活性和实用性。

【技术实现步骤摘要】
一种实现工业物联网安全时钟同步的装置及其功能实现方法


[0001]本专利技术涉及一种工业物联网安全时钟同步技术，尤其涉及一种实现工业物联网安全时钟同步的装置及其功能实现方法。
技术背景
[0002]物联网被认为是继计算机、互联网之后，信息
的一次重大变革，它将通过信息传感设备，按照标准的通信协议，实现任何物品在任何时间任何地点的互联互通。
[0003]物联网可以广泛应用在环境监测、智慧城市、智慧医疗以及工业控制等领域，其中以工业无线技术为核心的工业物联网是目前物联网领域中主流发展方向之一。对于工业物联网来说，感知层基于传感器的现场设备，可靠传输层基于传统的网络技术的工业以太网，因此传统互联网的攻击技术和形式也同样能够作用于工业控制系统。
[0004]由于时间同步是工业无线网络中的核心支撑技术，往往成为攻击者首选的攻击目标，对于工业控制系统这样的严格时序系统，网络攻击者会通过无线信道开放的环境破坏时间同步过程中同步信息的交换，散播虚假时钟信息、伪造身份、延迟攻击破坏统一的系统时钟，一旦网络的时间同步机制被破坏，将导致网络跳频、资源分配、路由转发和数据融合等依赖时间同步机制的应用不能正常运行。然而，工业无线网络中的时间同步协议在设计之初只主要关注同步精度和能耗问题，缺乏安全方面的设计和考虑。
[0005]认证密钥交换协议AKE用于在开放网络环境下为网络通信实体之间确认彼此身份、协商共享会话密钥的功能，为通信提供机密性、认证性和完整性保障。然而AKE协议的安全属性主要在于其会话密钥的前向安全性，指参与会话的用户长期私钥泄露不影响之前已经建立的会话密钥的安全性。然而随着量子计算技术的发展给基于公钥密码体制的AKE协议带来重大的安全性挑战。

技术实现思路

[0006]针对工业物联网时间同步过程中存在的多种安全需求，以及传统公钥密码体制面临量子计算攻击的安全挑战，本专利技术的目的在于提出一种实现工业物联网安全时钟同步的装置及其功能实现方法，通过建立适用于工业无线物联网时钟同步的组合安全机制，在保证安全性的基础上，降低计算量实现高效认证的能力，满足工业物联网实际通信需求，从而增加了灵活性和实用性。
[0007]本专利技术实现方式之一，即一种实现工业物联网安全时钟同步的装置，包括北斗/GPS双模接收机、驯服时钟子系统、真随机数产生电路、设备端网口和网络端网口，以及处理器，其特征在于：所述处理器包含兼容NTP和PTP协议的时钟同步硬件模块，在该时钟同步硬件模块的基础上嵌入量子随机数生成模块，用于实现对节点时钟同步报文的一次一密、抗量子计算攻击和轻量级认证及加密功能的双向认证安全策略。
[0008]在上述的一种实现工业物联网安全时钟同步的装置中，所述处理器还包含两个组合的功能模块，即：基于身份标识的签密功能模块和后量子密钥交换功能模块，其中：基于
身份标识的签密功能模块，用于对发送者和接收者的身份进行了绑定，只有拥有相应私钥的节点才能完成密钥交换，协商一致的会话密钥，融合了显式认证和隐式认证；后量子密钥交换功能模块，用于基于Ring
‑
LWE问题的密钥交换机制，每次通过内生的新鲜量子密钥材料产生出临时公钥或私钥，实现了会话密钥的新鲜性和抗量子计算攻击的前向安全性。通过组合上述功能模块，来实现实体的认证和密钥协商，既满足实体时钟节点和时间同步信息包的安全应用需求，同时实现抵抗量子计算攻击的前向安全性。
[0009]本专利技术实现方式之二，即一种基于上述装置的安全时钟同步功能实现方法，其中，时钟同步的网络中心主节点作为可信密钥生成中心，各级从节点进行基于身份的AKE协议的建立，包括下列步骤：
[0010]步骤1、中心主节点进行系统建立，通过基于Ring
‑
LWE问题的算法产生公开参数param＝(n，q，Rq，χ，a，H)和主公、私钥对，其中n＝2
m
，m∈Z；q是一个大于8的素数，满足qmod2n＝1；Rq是一个分圆多项式环，且满足Rq＝Zq【x】/(x
n
+1)；a
←
uR是公共参数，表示从R中抽取均匀随机元素a；χ表示R上的离散高斯分布；H：{0，1}
*
→
{0，1}
λ
为密钥导出函数；
[0011]步骤2、从节点具备可表示身份的ID，其中包含IP地址和从节点在时钟同步树中的层级绝对序列号，作为从节点的长期公钥，从节点的私钥由中心主节点基于IBC系统(基于身份标识的密码系统(Identity
‑
Based Cryptograph,简称IBC))公开参数、专门主私钥和从节点的ID作为输入参数为其生成长期私钥，并在系统握手阶段通过安全信道发送给从节点秘密保存；
[0012]步骤3、各级从节点在进行握手级联时，建立安全会话，其中，对临时公钥b
A
进行签密，使用密文压缩技术，利用F(*)函数对临时公钥进行特征提取生成μ
A
，则仅需对μ
A
实施签密；然后将临时公钥b
A
提取特征后的空缺符号位用“0”填充，得到b
A
′
，通过函数F
‑1(*)进行逆变换，利用b
A
′
和μ
A
恢复出b
A
；
[0013]从节点A身份和密钥分别是ID
A
，pk
A
，sk
A
，从节点B身份和密钥分别是ID
B
，pk
B
，sk
B
，从节点A对从节点B进行密钥协商，A随机选择f
A
,e
A
←
χ,计算b
A
＝a e
A
+f
A
，(b
A
′
，μ
A
)
←
F(b
A
),c
A
←
SC(μ
A
，sk
A
，pk
B
)，发送(b
A
′
，c
A
，ID
A
)给B从节点；
[0014]从节点B收到b
A
′
，c
A
，ID
A
时，计算ID中包含的时间戳Tu
A
与Tu
B1
的差，若Tu
A
与Tu
B
间隔超过时隙限制ΔT时，从节点B拒绝从节点A的请求，若未超过时隙限制，则从离散高斯分布χ中随机选择f
B
，e
B
，e
B
′←
χ,计算b
B
＝a e
B
+f
B
，μ
A
←
UnSC(c
A
，sk...

【技术保护点】

【技术特征摘要】
1.一种实现工业物联网安全时钟同步的装置，包括北斗/GPS双模接收机、驯服时钟子系统、真随机数产生电路、设备端网口和网络端网口，以及处理器，其特征在于：所述处理器包含兼容NTP和PTP协议的时钟同步硬件模块，在该时钟同步硬件模块的基础上嵌入量子随机数生成模块，用于实现对节点时钟同步报文的一次一密、抗量子计算攻击和轻量级认证及加密功能的双向认证安全策略。2.根据权利要求1所述的一种实现工业物联网安全时钟同步的装置，其特征在于：所述处理器还包含两个组合的功能模块，即：基于身份标识的签密功能模块和后量子密钥交换功能模块，其中：基于身份标识的签密功能模块，用于对发送者和接收者的身份进行了绑定，只有拥有相应私钥的节点才能完成密钥交换，协商一致的会话密钥，融合了显式认证和隐式认证；后量子密钥交换功能模块，用于基于Ring
‑
LWE问题的密钥交换机制，每次通过内生的新鲜量子密钥材料产生出临时公钥或私钥，实现了会话密钥的新鲜性和抗量子计算攻击的前向安全性，通过组合上述功能模块，来实现实体的认证和密钥协商，既满足实体时钟节点和时间同步信息包的安全应用需求，同时实现抵抗量子计算攻击的前向安全性。3.一种基于权利要求1或2所述装置的安全时钟同步功能实现方法，其中，时钟同步的网络中心主节点作为可信密钥生成中心，各级从节点进行基于身份的AKE协议的建立，包括下列步骤：步骤1、中心主节点进行系统建立，通过基于Ring
‑
LWE问题的算法产生公开参数param＝(n，q，Rq，χ，a，H)和主公、私钥对，其中n＝2
m
，m∈Z；q是一个大于8的素数，满足qmod2n＝1；Rq是一个分圆多项式环，且满足Rq＝Zq【x】/(x
n
+1)；a
←
uR是公共参数，表示从R中抽取均匀随机元素a；χ表示R上的离散高斯分布；H：{0，1}
*
→
{0，1}
λ
为密钥导出函数；步骤2、从节点具备可表示身份的ID，其中包含IP地址和从节点在时钟同步树中的层级绝对序列号，作为从节点的长期公钥，从节点的私钥由中心主节点基于IBC系统公开参数、专门主私钥和从节点的ID作为输入参数为其生成长期私钥，并在系统握手阶段通过安全信道发送给从节点秘密保存；步骤3、各级从节点在进行握手级联时，建立安全会话，其中，对临时公钥b
A
进行签密，使用密文压缩技术，利用F(*)函数对临时公钥进行特征提取生成μ
A
，则仅需对μ
A
实施签密；然后将临时公钥b
A
提取特征后的空缺符号位用“0”填充，得到b
A
′
，通过函数F
‑1(*)进行逆变换，利用b
A
′
和μ
A
恢复出b
A
；从节点A身份和密钥分别是ID
A
，pk
A
，sk
A
，从节点B身份和密钥分别是ID
B
，pk
B
，sk
B
，从节点A对从节点B进行密钥协商，A随机选择f
A
,e
A
←
χ,计算b
A
＝a e
A
+f
A
，(b
A
′
，μ
A
)
←
F(b
A
),c
A
←
SC(μ
A
，sk
A
，pk
B
)，发送(b
A
′
，c
A
，ID
A
)给B从节点；从节点B收到b
A
′
，c
A
，ID
A
时，计算ID中包含的时间戳Tu
A
与Tu
B1
的差，若Tu
A
与Tu
...

【专利技术属性】
技术研发人员：雷鹏，贾廷纲，王少波，张玉龙，王庆瑜，
申请(专利权)人：上海电气集团股份有限公司，
类型：发明
国别省市：