一种用于工控系统的密钥生成及加密方法,它包括以下步骤:步骤1:进行随机数物理来源的选择;步骤2:进行随机数的生成;在步骤2中,在进行随机数的生成时,包括以下模式:模式1)当可选随机数源器件数大于M件时,则从N个可用物理元器件中随机选择M个源器件的物理特性数据合并为物理随机数源,并由汇聚后的物理随机数据获取目标真随机数;模式2)当可选随机数源器件数小于M件时,则引入软件随机数源,由软件随机数源与物理随机数据联合获取目标真随机数;步骤3:由随机数生成密钥。由随机数生成密钥。由随机数生成密钥。
【技术实现步骤摘要】
一种用于工控系统的密钥生成及加密方法
[0001]本专利技术属于密码
,具体涉及一种用于工控系统的密钥生成及加密方法。
技术介绍
[0002]密钥是密码技术的核心,密码学应用中的密钥基于随机数进行生成,而随机数生成要求依赖于专用随机数芯片,密钥的保护依赖于本地密码芯片。目前工控安全领域的密码应用越来越广泛,按照传统的密码体系,需要在工控或物联网终端设备集成专用随机数芯片和密码芯片才能保证随机数的真随机性及密钥存储的安全性,但是终端工控产品由于其产品特性,对成本和功耗非常敏感。
技术实现思路
[0003]本专利技术的目的是为了提供一种在工控场景下,用技术手段摆脱专用随机数芯片和密码芯片依赖,在终端设备上进行真随机数生成以产生数据密钥,并利用硬件特征对密钥进行加密存储保护的用于工控系统的密钥生成及加密方法。
[0004]一种用于工控系统的密钥生成方法,它包括以下步骤:步骤1:进行随机数物理来源的选择;步骤2:进行随机数的生成;在步骤2中,在进行随机数的生成时,包括以下模式:模式1)当可选随机数源器件数大于M件时,则从N(N≥M≥3)个可用物理元器件中随机选择M(M≥3)个源器件的物理特性数据合并为物理随机数源,并由汇聚后的物理随机数据获取目标真随机数;模式2)当可选随机数源器件数小于M件时,则引入软件随机数源,由软件随机数源与物理随机数据联合获取目标真随机数;步骤3:由随机数生成密钥。
[0005]在步骤2中,当采用模式1)和模式2)均无法产生随机数时,则从随机数缓存获取随机数,具体如下:步骤1)在设备正常工作情况下进行随机数预生成;步骤2)通过随机数质量检查工具,确定生成随机数的随机性符合密钥生成要求;步骤3)将步骤2)中产生的符合要求的随机数缓存至内存隔离区;步骤4)当需要生成密钥而以上两种模式无法产生随机数时,从随机数缓存获取随机数。
[0006]在步骤2的模式1)中,对汇聚后的物理随机数源进行Hash算法处理,以获取到最终目标真随机数。
[0007]在步骤1中,随机数物理来源为终端工控设备中可产生具有物理特性数据的物理组件。
[0008]在步骤1中,随机数物理来源包括CPU、内存单元、数据存储IO单元、数据存储单元、
数据发送单元、传感器、陀螺仪。
[0009]在步骤1中,在进行随机数物理来源的选择时,首先进行随机数源的检查,随机数源检查过程中如果发现某物理器件处于非正常工作状态,则无法作为随机数来源,非正常工作状态包括满载工作或者不工作。
[0010]在步骤3中,对由步骤2获得的随机数使用标准密钥生成算法以完成SM2、SM4、SM9、RSA、ECC、AES、3DES其中的一种或多种密钥的生成。
[0011]一种用于工控系统的密钥生成及加密方法,它包括上述用于工控系统的密钥生成方法的所有步骤,它还包括步骤4:对密钥进行加密保护,具体的,使用上述终端工控设备中物理组件具备的硬件特征码信息生成加密密钥,并对所生成的密钥进行加密存储,使得仅所述终端工控设备本体能够对生成的密钥解密。
[0012]上述硬件特征码为终端工控设备固定信息,使用硬件特征码拼接生成加密密钥以对所生成的本地密钥进行加密。
[0013]与现有技术相比,本专利技术具有如下技术效果:本专利技术的关键技术是在工控环境中,工控终端设备不集成硬件随机数芯片和密钥存储芯片的情况下,利用终端硬件自带元器件,获取元器件瞬时运行数据生成真随机数,之后调用标准密码算法完成相关密钥的生成。因为真随机数是密钥来源的核心,所以保证随机数的真随机性就可以保护密钥生成安全。其次是利用终端硬件特征码作为随机数生成加密密钥,对生成密钥进行加密存储和保护,防止密钥泄露和丢失。本专利技术主要保护随机数生成方法及其处理机制,密钥生成及加密存储方法,有利于推进工控及物联网终端的密码应用,解决终端无随机数芯片环境下的物理真随机数及密钥生成问题,并基于设备硬件特性进行密钥加密保护,节约改造成本,使用密码技术提升网络安全及本地安全防护能力。
附图说明
[0014]下面结合附图和实施例对本专利技术作进一步说明:图1为本专利技术提出的密钥生成过程示意图;图2为实施例中随机数源选择模式
‑
纯硬件模式的示意图;图3为实施例中随机数源选择模式
‑
硬件模式混合软随机源的示意图;图4为实施例中随机数源选择模式
‑
缓存模式的示意图;图5为实施例中密钥加密保护过程的示意图。
具体实施方式
[0015]如图1所示,一种用于工控系统的密钥生成方法,它包括以下步骤:步骤1:进行随机数物理来源的选择;步骤2:进行随机数的生成;在步骤2中,在进行随机数的生成时,包括以下模式:模式1)当可选随机数源器件数大于M件时,则从N个可用物理元器件中随机选择M个源器件的物理特性数据合并为物理随机数源,并由汇聚后的物理随机数据获取目标真随机数;模式2)当可选随机数源器件数小于M件时,则引入软件随机数源,由软件随机数源
与物理随机数据联合获取目标真随机数;步骤3:由随机数生成密钥。
[0016]在步骤2中,当采用模式1)和模式2)均无法产生随机数时,则从随机数缓存获取随机数,具体如下:步骤1)在设备正常工作情况下进行随机数预生成;步骤2)通过随机数质量检查工具,确定生成随机数的随机性符合密钥生成要求;步骤3)将步骤2)中产生的符合要求的随机数缓存至内存隔离区;步骤4)当需要生成密钥而以上两种模式无法产生随机数时,从随机数缓存获取随机数。
[0017]在步骤2的模式1)中,对汇聚后的物理随机数源进行Hash算法处理,以获取到最终目标真随机数。
[0018]在步骤1中,随机数物理来源为终端工控设备中可产生具有数据物理随机性特质的数据的物理组件。
[0019]在步骤1中,随机数物理来源包括CPU、内存单元、数据存储IO单元、数据存储单元、数据发送单元、传感器、陀螺仪。
[0020]在步骤1中,在进行随机数物理来源的选择时,首先进行随机数源的检查,随机数源检查过程中如果发现某物理器件处于非正常工作状态,则无法作为随机数来源,非正常工作状态包括满载工作或者不工作。
[0021]在步骤3中,对由步骤2获得的随机数使用标准密钥生成算法以完成SM2、SM4、SM9、RSA、ECC、AES、3DES其中的一种或多种密钥的生成。
[0022]本专利技术采用基于终端固有硬件器件方式生成随机数并完成密钥生成,基于硬件唯一属性进行密钥存储保护,为使用加密技术保证工控终端设备的数据安全防护问题提供重要的密钥来源。
[0023]一种用于工控系统的密钥生成及加密方法,它在本专利技术中一种用于工控系统的密钥生成方法的基础上还包括步骤4:对密钥进行加密保护。
[0024]具体的,使用所述终端工控设备的硬件特征码信息生成加密密钥,并对所生成的密钥进行加密存储,使得仅所述终端工控设备本体能够对生成的密钥解密。
[0025]其中,硬件特征码为终端工控设备固定信息,使用硬本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于工控系统的密钥生成方法,其特征在于,它包括以下步骤:步骤1:进行随机数物理来源的选择;步骤2:进行随机数的生成;在步骤2中,在进行随机数的生成时,包括以下模式:模式1)当可选随机数源器件数大于M件时,则从N个可用物理元器件中随机选择M个源器件的物理特性数据合并为物理随机数源,并由汇聚后的物理随机数据获取目标真随机数;模式2)当可选随机数源器件数小于M件时,则引入软件随机数源,由软件随机数源与物理随机数据联合获取目标真随机数;步骤3:由随机数生成密钥。2.根据权利要求1所述的方法,其特征在于,在步骤2中,当采用模式1)和模式2)均无法产生随机数时,则从随机数缓存获取随机数,具体如下:步骤1)在设备正常工作情况下进行随机数预生成;步骤2)通过随机数质量检查工具,确定生成随机数的随机性符合密钥生成要求;步骤3)将步骤2)中产生的符合要求的随机数缓存至内存隔离区;步骤4)当需要生成密钥而以上两种模式无法产生随机数时,从随机数缓存获取随机数。3.根据权利要求1所述的方法,其特征在于,在步骤2的模式1)中,对汇聚后的物理随机数源进行Hash算法处理,以获取到最终目标真随机数。4.根据权利要求1所述的方法,其特征在于,在步骤1中,随机数物理来源为终...
【专利技术属性】
技术研发人员:张润时,王峥瀛,王乾,王杰,肖棋元,于佳文,王乐陶,
申请(专利权)人:中国长江三峡集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。