本发明专利技术提供一种基于密钥的工业无线网络安全通信实现方法,使用集中式和分布式相结合的管理方式,安全网络管理架构由安全管理者、安全管理代理和安全管理对象共同构成,所述方法包括如下步骤:1)安全管理者和安全管理代理提供安全密钥;2)设备入网时,与安全管理者互相认证;3)通信过程中数据报文汇聚加密传送;采用这种基于安全密钥的网络管理机制,可有效解决工业无线网络中无线设备有限的存储能力和计算的复杂性等问题,处理无线网络传输通信时存在数据信息容易被窃取、篡改和插入等安全问题,可以更加合理利用网络资源,提高网络性能,有效的实现入网设备的认证授权,密钥分发和更新,支持网络安全的通信处理,保障网络正常运行。
【技术实现步骤摘要】
本专利技术涉及工业无线网络和网络安全
,具体涉及一种工业无线网 络安全通信实现方法。
技术介绍
无线技术的飞速发展和日渐成熟,极大地改善了人们的生活质量,加快了 社会发展的进程,也使信息共享及应用更加广泛和深入。工业无线通信网络技 术扩展了工业用户的自由度,具有安装时间短,增加用户或更改网络结构方便、 灵活、经济等特点,可以在无线覆盖范围内提供全功能通信服务。然而,这种 自由同时也带来了新的挑战,安全问题已经成为制约无线网络技术应用普及的一个主要障碍。由于Internet本身安全机制较为脆弱,无线网络传输介质固有 的开放性和移动设备存储资源及计算资源的局限性,特别是在工业现场恶劣的 环境中,不仅要面对有线网络环境下的所有安全威胁,而且还要面对新出现的 专门针对工业无线环境的安全威胁。因此,在研究工业无线网络通信时,要考 虑工业现场环境构建出完整的无线网络通信体系结构,并要重点关注工业无线 网纟各通信的安全性。无线网络通过无线介质进行传输,它比有线网络更容易受到攻击,因而传 统网络使用的一些安全管理机制不适用于工业无线网络。传统的安全管理机制 包括了信任中心服务机制和公钥管理机制等。信任中心服务机制是使用信任中 心为网络内的无线设备分发数字证书,数字证书可以由公钥进行认证。工业无 线网络不采用这种安全管理机制,是因为无线网络无法建立可信任的基础设施 来保障信任中心的安全,同时通信开销将无法估计。公钥管理机制使用了公钥 算法保护无线网络设备间通信,典型的公钥算法是Diffie-Hellman密钥协议算法和RSA密钥传输算法。但是由于无线设备有限的存储能力和计算的复杂性,这 种机制同样不是工业无线网络最佳的安全管理方案。基于IEEE802.15.4的无线工业通信网络是一种设备可移动、拓朴结构高度 动态变化、没有预设的网络基础设施的无线网络。这样的工业无线网络具有设 备能量、计算存储能力、带宽和通讯能力非常有限、网络规^莫较大、拓朴动态 变化等特点。因此需要专门设计一种合理、安全、高效的工业无线网络安全管 理机制和密钥管理系统,采取适合的安全措施和安全管理,保证无线工业通信 网络系统在开放的环境中能够安全地运行,保护网络内部的系统、资源和正常 的通信秩序,是提高工业无线网络安全的关键。
技术实现思路
有鉴于此,为了解决上述问题,为此,本文提出了一种基于密钥的工业 无线网络安全通信实现方法,保证工业无线网络的安全通信。本专利技术的目的是这样实现的, 包括1) 安全管理者和安全管理代理提供安全密钥的步骤;2) 设备入网时,与安全管理者互相认证的步骤;以及3) 通信过程中利用密钥对数据报文汇聚加密传送的步骤。进一步,所述步骤1)具体包括安全密钥的产生和预分配过程以及设备使 用的密钥状态转化步骤;进一步,所述步骤2)中,新设备入网时具体包括如下步骤21)新设备入网时利用预分配的加入密钥加密认证请求信息并发送给网络 的安全管理者,由安全管理者判断设备的合法性;22 )安全管理者产生的对称主密钥分配给合法的新设备; 23)安全管理者与合法的新设备使用所述对称主密钥进行第一次通信,成 功完成通信过程则表明这个安全管理者是该网络合法的可信源;进一步,所述步骤2)中,当原有设备重新上线/入网时,具体包括如下步骤24)设备使用对称主密钥向安全管理者发出重新认证请求,安全管理者由 此判断设备是否被允许重新在网络中通信;,25)重新认证通信过程成功完成,表明重新上线设备是合法设备,安全管 理者是该网络合法的可信源;进一步,步骤3)具体包括如下步骤31 )设备在应用层将数据报文用应用层密钥进行加密后传递到数据链路层, 在数据链路层用数据链路密钥进行力a密和MIC校验后,发送给所属子网路由设备;32) 子网路由设备收到加密报文后,在数据链路层用数据链路密钥进行解 包,传送至应用层对报文数据用应用层密钥进行解密操作,路由设备将各报文 数据汇聚成新的报文,依次在应用层将新的报文用子网路由设备应用层密钥进 行加密后传递到数据链路层,在数据链路层用子网路由设备数据链路密钥进行 加密和MIC校验后,根据路由选择将新加密的报文传送给下一跳路由设备;33) 下一跳路由设备接收到加密报文后,在数据链路层用数据链路密钥进 行解包并重新加密,根据路由选择将新加密的报文进行转发;重复步骤33),直到加密报文传送到目标上位机;34) 目标上位机对接收到的加密报文使用链接密钥进行解密,最终获得汇 聚的数据信息。进一步,所述链接密钥包括应用层密钥和/或数据链路层密钥; 采用这种基于安全密钥的网络管理机制,可有效解决工业无线网络中无线 设备有限的存储能力和计算的复杂性等问题,处理无线网络传输通信时存在数 据信息容易被窃取、篡改和插入等安全问题。可以更加合理利用网络资源,提 高网络性能,有效的实现入网设备的认证授权,密钥分发和更新,支持网络安 全的通信处理,保障网络正常运行。本专利技术的其他优点、目标,和特征在某种程度上将在随后的说明书中进行 阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是 显而易见的,或者可以从本专利技术的实践中得到教导。本专利技术的目标和其他优点 可以通过下面的说明书,权利要求书,以及附图中所特别指出的结构来实现和 获得。附图说明为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步的详细描述图1示出了工业无线网络安全管理模式示意图; 图2示出了安全对称密钥类型及其生存期示意图; 图3示出了入网设备的安全密钥使用状态图; 图4示出了无线设备入网认证过程示意图5示出了无线终端设备与上位机数据通信的安全处理过程示意图。 具体实施例方式以下将参照附图,对本专利技术的优选实施例进行详细的描述。如图l所示,本实施例中,工业无线网络安全体系架构由安全管理者l (上 位机)、安全管理代理2 (子网路由设备)、安全管理对象3 (终端设备)共同 构成,采用集中式和分布式共存的方式管理整个网络的安全通信。集中式网络 安全管理是由网络的安全管理者l负责配置整个网络的安全策略,密钥管理及入 网设备认证工作。分布式网络安全管理是由具有安全管理代理的无线网关和无 线路由设备负责子网的边界保护,实现报文过滤(包括网络地址、流量控制、 工业通信报文标识以及时间戳)等功能;安全网关还具备部分安全管理和网络 管理功能。通过安全管理代理可以防止子网外的安全威胁,并根据访问无线设 备的途径设置无线设备中的安全措施。每个无线终端设备3在其管理应用进程 中,都具有安全管理对象3。安全管理对象3位于应用支持子层之上,可以发起数据加密、设备鉴别、访问控制和数据校验等安全措施。用于对用户数据进行 安全处理之后送到应用实体,对工业无线网络应用层的安全措施进行管理。安 全管理信息库属于管理信息库的一部分,存放安全管理对象所需的信息,包括MAC层、DLL层、网络层和应用层等各层安全相关信息,以及所要保护的相关信 息参数,并且负责管理和存储网络中的密钥信息、力口/解密算法、校验算法等, 便于密钥的分发、更新和组态。各层提供相应的安全机制和措施保证各层的协 议数据单元(PDU)安全。这样,安全管理者、安全管理代理、安全管理对象和 安全管理信息库共同工作,支持工业无线网络的本文档来自技高网...
【技术保护点】
基于密钥的工业无线网络安全通信实现方法,其特征在于:包括 1)安全管理者和安全管理代理提供安全密钥的步骤; 2)设备入网时,与安全管理者互相认证的步骤;以及 3)通信过程中利用密钥对数据报文汇聚加密传送的步骤。
【技术特征摘要】
1. 基于密钥的工业无线网络安全通信实现方法,其特征在于包括1)安全管理者和安全管理代理提供安全密钥的步骤;2)设备入网时,与安全管理者互相认证的步骤;以及3)通信过程中利用密钥对数据报文汇聚加密传送的步骤。2. 根据权利要求1所述的基于密钥的工业无线网络安全通信实现方法,其 特征在于所述步骤1 )具体包括安全密钥的产生和预分配步骤以及设备使用 的密钥状态转化过程。3. 根据权利要求1所述的基于密钥的工业无线网络安全通信实现方法,其 特征在于所述步骤2)中,新设备入网时具体包括如下步骤.21 )新设备入网时利用预分配的加入密钥加密认证请求信息并发送给网络 的安全管理者,由安全管理者判断设备的合法性;.22 )安全管理者产生的对称主密钥分配给合法的新设备;.23) 安全管理者与合法的新设备使用所述对称主密钥进行第一次通信,成 功完成通信过程则表明这个安全管理者是该网络合法的可信源。4. 根据权利要求3所述的基于密钥的工业无线网络安全通信实现方法,其 特征在于所述步骤2)中,当原有设备重新上线/入网时具体包括如下步骤.24) 设备使用对称主密钥向安全管理者发出重新认证请求,安全管理者由 此判断设备是否被允许重新在网络中通信;.25) 重新认证通信过...
【专利技术属性】
技术研发人员:魏旻,王平,张萱,王浩,王泉,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:85[中国|重庆]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。