本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別是涉及一種用于工業(yè)無線網(wǎng)絡(luò)中現(xiàn)場設(shè)備與路由設(shè)備安全關(guān)聯(lián)的方法、裝置及系統(tǒng)。

背景技術(shù)：

工業(yè)無線網(wǎng)絡(luò)是由無線傳感器網(wǎng)絡(luò)發(fā)展而來的，用于工業(yè)控制領(lǐng)域的無線通信技術(shù)。工業(yè)無線網(wǎng)絡(luò)具有低成本、低能耗、高靈活和強(qiáng)擴(kuò)展性等特點(diǎn)，為工業(yè)自動化系統(tǒng)的發(fā)展提供了技術(shù)保證。然而，由于工業(yè)現(xiàn)場環(huán)境復(fù)雜以及在一些工業(yè)應(yīng)用中存在特殊要求，使得無線網(wǎng)絡(luò)面臨著嚴(yán)峻的安全威脅。

安全關(guān)聯(lián)協(xié)議可實(shí)現(xiàn)設(shè)備配對和共享密鑰建立，是保障設(shè)備之間安全通信的基礎(chǔ)，進(jìn)而可以保證工業(yè)無線網(wǎng)絡(luò)的安全。目前，工業(yè)無線網(wǎng)絡(luò)中用于現(xiàn)場設(shè)備和路由設(shè)備安全關(guān)聯(lián)的協(xié)議主要有兩類：基于預(yù)分配秘密信息或公鑰基礎(chǔ)設(shè)施的安全關(guān)聯(lián)協(xié)議和基于diffie-hellman密鑰交換算法的安全關(guān)聯(lián)協(xié)議。由于工業(yè)無線網(wǎng)絡(luò)中的現(xiàn)場設(shè)備具有動態(tài)接入網(wǎng)絡(luò)、可移動的特性，第一類安全關(guān)聯(lián)方法在實(shí)際應(yīng)用中不容易實(shí)現(xiàn)；第二類安全關(guān)聯(lián)方法通常需要輸入口令、建立帶外信道等方法來防止中間人攻擊，而實(shí)際應(yīng)用有些現(xiàn)場設(shè)備和路由設(shè)備不具備輸入界面和建立帶外信道的條件，因此該方法的使用范圍相對受限。由此可見，現(xiàn)有的安全關(guān)聯(lián)方法都無法確保工業(yè)無線網(wǎng)絡(luò)的安全。

技術(shù)實(shí)現(xiàn)要素：

針對于上述問題，本發(fā)明提供一種安全關(guān)聯(lián)方法、裝置及系統(tǒng)，在保證應(yīng)用范圍的前提下，實(shí)現(xiàn)了工業(yè)無線網(wǎng)絡(luò)中的現(xiàn)場設(shè)備和路由設(shè)備的通信安全的目的。

為了實(shí)現(xiàn)上述目的，根據(jù)本發(fā)明的第一方面，提供了一種安全關(guān)聯(lián)方法，應(yīng)用于現(xiàn)場設(shè)備，該方法包括：

所述現(xiàn)場設(shè)備通過網(wǎng)絡(luò)接口與路由設(shè)備建立連接；

將生成的第一隨機(jī)數(shù)發(fā)送至所述路由設(shè)備；

接收所述路由設(shè)備發(fā)送的第二隨機(jī)數(shù)和第一簽名，其中，所述第一簽名為所述路由設(shè)備根據(jù)自身生成的第二隨機(jī)數(shù)和接收到的第一隨機(jī)數(shù)計(jì)算生成的第一簽名；

對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行計(jì)算，獲得第二簽名，將所述第二簽名發(fā)送至所述路由設(shè)備；

接收所述路由設(shè)備發(fā)送的密文和第三簽名，并對所述第三簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則解密所述密文獲得隨機(jī)密鑰，其中，所述密文為所述路由設(shè)備對所述第二簽名驗(yàn)證通過后生成的所述隨機(jī)密鑰，并加密所述隨機(jī)密鑰獲得所述密文；所述第三簽名為根據(jù)所述密文計(jì)算獲得的。

優(yōu)選的，所述現(xiàn)場設(shè)備通過網(wǎng)絡(luò)接口與路由設(shè)備建立連接之前，該方法還包括：

存儲第一私鑰，其中，所述第一私鑰為根據(jù)所述現(xiàn)場設(shè)備身份生成的密鑰。

根據(jù)本發(fā)明的第二方面，提供了一種安全關(guān)聯(lián)方法，應(yīng)用于路由設(shè)備，該方法包括：

所述路由設(shè)備通過網(wǎng)絡(luò)接口與現(xiàn)場設(shè)備建立連接；

當(dāng)接收到所述現(xiàn)場設(shè)備發(fā)送的第一隨機(jī)數(shù)后，生成第二隨機(jī)數(shù)，并根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算獲得第一簽名，并將所述第二隨機(jī)數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設(shè)備；

接收所述現(xiàn)場設(shè)備發(fā)送的第二簽名，并對所述第二簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過則生成隨機(jī)密鑰，加密所述隨機(jī)密鑰獲得密文，根據(jù)所述密文計(jì)算獲得第三簽名，并將所述第三簽名發(fā)送至所述現(xiàn)場設(shè)備，其中，所述第二簽名為所述現(xiàn)場設(shè)備在接收到所述第二隨機(jī)數(shù)和所述第一簽名后，對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)計(jì)算獲得第二簽名。

優(yōu)選的，所述路由設(shè)備通過網(wǎng)絡(luò)接口與現(xiàn)場設(shè)備建立連接之前，該方法還包括：

存儲第二私鑰，其中，所述第二私鑰為根據(jù)所述路由設(shè)備身份生成的密鑰。

根據(jù)本發(fā)明的第三方面，提供了一種安全關(guān)聯(lián)裝置，應(yīng)用于現(xiàn)場設(shè)備，該裝置包括：

第一連接模塊，用于將所述現(xiàn)場設(shè)備通過網(wǎng)絡(luò)接口與路由設(shè)備建立連接；

第一發(fā)送模塊，用于將生成的第一隨機(jī)數(shù)發(fā)送至所述路由設(shè)備；

第一接收模塊，用于接收所述路由設(shè)備發(fā)送的第二隨機(jī)數(shù)和第一簽名，其中，所述第一簽名為所述路由設(shè)備根據(jù)自身生成的第二隨機(jī)數(shù)和接收到的第一隨機(jī)數(shù)計(jì)算生成的第一簽名；

第一驗(yàn)證模塊，用于對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行計(jì)算，獲得第二簽名，將所述第二簽名發(fā)送至所述路由設(shè)備；

第一解密模塊，用于接收所述路由設(shè)備發(fā)送的密文和第三簽名，并對所述第三簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則解密所述密文獲得隨機(jī)密鑰，其中，所述密文為所述路由設(shè)備對所述第二簽名驗(yàn)證通過后生成的所述隨機(jī)密鑰，并加密所述隨機(jī)密鑰獲得所述密文；所述第三簽名為根據(jù)所述密文計(jì)算獲得的。

優(yōu)選的，該裝置還包括：

第一存儲模塊，用于存儲第一私鑰，其中，所述第一私鑰為根據(jù)所述現(xiàn)場設(shè)備身份生成的密鑰。

根據(jù)本發(fā)明的第四方面，提供了一種安全關(guān)聯(lián)裝置，應(yīng)用于路由設(shè)備，該裝置包括：

第二連接模塊，用于將所述路由設(shè)備通過網(wǎng)絡(luò)接口與現(xiàn)場設(shè)備建立連接；

第二發(fā)送模塊，用于當(dāng)接收到所述現(xiàn)場設(shè)備發(fā)送的第一隨機(jī)數(shù)后，生成第二隨機(jī)數(shù)，并根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算獲得第一簽名，并將所述第二隨機(jī)數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設(shè)備；

第二接收模塊，用于接收所述現(xiàn)場設(shè)備發(fā)送的第二簽名，并對所述第二簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過則生成隨機(jī)密鑰，加密所述隨機(jī)密鑰獲得密文，根據(jù)所述密文計(jì)算獲得第三簽名，并將所述第三簽名發(fā)送至所述現(xiàn)場設(shè)備，其中，所述第二簽名為所述現(xiàn)場設(shè)備在接收到所述第二隨機(jī)數(shù)和所述第一簽名后，對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)計(jì)算獲得第二簽名。

優(yōu)選的，所述裝置還包括：

第二存儲模塊，用于存儲第二私鑰，其中，所述第二私鑰為根據(jù)所述路由設(shè)備身份生成的密鑰。

根據(jù)本發(fā)明第五方面，提供了一種安全關(guān)聯(lián)系統(tǒng)，該系統(tǒng)包括：現(xiàn)場設(shè)備、路由設(shè)備和私鑰生成設(shè)備，其中，

所述現(xiàn)場設(shè)備為根據(jù)本發(fā)明第三方面所述的安全關(guān)聯(lián)裝置；

所述路由設(shè)備為根據(jù)本發(fā)明第四方面所述的安全關(guān)聯(lián)裝置；

所述私鑰生成設(shè)備用于根據(jù)所述現(xiàn)場設(shè)備身份生成第一私鑰和根據(jù)所述路由設(shè)備生成第二私鑰。

相較于現(xiàn)有技術(shù)，本發(fā)明通過現(xiàn)場設(shè)備與路由設(shè)備建立連接，現(xiàn)場設(shè)備生成第一隨機(jī)數(shù)，并向路由設(shè)備發(fā)送第一隨機(jī)數(shù)；路由設(shè)備生成第二隨機(jī)數(shù)，并對第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算第一簽名，并將第二隨機(jī)數(shù)和第一簽名發(fā)送到現(xiàn)場設(shè)備；現(xiàn)場設(shè)備驗(yàn)證第一簽名，驗(yàn)證通過則對第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算第二簽名，并將第二簽名發(fā)送至路由設(shè)備；路由設(shè)備驗(yàn)證第二簽名，驗(yàn)證通過則生成隨機(jī)密鑰，并加密隨機(jī)密鑰得到密文，對密文計(jì)算第三簽名，并將密文和第三簽名發(fā)送到現(xiàn)場設(shè)備；現(xiàn)場設(shè)備驗(yàn)證第三簽名，驗(yàn)證通過則解密密文得到隨機(jī)密鑰。通過本發(fā)明能夠在無預(yù)先分配的秘密信息、公鑰基礎(chǔ)設(shè)施、口令輸入和帶外信道的前提下，實(shí)現(xiàn)工業(yè)無線網(wǎng)絡(luò)中現(xiàn)場設(shè)備和路由設(shè)備的認(rèn)證配對，保證了應(yīng)用范圍的廣泛，并為現(xiàn)場設(shè)備和路由設(shè)備分配共享隨機(jī)密鑰，保障了現(xiàn)場設(shè)備和路由設(shè)備的通信安全。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例一提供的一種安全關(guān)聯(lián)方法的流程示意圖；

圖2為本發(fā)明實(shí)施例二提供的一種安全關(guān)聯(lián)方法的流程示意圖；

圖3為本發(fā)明實(shí)施例三提供的一種安全關(guān)聯(lián)裝置的結(jié)構(gòu)示意圖；

圖4為本發(fā)明實(shí)施例四提供的一種安全關(guān)聯(lián)裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實(shí)施例五提供的一種安全關(guān)聯(lián)系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”和“第二”等是用于區(qū)別不同的對象，而不是用于描述特定的順序。此外術(shù)語“包括”和“具有”以及他們?nèi)魏巫冃?，意圖在于覆蓋不排他的包含。例如包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備沒有設(shè)定于已列出的步驟或單元，而是可包括沒有列出的步驟或單元。

實(shí)施例一

參見圖1為本發(fā)明實(shí)施例一提供的一種安全關(guān)聯(lián)方法的流程示意圖，所述方法應(yīng)用于現(xiàn)場設(shè)備，該方法包括以下步驟：

s11、所述現(xiàn)場設(shè)備通過網(wǎng)絡(luò)接口與路由設(shè)備建立連接；

可以理解的是，所謂安全關(guān)聯(lián)其實(shí)質(zhì)是實(shí)現(xiàn)現(xiàn)場設(shè)備與路由設(shè)備兩者之間的認(rèn)證配對和共享密鑰的配置，其中，共享密鑰的配置包括兩種情況，一種情況是啟用一個(gè)預(yù)先存儲到兩個(gè)設(shè)備的共享密鑰；另一種情況是兩個(gè)設(shè)備通過密鑰協(xié)商生成一個(gè)共享密鑰，在本發(fā)明的實(shí)施例中所描述的是后者這種情況。

s12、將生成的第一隨機(jī)數(shù)發(fā)送至所述路由設(shè)備；

s13、接收所述路由設(shè)備發(fā)送的第二隨機(jī)數(shù)和第一簽名；

其中，所述第一簽名為所述路由設(shè)備根據(jù)自身生成的第二隨機(jī)數(shù)和接收到的第一隨機(jī)數(shù)計(jì)算生成的第一簽名；

具體的，所述路由設(shè)備在接收到所述第一隨機(jī)數(shù)后，會通過隨機(jī)數(shù)生成器生成第二隨機(jī)數(shù)，并利用基于身份的簽名算法對所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)計(jì)算第一簽名，其中，所述第一簽名可以包括時(shí)間戳信息。

s14、對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行計(jì)算，獲得第二簽名，將所述第二簽名發(fā)送至所述路由設(shè)備；

具體的，所述現(xiàn)場設(shè)備在接收到所述第二隨機(jī)數(shù)和第一簽名后，會通過基于身份的驗(yàn)證算法驗(yàn)證所述第一簽名，并在驗(yàn)證通過后，通過基于身份的簽名算法對所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算第二簽名，其中，所述第二簽名還可以包括時(shí)間戳信息。

s15、接收所述路由設(shè)備發(fā)送的密文和第三簽名，并對所述第三簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則解密所述密文獲得隨機(jī)密鑰；

其中，所述密文為所述路由設(shè)備對所述第二簽名驗(yàn)證通過后生成的所述隨機(jī)密鑰，并加密所述隨機(jī)密鑰獲得所述密文；所述第三簽名為根據(jù)所述密文計(jì)算獲得的。

具體的，路由設(shè)備在接收到所述第二簽名后，會通過基于身份的驗(yàn)證算法驗(yàn)證所述第二簽名，并在驗(yàn)證通過后，通過隨機(jī)數(shù)生成器生成隨機(jī)密鑰，并通過基于身份的加密算法加密所述隨機(jī)密鑰為密文，然后通過基于身份的簽名算法對所述密文計(jì)算第三簽名，并將所述密文和第三簽名發(fā)送到所述現(xiàn)場設(shè)備，其中，所述第三簽名可以包括時(shí)間戳信息；

所述現(xiàn)場設(shè)備在接收到所述密文和所述第三簽名后，通過基于身份的驗(yàn)證算法驗(yàn)證所述第三簽名，并在驗(yàn)證通過后，通過基于身份的解密算法解密所述密文得到所述隨機(jī)密鑰。此時(shí)，所述現(xiàn)場設(shè)備與所述路由設(shè)備完成安全關(guān)聯(lián)，并各自秘密存儲所述隨機(jī)密鑰。

相應(yīng)的，所述現(xiàn)場設(shè)備通過網(wǎng)絡(luò)接口與路由設(shè)備建立連接之前，該方法還包括：

s10、存儲第一私鑰，其中，所述第一私鑰為根據(jù)所述現(xiàn)場設(shè)備身份生成的密鑰。

具體的，在所述現(xiàn)場設(shè)備和路由設(shè)備出廠前，根據(jù)所述現(xiàn)場設(shè)備身份生成第一私鑰，所述現(xiàn)場設(shè)備用于保存所述第一私鑰，并使用所述第一私鑰對所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算所述第二簽名；同時(shí)使用所述第一私鑰解密所述密文得到所述隨機(jī)密鑰。

通過本發(fā)明實(shí)施例一公開的技術(shù)方案，所述現(xiàn)場設(shè)備通過網(wǎng)絡(luò)接口與路由設(shè)備建立連接；將生成的第一隨機(jī)數(shù)發(fā)送至所述路由設(shè)備；接收所述路由設(shè)備發(fā)送的第二隨機(jī)數(shù)和第一簽名；對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行計(jì)算，獲得第二簽名，將所述第二簽名發(fā)送至所述路由設(shè)備；接收所述路由設(shè)備發(fā)送的密文和第三簽名，并對所述第三簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則解密所述密文獲得隨機(jī)密鑰。通過本發(fā)明實(shí)施例能夠在無預(yù)先分配的秘密信息、公鑰基礎(chǔ)設(shè)施、口令輸入和帶外信道的前提下，使現(xiàn)場設(shè)備獲得隨機(jī)密鑰，實(shí)現(xiàn)工業(yè)無線網(wǎng)絡(luò)中現(xiàn)場設(shè)備和路由設(shè)備的認(rèn)證配對，保證了應(yīng)用范圍的廣泛，并保障了現(xiàn)場設(shè)備和路由設(shè)備的通信安全。

實(shí)施例二

參見圖2為本發(fā)明實(shí)施例二提供的一種安全關(guān)聯(lián)方法，所述方法適用于路由設(shè)備，該方法包括以下步驟：

s21、所述路由設(shè)備通過網(wǎng)絡(luò)接口與現(xiàn)場設(shè)備建立連接；

s22、當(dāng)接收到所述現(xiàn)場設(shè)備發(fā)送的第一隨機(jī)數(shù)后，生成第二隨機(jī)數(shù)，并根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算獲得第一簽名，并將所述第二隨機(jī)數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設(shè)備；

s23、接收所述現(xiàn)場設(shè)備發(fā)送的第二簽名，并對所述第二簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過則生成隨機(jī)密鑰，加密所述隨機(jī)密鑰獲得密文，根據(jù)所述密文計(jì)算獲得第三簽名，并將所述第三簽名發(fā)送至所述現(xiàn)場設(shè)備，其中，所述第二簽名為所述現(xiàn)場設(shè)備在接收到所述第二隨機(jī)數(shù)和所述第一簽名后，對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)計(jì)算獲得第二簽名。

相應(yīng)的，所述路由設(shè)備通過網(wǎng)絡(luò)接口與現(xiàn)場設(shè)備建立連接之前，該方法還包括：

s20、存儲第二私鑰，其中，所述第二私鑰為根據(jù)所述路由設(shè)備身份生成的密鑰。

具體的，路由設(shè)備在出廠前被寫入第二私鑰，所述第二私鑰是根據(jù)所述路由設(shè)備身份生成的，所述路由設(shè)備使用所述第二私鑰對所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算所述第一簽名，并使用所述第二私鑰對所述密文計(jì)算所述第三簽名。

根據(jù)本發(fā)明實(shí)施例二公開的技術(shù)方案，所述路由設(shè)備通過網(wǎng)絡(luò)接口與現(xiàn)場設(shè)備建立連接；當(dāng)接收到所述現(xiàn)場設(shè)備發(fā)送的第一隨機(jī)數(shù)后，生成第二隨機(jī)數(shù)，并根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算獲得第一簽名，并將所述第二隨機(jī)數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設(shè)備；接收所述現(xiàn)場設(shè)備發(fā)送的第二簽名，并對所述第二簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過則生成隨機(jī)密鑰，加密所述隨機(jī)密鑰獲得密文，根據(jù)所述密文計(jì)算獲得第三簽名，并將所述第三簽名發(fā)送至所述現(xiàn)場設(shè)備。通過本發(fā)明實(shí)施例能夠在無預(yù)先分配的秘密信息、公鑰基礎(chǔ)設(shè)施、口令輸入和帶外信道的前提下，使路由設(shè)備獲得隨機(jī)密鑰，實(shí)現(xiàn)工業(yè)無線網(wǎng)絡(luò)中現(xiàn)場設(shè)備和路由設(shè)備的認(rèn)證配對，保證了應(yīng)用范圍的廣泛，并保障了現(xiàn)場設(shè)備和路由設(shè)備的通信安全。

實(shí)施例三

與本發(fā)明實(shí)施例一所公開的安全關(guān)聯(lián)方法相對應(yīng)，本發(fā)明的實(shí)施例三還提供了一種安全關(guān)聯(lián)裝置，參見圖3，所述裝置應(yīng)用于現(xiàn)場設(shè)備，該裝置包括：

第一連接模塊11，用于將所述現(xiàn)場設(shè)備通過網(wǎng)絡(luò)接口與路由設(shè)備建立連接；

第一發(fā)送模塊12，用于將生成的第一隨機(jī)數(shù)發(fā)送至所述路由設(shè)備；

第一接收模塊13，用于接收所述路由設(shè)備發(fā)送的第二隨機(jī)數(shù)和第一簽名，其中，所述第一簽名為所述路由設(shè)備根據(jù)自身生成的第二隨機(jī)數(shù)和接收到的第一隨機(jī)數(shù)計(jì)算生成的第一簽名；

第一驗(yàn)證模塊14，用于對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行計(jì)算，獲得第二簽名，將所述第二簽名發(fā)送至所述路由設(shè)備；

第一解密模塊15，用于接收所述路由設(shè)備發(fā)送的密文和第三簽名，并對所述第三簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則解密所述密文獲得隨機(jī)密鑰，其中，所述密文為所述路由設(shè)備對所述第二簽名驗(yàn)證通過后生成的所述隨機(jī)密鑰，并加密所述隨機(jī)密鑰獲得所述密文；所述第三簽名為根據(jù)所述密文計(jì)算獲得的。

具體的，該裝置還包括：

第一存儲模塊10，用于存儲第一私鑰，其中，所述第一私鑰為根據(jù)所述現(xiàn)場設(shè)備身份生成的密鑰。

在本發(fā)明的實(shí)施例三中，通過第一連接模塊與路由設(shè)備建立連接；在第一發(fā)送模塊中將生成的第一隨機(jī)數(shù)發(fā)送至所述路由設(shè)備；第一接收模塊中接收所述路由設(shè)備發(fā)送的第二隨機(jī)數(shù)和第一簽名；再通過第一驗(yàn)證模塊對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行計(jì)算，獲得第二簽名，將所述第二簽名發(fā)送至所述路由設(shè)備；最后在第一解密模塊中接收所述路由設(shè)備發(fā)送的密文和第三簽名，并對所述第三簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則解密所述密文獲得隨機(jī)密鑰。通過本發(fā)明實(shí)施例能夠在無預(yù)先分配的秘密信息、公鑰基礎(chǔ)設(shè)施、口令輸入和帶外信道的前提下，使現(xiàn)場設(shè)備獲得隨機(jī)密鑰，實(shí)現(xiàn)工業(yè)無線網(wǎng)絡(luò)中現(xiàn)場設(shè)備和路由設(shè)備的認(rèn)證配對，保證了應(yīng)用范圍的廣泛，并保障了現(xiàn)場設(shè)備和路由設(shè)備的通信安全。

實(shí)施例四

與本發(fā)明實(shí)施例二提供的一種安全關(guān)聯(lián)方法相對應(yīng)，本發(fā)明實(shí)施例四提供了一種安全關(guān)聯(lián)裝置，所述裝置應(yīng)用于路由設(shè)備，參見圖4，該裝置包括：

第二連接模塊21，用于將所述路由設(shè)備通過網(wǎng)絡(luò)接口與現(xiàn)場設(shè)備建立連接；

第二發(fā)送模塊22，用于當(dāng)接收到所述現(xiàn)場設(shè)備發(fā)送的第一隨機(jī)數(shù)后，生成第二隨機(jī)數(shù)，并根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算獲得第一簽名，并將所述第二隨機(jī)數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設(shè)備；

第二接收模塊23，用于接收所述現(xiàn)場設(shè)備發(fā)送的第二簽名，并對所述第二簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過則生成隨機(jī)密鑰，加密所述隨機(jī)密鑰獲得密文，根據(jù)所述密文計(jì)算獲得第三簽名，并將所述第三簽名發(fā)送至所述現(xiàn)場設(shè)備，其中，所述第二簽名為所述現(xiàn)場設(shè)備在接收到所述第二隨機(jī)數(shù)和所述第一簽名后，對所述第一簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則根據(jù)所述第一隨機(jī)數(shù)和所述第二隨機(jī)數(shù)計(jì)算獲得第二簽名。

具體的，所述裝置還包括：

第二存儲模塊20，用于存儲第二私鑰，其中，所述第二私鑰為根據(jù)所述路由設(shè)備身份生成的密鑰。

根據(jù)本發(fā)明實(shí)施例四公開的技術(shù)方案，通過第二連接模塊與現(xiàn)場設(shè)備建立連接；當(dāng)接收到所述現(xiàn)場設(shè)備發(fā)送的第一隨機(jī)數(shù)后，在第二發(fā)送模塊中生成第二隨機(jī)數(shù)，并根據(jù)所述第一隨機(jī)數(shù)和第二隨機(jī)數(shù)計(jì)算獲得第一簽名，并將所述第二隨機(jī)數(shù)和所述第一簽名發(fā)送至所述現(xiàn)場設(shè)備；最后在第二接收模塊中接收所述現(xiàn)場設(shè)備發(fā)送的第二簽名，并對所述第二簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過則生成隨機(jī)密鑰，加密所述隨機(jī)密鑰獲得密文，根據(jù)所述密文計(jì)算獲得第三簽名，并將所述第三簽名發(fā)送至所述現(xiàn)場設(shè)備。通過本發(fā)明實(shí)施例能夠在無預(yù)先分配的秘密信息、公鑰基礎(chǔ)設(shè)施、口令輸入和帶外信道的前提下，使路由設(shè)備獲得隨機(jī)密鑰，實(shí)現(xiàn)工業(yè)無線網(wǎng)絡(luò)中現(xiàn)場設(shè)備和路由設(shè)備的認(rèn)證配對，保證了應(yīng)用范圍的廣泛，并保障了現(xiàn)場設(shè)備和路由設(shè)備的通信安全。

實(shí)施例五

與本發(fā)明實(shí)施例三和實(shí)施例四提供的安全關(guān)聯(lián)裝置相對應(yīng)，本發(fā)明實(shí)施例五還提供了一種安全關(guān)聯(lián)系統(tǒng)，參見圖5，該系統(tǒng)包括：現(xiàn)場設(shè)備1、路由設(shè)備2和私鑰生成設(shè)備3，其中，

所述現(xiàn)場設(shè)備為本發(fā)明實(shí)施例三所述的安全關(guān)聯(lián)裝置；

所述路由設(shè)備為本發(fā)明實(shí)施例四所述的安全關(guān)聯(lián)裝置；

所述私鑰生成設(shè)備用于根據(jù)所述現(xiàn)場設(shè)備身份生成第一私鑰和根據(jù)所述路由設(shè)備生成第二私鑰。

可以理解的是，本發(fā)明用于工業(yè)無線網(wǎng)絡(luò)中的安全關(guān)聯(lián)系統(tǒng)涉及三個(gè)模塊即：現(xiàn)場設(shè)備、路由設(shè)備和私鑰生成設(shè)備，所述私鑰生成設(shè)備用于生成所述現(xiàn)場設(shè)備的第一私鑰和路由設(shè)備的第二私鑰，因此私鑰生成設(shè)備內(nèi)部需要設(shè)置隨機(jī)數(shù)生成器和基于身份的私鑰提取算法，利用基于身份的私鑰提取算法生成第一私鑰和第二私鑰，并存儲所述私鑰生成設(shè)備的系統(tǒng)主私鑰和系統(tǒng)主公鑰。所述現(xiàn)場設(shè)備需要部署基于身份的解密算法、基于身份的簽名及驗(yàn)證算法和隨機(jī)數(shù)生成器，同時(shí)應(yīng)將自己的第一私鑰秘密存儲。所述路由設(shè)備內(nèi)部需部署基于身份的加密算法、基于身份的簽名及驗(yàn)證算法和隨機(jī)數(shù)生成器，同時(shí)應(yīng)將自己的第二私鑰秘密存儲。并且，由于所述現(xiàn)場設(shè)備和路由設(shè)備通過無線連接，所以二者背部都應(yīng)包括網(wǎng)絡(luò)接口。

在本發(fā)明實(shí)施例五中，在現(xiàn)場設(shè)備合和路由設(shè)備出廠前，為兩者分別安全存入第一私鑰和第二私鑰，由于第一私鑰和第二私鑰之間不存在關(guān)聯(lián)，即任何設(shè)備在出廠前需要存入的私鑰為各自所持有的秘密信息，與已出廠設(shè)備的私鑰不需要建立關(guān)聯(lián)，因此本發(fā)明優(yōu)于基于預(yù)分配秘密信息或公鑰基礎(chǔ)設(shè)施的安全關(guān)聯(lián)協(xié)議；現(xiàn)場設(shè)備和路由設(shè)備出廠后，在進(jìn)行安全關(guān)聯(lián)時(shí)，直接使用對方的身份作為用于加密消息和驗(yàn)證簽名的公鑰，不需要借助口令、帶外信道等，優(yōu)于基于diifie-hellman等密鑰交換算法的安全關(guān)聯(lián)協(xié)議，保障了現(xiàn)場設(shè)備和路由設(shè)備的通信安全。

本說明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似部分互相參見即可。對于實(shí)施例公開的裝置而言，由于其與實(shí)施例公開的方法相對應(yīng)，所以描述的比較簡單，相關(guān)之處參見方法部分說明即可。

對所公開的實(shí)施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。