一种工业控制系统中增强通信安全性的方法技术方案

技术编号:10487285 阅读:131 留言:0更新日期:2014-10-03 16:13
本发明专利技术涉及一种工业控制系统中增强通信安全性的方法,该方法应用于工业控制系统中,所述工业控制系统包括相互通信的主站侧和终端侧,所述方法通过下述三个阶段进行实施:(1)通信前准备阶段;(2)主站侧发送阶段;(3)终端侧接收、处理和回复阶段。该方法针对工业通信系统中,通信具有客户端计算能力弱、客户端的时间来源于服务器端、通信信道不可靠、关键通信要求实时性和高安全性等特点的系统。该方法针对这种特殊环境的安全通信,对关键通信报文提供身份认证和完整信保证,有效增强整个系统的安全性。

【技术实现步骤摘要】

本专利技术涉及一种信息安全技术,具体讲涉及。
技术介绍
工业控制系统(ICS)是对多种控制系统的总称,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS),以及可编程逻辑控制器(PLC)之类的小型的控制系统装置。工业控制系统普遍应用于电力、自来水、石油、天然气、化工、交通运输、制药、纸浆和造纸、能源、食品饮料制造。工业控制系统由主站、网络和子站组成。工业控制系统的基本工作原理是子站对工业过程测量数据进行采集,通过网络将数据送至主站,主站分析后通过网络向子站发送控制或参数设置等命令,子站对工业过程进行动作并将回执行结果和/或状态返回给主站。 目前工业控制系统中使用的通信协议包括IEC60870系列、IEC60970系列、IEC61850系列、DNP3等,这些协议的特点是以可靠性为基本需求,并没有考虑收发认证、数据完整性和数据保密性等安全内容。而且工业控制系统应用的计算环境恶劣,不仅网络通信方式众多,包括专线拨号、光纤专网、移动GPRS、卫星通信等,而且设备以分布式的状态,完全暴露在开放式的计算环境之中,存在敌手攻击的可能性。开放的网络环境和“零安全机制”的通信协议使得工业控制系统面临众多信息安全风险。 针对这种情况,在兼容已有通信协议和数据格式的前提下,实施安全功能的扩展,具有很强的现实意义。
技术实现思路
针对现有技术的不足,本专利技术的目的是提供,该方法为单向、只针对重要通信报文,采用深度优化的椭圆曲线公钥算法、采用后缀式设计、采用关键通信登记机制和时间戳机制等一系列针对性的安全保护方法,实现了身份认证、完整性保护等必要的安全功能,同时不会影响该工业控制系统的工作。 本专利技术的目的是采用下述技术方案实现的: —种工业控制系统中增强通信安全性的方法,其改进之处在于,所述方法应用于工业控制系统中,所述工业控制系统包括相互通信的主站侧和终端侧,所述方法通过下述三个阶段进行实施: (I)通信前准备阶段; (2)主站侧发送阶段; (3)终端侧接收、处理和回复阶段。 进一步地,所述(I)的通信前准备阶段包括下述步骤: 步骤102:主站侧根据国家密码管理局21号公告(2010年12月17日发布)公开的SM2椭圆曲线公钥密码算法生成椭圆曲线密码算法密钥对,包括私钥PriK和公钥PubK ; 步骤104:主站侧预置椭圆曲线密码算法的密钥对,包括私钥PriK和公钥PubK ;其中的私钥PriK要由加密卡、加密芯片或加密机来存放预置;存储应该保证安全性,不会泄漏; 步骤106:终端侧预置主站侧的公钥PubK。 进一步地,所述(2)的主站侧发送阶段包括下述步骤: 步骤202:主站侧生成待保护的、原始的关键通信报文,所述关键通信报文为原始报文M ; 步骤204:主站侧在原始报文M之后填充本地时间戳M| timestamp ; 步骤206:主站侧在时间戳后填充由主站侧预置的私钥PriK对原始报文M到时间戳这段数据的签名数据 signature = Sign (M timestamp, PriK); 步骤208:主站侧在签名数据之后填充安全报文结束标志字节end,形成的复合安全报文 SM,所述 SM = Signature | | end ; 步骤210:主站侧发出复合安全报文SM到终端侧。 进一步地,所述步骤202中,关键通信报文指的是工业控制系统通信协议中的控制报文;所述步骤206中,对通信中的原始报文M进行的签名验证为单向的签名认证。 进一步地,所述(3)的终端侧接收、处理和回复阶段包括下述步骤: 步骤302:终端侧接收到复合安全报文SM ; 步骤304:终端侧根据复合安全报文SM提取出原始的关键通信报文时间戳timestamp 和签名数据 signature ; 步骤306:终端侧提取本地时间戳1caltime ; 步骤308:比较时间戳差值是否在合理时间窗口 W中,即(localtime-timestamp) <ff ?若在合理的时间窗口 W中,贝1J进行步骤310 ;否则,进行步骤309 ;合理时间窗口 W的值根据具体应用场景而定,在工业控制系统算例中设定为30秒。 步骤309:丢弃所述复合安全报文SM,不返回任何数据; 步骤310:比较关键通信报文时间戳timestamp是否在本地已登记的时间戳列表L中;若是,则进行步骤311 ;否则,进行步骤312 ; 步骤311:丢弃所述复合安全报文SM,不返回任何数据; 步骤312:根据终端侧预置的公钥PubK验证签名数据是否有效,即ret =verify (signature, PubK),ret = 0 ?若是,进行步骤 314 ;否则,进行步骤 313 ; 步骤313:丢弃所述复合安全报文SM,不返回任何数据; 步骤314:终端侧处理原始报文M,观察处理结果是否正常;若正常,进行步骤316,否则,进行步骤315 ; 步骤315:返回处理异常报文; 步骤316:终端侧将关键通信报文时间戳timestamp登记到时间戳列表L中; 步骤317:返回处理正常报文。 与现有技术比,本专利技术达到的有益效果是: 1-本专利技术依据通信系统的特殊性,深入分析了可能遇到的普遍的和特别的多种攻击形式,设计了针对性的安全措施,可以有效保证通信安全和抵御攻击。 2-本专利技术在深入分析原通信系统的特殊性的基础上设计的安全增强方案,不但可以有效增强通信安全,同时保证了通信效率几乎不受影响。 3-本专利技术在同时具有兼容性强的特点,非常适合大面积终端协议改造过程中,需要兼容新老协议、新老终端的情况。 4-本专利技术的设计由于采用的单向认证这种不对称得方案,主站侧需要增加加密卡、加密芯片和加密机等密码相关硬件,而终端可以纯软件实现。由于主站数量不多而且密码产品价格不贵,而终端改造若用软件实现代价更低,所以本专利技术的实施经济效益突出,代价低而效益高,可以说是物美价廉。 【附图说明】 图1是本专利技术提供的通信前准备阶段的密钥预置流程图; 图2是本专利技术提供的主站侧生成报文的流程图; 图3是本专利技术提供的终端侧处理安全报文的流程图; 图4是本专利技术提供的工业控制系统中增强通信安全性的方法的流程图。 【具体实施方式】 下面结合附图对本专利技术的【具体实施方式】作进一步的详细说明。 定义如下术语: 椭圆曲线签名函数Sign(tosign, Prik)->signature是椭圆曲线签名函数函数,输入tosign是待签名数据,PriK是私钥,输出signature为签名; 椭圆曲线验签函数verify (sign, Pubk)->0/err是椭圆曲线验签函数函数,输入sign是签名,PubK是公钥钥,输出O表示为签名正确,其他表示错误; a I I b:将子符串b拼接在子符串a后面。 本专利技术要解决的一个技术问题是提供,这种工业控制系统中的通信具有终端侧计算能力弱、终端侧的时间来源于主站端、通信信道不可靠、关键通信频率较低但要求实时性和高安全性等特点。针对这些特点,本专利技术设计了一种单向、只针对重要通信报文,采用深度优化的椭圆曲线公钥算法、采用后缀式设计、采用关键通信登记机制和时间戳本文档来自技高网...
一种工业控制系统中增强通信安全性的方法

【技术保护点】
一种提高工业控制系统通信安全性的方法,其特征在于,所述工业控制系统包括相互通信的主站侧和终端侧,所述方法通过下述三个阶段进行实施:(1)通信前准备阶段;(2)主站侧发送阶段;(3)终端侧接收、处理和回复阶段。

【技术特征摘要】
1.一种提高工业控制系统通信安全性的方法,其特征在于,所述工业控制系统包括相互通信的主站侧和终端侧,所述方法通过下述三个阶段进行实施: (1)通信前准备阶段; (2)主站侧发送阶段; (3)终端侧接收、处理和回复阶段。2.如权利要求1所述的方法,其特征在于,所述(I)的通信前准备阶段包括下述步骤: 步骤102:主站侧根据国家密码管理局21号公告公开的SM2椭圆曲线公钥密码算法生成椭圆曲线密码算法密钥对,包括私钥PriK和公钥PubK ; 步骤104:主站侧预置椭圆曲线密码算法的密钥对,包括私钥PriK和公钥PubK ;其中的私钥PriK要由加密卡、加密芯片或加密机来存放预置; 步骤106:终端侧预置主站侧的公钥PubK。3.如权利要求1所述的方法,其特征在于,所述(2)的主站侧发送阶段包括下述步骤: 步骤202:主站侧生成待保护的、原始的关键通信报文,所述关键通信报文为原始报文 M ; 步骤204:主站侧在原始报文M之后填充本地时间戳MI I timestamp ; 步骤206:主站侧在时间戳后填充由主站侧预置的私钥PriK对原始报文M到时间戳这段数据的签名数据 signature = Sign (M timestamp, PriK); 步骤208:主站侧在签名数据之后填充安全报文结束标志字节end,形成的复合安全报文 SM (Signature I |end); 步骤210:主站侧发出复合安全报文SM到终端侧。4.如权利要求3所述的方法,其特征在于,所述步骤202中,关键通信报文为工业控制系统通信协议中的控制报文;所述步骤206中,对通信中...

【专利技术属性】
技术研发人员:张波高昆仑郑晓崑李凌赵保华梁潇赵婷
申请(专利权)人:国家电网公司中国电力科学研究院
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1