CN100349448C - 工业控制网络安全管理***与安全处理方法 - Google Patents
工业控制网络安全管理***与安全处理方法 Download PDFInfo
- Publication number
- CN100349448C CN100349448C CNB2005100573396A CN200510057339A CN100349448C CN 100349448 C CN100349448 C CN 100349448C CN B2005100573396 A CNB2005100573396 A CN B2005100573396A CN 200510057339 A CN200510057339 A CN 200510057339A CN 100349448 C CN100349448 C CN 100349448C
- Authority
- CN
- China
- Prior art keywords
- epa
- message
- industrial control
- control network
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明针对工业控制网络的异构性、分布性、实时性和资源与运算能力有限性的特点,提出EPA网络安全管理实体与安全处理方法,根据EPA网络的层次结构,提出分层分级安全策略,根据EPA网络所处的网络环境构建相应的EPA网络安全管理***,通过EPA网络安全应用管理实体、EPA报文控制管理实体、IP报文控制管理实体、EPA安全管理信息库来实施不同的安全措施,安全措施包括:EPA密钥的产生与管理方法、EPA设备鉴别、EPA报文校验、EPA报文加密、EPA访问授权、EPA报文过滤等。在满足工业控制网络性能要求的前提下确保过程控制参数的保密性和完整性,以有效解决EPA控制网络内部资源与数据通信的安全性问题,保障***正常的运行。
Description
技术领域
本发明涉及一种适用于工业控制网络的安全技术,特别涉及工业控制网络的安全体系结构、安全控制算法及安全管理实体。
背景技术
工业控制网络EPA作为一个开放***可能受到入侵、毁坏或重放等恶意或非恶意的威胁,带来了控制网路的安全问题,如病毒、信息泄漏和篡改、***不能使用等等。为此,必须采取必要的安全措施和工具,以保证EPA***在开放的环境中能够安全地运行,保护内部的***、资源和正常的生产秩序。而由于传感器、执行器和控制器等工业现场网络设备实时性、可靠性、稳定性要求高,而计算资源和计算能力又非常有限,如何保证EPA等工业控制网络的安全,就成为当前急需解决的问题。
发明内容
本发明针对工业控制网络的异构性、分布性、实时性和资源与运算能力有限性的特点,提出适应EPA网络的安全体系结构、分类安全策略、EPA报文控制管理协议、IP报文控制管理协议与EPA设备鉴别、EPA报文校验、EPA报文加密、EPA访问授权等安全控制算法以及安全管理实体的结构与实现方法,在满足工业控制网络性能要求的前提下确保过程控制参数的保密性和完整性,以有效解决EPA控制网络实时性要求高、设备内部资源短缺与数据通信安全性之间的问题,以保障***正常的运行,或在收到攻击时能够迅速地发现并采取相应的安全措施,使***的安全损失减少到最小,并在受到攻击后能够迅速地恢复。
本发明所采用的技术方案是:根据EPA网络的层次结构,构建EPA网络安全管理***,通过EPA网络安全应用管理实体、EPA报文控制管理实体、IP报文控制管理实体、EPA安全管理信息库来实施不同的安全措施。其中,EPA网络安全应用管理实体部分,位于EPA协议的用户层之下,EPA应用层之上,用于对EPA的用户数据进行安全处理之后送到EPA应用实体,对EPA网络应用层的安全措施进行管理,安全措施包括EPA密钥的产生与管理方法、EPA设备鉴别、EPA报文校验、EPA报文加密和EPA访问授权;
EPA报文控制管理实体部分,用于在数据链路层控制EPA报文,包括EPA报文的过滤、非EPA报文的控制;IP报文控制管理实体部分,用于控制通过IT应用协议进入EPA网络的非实时应用进程数据,即控制通过IT应用协议进入EPA网络的非实时应用进程数据,包括IP包过滤、IPSec等;EPA安全管理信息库,作为EPA安全措施与EPA各层协议的接口,存放安全管理***所需的信息,这些信息以对象的形式存在,并且可以对其进行相应的操作处理。
本发明还提出了一种EPA网络安全处理方法,该方法根据EPA网络的层次结构,采用分级安全结构构建EPA网络安全管理***;建立安全管理信息库,存放安全管理***所需的信息;在数据链路层控制工业控制网络报文;控制通过IT应用协议进入工业控制网络的非实时应用进程数据;***在组态之前随机产生一个共用密码表;随机获取密钥或校验码;利用校验码对待发送或接收的用户数据进行校验,得到校验位;对发送方/接收方的报文进行加密/解密;比较发送方发来的参数属性与接收方访问控制列表中的相关参数属性,确定是否对发送方提供服务。
本发明可有效解决EPA控制网络实时性要求高、设备内部资源短缺与数据通信安全性之间的问题,内保证在一个开放的环境中能够安全地操作,保护内部的***、资源和正常的生产秩序,或在收到攻击时能够迅速地发现并采取相应的安全措施,使***的安全损失减少到最小,并在受到攻击后能够迅速地恢复。
附图说明
图1EPA***分层安全结构示意图
图2集成EPA网络安全通信模型的EPA设备
图3EPA网络安全管理实体结构
图4EPA***密钥的产生过程
图5EPA报文校验流程图
图6EPA报文加密解密工作流程图
图7EPA设备鉴别工作流程图
图8访问控制工作流程
图9EPA设备间的安全通信模型
具体实施方式
一、EPA网络分层安全控制***结构
图1所示为EPA***分层安全结构示意图,1)EPA监控层防火墙是外部网络(含企业管理网络)访问EPA控制网络的安全接口设备,对EPA***实施边界保护。
2)EPA安全网桥是连接过程监控层与现场设备层之间的安全接口设备,对现场设备层实施边界保护,有的EPA安全网桥还具备协议转换功能,EPA安全网桥可放在现场设备层L1网段上的EPA网桥、EPA交换机或EPA集线器中。
3)EPA安全网桥作为过程监控层与现场设备层之间的接口具有双重性质,对过程监控层L2网段,EPA网桥是过程监控设备;对现场设备层L1网段,EPA网桥是现场设备。
EPA***安全结构采用分级安全结构。它由过程监控层L2和现场设备层L1两个网段组成,其中,现场设备层L1网段用于工业生产现场的各种现场设备(如变送器、执行机构、分析仪器等)之间以及现场设备与L2网段之间的连接;过程监控层L2网段主要用于控制室仪表、装置以及人机接口之间的连接。根据EPA网络的拓扑结构及其特点,结合过程监控层L2网段和现场设备层L1网段与外界通信的紧密程度。通过EPA过程监控层防火墙防止外部网络的安全威胁,并根据EPA***的网络环境选择过程监控层设备中的安全措施;通过EPA安全网桥防止现场设备级以外的安全威胁,并根据访问现场设备的途径设置现场设备中的安全措施。
二、EPA网络分层分级安全方法
根据EPA网络的不同运行环境,***面临不同的安全威胁和具有不同的安全等级要求,分别针对EPA网络分层结构中的L1网段及L2网段采取不同的安全机制,实施如表1所示的不同边界保护方案和设备间的通信安全措施。由于传感器、执行器和控制器等现场设备层L1网段上的设备实时性、可靠性、稳定性要求高,而计算资源和计算能力又非常有限,故更多地强调边界安全措施,而除允许公共网络访问现场层的情况外,在L1网段上通信安全采用计算资源要求少、计算速度快,而且简单实用的安全措施。
表1 EPA网络分层分级安全方法
| EPA网络安全等级 | Lever 0 | Lever 1 | Lever 2 | Lever 3 | |
| EPA网络运行环境 | 独立的EPA网络 | 允许管理网络访问监控层 | 允许公共网络访问监控层 | 允许公共网络访问现场层 | |
| 过程监控层L2网段的安全机制 | 边界保护 | 无 | 包过滤防火墙 | 状态防火墙 | 应用级防火墙 |
| 过程监控层L2网段设备间的通信安全措施 | 设备鉴别 | 设备鉴别、访问控制、报文校验、异或加密 | 设备鉴别、访问控制、报文校验、AES加密 | 设备鉴别、访问控制、报文校验、AES加密、IPSec | |
| 现场设备层L1网段的安全机制 | 边界保护 | EPA包过滤网桥 | EPA包过滤网桥 | 协议转换与数据包过滤网桥 | IPSec转换与数据包过滤网桥 |
| 现场设备层L1网段的通信安全措施 | 设备鉴别 | 设备鉴别 | 设备鉴别、访问控制、报文校验 | 设备鉴别、访问控制、报文校验、AES加密 | |
三、EPA网络安全通信模型
如图2所示,每个EPA设备由至少一个功能块实例、EPA网络安全应用管理实体、EPA应用实体、EPA***管理实体、EPA套接字映射实体、EPA链接对象、通信调度管理实体以及UDP/IP协议等几个部分组成。根据EPA网络的层次结构,建立EPA网络安全通信模型,模型中除IT安全协议组件(如IPSec、SSL、VLAN)、IT应用协议组件外,还包括以下几个主要部分:
EPA网络安全应用管理实体
EPA报文控制管理实体
IP报文控制管理实体
EPA安全管理信息库
EPA网络安全通信模型中的安全管理信息库是EPA各安全管理实体与EPA各层协议的接口,存放安全管理***所需的信息;EPA网络安全应用管理实***于EPA网络中用户层之下,EPA应用层之上,用于对EPA的用户数据进行安全处理之后送到EPA应用实体,确保EPA网络应用层的安全;EPA报文控制管理实体,用于在数据链路层控制EPA报文;IP报文控制管理实体(包括:ARP、RARP、ICMP、IGMP)用于控制通过IT应用协议进入EPA网络的非实时应用进程数据。
1、EPA网络安全应用管理实体
EPA网络安全应用管理实***于EPA协议用户层之下,EPA协议应用层之上,用于对EPA的用户数据进行安全处理之后送到EPA应用实体,对EPA网络应用层的安全措施进行管理。
如图3所示为EPA网络安全应用管理实体结构示意图,EPA网络安全应用管理实体由EPA设备鉴别部分、EPA报文校验部分、EPA报文加密部分和EPA访问授权四部分组成。
EPA网络安全应用管理实体用于对EPA的用户数据进行安全处理之后送到EPA应用实体,再通过EPA套接字映射实体传送给TCP/IP协议,确保EPA网络应用层的安全;EPA网络安全应用管理实体对EPA网络应用层的安全措施进行管理,安全措施包括EPA设备鉴别、EPA报文校验、EPA报文加密和EPA访问授权;其中EPA设备鉴别是最基本的安全措施,安全强度以EPA访问授权、EPA报文校验、EPA报文加密的顺序逐渐高。
2、EPA报文控制管理实体
EPA报文控制管理实体用于在数据链路层控制EPA报文,包括EPA报文的过滤、非EPA报文的控制。通过安全管理信息库实现EPA报文控制与管理。如过滤EPA报文:通过EPA标识(0x88BC)过滤EPA报文,即若报文帧格式中长度/类型(LENGTH/TYPE)字段为EPA标识值(0x88BC),则接收该报文;否则丢弃或作其它处理。
3、IP报文控制管理实体
IP报文控制管理实体用于控制通过IT应用协议进入EPA网络的非实时应用进程数据,IP报文控制措施包括:IP包过滤、IPSec等。通过安全管理信息库实现IP报文的控制与管理,如过滤授权数据包,预先根据授权用户访问的IP地址、端口号建立数据包过滤规则表,当收到报文时,解析数据包头,并与包过滤规则表进行匹配,如果不匹配则拒绝这些数据包;否则接受这些数据包。
4、安全管理信息库
本发明的EPA网络安全通信模型建立有EPA安全管理信息库(表2)作为EPA安全措施与EPA各层协议的接口,实现对EPA网络的安全保护。安全管理信息库属于EPA管理信息库的一部分,存放了安全管理实体所需的信息,这些信息以对象的形式存在,并且可以对其进行相应的操作处理。通过安全管理信息库用户还可以自定义其它安全措施,可方便地扩充其它安全措施。
表2 EPA管理信息库
| EPA对象 | 对象ObjectID | 说明 |
| EPA MIB Header | 1 | EPA设备管理信息库的首部对象 |
| EPA Device Descriptor | 2 | EPA设备描述对象 |
| Clock Synchronization | 3 | 时间同步对象 |
| Max Response Time | 4 | 证实服务最大响应时间 |
| Communication Schedule Management | 5 | 通信调度管理对象 |
| Device Appl ication information | 6 | 设备应用信息对象 |
| FB Application information Header | 7 | 功能块应用信息对象首部 |
| Link Object Header | 8 | 链接对象首部 |
| Domain Application Object Header | 9 | 域应用对象首部 |
| Security Management Object Header | 10 | 安全管理对象首部 |
| ...... | ||
| FB Application information 1 | 2000 | 功能块应用信息对象1 |
| FB Application information 2 | 2001 | 功能块应用信息对象2 |
| ...... | 以下依次递增 | |
| Domain Application Object 1 | 4000 | 域应用对象1 |
| Domain Application Object 2 | 4001 | 域应用对象2 |
| ...... | 以下依次递增 | |
| Link Object 1 | 5000 | 链接对象1 |
| Link Object 2 | 5001 | 链接对象2 |
| ...... | 以下依次递增 | |
| Security Management Object1 | 6000 | 安全管理对象1 |
| Security Management Object2 | 6001 | 安全管理对象2 |
| ...... | 以下依次递增 |
所有的EPA网络安全管理对象都放在EPA管理信息库中,为了便于对网络安全管理对象的维护,在管理信息库中加入一个安全管理对象来描述网络安全管理对象的所有信息,包括安全管理对象的数目、实例化的安全管理对象数目、第一个安全管理对象在管理信息库中的索引号,以下编码表就是定义EPA安全措施与EPA各层协议的接口及在管理信息库中的数据结构。
表3安全管理信息首部对象编码表:
| 序号 | 属性名 | 读写属性 | 数据类型 | 编码位置偏离(单位:字节) | 字节长度 | 说明 |
| 1 | Object ID | 只读 | Unsigned16 | 0 | 2 | 该对象在管理信息库中的索引 |
| 2 | SMIB ResivionNumber | 只读 | Unsigned16 | 2 | 2 | 修改版本号 |
| 3 | Number of SecurityMeasurement | 只读 | Unsigned16 | 4 | 2 | 应用了安全对象个数 |
| 4 | Total Number of | 只读 | Unsigned16 | 6 | 2 | 实例化的安全措施总的 |
| SecurityManagement | 个数 | |||||
| 5 | First Number ofSecurityManagement Object | 只读 | Unsigned16 | 8 | 2 | 第一个安全管理对象的索引号 |
表4密钥管理对象编码表:
| 序号 | 属性名 | 读写属性 | 数据类型 | 编码位置偏离(单位:字节) | 字节长度 | 说明 |
| 1 | Object ID | 只读 | Unsigned16 | 0 | 2 | 密钥管理对象在管理信息库中的索引 |
| 2 | Version Number | 只读 | Unsigned16 | 2 | 2 | 密钥管理的版本号 |
| 3 | TimeLimit | 只读 | Unsigned16 | 4 | 2 | 密钥的有效时间 |
| 4 | Create Mode | 只读 | Unsigned8 | 6 | 1 | 密钥的产生方式0——用户设定;1—— 随机生成;2——从密钥管理中心分配 |
| 5 | KeyLength | 只读 | Unsigned32 | 7 | 4 | 密钥长度 |
| 6 | CryptoAlgorithmID | 只读 | Unsigned16 | 11 | 2 | 对应密码算法对象在管理信息库中的索引位置 |
| 7 | Reserved | 只读 | Unsigned16 | 13 | 2 | 保留字段 |
表5密码算法对象编码表:
| 序号 | 属性名 | 读写属性 | 数据类型 | 编码位置偏离 | 字节 | 说明 |
| (单位:字节) | 长度 | |||||
| 1 | Object ID | 只读 | Unsigned16 | 0 | 2 | 密钥管理对象在管理信息库中的索引 |
| 2 | Version Number | 只读 | Unsigned16 | 2 | 2 | 密钥管理的版本号 |
| 3 | Crypto Mode | 只读 | Unsigned8 | 4 | 1 | 密码算法类型,0——数据加密;1——设备鉴别;2——数据完整性; |
| 4 | Algorithm Module | 只读 | Unsigned32 | 5 | 4 | 密码算法模块 |
| 5 | Key ID index | 只读 | Unsigned16 | 9 | 2 | 对应密钥管理对象在管理信息库中的索引位置 |
| 6 | Reserved | 只读 | Unsigned16 | 11 | 2 | 保留字段 |
表6访问控制对象编码表
| 序号 | 属性名 | 读写属性 | 数据类型 | 编码位置偏离(单位:字节) | 字节长度 | 说明 |
| 1 | Object ID | 只读 | Unsigned16 | 0 | 2 | 访问控制对象在管理信息库中的索引 |
| 2 | Version Number | 只读 | Unsigned16 | 2 | 2 | 访问控制的版本号 |
| 6 | AccessControlMode | 只读 | Unsigned8 | 4 | 1 | 访问控制类型;0—网络访问控制;1—数据访问控制; |
| 8 | Access ControlList | 只读 | Unsigned32 | 5 | 4 | 访问控制列表 |
| 9 | Reserved | 只读 | Unsigned16 | 9 | 2 | 保留字段 |
表7安全协议管理对象编码表:
| 序号 | 属性名 | 读写属性 | 数据类型 | 编码位置偏离(单位:字节) | 字节长度 | 说明 |
| 1 | Object ID | 只读 | Unsigned16 | 0 | 2 | 访问控制对象在管理信息库中的索引 |
| 2 | Version Number | 只读 | Unsigned16 | 2 | 2 | 协议管理的版本号 |
| 3 | Link Time Limit | 只读 | Unsigned16 | 4 | 2 | 连接的时间期限 |
| 4 | Run Mode | 只读 | Unsigned8 | 6 | 1 | 运行模式 |
| 5 | Link Mode | 只读 | Unsigned8 | 7 | 1 | 连接模式 |
| 6 | Authentication Mode | 只读 | Unsigned8 | 8 | 1 | 认证模式 |
| 7 | CryptoAlgorithmID | 只读 | Unsigned16 | 9 | 2 | 对应密码算法对象在管理信息库中的索引位置 |
| 8 | Key ID index | 只读 | Unsigned16 | 11 | 2 | 对应密钥管理对象在管理信息库中的索引位置 |
| 9 | Protocol Type | 只读 | Uns igned8 | 13 | 1 | 安全协议类型 |
| 10 | Reserved | 只读 | Unsigned16 | 14 | 2 | 保留字段 |
本发明通过EPA网络安全应用管理实体、EPA报文控制管理实体、IP报文控制管理实体、EPA安全管理信息库来实施不同的安全措施,对EPA网络应用层的安全措施进行管理,安全措施包括EPA密钥的产生与管理、EPA设备鉴别、EPA报文校验、EPA报文加密和EPA访问授权。
1.EPA密钥的产生与管理
1)密码表的生成与管理
***在组态之前随机产生一个8*8字节的密钥表chart[8][8],密码表一旦产生整个***都共用该密码表,如要改变密码表,则***的所有设备必须同时变更密码表,以保证整个***的密码表相同。
2)密钥(或校验码)的产生
EPA***密钥(或校验码)的产生过程如图4所示。
根据设备中的8*8字节密钥表chart[8][8],通过线性同余算法生成20个行列数x[20],线性同余算法为:
x[n+1]=(a*x[n]+b+Timestamp)mod 8
其中加密时Timestamp为***时间,该时间同时也是随报文发送的时间戳;解密时Timestamp为从报文获得的时间戳,a、b为任意设定值。
然后从x[n]中获取n1=Timestamp mod 20、n2=(Timestamp+3)mod 20为密钥索引,在密码表中取chart[x[n1]][]行,chart[][x[n2]]列,然后把取出来的行列组成一长度为16字节的数组-Epa_Key[16],这即是生成的密钥(也即校验码)。
2.EPA报文校验
EPA报文校验过程如图5所示。发送端按上述所述方法得到校验码,利用该校验码对用户层交付的协议数据单元(PDU)进行校验(异或处理)得到校验位;然后,将用户数据、校验位与时间戳作为报文体加在安全报文头之后交应用实体发送。
接收端对安全报文头中的时间戳按上述所述方法处理得到校验码,运用此校验码与接收到的用户数据进行校验(异或处理),得到校验位。将此校验位与接收报文中的校验位进行比较,若完全相同则说明数据未被篡改或破坏,确定该报文合法并接受数据包。否则丢弃该数据包,并根据EPA服务标识(SeviceID)决定是否返回负响应。
3.EPA报文加密
EPA报文加密过程如图6所示。发送方按上述第1部分中所述的方法得到加密密钥(EPAKey),通过异或算法或者AES算法对报文加密,然后,将加密后的用户数据作为报文体加在安全报文头之后交应用实体发送。
接收端对安全报文头中的时间戳按上述第1部分中所述的方法处理得到解密密钥(EPAKey),运用该密钥(EPAKey)对接收到的用户报文进行异或算法或者AES算法解密,得到解密后的用户数据,并将数据上传用户层。
4.EPA设备鉴别
设备鉴别是利用设备的设备标识符(Device ID)、设备物理位号(PD Tag)和设备冗余号(Redundancy Number)等关键字标识EPA授权设备,通过鉴别机制判断该设备的合法性,从而保证EPA设备在EPA网络中进行安全操作。EPA设备鉴别工作流程图如图7所示。
①EPA设备鉴别算法:利用EPA设备的设备标识符(Device ID)、设备物理位号(PD Tag)和设备冗余号(Redundancy Number)三个关键字鉴别EPA设备,通过鉴别机制判断该设备的合法性。
发送方得到加密密钥EPAKey后,利用该加密密钥对设备识别属性中的设备标识符(Device ID)、设备物理位号(PD Tag)和设备冗余号(RedundancyNumber)的值进行异或加密,将加密后的密文作为鉴别码存放在设备鉴别服务报文中,随设备鉴别服务报文一起发送。接收端对安全报文头中的时间戳处理得到解密密钥EPAKey,运用该密钥对接收到的用户报文中的校验码进行异或算法解密,得到解密后的鉴别码,将解密后的鉴别码与设备管理信息库中的设备标识符、设备物理位号和设备冗余号进行比较,若相同则该设备通过鉴别,可进行后续操作;否则丢弃该数据包,并将设备标识符、设备物理位号和设备冗余号标识的设备定义为不可信。
②未组态设备或需要重新组态设备启动时的鉴别:
a)对于未组态的设备或需要重新组态的设备在进行组态之前需要先获得密码表,该密码表应与用户组态程序中的密码表相同;
b)EPA设备上电后,如没有IP地址,将通过动态主机组态协议(DHCP)获取一个动态IP地址,EPA设备得到一个IP地址后,启动EPA通信栈;
c)EPA设备在***中通过EPA设备声明(EM_DeviceAnnunciation)服务周期性重复广播一个无证实的设备声明请求原语报文和无证实的设备鉴别服务请求报文,在缺省情况下,EPA设备定时重播一次,直到接收到启动组态信息;
d)用户组态程序收到EPA设备的声明并通过设备鉴别后,向该设备发送启动组态信息,如用户组态程序发现该EPA设备的设备物理位号为空,则调用设置EPA设备属性(EM_SetDeviceAttribute)服务向该EPA设备发送设备属性设置请求,对包括设备位号、声明报文重复发送周期,设备冗余号、冗余状态、冗余端口号等设备属性进行设置;如用户组态程序发现该EPA设备的设备物理位号为非空,则需要重新组态该EPA设备,首先使用清除EPA设备属***向该设备发送设置属性清除请求报文,EPA设备状态改为未组态(Unconfigured)状态,随后,组态程序才可以调用设置EPA设备属***向该EPA设备发送设备属性设置请求;
e)EPA设备接收到启动组态信息后,对本地EPA设备的组态信息进行修改,用接收到的启动组态报文中的数据更新本地数据,如设备位号、设置声明重复发送周期,设备冗余号、冗余状态、冗余端口号等;
f)EPA设备进入可操作状态;
③已组态设备启动时的鉴别,
a)EPA设备上电后,如没有IP地址,将通过动态主机组态协议(DHCP)获取一个动态IP地址,EPA设备得到一个IP地址后,启动EPA通信栈;
b)EPA设备在***中通过EPA设备声明(EM_DeviceAnnunciation)服务周期性重复广播一个无证实的设备声明请求原语报文和无证实的设备鉴别服务请求报文。在缺省情况下,EPA设备每15秒重播一次,直到接收到可操作信息,进入可操作状态。
5、EPA访问授权
首先建立访问控制列表,该访问控制列表中的参数及含义如下表所示。
| 访问控制表参数 | 参数含义 |
| SourceIP | 源设备IP地址 |
| SourceAppID | 源功能块实例标识 |
| SourceObjectID | 源参数对象索引 |
| DestinationIP | 目的设备IP地址 |
| DestinationAppID | 目的功能块实例标识 |
| DestinationObjectID | 目的参数对象索引 |
| Password | 定口令,参见EPA标准通信模型规范中域ASE、事件ASE和变量 |
| ASE的Password. | |
| Access Groups | 在特定的存取组中的对象成员。如果相关的位被设置,则对象是存取组的成员,参见EPA标准通信模型规范中域ASE、事件ASE和变量的Access Groups |
| Access Rights | 存取对象的权。如果相关位被设置,则对应的存取权被许可,参见EPA标准通信模型规范中域ASE、事件ASE和变量的Access Rights. |
EPA访问授权工作流程如图8所示。发送方在用户协议数据单元报文体(PDUBody)后添加经过异或加密的存取权规定口令(Password)、特定的存取组中的对象成员(AccessGroups)、存取对象的权限(AccessRights)三个字段形成安全协议数据单元报文体(SPDU Body),发送给EPA应用实体。接收方接收到EPA应用实体传送的SPDU之后,经异或处理首先解密PDU Body后的存取权规定口令、特定的存取组中的对象成员、存取对象的权限三个字段,然后查找访问控制列表,判断由发送方发来的上述三个字段与访问控制列表中的这三个字段属性是否一致,如果一致,执行EPA服务标识(SeviceID)标识的服务,并根据EPA服务标识返回正响应;否则丢弃该数据包,并根据EPA服务标识决定是否返回负响应。
EPA设备间的安全通信过程如图9所示。通信发起方:EPA网络安全管理部分接收到用户层协议数据单元报文(PDU)后,根据选用的安全应用实体服务和EPA服务标识(ServiceID)所代表的服务性质处理PDU报文并打包成安全协议数据单元报文(SPDU),然后下传到应用层实体,应用层实体依据指定的服务将报文发送给接收方。
通信接收方:EPA应用实体接收到报文并处理完毕后,将处理后的报文传送给安全应用实体,安全应用实体依据相应安全服务对接收到的报文进行处理,报文的处理分两种情况。
--通过安全应用实体报文提交给用户层,用户层根据所调用的应用实体EPA服务标识,判断是否作出响应,对于证实服务,则返回用户层的正或负响应,如果是非证实服务则无需返回任何信息;
--未通过安全应用实体报文则根据所调用的应用实体EPA服务标识,判断是否作出响应,对于证实服务,则作出未通过安全应用实体检查的负响应,如果是非证实服务则无需返回任何信息。
Claims (6)
1、一种工业控制网络安全管理***,其***结构包括:过程监控层和现场设备层,各种现场设备之间以及现场设备与过程监控层之间通过现场设备层连接,在现场设备层和过程监控层分别使用安全机制,其特征在于,该工业控制网络安全管理***包括:
工业控制网络安全应用管理部分,位于工业控制网络的用户层之下,应用层之上,包括:判断设备合法性的设备鉴别部分、对用户数据进行校验的报文校验部分、对报文进行加密/解密的报文加密部分、确定是否对工业控制网络设备提供服务的访问授权部分;
工业控制网络报文控制管理部分,用于在数据链路层控制工业控制网络报文,包括工业控制网络报文的过滤、非工业控制网络报文的控制;
IP报文控制管理部分,用于控制通过IT应用协议进入工业控制网络的非实时应用进程数据;
工业控制网络安全管理信息库,作为工业控制网络安全措施与工业控制网络各层协议的接口,存放安全管理***所需的信息。
2、根据权利要求1所述的工业控制网络安全管理***,其特征在于,所述工业控制网络安全管理信息库中的信息以对象的形式存在。
3、根据权利要求1所述的工业控制网络安全管理***,其特征在于,访问授权部分比较发送方发来的参数属性与访问控制列表中的参数属性,如果一致则执行服务标识所标识的服务。
4、工业控制网络安全处理方法,将工业控制网络***结构划分为过程监控层和现场设备层两个网段,采用分级安全结构构建工业控制网络安全管理***,在现场设备层和过程监控层分别使用安全机制,其特征在于,建立安全管理信息库,存放安全管理***所需的信息;在数据链路层控制工业控制网络报文;控制通过IT应用协议进入工业控制网络的非实时应用进程数据;***在组态之前随机产生一个共用密码表;随机获取密钥或校验码;利用校验码对待发送或接收的用户数据进行校验,得到校验位;对发送方/接收方的报文进行加密/解密;比较发送方发来的参数属性与接收方访问控制列表中的相关参数属性,如果一致则执行服务标识所标识的服务。
5、根据权利要求4所述的工业控制网络安全处理方法,其特征在于,所述密码表不在网上传输。
6、根据权利要求4所述的工业控制网络安全处理方法,其特征在于,所述密钥或校验码利用获取的***时间或时间戳进行线性同余算法随机获取。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100573396A CN100349448C (zh) | 2005-10-21 | 2005-10-21 | 工业控制网络安全管理***与安全处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100573396A CN100349448C (zh) | 2005-10-21 | 2005-10-21 | 工业控制网络安全管理***与安全处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1750534A CN1750534A (zh) | 2006-03-22 |
| CN100349448C true CN100349448C (zh) | 2007-11-14 |
Family
ID=36605795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100573396A Expired - Fee Related CN100349448C (zh) | 2005-10-21 | 2005-10-21 | 工业控制网络安全管理***与安全处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100349448C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094056B (zh) * | 2007-05-30 | 2011-05-11 | 重庆邮电大学 | 无线工业控制网络安全***及安全策略实现方法 |
| CN101159718B (zh) * | 2007-08-03 | 2010-06-16 | 重庆邮电大学 | 嵌入式工业以太网安全网关 |
| US7899849B2 (en) * | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
| CN101572702B (zh) * | 2009-05-27 | 2012-07-25 | 大连理工计算机控制工程有限公司 | 高速总线主从网络通信调度方法 |
| CN101582895B (zh) * | 2009-06-18 | 2012-07-04 | 重庆邮电大学 | 基于epa的嵌入式工业无线wia-pa网关 |
| CN102377740A (zh) * | 2010-08-12 | 2012-03-14 | 西门子公司 | 一种工业访问控制方法及装置 |
| CN111741034B (zh) * | 2020-08-27 | 2020-12-22 | 北京安帝科技有限公司 | 数据传输方法、第一终端和第二终端 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6304975B1 (en) * | 1996-10-07 | 2001-10-16 | Peter M. Shipley | Intelligent network security device and method |
| WO2002015463A1 (en) * | 2000-08-15 | 2002-02-21 | Polycom Israel Ltd. | A multimedia communication control unit as a secure device for multimedia communication between lan users and other network users |
| US20040039944A1 (en) * | 2002-07-08 | 2004-02-26 | Teiji Karasaki | System and method for secure wall |
| CN2618377Y (zh) * | 2003-05-09 | 2004-05-26 | 上海浦东国际集装箱码头有限公司 | 港口电子商务信息网络装置 |
| CN1553285A (zh) * | 2003-06-02 | 2004-12-08 | 浙江中控技术股份有限公司 | 一种网络隔离型工业现场控制控制器及其实现方法 |
-
2005
- 2005-10-21 CN CNB2005100573396A patent/CN100349448C/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6304975B1 (en) * | 1996-10-07 | 2001-10-16 | Peter M. Shipley | Intelligent network security device and method |
| WO2002015463A1 (en) * | 2000-08-15 | 2002-02-21 | Polycom Israel Ltd. | A multimedia communication control unit as a secure device for multimedia communication between lan users and other network users |
| US20040039944A1 (en) * | 2002-07-08 | 2004-02-26 | Teiji Karasaki | System and method for secure wall |
| CN2618377Y (zh) * | 2003-05-09 | 2004-05-26 | 上海浦东国际集装箱码头有限公司 | 港口电子商务信息网络装置 |
| CN1553285A (zh) * | 2003-06-02 | 2004-12-08 | 浙江中控技术股份有限公司 | 一种网络隔离型工业现场控制控制器及其实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于WinCE的EPA通信服务的实现 张聪 等.计算机工程,第31卷第7期 2005 * |
| 论六种实时以太网的通信协议 缪学勤.自动化仪表,第26卷第4期 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1750534A (zh) | 2006-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入*** | |
| WO2021203733A1 (zh) | 电力边缘网关设备及基于该设备的传感数据上链存储方法 | |
| Finogeev et al. | Information attacks and security in wireless sensor networks of industrial SCADA systems | |
| CN101094056B (zh) | 无线工业控制网络安全***及安全策略实现方法 | |
| CN101159718B (zh) | 嵌入式工业以太网安全网关 | |
| Choi et al. | Advanced key-management architecture for secure SCADA communications | |
| US8082574B2 (en) | Enforcing security groups in network of data processors | |
| CN111092717B (zh) | 智能家居环境下基于组认证安全可靠的通信方法 | |
| CN100349448C (zh) | 工业控制网络安全管理***与安全处理方法 | |
| CN102065016B (zh) | 报文发送和接收方法及装置、报文处理方法及*** | |
| CN102710605A (zh) | 一种云制造环境下的信息安全管控方法 | |
| Beaver et al. | Key management for SCADA | |
| CN111770092B (zh) | 一种数控***网络安全架构和安全通信方法及*** | |
| CN104219217A (zh) | 安全关联协商方法、设备和*** | |
| CN111447067A (zh) | 一种电力传感设备加密认证方法 | |
| CN101420686A (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
| CN115549932B (zh) | 一种面向海量异构物联网终端的安全接入***及接入方法 | |
| CN112804356B (zh) | 一种基于区块链的联网设备监管认证方法及*** | |
| CN111447283A (zh) | 一种用于实现配电站房***信息安全的方法 | |
| CN110855707A (zh) | 物联网通信管道安全控制***和方法 | |
| CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及*** | |
| CN114024698A (zh) | 一种基于国密算法的配电物联网业务安全交互方法及*** | |
| CN102546184A (zh) | 传感网内消息安全传输或密钥分发的方法和*** | |
| Xu et al. | Software defined intelligent building | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071114 Termination date: 20131021 |