CN111464563B - 一种工业控制网络的防护方法及对应的装置 - Google Patents

一种工业控制网络的防护方法及对应的装置 Download PDF

Info

Publication number
CN111464563B
CN111464563B CN202010381893.4A CN202010381893A CN111464563B CN 111464563 B CN111464563 B CN 111464563B CN 202010381893 A CN202010381893 A CN 202010381893A CN 111464563 B CN111464563 B CN 111464563B
Authority
CN
China
Prior art keywords
user
attribute
layer unit
field device
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010381893.4A
Other languages
English (en)
Other versions
CN111464563A (zh
Inventor
娈靛浆
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202010381893.4A priority Critical patent/CN111464563B/zh
Publication of CN111464563A publication Critical patent/CN111464563A/zh
Application granted granted Critical
Publication of CN111464563B publication Critical patent/CN111464563B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种工业控制网络的防护方法及对应的装置,将内网资源定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站,并将防护装置定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站四个部分,实现防护装置与内网资源网络分层的一一对应,可以根据现场设备的状态实时动态调整安全分层,并引入属性加密的技术手段,基于不同用户的属性和属性域,对传输数据进行属性加密,更好地保护不同用户的业务数据。

Description

一种工业控制网络的防护方法及对应的装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种工业控制网络的防护方法及对应的装置。
背景技术
大量现场终端设备自身防护薄弱,所处环境不可控,存在被恶意控制进而威胁主站安全的问题;由于工业控制网络业务对实时性要求高,部分专用网络传输协议存在安全机制不足的问题;工控***设计之初主要关注业务功能,未充分考虑网络安全,存在主站对***网络攻击感知能力不高的问题。现有的网络架构分层并不是从网络安全角度来划分,更多的是从网络传输角度来划分的。
因此,急需一种针对性的安全防护方法和对应的装置。
发明内容
本发明的目的在于提供一种工业控制网络的防护方法及对应的装置,解决现有工业控制网络中缺乏基于网络安全设计的问题,并引入属性加密的技术手段,更好地保护不同用户的业务数据。
第一方面,本申请提供一种工业控制网络的防护方法,所述方法包括:
将工业控制网络资源定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站;
所述现场设备安全层,包括:周期获知工业控制网络内现场设备的工作状态,激活休眠的现场设备,休眠故障的现场设备,将所述休眠的现场设备剔除出现场设备安全层;建立权限名单,保证仅授权用户才能修改现场设备的配置参数;建立现场设备与虚拟主站之间的双向身份鉴别,以及所述虚拟主站对现场设备安全层的监测;在现场设备内配置的硬件加密芯片,在芯片内固化第一加密密钥;
其中,所述周期获知工业控制网络内现场设备的工作状态包括所述现场设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该现场设备故障,休眠该故障的现场设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述现场设备安全层;对传输数据进行基于用户属性加密处理;基于可信根对现场设备、网关型节点设备的配置参数、***引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟主站;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟主站,包括现场设备注册,下发获知现场设备的工作状态的指令,下发休眠故障现场设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥。
结合第一方面,在第一方面第一种可能的实现方式中,所述现场设备安全层、网络中间安全层、业务安全层和虚拟主站部署在同一个装置上。
结合第一方面,在第一方面第二种可能的实现方式中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
结合第一方面,在第一方面第三种可能的实现方式中,所述虚拟主站还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
第二方面,本申请提供一种工业控制网络的装置,所述装置包括:现场设备安全层、网络中间安全层、业务安全层和虚拟主站四个部分,分别对应被定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站的内网资源;
所述现场设备安全层,包括:周期获知工业控制网络内现场设备的工作状态,激活休眠的现场设备,休眠故障的现场设备,将所述休眠的现场设备剔除出现场设备安全层;建立权限名单,保证仅授权用户才能修改现场设备的配置参数;建立现场设备与虚拟主站之间的双向身份鉴别,以及所述虚拟主站对现场设备安全层的监测;在现场设备内配置的硬件加密芯片,在芯片内固化第一加密密钥;
其中,所述周期获知工业控制网络内现场设备的工作状态包括所述现场设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该现场设备故障,休眠该故障的现场设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述现场设备安全层;对传输数据进行基于用户属性加密处理;基于可信根对现场设备、网关型节点设备的配置参数、***引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟主站;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟主站,包括现场设备注册,下发获知现场设备的工作状态的指令,下发休眠故障现场设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥。
结合第二方面,在第二方面第一种可能的实现方式中,所述现场设备安全层、网络中间安全层、业务安全层和虚拟主站部署在同一个装置上。
结合第二方面,在第二方面第二种可能的实现方式中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
结合第二方面,在第二方面第三种可能的实现方式中,所述虚拟主站还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
本发明提供一种工业控制网络的防护方法及对应的装置,将内网资源定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站,并将防护装置定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站四个部分,实现防护装置与内网资源网络分层的一一对应,可以根据现场设备的状态实时动态调整安全分层,并引入属性加密的技术手段,基于不同用户的属性和属性域,对传输数据进行属性加密,更好地保护不同用户的业务数据。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明工业控制网络的防护方法的大致流程图;
图2为本发明工业控制网络的装置的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的工业控制网络的防护方法的大致流程图,所述方法包括:
将工业控制网络资源定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站;
所述现场设备安全层,包括:周期获知工业控制网络内现场设备的工作状态,激活休眠的现场设备,休眠故障的现场设备,将所述休眠的现场设备剔除出现场设备安全层;建立权限名单,保证仅授权用户才能修改现场设备的配置参数;建立现场设备与虚拟主站之间的双向身份鉴别,以及所述虚拟主站对现场设备安全层的监测;在现场设备内配置的硬件加密芯片,在芯片内固化第一加密密钥;
其中,所述周期获知工业控制网络内现场设备的工作状态包括所述现场设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该现场设备故障,休眠该故障的现场设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述现场设备安全层;对传输数据进行基于用户属性加密处理;基于可信根对现场设备、网关型节点设备的配置参数、***引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟主站;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟主站,包括现场设备注册,下发获知现场设备的工作状态的指令,下发休眠故障现场设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥。
在一些优选实施例中,所述现场设备安全层、网络中间安全层、业务安全层和虚拟主站部署在同一个装置上。
所述部署在同一个装置上,可以是一个防火墙,也可以是一个网关设备,还可以是一个安全服务器。
在一些优选实施例中,所述现场设备安全层、网络中间安全层、业务安全层和虚拟主站部署在不同的装置上,装置之间协同工作。
所述部署在不同的装置上,可以是每一个安全层为一个装置,不同装置之间通过专用安全传输协议进行传输。所述专用安全传输协议可以是在通用传输协议的基础上添加特殊的报头,所述报头中携带有字段,用于指示加密算法或密钥。
所述部署在不同的装置上,可以是现场设备安全层、网络中间安全层、业务安全层集成在一个装置上,而虚拟主站部署在一个网络中间装置上,不同装置之间通过专用安全传输协议进行传输。
所述虚拟主站可以不是固定在一个网络中间装置上,可以根据网络中间装置当前的负载情况、业务种类动态调整到其他网络中间装置上。
所述现场设备安全层、网络中间安全层、业务安全层和虚拟主站四个部分,也可以不是固定一种部署方式,可以根据情况动态调整部署。这里所述的情况,可以是网络拥塞、被攻击范围等等因素。
所述被固化在芯片内的第一加密密钥,是指在现场设备的硬件加密芯片内完成第一道数字加密,这里的密钥是固定不变的。
在一些优选实施例中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
在一些优选实施例中,所述虚拟主站还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
图2为本申请提供的工业控制网络的装置的架构图,所述装置包括:现场设备安全层、网络中间安全层、业务安全层和虚拟主站四个部分,分别对应被定义为现场设备安全层、网络中间安全层、业务安全层和虚拟主站的内网资源;
所述现场设备安全层,包括:周期获知工业控制网络内现场设备的工作状态,激活休眠的现场设备,休眠故障的现场设备,将所述休眠的现场设备剔除出现场设备安全层;建立权限名单,保证仅授权用户才能修改现场设备的配置参数;建立现场设备与虚拟主站之间的双向身份鉴别,以及所述虚拟主站对现场设备安全层的监测;在现场设备内配置的硬件加密芯片,在芯片内固化第一加密密钥;
其中,所述周期获知工业控制网络内现场设备的工作状态包括所述现场设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该现场设备故障,休眠该故障的现场设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述现场设备安全层;对传输数据进行基于用户属性加密处理;基于可信根对现场设备、网关型节点设备的配置参数、***引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟主站;
所述业务安全层,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟主站,包括现场设备注册,下发获知现场设备的工作状态的指令,下发休眠故障现场设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥。
在一些优选实施例中,所述现场设备安全层、网络中间安全层、业务安全层和虚拟主站部署在同一个装置上。
在一些优选实施例中,所述现场设备安全层、网络中间安全层、业务安全层和虚拟主站部署在不同的装置上,装置之间协同工作。
在一些优选实施例中,所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
在一些优选实施例中,所述虚拟主站还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种工业控制网络的防护方法,其特征在于,所述方法包括:
将工业控制网络资源定义为现场设备安全层单元、网络中间安全层单元、业务安全层单元和虚拟主站模块;
所述现场设备安全层单元,包括:周期获知工业控制网络内现场设备的工作状态,激活休眠的现场设备,休眠故障的现场设备,将所述休眠的现场设备剔除出现场设备安全层单元;建立权限名单,保证仅授权用户才能修改现场设备的配置参数;建立现场设备与虚拟主站模块之间的双向身份鉴别,以及所述虚拟主站模块对现场设备安全层单元的监测;在现场设备内配置的硬件加密芯片,所述硬件加密芯片内固化有第一加密密钥;
其中,所述周期获知工业控制网络内现场设备的工作状态包括所述现场设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该现场设备故障,休眠该故障的现场设备;
所述网络中间安全层单元,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述现场设备安全层单元;对传输数据进行基于用户属性加密处理;基于可信根对现场设备、网关型节点设备的配置参数、***引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟主站模块;
所述业务安全层单元,包括业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟主站模块,包括现场设备注册,下发获知现场设备的工作状态的指令,下发休眠故障现场设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥。
2.根据权利要求1所述的方法,其特征在于:所述现场设备安全层单元、网络中间安全层单元、业务安全层单元和虚拟主站模块部署在同一个装置上。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述网络中间安全层单元还包括采用访问控制、入侵检测,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
4.根据权利要求3所述的方法,其特征在于:所述虚拟主站模块还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
5.一种工业控制网络的装置,其特征在于,所述装置包括:现场设备安全层单元、网络中间安全层单元、业务安全层单元和虚拟主站模块四个部分,分别对应被定义为现场设备安全层单元、网络中间安全层单元、业务安全层单元和虚拟主站模块的内网资源;
所述现场设备安全层单元,用于执行:周期获知工业控制网络内现场设备的工作状态,激活休眠的现场设备,休眠故障的现场设备,将所述休眠的现场设备剔除出现场设备安全层单元;建立权限名单,保证仅授权用户才能修改现场设备的配置参数;建立现场设备与虚拟主站模块之间的双向身份鉴别,以及所述虚拟主站模块对现场设备安全层单元的监测;在现场设备内配置的硬件加密芯片,所述硬件加密芯片内固化有第一加密密钥;
其中,所述周期获知工业控制网络内现场设备的工作状态包括所述现场设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该现场设备故障,休眠该故障的现场设备;
所述网络中间安全层单元,用于执行:划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述现场设备安全层单元;对传输数据进行基于用户属性加密处理;基于可信根对现场设备、网关型节点设备的配置参数、***引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟主站模块;
所述业务安全层单元,用于执行:业务数据包完整性和正确性检查,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟主站模块,用于执行:现场设备注册,下发获知现场设备的工作状态的指令,下发休眠故障现场设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,响应业务请求,返回业务请求的结果,与云服务器交互,以及保存加密过程中使用的密钥。
6.根据权利要求5所述的装置,其特征在于,所述现场设备安全层单元、网络中间安全层单元、业务安全层单元和虚拟主站模块部署在同一个装置上。
7.根据权利要求5-6任一项所述的装置,其特征在于,所述网络中间安全层单元还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查现场设备认证数据的新鲜度和检测数据是否被篡改。
8.根据权利要求7所述的装置,其特征在于,所述虚拟主站模块还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
CN202010381893.4A 2020-05-08 2020-05-08 一种工业控制网络的防护方法及对应的装置 Active CN111464563B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010381893.4A CN111464563B (zh) 2020-05-08 2020-05-08 一种工业控制网络的防护方法及对应的装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010381893.4A CN111464563B (zh) 2020-05-08 2020-05-08 一种工业控制网络的防护方法及对应的装置

Publications (2)

Publication Number Publication Date
CN111464563A CN111464563A (zh) 2020-07-28
CN111464563B true CN111464563B (zh) 2021-09-03

Family

ID=71681086

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010381893.4A Active CN111464563B (zh) 2020-05-08 2020-05-08 一种工业控制网络的防护方法及对应的装置

Country Status (1)

Country Link
CN (1) CN111464563B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112104661B (zh) * 2020-09-18 2022-10-21 北京珞安科技有限责任公司 一种工控设备防火墙的动态控制方法及***
CN113382076A (zh) * 2021-06-15 2021-09-10 中国信息通信研究院 物联网终端安全威胁分析方法及防护方法
CN114024767B (zh) * 2021-11-25 2023-06-02 郑州信大信息技术研究院有限公司 密码定义网络安全体系构建方法、体系架构及数据转发方法
CN114301705A (zh) * 2021-12-31 2022-04-08 公安部第三研究所 一种基于可信计算的工控防御方法与***
CN114666090A (zh) * 2022-02-11 2022-06-24 广州理工学院 一种防火墙

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094056B (zh) * 2007-05-30 2011-05-11 重庆邮电大学 无线工业控制网络安全***及安全策略实现方法
CN103491108B (zh) * 2013-10-15 2016-08-24 浙江中控研究院有限公司 一种工业控制网络安全防护方法和***
CN107018134B (zh) * 2017-04-06 2020-11-06 北京国电通网络技术有限公司 一种配电终端安全接入平台及其实现方法
CN109842585B (zh) * 2017-11-27 2021-04-13 中国科学院沈阳自动化研究所 面向工业嵌入式***的网络信息安全防护单元和防护方法

Also Published As

Publication number Publication date
CN111464563A (zh) 2020-07-28

Similar Documents

Publication Publication Date Title
Al‐Turjman et al. An overview of security and privacy in smart cities' IoT communications
Zarpelão et al. A survey of intrusion detection in Internet of Things
CN111464563B (zh) 一种工业控制网络的防护方法及对应的装置
Alladi et al. PARTH: A two-stage lightweight mutual authentication protocol for UAV surveillance networks
Kene et al. A review on intrusion detection techniques for cloud computing and security challenges
US9294489B2 (en) Method and apparatus for detecting an intrusion on a cloud computing service
Johnson et al. Assessing DER network cybersecurity defences in a power‐communication co‐simulation environment
Ghadeer Cybersecurity issues in internet of things and countermeasures
CN116232770B (zh) 一种基于sdn控制器的企业网络安全防护***及方法
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及***
Yu et al. A faramework for cyber–physical system security situation awareness
CN111586045B (zh) 一种属性加密和动态安全层的防护方法及对应的防火墙
CN111585813B (zh) 一种物联网环境下网络节点的管理方法及***
Kumar et al. Protocols, solutions, and testbeds for cyber-attack prevention in industrial SCADA systems
CN115051836A (zh) 基于sdn的apt攻击动态防御方法及***
Neu et al. An approach for detecting encrypted insider attacks on OpenFlow SDN Networks
Kolisnyk et al. Investigation of the smart business center for IoT systems availability considering attacks on the router
KR20130085473A (ko) 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
Ihita et al. Security for oneM2M-Based Smart City Network: An OM2M Implementation
Dhande Fog computing: review of privacy and security issues
CN111586047B (zh) 一种集中网络数据的安全管理方法及***
Kumar et al. IPv6 network security using Snort
Savukynas Internet of Things information system security for smart devices identification and authentication
CN114666090A (zh) 一种防火墙
CP et al. Analysis of security issues, threats and challenges in Cyber–physical system for IOT devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant