一种SCADA系统及其RTU控制器双向身份认证的方法及系统技术方案

技术编号:15519894 阅读:218 留言:0更新日期:2017-06-04 09:36
本发明专利技术提供的SCADA系统及其RTU控制器双向身份认证的方法及系统,不依赖于任何现有的通讯协议,基于公钥加密,结合公钥证书的可信性识别和随机数技术,实现SCADA系统与其RTU控制器,以及RTU控制器与其他RTU控制器的双向身份认证,其身份认证信息加密后传输,保证了第三方无法探测其身份认证信息,身份认证信息中加入随机数防止信息重放,有效地进行身份鉴别。本发明专利技术还实现了密钥管理功能,在进行双向身份认证的同时进行会话密钥协商,解决了身份认证后传输数据加密的问题,同时,通过周期性地进行身份认证以更新会话密钥,提高了系统的安全性。

Method and system for bidirectional authentication of SCADA system and RTU controller thereof

Method and system for SCADA system and the RTU controller of two-way authentication provided by the invention, does not depend on any existing communication protocol based on public key encryption, combined with the credibility of public key certificate and random number recognition technology, the realization of SCADA system with RTU controller, RTU controller and bidirectional identity with other RTU controller authentication, the authentication information the encrypted transmission, to ensure that the third party can not detect the identity authentication information, adding authentication information in a random number to prevent information replay, effectively identification. The invention also realizes the function of key management, session key agreement in two-way authentication at the same time, to solve the problem of identity authentication and transmits the encrypted data, at the same time, by periodically authentication to update the session key, improve the security of the system.

【技术实现步骤摘要】
一种SCADA系统及其RTU控制器双向身份认证的方法及系统
本专利技术涉及工业信息安全领域,更具体地,涉及一种SCADA系统及其RTU控制器双向身份认证的方法及系统。
技术介绍
SCADA(SupervisoryControlAndDataAcquisition,数据采集与监视控制)系统,其通过RTU(RemoteTerminalUnit,远程终端单元)实现对远程现场信号、工业设备的监测和控制。在SCADA系统与其RTU之间进行通讯,以及RTU与其他RTU之间进行通讯时,为了使通讯双方建立有效的安全访问控制机制,避免无法进行身份识别和通讯数据未加密所导致的安全风险。在SCADA系统与其RTU之间进行通讯,以及RTU与其他RTU之间进行通讯时,发起端与响应端需要进行身份认证和通讯数据加密。现有的RTU控制器及其与SCADA系统通信方法中,基于SSL通讯协议提供了一种双向身份认证的方法,提供密钥协商功能,但SSL通讯协议不提供密钥更新功能,安全性较差。SSL协议基于TCP协议,因此难以应用于非TCP协议的应用场合。另一方面,SSL协议以及TCP/IP协议栈难以移植到资源有限的RTU控制器中。
技术实现思路
有鉴于此,本专利技术提供了一种SCADA系统及其RTU控制器双向身份认证的方法及系统,不依赖任何现有通讯协议,在身份认证期间进行会话密钥协商,身份认证过程简单高效,安全性高。具体技术方案如下:一种双向身份认证方法,应用于发起端,所述方法包括:在预设周期内向响应端或证书服务器请求响应端的数字证书;接收所述响应端的数字证书,并对所述响应端的数字证书进行可信性识别,若所述响应端的数字证书可信,从所述响应端的数字证书中提取所述响应端公钥;生成发起端随机数并存储,用所述响应端公钥加密携带有所述发起端随机数与发起端设备信息的认证挑战信息,并将所述认证挑战信息发送到所述响应端;接收并使用私钥解密所述响应端发送的响应端身份认证信息,获取发起端随机数、响应端随机数和会话密钥;判断获取的发起端随机数与存储的所述发起端随机数是否一致,若一致,判定响应端身份认证成功;用所述会话密钥加密携带有所述响应端随机数的发起端身份认证信息,并将所述发起端身份认证信息发送到所述响应端,使所述响应端判断发起端身份认证是否成功。优选的,所述数字证书为公钥证书,所述公钥证书包括公钥信息,所述对所述响应端的数字证书进行可信性识别,包括:对公钥证书的签名、设备信息和有效期进行验证。优选的,当所述响应端身份认证成功或失败后,所述发起端随机数失效;当所述发起端身份认证成功或失败后,所述响应端随机数失效。优选的,所述方法还包括:在所述预设周期结束后,所述发起端再次发起双向身份认证。一种发起端,包括:请求单元,用于在预设周期内向响应端或证书服务器请求响应端的数字证书;可信性识别单元,用于接收所述响应端的数字证书,并对所述响应端的数字证书进行可信性识别,若所述响应端的数字证书可信,从所述响应端的数字证书中提取所述响应端公钥;第一加密单元,用于生成发起端随机数并存储,用所述响应端公钥加密携带有所述发起端随机数与发起端设备信息的认证挑战信息,并将所述认证挑战信息发送到所述响应端;解密单元,用于接收并使用私钥解密所述响应端发送的响应端身份认证信息,获取发起端随机数、响应端随机数和会话密钥;判断单元,用于判断获取的发起端随机数与存储的所述发起端随机数是否一致,若一致,判定响应端身份认证成功;第二加密单元,用于用所述会话密钥加密携带有所述响应端随机数的发起端身份认证信息,并将所述发起端身份认证信息发送到所述响应端,使所述响应端判断发起端身份认证是否成功。一种双向身份认证方法,应用于响应端,所述方法包括:在预设周期内接收并使用私钥解密发起端发送的认证挑战信息,获取并存储所述认证挑战信息中的发起端随机数和发起端设备信息;根据所述发起端的设备信息向所述发起端或证书服务器请求所述发起端的数字证书;接收所述发起端的数字证书,并对所述发起端的数字证书进行可信性识别,若所述发起端的数字证书可信,从所述发起端的数字证书中提取所述发起端公钥;生成响应端随机数,并生成另一组随机数作为会话密钥,将所述响应端随机数和所述会话密钥进行存储;用所述发起端公钥加密携带有所述响应端随机数、会话密钥和所述发起端随机数的响应端身份认证信息,并将所述响应端身份认证信息发送到所述发起端;当所述响应端身份认证成功后,接收并用所述会话密钥解密发起端身份认证信息,获取响应端随机数;判断获取的响应端随机数与存储的所述响应端随机数是否一致,若一致,判定发起端身份认证成功。一种响应端,包括:第一解密单元,用于在预设周期内接收并使用私钥解密发起端发送的认证挑战信息,获取并存储所述认证挑战信息中的发起端随机数和发起端设备信息;请求单元,用于根据所述发起端的设备信息向所述发起端或证书服务器请求所述发起端的数字证书;可信性识别单元,用于接收所述发起端的数字证书,并对所述发起端的数字证书进行可信性识别,若所述发起端的数字证书可信,从所述发起端的数字证书中提取所述发起端公钥;生成单元,用于生成响应端随机数,并生成另一组随机数作为会话密钥,将所述响应端随机数和所述会话密钥进行存储;加密单元,用于用所述发起端公钥加密携带有所述响应端随机数、会话密钥和所述发起端随机数的响应端身份认证信息,并将所述响应端身份认证信息发送到所述发起端;第二解密单元,用于当所述响应端身份认证成功后,接收并用所述会话密钥解密发起端身份认证信息,获取响应端随机数;判断单元,用于判断获取的响应端随机数与存储的所述响应端随机数是否一致,若一致,判定发起端身份认证成功。一种双向身份认证系统,包括:上述发起端和上述响应端,所述发起端与所述响应端之间通信连接。优选的,所述系统还包括证书服务器。相对于现有技术,本专利技术的有益效果如下:本专利技术提供的一种SCADA系统及其RTU控制器双向身份认证的方法及系统,不依赖于任何现有的通讯协议,基于公钥加密,结合公钥证书的可信性识别和随机数技术,实现SCADA系统与其RTU控制器,以及RTU控制器与其他RTU控制器的双向身份认证,其身份认证信息加密后传输,保证了第三方无法探测其身份认证信息,身份认证信息中加入随机数防止信息重放,有效地进行身份鉴别。本专利技术还实现了密钥管理功能,在进行双向身份认证的同时进行会话密钥协商,解决了身份认证后传输数据加密的问题,同时,通过周期性地进行身份认证以更新会话密钥,提高了系统的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本专利技术实施例公开的一种双向身份认证方法流程图;图2为本专利技术实施例公开的一种发起端结构示意图;图3为本专利技术实施例公开的一种双向身份认证方法流程图;图4为本专利技术实施例公开的一种响应端结构示意图;图5为本专利技术实施例公开的一种双向身份认证系统结构示意图;图6为本专利技术实施例公开的一种双向身份认证系统结构示意图。具体实施端式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技本文档来自技高网...
一种SCADA系统及其RTU控制器双向身份认证的方法及系统

【技术保护点】
一种双向身份认证方法,其特征在于,应用于发起端,所述方法包括:在预设周期内向响应端或证书服务器请求响应端的数字证书;接收所述响应端的数字证书,并对所述响应端的数字证书进行可信性识别,若所述响应端的数字证书可信,从所述响应端的数字证书中提取所述响应端公钥;生成发起端随机数并存储,用所述响应端公钥加密携带有所述发起端随机数与发起端设备信息的认证挑战信息,并将所述认证挑战信息发送到所述响应端;接收并使用私钥解密所述响应端发送的响应端身份认证信息,获取发起端随机数、响应端随机数和会话密钥;判断获取的发起端随机数与存储的所述发起端随机数是否一致,若一致,判定响应端身份认证成功;用所述会话密钥加密携带有所述响应端随机数的发起端身份认证信息,并将所述发起端身份认证信息发送到所述响应端,使所述响应端判断发起端身份认证是否成功。

【技术特征摘要】
1.一种双向身份认证方法,其特征在于,应用于发起端,所述方法包括:在预设周期内向响应端或证书服务器请求响应端的数字证书;接收所述响应端的数字证书,并对所述响应端的数字证书进行可信性识别,若所述响应端的数字证书可信,从所述响应端的数字证书中提取所述响应端公钥;生成发起端随机数并存储,用所述响应端公钥加密携带有所述发起端随机数与发起端设备信息的认证挑战信息,并将所述认证挑战信息发送到所述响应端;接收并使用私钥解密所述响应端发送的响应端身份认证信息,获取发起端随机数、响应端随机数和会话密钥;判断获取的发起端随机数与存储的所述发起端随机数是否一致,若一致,判定响应端身份认证成功;用所述会话密钥加密携带有所述响应端随机数的发起端身份认证信息,并将所述发起端身份认证信息发送到所述响应端,使所述响应端判断发起端身份认证是否成功。2.根据权利要求1所述的方法,其特征在于,所述数字证书为公钥证书,所述公钥证书包括公钥信息,所述对所述响应端的数字证书进行可信性识别,包括:对公钥证书的签名、设备信息和有效期进行验证。3.根据权利要求1所述的方法,其特征在于,当所述响应端身份认证成功或失败后,所述发起端随机数失效;当所述发起端身份认证成功或失败后,所述响应端随机数失效。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述预设周期结束后,所述发起端再次发起双向身份认证。5.一种发起端,其特征在于,包括:请求单元,用于在预设周期内向响应端或证书服务器请求响应端的数字证书;可信性识别单元,用于接收所述响应端的数字证书,并对所述响应端的数字证书进行可信性识别,若所述响应端的数字证书可信,从所述响应端的数字证书中提取所述响应端公钥;第一加密单元,用于生成发起端随机数并存储,用所述响应端公钥加密携带有所述发起端随机数与发起端设备信息的认证挑战信息,并将所述认证挑战信息发送到所述响应端;解密单元,用于接收并使用私钥解密所述响应端发送的响应端身份认证信息,获取发起端随机数、响应端随机数和会话密钥;判断单元,用于判断获取的发起端随机数与存储的所述发起端随机数是否一致,若一致,判定响应端身份认证成功;第二加密单元,用于用所述会话密钥加密携带有所述响应端随机数的发起端身份认证信息,并将所述发起端身份认证信息发送到所述响应...

【专利技术属性】
技术研发人员:马纳章维罗冰来晓
申请(专利权)人:浙江中控技术股份有限公司
类型:发明
国别省市:浙江,33

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1