内生安全的工业控制网络动态防御方法技术

本发明专利技术公开了一种内生安全的工业控制网络动态防御方法，其特征在于，通过对加密算法进行动态可重构，并结合密钥及认证口令的动态变化，在网络传输层对IP报文进行安全重构，以在节点设备之间建立内生安全的专署数据传输信道。本发明专利技术提供一种内生安全的工业控制网络动态防御方法，其针对传统工业控制网络安全防御体系存在的问题，在开放的以太网通讯链路上构建多模、动态、透明的安全专署信道，有效阻止来自网络的非授权访问，中间人攻击和重播攻击，变被动防御为主动防御,变边界安全为内生安全。本发明专利技术还提供一种应用内生安全的工业控制网络动态防御方法进行数据传输的方法。

【技术实现步骤摘要】
内生安全的工业控制网络动态防御方法
本专利技术涉及一种面向工控安全领域的工业控制网络动态防御方法。更具体地说，本专利技术涉及一种在工控设备之间建立多模、动态、透明的安全专署数据传输信道的具体方法。
技术介绍
随着信息化与工业化的深度融合以及“工业4.0”,“智能制造”,和“互联网+”的推出和发展,工业控制网络不在是一个封闭的“孤岛”,需要和互联网、物联网深度融合,对于安全性十分脆弱的控制网络而言势必带来巨大的安全风险。传统的安全防御措施在面对控制网络实时性、可靠性要求高，控制设备即节点设备的专用性强，难于部署安全策略等具体问题时，只能采取以分区隔离为主的纵深防御技术，在控制网、企业网和外部网之间通过防火墙进行层层隔离。但控制网络本身仍是一个开放的系统，具体表现为：通讯协议开放，数据明文传输，数据合法性、完整性验证不足，控制设备之间缺乏身份认证和访问控制等,对跨防火墙攻击和内网攻击难以奏效，所采取的防护策略也以传统的、基于先验知识的被动防御为主，缺少变化，防御效果有待提高。
技术实现思路
本专利技术的一个目的是解决至少上述问题和/或缺陷，并提供至少后面将说明的优点。本专利技术还有一个目的是本文档来自技高网...

【技术保护点】
一种内生安全的工业控制网络动态防御方法，其特征在于，通过对加密算法进行动态可重构，并结合密钥及认证口令的动态变化，在网络传输层对IP报文进行安全重构，以在节点设备之间建立内生的安全专署数据传输信道。

【技术特征摘要】
1.一种内生安全的工业控制网络动态防御方法，其特征在于，通过对加密算法进行动态可重构，并结合密钥及认证口令的动态变化，在网络传输层对IP报文进行安全重构，以在节点设备之间建立内生的安全专署数据传输信道。2.如权利要求1所述的内生安全的工业控制网络动态防御方法，其特征在于，在对加密算法进行动态可重构的方法中，所述加密算法的轮循次数在8～12之间动态随机变化，并在工业控制网络中各节点之间通过同步协调方法确保动态重构过程及结果的一致性。3.如权利要求1所述的内生安全的工业控制网络动态防御方法，其特征在于，密钥及认证口令的动态变化方法包括：通过初始密钥的动态随机变化，利用标准的AES密钥扩展算法，产生48个32位动态子密钥；对第一个动态子密钥与最后一个动态子密钥进行异或运算，以得到动态认证口令；在工业控制网络中各节点之间通过同步协调方法确保动态重构过程及结果的一致性。4.如权利要求3所述的内生安全的工业控制网络动态防御方法，其特征在于，密钥及认证口令的动态生成算法包括:将64位的用户预置口令进行拆分,高32位作为线性反馈位移寄存器的起始条件,低32位参与后续运算；通过LFSR线性反馈位移寄存器生成一个32位伪随机数；将伪随机数与用户预置口令的低32位分别进行“与”、“或”、“非”和“异或”逻辑运算，得到4组中间值C1、C2、C3、C4；将4组中间值进行合并，产生一个128位的初始密钥；利用标准的AES密钥扩展算法，产生48个32位动态子密钥；将第一个动态子密钥与最后一个子动态密钥进行异或运算，以得到用于数据源合法性验证的动态认证口令S。5.如权利要求2或3所述的内生安全的工业控制网络动态防御方法，其特征在于，所述同步协调的方法包括：在各网络节点的多模判决装置中植入相同的动态密钥生成算法和动态可重构加密算法；选取工业控制网络中任意一个节点的多模判决装置作为管理节点，以对其它节点的动态重构过程进行同步控制；管理节点的多模判决装置不定期启动动态重构事件，以自动生成一个8～12之间的伪随机数一，用作加密算法的轮循次数，以及生成一个64位的伪随机数二，用作生成动态密钥的种子值，以得到用于动态重构的基础信息，并通过广播报文将该基础信息加密发送给网络中其它节点的多模判决装置上；其它节...

【专利技术属性】
技术研发人员：员天佑，倪志高，杨永辉，姚导箭，周小伟，刘金，安宝冉，
申请(专利权)人：中国工程物理研究院计算机应用研究所，
类型：发明
国别省市：四川,51