The invention discloses a session key management method in the encryption device of the water conservancy industry control system. By distributing, updating and removing the session key of the encryption device connected to the water conservancy industry control system, the distributed and credible nodes on the field bus of the water conservancy industry control system are realized. In the field bus of water conservancy industrial control system, the encryption device is deployed between each node and the bus, and the session key based on symmetric encryption algorithm is assigned to each encryption device, so the identity authentication of the device can be realized. Compared with asymmetric encryption algorithm, it has the advantages of high efficiency, small time cost and strong compatibility. The invention does not need to modify the existing bus type network topology, and has high resistance to man in the middle attack. It can reduce the security risk caused by the intrusion of Fieldbus channel in the automation control system of water conservancy industry, and provide reliable security for the key infrastructure in the field of national economy.
【技术实现步骤摘要】
一种水利工业控制系统加密设备中会话密钥管理方法
本专利技术属于信息
,尤其涉及一种水利工业控制系统加密设备中会话密钥管理方法。
技术介绍
在我国现有的水利工业控制系统中,上位机与下位机之间绝大部分使用现场总线网络实现数据通信,通信协议多为Modbus。Modbus应用数据单元(ADU)的结构在系统安全性方面存在较高的脆弱性:其中的协议数据单元(PDU)以明文传输,缺乏保密性;完整性校验机制过于简单,易被篡改;对重放攻击没有任何抵抗性。为了针对现场总线网络中由于上述脆弱性导致的安全风险,可通过在上位机、下位机等自动化控制设备,与现场总线之间部署加密设备,实现ADU的安全传输。如何对此类加密设备的密钥进行管理,目前是一个较为重要的问题。由于总线型网络的信道共享特性,以及自动化控制设备较低的通信速率,在现场总线中建立单独的公钥基础设施(PKI)和认证中心(CA)实现中心化的密钥分配与管理,将会对系统的效率产生较大影响,甚至有可能造成可用性的降低。因此,如何在保证系统效率和可用性的前提下,设计一套去中心化的现场总线信道加密设备密钥管理方法,实现便捷、高效的密钥分配、更新及移除,提高对于中间人攻击的抵抗能力,预防未经授权的非法设备在现场总线的信道上监听、拦截、篡改数据监测及控制信息,降低在水利行业的工业自动化控制系统中因现场总线信道受到侵入而产生的安全风险,对于国民经济领域中关键性基础设施提供可靠的安全保障,是一个具有较高学术及应用价值的课题。
技术实现思路
专利技术目的:针对以上问题 ...
【技术保护点】
1.一种水利工业控制系统加密设备中会话密钥管理方法,其特征在于:该方法包括如下步骤:/nS1:对于水利工业控制系统的一条现场总线,在控制设备与现场总线的网络物理接口之间接入加密设备,对加密设备进行初始化;初始化过程包括加密设备会话密钥生成及加密设备会话密钥预分配;/nS2:当水利工业控制系统现场总线上的控制设备的地址码发生变化,对该控制设备所连接的加密设备会话密钥进行更新处理;更新过程包括生成该加密设备新会话密钥,撤销原会话密钥以及加密设备会话密钥预分配;/nS3:当水利工业控制系统现场总线上的控制设备暂时或永久性地断开与现场总线上其他设备的逻辑连接,对该控制设备所连接的加密设备中的会话密钥进行移除处理;移除过程包括该加密设备的会话密钥重置,并将该加密设备原会话密钥从现场总线上的其他每一台加密设备中删除。/n
【技术特征摘要】
1.一种水利工业控制系统加密设备中会话密钥管理方法,其特征在于:该方法包括如下步骤:
S1:对于水利工业控制系统的一条现场总线,在控制设备与现场总线的网络物理接口之间接入加密设备,对加密设备进行初始化;初始化过程包括加密设备会话密钥生成及加密设备会话密钥预分配;
S2:当水利工业控制系统现场总线上的控制设备的地址码发生变化,对该控制设备所连接的加密设备会话密钥进行更新处理;更新过程包括生成该加密设备新会话密钥,撤销原会话密钥以及加密设备会话密钥预分配;
S3:当水利工业控制系统现场总线上的控制设备暂时或永久性地断开与现场总线上其他设备的逻辑连接,对该控制设备所连接的加密设备中的会话密钥进行移除处理;移除过程包括该加密设备的会话密钥重置,并将该加密设备原会话密钥从现场总线上的其他每一台加密设备中删除。
2.根据权利要求1所述的一种水利工业控制系统加密设备中会话密钥管理方法,其特征在于:步骤S1所述对加密设备进行初始化;方法如下:
使用加密设备内置的对称加密模块,生成一个会话密钥PK;设加密设备连接的控制设备的地址码为DADR;
将PK、DADR作为一个二元组,写入加密设备的存储器中;将PK、DADR作为一个二元组,导出至移动设备MD中;
完成现场总线上所有加密设备的会话密钥生成后,对每一台加密设备分别执行预分配操作,预分配完成后,初始化过程结束。
3.根据权利要求2所述的一种水利工业控制系统加密设备中会话密钥管理方法,其特征在于:对每一台加密设备分别执行预分配操作,方法如下:
若该加密设备连接的控制设备为主设备(Master),将现场总线上所有连接其他从设备(Slave)的加密设备中导出至移动设备MD的二元组PK、DADR,分别写入与主设备连接的该加密设备的存储器中;
若该加密设备连接的控制设备为从设备(Slave),将现场总线上唯一的连接主设备(Master)的加密设备中导出至移动设备MD的二元组PK、DADR,写入与从设备连接的该加密设备的存储器中。
4.根据权利要求3所述的一种水利工业控制系统加密设备中会话密钥管理方法,其特征在于:步骤S2所述当现场总线上的控制设备的地址码发生变化,对控制设备所连接的加密设备密钥进行更新;设控制设备的原地址码为DADR,对于其连接的加密设备,更新方法如下:
S2.1:使用该加密设备内置的对称加密模块,重新生成该加密设备的一个会话密钥PK_NEW;设控制设备的新地址码为DADR_NEW;
将PK_NEW、DAD...
【专利技术属性】
技术研发人员:陈宁,高祥涛,王美玲,朱月,曹晓宁,张磊,王培,陈辉,陆明,赵峰,
申请(专利权)人:江苏省水文水资源勘测局,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。