EtherCAT协议安全改进方法技术

EtherCAT协议安全改进方法：主站将请求信息发送给秘钥分发中心，秘钥分发中心将公钥Ks和私钥Kb加密的从站信息，用私钥Ka加密后，发送给主站；主站用私钥Ka解密后，将信息发送给从站，从站用私钥Kb进行解密，产生新的连接ID，并用公钥Ks进行加密后发给主站；主站用公钥Ks解密，并且将连接ID进行函数运行，将结果用公钥加密后，发给从站进行认证，从站用公钥进行解密，对连接ID进行认证，认证成功则进行数据传输，失败则会进行重置；主站将要发送的安全数据进行本地哈希，然后将哈希值和其他信息发送给从站，从站将收到的安全数据再进行哈希，用得到的哈希值与接收的哈希值进行对比，相同则进行安全数据的命令操作，失败则进行重置操作。

【技术实现步骤摘要】
EtherCAT协议安全改进方法
本专利技术涉及工业以太网通信协议数据隐私保护安全

技术介绍
EtherCAT是当前较为流行的一种实时工业以太网，它是由Beckhoff定义，由EtherCAT技术集团(ETG)支持，该组织是目前工业以太网最大的组织，同时EtherCAT技术在工控领域的的地位和作用也越来越重要。EtherCAT能够完全符合以太网标准，具有广泛的适用性，支持多种网络连接拓扑结构，它是一种具有高速低延时、刷新周期短、同步性能等优点的开放的实时以太网通信技术协议，它能够提供多种应用层协议接口来支持多种工业设备行规。
技术实现思路
本专利技术的目的是提供一种EtherCAT协议安全改进方法。本专利技术是EtherCAT协议安全改进方法，其步骤为：(1)运行初始化算法，设备的主站和从站使用秘钥生成算法产生自己的主秘钥，共享主站的主秘钥为Ka，仅与秘钥分发中心Keydistribution共享，从站有自己的主秘钥Kb，同样仅与秘钥分发中心Keydistribution共享，秘钥分发中心Keydistribution产生公共秘钥Ks；(2)主站向秘钥分发中心Keydistribution发送请求信息MACm|MACs|Sid1，与秘钥分发中心建立连接，请求公共秘钥，该消息包括主站地址和从站地址信息以及连接ID信息；(3)密钥分发中心在主站发送的消息的基础上加入公钥Ks是，然后将地址信息和公钥Ks用从站的私钥Kb进行加密，并将这些消息全部用主站的私钥Ka进行加密后，发送给主站；发送的信息即为：E(Ka,[Ks|MACm|MACs|Sid1|E(Kb,{Ks|MACm])；(4)主站将接收到的信息用自己的私钥Ka进行解密，将解密后的要发送给从站部分的信息发送给从站，请求与从站建立会话连接；即E(Kb,{Ks|MACm])；(5)从站将接收到的信息用自己的私钥Kb进行解密，然后产生新的连接ID，并且用接收到的公钥Ks进行加密，将加密后的信息发给主站；即：E(Ks,Sid2)；(6)主站用接收到的公钥Ks解密接收到的信息，并且将连接ID进行函数运行，再用公钥对函数运算的结果进行加密后，发给从站进行认证；即：E(Ks,f(Sid2))；(7)从站用公钥将接收信息进行解密，然后对连接ID进行认证，如果认证成功则进行下一阶段的安全数据传输，如果失败则进行重置操作；(8)在主站和从站建立连接成功后，主站将向从站发送安全数据，主站将要发送的安全数据进行本地哈希，然后将哈希值、安全数据、连接ID、命令和计数器一起发送给从站；即：Safeoutput(cmd|{data|H(data)}|id|wkc)；(9)从站将接收到的信息中的安全数据再进行哈希，然后用得到的哈希值与主站发送的哈希值进行对比，相同则进行相应的安全数据的命令操作，并且将计数器加1返回给主站，即SafeAsk(WKC+1)；如果不同，证明数据传输失败，则进行重置操作。本专利技术的有益之处在于：(1)防止重放攻击：本方案能有效防止重放攻击。方案中加入了秘钥分发中心KeyDistribution，在主从站进行会话连接之前，先得获得公共会话秘钥Ks，由于攻击者在网络层面无法获得协议连接的会话秘钥，无法对获取的信息进行有效的解密分解，从而无法发起重放攻击。(2)防止欺骗攻击：本方案能有效防止欺骗攻击。主从站在获得公共秘钥后，进行会话连接是加入了连接认证，从而攻击者无法对协议进行欺骗攻击。(3)防止篡改攻击：本方案能有效防止篡改攻击。在主从站进行数据传输时，方案对传输的数据进行了哈希，将得到的哈希值同数据一起发送到从站，由于哈希值得不可逆性，从而攻击者无法对消息发起篡改攻击。附图说明图1是EtherCAT协议安全改进方法的流程图。具体实施方式如图1所示，本专利技术加入了秘钥分发中心对连接过程进行了连接秘钥分发以及连接认证，在数据传输阶段加入了哈希值确保数据的安全。本专利技术是EtherCAT协议安全改进方法，其步骤为：(1)运行初始化算法，设备的主站和从站使用秘钥生成算法(比如DES算法)产生自己的主秘钥，共享主站的主秘钥为Ka(仅与秘钥分发中心Keydistribution共享)，从站有自己的主秘钥Kb(同样仅与秘钥分发中心Keydistribution共享)，秘钥分发中心Keydistribution产生公共秘钥Ks。(2)主站向秘钥分发中心Keydistribution发送请求信息MACm|MACs|Sid1，与秘钥分发中心建立连接，请求公共秘钥，该消息包括主站地址和从站地址信息以及连接ID信息。(3)密钥分发中心在主站发送的消息的基础上加入公钥Ks是，然后将地址信息和公钥Ks用从站的私钥Kb进行加密，并将这些消息全部用主站的私钥Ka进行加密后，发送给主站。发送的信息即为：E(Ka,[Ks|MACm|MACs|Sid1|E(Kb,{Ks|MACm])。(4)主站将接收到的信息用自己的私钥Ka进行解密，将解密后的要发送给从站部分的信息发送给从站，请求与从站建立会话连接。即E(Kb,{Ks|MACm])。(5)从站将接收到的信息用自己的私钥Kb进行解密，然后产生新的连接ID，并且用接收到的公钥Ks进行加密，将加密后的信息发给主站。即E(Ks,Sid2)。(6)主站用接收到的公钥Ks解密接收到的信息，并且将连接ID进行函数运行，再用公钥对函数运算的结果进行加密后，发给从站进行认证。即E(Ks,f(Sid2))。(7)从站用公钥将接收信息进行解密，然后对连接ID进行认证，如果认证成功则进行下一阶段的安全数据传输，如果失败则进行重置操作。(8)在主站和从站建立连接成功后，主站将向从站发送安全数据，主站将要发送的安全数据进行本地哈希，然后将哈希值、安全数据、连接ID、命令和计数器一起发送给从站。即Safeoutput(cmd|{data|H(data)}|id|wkc)。(9)从站将接收到的信息中的安全数据再进行哈希，然后用得到的哈希值与主站发送的哈希值进行对比，相同则进行相应的安全数据的命令操作，并且将计数器加1返回给主站，即SafeAsk(WKC+1)。如果不同，证明数据传输失败，则进行重置操作。符号说明：Ka：主站主密钥，Kb：从站主密钥，Ks：公共秘钥，MACm：主站物理地址，MACs：从站物理地址，Sid：会话连接ID，cmd：命令，data：安全数据，H(data)：数据哈希值，wkc：计数器信息。本专利技术的EtherCAT协议安全改进方法，运行初始化算法，设备的主站和从站使用秘钥生成算法产生自己的主秘钥，共享主站的主秘钥为Ka，从站有自己的主秘钥Kb(Ka和Kb秘钥都仅与秘钥分发中心共享)，秘钥分发中心产生公共秘钥Ks。主站将主站地址和从站地址信息以及连接ID信息发送给秘钥分发中心，秘钥分发中心在主站发送的消息的基础本文档来自技高网...

【技术保护点】
1.EtherCAT协议安全改进方法，其特征在于，其步骤为：/n(1)运行初始化算法，设备的主站和从站使用秘钥生成算法产生自己的主秘钥，共享主站的主秘钥为Ka，仅与秘钥分发中心Key distribution共享，从站有自己的主秘钥Kb，同样仅与秘钥分发中心Key distribution共享，秘钥分发中心Key distribution产生公共秘钥Ks；/n(2)主站向秘钥分发中心Key distribution发送请求信息MACm|MACs|Sid1，与秘钥分发中心建立连接，请求公共秘钥，该消息包括主站地址和从站地址信息以及连接ID信息；/n(3)密钥分发中心在主站发送的消息的基础上加入公钥Ks是，然后将地址信息和公钥Ks用从站的私钥Kb进行加密，并将这些消息全部用主站的私钥Ka进行加密后，发送给主站；发送的信息即为：/nE(Ka,[Ks|MACm|MACs|Sid1|E(Kb,{Ks|MACm])；/n(4)主站将接收到的信息用自己的私钥Ka进行解密，将解密后的要发送给从站部分的信息发送给从站，请求与从站建立会话连接；即E(Kb,{Ks|MACm])；/n(5)从站将接收到的信息用自己的私钥Kb进行解密，然后产生新的连接ID，并且用接收到的公钥Ks进行加密，将加密后的信息发给主站；即：/nE(Ks,Sid2)；/n(6)主站用接收到的公钥Ks解密接收到的信息，并且将连接ID进行函数运行，再用公钥对函数运算的结果进行加密后，发给从站进行认证；即：/nE(Ks,f(Sid2))；/n(7)从站用公钥将接收信息进行解密，然后对连接ID进行认证，如果认证成功则进行下一阶段的安全数据传输，如果失败则进行重置操作；/n(8)在主站和从站建立连接成功后，主站将向从站发送安全数据，主站将要发送的安全数据进行本地哈希，然后将哈希值、安全数据、连接ID、命令和计数器一起发送给从站；即：Safe output(cmd|{data|H(data)}|id|wkc)；/n(9)从站将接收到的信息中的安全数据再进行哈希，然后用得到的哈希值与主站发送的哈希值进行对比，相同则进行相应的安全数据的命令操作，并且将计数器加1返回给主站，即Safe Ask(WKC+1)；如果不同，证明数据传输失败，则进行重置操作。/n...

【技术特征摘要】
1.EtherCAT协议安全改进方法，其特征在于，其步骤为：
(1)运行初始化算法，设备的主站和从站使用秘钥生成算法产生自己的主秘钥，共享主站的主秘钥为Ka，仅与秘钥分发中心Keydistribution共享，从站有自己的主秘钥Kb，同样仅与秘钥分发中心Keydistribution共享，秘钥分发中心Keydistribution产生公共秘钥Ks；
(2)主站向秘钥分发中心Keydistribution发送请求信息MACm|MACs|Sid1，与秘钥分发中心建立连接，请求公共秘钥，该消息包括主站地址和从站地址信息以及连接ID信息；
(3)密钥分发中心在主站发送的消息的基础上加入公钥Ks是，然后将地址信息和公钥Ks用从站的私钥Kb进行加密，并将这些消息全部用主站的私钥Ka进行加密后，发送给主站；发送的信息即为：
E(Ka,[Ks|MACm|MACs|Sid1|E(Kb,{Ks|MACm])；
(4)主站将接收到的信息用自己的私钥Ka进行解密，将解密后的要发送给从站部分的信息发送给从站，请求与从站建立会话连接；即E(Kb,{Ks|MAC...

【专利技术属性】
技术研发人员：冯涛，王帅帅，龚翔，方君丽，谢鹏寿，姜筱彦，
申请(专利权)人：兰州理工大学，
类型：发明
国别省市：甘肃;62