【技术实现步骤摘要】
一种基于标识密码的轻量级端到端安全通信认证方法
本专利技术属于工业控制系统信息安全领域,具体的说是一种应用于工业控制系统的基于标识密码的轻量级端到端安全通信认证方法。
技术介绍
随着信息和互联网技术的高速发展以及它们向各产业的不断延伸与渗透,工业控制领域正在逐步地走向开放,然而互联网技术为工业控制领域带来技术进步的同时也为工业控制系统在信息安全方面带来了挑战与威胁,病毒、木马等危险因素正在工业控制系统中扩散。近几年,工业控制系统遭到攻击的恶性事件层出不穷,从2010年伊朗核电站“震网”事件到2016年亚洲能源行业“洋葱狗”事件均表明网络安全威胁的触角已真正地开始向工业领域蔓延。工业控制系统一旦遭到破坏,会造成整个控制系统的工作异常,数据信息遭到窃取与破坏,这不仅会影响产业经济的持续发展,更会对国家安全造成巨大的损害,总而言之当前工业控制系统的信息安全形势十分严峻。对于工业控制系统的攻击手段,主要分为对工业企业数据的攻击、对控制性能的攻击、对控制功能的攻击。在工控网络安全事件统计中,65%以上的安全事件来自人为因素,且均为终端安全事件,工控网络终端安全在整个安全防护当中的重要性可见一斑。传统的工控网络安全往往更多关注的是工业防火墙、IPS等一些边界安全,以及网络流控与分析等等,这些都是解决网络出口处网关型的网络安全防护。但是工业生产线真正重要的资源是存放在工程师站或本地的工业终端上的,当黑客与未知威胁在发动攻击的时候,这些重要的工业控制终端往往首当其冲,整个工业控制系统受到的打击也将会是致命性的。当前, ...
【技术保护点】
1.一种基于标识密码的轻量级端到端安全通信认证方法,其特征在于,包括以下步骤:/n初始化阶段:密钥生成服务器计算签名主密钥对、生成工程师站的私钥,通过安全信道把私钥发送给工程师站;工程师站本地秘密保存自己的私钥,终端设备本地保存工程师站的公钥;/n建立逻辑连接:终端设备发送消息给工程师站请求建立连接,工程师站从发送过来的消息中确定使用的加密和摘要算法,同时生成一个随机数;/n认证工程师站身份:终端设备将挑战值发送给工程师站,工程师站利用自己的私钥对挑战值进行签名并发送;终端设备接收工程师站的数字签名并验证其正确性;验证通过后,利用工程师站的公钥生成一个随机数,并用工程师站的公钥加密这个随机数生成密钥中间值;/n密钥交换:终端设备发送密钥中间值给工程师站,工程师站使用其私钥解出密钥中间值的随机数;两边再根据同样的加密和摘要算法生成用于数据传输的“对称加密密钥”;/n握手完成:工程师站与终端设备之间互相发送消息来验证“对称加密密钥”是否一致;验证通过后,二者使用该“安全的对称加密密钥”对数据进行加密后再安全传输。/n
【技术特征摘要】
1.一种基于标识密码的轻量级端到端安全通信认证方法,其特征在于,包括以下步骤:
初始化阶段:密钥生成服务器计算签名主密钥对、生成工程师站的私钥,通过安全信道把私钥发送给工程师站;工程师站本地秘密保存自己的私钥,终端设备本地保存工程师站的公钥;
建立逻辑连接:终端设备发送消息给工程师站请求建立连接,工程师站从发送过来的消息中确定使用的加密和摘要算法,同时生成一个随机数;
认证工程师站身份:终端设备将挑战值发送给工程师站,工程师站利用自己的私钥对挑战值进行签名并发送;终端设备接收工程师站的数字签名并验证其正确性;验证通过后,利用工程师站的公钥生成一个随机数,并用工程师站的公钥加密这个随机数生成密钥中间值;
密钥交换:终端设备发送密钥中间值给工程师站,工程师站使用其私钥解出密钥中间值的随机数;两边再根据同样的加密和摘要算法生成用于数据传输的“对称加密密钥”;
握手完成:工程师站与终端设备之间互相发送消息来验证“对称加密密钥”是否一致;验证通过后,二者使用该“安全的对称加密密钥”对数据进行加密后再安全传输。
2.根据权利要求1所述的一种基于标识密码的轻量级端到端安全通信认证方法,其特征在于,所述初始化阶段,包括以下步骤:
密钥生成服务器产生第一随机数ks∈[1,N-1]作为签名主私钥,计算G2中的元素Ppub-s=[ks]P2,Ppub-s作为签名主公钥,则签名主密钥对为(ks,Ppub-s);其中,G2是阶为素数N的加法循环群;N是循环群G2的阶;P2是群G2的生成元;密钥生成服务器秘密保存ks,公开Ppub-s;同时,密钥生成服务器选择并公开用一个字节表示的签名私钥生成函数识别符hid;
设工程师站的身份标识为IDU,将该标识作为其公钥;为产生其签名私钥dsU,密钥生成服务器首先在有限域FN上计算t1=H1(IDU||hid,N)+ks,若t1=0则需重新产生签名主私钥,计算和公开签名主公钥,并更新工程师站已有的签名私钥;否则计算t2和dsU,计算公式如下:dsU=[t2]P1;其中,H1是由密码杂凑函数派生的密码函数;P1是阶为素数N的加法循环群G1的生成元;t1和t2是计算签名私钥dsU产生的中间计算值;
密钥生成服务器通过安全信道把私钥dsU发送给工程师站;工程师站本地秘密保存自己的私钥,终端设备本地保存工程师站的公钥。
3.根据权利要求1所述的一种基于标识密码的轻量级端到端安全通信认证方法,其特征在于,所述建立逻辑连接,包括以下步骤:
终端设备向工程师站发起请求,将第一随机数、支持的...
【专利技术属性】
技术研发人员:尚文利,陈春雨,尹隆,刘贤达,赵剑明,佟国毓,杨路瑶,刘周斌,
申请(专利权)人:中国科学院沈阳自动化研究所,国网浙江省电力有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。