一种工业控制系统的安全认证方法及设备技术方案

本申请公开了一种工业控制系统的安全认证方法及设备，方法包括：生产管理主机获取其对应的现场设备的特征信息，根据特征信息以及预存的校验码生成算法，离线生成第一校验码；向现场设备发送请求校验指令，并接收来自所述现场设备在线生成并发送的第二校验码；将第一校验码与第二校验码进行比对，得到比对结果，若比对结果一致，则认证成功，并向现场设备发送控制指令，控制指令包括动作指令、密钥，以便现场设备对密钥进行认证，若密钥与现场设备预存的密钥一致，则执行动作指令。通过对现场设备进行初始化认证，可以保证对接到正确的现场设备，同时，本申请可以对通讯中的密钥进行更新，提高了工业控制系统的安全性。提高了工业控制系统的安全性。提高了工业控制系统的安全性。

【技术实现步骤摘要】
一种工业控制系统的安全认证方法及设备


[0001]本申请涉及工业控制系统安全领域，尤其涉及一种工业控制系统的安全认证方法及设备。

技术介绍

[0002]工业控制系统(IndustrialControl System，ICS)通常使用ModbusSerial协议进行通信。然而随着网络的普及，ICS也逐渐互联网化，产生了Modbus
‑
TCP协议，即通过Modbus和TCP协议相结合来发送和接收Modbus Serial数据。但由于Modbus协议在设计之初并未考虑安全问题，一旦被攻击，将没有任何抵抗手段，严重影响正常的生产活动，甚至危及人身安全、造成财产损失。
[0003]现有的ICS中的现场设备更换率高，而生产管理主机，在向现场设备下达控制指令之前没有初始认证过程，容易发生指令下达出错的情况。同时，在现有技术中，通过将流控制传输协议(SCTP)和Modbus协议结合并附加消息验证码，生成Modbus认证方案，虽然SCTP本身对拒绝服务攻击、中间人攻击具有良好的防御力，但是该认证方案为对称加密认证结构，密钥单一，容易破解本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业控制系统的安全认证方法，其特征在于，所述方法包括：生产管理主机获取其对应的现场设备的特征信息，所述特征信息至少包括以下任意一项或多项：设备的地理位置信息、设备编号；所述特征信息预存在所述生产管理主机中；根据所述特征信息以及预存的校验码生成算法，生成第一校验码，所述第一校验码是离线生成的；向所述现场设备发送请求校验指令，并接收来自所述现场设备发送的第二校验码，所述第二校验码是所述现场设备根据所述特征信息以及所述校验码生成算法在线生成的；所述特征信息以及所述校验码生成算法预存在所述现场设备中；将所述第一校验码与所述第二校验码进行比对，得到比对结果，若所述比对结果一致，则认证成功，并向所述现场设备发送控制指令，所述控制指令包括动作指令、密钥，以便所述现场设备对所述密钥进行认证；若所述密钥与所述现场设备预存的密钥一致，则执行所述动作指令；所述动作指令用于执行对所述现场设备的操作任务。2.根据权利要求1所述的一种工业控制系统的安全认证方法，其特征在于，向所述现场设备发送控制指令之前，所述方法还包括：所述生产管理主机获取所述现场设备上次执行动作指令的时间与当前时间的时间间隔，若所述时间间隔超出第一时间阈值，则更新密钥，并将更新后的秘钥同步至所述现场设备，其中，所述第一时间阈值预存在所述生产管理主机中。3.根据权利要求2所述的一种工业控制系统的安全认证方法，其特征在于，所述更新密钥，并将更新后的秘钥同步至所述现场设备，具体包括：所述生产管理主机向所述现场设备发送密钥更新指令；所述现场设备向所述生产管理主机发送第一随机数；所述生产管理主机根据第一哈希函数对所述第一随机数进行哈希计算，将计算结果作为验证数值；随机选取三组三位数，并根据预存的密钥生成算法对所述三组三位数进行处理，得到更新后的密钥；将所述验证数值以及三组三位数，发送至所述现场设备；所述现场设备根据所述第一哈希函数对所述第一随机数进行哈希计算，若计算结果与所述验证数值一致，则根据预存的所述密钥生成算法对所述三组三位数进行处理，得到所述更新后的密钥。4.根据权利要求3所述的一种工业控制系统的安全认证方法，其特征在于，所述方法还包括：所述生产管理主机与所述现场设备都预存有排列顺序一致的若干个哈希函数，所述若干个哈希函数包含所述第一哈希函数，每间隔第二时间阈值，所述生产管理主机与所述现场设备根据所述若干个哈希函数的排列顺序，选取所述第一哈希函数下一顺位的哈希函数，将所述下一顺位的哈希函数作为更新后的第一哈希函数。5.根据权利要求3所述的一种工业控制系统的安全认证方法，其特征在于，根据预存的密钥生成算法对所述三组三位数进行处理，得到更新后的密钥，具体包括：所述生产管理主机将第一组三位数和第二组三位数进行相乘，得到第一组数值，若该数值不足六位，则在第三位之后补0，构成第一组六位数；将第二组三位数和第三组三位数
进行相乘，得到第二组数值，若该数值不足六位，则在第三位后补0，构成第二组六位数；将第一组三位数和第三组三位数进行相乘，得到第三组数值，若该数值不足六位，则在第一位之后补0，构成第三组六位数；选取所述第一组六位数的第一位和第六位；选取所述第二组六位数的第二位和第五位；选取所述第三组六位数的第三位和第四位；将选取的六位数字按照选取的顺序进行顺次排列，作为更新后的密钥。6.根据权利要求1所述的一种工业控制系统的安全认证方法，其特征在于，所述方法还包括对所述动作指令进行加密，所述加密具体包括：随机生成若干初始密钥；将所述动作指令划分为若干个字节数量相同的第一字节矩阵；将所述初始密钥与所述动作指令对应的第一字节进行异或操作，并将异或操作后得到的字节矩阵进行置换...

【专利技术属性】
技术研发人员：赵慧奇，李峰，张俭锋，王绍密，和希文，
申请(专利权)人：山东云天安全技术有限公司，
类型：发明
国别省市：