【技术实现步骤摘要】
基于零信任组合访问控制策略的工业控制系统安全框架
[0001]本专利技术涉及机密计算领域,尤其涉及一种基于零信任组合访问控制策略的 工业控制系统安全框架。
技术介绍
[0002]工业控制系统(ICS)是由计算机和工业过程控制部件组成的自动控制系统, 是我国物联网技术(IoT)的重要发展方向。工业控制系统可以替代人工对工业 生产过程中的海量工业数据进行采集、分析和反馈,实现实时监控生产状态、 控制生产进程的目的,在工业的信息化智能化生产中发挥重要的作用,并且被 广泛应用于电能、核能、铁路、航空航天等关系国计民生的重要行业当中。工 业控制系统一旦遭受攻击,将会造成严重的后果。因此业界存在对具有高可用 性的符合安全要求的新型安全框架的需求。
[0003]随着物联网的发展,工业系统所处的环境,正在从“孤岛”走向“互联”, 工业物联网的出现既是工业发展的新机遇,又对工业系统安全有序的生产进程 提出了新的挑战。
[0004]然而,一方面,在协议层面,现行的、已经成为事实上业界标准的协议如 Modbus协议,设计之初主要致力于在于工业控制系统的可用性,可靠性方面的 设计,对安全性方面的关注较少,缺乏认证、权限、加密等安全方面的设计, 已经难以应对越来越严峻的安全威胁。另一方面,在硬件层次,工业物联网系 统中,存在设备老旧,兼容性差,能耗敏感、能源难以补充等硬件问题,然而 现行协议的严格离线注册规定和高能耗开销在实际工业生产中可用性不佳,因 此,业界存在对具有高可用性的符合安全要求的协议的需求。
[0005] ...
【技术保护点】
【技术特征摘要】
1.一种基于零信任组合访问控制策略的工业控制系统安全框架,其特征在于:采用边界网络安全模型和零信任安全模型组合策略构建安全体系;其中,边界网络安全模型用于抵御工业物联网控制系统外部威胁;零信任安全模型用于防护工业物联网控制系统的内部威胁;所述零信任安全模型具体包括:零信任身份认证协议和策略引擎;所述零信任身份认证协议具体包括:系统初始化阶段、节点注册阶段、用户初始化阶段、用户注册阶段、登录和密钥协商阶段;所述系统初始化阶段,指超级管理员SA在离线安全环境下为网关和节点预埋信息和函数,保障后续阶段的安全性和可行性,具体为:超级管理员SA为网关GW配置机密计算芯片搭建机密计算环境,为每一网关生成其独有的主密钥K
GW
并在机密计算安全区中保存;超级管理员SA为网关GW和工业终端节点SN配置基本的参数与运算函数,包括:硬件id号连接运算||、哈希运算函数h()和哈希运算消息认证码函数HMAC()和异或运算函数
⊕
;超级管理员SA为每一个网关GW生成一对公私钥,分别为公钥k
p
和私钥k
v
,超级管理员SA保存公钥k
p
和对应的网关信息,网关保存私钥k
v
;初始化阶段后网关GW即部署于工作区域,后续阶段无需取回;所述节点注册阶段,指工业终端节点SN在超级管理员SA的协助下进行在线注册,具体为:超级管理员SA通过初始化阶段预存的公钥密码算法加密通信信息,保护通信安全,实现在不可信信道中向网关GW进行在线注册,经此过程后工业终端节点SN归属于唯一的网关GW,同时节点SN和网关GW相互存留信息以供后续的登录和密钥协商阶段中进行相互的身份认证、信息交换从而达到通信密钥协商的目的;所述用户初始化阶段,指用户U在超级管理员SA处进行初始化,分配信息,赋予用户合法的身份和一次性权限申请的凭证OTV,使用户后续通过SA的身份校验,并在SA协助下向网关GW发起在线注册和节点访问权限申请;所述用户注册阶段,指用户U在超级管理员SA协助下向网关GW发起在线注册和权限申请;用户U先通过提供用户初始化时信息以通过权限申请凭证OTV验证,后续在线注册和权限申请在超级管理员SA的监管下进行;所述登录和密钥协商阶段,指用户U、网关GW、工业终端节点SN三者之间的相互认证身份协商密钥,并在协商结束后动态更新通信凭证的过程。2.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架,其特征在于:所述节点注册阶段的具体流程如下:S11:工业终端节点SN获取自身唯一ID标识ID
j
、网关GW唯一标识ID
GW
,并生成随机数SA根据ID
GW
提供对应的公钥网关公钥k
p
并计算:并计算:并计算:其中,是通信凭证、是通信凭证假名、是动态随机数的假
名;S12:工业终端节点SN生成当前新鲜时间戳TS1,并计算:S13:工业终端节点SN将消息m1={MSG
j
,TS1}传输至网关GW;S14:网关GW检验时间戳TS1的新鲜性,若不新鲜,则丢弃并请求重发;若新鲜,则计算:其中表示通过k
v
解密密文MSG
j
还原的信息;新鲜性判断用于防止延迟的无效注册消息和攻击者的重放攻击;S15:网关GW判断与TS1是否相等,不等则丢弃并请求重发,相等则将ID
j
传输至机密计算芯片中,并在机密计算环境中计算:PPID
j
=h(ID
j
||K
GW
)计算完毕后从安全区输出PPID
j
,保存键值对于网关内存;其中TS1相等判断是为了防止消息内容遭到篡改,K
GW
是系统初始化阶段预存并在机密计算环境中严格保护的主密钥;S16:网关GW生成新鲜的时间戳,TS2,并计算:ACK
GW
=h(ID
GW
||TS2)网关GW将消息m2={MSG
GW
,TS2}发送至工业终端节点SN;其中ACK
GW
是确认消息,MSG
GW
是以网关私钥k
v
加密的确认消息;S17:工业终端节点SN接受消息,检查时间戳TS2的新鲜度;若不新鲜,则丢弃并请求重发,若新鲜,则计算:ACK
GW
=h(ID
GW
||TS2)判断和ACK
GW
是否相等,若不等,丢弃并请求重发;若相等,则保存键值对3.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架,其特征在于:所述用户初始化阶段,具体流程为:S21:用户端插入智能卡SC,获取智能卡身份标识ID
SC
,用户端采集用户生物特征信息BIO
i
,计算:(σ
i
,τ
i
)=Gen(BIO
i
)UID
i
=h(ID
SC
||σ
i
)其中Gen(BIO
i
)是生物特征提取函数,σ
i
,τ
i
是提取的生物特征值;UID
i
是由智能卡和用户生物特征组合计算的变量,是用户的全局唯一识别码,用户的访问和控制行为可以通过UID
i
监测记录,交付旁挂策略引擎进行行为分析和控制;S22:用户端生成新鲜时间戳TS1,并将消息m1={ID
SC
,UID
i
,TS1}发送至超级管理员SA;S24:超级管理员SA检查TS1的新鲜度,若不新鲜则拒绝;若新鲜,则判断自身存储的智能
卡列表SClist中是否包含ID
SC
,用户已存在则拒绝初始化请求;若未包含,则生成随机数RN
SA
,计算OTV=h(UID
i
||RN
SA
);其中,OTV表示一次性的权限申请凭证,可凭此值在用户注册阶段进行身份认证和权限申请,过后作废;S25:超级管理员SA生成当前最新时间戳TS2,并保存键值对{UID
i
‑
RN
SA
},同时将消息m2={OTV,TS2}发送至用户端;S26:用户端检查TS2的新鲜度,若新鲜,则保存{OTV,τ
i
}至SC卡;若不新鲜,则请求重发。4.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架,其特征在于:所述用户注册阶段,具体流程如下:S31:用户端插入SC卡,获得本地存储信息ID
SC
,OTV和τ
i
;S32:用户端输入要注册的自身ID号ID
SC
,生物信息BIO
i
和密码PW
i
;计算:σ
i
=Rep(BIO
i
,τ
i
)UID
i
=h(ID
SC
||σ
i
)其中Rep(BIO
i
,τ
i
)是生物特征匹配函数,是Gen(BIO
i
)函数的逆过程;S33:用户端向超级管理员SA请求UID
i
对应的RN
SA
,并计算:OTV
*
=h(UID
i
||RN
SA
)判断OTV是否与OTV
*
是否相等,若是则计算RPW=h(ID
SC
||σ
i
||PW
i
)V=h(UID
...
【专利技术属性】
技术研发人员:刘忻,杨浩睿,郭振斌,张瑞生,狄农雨,李韵宜,
申请(专利权)人:兰州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。