基于零信任组合访问控制策略的工业控制系统安全框架技术方案

本发明专利技术涉及一种基于零信任组合访问控制策略的工业控制系统安全框架，采用边界网络安全模型和零信任安全模型组合策略构建安全体系；边界网络安全模型用于抵御工业物联网控制系统外部威胁；零信任安全模型用于防护工业物联网控制系统的内部威胁；零信任安全模型具体包括：零信任身份认证协议和策略引擎；零信任身份认证协议具体包括：系统初始化阶段、节点注册阶段、用户初始化阶段、用户注册阶段、登录和密钥协商阶段；本发明专利技术的有益效果是：采用组合策略实现对工业物联网控制系统的安全保障，解决了传统协议容易遭受追踪攻击和节点捕获攻击的问题，在注册阶段实现了权限分离，最小化了用户感染恶意程序、遭受社交工程攻击等手段带来的内部威胁。段带来的内部威胁。段带来的内部威胁。

【技术实现步骤摘要】
基于零信任组合访问控制策略的工业控制系统安全框架


[0001]本专利技术涉及机密计算领域，尤其涉及一种基于零信任组合访问控制策略的 工业控制系统安全框架。

技术介绍

[0002]工业控制系统(ICS)是由计算机和工业过程控制部件组成的自动控制系统, 是我国物联网技术(IoT)的重要发展方向。工业控制系统可以替代人工对工业 生产过程中的海量工业数据进行采集、分析和反馈，实现实时监控生产状态、 控制生产进程的目的，在工业的信息化智能化生产中发挥重要的作用，并且被 广泛应用于电能、核能、铁路、航空航天等关系国计民生的重要行业当中。工 业控制系统一旦遭受攻击，将会造成严重的后果。因此业界存在对具有高可用 性的符合安全要求的新型安全框架的需求。
[0003]随着物联网的发展，工业系统所处的环境，正在从“孤岛”走向“互联”， 工业物联网的出现既是工业发展的新机遇，又对工业系统安全有序的生产进程 提出了新的挑战。
[0004]然而，一方面，在协议层面，现行的、已经成为事实上业界标准的协议如 Modbus协议，设计之初主要致力于在于工业控制系统的可用性，可靠性方面的 设计，对安全性方面的关注较少，缺乏认证、权限、加密等安全方面的设计， 已经难以应对越来越严峻的安全威胁。另一方面，在硬件层次，工业物联网系 统中，存在设备老旧，兼容性差，能耗敏感、能源难以补充等硬件问题，然而 现行协议的严格离线注册规定和高能耗开销在实际工业生产中可用性不佳，因 此，业界存在对具有高可用性的符合安全要求的协议的需求。
[0005]传统的基于边界的网络安全模型难以应对来自内部的攻击。木马、钓鱼网站、 社交工程等攻击手段可以绕过防火墙的内外隔绝屏障，通过控制合法用户设备 实现身份仿冒，发起来自系统内部的攻击，造成数据泄露，数据丢失的严重后 果。
[0006]现行的基于零信任的网络架构过度依赖策略引擎。策略引擎是基于深度学习 建立的用于身份认证和访问控制的模型，如果用户的身份认证与系统访问权限 使用必须调用策略引擎进行判断与计算，将使得操作延迟上升，导致难以应对 突发工业事故需要人工介入的紧急处理。再者，策略引擎一旦失效、误判或被 恶意程序控制，会导致严重的安全事故。
[0007]现行身份认证协议存在不合理的安全假设与可用性缺陷。工业物联网需要面 对工业场景下高温、高压、强辐射、电磁干扰、剧毒等恶劣的生产环境，网关 与节点一经部署于工作区域，就难以取回。遗憾的是，一方面，现行身份认证 协议常假设网关处于可信的环境，网关中以静态密文，甚至明文存储信息，事 实上，针对无人监管区域的网关节点的捕获攻击可以使得攻击者获取网关存储 的信息，真正安全的环境与信道并不存在。另一方面，现行的身份认证协议大 多采用离线注册，假设用户和网关之间存在严格的离线安全通信环境，这使得 新用户注册时，需要将网关取回，在离线环境下执行，这实质上大大损害的系 统的可用性。

技术实现思路

[0008]针对上述技术问题，本专利技术提出的一种基于零信任组合访问控制策略的工业 控制系统安全框架，使用组合策略实现对工控系统的安全保障，针对来自系统 内部的威胁，选择在协议层面实现基于零信任的身份认证和密钥协商协议，同 时在通信实体处做好埋点收集行为信息上交至策略引擎，当策略引擎认为存在 异常数据、指令时候介入截断拦截。
[0009]本专利技术提供的一种基于零信任组合访问控制策略的工业控制系统安全框架， 采用边界网络安全模型和零信任安全模型组合策略构建安全体系；
[0010]其中，边界网络安全模型用于抵御工业物联网控制系统外部威胁；零信任安 全模型用于防护工业物联网控制系统的内部威胁；
[0011]所述零信任安全模型具体包括：零信任身份认证协议和策略引擎；
[0012]所述零信任身份认证协议具体包括：系统初始化阶段、节点注册阶段、用户 初始化阶段、用户注册阶段、登录和密钥协商阶段；
[0013]所述系统初始化阶段，指超级管理员SA在离线安全环境下为网关和节点预 埋信息和函数，保障后续阶段的安全性和可行性，具体为：
[0014]超级管理员SA为网关GW配置机密计算芯片搭建机密计算环境，为每一网 关生成其独有的主密钥K
GW
并在机密计算安全区中保存；
[0015]超级管理员SA为网关GW和工业终端节点SN配置基本的运算函数，包括： 连接运算||、哈希运算函数h()和哈希运算消息认证码函数HMAC()和异或运算函 数
⊕
；
[0016]超级管理员SA分配硬件id号，并为每一个网关GW生成一对公私钥，分别 为公钥k
p
和私钥k
v
，超级管理员SA保存公钥k
p
和对应的网关信息，网关保存 私钥k
v
；
[0017]初始化阶段后网关GW即部署于工作区域，后续阶段无需取回；
[0018]所述节点注册阶段，指工业终端节点SN在超级管理员SA的协助下进行在 线注册，具体为：
[0019]超级管理员SA通过初始化阶段预存的公钥密码算法加密通信信息，保护通 信安全，实现在不可信信道中向网关GW进行在线注册，经此过程后工业终端 节点SN归属于唯一的网关GW，同时节点SN和网关GW相互存留信息以供后 续的登录和密钥协商阶段中进行相互的身份认证、信息交换从而达到通信密钥 协商的目的；
[0020]所述用户初始化阶段，指用户U在超级管理员SA处进行初始化，分配信息， 赋予用户合法的身份和一次性权限申请的凭证OTV，使用户后续通过SA的身 份校验，并在SA协助下向网关GW发起在线注册和节点访问权限申请；
[0021]所述用户注册阶段，指用户U在超级管理员SA协助下向网关GW发起在线 注册和权限申请；用户U先通过提供用户初始化时信息以通过权限申请凭证 OTV验证，后续在线注册和权限申请在超级管理员SA的监管下进行；
[0022]所述登录和密钥协商阶段，指用户U、网关GW、工业终端节点SN三者之 间的相互认证身份协商密钥，并在协商结束后动态更新通信凭证的过程。
[0023]进一步地，所述节点注册阶段的具体流程如下：
[0024]S11：工业终端节点SN获取自身唯一ID标识ID
j
、网关GW唯一标识ID
GW
， 并生成随机
数SA根据ID
GW
提供对应的公钥网关公钥k
p
并计算：
[0025][0026][0027][0028]其中，是通信凭证、是通信凭证假名、是动态随机数的假名；
[0029]S12：工业终端节点SN生成当前新鲜时间戳TS1，并计算：
[0030][0031]S13：工业终端节点SN将消息m1＝{MSG
j
,TS1}传输至网关GW；
[0032]S14：网关GW检验时间戳TS1的新鲜性，若不新鲜，则丢弃并请求重发；若 新鲜，则计算:
[0033]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：采用边界网络安全模型和零信任安全模型组合策略构建安全体系；其中，边界网络安全模型用于抵御工业物联网控制系统外部威胁；零信任安全模型用于防护工业物联网控制系统的内部威胁；所述零信任安全模型具体包括：零信任身份认证协议和策略引擎；所述零信任身份认证协议具体包括：系统初始化阶段、节点注册阶段、用户初始化阶段、用户注册阶段、登录和密钥协商阶段；所述系统初始化阶段，指超级管理员SA在离线安全环境下为网关和节点预埋信息和函数，保障后续阶段的安全性和可行性，具体为：超级管理员SA为网关GW配置机密计算芯片搭建机密计算环境，为每一网关生成其独有的主密钥K
GW
并在机密计算安全区中保存；超级管理员SA为网关GW和工业终端节点SN配置基本的参数与运算函数，包括：硬件id号连接运算||、哈希运算函数h()和哈希运算消息认证码函数HMAC()和异或运算函数
⊕
；超级管理员SA为每一个网关GW生成一对公私钥，分别为公钥k
p
和私钥k
v
，超级管理员SA保存公钥k
p
和对应的网关信息，网关保存私钥k
v
；初始化阶段后网关GW即部署于工作区域，后续阶段无需取回；所述节点注册阶段，指工业终端节点SN在超级管理员SA的协助下进行在线注册，具体为：超级管理员SA通过初始化阶段预存的公钥密码算法加密通信信息，保护通信安全，实现在不可信信道中向网关GW进行在线注册，经此过程后工业终端节点SN归属于唯一的网关GW，同时节点SN和网关GW相互存留信息以供后续的登录和密钥协商阶段中进行相互的身份认证、信息交换从而达到通信密钥协商的目的；所述用户初始化阶段，指用户U在超级管理员SA处进行初始化，分配信息，赋予用户合法的身份和一次性权限申请的凭证OTV，使用户后续通过SA的身份校验，并在SA协助下向网关GW发起在线注册和节点访问权限申请；所述用户注册阶段，指用户U在超级管理员SA协助下向网关GW发起在线注册和权限申请；用户U先通过提供用户初始化时信息以通过权限申请凭证OTV验证，后续在线注册和权限申请在超级管理员SA的监管下进行；所述登录和密钥协商阶段，指用户U、网关GW、工业终端节点SN三者之间的相互认证身份协商密钥，并在协商结束后动态更新通信凭证的过程。2.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：所述节点注册阶段的具体流程如下：S11：工业终端节点SN获取自身唯一ID标识ID
j
、网关GW唯一标识ID
GW
，并生成随机数SA根据ID
GW
提供对应的公钥网关公钥k
p
并计算：并计算：并计算：其中，是通信凭证、是通信凭证假名、是动态随机数的假
名；S12：工业终端节点SN生成当前新鲜时间戳TS1，并计算：S13：工业终端节点SN将消息m1＝{MSG
j
，TS1}传输至网关GW；S14：网关GW检验时间戳TS1的新鲜性，若不新鲜，则丢弃并请求重发；若新鲜，则计算：其中表示通过k
v
解密密文MSG
j
还原的信息；新鲜性判断用于防止延迟的无效注册消息和攻击者的重放攻击；S15：网关GW判断与TS1是否相等，不等则丢弃并请求重发，相等则将ID
j
传输至机密计算芯片中，并在机密计算环境中计算：PPID
j
＝h(ID
j
||K
GW
)计算完毕后从安全区输出PPID
j
，保存键值对于网关内存；其中TS1相等判断是为了防止消息内容遭到篡改，K
GW
是系统初始化阶段预存并在机密计算环境中严格保护的主密钥；S16：网关GW生成新鲜的时间戳，TS2，并计算：ACK
GW
＝h(ID
GW
||TS2)网关GW将消息m2＝{MSG
GW
，TS2}发送至工业终端节点SN；其中ACK
GW
是确认消息，MSG
GW
是以网关私钥k
v
加密的确认消息；S17：工业终端节点SN接受消息，检查时间戳TS2的新鲜度；若不新鲜，则丢弃并请求重发，若新鲜，则计算：ACK
GW
＝h(ID
GW
||TS2)判断和ACK
GW
是否相等，若不等，丢弃并请求重发；若相等，则保存键值对3.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：所述用户初始化阶段，具体流程为：S21：用户端插入智能卡SC，获取智能卡身份标识ID
SC
，用户端采集用户生物特征信息BIO
i
，计算：(σ
i
，τ
i
)＝Gen(BIO
i
)UID
i
＝h(ID
SC
||σ
i
)其中Gen(BIO
i
)是生物特征提取函数，σ
i
，τ
i
是提取的生物特征值；UID
i
是由智能卡和用户生物特征组合计算的变量，是用户的全局唯一识别码，用户的访问和控制行为可以通过UID
i
监测记录，交付旁挂策略引擎进行行为分析和控制；S22：用户端生成新鲜时间戳TS1，并将消息m1＝{ID
SC
，UID
i
，TS1}发送至超级管理员SA；S24：超级管理员SA检查TS1的新鲜度，若不新鲜则拒绝；若新鲜，则判断自身存储的智能
卡列表SClist中是否包含ID
SC
，用户已存在则拒绝初始化请求；若未包含，则生成随机数RN
SA
，计算OTV＝h(UID
i
||RN
SA
)；其中，OTV表示一次性的权限申请凭证，可凭此值在用户注册阶段进行身份认证和权限申请，过后作废；S25：超级管理员SA生成当前最新时间戳TS2，并保存键值对{UID
i
‑
RN
SA
}，同时将消息m2＝{OTV，TS2}发送至用户端；S26：用户端检查TS2的新鲜度，若新鲜，则保存{OTV，τ
i
}至SC卡；若不新鲜，则请求重发。4.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：所述用户注册阶段，具体流程如下：S31：用户端插入SC卡，获得本地存储信息ID
SC
，OTV和τ
i
；S32：用户端输入要注册的自身ID号ID
SC
，生物信息BIO
i
和密码PW
i
；计算：σ
i
＝Rep(BIO
i
，τ
i
)UID
i
＝h(ID
SC
||σ
i
)其中Rep(BIO
i
，τ
i
)是生物特征匹配函数，是Gen(BIO
i
)函数的逆过程；S33：用户端向超级管理员SA请求UID
i
对应的RN
SA
，并计算：OTV
*
＝h(UID
i
||RN
SA
)判断OTV是否与OTV
*
是否相等，若是则计算RPW＝h(ID
SC
||σ
i
||PW
i
)V＝h(UID
...

【专利技术属性】
技术研发人员：刘忻，杨浩睿，郭振斌，张瑞生，狄农雨，李韵宜，
申请(专利权)人：兰州大学，
类型：发明
国别省市：