一种基于设备指纹和国密算法的产线网络安全防护方法,其特征在于,包括:基于设备指纹的设备身份认证,通过CAN总线设备的高低电压差这一电气特征提取设备指纹,基于高斯朴素贝叶斯分类器对设备身份进行认证;基于国密算法的硬件数据传输加解密,利用开源的strongSwan项目,应用SM2,SM3,SM4等自主可控的国产密码算法。本发明专利技术基于朴素贝叶斯分类器识别设备指纹进行设备身份认证,防止未授权工业设备接入、以及设备被恶意篡改后导致设备指纹的变化;并基于国密算法对工业数据传输进行加密解密,实现自主可控,保证产线网络协议报文的机密性和完整性。密性和完整性。密性和完整性。
【技术实现步骤摘要】
一种基于设备指纹和国密算法的产线网络安全防护方法
[0001]本专利技术涉及一种产线网络安全防护技术,尤其是一种防止未授权工业设备接入的设备身份认证方法和一种保证产线网络协议报文的机密性和完整性的数据传输加解密方法,具体地说是一种基于朴素贝叶斯分类器识别设备指纹的设备身份认证方法和一种基于国密算法的数据传输加解密方法。
技术介绍
[0002]产线是指以自动机械来完成生产制造流程的一个制造组合方式,广泛应用于大批量生产的制造、冶金、化工、食品加工等行业,其网络是工业互联网在生产自动化过程中的应用。由于工业互联网在设计之初没有给予安全性足够的重视,随着网络的规模不断扩大、功能复杂度不断提升、其开放程度也不断增加,其安全隐患造成严重损失的可能性也随之升高。对于产线安全管理而言,没有保护的信息传输让整个系统暴露在被窃听、被假冒的风险当中;未经认证的设备或用户接入产线网络将引发诸如核心功能篡改、虚假数据注入、机密信息泄露等严重安全风险。基于此,产线安全防护具有相当的必要性。
[0003]传统的设备身份认证有很多基于口令、芯片,这些方法不仅安全性不高,成本还不低,当前最热门的方式是通过设备指纹来识别设备,它可以唯一标识出一台设备。设备硬ID这类一台设备只有一个,且处于同一使用场景下不会与其他设备有重复的数据可以作为显性标识符,成为生成设备指纹的基础。设备指纹也可以由设备隐性标识符的特征集合来生成。设备指纹的特征信息越多,安全性也就越高。本专利技术基于CAN总线设备的高低电压差这一电气特征提取设备指纹,对设备身份进行认证。
[0004]设备管理工程师通过验证获得授权接入网络之后,需要在硬件之间进行数据传输,若不加以保护,则信息极易被窃听、篡改、拦截。因此需要设计对数据进行加密传输。国际上默认采用的加密算法一般是以美国为主研发颁布的加密算法,如RSA、AES、3DES、SHA
‑
256等等。strongSwan项目中IKE和ESP协议用到的密码算法是基于国际标准的,用开源软件实现的,并且在全网络公开,所以软件加密在加密速率、安全性方面有许多的不足之处,而且不符合我国国家安全和经济发展的需求。中国国家密码局将一系列由我国自主研发、具有自主知识产权的商用密码算法公之于众,并且积极提倡使用该套安全性极高的“国密算法”,包括SM2、SM3、SM4等算法。本专利技术基于国密SM2、SM3、SM4算法对数据传输进行加密解密。
技术实现思路
[0005]本专利技术的目的是针对现有产线网络所存在的安全问题,提出了一种基于设备指纹和国密算法的产线网络安全防护方法。
[0006]CAN总线广泛应用于产线网络,而常用的工业以太网的准入机制无法适用于CAN总线等产线网络,因此需要一种面向CAN总线的产线网络准入机制。本专利技术面向CAN总线,研发一种新型的设备电压指纹的采集与识别方法,以对CAN设备进行接入控制。如图3所示,CAN
设备的信号发生器内部可近似看成一个全差分放大器。不同的CAN设备电气特性体现在总线电压上。当发送信号0时,CAN收发器端的晶体管可等效地描述为具有漏
‑
源导通状态电阻RDSON的电阻(低阻抗状态),其中电流从VCC通过RL流到接地端,从而在CANH和CANL之间产生大约2V的差分电压。当发送信号1时,不触发RDSON的电阻(高阻抗状态),VCC到GND端电压差可忽略。因此,CAN收发器能够在两条CAN线上输出0V或2V的差分电压来编码数据1或0。
[0007]在实际发送报文时,由于不同CAN设备在总线上存在微小、固有的电气特性的差异,会导致输出的差分电压信号并非是标准的0V、2V。会由于各自的差异,产生独立的变化。这种变化是固定的、微小的。为了获得这种差异,对CANH和CANL上的输出电压进行大量的电气信号采样与收集,再通过放大、叠加各个CAN设备的电压特征差异,做出分析并导出电压曲线,获得各CAN设备的电压指纹。
[0008]本专利技术的技术方案是:
[0009]一种基于设备指纹和国密算法的产线网络安全防护方法,其特征在于,包括基于设备指纹的设备身份认证和基于国密算法的硬件之间数据传输加解密。
[0010]其中,基于设备指纹的设备身份认证方法,其特征是它包含以下步骤:
[0011](1)识别CAN设备电压指纹;(2)基于朴素贝叶斯分类器判断输入指纹属于哪一台设备。
[0012]进一步,所述步骤(1)中,需要采集各ID的数据帧报文的电压信号,去除非主导电压,通过阈值学习,去除ACK场的主导电压,再追踪统计信息指标F1
‑
F6,用来反映工控设备的电压特性。其中F1表示CANH最频繁值;F2表示CANL最频繁值;F3表示CANH累计75%点对应的值;F4表示CANL累计25%点对应的值;F5表示CANH累计90%点对应的值;F6表示CANH累计10%点对应的值,计算CVD,表示工控设备发射器的主导电压与理想值的累积偏差,最后用递归最小二乘法算出综合的累积偏差,即电压指纹。
[0013]进一步,所述步骤(2)中,采用高斯朴素贝叶斯算法判断输入指纹属于哪一台设备,朴素贝叶斯分类器用来计算一个样本属于某一类的概率,进而比较概率大小来决定样本的分类结果,分类器需要数据集作为已知样本集,还需要这些样本的分类结果,最后对新给出的样本集进行分类。具体来说,假设已经得到样本集D={x1,....,x
n
},每一个x
i
都有k个特征,分别计为a
i
,可能类别为Y={y1,...,y
m
},根据每个x
i
的特征,它会被分类到某一个y
j
类中。现在我们已经知道D分类的结果,分类器需要根据已经有的这些信息对新的样本x=(a1,...,a
k
)进行分类。y
j
就是一些模型,我们需要根据现有分类数据判断x最有可能符合哪一个模型。
[0014]需要计算已知x时分类到y
j
的概率Pr(y
j
|x),然后比较其中最大的概率,选择对应的y
j
作为分类结果。根据贝叶斯公式:
[0015][0016]其中Pr(x)可以忽略,我们用D中分类到y
j
的元素占D所有元素的比例来估计y
j
出现的概率Pr(y
j
),然后计算Pr(x|y
j
),已知x有一些特征,那么:
[0017][0018]也就是x的每一个特征都出现在y
j
中的概率,其中Pr(a
i
|y
j
)是a
i
出现在y
j
分类中的
比例。最终就得到:
[0019][0020]计算右边的最大值,然后选择对应的y
j
作为分类结果即可。也就是输入CANH和CANL的数值,可以判断它属于哪台设备。
[0021]其本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于设备指纹和国密算法的产线网络安全防护方法,其特征在于,包括基于设备指纹的设备身份认证和基于国密算法的硬件数据传输加解密;所述基于设备指纹的设备身份认证是首先进行CAN设备电压指纹识别,然后基于朴素贝叶斯分类器判断输入指纹属于哪一台设备;所述基于国密算法的硬件数据传输加解密是利用开源的strongSwan项目,应用自主可控的SM2,SM3,SM4国产密码算法进行加解密,即替换strongSwan中的IKEv2协议和ESP协议中用到的数字签名算法、完整性验证算法、加解密算法为相应的国密SM2、SM3、SM4算法。2.根据权利要求1所述的产线网络安全防护方法,其特征是,所述的CAN设备电压指纹识别包括如下步骤:步骤1:采集各ID的数据帧报文的电压信号,去除非主导电压;步骤2:通过阈值学习,去除ACK场的主导电压;步骤3:追踪统计信息指标F1
‑
F6,用来反映产线设备的电压特性;其中F1表示CANH最频繁值;F2表示CANL最频繁值;F3表示CANH累计75%点对应的值;F4表示CANL累计25%点对应的值;F5表示CANH累计90%点对应的值;F6表示CANH累计10%点对应的值;步骤4:计算CVD,表示产线设备发射器的主导电压与理想值的累积偏差;步骤5:用递归最小二乘法算出综合的累积偏差,即电压指纹。3.根据权利要求1所述的产线网络安全防护方法,其特征是,基于朴素贝叶斯分类器判断输入指纹属于哪一台设备是通过计算一个样本属于某一类的概率,进而比较概率大小来决定样本的分类结果,分类器需要数据集作为已知样本集,还需要这些样本的分类结果,最后对新给出的样本集进行分类;假设已经得到样本集D={x1,....,x
n
},每一个x
i
都有k个特征,分别计为a
...
【专利技术属性】
技术研发人员:黄健,韩皓,薛善良,方丹枫,王彩亦,端木君仪,
申请(专利权)人:南京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。