一种测控设备现场总线的安全通信方法技术

本发明专利技术属于工业通信领域，具体说是一种测控设备现场总线的安全通信方法。包括以下步骤：准备阶段：基于总线设备的属性，构建以不同的安全等级为关键字的哈希表，网关对总线设备进行身份验证；通讯阶段：网关对总线设备发送来的属性集合进行计算，并结合哈希表得到属性集合的安全系数，基于安全系数选取不同的算法，并将算法信息以及密钥发送给总线设备，总线设备对其进行解密，完成网关与总线设备直接的通信。本发明专利技术的方法针对测控现场设备的兼容性更强，在保证实时性和高效性的同时保证了测控设备现场总线的安全通信，提高控制系统资源利用率，降低生产成本，具有很大的应用推广空间。间。间。

【技术实现步骤摘要】
一种测控设备现场总线的安全通信方法


[0001]本专利技术属于工业通信领域，具体说是一种测控设备现场总线的安全通信方法。

技术介绍

[0002]随着智能制造、工业互联网的迅速发展，传统的封闭的工业生产体系逐渐变得开放，企业上下游以及不同的生产线之间的封闭状态被打破，工业控制系统网络分为企业办公网络，过程与监控网络，现场总线控制网络，目前针对工业网络信息安全协议的开发仅存在于企业办公网络和过程与监控网络，而现场总线控制网络的信息安全开发仍处于空白阶段，而现场总线控制网络的不同现场设备计算资源相差过大，部分设备具有低带宽和计算资源有限等特点，并且总线协议在设计之初往往没有考虑安全需求，许可、授权与访问控制不严格，不恰当的身份认证、缺乏数据的完整性验证以及对传输中的数据缺少加密处理导致总线协议极易受到非法控制和攻击，如何在实现总线安全通信的基础上准确满足每个现场设备的安全需求且不影响总线通信的实时性是本领域亟需解决的问题。测控设备现场总线的安全通信方法可以在实现身份认证、传输数据加密以及密钥更新和完整性检验的基础上满足现场设备对不同安全等级的需求。

技术实现思路

[0003]本专利技术目的是提供一种测控设备现场总线的安全通信方法，解决了测控设备现场总线不同设备之间通信的安全问题。
[0004]本专利技术为实现上述目的所采用的技术方案是：
[0005]一种测控设备现场总线的安全通信方法，包括以下步骤：
[0006]准备阶段：基于总线设备的属性，构建以不同的安全等级为关键字的哈希表，网关对总线设备进行身份验证；
[0007]通讯阶段：网关对总线设备发送来的属性集合进行计算，并结合哈希表得到属性集合的安全系数，基于安全系数选取不同的算法，并将算法信息以及秘钥发送给总线设备，总线设备对其进行解密，完成网关与总线设备直接的通信。
[0008]所述总线设备的属性，包括：总线设备的访问权限、计算资源、价值、维护成本。
[0009]所述准备阶段，包括以下步骤：
[0010]对总线设备的不同属性设置不同的权重，根据优劣解距离法的评价模型对不同的属性组合的安全等级划分分值区间，不同的分值区间对应不同的关键字；
[0011]建立以不同的安全等级为关键字的哈希表，不同的关键字映射不同安全系数；
[0012]总线设备与网关之间相互交换数字证书，并对身份进行验证。
[0013]所述安全等级具体为：
[0014]1)将所有的属性权重正向化，获得关于属性集合的正向化矩阵，并对正向化矩阵进行标准化处理：
[0015]假设有n个设备，每个设备有m个属性，所对应的矩阵为：
[0016][0017]假设x
ij
为正向化矩阵第i个设备的第j个属性，那么标准化之后的对应元素为
[0018]2)运用层次分析法确定各个属性的新的权重w
i
；
[0019]3)计算得分并进行归一化处理，确定安全等级：
[0020]设标准化之后的矩阵中每一列的最大值为y
j+
＝max{y
1j
，y
2j
，...，y
nj
}，最小值为Y
j
‑
＝min{y
1j
，y
2j
，...，y
nj
}，计算每个评价对象即每个设备的属性集合的得分其中其中其中均为系数，从而根据S
i
获得总线设备所对应的安全等级。
[0021]所述通信阶段，包括以下步骤：
[0022]身份验证成功后，网关对总线设备发送来的属性集合使用评价模型进行权重计算，并确定属性集合所属的安全等级，根据属性集合所属的安全等级为哈希表关键字获得所对应的安全系数；
[0023]利用安全系数、属性集合、时间戳，协商出初始密钥，并利用单向散列函数生成基于单向散列链的密钥链，用于定时更新密钥；
[0024]网关根据安全系数分别选取对应的加密解密算法和相应的HMAC算法，将算法信息以及密钥通过设备公钥加密并发送至总线设备中；
[0025]总线设备通过私钥解密得到网关发送的算法信息和密钥，使用会话密钥和HMAC密钥实现加密解密以及消息完整性验证。
[0026]所述利用安全系数、属性集合、时间戳，协商出初始密钥，具体为：网关利用收到的总线设备的属性集合进行权重计算并确定安全等级，根据属性集合所属的安全等级为哈希表关键字获得所对应的安全系数，以设备的属性集合、安全系数、时间戳拼接的字符串为输入，使用单向散列函数对输入进行处理，输出固定长度的密钥。
[0027]所述网关根据安全系数分别选取对应的加密解密算法和相应的HMAC算法，具体为：根据算法的复杂程度将不同加密解密算法和HMAC算法的组合进行排序，将不同的安全系数对应不同复杂程度的算法组合，网关根据安全系数来选取其对应的算法组合。
[0028]一种测控设备现场总线的安全通信系统，包括存储器和处理器；所述存储器，用于存储计算机程序；所述处理器，用于当执行所述计算机程序时，实现所述的一种测控设备现场总线的安全通信方法。
[0029]一种计算机可读存储介质，所述存储介质上存储有计算机程序，当所述计算机程序被处理器执行时，实现所述的一种测控设备现场总线的安全通信方法。
[0030]本专利技术具有以下有益效果及优点：
[0031]1.避免非法设备接入总线。使用基于数字证书的身份验证功能，在设备正式通信
之前交换证书并进行相互认证，有效避免未经受信任机构授权的非法设备接入总线。
[0032]2.灵活性高，本专利技术利用属性集合以及评价模型对不同类型的现场设备设置不同的安全等级，以不同的安全等级来确定不同复杂度的加密解密算法以及HMAC算法，以达到满足不同设备多样化安全需求的目的。
[0033]3.保密性高。本专利技术在通信阶段使用了对称加密算法以及基于单向散列链的密钥更新机制，保证了密钥的新鲜度，提高了数据的保密性。
[0034]4.实时性好。本专利技术根据不同设备的属性集合为不同设备提供不同复杂度的加密解密算法以及不同复杂度的HMAC算法，使得部分计算资源有限的设备在满足该设备安全需求的前提下尽可能使用复杂度较低的算法，以保证总线设备通信的实时性。
[0035]5.兼容性强。本专利技术基于属性的集合分配设备的安全等级，相比于静态预设设备安全等级的方法，不需要将设备安全等级与设备信息预存到网关中，只需设备接入并发送其设备属性即可完成安全等级的分配。
附图说明
[0036]图1是本专利技术的方法功能图；
[0037]图2是本专利技术的安全等级分配功能图；
[0038]图3是本专利技术的信息安全防护方法流程图；
[0039]图4是本专利技术的密钥更新功能图。
具体实施方式
[0040]下面结合附图及实施例对本专利技术做进一步的详细说明。
[0041]如图1～图4所示，一种本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种测控设备现场总线的安全通信方法，其特征在于，包括以下步骤：准备阶段：基于总线设备的属性，构建以不同的安全等级为关键字的哈希表，网关对总线设备进行身份验证；通讯阶段：网关对总线设备发送来的属性集合进行计算，并结合哈希表得到属性集合的安全系数，基于安全系数选取不同的算法，并将算法信息以及秘钥发送给总线设备，总线设备对其进行解密，完成网关与总线设备直接的通信。2.根据权利要求1所述的一种测控设备现场总线的安全通信方法，其特征在于，所述总线设备的属性，包括：总线设备的访问权限、计算资源、价值、维护成本。3.根据权利要求1所述的一种测控设备现场总线的安全通信方法，其特征在于，所述准备阶段，包括以下步骤：对总线设备的不同属性设置不同的权重，根据优劣解距离法的评价模型对不同的属性组合的安全等级划分分值区间，不同的分值区间对应不同的关键字；建立以不同的安全等级为关键字的哈希表，不同的关键字映射不同安全系数；总线设备与网关之间相互交换数字证书，并对身份进行验证。4.根据权利要求3所述的一种测控设备现场总线的安全通信方法，其特征在于，所述安全等级具体为：1)将所有的属性权重正向化，获得关于属性集合的正向化矩阵，并对正向化矩阵进行标准化处理：假设有n个设备，每个设备有m个属性，所对应的矩阵为：假设x
ij
为正向化矩阵第i个设备的第j个属性，那么标准化之后的对应元素为2)运用层次分析法确定各个属性的新的权重w
i
；3)计算得分并进行归一化处理，确定安全等级：设标准化之后的矩阵中每一列的最大值为最小值为计算每个评价对象即每个设备的属性集合的得分其中其中其中均为系数，从而根据S
i
获得总线设备所对应的安全等级。5.根据权利要求1所述的一种测控设备现场总线的安全通信方法，其特征在于，所述通信阶段，包括以下步骤：身份验证成功后，网...

【专利技术属性】
技术研发人员：刘诗源，闫炳均，周秀芳，张博，刘明哲，
申请(专利权)人：中国科学院沈阳自动化研究所，
类型：发明
国别省市：