【技术实现步骤摘要】
本专利技术属于信息安全,尤其涉及一种基于5g的工业控制系统iec104协议通信安全防控方法。
技术介绍
1、在智能工业控制设备和工业自动化管理系统之间,目前主流的通讯规约基本采用dl/t634.5104通信规约,该标准等同采用iec60870-5-104国际标准,经常被简称为iec104规约。iec104规约作为一种国际标准协议,具有实时性好、可靠性高、数据流量大、便于信息量扩充、支持网络传输等优点,广泛应用于工业控制、电力、轨道交通、智能建筑等行业,已被国内外智能工业控制自动化主流供应商应用到各类行业之中。
2、5g代表着当今移动通信领域的最新技术,具有高速率、高可靠性、低时延等技术优势。将5g与工业控制领域结合将有巨大的市场空间,对于提高工业控制的智能化、高效化、自动化等方面都有重大的现实意义。然而,相比传统的数据有线传输方案,5g无线通信场景下的网络攻击更为多样化和复杂化,传统的数据通信规约如iec104规约暴露出更大的安全隐患,远不能满足工业生产的安全需求。
3、iec104规约的通信过程主要包括以下几个方面:(1)tcp连接建立和初始化,即主站和子站三次握手建立tcp连接后,通过u帧完成链路初始化;(2)遥测数据循环上送,主要用于遥测数据的循环上送;(3)总召唤,主要用于主站召唤子站的全量遥信、遥测信息;(4)远方对时,主要用于主站向子站发送时间同步帧;(5)子站事件主动上传,用于子站突发遥信变位、遥测变化超阅值时的信息主动上送;(6)遥控/遥调,主要用于主站向子站发送遥控/遥调命令时的信息交互
4、iec104规约在5g无线传输场景下的安全问题主要有以下几点:(1)iec104规约的通信主要通过明文形式传输,由于规约的开放性和一致性,iec104报文容易被窃听和解析;(2)iec104规约缺乏消息摘要和校验等措施,在无线传输的过程中易被篡改,网络攻击者可通过篡改控制报文恶意遥控工业控制设备,导致设备损坏或误动;(3)iec104规约缺乏数字签名等安全措施,主站和子站无法确认消息发送方身份是否可信,网络攻击者可冒充主站或子站参与数据交互,冒充主站时可随意发送控制报文,造成在网的工业设备损坏或误动事件;冒充子站时,可发送错误的遥信遥测信息给主站,干扰主站处理,造成工业控制系统误判当前设备的运行情况;(4)iec104规约缺乏时间截、随机数等抗重放攻击措施,仅通过接收序号、发送序号连贯性校验实现抗重放攻击。攻击者可通过重放个别链路整个信息交互过程实现重放攻击。
5、由于iec104规约报文格式主要针对业务需求进行定义缺乏安全层面的考虑,如果基于iec104规约的网络攻击造成数据传输紊乱甚至工业控制设备误动、拒动和数据紊乱,将给智能工业控制系统的安全稳定运行带来严重威胁。
技术实现思路
1、本专利技术针对现有技术中的不足,提供一种基于5g的工业控制系统iec104协议通信安全防控方法。
2、本专利技术提供一种基于5g的工业控制系统iec104协议通信安全防控方法,包括:
3、在iec104通信链路建立阶段增加身份认证;
4、在iec104通信控制报文下发阶段增加身份认证;
5、在5g加密通信终端主站预置主站证书和子站证书,以完成子站接入时的身份鉴别和控制命令报文的数字签名;
6、在5g加密通信终端子站预置子站证书及主站证书,以完成主站身份鉴别和控制指令抗重放攻击;
7、在5g加密通信终端主站安装硬件加密卡,为主站业务提供加密认证算法服务;
8、在5g加密通信终端子站部署加密模块,为子站业务提供加密认证算法服务;
9、建立5g加密通信终端主站和5g加密通信终端子站的tcp连接;
10、在5g加密通信终端主站生成随机数r1和签名,并发起认证请求报文;5g加密通信终端子站验证认证请求报文的签名;如果认证请求报文的签名正确,则生成随机数r2和认证应答报文签名,并回复认证应答报文;5g加密通信终端主站验证认证应答报文的签名;如果认证应答报文的签名正确,5g加密通信终端主站回应认证确认报文,完成双向认证过程;
11、建立5g加密通信终端子站与工业控制设备的tcp连接,接收工业控制设备发送的tcp报文,并通过iec104协议传送给5g加密通信终端主站;5g加密通信终端主站接收到报文后,tcp报文传送至工业控制系统;其中,工业控制设备为iec104协议的服务端;工业控制系统为iec104协议的客户端;
12、建立5g加密通信终端主站与工业控制系统的tcp连接,接收工业控制系统发送的tcp报文;如果tcp报文为非控制类报文,则通过iec104协议传送至5g加密通信终端子站,由5g加密通信终端子站发送至工业控制设备;如果tcp报文为控制类报文,则由5g加密通信终端主站生成签名、时间戳和随机数加到控制报文末端,并发送至5g加密通信终端子站;如果5g加密通信终端子站验证签名成功,则将控制报文还原为标准iec104报文发送至工业控制设备;如果5g加密通信终端子站验证签名失败,则放弃控制报文。
13、进一步地,所述在iec104通信链路建立阶段增加身份认证,包括:
14、在iec104协议的客户端与iec104协议的服务端三次握手建立tcp连接后,服务端通知客户端tcp连接已建立,客户端主动发送认证请求;其中,认证请求报文采用iec104规约的i格式扩展报文,类型标识为0x91,认证请求报文的发送序列号和接收序列号均置0;
15、服务端收到客户端的认证请求报文后,对客户端身份进行认证;如果验证未通过,则断开tcp连接;如果验证通过,则服务端向客户端发送认证应答报文;其中,认证应答报文采用iec104规约i格式扩展报文,类型标识为0x92,认证应答报文的发送序列号和接收序列号均置0;
16、客户端收到服务端的认证应答报文后,对服务端的身份进行验证,如果验证未通过,则通知客户端断开当前的tcp连接,重新建立tcp连接并重新开始认证过程;如果验证通过,则客户端向服务端发送认证确认报文;其中,认证确认报文采用iec104规约的i格式扩展报文,类型标识为0x93,认证确认报文的发送序列号和接收序列号均置0。
17、进一步地,所述在iec104通信控制报文下发阶段增加身份认证,包括:
18、在iec104通信控制报文下发阶段,iec104协议的客户端在iec104控制报文后附加时间截、随机数和签名结果值,作为强化控制报文,发送至iec104协议的服务端进行验签;
19、服务端在收到客户端强化控制报文后进行验签,如果验签通过且时间截和随机数校验合规,则执行目标操作;如果验签失败或时间截和随机数校验不合规,则丢弃强化控制报文。
20、进一步地,时间截和随机数校验合规的条件为时间截与当前时间差不大于30秒且30秒内的随机数无重复;时间截和本文档来自技高网...
【技术保护点】
1.一种基于5G的工业控制系统IEC104协议通信安全防控方法,其特征在于,包括:
2.根据权利要求1所述的基于5G的工业控制系统IEC104协议通信安全防控方法,其特征在于,所述在IEC104通信链路建立阶段增加身份认证,包括:
3.根据权利要求1所述的基于5G的工业控制系统IEC104协议通信安全防控方法,其特征在于,所述在IEC104通信控制报文下发阶段增加身份认证,包括:
4.根据权利要求3所述的基于5G的工业控制系统IEC104协议通信安全防控方法,其特征在于,时间截和随机数校验合规的条件为时间截与当前时间差不大于30秒且30秒内的随机数无重复;时间截和随机数校验不合规的条件为时间截与当前时间差大于30秒或30秒内的随机数有重复。
5.一种计算机设备,其特征在于,包括处理器和存储器;其中,处理器执行存储器中保存的计算机程序时实现权利要求1-3任一项所述的基于5G的工业控制系统IEC104协议通信安全防控方法的步骤。
6.一种计算机可读存储介质,其特征在于,用于存储计算机程序;计算机程序被处理器执行时实现权利要求
...【技术特征摘要】
1.一种基于5g的工业控制系统iec104协议通信安全防控方法,其特征在于,包括:
2.根据权利要求1所述的基于5g的工业控制系统iec104协议通信安全防控方法,其特征在于,所述在iec104通信链路建立阶段增加身份认证,包括:
3.根据权利要求1所述的基于5g的工业控制系统iec104协议通信安全防控方法,其特征在于,所述在iec104通信控制报文下发阶段增加身份认证,包括:
4.根据权利要求3所述的基于5g的工业控制系统iec104协议通信安全防控方法,其特征在于,时间截和随机数校验合规的条...
【专利技术属性】
技术研发人员:乔雪,李明,由佳,王逸之,葛珊珊,邓亚玲,
申请(专利权)人:金陵科技学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。