专利名称:无线工业控制网络安全系统及安全策略实现方法
技术领域:
本发明涉及一种工业现场控制技术,具体是一种无线工业控制网络的安全体系结构。
背景技术:
无线通信技术作为信息领域的一个全新的方向,同时也是新兴学科与传统学科学术交叉的结果,已经引起了学术界和工业界的广泛关注。
同传统网络相比,无线工业控制网络具有节点能量、计算能力、存储空间、网络带宽和通讯能力非常有限、网络规模较大、拓扑动态变化等特点。这些特点使得它更加易遭受入侵、毁坏或重放等恶意或非恶意的威胁,如病毒、信息泄漏和篡改、系统不能使用等等,同时也使得传统网络中的各种安全服务无法直接应用在无线控制网络上。为此,必须采取必要的安全措施,以保证无线工业控制网络系统在开放的环境中能够安全地运行,保护内部的系统、资源和正常的生产秩序。
国外的许多大学和研究机构纷纷投人了大量的研发力量从事无线网络软硬件系统的安全方面的研究工作。1997年,以Nokia,Ericsson,Motorola为首的无线设备制造商制定了基于WPKI(无线公钥基础体系)的WAP规范。对此,许多研究者进行了大量卓有成效的研究。然而WPKI体系和PKI体系一样,需要数字证书和证书认证中心的支持。在规模化密钥管理上,WPKI用层次化CA机构的数量来扩大密钥管理的规模,但却引出机构膨胀和信任关系退化的问题,同时不论在建设时期还是维护时期,数字证书的管理和使用的费用都是很昂贵的,并且对应用环境的要求也比较高。资源十分有限的无线通信环境WPKI体系而一言,很难满足工业网络现场控制的需求。2006年,韩国的Jun-Cheol Park和Ah-Hyun Jun在他们的论文中建议在基于IP的移动网络中,采用KDC的机制建立密钥管理系统,并详细分析了KDC的优势,无疑是一个很好的思路。(A lightweight IPsec adaptation for small devicesin IP-based mobile networks,This paper appears inAdvancedCommunication Technology,2006.ICACT 2006.The 8th InternationalConference Publication Date20-22 Feb.2006 Volume1 INSPEC AccessionNumber9053500),但普遍着重于无线安全的理论分析,大多是从无线移动通信的角度来考虑安全,缺乏从工业控制系统整体特点来考虑,至今没有形成一个完整的工业无线通信的安全系统架构。
发明内容
本发明针对无线工业控制网络能源供应有限、带宽和信道有限、动态变化的网络环境,无线网络介质的开放性等特点,提出适应无线控制网络的,采用分级安全结构构建无线网络安全管理系统。
本发明所采用的技术方案是将无线工业控制网络分为3个层次企业管理层L3,过程控制层L2,现场设备层L1,根据工业控制网络的层次结构,建立无线工业控制网络的安全通信模型,构建无线工业控制网络安全管理系统,通过采用基于KDC的密钥管理和鉴别机制,无线安全网关,无线网络安全管理实体、无线安全管理信息库来对网络实施不同的安全措施。企业管理层的边界网关和边界路由器是外部网络访问该控制网络的安全防火墙接口,对整个无线控制系统实施边界保护。企业管理层与过程监控层之间采用安全代理作为连接的安全接口设备,对过程监控层及现场设备层实施边界保护,负责用户授权的鉴别工作。过程控制层L2网段的密钥管理中心KDC负责无线工业控制网络密钥的分发和管理,包括提供密钥的产生与管理、提供设备入网的鉴别认证方法,提供密钥的安全分发方法。过程控制层L2网段的无线组态服务器提供安全组态服务,实现对网络中安全设备测控过程的组态,提供安全管理服务以及对安全功能进行配置。过程控制层L2网段和现场设备层L1网段之间的安全网关Gateway和无线路由Router负责现场设备网络的边界保护,实现报文过滤、流量控制、转发控制、时间戳控制等功能。
本发明还提出了一种无线网络安全处理方法,该方法根据无线工业网络的层次结构,建立无线工业控制网络的安全通信模型,采用分级安全结构构建基于密钥管理中心KDC的无线控制网络安全管理系统;通过密钥管理中心KDC的密钥管理和鉴别机制,无线安全网关,无线网络安全管理实体、无线安全管理信息库来对网络实施不同的安全措施。
在企业管理层设置边界网关和边界路由器作为外部网络访问该工业控制网络的安全防火墙接口,对整个无线控制系统实施边界保护;在企业管理层与过程监控层之间采用安全代理作为连接的安全接口设备,对过程监控层及现场设备层实施边界保护,负责用户授权的鉴别工作。在过程控制层L2网段设置密钥管理中心KDC负责无线工业控制网络密钥的分发和管理,包括提供密钥的产生与管理、提供设备入网的鉴别认证方法,提供密钥的安全分配方法;设置无线组态服务器提供安全组态服务,实现对网络中安全设备测控过程的组态,以及对安全功能进行配置;在过程控制层L2网段和现场设备层L1网段之间设置安全网关Gateway和无线路由器Router负责现场设备网络的边界保护,实现报文过滤、流量控制、转发控制、时间戳控制等功能。
所构建的安全通信模型中在安全管理系统中通过密钥管理中心KDC建立整个网络的密钥管理和鉴别机制,所述密钥管理和鉴别机制具体包括密钥分发,密钥管理,密钥废止,入网鉴别等安全控制策略;无线安全网关适用于无线工业控制网络的安全配置和安全功能,用于提供边界保护,并对安全通信模型中的相应层次提供模块化的保护;位于安全通信模型应用层的无线安全管理实体安全提供无线设备鉴别、无线报文校验、无线报文加密、无线访问授权等安全控制算法,用于对用户的数据进行安全处理之后送到相应的应用实体;安全通信模型中的安全管理信息库向管理进程提供安全管理信息,在安全管理信息库中存放安全管理实体所需的信息,包括MAC层、网络层、应用层在内的各层的安全相关信息,以及所要保护的相关信息参数,并且负责管理和存储网络中的密钥信息、加解密算法、校验算法等,便于密钥的更新和组态;安全通信模型中的无线MAC层中采用跳信道防干扰技术实现。
新设备在入网的时候通过向密钥管理中心KDC提供鉴别消息,验证通过后可申请获得密钥加密密钥,当需要传输密钥时,再通过密钥加密密钥获得传输密钥;利用校验码对接收的用户数据进行校验,保证数据的完整性;发送方/接收方的报文使用KDC所发放的传输密钥进行加密/解密;通过查询KDC控制列表中的相关参数属性,接收方确定发送方是否具有访问授权,实现访问控制。
本发明可有效解决无线工业控制网络内部资源短缺与数据通信安全性之间的问题,保证在一个开放的环境中能够安全地操作,保护内部的系统、资源和正常的生产秩序,在满足工业控制网络性能要求的前提下确保过程控制参数的保密性和完整性,以有效解决无线工业控制网络内部资源与数据通信的安全性问题,以保障系统正常的运行,或在受到攻击时能够迅速地发现并采取相应的安全措施,使系统的安全损失减少到最小,并能够迅速地恢复。
图1无线工业控制网络分层安全结构示意2基于KDC体系的无线工业控制网络鉴别和密钥分发管理过程图3无线现场设备通信模型结构示意4无线工业控制设备鉴别工作流程5访问控制列表确定通信关系6无线报文加密/解密流程图7无线报文校验工作流程图具体实施方式
以下结合附图和具体实施例对本发明的实时作具体说明。
图1所示为无线工业控制网络系统分层安全结构示意图。根据工业控制网络需要,并结合ISA推荐的无线工业控制系统结构体系,将无线工业控制网络分为3个层次企业管理层L3(Level 3),过程控制层L2(Level 2),现场设备层L1(Level 1)。其中,现场设备层L1网段用于无线工业生产现场的各种现场设备(如变送器、执行机构、分析仪器等)之间以及无线现场设备与过程控制层L2网段的连接;过程监控层L2网段主要用于控制室仪表、装置以及人机接口之间的连接。企业管理层L3网段负责企业级管理监控。本发明采用分层实施不同的安全策略和措施,综合考虑工业控制网络通信的实时性、现场设备资源的有限性与安全管理问题,在不同层次采取不同安全策略,构成一个完整的无线工业控制网络安全体系架构,如图1所示。
1)企业管理层的边界网关和边界路由器是外部网络访问该控制网络的安全防火墙接口,对整个无线控制系统实施边界保护,保证无线工业控制网络正常工作,在企业管理层网络与外部网络的边界上,安全网关应具有最高的安全等级,它负责对整个网络实施边界保护的功能;企业管理层的信任中心(Trust Center)和企业管理服务器负责对这个工厂的控制网络进行企业级的管理和监控。
2)安全代理是连接企业管理层与过程监控层之间的安全接口设备,对过程监控层及现场设备层实施边界保护,负责用户授权的鉴别工作。
3)过程控制层L2网段的密钥管理中心KDC负责密钥的分发和管理以及设备的鉴别工作,设备可通过无线路由加入网络,新设备在入网的时候通过向密钥管理中心KDC提供鉴别消息,而鉴别消息通过路由或网关传递到密钥管理中心KDC,完成设备的鉴别,KDC访问控制列表保存在KDC和组态服务器中。
新设备在入网的时候通过向密钥管理中心KDC提供鉴别消息,验证通过后KDC将该设备的入网消息返回无线路由器,并允许该设备入网。鉴别通过后新入网设备获得密钥加密密钥KEK,当需要传输密钥时,KDC再通过密钥加密密钥KEK加密相关的密钥发送给需要传输密钥的设备;密钥管理中心KDC可以废止已经泄漏或者已经处于危险中的密钥,并分发新的密钥,密钥管理中心KDC对密钥的生存周期进行必要管理。
4)无线组态服务器提供安全组态服务,对安全设备的组态不仅实现对测控过程的组态,还对安全功能进行配置。无线组态服务器位于系统结构中过程监控层,,一旦完成对网络设备的合法性检查,组态软件即通过变量读服务读取安全通信模型中安全管理信息库中的可读参数,并且根据实际需求修改设备的配置信息。可修改的配置信息应当为标准规定的可写的参数。组态时需要监控和配置的参数包括无线设备涉及安全的各层的参数,设备中应用的安全措施类型、数据加密和数据校验使用的安全算法、访问控制列表、设备密钥和设备鉴别状态。监控各设备的资源和存储情况,如出现资源耗尽,Flash存储读/写周期耗尽,电能耗尽时通过使用日志和报警通知使用者;5)过程控制层L2网段和现场设备层L1之间的安全网关Gateway和无线路由Router负责现场设备网络的边界保护,防止可能存在的非法设备接入和未授权的访问等。实现报文过滤(包括IP、端口、工业控制报文标识)、流量控制、转发控制、时间戳控制等功能;安全网关负责安全管理和网络管理。通过无线安全网关可以防止现场设备级以外的安全威胁,并根据访问现场设备的途径设置现场设备中的安全措施。可采用访问控制、设备鉴别、地址转换、用户认证、数据加密、数据校验和包过滤技术。
按照上述无线控制网络系统结构,参考GB 17859-1999《计算机信息系统安全保护等级划分准则》,无线工业控制网络受到的威胁越大、安全等级要求越高、采取的安全措施也应越强。根据无线工业控制网络与外界网络通信的紧密程度,可采取不同的安全措施,确保达到需要的安全等级。将所构建的无线工业控制网络定义为4个安全等级。根据不同的安全等级以及所处的层次采用不同的安全机制,无线工业控制控制网络分层分级安全机制如表一所示
表1无线工业控制控制网络分层分级安全机制
独立的无线工业控制网络是指一个小型的无线工业控制网络环境,该网络环境只包括现场设备层L1网段和过程监控层L2网段,不需要对过程监控层L2网段进行边界保护,安全等级较低,采用Level 0级对应安全机制;允许网络企业管理层访问过程监控层的网络环境包括工业现场3个层次的网段,在该环境下,只允许企业管理层访问过程监控层,对边界保护和安全措施提高要求,采用Level 1级对应安全机制;允许网络企业管理层访问现场设备层的网络环境包括工业现场3个层次的网段,在该环境下,允许网络企业管理层访问现场设备层,企业管理层的边界保护使用应用级防火墙,过程监控层的防火墙使用状态防火墙,安全等级进一步提高,采用Level 2级对应安全机制;允许公共网络访问现场设备层的情况如图1所示,是一个具有完整结构的无线工业控制网络环境,企业管理层和过程监控层的边界保护均使用应用级防火墙,安全措施更加复杂,安全等级进一步提升,采用Level 3级对应安全机制。
无线工业控制网络系统中位于过程监控层的密钥管理中心KDC执行密钥管理方法。密钥管理中心KDC(key distribute center)提供一整套完整的机制用来管理和分配密钥。密钥管理中心保存有每个设备的设备ID,初始密钥,密钥加密密钥KEK,传输密钥,校验密钥等信息。
图4所示为基于KDC体系的无线工业控制网络设备鉴别和密钥分发管理过程。
设备鉴别是利用设备的设备标识符(Device ID),设备的时间戳和设备的初始密钥三个关键字鉴别无线设备,通过鉴别机制判断该设备的合法性。设备标识符等关键字标识无线授权设备,通过鉴别机制判断该设备的合法性,从而保证无线设备在无线网络中进行安全操作。其具体过程如下1)设备执行初始化,写入初始密钥。无线工业设备在工业现场安装之前首先初始化写入初始密钥。初始密钥可以通过密钥服务器直接安装在新的设备中,或者通过可移动的供应设备进行分发。发送方设备利用该初始密钥对设备识别属性中的设备标识符(Device ID)和时间戳的值进行AES(高级加密标准)等方式的加密,将加密后的密文作为鉴别码存放在设备鉴别服务报文中,随设备鉴别服务报文一起发送。
2)KDC服务器端对安全报文头进行处理,得到设备标识和时间戳。KDC收到设备鉴别服务时,根据设备鉴别报文内的Device ID字段查找设备描述文件,从其中读取初始密钥。通过对接收到的用户报文中的设备标识和时间戳使用相同的AES算法进行加密获得“正确鉴别码”,将“正确鉴别码”与接收到的鉴别码进行比较,若相同则该设备通过鉴别,可进行后续操作;否则丢弃该数据包,并将该设备定义为不可信,向无线路由返回拒绝入网消息。
3)如果鉴别通过,密钥管理中心服务器会将新入网设备相关的MAC信息和调度信息传回给无线网关和路由,并返回允许加入消息,这个时候新设备即可通过无线网关和路由加入网络。鉴别和访问控制只发生一次。离线和重起的设备必须经过鉴别以后,才能在网络中运行。
4)新入网的无线设备收到允许入网上线消息后,应该向密钥管理中心KDC申请新的密钥,密钥管理中心判断其是否通过鉴别,如果通过鉴别,则向该设备发送唯一的密钥加密密钥(KEK)。
5)安全设备需要生成新的传输密钥时,由无线组态服务器通知KDC和现场设备,现场设备向密钥管理中心提出申请,密钥管理中心使用随机数生成密钥偏移量,并且根据实际应用环境,和用户需要的安全强度要求选定密钥长度,然后采用设备密钥加密密钥KEK对其进行加密后分发给整个无线测控网络中的所有设备。无线设备入网后即获得密钥加密密钥KEK,通过KEK对其获得的密钥进行解密获得传输密钥。
6)自动更新密钥的周期由其使用时间决定,是系统配置的重要参数,可通过系统设置,通常是24小时,即使密钥服务器通信中断也不会终止这一更新。参与通信的设备会从已经存在的传输密钥中得到新的传输密钥。
7)密钥管理中心KDC可以废止已经泄漏或者已经处于危险中的密钥,并分发新的密钥。
根据无线工业控制网络中各层在安全通信模型中的位置和地位,设置不同安全策略的安全网关,对安全通信模型中的相应层次提供模块化的保护。在企业管理层网络与外部网络的边界上,安全网关应具有最高的安全等级,它负责对整个网络实施边界保护的功能。而位于现场设备层和过程监控层的边界上的安全网关则仅提供对现场设备层的边界保护,防止可能存在的非法设备接入和未授权的访问等。保护现场设备层的安全网关在实现上采用访问控制、设备鉴别、地址转换、用户认证、数据加密、数据校验和包过滤技术。
安全网关是一个可组态的设备,组态软件与每个无线控制网络通信网络中的安全网关建立通信关系,在对网络组态时,组态软件对设备鉴别的结果被写入安全网关的配置中,对于未通过设备鉴别的接入设备,安全网关将禁止其与上层网络的全部通信。而对于已经通过鉴别的设备与上层网络之间所存在的通信关系被写入安全网关的访问控制列表中。安全网关的访问控制列表是允许使用无线控制网络通信协议报文对现场设备进行访问的依据,只有当通信双方的身份和操作完全符合访问控制列表时,上层网络中的终端对于现场设备的访问才会被安全网关允许。而对于使用非无线控制网络通信协议报文的访问,安全网关则依照包过滤规则表对报文进行过滤。安全网关采用的数据加密、数据校验技术用于保护安全网关自身的配置信息不被窃取和篡改。安全网关还具备设备定位与隔离功能。
如图3所示为无线现场设备通信模型结构示意图。这里以无线ZigBee通信协议模型为例对安全通信模型的结构及工作过程进行具体描述,给出基于无线工业网络安全通信模型。这种安全通信模型不仅仅适用于ZigBee通信协议,同样适用于其它无线通信协议。在图3中,除ZigBee协议组件外,还包括以下几个部分安全管理服务信息库,安全网关提供的对应各层的保护和服务以及无线安全应用管理实体。
安全管理服务信息库向管理进程提供安全管理信息,对应的安全管理信息库属于管理信息库的一部分,存放安全应用管理实体所需的信息,存放包括MAC层、网络层、应用层在内的各层的安全相关信息,以及所要保护的相关信息参数,并且负责管理和存储网络中的密钥信息、加解密算法、校验算法等,便于密钥的更新和组态。
无线安全网关的IDS模块,防火墙模块以及安全功能等模块跨层次对现场设备进行安全保护,其各功能模块和各网络层次对应形成保护。
安全应用管理实体位于ZigBee协议应用支持子层之上,用户层之下,用于对用户数据进行安全处理之后送到ZigBee应用实体,对无线控制网络应用层的安全措施进行管理,安全应用管理实体包括设备鉴别、访问控制、数据加密/解密和数据校验等安全措施。下面针对附图对上文所述四种安全措施的实施作具体描述。
如图4所示为无线工业控制设备鉴别工作流程图。安全应用实体中的设备鉴别提供一种无线设备鉴别算法利用无线设备的设备标识符(Device ID)、设备的时间戳和设备的初始密钥三个关键字鉴别无线设备,通过鉴别机制判断该设备的合法性。无线设备入网时通过通讯协议安全应用实体中的设备鉴别,使用初始密钥对鉴别报文加密并发送给KDC。KDC收到设备鉴别服务时,根据设备鉴别报文内的Device ID字段查找设备描述文件,从其中读取初始密钥。通过对接收到的用户报文中的设备标识和时间戳使用相同的AES算法进行加密获得“正确鉴别码”,将“正确鉴别码”与接收到的鉴别码进行比较,若相同则该设备通过鉴别,可进行后续操作;否则丢弃该数据包,并将该设备定义为不可信。
如图5所示为访问控制列表确定通信关系图。安全应用实体中的访问控制提供一种访问控制策略,防止未授权的进入系统和授权用户对系统资源的非法使用。在无线网络中采用基于角色的访问控制措施。即系统中基于不同的角色定义不同的存取组,用户可以以存取组的身份对相应对象进行访问。另外还允许用户通过提供口令来实现对对象的访问。对象接收到访问请求时将用户提供的口令或存取组序号与自身的属性相对照并决定其访问是否越权,从而实现对象的访问控制措施。在域、事件和变量对象中定义了Password、Access Groups、Access Rights三个属性,规定了对象的存取权口令、存取组和存取权限。
访问控制机制基于访问控制列表实现,每台无线安全设备中都保存着组态时从KDC得到的访问控制列表,访问控制列表项包含了发起访问的远程设备IP地址、功能块ID、对象ID以及本地设备功能块ID、对象ID、通信角色。通过以上6个参数,可以唯一的确定一对无线通信关系。
如图5所示,描述了IP地址分别为IP_1和IP_2的设备1(Device 1)和设备2(Device 2)的通信关系。设备1的功能块应用进程1(FB APP1)中的对象2(Object2)可以根据本机访问控制列表确定一条与设备2的功能块应用进程2(FB APP2)中的对象1(Object1)之间的通信关系,设备1在通信中所扮演的角色由通信角色确定。
图6所示为无线报文加密/解密流程示意图。安全应用实体中的数据加密/解密提供了一种数据加密解密处理办法,报文发送方在KDC获得传输密钥后,可利用异或算法或者高级加密标准AES(Advanced Encryption Standard)算法,通过应用层的安全管理实体对用户数据进行加密运算后发送到接收方。接收方对接收到的密文利用异或算法或者AES算法进行解密运算,得到解密后的用户数据,并将数据上传给用户层。当AES加密对设备成为负担的时候,推荐使用异或算法进行加密。发送方利用异或加密算法或者AES加密算法对用户数据的MAC层协议数据单元PDU和应用层协议数据单元PDU进行加密运算。接收方对接收到的密文利用异或算法或者AES算法进行解密运算,得到解密后的用户数据,并将数据上传给用户层。
图7所示为无线报文校验工作流程图。安全应用实体中的数据校验提供了一种完整性校验算法。发送方利用从KDC获得的校验密钥对用户数据经过校验算法处理得到校验码,将校验码作为报文的一个字段附在报文中,发送到接收方。接收方利用密钥对所接收报文中的用户数据进行相同校验算法运算,得到新的校验码,将此新校验码与接收报文中的校验码进行比较,若完全相同则确定报文合法并接受数据包;否则丢弃该数据包。校验的PDU单元应该包括MAC和用户数据单元的相关数据。校验密钥的生成和更新与加密密钥和解密密钥的生成和更新方法相同。
由于无线网络介质的开放性使其容易遭受来自各个方向的威胁和攻击,特别是基础设施干扰、电子辐射等,包括非故意的合法干扰和故意的非合法干扰等容易导致信号的传递。在MAC层采用跳信道技术,对于关键性的信息,提供专用信道。
对于一些安全要求特别高的工业控制网络,如煤矿,石油,化工等工业现场,应该为涉及重要的安全通信的信息通信预留信道,保证在生产信道忙,或者在生产信道出现故障的情况下,涉及安全的通信依然能够进行。也保证了攻击者不能使用生产通信信道直接地攻击安全机构的结构接口。
信道接入采用载波检测多址接入CSMA和时分多址接入TDMA两种技术。在一个超帧里,竞争周期采用的是CSMA,调度周期采用的是TDMA。在CSMA竞争周期不采用跳信道,在选择好的一个信道里簇与设备之间进行通信,而在TDMA调度周期里,根据分配好的TDMA时隙进行同步调信道。在TDMA调度周期,信道分为三种一般信道,黑色信道,安全信道。在通信过程中,连续一段时间出现重传次数超过一定值或传输速率小于一定值的信道列入黑名单,这类信道就成为黑色信道,黑色信道一旦被形成,通过协调器定期的检查,等到恢复到正常状态之后方可回到一般信道。在调度周期专门分配一段带宽传送安全信息。
以上只是本发明的优选实施例说明,本发明的保护范围基于本领域技术人员的理解结合权利要求进行限定。
权利要求
1.一种无线工业控制网络的安全管理系统,将无线工业控制网络分为企业管理层L3,过程控制层L2,现场设备层L1三个网段,根据工业控制网络的层次结构,构建无线工业控制网络安全管理系统,其特征在于,将无线工业控制网络定义为4个安全等级,根据密钥管理中心KDC的组态服务器中的访问控制列表对网络的不同层次以及不同的安全等级,通过采用基于KDC的密钥管理和设备鉴别机制、无线安全网关、无线网络安全应用管理实体、无线安全管理信息库实施不同的安全措施。
2.根据权利要求1所述的安全管理系统,其特征在于,所述不同的安全措施包括企业管理层的边界网关和边界路由器为外部网络访问该网络的安全防火墙接口,对整个无线控制网络实施边界保护;企业管理层与过程监控层之间采用安全代理对过程监控层及现场设备层实施边界保护,负责用户授权的鉴别工作;过程控制层的KDC负责密钥的产生、分发和管理,提供设备的鉴别认证方法;过程控制层的无线组态服务器提供安全组态服务,实现对网络中安全设备的监控,以及对安全功能进行配置;过程控制层L2网段和现场设备层L1网段之间的安全网关负责现场设备网络的边界保护。
3.根据权利要求1所述的安全管理系统,其特征在于,组态服务器提供安全组态服务,不仅实现对测控过程的组态,还对安全功能进行配置;无线安全网关的IDS模块,防火墙模块以及安全功能模块跨层次对现场设备进行安全保护。
4.根据权利要求1所述的安全管理系统,其特征在于,所述密钥管理机制具体包括密钥分发,密钥管理,密钥废止;设备鉴别机制包括为利用设备标识符、设备的时间戳和设备的初始密钥三个关键字鉴别无线设备,判断该设备的合法性,进行入网鉴别。
5.根据权利要求1所述的安全管理系统,其特征在于,无线安全管理信息库存放安全应用管理实体所需的信息;安全应用管理实体包括设备鉴别、访问控制、数据加密/解密和数据校验。
6.根据权利要求2所述的安全管理系统,其特征在于,企业管理层的边界网关具有最高的安全等级。
7.一种无线工业控制网络的安全策略实现方法,将无线工业控制网络分为企业管理层L3,过程控制层L2,现场设备层L1三个网段,根据无线工业控制网络的层次结构,构建无线工业控制网络安全管理系统,将无线工业控制网络定义为4个安全等级,其特征在于,根据网络的不同层次以及不同的安全等级,采用密钥管理中心KDC的组态服务器中的访问控制列表,通过采用基于KDC的密钥管理和设备鉴别机制、无线安全网关、无线网络安全应用管理实体、无线安全管理信息库实施不同的安全措施。
8.根据权利要求7所述的安全策略实现方法,其特征在于,所述安全措施具体包括,在企业管理层设置边界网关和边界路由器作为外部网络访问该控制网络的安全防火墙接口,对整个无线控制系统实施边界保护;在企业管理层与过程监控层之间采用安全代理对过程监控层及现场设备层实施边界保护,负责用户授权的鉴别工作;在过程控制层设置密钥管理中心KDC负责密钥的产生、分发和管理,提供设备入网的鉴别认证方法;设置无线组态服务器实现对网络中安全设备测控过程的组态,以及对安全功能进行配置;在过程控制层L2网段和现场设备层L1网段之间设置安全网关和无线路由器负责现场设备层的边界保护。
9.根据权利要求7所述的安全策略实现方法,其特征在于,所述密钥管理机制具体包括密钥分发,密钥管理,密钥废止;设备鉴别机制为利用设备标识符、设备的时间戳和设备的初始密钥三个关键字鉴别无线设备,判断该设备的合法性。
10.根据权利要求7所述的安全策略实现方法,其特征在于,在所述无线工业控制网络的MAC层采用预留信道和跳信道防干扰技术,为涉及重要的安全通信的信息通信预留信道。
全文摘要
本发明请求保护一种无线工业控制网络的安全策略实现方法及系统,涉及工业现场控制技术。本发明的技术方案是将无线工业控制网络分为企业管理层,过程控制层,现场设备层三个网段,根据工业控制网络的层次结构,构建无线工业控制网络安全管理系统,将所构建的无线工业控制网络定义为4个安全等级,根据密钥管理中心KDC的组态服务器中的访问控制列表对网络的不同层次以及不同的安全等级,通过采用基于KDC的密钥管理和设备鉴别机制、无线安全网关、无线网络安全应用管理实体、无线安全管理信息库实施不同的安全措施。本发明适用于工业现场控制,以有效解决无线工业控制网络内部资源与数据通信的安全性问题,以保障系统正常的运行。
文档编号H04L29/06GK101094056SQ20071007853
公开日2007年12月26日 申请日期2007年5月30日 优先权日2007年5月30日
发明者王平, 魏旻, 王泉, 王浩, 金燕 申请人:重庆邮电大学