一种基于电力生产控制类系统的可信连接系统和方法
【专利摘要】本发明涉及一种基于电力生产控制类系统的可信连接系统和方法,所述系统由访问请求者、访问控制器和裁决管理器构成;其逻辑层次为完整性度量层、可信评估层和网络访问控制层;所述访问请求者包括:网络访问请求者、可信客户端和第一完整性收集者;所述访问控制器包括,网络访问控制者、可信服务器和第二完整性收集者;所述裁决管理器包括,认证管理者,可信评估者和完整性校验者;所述裁决管理器包括:配置管理模块、用户身份认证模块、平台身份认证模块、动态度量认证模块和认证数据保护模块;该动态度量等可信计算技术,保证了系统中连接对象的可信,防止违规外联、非法篡改业务进程,有效防御病毒在网络中的扩散,提高了系统业务的安全性。
【专利说明】一种基于电力生产控制类系统的可信连接系统和方法
【技术领域】
[0001]本发明涉及一种连接系统和方法,具体涉及一种基于电力生产控制类系统的可信连接系统和方法。
技术背景
[0002]电力生产控制系统是重要的工控系统,现阶段采用的防御机制主要有杀毒软件、入侵检测等安全设备,安全技术均采用病毒库特征值比对的方式,存在安全滞后性。对于具有攻击手段不可预知、目标明确且精准和攻击程序不复用等特点的攻击方式束手无策;安全部署方式均采用外围“封堵”的方法,对于针对性强且具有更隐蔽、组织性更强等特点的攻击手段可谓望尘莫及。
[0003]因而,依据《信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全等级保护安全设计技术要求》(GB/T25070-2010)等规定,对电力生产控制系统进行第四级的等级保护,使系统具有结构化保护能力,应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能,具有非常重要的意义。
[0004]电力生产控制系统需要满足的安全要求包括:
[0005]可信接入控制:电力生产控制系统安全区应有严格接入控制,只有经过身份认证和硬件设备的验证,才能接入网络与其他终端或服务器实现互联。防止由内部用户将个人计算机私自接入交换机空闲端口进入网络而产生的泄密或攻击行为。
[0006]可信路径:通过对系统用户的强身份鉴别,在其与用户之间建立一条可信的通信路径。该路径的初始化只能由此系统用户完成。从而保证在整个系统生存期内该路径无法被篡改和旁路,保证用户身份认证过程的可信性。
[0007]恶意代码防护:恶意代码的防护应以杀毒软件为基础,杀毒软件防范能力有局限性,只能防范已知病毒、木马,对未知恶意代码防护能力较弱,我们要分析恶意代码的特性,从运行的角度防范恶意代码运行,保障终端、服务器、区域边界所存储和传输的数据安全性。
[0008]数据和通信链路的保护:以密码技术和机制为基础,保证业务终端和服务器之间传输的重要数据不会被非法访问和篡改。对通过网络传输的数据进行校验和加密,保证重要数据在网络传输过程中的完整性和保密性,达到系统连接结构化的要求。
[0009]客体重用:对用户使用的安全保护部件实施针对性保护,在这些安全保护部件重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露,实现客体的安全重用,客体重用针对的信息载体包括磁盘、内存或其他存储设备。
[0010]隐通道分析:通过系统的结构化保障机制,能够标识存储隐蔽通道,防止高安全级别用户向低级别用户旁路安全策略来非法传递信息。一定程度上防止由隐蔽通道带来的信息泄露。
[0011]集中管理、监测和配置机制:根据“等级保护安全设计要求”中对管理中心的要求,可以看出管理中心是实现等级保护体系的要点,除了系统管理、安全管理、审计管理之夕卜,管理中心还应增加事件管理、内网安全管理、网络管理、设备监控等几个方面的功能,建成后将作用于计算环境、区域边界、通信网络等环节的安全保护措施,进行统一的协调和调度,从而实现包含用户身份、授权、访问控制、操作审计等全过程的安全管理措施,并实现集中事件和风险管理,发挥出整体安全防护系统的作用,有效保障整个系统网络的安全性。建立集中的管理和监测机制,能够有效缩短故障分析和恢复的时间,对于整个系统的安全运行能够起到重要的保障作用。
[0012]网络连接作为系统建设的一个重要环节,影响着系统接入终端和后台服务的安全性,现有技术中的可信连接方法包括,如图2所示,当客户端A业务访问请求客户端B时,直接建立连接;如图3所示的业务流程为:前置机工作站业务主动请求访问SCADA服务器;SCADA服务器不会主动请求访问前置机工作站;前置机工作站之间无法相互请求访问;一方面无法保证接入终端的安全可信,给系统安全造成严重威胁,另一方面,终端没有对系统进行可信认证,终端的安全性和敏感信息都存在隐患。
【发明内容】
[0013]针对现有技术的不足,本发明提供一种基于电力生产控制类系统的可信连接系统和方法,利用动态度量等可信计算技术,保证了系统中连接对象的可信,防止违规外联、非法篡改业务进程,有效防御病毒在网络中的扩散,提高了系统业务的安全性。
[0014]本发明的目的是采用下述技术方案实现的:
[0015]本发明提出一种基于电力生产控制类系统的可信连接系统,所述系统由访问请求者、访问控制器和裁决管理器三个实体构成;所述三个实体间的逻辑层次包括,完整性度量层、可信评估层和网络访问控制层;所述访问请求者包括,网络访问请求者、可信客户端和第一完整性收集者;所述访问控制器包括,网络访问控制者、可信服务器和第二完整性收集者;所述裁决管理器包括,认证管理者,可信评估者和完整性校验者;
[0016]所述完整性度量层包括:第一完整性收集者、可信客户端和网络访问请求者;所述可信评估层包括:第二完整性收集者、可信服务器和网络访问控制者;所述网络访问控制层包括:完整性校验者、可信评估者和认证管理者;所述认证管理者包括:配置管理模块;所述可信评估者包括:用户身份认证模块和平台身份认证模块;所述完整性校验者包括:动态度量认证模块和认证数据保护模块。
[0017]优选的,所述配置管理模块用于开启和关闭身份认证模块、动态度量模块和数据保护模块;其中,所述动态度量认证模块用于建立可信连接时校验本地动态度量摘要值。
[0018]优选的,所述可信客户端与所述可信服务器相互发送并接收对方的完整性信息。
[0019]进一步地,当网络访问请求者向网络访问控制者发起访问请求时,所述网络访问控制者接收所述网络访问请求者的请求,双方利用用户身份认证模块和平台身份认证模块进行身份认证和完整性校验,并根据校验结果判断是否获得访问和连接对方网络的权限。
[0020]优选的,所述完整性校验利用动态度量认证模块校验本地动态度量摘要值,符合配置管理策略时接入所述网络访问控制者网络。
[0021]进一步地,所述动态度量认证模块包括,可信连接发起前,动态度量本地当前状态,其基准值校验合法后,发起可信连接认证,通过所述数据保护模块对认证数据进行加密;其中,所述连接认证包括tcp连接认证和udp连接认证。
[0022]优选的,所述加密采用国密SM算法和AES算法加密,并通过openssl传输。
[0023]优选的,一种基于电力生产控制类系统的可信连接的方法,所述方法包括:
[0024]I)访问请求者向访问控制器发起业务请求,被访问请求者可信计算密码平台拦截;
[0025]2)访问请求者可信计算密码平台发送消息至访问控制器;
[0026]3)访问控制器收到消息后发送本地认证信息至访问控请求者;
[0027]4)访问请求者验证访问控制器认证信息是否合法;
[0028]5)访问请求者发送本地认证信息至访问控制器;
[0029]6)访问控制器验证访问请求者认证信息是否合法;
[0030]7)完成双向认证后,访问请求者与访问控制器建立业务可信连接。
[0031]与最接近的现有技术比,本发明的优异效果为:
[0032]1、一种基于可信计算技术采用二元方式的电力生产控制类系统的可信连接系统和方法,结合电力生产控制类系统已有连接方案和可信连接方案,利用动态度量等可信计算技术,保证连接对象的可行,防止违规外联、非法篡改业务进程,有效防御病毒在网络中的扩散。可信连接认证通过后,其他业务不需要再次认证,多业务并发会话同样不需要重复认证。当业务持续时,保持可信状态。提高系统业务的安全性,同时对业务持续性影响很小。
[0033]2、提出了一种在电力生产控制类系统中可以透明支持、被动触发的可信连接系统,没有设立集中的安全管理中心,透明支持系统业务流,对系统现有业务无影响。终端之间的可信连接建立,采用被动触发的方式。可信连接认证通过后,其他业务不需要再次认证,多业务并发会话同样不需要重复认证。当有业务请求时建立可信连接,业务终止或空闲,可信连接关闭,降低了系统及网络资源的消耗。
【专利附图】
【附图说明】
[0034]图1为本发明提供的基础架构图;
[0035]图2为【背景技术】提供的普通业务示意图;
[0036]图3为【背景技术】提供的可信连接业务流程图;
[0037]图4为本发明提供的基于电力生产控制类系统的可信连接的方法流程图;
[0038]图5为本发明提供的可信连接方式应用场景示意图。
【具体实施方式】
[0039]下面根据附图对本发明的【具体实施方式】作进一步详细说明。
[0040]如图1所示,一种基于电力生产控制类系统的可信连接系统,所述系统由访问请求者、访问控制器和裁决管理器三个实体构成;所述三个实体间的逻辑层次包括,完整性度量层、可信评估层和网络访问控制层;所述访问请求者包括,网络访问请求者、可信客户端和第一完整性收集者;所述访问控制器包括,网络访问控制者、可信服务器和第二完整性收集者;所述裁决管理器包括,认证管理者,可信评估者和完整性校验者;
[0041]所述完整性度量层包括:第一完整性收集者、可信客户端和网络访问请求者;所述可信
[0042]评估层包括:第二完整性收集者、可信服务器和网络访问控制者;所述网络访问控制层包括:完整性校验者、可信评估者和认证管理者;所述认证管理者包括:配置管理模块;所述可信评估者包括:用户身份认证模块和平台身份认证模块;所述完整性校验者包括:动态度量认证模块和认证数据保护模块。
[0043]所述配置管理模块用于开启和关闭身份认证模块、动态度量模块和数据保护模块;其中,
[0044]所述动态度量认证模块用于建立可信连接时校验本地动态度量摘要值。
[0045]所述可信客户端与所述可信服务器相互发送并接收对方的完整性信息。
[0046]当网络访问请求者向网络访问控制者发起访问请求时,所述网络访问控制者接收所述网络访问请求者的请求,双方利用用户身份认证模块和平台身份认证模块进行身份认证和完整性校验,并根据校验结果判断是否获得访问和连接对方网络的权限。
[0047]所述完整性校验利用动态度量认证模块校验本地动态度量摘要值,符合配置管理策略时接入所述网络访问控制者网络。
[0048]所述动态度量认证模块包括,可信连接发起前,动态度量本地当前状态,其基准值校验合法后,发起可信连接认证,通过所述数据保护模块对认证数据进行加密;其中,所述连接认证包括tcp连接认证和udp连接认证。
[0049]所述加密采用国密SM算法和AES算法加密,并通过openssl传输。
[0050]如图4所示,一种基于电力生产控制类系统的可信连接的方法,其特征在于,所述方法包括:
[0051]I)访问请求者向访问控制器发起业务请求,被访问请求者可信计算密码平台拦截;
[0052]2)访问请求者可信计算密码平台发送消息至访问控制器;
[0053]3)访问控制器收到消息后发送本地认证信息至访问控请求者;
[0054]4)访问请求者验证访问控制器认证信息是否合法;
[0055]5)访问请求者发送本地认证信息至访问控制器;
[0056]6)访问控制器验证访问请求者认证信息是否合法;
[0057]7)完成双向认证后,访问请求者与访问控制器建立业务可信连接。
[0058]其中,Tcp连接的具体认证流程如下:
[0059]I)客户端A向客户端B发起业务请求,被客户端A可信计算密码平台拦截;
[0060]2)客户端A可信计算密码平台发送消息至客户端B ;
[0061]3)客户端B收到消息后发送本地认证信息至客户端A ;
[0062]4)客户端A验证客户端B认证信息是否合法;
[0063]5)客户端A发送本地认证信息至客户端B ;
[0064]6)客户端B验证客户端A认证信息是否合法;
[0065]7)完成双向认证后,客户端A与客户端B建立Tcp业务连接。
[0066]Udp连接认证:
[0067]DUdp是一个无连接协议,传输数据之前源端和终端不建立连接;
[0068]2)Udp传送时简单地去抓取来自应用程序的数据,并把它扔到网络上;
[0069]3)Udp传输数据不建立连接,因此也就不需要维护连接状态,包括收发状;
[0070]4)Udp可以一台服务机可同时向多个客户机传输相同的消息。
[0071]如图5所示,以下K为终端共享的私钥,Rand为客户端A产生的随机数,SQN为防重放序列。
[0072]客户端A的认证:
[0073]客户端A产生随机数RAND和SQN以及K进行计算,得出MAC、XRES, CK、IK。
[0074]将RAND、SQN、MAC发送至客户端B。
[0075]将XRES和从客户端B接收的RES进行比较,以实现客户端A对客户端B的认证。
[0076]MAC送到客户端B以和客户端B产生XMAC进行比较,实现客户端B对客户端A的认证。
[0077]IK用户验证数据完整性,CK用于数据加密。CK,IK为本次认证生成的临时密钥。
[0078]客户端B的认证:
[0079]客户端B根据存储的K和客户端A送的SQN、RAND,计算出XMAC,并与从客户端A送过来的MAC相验证。
[0080]如果MAC = XMAC,且SQN在正确的值域之内,客户端B则返回RES至客户端A。
[0081]客户端A将判断RES是否等于XRES,以实现客户端A对客户端B的认证。至此完成了客户端A与客户端B的双向认证。
[0082]如果SQN不在正确值域之内,此时利用SQN、RAND、K运算得到MACm,并与客户端B自身存储的SQNm异或发送至客户端A,客户端A利用SQNm得到正确的SQN,再次进行认证。
[0083]认证连接算法包括:密钥公开、算法加密、对称加密、国密SM算法和AES算法;
[0084]认证连接方式包括:
[0085]如图3所示,⑴客户端A—〉客户端B (单一业务模式):
[0086]可信连接采用被动触发的方式,由客户端业务请求触发。
[0087]采用双向认证模式,对端之间相互验证合法,才能建立可信连接。
[0088]可信连接采用透明支持方式,不影响其他业务。
[0089]可信连接建立后,当有其他业务数据流时,保持可信状态。
[0090]当其他业务中断或空闲时,默认超时20秒(可配置)后,为不可信状态,有业务请求时需重新建立可信连接。
[0091](2)客户端A—〉客户端B (并发业务模式):
[0092]可信连接建立后,多业务并发时,保持可信状态,不需要重复建立多条可信连接。
[0093]当所有并发业务中断或空闲时,默认超过20 (可配置)后,为不可信状态,有业务请求时需重新建立可信连接。
[0094](3)客户端A—〉客户端B,客户端A—〉客户端C。
[0095]客户端A与客户端B建立可信连接后,客户端A有业务需要访问客户端C时,客户端A需要与客户端C建立另一条可信连接。
[0096]客户端A与客户端B、客户端C分别建立可信连接后,客户端A与客户端B可信连接关闭后,不影响客户端A与客户端C的可信连接。
[0097]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于电力生产控制类系统的可信连接系统,其特征在于,所述系统由访问请求者、访问控制器和裁决管理器三个实体构成;所述三个实体间的逻辑层次包括,完整性度量层、可信评估层和网络访问控制层;所述访问请求者包括,网络访问请求者、可信客户端和第一完整性收集者;所述访问控制器包括,网络访问控制者、可信服务器和第二完整性收集者;所述裁决管理器包括,认证管理者,可信评估者和完整性校验者; 所述完整性度量层包括:第一完整性收集者、可信客户端和网络访问请求者;所述可信评估层包括:第二完整性收集者、可信服务器和网络访问控制者;所述网络访问控制层包括:完整性校验者、可信评估者和认证管理者;所述认证管理者包括:配置管理模块;所述可信评估者包括:用户身份认证模块和平台身份认证模块;所述完整性校验者包括:动态度量认证模块和认证数据保护模块。
2.如权利要求1所述的一种基于电力生产控制类系统的可信连接系统,其特征在于,所述配置管理模块用于开启和关闭身份认证模块、动态度量模块和数据保护模块;其中,所述动态度量认证模块用于建立可信连接时校验本地动态度量摘要值。
3.根据权利要求1所述的一种基于电力生产控制类系统的可信连接系统,其特征在于,所述可信客户端与所述可信服务器相互发送并接收对方的完整性信息。
4.如权利要求1所述的一种基于电力生产控制类系统的可信连接系统,其特征在于,当网络访问请求者向网络访问控制者发起访问请求时,所述网络访问控制者接收所述网络访问请求者的请求,双方利用用户身份认证模块和平台身份认证模块进行身份认证和完整性校验,并根据校验结果判断是否获得访问和连接对方网络的权限。
5.如权利要求1所述的一种基于电力生产控制类系统的可信连接系统,其特征在于,所述完整性校验利用动态度量认证模块校验本地动态度量摘要值,符合配置管理策略时接入所述网络访问控制者的网络。
6.如权利要求1所述的一种基于电力生产控制类系统的可信连接系统,其特征在于,所述动态度量认证模块包括,可信连接发起前,动态度量本地当前状态,其基准值校验合法后,发起可信连接认证,通过所述数据保护模块对认证数据进行加密;其中,所述连接认证包括化?连接认证和11办连接认证。
7.如权利要求1所述的一种基于电力生产控制类系统的可信连接系统,其特征在于,所述加密采用国密31算法和八£3算法加密,并通过01)611881传输。
8.权利要求1?7的任一项权利要求的一种基于电力生产控制类系统的可信连接的方法,其特征在于,所述方法包括: 1)访问请求者向访问控制器发起业务请求,被访问请求者可信计算密码平台拦截; 2)访问请求者可信计算密码平台发送消息至访问控制器; 3)访问控制器收到消息后发送本地认证信息至访问控请求者; 4)访问请求者验证访问控制器认证信息是否合法; 5)访问请求者发送本地认证信息至访问控制器; 6)访问控制器验证访问请求者认证信息是否合法; 7)完成双向认证后,访问请求者与访问控制器建立业务可信连接。
【文档编号】H04L29/06GK104468606SQ201410814597
【公开日】2015年3月25日 申请日期:2014年12月24日 优先权日:2014年12月24日
【发明者】赵保华, 张昊, 王志皓, 王东升, 杨博龙, 邢金, 阎博, 戚岳, 宋磊, 张 浩 申请人:国家电网公司, 中国电力科学研究院, 国网冀北电力有限公司