一种基于工控系统的可信网络连接持续认证协议方法

本发明设计一种可信网络连接架构中一种基于工控系统的可信网络连接持续认证协议方法，属于工业控制网络安全。

背景技术：

1、工控系统是一种关键的基础设施，在从电力分配到制造业的多个行业中起到监控和管理工业过程的重要作用。因此，安全问题在工控领域尤为重要，其中，工控领域中所存在的安全问题大多由接入设备的不安全所导致。工控领域的第一个安全问题是接入设备的身份安全问题，传统工控网络缺少对接入设备的身份认证，未经身份认证的接入设备有被攻击者劫持的风险。如果被劫持的接入设备进入工控网络，攻击者就可能会对工控网络内的数据进行窃取，甚至是影响工控作业。工控领域的第二个安全问题是接入设备与域内设备的平台安全问题，攻击者可能串通接入设备与工控域内的不安全设备发起合谋攻击，工控域内的不安全设备会将错误的信任关系传递给工控网络中的其他设备，使得不安全的接入设备获得与工控域内设备进行通信的能力，造成安全隐患。工控领域的第三个安全问题是设备接入后在域内运行时的安全问题。即使设备安全的接入工控网络，攻击者依然有可能通过接入设备的操作系统漏洞、近源攻击或者社会工程学方式入侵工控网络。攻击者入侵成功后，会通过取得接入设备的控制权对工控网络进行破坏。所以，工控系统中的接入设备不但需要对身份安全和平台安全进行认证，而且还需要对域内设备运行时安全进行认证。

2、通过上述分析，由于工业控制网络存在接入设备的身份安全、平台安全、运行时安全问题，工业控制网络面临着巨大的安全风险，可能遭受到攻击者发动的多种攻击，例如，身份伪造攻击、中间人攻击、合谋攻击、主机漏洞攻击等。因此，工控系统需要一套安全可信的持续认证方案，保证工控系统接入设备在接入阶段和接入工控网络后，可以长时间保持可信状态。因此，本发明提出了基于工控系统的可信网络连接持续认证协议方法，保证工业控制系统在接入设备和设备接入后持续的安全可信。

技术实现思路

1、为了解决工业控制网络接入设备身份安全、平台安全、运行时安全等问题，本发明提出基于工控系统的可信网络连接持续认证协议方法。通过将可信连接架构应用到工业控制领域，以可信第三方对接入设备和被接入网络发起双向身份认证和平台认证。并在接入认证结束后，以时间t为频率发起持续认证，持续对已接入设备发起认证，保证工控网络的运行时安全。

2、本发明将可信连接架构应用到工业控制领域，以需要接入工控网络的操作员站作为ar，工控网络中的边界设备工业网关作为ac，可信第三方做pm，提出适用于工控系统的接入认证协议。其次，为了弥补工业控制系统在可信连接架构在持续认证方面的不足，本发明对工控系统中执行关键代码段的内存值进行度量，并在身份认证阶段存储在可信第三方pm中供持续认证时校验使用。基于工控系统的可信网络连接持续认证协议方法分为注册阶段，接入认证阶段和持续认证阶段。注册阶段主要工作为各实体向证书分发中心ca请求证书，以便在接入认证阶段使用；接入阶段由pm对ar和ac发起双向的身份认证和平台认证；持续认证阶段为每经过时间t对已接入设备重新进行持续认证，保证工控系统安全。

3、注册阶段。在工业控制系统中由负责管理和签发证书的第三方机构的证书授权中心ca向各实体分发证书。首先各参与认证的实体生成身份信息(iden)，并通过安全通道向证书授权中心ca发起注册请求。证书分发中心生成随机数x并结合iden生成具有实体特点的随机数m，通过m从数据库ks中取出密钥对，并生成证书。最后，证书授权中心将证书分发给各实体。各实体对证书进行存储，完成实体注册。

4、接入认证。本阶段是接入设备为了接入工控网络而进行的身份和平台的全面认证。接入认证包括身份认证和平台认证两部分，身份认证阶段通过首先通过传输证书获得通信双方的公钥，然后通过非对称加密技术将协商对称密钥的信息、身份认证的相关信息进行加密发送给通信的另一方，最终交由可信第三方对通信双方的证书和身份信息进行认证。平台认证阶段，各实体通过设备上的完整性度量层获取平台完整性信息，然后再通过非对称密钥进行加密，进行平台度量策略的协商与平台度量值的获取。最终双方的平台完整性度量值交由可信第三方进行认证，并返回认证结果。至此，接入认证阶段的身份认证和平台认证全部结束。

5、持续认证。持续认证的目的是持续检测设备是否安全。持续认证由可信第三方定时发起，被认证实体进行响应。如果实体没有在规定时间内进行响应，则判定认证失败，对实体重新进行隔离与修补。如果实体进行了响应，则通过对实体所返回信息中的内存代码段完整性度量值进行校验，与可信第三方中所存储的基本值进行比对。确定该实体是否安全。如果安全，则持续认证成功，在下一个实践周期后重新进行认证。如果不安全，则要求改实体进行隔离与修补。

6、本发明提出了基于工控系统的可信网络连接持续认证协议方法。持续认证方法，通过对身份证书、平台信息、内存代码信息进行多维度度量保证接入设备的安全性与可信性，能够抵御合谋攻击、中间人攻击、重放攻击、主机漏洞攻击等多种攻击行为。保证设备在接入和域内工作时的保持安全，不对域内网络造成安全威胁。此外，认证过程具有较低的时间消耗，符合工控场景中对时间与性能的要求。

技术特征：

1.一种基于工控系统的可信网络连接持续认证协议方法，其特征在于：设计用于工业控制系统环境下的可信网络连接协议，通过对可信连接架构进行拓展；对工业控制系统接入设备和工控域内设备的证书进行双向认证确保对方的身份安全，对工业控制系统接入设备和工控域内设备的平台完整性进行双向认证确保双方的平台安全，在工控系统运行过程中对已经接入的设备进行持续认证，确保运行时安全；进行设备的注册，接入认证以及持续认证；注册阶段对设备分发证书和公私钥获得身份信息和进行完整性校验的能力，是接入认证的安全基础；接入认证阶段协商出对称密钥以及对接入设备的接入认证结果，是持续认证的安全基础；持续认证对设备进行认证保证其功能安全运行而不被攻击者控制，是工控系统正常运行的安全基础。

2.根据权利1要求所述的一种基于工控系统的可信网络连接持续认证协议方法，其特征在于，以三元三层架构为基础，三元为接入设备ar、工控边界设备ac和可信第三方pm；身份认证阶段行使的功能为协商对称密钥参数用于后续协商对称密钥；接入设备和边界设备向对方以及可信第三方发送证书以验证身份；在发送证书的过程中对证书信息以及其余信息进行签名以保证传输数据的完整性；在接收证书的过程中对签名进行验签以验证数据的完整性，对证书进行认证以确认身份；接入设备和边界设备向对方发送平台认证请求，对方接收到平台认证请求后将提供自己的平台完整性信息以供可信第三方进行平台认证；接入设备同时提供执行控制功能的代码段度量结果以供持续认证使用；可信第三方向边界设备发送认证结果，边界设备和接入设备各自生成对对方的访问决策；持续认证时可信第三方定时向接入设备发送持续认证请求，接入设备受到持续认证请求后立即对自身执行控制功能的代码段进行度量，并将度量结果发送给可信第三方进行认证，随后可信第三方对度量结果进行校验，形成认证结果。

3.根据权利2所述的一种基于工控系统的可信网络连接持续认证协议方法，其特征在于：注册认证流程；

4.根据权利2所述的一种基于工控系统的可信网络连接持续认证协议方法，其特征在于：接入认证流程；

5.根据权利2所述的一种基于工控系统的可信网络连接持续认证协议方法，其特征在于：持续认证流程；

技术总结
本发明公开了一种基于工控系统的可信网络连接持续认证协议方法，针对系统在接入设备时面临的三大安全问题：身份安全问题、平台安全问题、运行时安全问题，以及预防攻击者发起身份伪造攻击、中间人攻击、合谋攻击、主机漏洞攻击等多种攻击行为破坏工控系统安全，本发明提出将基于工控系统的可信网络连接持续认证协议方法，通过对接入设备和被接入网络的证书和平台完整性信息进行双向身份认证和平台认证，完成接入设备的接入认证协议。在设备接入后，对该设备内存中进行控制功能的代码段的完整性度量值进行持续校验，完成持续认证协议。

技术研发人员：刘静,卢月皓,赖英旭
受保护的技术使用者：北京工业大学
技术研发日：
技术公布日：2024/3/21