基于可信操作指令遥控远程自控装置的物联网安全实现方法
【技术领域】:
[0001] 本发明涉及操作指令遥控远程自控装置的物联网信息安全领域。
【背景技术】:
[0002] 目前,在物联网应用方面,各国工业自动化系统都采用PLC的各种操作指令对工 业自动化生产的全过程进行控制,而针对远程自控装置的运行控制,是采用遥控操作指令 来实现,其中:远程自控装置如:卫星、无人机、无人值守仪器、自控设备,而实现工业自动 化系统和远程自控装置的控制,都需要由物联网控制中心,向工业自动化系统的PLC发送 操作指令,或向远程自控装置发送遥控操作指令,然而,物联网的操作指令都是以明文方式 发送,容易被黑客、敌对组织或国家破解或篡改,造成财产损失,或造成对国家和社会的破 坏,国内外采用的物联网安全技术理念,还停留在互联网的PKI技术上,PKI技术签名验证 的速度较慢,会大大影响指令控制系统的效率,总之,现有的安全技术和产品都不能满足市 场的需求。
【发明内容】
:
[0003] 基于可信操作指令遥控远程自控装置的物联网安全实现方法,是采用密码和芯片 技术在物联网操作指令控制中心端和工业自动化系统的PLC设备,或远程自控装置端都分 别建立加密系统,在工业自动化系统的PLC设备可信控制领域,将一块SD卡嵌入PLC设备 里,在SD卡芯片里建立PLC端加密系统,并写入对称密码算法、组合密钥生产算法、PLC设 备的标识Cj、一组"密钥种子"三维矩阵Tj元素和解密及签验协议,在物联网操作指令控制 中心端服务器的PCI槽里插入加密卡,在加密卡芯片里,建立物联网操作指令控制中心端 加密系统,并写入对称密码算法、摘要算法、组合密钥生产算法、一组"密钥种子"三维矩阵 TT的元素和加密及签名协议,且将每个PLC设备的标识Cj,与对应的"密钥种子"三维矩阵 Tj元素密文一起,存储在物联网操作指令控制中心端的密钥数据库里,其中:加密各个"密 钥种子"三维矩阵Tj元素的存储密钥GKi,是根据组合密钥生成算法,由加密卡芯片里的 矩阵TT生成,j = 1?m,m为全体PLC设备数量的总和;
[0004] 当物联网操作指令控制中心向标识为Cj的PLC设备端发出操作指令LD时,在加 密卡芯片里,物联网指令控制中心端加密系统首先生成存储密钥GKj,将对应PLC设备标识 Cj "密钥种子"三维矩阵Tj元素的密文解密成明文,产生一组随机数S,由Cj和S生成摘 要信息L,再生成LD的摘要信息MD,根据组合密钥生产算法,由L组成的矩阵G与矩阵Tj 生成一组对称密钥LKl,对LD和MD进行加密,得到LD的密文以及LD的数字签名,将PLC设 备的标识Cj、MD、LD的密文和LD的数字签名,以及矩阵G -并发送给对应标识为Cj的PLC 设备端,Cj的PLC设备端加密系统,在SD卡芯片里,根据组合密钥生产算法,由矩阵G和矩 阵Tj生成对称密钥LK2,将LD的密文和LD数字签名解密,得到LD的明文和LD的摘要信息 MD1,在Cj的PLC设备端SD卡的芯片里,通过对比MD和MDl是否相同?来判断Cj的PLC 设备端收到的操作指令是否可信、完整,若MD辛MD1,则Ci的PLC设备端停止操作指令LD 的相关操作,若MD = MDl,则Cj的PLC设备端执行操作指令LD的相关操作,从而,实现在工 业自动化领域,对PLC设备过程的可信控制;
[0005] 本发明在远程自控装置的可信控制领域,由物联网操作指令控制中心,对远程自 控装置发送可信操作指令,实现对远程自控装置的可信遥控,其方法的技术特征在于:
[0006] 将一块SD卡嵌入到远程自控装置端,在SD卡芯片里,建立远程自控装置端加密系 统,并写入对称密码算法、组合密钥生产算法、远程自控装置的标识Bi、一组"密钥种子"三 维矩阵Ti元素和解密及签验协议,在物联网操作指令控制中心端服务器的PCI槽里插入加 密卡,在加密卡芯片里,建立物联网操作指令控制中心端加密系统,并写入对称密码算法、 摘要算法、组合密钥生产算法、一组"密钥种子"三维矩阵TT元素和加密及签名协议,将每 个远程自控装置的标识Bi,与对应的"密钥种子"三维矩阵Ti元素密文一起,存储在物联网 操作指令控制中心端的密钥数据库里,其中:加密各个"密钥种子"三维矩阵Ti元素的存储 密钥CKi,是根据组合密钥生成算法,由加密卡芯片里的TT生成,i = 1?η,η为全体远程 自控装置数量的总和;
[0007] 当物联网操作指令控制中心向远程自控装置发出操作指令时,物联网操作指令控 制中心产生拟发送给远程自控装置Bi的操作指令Ζ,物联网指令控制中心端加密系统,在 加密卡芯片里生成存储密钥CKi,将对应Bi的远程自控装置的"密钥种子"三维矩阵Ti元 素的密文解密成明文,再生成Z的摘要信息M1,在加密卡芯片里,产生一组随机数S,与对应 Bi生成摘要信息L1,根据组合密钥生产算法,由Ll组成的矩阵Gl与矩阵Ti,生成一组对 称密钥Kl,对Z和Ml进行加密,得到Z的密文以及Z的数字签名,将远程自控装置的标识 Bi、M1、Z的密文和Z的数字签名,以及矩阵Gl -并发送给标识为Bi的远程自控装置端,Bi 的远程自控装置端加密系统,在SD卡芯片里,根据组合密钥生产算法,生成对称密钥K2,将 控制指令Z的密文和Z的数字签名解密,得到Z的明文和Z的摘要信息M2,在Bi的远程自 控装置端SD卡的芯片里,通过对比Ml和M2是否相同?来判断收到的操作指令是否完整、 可信,若Ml辛M2,则Bi的远程自控装置停止操作指令的相关操作,若Ml = M2,则Bi的远 程自控装置执行操作指令的相关操作,从而,实现物联网操作指令控制中心对远程自控装 置的可信遥控,全部过程用软件和硬件结合方式实现,具体方法如下:
[0008] 1、在远程自控装置端插入SD卡硬件设备,在SD卡芯片里,建立远程自控装置端加 密系统,并写入对称密码算法、组合密钥生成算法、远程自控装置的标识、一组"密钥种子" 和解密及签验协议;
[0009] 每个远程自控装置的标识Bi与一套"密钥种子"组成的三维矩阵Ti元素一一对 应,其中:远程自控装置的标识两两不同,对应的"密钥种子"三维矩阵Ti的元素也两两不 同,i = 1?η,η为全体远程自控装置的总和。
[0010] 2、在物联网操作指令控制中心端服务器的PCI槽里插入加密卡,在加密卡芯片 里,建立物联网操作指令控制中心端加密系统,并写入对称密码算法、摘要算法、组合密钥 生产算法、一组"密钥种子"三维矩阵TT元素和加密及签名协议,将每个远程自控装置的标 识Bi,与对应的"密钥种子"三维矩阵Ti元素密文,一起存储在物联网操作指令控制中心端 的密钥数据库里,其中= 1?η,η为全体远程自控装置的总和。
[0011] 3、对称密码算法使用SMS4、SM1、RC4、RC5、3DES、或AES算法,密钥长度为128或 256比特,或者根据对称密码算法的要求而定;摘要算法使用SM3算法、SHA-2算法,摘要信 息的长度为256比特。
[0012] 4、每个远程自控装置的标识Bi对应的"密钥种子"组成的三维矩阵Ti元素,以及 加密卡芯片里的"密钥种子"组成的三维矩阵TT元素,都是由物联网操作指令控制中心端 加密卡里的随机数发生器产生,将每组"密钥种子"组成一个32行16列16页,或16行16 列16页的三维矩阵Ti,矩阵Ti共有8192或4096个元素,每个元素占0. 5字节或1字节, 每个远程自控装置的标识Bi对应的"密钥种子"组成的三维矩阵Ti,占8192字节,或4096 字节,或20