CN108965215B - 一种多融合联动响应的动态安全方法与系统 - Google Patents

一种多融合联动响应的动态安全方法与系统 Download PDF

Info

Publication number
CN108965215B
CN108965215B CN201710382960.2A CN201710382960A CN108965215B CN 108965215 B CN108965215 B CN 108965215B CN 201710382960 A CN201710382960 A CN 201710382960A CN 108965215 B CN108965215 B CN 108965215B
Authority
CN
China
Prior art keywords
authentication
initiator
response
receiver
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710382960.2A
Other languages
English (en)
Other versions
CN108965215A (zh
Inventor
尚文利
赵剑明
万明
刘贤达
尹隆
曾鹏
于海斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenyang Institute of Automation of CAS
Original Assignee
Shenyang Institute of Automation of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenyang Institute of Automation of CAS filed Critical Shenyang Institute of Automation of CAS
Priority to CN201710382960.2A priority Critical patent/CN108965215B/zh
Priority to US16/317,493 priority patent/US11102226B2/en
Priority to PCT/CN2018/085766 priority patent/WO2018214719A1/zh
Publication of CN108965215A publication Critical patent/CN108965215A/zh
Application granted granted Critical
Publication of CN108965215B publication Critical patent/CN108965215B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts

Abstract

本发明涉及一种基于多融合联动响应的动态安全方法与系统,方法为现场控制设备通过身份认证、密钥管理进行主动响应与被动响应,对异常行为进行报警。系统包括接入认证主动响应模块,访问控制主动响应模块,访问控制被动响应模块,异常冒充被动响应模块,密钥弱点被动响应模块和异常状态被动响应机制模块。本发明在保证终端设备安全的正确性及可行性的基础上,能够构建安全可信的工控系统运行环境。

Description

一种多融合联动响应的动态安全方法与系统
技术领域
本发明涉及一种基于多融合联动响应的动态安全方法与系统,其能够使工业测控网络控制设备安全构造一个动态、安全和可信的环境,属于工业控制网络安全领域。
背景技术
卡巴斯基工控系统病毒研究室指出构造安全可靠的终端设备,是构造一个安全可靠的整体系统的基础。在国际上,可信计算技术的理论体系基本建立,当前研究重点主要集中在虚拟技术、安全启动、远程证明、可信计算应用和测评等领域。可信芯片和可信操作系统等关键技术已实现产品化,并在重要保护领域有所应用。AB、Tofino等公司加入TCG(可信计算组织)。国际知名工业控制系统设备公司开始在PLC等产品设计时考虑加强可靠性和安全性。工业控制系统安全领域知名公司也着手在采用可信计算技术来加强终端的安全防护能力。
现有工控系统中无法将数字证书、访问控制、异常检测进行有效融合,不能实现动态调整,对网络攻击往往处理比较被动,本发明提供一种有效的动态处理机制,使工控系统具有主动安全状态调整能力。
发明内容
针对上述技术不足,本发明的目的提供一种基于多融合联动响应的可信PLC动态安全方法与系统。
本发明解决其技术问题所采用的技术方案是:基于一种多融合联动响应的动态安全方法,现场控制设备通过身份认证、密钥管理进行主动响应与被动响应,对异常行为进行报警,包括以下步骤:
接入认证主动响应模块,对于认证数据流,现场控制设备通过自己的数字证书B与其他通信节点进行身份合法性认证;通过认证后允许通信;
访问控制主动响应模块,对于非认证数据流,检测到非法访问时,立即阻断数据通信并进行报警;
访问控制被动响应模块,当访问控制主动响应模块检测到异常行为时被触发,由管理员确认该异常行为是否合法;
异常冒充被动响应模块,对于非认证数据流,检测到异常冒充行为,由管理员确认是否需要对证书进行处理;
密钥弱点被动响应模块,对于非认证数据流,检测到密钥脆弱性或过期的事件,由管理员确认是否需要对密钥进行处理;若是,则进行会话秘钥的协商;
异常状态被动响应机制模块,对于非认证的数据流,检测到其他异常行为,通过通信模型的建立对所有违反通信模型的行为进行报警。
所述现场控制设备通过身份认证、密钥管理进行主动响应与被动响应之前:预先配置代表身份的数字证书A,然后现场控制设备在实际环境中对数字证书A进行现场更新,并获取数字证书B。
所述现场控制设备通过自己的数字证书B与其他通信节点进行身份合法性认证包括以下步骤:
i)发起方发起身份认证请求,建立TCP握手链接;
j)发起方发送身份认证请求;
k)接收方确认身份请求;
l)发起方发送签名证书A;
m)发起方发送加密证书B;
n)接收方确认发起方发送的签名证书A和加密证书B,进行签名验签;
o)接收方发送签名证书C;
p)接收方发送加密证书D;
i)发送方确认接收方发送的签名证书和加密证书,进行签名验签,完成认证。
所述访问控制主动响应模块,对于非认证的数据流,检测包括以下步骤:
e)首先,通过网卡的混杂模式对数据流进行捕获;
f)对捕获的数据进行协议分析;
g)对协议的应用层协议进行解析;
h)匹配数据流中的协议解析内容与设定的匹配规则内容是否相符;若相符,则进行日志设置或直接放行数据流;否则对数据流进行阻拦并报警;默认情况下阻止一切数据流的通过。
所述访问控制被动响应模块,由管理员确认该异常行为是合法时,将该行为加入到匹配规则中。
所述进行会话秘钥的协商包括以下步骤:
f)发起方发送数字证书B和签名数据;
g)接收方验证发起方的签名数据,认证通过,则继续进行通信;接收方发送自己的数字证书B和签名数据;
h)发起方验证接收方的签名数据,认证通过,则继续进行通信;发起方发送基于接收方公钥进行加密的对称秘钥对信息n,并附带随机数;
i)接收方发送基于发起方公钥进行加密的对称秘钥对信息m,并附带随机数;
j)发起方和接收方对n、m信息进行处理,生成对称密钥对;发起方用对称密钥对加密一个随机数+时间标签,进行应答;
f)接收方解密发起方发送的数据,并对随机数+1;接收方用对称密钥对加密随机数+1的信息以及时间标签。
基于一种多融合联动响应的动态安全系统,包括:
接入认证主动响应模块,用于对于认证数据流,现场控制设备通过自己的数字证书B与其他通信节点进行身份合法性认证;通过认证后允许通信;
访问控制主动响应模块,用于对于非认证数据流,检测到非法访问时,立即阻断数据通信并进行报警;
访问控制被动响应模块,用于当访问控制主动响应模块检测到异常行为时被触发,由管理员确认该异常行为是否合法;
异常冒充被动响应模块,用于对于非认证数据流,检测到异常冒充行为,由管理员确认是否需要对证书进行处理;
密钥弱点被动响应模块,用于对于非认证数据流,检测到密钥脆弱性或过期的事件,由管理员确认是否需要对密钥进行处理;若是,则进行会话秘钥的协商;
异常状态被动响应机制模块,用于对于非认证的数据流,检测到其他异常行为,通过通信模型的建立对所有违反通信模型的行为进行报警。
本发明具有以下有益效果及优点:
1.本发明在保证终端设备安全的正确性及可行性的基础上,能够构建安全可信的工控系统运行环境。
2.本发明将数字证书、访问控制、异常检测进行有效融合。
3.本发明提供了一种工控系统动态处理安全威胁的能力。
附图说明
图1是可信PLC环境架构示意图;
图2是多融合联动响应响应机制处理流程图;
图3是本方法实现时可信PLC的功能架构图。
图4是管控平台与NGU的身份认证过程流程图;
图5是秘钥协商流程图;
图6是访问控制流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细说明。
如图2所示,一种基于多融合联动响应的动态安全方法,基于策略、防御、检测与响应(P2DR—Policy、Protection、Detection、Response)的多融合联动响应模型以工业测控系统可用性优先为原则,并考虑工业应用的实时性,对工业测控系统的可信计算环境以访问控制技术为核心,身份认证、密钥管理为手段,进行主动响应与被动响应,最终实现工业测控系统可信计算环境的安全动态调整,该方法主要包括以下几个部分:
本发明适用于工业测控系统中具有可信功能的现场控制设备,本文的实施例是以PLC(可编程逻辑控制器)为特定说明对象,如图3为本实施例的可信PLC功能架构图,但不限于应用于PLC上。
以下方法过程参考了基于可信PLC的一种环境架构(其中双网口NGU+传统控制器构成可信PLC),如图1所示。
(1)现场控制设备(如可信PLC)数字证书更新:为了现场维护方便考虑,通过调试串口预先配置一个由数字化证书系统签发的代表身份的数字证书A(出厂证书),之后,在实际部署环境中,现场配置人员对证书进行现场更新,可信PLC基于数字证书A更新获取自身在此环境中应用的数字证书B(运行证书),数字证书B符合现场网络拓扑结构的证书格式。
(2)接入认证主动响应机制:通过身份认证确定合法的终端接入,自动生成相应的访问控制规则策略,并实现实时配置与生效。可信PLC通过自己的数字证书B来与其他通信端点进行身份合法性认证,认证过程可以参考如图4管控平台与NGU(网络安全单元)的身份认证过程。一旦通过认证,则可信PLC的NGU模块添加接入认证许可规则,即允许终端与管控平台间通信,格式如下:
源IP地址源MAC地址目的IP地址目的MAC地址方向ACCEPT
身份认证过程详解,其中图4以NGU(定义为接收方)和安全管理平台(定义为发起方)为例,但此过程适应于整个本申请的方法的其他节点间身份认证过程:
a)首选由一方发起身份认证请求的第一步,建立TCP握手链接;
b)之后由发起方发送身份认证请求,包括IP地址、MAC、节点名、签名内容;
c)接收方确认身份请求,并发送自己的IP地址、MAC、节点名、签名内容;
d)发起方发送签名证书:包括对签名内容进行签名的信息、时间标签;
e)发起方发送加密证书:包括用接收方公钥加密的秘钥信息、时间标签、及签名信息;
f)接收方确认发起方发送的签名证书和加密证书,通过签名验签的手段,包括签名内容、对签名内容进行签名的信息、时间标签、接收方公钥加密的秘钥信息、时间标签、及签名信息。
g)接收方发送签名证书:参考d;
h)接收方发送加密证书:参考e;
i)发送方确认接收方发送的签名证书和加密证书,通过签名验签的手段,内容包括参考f)步骤内容。
(3)访问控制主动响应机制:访问控制方法基于“白名单”方式进行设计,默认规则阻止一切数据流量,基于访问控制方法检测到非法用户权限的访问时,立即阻断数据通信并进行报警,其中访问控制流程参考图6。访问控制规则的生成主要包括:管控平台下发规则,之后对规则进行双方验证;经过(2)步骤验证的合法接入的规则。
对于不是认证的数据流,将进入主动响应访问控制机制:
a)首先,通过网卡的混杂模式对数据流进行捕获;
b)对捕获的数据进行协议分析,分析协议内容属性,主要包括源IP地址、目的IP地址、原端口号、目的端口号、协议类型这5个属性。
c)应用层协议解析,对于特定协议的应用层协议进行解析,如Modbus协议的功能码、起始地址、地址数、读写等属性,Powerlink协议的应用消息类型、节点ID号、标识号、时间戳等属性,等等。
d)访问控制匹配引擎通过匹配规则策略的知识,进行主动响应,此策略的来源主要包括两个部分:手动添加、身份认证添加。通过字符串匹配算法进行函数封装,匹配数据流中的协议解析内容与匹配规则策略内容是否相符。
对于访问控制匹配的结果又三种结果:默认情况下阻止一切数据流的通过;如果匹配了允许通过的规则策略,则可进行通用日志设置或直接放行数据流;如果匹配了禁止通过的规则策略,则需要对数据流进行阻拦并进行报警。
(4)访问控制被动响应机制:参考(3)中所述的访问控制方法,在检测到非法用户异常行为这种情况下,触发访问控制被动响应机制,触发的内容为“由管理员确认是否需要从新协商密钥”。其中这种方法主要检测由(2)合法接入情况下,用户操作或行为存在异常的行为,如流量数据超过阈值、操作行为不符合预期(此方法将通过支持向量机等算法进行训练及判断)等,这些异常行为将进行异常报警,需要管理员进行确认这些行为的合法性,如果管理员确认这种行为合法(需要与用户商讨在多长时间内处理,因为这种异常行为在前期是被允许通过的),则访问控制机制会将合法的规则增加到主动响应机制中。
(5)异常冒充被动响应机制:此模块检测到可能的异常冒充行为,如中间人攻击检测(检测路由跳数、时间戳长短、解析内容不符合自身身份等)、正常用户多次进行身份认证而被其他用户拒绝等,针对这些异常冒充行为,由管理员确认是否需要对证书进行相关处理,其中处理方式主要为用户证书更新,并更新其他与其通信的节点的通信秘钥。
(6)密钥弱点被动响应机制:系统检测到密钥脆弱性或过期的事件,由管理员确认是否需要对密钥进行相关处理。这种方法主要是检测协商的通信秘钥是否过期,基于产生的秘钥都会有时间标签来检测,以及秘钥是否具有脆弱性,如协商的秘钥位数过短(位数小于限值)、秘钥以明文方式发送、秘钥存储位置访问权限过低(权限低于限值)等,如果管理员确认需要更新,则重新进行会话秘钥的协商,其中各个节点会话秘钥协商采取的机制是相同的,如图5所示,以工程师站与可信PLC控制器的会话秘钥协商流程图为例,主要分为6个步骤。
秘钥协商过程详解,其中图5以NGU安全通信模块(定义为接收方)和工程师站(定义为发起方)为例,但此过程适应于整个本申请的方法的其他节点间的密钥协商过程:
a)发起方发送数字证书和签名数据,签名数据包括:签名内容(包括:节点名信息、IP地址、时间戳、随机数)、工程师站签名证书签名的信息(签名对象为签名内容)。
b)接收方验证a)的签名数据,认证通过,则继续进行通信,接收方发送数字证书和签名数据,签名数据内容参考a)的内容。
c)发起方验证接收方的b)步骤的签名数据,认证通过,则继续进行通信,发起方发送基于接收方公钥进行加密的对称秘钥对信息n,并附带随机数保证唯一性。
d)接收方发送基于发起方公钥进行加密的对称秘钥对信息m,并附带随机数保证唯一性。
e)发起方和接收方对n、m信息进行处理(方法如求和、异或等),生成对称密钥对,发起方用对称密钥对加密一个“随机数+时间标签”,进行应答。
f)接收方解密发起方发送的数据,并对随机数+1,接收方用对称密钥对加密“随机数+1”的信息以及时间标签。
(7)异常状态被动响应机制:系统检测到可能的其他异常行为,此种方式发现的异常行为是,通过自学习方式建立正常(无异常)通信模型,本方法通过单类支持向量机(one-class SVM)方法进行实现,在支持向量机中提取特定关键属性(按需求通过特征提取方法提取,如IP、端口、协议、工业应用层协议特征等)进行模型建立,对所有违反正常通信模型的行为进行报警。管理员对报警内容进行确认,并提供管理员重新进行身份认证、重新协商通信秘钥、访问控制规则更新三种操作。

Claims (5)

1.一种多融合联动响应的动态安全方法,其特征在于,现场控制设备通过身份认证、密钥管理进行主动响应与被动响应,对异常行为进行报警,包括以下步骤:
接入认证主动响应,对于认证数据流,使现场控制设备通过自己的数字证书B与其他通信节点进行身份合法性认证;通过认证后允许通信;
访问控制主动响应,对于非认证数据流,检测到非法访问时,立即阻断数据通信并进行报警;
访问控制被动响应,当访问控制主动响应步骤检测到异常行为时被触发,由管理员确认该异常行为是否合法;
异常冒充被动响应,对于非认证数据流,检测到异常冒充行为,由管理员确认是否需要对证书进行处理;
密钥弱点被动响应,对于非认证数据流,检测到密钥脆弱性或过期的事件,由管理员确认是否需要对密钥进行处理;若是,则进行会话密钥的协商;
异常状态被动响应,对于非认证的数据流,检测到其他异常行为,通过通信模型的建立对所有违反通信模型的行为进行报警;
所述进行会话密钥的协商包括以下步骤:
a)发起方发送数字证书B和签名数据;
b)接收方验证发起方的签名数据,认证通过,则继续进行通信;接收方发送自己的数字证书B和签名数据;
c)发起方验证接收方的签名数据,认证通过,则继续进行通信;发起方发送基于接收方公钥进行加密的对称密钥对信息n,并附带随机数;
d)接收方发送基于发起方公钥进行加密的对称密钥对信息m,并附带随机数;
e)发起方和接收方对n、m信息进行处理,生成对称密钥对;发起方用对称密钥对加密一个随机数+时间标签,进行应答;
f)接收方解密发起方发送的数据,并对随机数+1;接收方用对称密钥对加密随机数+1的信息以及时间标签。
2.根据权利要求1所述的一种多融合联动响应的动态安全方法,其特征在于所述现场控制设备通过身份认证、密钥管理进行主动响应与被动响应之前:预先配置代表身份的数字证书A,然后现场控制设备在实际环境中对数字证书A进行现场更新,并获取数字证书B。
3.根据权利要求1所述的一种多融合联动响应的动态安全方法,其特征在于所述访问控制主动响应,对于非认证的数据流,检测包括以下步骤:
a)首先,通过网卡的混杂模式对数据流进行捕获;
b)对捕获的数据进行协议分析;
c)对协议的应用层协议进行解析;
d)匹配数据流中的协议解析内容与设定的匹配规则内容是否相符;若相符,则进行日志设置或直接放行数据流;否则对数据流进行阻拦并报警;默认情况下阻止一切数据流的通过。
4.根据权利要求1所述的一种多融合联动响应的动态安全方法,其特征在于所述访问控制被动响应,由管理员确认该异常行为是合法时,将该行为加入到匹配规则中。
5.一种多融合联动响应的动态安全系统,其特征在于,包括:
接入认证主动响应模块,用于对于认证数据流,使现场控制设备通过自己的数字证书B与其他通信节点进行身份合法性认证;通过认证后允许通信;
访问控制主动响应模块,用于对于非认证数据流,检测到非法访问时,立即阻断数据通信并进行报警;
访问控制被动响应模块,用于当访问控制主动响应模块检测到异常行为时被触发,由管理员确认该异常行为是否合法;
异常冒充被动响应模块,用于对于非认证数据流,检测到异常冒充行为,由管理员确认是否需要对证书进行处理;
密钥弱点被动响应模块,用于对于非认证数据流,检测到密钥脆弱性或过期的事件,由管理员确认是否需要对密钥进行处理;若是,则进行会话密钥的协商;
异常状态被动响应机制模块,用于对于非认证的数据流,检测到其他异常行为,通过通信模型的建立对所有违反通信模型的行为进行报警;
所述进行会话密钥的协商包括:
a)发起方发送数字证书B和签名数据;
b)接收方验证发起方的签名数据,认证通过,则继续进行通信;接收方发送自己的数字证书B和签名数据;
c)发起方验证接收方的签名数据,认证通过,则继续进行通信;发起方发送基于接收方公钥进行加密的对称密钥对信息n,并附带随机数;
d)接收方发送基于发起方公钥进行加密的对称密钥对信息m,并附带随机数;
e)发起方和接收方对n、m信息进行处理,生成对称密钥对;发起方用对称密钥对加密一个随机数+时间标签,进行应答;
f)接收方解密发起方发送的数据,并对随机数+1;接收方用对称密钥对加密随机数+1的信息以及时间标签。
CN201710382960.2A 2017-05-26 2017-05-26 一种多融合联动响应的动态安全方法与系统 Active CN108965215B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201710382960.2A CN108965215B (zh) 2017-05-26 2017-05-26 一种多融合联动响应的动态安全方法与系统
US16/317,493 US11102226B2 (en) 2017-05-26 2018-05-07 Dynamic security method and system based on multi-fusion linkage response
PCT/CN2018/085766 WO2018214719A1 (zh) 2017-05-26 2018-05-07 一种多融合联动响应的动态安全方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710382960.2A CN108965215B (zh) 2017-05-26 2017-05-26 一种多融合联动响应的动态安全方法与系统

Publications (2)

Publication Number Publication Date
CN108965215A CN108965215A (zh) 2018-12-07
CN108965215B true CN108965215B (zh) 2019-12-24

Family

ID=64396193

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710382960.2A Active CN108965215B (zh) 2017-05-26 2017-05-26 一种多融合联动响应的动态安全方法与系统

Country Status (3)

Country Link
US (1) US11102226B2 (zh)
CN (1) CN108965215B (zh)
WO (1) WO2018214719A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108965215B (zh) * 2017-05-26 2019-12-24 中国科学院沈阳自动化研究所 一种多融合联动响应的动态安全方法与系统
CN110363098B (zh) * 2019-06-24 2021-08-13 深圳市中电数通智慧安全科技股份有限公司 一种暴力行为预警方法、装置、可读存储介质及终端设备
CN111132136B (zh) * 2019-11-11 2023-04-14 广东电网有限责任公司广州供电局 一种移动应用信息安全体系应用系统
US11528267B2 (en) * 2019-12-06 2022-12-13 Bank Of America Corporation System for automated image authentication and external database verification
CN111510302B (zh) * 2020-04-14 2023-11-14 北京信安世纪科技股份有限公司 一种提高安全通信协议中证书验证效率的方法和系统
CN112804215A (zh) * 2020-12-31 2021-05-14 中孚信息股份有限公司 一种基于零信任机制的视频采集安全处理系统及方法
CN112788064B (zh) * 2021-02-10 2021-09-14 中国电子科技集团公司第十五研究所 基于知识图谱的加密网络异常流量检测方法
CN113438240A (zh) * 2021-06-25 2021-09-24 北京八分量信息科技有限公司 一种物联网信息防止入侵的免疫系统及其方法
CN113904969B (zh) * 2021-09-28 2023-09-15 青岛海尔科技有限公司 物联设备的性能检测方法
CN113901478B (zh) * 2021-10-14 2024-04-16 北京邮电大学 一种通信安全验证的方法、装置、设备及存储介质
CN114422256B (zh) * 2022-01-24 2023-11-17 南京南瑞信息通信科技有限公司 一种基于ssal/ssl协议的高性能安全接入方法及装置
CN114915472B (zh) * 2022-05-17 2024-04-05 广东电网有限责任公司 安全运维管控中心、安全运维管控方法及可读存储介质
CN114928486B (zh) * 2022-05-18 2023-10-17 浙江木链物联网科技有限公司 一种基于数字证书的工控协议安全摆渡方法、装置、系统和存储介质
CN115086085B (zh) * 2022-08-19 2023-01-10 南京华盾电力信息安全测评有限公司 一种新能源平台终端安全接入认证方法及系统
CN116633696B (zh) * 2023-07-25 2024-01-02 深圳市永达电子信息股份有限公司 网络计算节点接入控制器系统、管控方法和电子设备
CN117240611B (zh) * 2023-11-13 2024-01-30 傲拓科技股份有限公司 一种基于人工智能的plc信息安全保护系统和方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040162781A1 (en) * 2003-02-14 2004-08-19 Kennsco, Inc. Monitoring and alert systems and methods
US7761923B2 (en) * 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
CN100346610C (zh) * 2004-11-01 2007-10-31 沈明峰 基于安全策略的网络安全管理系统和方法
US20080077976A1 (en) * 2006-09-27 2008-03-27 Rockwell Automation Technologies, Inc. Cryptographic authentication protocol
CN101521667B (zh) * 2009-04-15 2012-04-04 山东渔翁信息技术股份有限公司 一种安全的数据通信方法及装置
US8484474B2 (en) * 2010-07-01 2013-07-09 Rockwell Automation Technologies, Inc. Methods for firmware signature
WO2012109533A1 (en) * 2011-02-10 2012-08-16 Beyondtrust Software, Inc. System and method for detecting or preventing data leakage using behavior profiling
EP2624083A1 (en) * 2012-02-01 2013-08-07 ABB Research Ltd. Dynamic configuration of an industrial control system
CN104272676A (zh) * 2012-05-01 2015-01-07 日本电气株式会社 通信系统、访问控制装置、交换机、网络控制方法及程序
US20120266209A1 (en) * 2012-06-11 2012-10-18 David Jeffrey Gooding Method of Secure Electric Power Grid Operations Using Common Cyber Security Services
WO2016162382A1 (en) * 2015-04-07 2016-10-13 Tyco Fire & Security Gmbh Machine-to-machine and machine to cloud end-to-end authentication and security
US10042354B2 (en) * 2015-06-02 2018-08-07 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure using dynamic signatures
US10205733B1 (en) * 2015-06-17 2019-02-12 Mission Secure, Inc. Cyber signal isolator
US10686831B2 (en) * 2016-11-16 2020-06-16 Cisco Technology, Inc. Malware classification and attribution through server fingerprinting using server certificate data
US10708233B2 (en) * 2017-03-30 2020-07-07 Zscaler, Inc. Identification of certificate pinned mobile applications in cloud based security systems
CN108965215B (zh) * 2017-05-26 2019-12-24 中国科学院沈阳自动化研究所 一种多融合联动响应的动态安全方法与系统

Also Published As

Publication number Publication date
WO2018214719A1 (zh) 2018-11-29
US11102226B2 (en) 2021-08-24
CN108965215A (zh) 2018-12-07
US20190253444A1 (en) 2019-08-15

Similar Documents

Publication Publication Date Title
CN108965215B (zh) 一种多融合联动响应的动态安全方法与系统
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
US10432404B2 (en) Remote control of secure installations
JP6188785B2 (ja) デコイ暗号鍵を使用したネットワーク侵入検知
Adeel et al. A multi‐attack resilient lightweight IoT authentication scheme
CN102036242B (zh) 一种移动通讯网络中的接入认证方法和系统
Wang et al. NOTSA: Novel OBU with three-level security architecture for internet of vehicles
TW201600999A (zh) 基於信譽之用於加密通道的網路安全技術
CN106357690B (zh) 一种数据传输方法、数据发送装置及数据接收装置
CN103491072A (zh) 一种基于双单向隔离网闸的边界访问控制方法
CN110198297B (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
CN108712364B (zh) 一种sdn网络的安全防御系统及方法
CN113824705B (zh) 一种Modbus TCP协议的安全加固方法
CN103441983A (zh) 基于链路层发现协议的信息保护方法和装置
Tanveer et al. RUAM-IoD: A robust user authentication mechanism for the Internet of Drones
CN110971407A (zh) 基于量子秘钥的物联网安全网关通信方法
Kolisnyk et al. Investigation of the smart business center for IoT systems availability considering attacks on the router
CN110892695A (zh) 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品
CN110830507B (zh) 资源访问方法、装置、电子设备及系统
KR102190618B1 (ko) 열차제어 메시지 보안 장치 및 방법
Esiner et al. Message authentication and provenance verification for industrial control systems
CN114928486B (zh) 一种基于数字证书的工控协议安全摆渡方法、装置、系统和存储介质
CN112995140B (zh) 安全管理系统及方法
CN113794563B (zh) 一种通信网络安全控制方法及系统
CN110492994B (zh) 一种可信网络接入方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant