CN111641642B - 一种EtherCAT协议安全改进方法 - Google Patents
一种EtherCAT协议安全改进方法 Download PDFInfo
- Publication number
- CN111641642B CN111641642B CN202010472634.2A CN202010472634A CN111641642B CN 111641642 B CN111641642 B CN 111641642B CN 202010472634 A CN202010472634 A CN 202010472634A CN 111641642 B CN111641642 B CN 111641642B
- Authority
- CN
- China
- Prior art keywords
- key
- master
- station
- slave station
- master station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
Abstract
EtherCAT协议安全改进方法:主站将请求信息发送给秘钥分发中心,秘钥分发中心将公钥Ks和私钥Kb加密的从站信息,用私钥Ka加密后,发送给主站;主站用私钥Ka解密后,将信息发送给从站,从站用私钥Kb进行解密,产生新的连接ID,并用公钥Ks进行加密后发给主站;主站用公钥Ks解密,并且将连接ID进行函数运行,将结果用公钥加密后,发给从站进行认证,从站用公钥进行解密,对连接ID进行认证,认证成功则进行数据传输,失败则会进行重置;主站将要发送的安全数据进行本地哈希,然后将哈希值和其他信息发送给从站,从站将收到的安全数据再进行哈希,用得到的哈希值与接收的哈希值进行对比,相同则进行安全数据的命令操作,失败则进行重置操作。
Description
技术领域
本发明涉及工业以太网通信协议数据隐私保护安全技术领域。
背景技术
EtherCAT是当前较为流行的一种实时工业以太网,它是由 Beckhoff定义,由EtherCAT技术集团(ETG)支持,该组织是目前工业以太网最大的组织,同时EtherCAT技术在工控领域的的地位和作用也越来越重要。EtherCAT能够完全符合以太网标准,具有广泛的适用性,支持多种网络连接拓扑结构,它是一种具有高速低延时、刷新周期短、同步性能等优点的开放的实时以太网通信技术协议,它能够提供多种应用层协议接口来支持多种工业设备行规。
发明内容
本发明设计了一种EtherCAT协议安全改进方法。
本发明是EtherCAT协议安全改进方法,其步骤为:
(1)运行初始化算法,设备的主站和从站使用秘钥生成算法产生自己的主秘钥,共享主站的主秘钥为Ka,仅与秘钥分发中心Key distribution共享,从站有自己的主秘钥Kb,同样仅与秘钥分发中心 Key distribution共享,秘钥分发中心Key distribution产生公共秘钥 Ks;
(2)主站向秘钥分发中心Key distribution发送请求信息 MACm|MACs|Sid1,与秘钥分发中心建立连接,请求公共秘钥,该消息包括主站地址和从站地址信息以及连接ID信息;
(3)密钥分发中心在主站发送的消息的基础上加入会话密钥Ks,然后将地址信息和会话密钥Ks用从站的主密钥Kb进行加密,并将这些消息全部用主站的主密钥Ka进行加密后,发送给主站。发送的信息即为:E(Ka,[Ks|MACm|MACs|Sid1|E(Kb,{Ks|MACm]);
(4)主站将接收到的信息用自己的主密钥Ka进行解密,将解密后的要发送给从站部分的信息发送给从站,请求与从站建立会话连接。即E(Kb,{Ks|MACm]);
(5)从站将接收到的信息用自己的主密钥Kb进行解密,然后产生新的连接ID,并且用接收到的会话密钥Ks进行加密,将加密后的信息发给主站。即E(Ks,Sid2)。
(6)主站用接收到的会话密钥Ks解密接收到的信息,并且将连接ID 进行函数运行,再用公钥对函数运算的结果进行加密后,发给从站进行认证。即:
E(Ks,f(Sid2));
(7)从站用公钥将接收信息进行解密,然后对连接ID进行认证,如果认证成功则进行下一阶段的安全数据传输,如果失败则进行重置操作;
(8)在主站和从站建立连接成功后,主站将向从站发送安全数据,主站将要发送的安全数据进行本地哈希,然后将哈希值、安全数据、连接ID、命令和计数器一起发送给从站。即 Safe output(cmd|{data|H(data)}|id|wkc);
(9)从站将接收到的信息中的安全数据再进行哈希,然后用得到的哈希值与主站发送的哈希值进行对比,相同则进行相应的安全数据的命令操作,并且将计数器加1返回给主站,即Safe Ask(WKC+1)。如果不同,证明数据传输失败,则进行重置操作。本发明的有益之处在于:
(1)防止重放攻击:
本方案能有效防止重放攻击。方案中加入了秘钥分发中心Key Distribution,在主从站进行会话连接之前,先得获得公共会话秘钥Ks,由于攻击者在网络层面无法获得协议连接的会话秘钥,无法对获取的信息进行有效的解密分解,从而无法发起重放攻击。
(2)防止欺骗攻击:
本方案能有效防止欺骗攻击。主从站在获得公共秘钥后,进行会话连接是加入了连接认证,从而攻击者无法对协议进行欺骗攻击。
(3)防止篡改攻击:
本方案能有效防止篡改攻击。在主从站进行数据传输时,方案对传输的数据进行了哈希,将得到的哈希值同数据一起发送到从站,由于哈希值得不可逆性,从而攻击者无法对消息发起篡改攻击。
附图说明
图1是EtherCAT协议安全改进方法的流程图。
具体实施方式
如图1所示,本发明加入了秘钥分发中心对连接过程进行了连接秘钥分发以及连接认证,在数据传输阶段加入了哈希值确保数据的安全。
本发明是一种EtherCAT协议安全改进方法,其步骤为:
(1)运行初始化算法,设备的主站和从站使用秘钥生成算法(比如DES 算法)产生自己的主秘钥,共享主站的主秘钥为Ka(仅与秘钥分发中心Key distribution共享),从站有自己的主秘钥Kb(同样仅与秘钥分发中心Key distribution共享),秘钥分发中心Keydistribution产生公共秘钥Ks。
(2)主站向秘钥分发中心Key distribution发送请求信息 MACm|MACs|Sid1,与秘钥分发中心建立连接,请求会话密钥,该消息包括主站地址和从站地址信息以及连接ID信息。
(3)密钥分发中心在主站发送的消息的基础上加入会话密钥Ks是,然后将地址信息和会话密钥Ks用从站的主密钥Kb进行加密,并将这些消息全部用主站的主密钥Ka进行加密后,发送给主站。发送的信息即为: E(Ka,[Ks|MACm|MACs|Sid1|E(Kb,{Ks|MACm])。
(4)主站将接收到的信息用自己的主密钥Ka进行解密,将解密后的要发送给从站部分的信息发送给从站,请求与从站建立会话连接。即E(Kb,{Ks|MACm])。
(5)从站将接收到的信息用自己的主密钥Kb进行解密,然后产生新的连接ID,并且用接收到的会话密钥Ks进行加密,将加密后的信息发给主站。即 E(Ks,Sid2)。
(6)主站用接收到的会话密钥Ks解密接收到的信息,并且将连接ID 进行函数运行,再用公钥对函数运算的结果进行加密后,发给从站进行认证。即 E(Ks,f(Sid2))。
(7)从站用公钥将接收信息进行解密,然后对连接ID进行认证,如果认证成功则进行下一阶段的安全数据传输,如果失败则进行重置操作。
(8)在主站和从站建立连接成功后,主站将向从站发送安全数据,主站将要发送的安全数据进行本地哈希,然后将哈希值、安全数据、连接ID、命令和计数器一起发送给从站。即 Safe output(cmd|{data|H(data)}|id|wkc)。
(9)从站将接收到的信息中的安全数据再进行哈希,然后用得到的哈希值与主站发送的哈希值进行对比,相同则进行相应的安全数据的命令操作,并且将计数器加1返回给主站,即Safe Ask(WKC+1)。如果不同,证明数据传输失败,则进行重置操作。符号说明:Ka:主站主密钥,Kb:从站主密钥,Ks:会话秘钥, MACm:主站物理地址,MACs:从站物理地址,Sid:会话连接ID, cmd:命令,data:安全数据,H(data):数据哈希值,wkc:计数器信息。
本发明的一种EtherCAT协议安全改进方法,运行初始化算法,设备的主站和从站使用秘钥生成算法产生自己的主秘钥,共享主站的主秘钥为Ka,从站有自己的主秘钥Kb(Ka和Kb秘钥都仅与秘钥分发中心共享),秘钥分发中心产生会话密钥Ks。主站将主站地址和从站地址信息以及连接ID信息发送给秘钥分发中心,秘钥分发中心在主站发送的消息的基础上加入会话密钥Ks,然后将地址信息和会话密钥Ks用从站的主秘钥Kb进行加密,并将这些消息全部用主站的主秘钥Ka进行加密后,发送给主站。主站将接收到的信息用自己的主秘钥Ka进行解密,将解密后的要发送给从站部分的信息发送给从站,从站将接收到的信息用自己的主秘钥Kb进行解密,然后产生新的连接ID,并且用接收到的会话密钥Ks进行加密,将加密后的信息发给主站。主站用接收到的会话密钥Ks解密接收到的信息,并且将连接ID进行函数运行,再用会话密钥对函数运算的结果进行加密后,发给从站进行认证,从站用公钥将接收信息进行解密,然后对连接ID 进行认证,认证成功则进行下一步数据传输,失败则会进行重置。主站将要发送的安全数据进行本地哈希,然后将哈希值、安全数据、连接ID、命令和计数器一起发送给从站,从站将接收到的信息中的安全数据再进行哈希,然后用得到的哈希值与主站发送的哈希值进行对比,相同则进行相应的安全数据的命令操作,并且将计数器加1返回给主站。如果失败则进行重置操作。
Claims (1)
1.EtherCAT协议安全改进方法,其特征在于,其步骤为:
(1)运行初始化算法,设备的主站和从站使用秘钥生成算法产生自己的主秘钥,共享主站的主秘钥为Ka,仅与秘钥分发中心Key distribution共享,从站有自己的主秘钥Kb,同样仅与秘钥分发中心Key distribution共享,秘钥分发中心Key distribution产生会话密钥Ks;
(2)主站向秘钥分发中心Key distribution发送请求信息MACm|MACs|Sid1,与秘钥分发中心建立连接,请求会话密钥,该消息包括主站地址和从站地址信息以及连接ID信息;
(3)密钥分发中心在主站发送的消息的基础上加入会话密钥Ks,然后将地址信息和会话密钥Ks用从站的主密钥Kb进行加密,并将这些消息全部用主站的主密钥Ka进行加密后,发送给主站, 发送的信息即为:
E(Ka,[Ks|MACm|MACs|Sid1|E(Kb,{Ks|MACm]);
(4)主站将接收到的信息用自己的主密钥Ka进行解密,将解密后的要发送给从站部分的信息发送给从站,请求与从站建立会话连接, 即E(Kb,{Ks|MACm]);
(5)从站将接收到的信息用自己的主密钥Kb进行解密,然后产生新的连接ID,并且用接收到的会话密钥Ks进行加密,将加密后的信息发给主站, 即E(Ks,Sid2);
(6)主站用接收到的会话密钥Ks解密接收到的信息,并且将连接ID进行函数运行,再用公钥对函数运算的结果进行加密后,发给从站进行认证, 即E(Ks,f(Sid2));
(7)从站用公钥将接收信息进行解密,然后对连接ID进行认证,如果认证成功则进行下一阶段的安全数据传输,如果失败则进行重置操作;
(8)在主站和从站建立连接成功后,主站将向从站发送安全数据,主站将要发送的安全数据进行本地哈希,然后将哈希值、安全数据、连接ID、命令和计数器一起发送给从站, 即
Safe output(cmd|{data|H(data)}|id|wkc);
(9)从站将接收到的信息中的安全数据再进行哈希,然后用得到的哈希值与主站发送的哈希值进行对比,相同则进行相应的安全数据的命令操作,并且将计数器加1返回给主站,即Safe Ask(WKC+1); 如果不同,证明数据传输失败,则进行重置操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010472634.2A CN111641642B (zh) | 2020-05-29 | 2020-05-29 | 一种EtherCAT协议安全改进方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010472634.2A CN111641642B (zh) | 2020-05-29 | 2020-05-29 | 一种EtherCAT协议安全改进方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111641642A CN111641642A (zh) | 2020-09-08 |
| CN111641642B true CN111641642B (zh) | 2021-07-20 |
Family
ID=72331232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010472634.2A Active CN111641642B (zh) | 2020-05-29 | 2020-05-29 | 一种EtherCAT协议安全改进方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111641642B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108400867A (zh) * | 2017-02-07 | 2018-08-14 | 中国科学院沈阳计算技术研究所有限公司 | 一种基于公钥加密体制的认证方法 |
| KR20190002222A (ko) * | 2017-06-29 | 2019-01-08 | 메스코(주) | 이더캣 기반의 pa/ga용 인터콤 스테이션 시스템 |
| CN109792450A (zh) * | 2016-10-12 | 2019-05-21 | 西门子股份公司 | 在有实时能力的通信网络之内提供安全通信 |
-
2020
- 2020-05-29 CN CN202010472634.2A patent/CN111641642B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109792450A (zh) * | 2016-10-12 | 2019-05-21 | 西门子股份公司 | 在有实时能力的通信网络之内提供安全通信 |
| CN108400867A (zh) * | 2017-02-07 | 2018-08-14 | 中国科学院沈阳计算技术研究所有限公司 | 一种基于公钥加密体制的认证方法 |
| KR20190002222A (ko) * | 2017-06-29 | 2019-01-08 | 메스코(주) | 이더캣 기반의 pa/ga용 인터콤 스테이션 시스템 |
Non-Patent Citations (4)
| Title |
|---|
| EtherCAT technology for the network of smart substation;Liu Xiaosheng等;《Proceedings of The 7th International Power Electronics and Motion Control Conference》;20120605;全文 * |
| Research on trusted DNP3-BAE protocol based on hash chain;Ye Lu等;《EURASIP Journal on Wireless Communications and Networking》;20180508;全文 * |
| 基于Cortex-A8的安全工业以太设计与实现;万跃鹏;《中国优秀硕士学位论文全文数据库(电子期刊)》;20140615;全文 * |
| 工业以太网协议脆弱性与安全防护技术综述;冯涛等;《通信学报》;20171130;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111641642A (zh) | 2020-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
| CN110943957B (zh) | 一种车内网安全通信系统及方法 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN113572788A (zh) | BACnet/IP协议设备认证安全方法 | |
| CN112383917A (zh) | 一种基于商密算法的北斗安全通信方法和系统 | |
| CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
| CN105099699A (zh) | 基于物联网设备的安全高效通信方法及系统 | |
| CN101272241B (zh) | 一种密钥的分配与管理方法 | |
| Carvajal-Roca et al. | A semi-centralized dynamic key management framework for in-vehicle networks | |
| CN110266485B (zh) | 一种基于NB-IoT的物联网安全通信控制方法 | |
| CN109981271B (zh) | 一种网络多媒体安全防护加密方法 | |
| CN101527708B (zh) | 恢复连接的方法和装置 | |
| CN114553430A (zh) | 一种基于sdp的新型电力业务终端的安全接入系统 | |
| CN100376092C (zh) | 防火墙与入侵检测系统联动的方法 | |
| CN101719895A (zh) | 一种实现网络安全通信的数据处理方法和系统 | |
| CN113079003A (zh) | 一种分布式sm9密钥生成方法及系统 | |
| CN111641642B (zh) | 一种EtherCAT协议安全改进方法 | |
| KR20210126319A (ko) | 키 관리 장치 및 방법 | |
| CN105790932A (zh) | 一种通过使用机器码为基础的加密方法 | |
| CN103312495B (zh) | 一种成组ca的形成方法和装置 | |
| CN115883130A (zh) | 一种通过密钥的车载ecu身份认证方法 | |
| Dee et al. | Message integrity and authenticity in secure CAN | |
| Elmubark et al. | Fast and secure generating and exchanging a symmetric keys with different key size in TVWS | |
| CN111628872A (zh) | BACnet协议设备的安全认证方法 | |
| Zhao et al. | Design and formal verification of a vanet lightweight authentication protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |