CN112650172A - 一种工业控制系统的安全认证方法及设备 - Google Patents
一种工业控制系统的安全认证方法及设备 Download PDFInfo
- Publication number
- CN112650172A CN112650172A CN202011495047.1A CN202011495047A CN112650172A CN 112650172 A CN112650172 A CN 112650172A CN 202011495047 A CN202011495047 A CN 202011495047A CN 112650172 A CN112650172 A CN 112650172A
- Authority
- CN
- China
- Prior art keywords
- key
- field device
- production management
- check code
- management host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000004519 manufacturing process Methods 0.000 claims abstract description 83
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 64
- 230000009471 action Effects 0.000 claims abstract description 55
- 238000004891 communication Methods 0.000 claims abstract description 10
- 230000006870 function Effects 0.000 claims description 78
- 239000011159 matrix material Substances 0.000 claims description 62
- 238000004364 calculation method Methods 0.000 claims description 27
- 238000006073 displacement reaction Methods 0.000 claims description 21
- 238000012795 verification Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 230000001502 supplementing effect Effects 0.000 claims description 8
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 2
- 239000000126 substance Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 18
- 238000003860 storage Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 238000005520 cutting process Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241001391944 Commicarpus scandens Species 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41875—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by quality surveillance of production
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/32—Operator till task planning
- G05B2219/32368—Quality control
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种工业控制系统的安全认证方法及设备,方法包括:生产管理主机获取其对应的现场设备的特征信息,根据特征信息以及预存的校验码生成算法,离线生成第一校验码;向现场设备发送请求校验指令,并接收来自所述现场设备在线生成并发送的第二校验码;将第一校验码与第二校验码进行比对,得到比对结果,若比对结果一致,则认证成功,并向现场设备发送控制指令,控制指令包括动作指令、密钥,以便现场设备对密钥进行认证,若密钥与现场设备预存的密钥一致,则执行动作指令。通过对现场设备进行初始化认证,可以保证对接到正确的现场设备,同时,本申请可以对通讯中的密钥进行更新,提高了工业控制系统的安全性。
Description
技术领域
本申请涉及工业控制系统安全领域,尤其涉及一种工业控制系统的安全认证方法及设备。
背景技术
工业控制系统(IndustrialControl System,ICS)通常使用ModbusSerial协议进行通信。然而随着网络的普及,ICS也逐渐互联网化,产生了Modbus-TCP协议,即通过Modbus和TCP协议相结合来发送和接收Modbus Serial数据。但由于Modbus协议在设计之初并未考虑安全问题,一旦被攻击,将没有任何抵抗手段,严重影响正常的生产活动,甚至危及人身安全、造成财产损失。
现有的ICS中的现场设备更换率高,而生产管理主机,在向现场设备下达控制指令之前没有初始认证过程,容易发生指令下达出错的情况。同时,在现有技术中,通过将流控制传输协议(SCTP)和Modbus协议结合并附加消息验证码,生成Modbus认证方案,虽然SCTP本身对拒绝服务攻击、中间人攻击具有良好的防御力,但是该认证方案为对称加密认证结构,密钥单一,容易破解,且密钥更新不及时,容易导致重放攻击,难以保证工业控制系统的数据安全,导致生产作业产生难以挽回的损失。
发明内容
为了解决接入互联网的工业控制系统安全性差、易被攻击、无法对现场设备进行初始验证,以及加密通讯中的密钥单一、容易破解且更新不及时的问题,本申请提出了一种工业控制系统的安全认证方法及设备.
第一方面,本申请实施例提出了一种工业控制系统的安全认证。生产管理主机获取其对应的现场设备的特征信息,所述特征信息至少包括以下任意一项或多项:设备的地理位置信息、设备编号,所述特征信息预存在所述生产管理主机中;根据所述特征信息以及预存的校验码生成算法,生成第一校验码,所述第一校验码是离线生成的;向所述现场设备发送请求校验指令,并接收来自所述现场设备发送的第二校验码,所述第二校验码是所述现场设备根据所述特征信息以及所述校验码生成算法在线生成的,所述特征信息以及所述校验码生成算法预存在所述现场设备中;将所述第一校验码与所述第二校验码进行比对,得到比对结果,若所述比对结果一致,则认证成功,并向所述现场设备发送控制指令,所述控制指令包括动作指令、密钥,以便所述现场设备对所述密钥进行认证,若所述密钥与所述现场设备预存的密钥一致,则执行所述动作指令;所述动作指令用于执行对所述现场设备的操作任务。
在一个示例中,向所述现场设备发送控制指令之前,所述方法还包括:所述生产管理主机获取所述现场设备上次执行动作指令的时间与当前时间的时间间隔,若所述时间间隔超出第一时间阈值,则更新密钥,并将更新后的秘钥同步至所述现场设备,其中,所述第一时间阈值预存在所述生产管理主机中。
在一个示例中,所述更新密钥,并将更新后的秘钥同步至所述现场设备,具体包括:所述生产管理主机向所述现场设备发送密钥更新指令;所述现场设备向所述生产管理主机发送第一随机数;所述生产管理主机根据第一哈希函数对所述第一随机数进行哈希计算,将计算结果作为验证数值;随机选取三组三位数,并根据预存的密钥生成算法对所述三组三位数进行处理,得到更新后的密钥;将所述验证数值以及三组三位数,发送至所述现场设备;所述现场设备根据所述第一哈希函数对所述第一随机数进行哈希计算,若计算结果与所述验证数值一致,则根据预存的所述密钥生成算法对所述三组三位数进行处理,得到所述更新后的密钥。
在一个示例中,所述方法还包括,所述生产管理主机与所述现场设备都预存有排列顺序一致的若干个哈希函数,所述若干个哈希函数包含所述第一哈希函数,每间隔第二时间阈值,所述生产管理主机与所述现场设备根据所述若干个哈希函数的排列顺序,选取所述第一哈希函数下一顺位的哈希函数,将所述下一顺位的哈希函数作为更新后的第一哈希函数。
在一个示例中,根据预存的密钥生成算法对所述三组三位数进行处理,得到更新后的密钥,具体包括:所述生产管理主机将第一组三位数和第二组三位数进行相乘,得到第一组数值,若该数值不足六位,则在第三位之后补0,构成第一组六位数;将第二组三位数和第三组三位数进行相乘,得到第二组数值,若该数值不足六位,则在第三位后补0,构成第二组六位数;将第一组三位数和第三组三位数进行相乘,得到第三组数值,若该数值不足六位,则在第一位之后补0,构成第三组六位数;选取所述第一组六位数的第一位和第六位;选取所述第二组六位数的第二位和第五位;选取所述第三组六位数的第三位和第四位;将选取的六位数字按照选取的顺序进行顺次排列,作为更新后的密钥。
在一个示例中,所述方法还包括对所述动作指令进行加密,所述加密具体包括:随机生成若干初始密钥;将所述动作指令划分为若干个字节数量相同的第一字节矩阵;将所述初始密钥与所述动作指令对应的第一字节进行异或操作,并将异或操作后得到的字节矩阵进行置换与位移,得到第一轮加密动作指令;通过AES算法对所述若干初始密钥进行加密,得到若干加密后的初始密钥;通过DES算法对所述若干加密后的初始密钥进行加密,得到第一轮密钥;将所述第一轮密钥与所述第一轮加密动作指令进行异或操作,并将异或操作后得到的字节矩阵进行置换与位移,得到的二轮加密动作指令;将所述第一轮密钥划分为若干个字节数量相同的第二字节矩阵;将所述第二字节矩阵中各字节的高位数值与低位数值分别作为输入值,并将所述高位数值作为行值,所述低位数值作为列值,通过所述行值与所述列值在预存列表中确定相应交点位置,并将得到的所有交点位置对应的数值作为输出值,以此构造Khazad算法的第一置换函数;将所述第一置换函数的第二字节矩阵中的数值作为输入,将所述第一置换函数的第一字节矩阵中每一行的数值依次向同一任意方向进行位移,将位移后的数值作为输出,以此构造Khazad算法的位移函数;将Khazad算法di=di-8⊕H(S(di-4))⊕cr中的第二置换函数H与第三置换函数S,分别用所述第一置换函数与所述移位函数进行替换,并将常数cr用轮常量进行替换,得到替换后的密钥计算方程式;其中;di为通过Khazad算法计算出的第二轮密钥;di-8为任一初始密钥;di-4为任一第一轮密钥;S为将第一轮密钥进行置换操作的第二置换函数,H为将所述第二置换函数进行再次置换操作的第三置换函数;c与r都为常数。在所述若干初始密钥中任意选取一个密钥作为第一密钥,将所述第一密钥划分为若干个第三字节矩阵,通过所述第三字节矩阵中的数值,分别与所述密钥计算方程式中第一置换函数的第二字节矩阵的数值,进行异或操作,得到第四字节矩阵;将所述第四字节矩阵中的数值,与所述密钥计算方程式中的预置轮常量进行异或操作,得到第二轮密钥;将所述第二轮密钥与所述第二轮加密动作指令进行异或操作,并将异或操作后得到的字节矩阵进行置换与位移,得到与所述动作指令对应的密文。
在一个示例中,向所述现场设备发送请求验证指令,并接收来自所述现场设备发送的第二校验码之后,所述方法还包括:所述生产管理主机获取,发送所述请求校验指令与接收所述第二校验码之间的时间间隔,若所述时间间隔大于第三时间阈值,则发出警报。
在一个示例中,根据所述特征信息以及预存的校验码生成算法,生成第一校验码之前,所述方法还包括:所述生产管理主机获取所述现场设备的报警历史记录,并确定所述报警历史记录的危险等级;若所述危险等级高于预设的危险等级,则切断所述现场设备与其他区域的现场设备的通讯,其中,所述其他区域的现场设备与所述现场设备的地理位置信息不同。
在一个示例中,根据所述特征信息以及预存的校验码生成算法,生成第一校验码之前,所述方法还包括:所述生产管理主机获取所述现场设备的报警历史记录;若所述报警历史记录显示所述现场设备在第四时间阈值内存在报警信息,则切断所述现场设备与其他区域的现场设备的通讯,其中,所述其他区域的现场设备与所述现场设备的地理位置信息不同。
在一个示例中,所述方法还包括:所述生产管理主机获取发送所述控制指令与所述密钥进行认证的时间间隔,若所述时间间隔大于第五时间阈值,则发出警报。
另一方面,本申请提出了一种工业控制系统的安全认证设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述任一示例所述的方法。
本申请通过对现场设备进行初始化认证,可以保证对接到正确的现场设备,同时,本申请可以对通讯中的密钥进行更新,提高了工业控制系统的安全性,此外,本申请中并未采取双向加密的密钥算法,而是通过传输密钥生成条件使得生产管理主机与现场设备分别生成相同的密钥,避免了密钥在传输过程中被中间设备攻击、盗取,进一步提升了工业控制系统的安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例中一种工业控制系统的安全认证方法的流程示意图;
图2为本申请实施例提供的字节矩阵转换图;
图3为本申请实施例提供的第二轮加密目标数据字节矩阵图;
图4为本申请实施例提供的第二字节矩阵进行置换操作与位移操作后的字节矩阵图;
图5为本申请实施例提供的第二轮密钥字节矩阵图;
图6为本申请实施例中一种工业控制系统的安全认证设备的示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
需要说明的是,本申请实施例中记载的生产管理主机作为工业控制系统的控制终端,该终端包括但不限于远程终端单元、计算机等具有相应网络功能以及符合相关通信协议的硬件设备,上述终端中预装有能够实现工业控制系统的安全认证方法的相关系统。本申请实施例中记载的现场设备可以是具有相应网络功能并符合相关通信协议的远程站控制设备,其在接收到由生产管理主机发送的控制指令后,可以控制本地例如打开或关闭闸门、断路器等操作,也可以从传感器系统收集数据并反馈回生产管理主机,在本申请实施例中的生产管理主机与现场设备,以Modbus通信协议为例进行解释说明。
如图1所示,本申请实施例提供的一种工业控制系统的安全认证方法的流程图,包括:
S101、生产管理主机获取其对应的现场设备的特征信息,所述特征信息至少包括以下任意一项或多项:设备的地理位置信息、设备编号,所述特征信息预存在所述生产管理主机中。
其中,现场设备具有相应的特征信息,该特征信息包括但不限于:设备的地理位置信息、设备编号。地理位置信息用于区分位于不同区域或者具有不同功能的现场设备,处于相同区域或具有相同功能的现场设备具有相同的地理位置信息;设备编号用于区分不同的现场设备。现场设备的特征信息已预存在其系统之中,生产管理主机中预存有所有现场设备的特征信息。同时,现场设备的特征信息可以根据实际的生产需求进行相应调整,例如,将某一区域中的现场设备转移至其他区域,此时该现场设备的地理位置信息可以进行相应调整,调整后的现场设备的特征信息发生改变,并将改变后的相应特征信息同步至生产管理主机中。
具体地,若管理人员需要某一现场设备实现相应的功能,则将该请求输入至生产管理主机中,生产管理主机首先需要确定对应的现场设备,并从系统中调取该现场设备的特征信息。
S102、根据所述特征信息以及预存的校验码生成算法,生成第一校验码,所述第一校验码是离线生成的。
具体地,生产管理主机中预存有校验码生成算法,将现场设备的特征信息输入至校验码生成算法中,生成第一校验码。校验码生成算法为
其中C为校验码;ε为特征常量,取1.5;N为特征信息的个数,ch(i)为第i个特征信息,Mod为取模运算。
进一步地,生产管理主机根据特征信息以及校验码生成算法生成第一校验码是离线计算的,通过离线计算第一校验码,可以有效防止外部设备侵入生产管理主机进而修改第一校验码,也可以防止因木马程序入侵该生产管理主机而导致的第一校验码泄露。同时也可以通过设置生产管理主机,使其提前计算好所有现场设备对应的第一校验码,并加密存储。
S103、向所述现场设备发送请求校验指令,并接受来自所述现场设备发送的第二校验码,所述第二校验码是所述现场设备根据所述特征信息以及所述校验码生成算法在线生成的,所述特征信息以及所述校验码生成算法预存在所述现场设备中。
具体地,生产管理主机向相应的现场设备发送请求校验指令,现场设备在接收到该请求校验指令后,根据其特征信息以及预存的校验码生成算法生成第二校验码,其中,该校验码生成算法与生产管理主机中预存的一致。现场设备在线生成第二校验码,并将第二校验码发送至生产管理主机。
S104、将所述第一校验码与所述第二校验码进行比对,得到比对结果,若所述比对结果一致,则认证成功,并向所述现场设备发送控制指令,所述控制指令包括动作指令、密钥,以便所述现场设备对所述密钥进行认证,若所述密钥与所述现场设备预存的密钥一致,则执行所述动作指令,所述动作指令用于执行对所述现场设备的操作任务。
具体地,生产管理主机在获取到现场设备发送的第二校验码之后,将第一校验码与第二校验码进行比对,若比对结果不一致,则说明当前的现场设备与生产管理主机所要控制的现场设备并不对应,此时初始化失败,并发出警报,警报的形式包括但不限于:文字提示、语音提示,文字提示可以在生产管理主机配备的显示屏中进行展示,语音提示可以通过扩音器进行播报,用以引起管理人员的注意。
若初始化成功,生产管理主机则认定当前的现场设备正确,并向现场设备发送控制指令,该控制指令包括但不限于:动作指令、密钥,现场设备和生产管理主机中都预存有密钥,用于验证控制指令的安全性。现场设备在接收到生产管理主机发送的控制指令后,从控制指令中提取出密钥,并将该密钥与其预存的密钥进行比对,若比对结果一致,则执行该动作指令,该动作指令用于控制现场设备执行相应的操作任务,包括但不限于:打开或关闭阀门等。若比对结果不一致,则拒绝执行该动作指令,并向现场工作人员发出警报以及将警报反馈至生产管理主机。
进一步地,生产管理主机和现场设备中的密钥可以更新,生产管理主机中预存有第一时间阈值,每间隔第一时间阈值就可以更新密钥,该第一时间阈值可以是3s。其中,该第一时间阈值可以根据实际情况进行调整,管理人员可以根据当前的安全风险指数进行手动调整,生产管理主机可以根据当前的安全风险指数进行自动调整,其中,该安全风险指数是生产管理主机根据近期的报警历史记录进行推演的,若在规定时间内有超过一定次数的报警历史记录,例如24h内有3次及以上的报警历史记录,则提高安全风险指数。
其中,每间隔第一时间阈值,生产管理主机向其对应的现场设备发送密钥更新指令,现场设备在接收到密钥更新指令后,生成第一随机数并发送至生产管理主机,其中,该第一随机数是现场设备根据预存的随机数生成算法生成的,该随机数生成算法可以是符合该现场设备硬件条件的任意算法,例如XorShift算法,能够生成64位及以上随机数。
生产管理主机在接收到第一随机数后,根据预存的第一哈希函数对该第一随机数进行哈希计算,并将结算结果作为验证数值,其中,该第一哈希函数包括但不限于:MD5、SHA1、HMAC、BASE64等。
同时,生产管理主机根据随机选取算法随机选取三组三位数,该三组三位数是密钥的生成条件,生产管理主机中预存有密钥生成算法,该密钥生成算法为:将第一组三位数和第二组三位数进行相乘,得到第一组数值,若该数值不足六位,则在第三位之后补0,构成第一组六位数;将第二组三位数和第三组三位数进行相乘,得到第二组数值,若该数值不足六位,则在第三位之后补0,构成第二组六位数;将第一组三位数和第三组三位数进行相乘,得到第三组数值,若该数值不足六位,则在第一位之后补0,构成第三组六位数;若三组数值中的任一组满足6位数的条件,则无需再进行调整;选取第一组六位数的第一位和第六位,选取第二组六位数的第二位和第五位,选取第三组六位数的第三位和第四位,并将选取到的六位数进行顺次排列,作为更新后的密钥。例如,选取第一组三位数131,第二组三位数246,第三组三位数597,将131和246相乘,得到32226,由于其不足六位,则在第三位后补0,构成第一组六位数322026;将246和597相乘,得到146862,作为第二组六位数;将131和597相乘,得到78207,由于其不足六位,则在第一位之后补0,构成第三组六位数708207;选取第一组六位数的第一位和第六位,分别是3和6,选取第二组六位数的第二位和第五位,分别是4和6,选取第三组六位数的第三位和第四位,分别是8和2,将选取到的六位数字进行顺次排列,得到364682,作为更新后的密钥。
生产管理主机将上述验证数值以及三组三位数发送至现场设备,现场设备中预存有与生产管理主机同样的第一哈希函数及密钥生成算法,现场设备根据第一哈希函数对第一随机数进行计算,并将计算结果与验证数值进行比对。若比对结果不一致,则发出警报,并同步反馈至生产管理主机,若比对结果一致,则根据密钥生成算法对三组三位数进行计算,得到更新后的密钥,此时,生产管理主机与现场设备便都保存了更新后的密钥,但生产管理主机并未向现场设备发送密钥,保证了密钥的安全性。
设置三组三位数作为密钥生成算法的计算因子,能够有效平衡密钥的强度以及计算的速度,由于本申请实施例中的密钥更新频率较高,而现场设备不具有很强的运算能力,因此设置该种密钥更新算法可以保证现场设备可以在很短的时间阈值内计算得到更新后的密钥,降低了现场设备的计算压力,保证了现场设备的运行稳定性。同时,也保证了一定的密钥强度,通过上述对密钥生成算法的设计,也有效的保证了生成的密钥的强度,不易被外部设备破解。
在本申请的一个实施例中,随机生成若干初始密钥,并将随机生成的初始密钥转换为字节矩阵。同时,将动作指令划分为若干个字节数量相同的第一字节矩阵。将初始密钥转换的字节矩阵,与动作指令对应的第一字节矩阵进行异或操作,并将异或操作后得到的字节矩阵进行置换与位移,得到第一轮加密动作指令。
在本申请的一个实施例中,通过AES算法对若干初始密钥进行加密,得到若干加密后的初始密钥。通过DES算法对所述若干加密后的初始密钥进行加密,得到第一轮密钥,并将第一轮密钥划分为若干个字节数量相同的第二字节矩阵。
本申请实施例通过使用AES算法对初始密钥进行加密,再使用DES算法对加密后的初始密钥重新进行加密。以此得到的第一轮密钥更为复杂,攻击者很难对密钥进行破解,从而确保动作指令不易被攻破。
例如,图2为本申请实施例提供的第一轮加密字节矩阵图。如图2所示,第一行从左至右依次为,动作指令转换的第一字节矩阵、初始密钥转换的字节矩阵,第二行从左至右依次为,第一轮加密动作指令矩阵、第一轮密钥转换的第二字节矩阵。
具体的,将动作指令转换的第一字节矩阵,与初始密钥转换的字节矩阵中,位置相对应的两个数值先进行异或操作,再将异或操作后的数值进行置换与位移,可以得到第一轮加密动作指令。用DES算法对得到的加密后的初始密钥再次进行加密,就可以得到第一轮密钥。
例如,图2中的A0对应的数值与B0对应的数值进行异或、置换、位移操作后,得到C0所对应的数值。用DES算法对加密后的初始秘钥对应的数值进行加密,得到的D0所对应的数值,即为第一轮密钥中第一个字节所对应的数值。通过此种方法,可以得到第一轮密钥所对应的字节矩阵中的所有数值。
在本申请的一个实施例中,将第一轮密钥与第一轮加密动作指令进行异或操作。并将异或操作后得到的字节矩阵进行置换与位移,得到的二轮加密动作指令。
例如,图3为本申请实施例提供的第二轮加密动作指令矩阵图。如图所示,通过第一轮密钥中的D0与第一轮加密动作指令C0,进行异或操作。并将异或操作后得到的字节矩阵进行置换与位移,得到的二轮加密动作指令E4。E4位于第二轮加密数据矩阵中的第一字节位置,本申请实施例通过该计算方法,可以得到第二轮加密动作指令矩阵中的所有数值。
在本申请的一个实施例中,将第二字节矩阵中各字节的高位数值与低位数值分别作为输入值。并将高位数值作为行值,低位数值作为列值,通过行值与列值在预存列表中确定相应交点位置。并将得到的所有交点位置对应的数值作为输出值,以此构造Khazad算法的第一置换函数。
例如,第一轮密钥的字节矩阵中,第一个字节D0所对应16进制数值为9C,那么,高四位数值9为行值,低四位数值C为列值。在预存列表中找到第9行与第C列的相应交点位置,假设得到该位置的数值为E0,则将E0作为输出值。
需要说明的是,本申请实施例中的置换,是指用预设列表中的数值,替换当前密钥或动作指令中的数值。其中,可以根据实际中密钥以及动作指令的不同选择适合的预存列表进行置换操作。
在本申请的一个实施例中,将置换后字节矩阵中的数值作为输入。将置换后字节矩阵中每一行的数值,依次向同一任意方向进行位移,并将位移后的数值作为输出。以此构造Khazad算法的位移函数。
例如,将输出值为E0的字节所在行,依次向左进行位移,可以得到该位置位移后的数值E4。
需要说明的是,本申请实施例中的位移操作并不限定,只能向左或向右位移。本申请实施例对字节矩阵中的每一行都可以设定不同的位移方向,以此增加下一轮字节矩阵的复杂度。
例如,本申请实施例字节矩阵中的每一行都可以选择向左位移。或者,每一行都可以选择向右位移。
再如,字节矩阵中的第一行可以选择向左位移,第二行可以选择向右位移。第三行可以选择向左位移,第四行可以选择向右位移。
在本申请的一个实施例中,将Khazad算法方程式di=di-8⊕H(S(di-4))⊕cr中的第二置换函数H与第三置换函数S。分别用第一置换函数与位移函数进行替换,并将常数cr用轮常量进行替换。得到替换后的密钥计算方程式。其中,di为通过Khazad算法计算出的第二轮密钥;di-8为任一初始密钥;di-4为任一第一轮密钥;S为将第一轮密钥进行置换操作的第二置换函数,H为将所述第二置换函数进行再次置换操作的第三置换函数;c与r都为常数。
具体的,将Khazad算法方程式di=di-8⊕H(S(di-4))⊕cr中的第二置换函数H与第三置换函数S,以及常数cr。用AES算法方程式di=di-4⊕SubWord(RotByte(di-1))⊕Rcon中的第一置换函数SubWord,位移函数RotByte,以及预置轮常量Rocn分别进行替换。得到的密钥计算方程式为di=di-2x⊕SubWord(RotByte(di-x))⊕Rcon。其中,di为计算出的第二轮密钥,di-2x为任一初始秘钥,di-x为任一第一轮秘钥。x常数,i为密钥的序列码,且i大于2x。
本申请实施例将Khazad算法与AES算法相结合,在使用得到的新的加密算法对密钥进行加密时,需要用到初始密钥与第一轮密钥,因此,攻击者在破解该密钥时,就需要得到初始密钥与第一轮密钥。以此增加破解难度,确保数据安全性,提高工业物联网的防御能力。
在本申请的一个实施例中,在若干初始密钥中任意选取一个密钥作为第一密钥。将第一密钥划分为若干个第三字节矩阵,通过第三字节矩阵中的数值,分别与密钥计算方程式中第一置换函数的第二字节矩阵的数值,进行异或操作以及置换与位移操作,得到第四字节矩阵。将第四字节矩阵中的数值,与密钥计算方程式中的预置轮常量进行异或操作,得到第二轮密钥。
例如,第三字节矩阵的第一个字节数值为B0,第一轮密钥字节矩阵中第一个字节数值为D0。根据D0对应的行值与列值,在预存列表中确定数值F0。将第二字节中的所有数值分别在预存列表中找到相应的数值,并进行替换。得到如图4所示的左边起第一个图所示的,第二字节矩阵进行替换后的字节矩阵。根据位移函数的计算方法,将替换后的字节矩阵进行位移,得到如图4所示的左边起第二个图所示的位移后的字节矩阵。将第三字节矩阵中的B0与位移后的字节矩阵中的F4进行异或操作,得到第四字节矩阵中的G0。通过该方法,可以得到如图5左边起第一个图所示的,异或操作后第四字节矩阵。将第四字节矩阵中的数值,与密钥计算方程式中的预置轮常量进行异或操作,便可以得到如图5所示的第二轮密钥字节矩阵。
本申请实施例先对第一轮密钥进行置换与位移,再将初始密钥与置换位移后的第一轮密钥进行异或操作,增加了密钥的复杂度。也就是说,本申请实施例在计算第三轮密钥或者第四轮密钥,或者之后的多伦密钥时,每一轮都需要前两轮的密钥进行配合计算。因此即便攻击者获取了密文,也很难对密钥进行破解,很难得到动作指令中的内容。
在本申请的一个实施例中,将第二轮密钥与第二轮加密动作指令进行异或操作。并将异或操作后得到的字节矩阵进行置换与位移,得到动作指令对应的密文。
在一个实施例中,生产管理主机和所有现场设备中都预存有排列顺序一致的若干个哈希函数,该若干个哈希函数包括但不限于:MD5、SHA1、HMAC、BASE64等。每间隔第二时间阈值,生产管理主机和现场设备同时离线,生产管理主机与现场设备根据若干个哈希函数的排列顺序,选取第一哈希函数下一顺位的哈希函数,将下一顺位的哈希函数作为更新后的第一哈希函数,该选取选取具有规律性,可以保证生产管理主机和现场设备,每间隔第二时间阈值,都会选取出同样的哈希函数,同时,该若干个哈希函数还可以进行循环选取,即,若当前的第一哈希函数是排列顺序的最后一位,则下次选取的就是排列顺序的第一位,作为更新后的第一哈希函数,该第二时间阈值可以设置为600s。通过离线操作,可以保证生产管理主机和现场设备更新第一哈希函数时不被侵入,保证了系统安全。离线并更新第一哈希函数的过程可以在极短的时间内完成,不会对正常的生产作业产生影响。
在一个实施例中,生产管理主机在接收到现场设备发送的第二校验码之后,还会获取发送请求验证指令与接收第二校验码之间的时间间隔,若该时间间隔大于第三时间阈值,则发出警报,其中,该第三时间阈值预存在生产管理主机中,可以设置为0.3s,若时间间隔大于0.3s,则说明反馈回的第二校验码有被外部设备截获并修改的风险,通过发出警报可以及时对风险进行排查,保证了校验码传输的安全性。
在一个实施例中,生产管理主机在生成第一校验码之前,还会获取其对应的现场设备的报警历史记录,并判断该现场设备在第四时间阈值内是否存在报警信息,该第四时间阈值可以设置为12h,若在该期间内现场设备存在报警记录,生产管理主机则控制切断该现场设备与其他区域的现场设备的通讯,其中,其他区域的现场设备与该现场设备的地理位置信息不同,通过切断通信,可以有效防止该现场设备的风险转移至其他区域的现场设备,有利于维护整体工业控制系统的安全运行。
在一个实施例中,现场设备在对密钥认证成功并执行动作指令后,还会生成密钥认证与执行动作指令的时间间隔,并将该时间间隔发送会生产管理主机,生产管理主机判断该时间间隔是否大于第五时间阈值,该第五时间阈值可以设置为0.01s,若该时间间隔大于0.01s,则说明现场设备有被外部设备侵入并篡改动作指令的风险,通过发出警报,可以及时监测到该风险。
如图6所示,本申请实施例还提供了一种工业控制系统的安全认证设备,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如上述任意一个实施例所述的方法。
本申请实施例还提供了一种工业控制系统的安全认证的的非易失性计算机存储介质,存储有计算机可执行指令,其中,计算机可执行指令设置为:如上述任意一个实施例所述的方法。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备和介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的设备和介质与方法是一一对应的,因此,设备和介质也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述设备和介质的有益技术效果。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种工业控制系统的安全认证方法,其特征在于,所述方法包括:
生产管理主机获取其对应的现场设备的特征信息,所述特征信息至少包括以下任意一项或多项:设备的地理位置信息、设备编号;所述特征信息预存在所述生产管理主机中;
根据所述特征信息以及预存的校验码生成算法,生成第一校验码,所述第一校验码是离线生成的;
向所述现场设备发送请求校验指令,并接收来自所述现场设备发送的第二校验码,所述第二校验码是所述现场设备根据所述特征信息以及所述校验码生成算法在线生成的;所述特征信息以及所述校验码生成算法预存在所述现场设备中;
将所述第一校验码与所述第二校验码进行比对,得到比对结果,若所述比对结果一致,则认证成功,并向所述现场设备发送控制指令,所述控制指令包括动作指令、密钥,以便所述现场设备对所述密钥进行认证;若所述密钥与所述现场设备预存的密钥一致,则执行所述动作指令;所述动作指令用于执行对所述现场设备的操作任务。
2.根据权利要求1所述的一种工业控制系统的安全认证方法,其特征在于,向所述现场设备发送控制指令之前,所述方法还包括:
所述生产管理主机获取所述现场设备上次执行动作指令的时间与当前时间的时间间隔,若所述时间间隔超出第一时间阈值,则更新密钥,并将更新后的秘钥同步至所述现场设备,其中,所述第一时间阈值预存在所述生产管理主机中。
3.根据权利要求2所述的一种工业控制系统的安全认证方法,其特征在于,所述更新密钥,并将更新后的秘钥同步至所述现场设备,具体包括:
所述生产管理主机向所述现场设备发送密钥更新指令;
所述现场设备向所述生产管理主机发送第一随机数;
所述生产管理主机根据第一哈希函数对所述第一随机数进行哈希计算,将计算结果作为验证数值;
随机选取三组三位数,并根据预存的密钥生成算法对所述三组三位数进行处理,得到更新后的密钥;
将所述验证数值以及三组三位数,发送至所述现场设备;
所述现场设备根据所述第一哈希函数对所述第一随机数进行哈希计算,若计算结果与所述验证数值一致,则根据预存的所述密钥生成算法对所述三组三位数进行处理,得到所述更新后的密钥。
4.根据权利要求3所述的一种工业控制系统的安全认证方法,其特征在于,所述方法还包括:
所述生产管理主机与所述现场设备都预存有排列顺序一致的若干个哈希函数,所述若干个哈希函数包含所述第一哈希函数,每间隔第二时间阈值,所述生产管理主机与所述现场设备根据所述若干个哈希函数的排列顺序,选取所述第一哈希函数下一顺位的哈希函数,将所述下一顺位的哈希函数作为更新后的第一哈希函数。
5.根据权利要求3所述的一种工业控制系统的安全认证方法,其特征在于,根据预存的密钥生成算法对所述三组三位数进行处理,得到更新后的密钥,具体包括:
所述生产管理主机将第一组三位数和第二组三位数进行相乘,得到第一组数值,若该数值不足六位,则在第三位之后补0,构成第一组六位数;将第二组三位数和第三组三位数进行相乘,得到第二组数值,若该数值不足六位,则在第三位后补0,构成第二组六位数;将第一组三位数和第三组三位数进行相乘,得到第三组数值,若该数值不足六位,则在第一位之后补0,构成第三组六位数;
选取所述第一组六位数的第一位和第六位;选取所述第二组六位数的第二位和第五位;选取所述第三组六位数的第三位和第四位;
将选取的六位数字按照选取的顺序进行顺次排列,作为更新后的密钥。
6.根据权利要求1所述的一种工业控制系统的安全认证方法,其特征在于,所述方法还包括对所述动作指令进行加密,所述加密具体包括:
随机生成若干初始密钥;
将所述动作指令划分为若干个字节数量相同的第一字节矩阵;
将所述初始密钥与所述动作指令对应的第一字节进行异或操作,并将异或操作后得到的字节矩阵进行置换与位移,得到第一轮加密动作指令;
通过AES算法对所述若干初始密钥进行加密,得到若干加密后的初始密钥;通过DES算法对所述若干加密后的初始密钥进行加密,得到第一轮密钥;
将所述第一轮密钥与所述第一轮加密动作指令进行异或操作,并将异或操作后得到的字节矩阵进行置换与位移,得到的二轮加密动作指令;
将所述第一轮密钥划分为若干个字节数量相同的第二字节矩阵;
将所述第二字节矩阵中各字节的高位数值与低位数值分别作为输入值,并将所述高位数值作为行值,所述低位数值作为列值,通过所述行值与所述列值在预存列表中确定相应交点位置,并将得到的所有交点位置对应的数值作为输出值,以此构造Khazad算法的第一置换函数;
将所述第一置换函数的第二字节矩阵中的数值作为输入,将所述第一置换函数的第一字节矩阵中每一行的数值依次向同一任意方向进行位移,将位移后的数值作为输出,以此构造Khazad算法的位移函数;
将Khazad算法di=di-8⊕H(S(di-4))⊕cr中的第二置换函数H与第三置换函数S,分别用所述第一置换函数与所述移位函数进行替换,并将常数cr用轮常量进行替换,得到替换后的密钥计算方程式;
其中;di为通过Khazad算法计算出的第二轮密钥;di-8为任一初始密钥;di-4为任一第一轮密钥;S为将第一轮密钥进行置换操作的第二置换函数,H为将所述第二置换函数进行再次置换操作的第三置换函数;c与r都为常数。
在所述若干初始密钥中任意选取一个密钥作为第一密钥,将所述第一密钥划分为若干个第三字节矩阵,通过所述第三字节矩阵中的数值,分别与所述密钥计算方程式中第一置换函数的第二字节矩阵的数值,进行异或操作,得到第四字节矩阵;将所述第四字节矩阵中的数值,与所述密钥计算方程式中的预置轮常量进行异或操作,得到第二轮密钥;
将所述第二轮密钥与所述第二轮加密动作指令进行异或操作,并将异或操作后得到的字节矩阵进行置换与位移,得到与所述动作指令对应的密文。
7.根据权利要求1所述的一种工业控制系统的安全认证方法,其特征在于,向所述现场设备发送请求验证指令,并接收来自所述现场设备发送的第二校验码之后,所述方法还包括:
所述生产管理主机获取,发送所述请求校验指令与接收所述第二校验码之间的时间间隔,若所述时间间隔大于第三时间阈值,则发出警报。
8.根据权利要求1所述的一种工业控制系统的安全认证方法,其特征在于,根据所述特征信息以及预存的校验码生成算法,生成第一校验码之前,所述方法还包括:
所述生产管理主机获取所述现场设备的报警历史记录;
若所述报警历史记录显示所述现场设备在第四时间阈值内存在报警信息,则切断所述现场设备与其他区域的现场设备的通讯,其中,所述其他区域的现场设备与所述现场设备的地理位置信息不同。
9.根据权利要求1所述的一种工业控制系统的安全认证方法,其特征在于,所述方法还包括:
所述生产管理主机获取发送所述控制指令与所述密钥进行认证的时间间隔,若所述时间间隔大于第五时间阈值,则发出警报。
10.一种工业控制系统的安全认证设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-9中任意一项权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011495047.1A CN112650172B (zh) | 2020-12-17 | 2020-12-17 | 一种工业控制系统的安全认证方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011495047.1A CN112650172B (zh) | 2020-12-17 | 2020-12-17 | 一种工业控制系统的安全认证方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112650172A true CN112650172A (zh) | 2021-04-13 |
| CN112650172B CN112650172B (zh) | 2021-08-20 |
Family
ID=75355436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011495047.1A Active CN112650172B (zh) | 2020-12-17 | 2020-12-17 | 一种工业控制系统的安全认证方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112650172B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113541955A (zh) * | 2021-06-03 | 2021-10-22 | 国电南瑞科技股份有限公司 | 一种安控系统2m通信的加密方法及装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060118247A (ko) * | 2005-05-16 | 2006-11-23 | 에스케이 텔레콤주식회사 | 정보 보안 시스템 및 방법 |
| CN104426657A (zh) * | 2013-08-23 | 2015-03-18 | 阿里巴巴集团控股有限公司 | 一种业务认证方法、系统及服务器 |
| CN107204985A (zh) * | 2017-06-22 | 2017-09-26 | 北京洋浦伟业科技发展有限公司 | 基于加密密钥的权限认证方法、装置及系统 |
| CN108320356A (zh) * | 2018-02-02 | 2018-07-24 | 陈旭 | 锁控制方法、装置及系统 |
| CN108809633A (zh) * | 2017-04-28 | 2018-11-13 | 广东国盾量子科技有限公司 | 一种身份认证的方法、装置及系统 |
| CN109257374A (zh) * | 2018-10-31 | 2019-01-22 | 百度在线网络技术(北京)有限公司 | 安全控制方法、装置和计算机设备 |
| CN109672538A (zh) * | 2019-02-13 | 2019-04-23 | 北京仁信证科技有限公司 | 一种轻量级车载总线安全通信方法及安全通信系统 |
| CN110225038A (zh) * | 2019-06-13 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 用于工业信息安全的方法、装置及系统 |
| JP2019161608A (ja) * | 2018-03-16 | 2019-09-19 | 株式会社東芝 | 無線通信システム、無線通信方法 |
| CN110519215A (zh) * | 2019-07-02 | 2019-11-29 | 珠海格力电器股份有限公司 | 一种数据通信方法和装置 |
| CN110912921A (zh) * | 2019-11-29 | 2020-03-24 | 广东工业大学 | 一种工业控制系统安全数据校验系统及方法 |
| CN111143808A (zh) * | 2019-12-26 | 2020-05-12 | 北京神州绿盟信息安全科技股份有限公司 | 系统安全认证方法、装置及计算设备、存储介质 |
| CN111245802A (zh) * | 2020-01-06 | 2020-06-05 | 银清科技有限公司 | 数据传输安全控制方法、服务器以及终端 |
| CN111600869A (zh) * | 2020-05-13 | 2020-08-28 | 济南大学 | 一种基于生物特征的验证码认证方法及系统 |
-
2020
- 2020-12-17 CN CN202011495047.1A patent/CN112650172B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060118247A (ko) * | 2005-05-16 | 2006-11-23 | 에스케이 텔레콤주식회사 | 정보 보안 시스템 및 방법 |
| CN104426657A (zh) * | 2013-08-23 | 2015-03-18 | 阿里巴巴集团控股有限公司 | 一种业务认证方法、系统及服务器 |
| CN108809633A (zh) * | 2017-04-28 | 2018-11-13 | 广东国盾量子科技有限公司 | 一种身份认证的方法、装置及系统 |
| CN107204985A (zh) * | 2017-06-22 | 2017-09-26 | 北京洋浦伟业科技发展有限公司 | 基于加密密钥的权限认证方法、装置及系统 |
| CN108320356A (zh) * | 2018-02-02 | 2018-07-24 | 陈旭 | 锁控制方法、装置及系统 |
| JP2019161608A (ja) * | 2018-03-16 | 2019-09-19 | 株式会社東芝 | 無線通信システム、無線通信方法 |
| CN109257374A (zh) * | 2018-10-31 | 2019-01-22 | 百度在线网络技术(北京)有限公司 | 安全控制方法、装置和计算机设备 |
| CN109672538A (zh) * | 2019-02-13 | 2019-04-23 | 北京仁信证科技有限公司 | 一种轻量级车载总线安全通信方法及安全通信系统 |
| CN110225038A (zh) * | 2019-06-13 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 用于工业信息安全的方法、装置及系统 |
| CN110519215A (zh) * | 2019-07-02 | 2019-11-29 | 珠海格力电器股份有限公司 | 一种数据通信方法和装置 |
| CN110912921A (zh) * | 2019-11-29 | 2020-03-24 | 广东工业大学 | 一种工业控制系统安全数据校验系统及方法 |
| CN111143808A (zh) * | 2019-12-26 | 2020-05-12 | 北京神州绿盟信息安全科技股份有限公司 | 系统安全认证方法、装置及计算设备、存储介质 |
| CN111245802A (zh) * | 2020-01-06 | 2020-06-05 | 银清科技有限公司 | 数据传输安全控制方法、服务器以及终端 |
| CN111600869A (zh) * | 2020-05-13 | 2020-08-28 | 济南大学 | 一种基于生物特征的验证码认证方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113541955A (zh) * | 2021-06-03 | 2021-10-22 | 国电南瑞科技股份有限公司 | 一种安控系统2m通信的加密方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112650172B (zh) | 2021-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Biham et al. | Rogue7: Rogue engineering-station attacks on s7 simatic plcs | |
| US9596086B2 (en) | Password-based authentication | |
| US9491174B2 (en) | System and method for authenticating a user | |
| AU2003203712B2 (en) | Methods for remotely changing a communications password | |
| US7457411B2 (en) | Information security via dynamic encryption with hash function | |
| US11240008B2 (en) | Key management method, security chip, service server and information system | |
| CN113626802B (zh) | 一种设备密码的登录验证系统及方法 | |
| CN103856468A (zh) | 身份验证系统及方法 | |
| CN104113409A (zh) | 一种sip视频监控联网系统的密钥管理方法及系统 | |
| CN107995148B (zh) | 文件防篡改的方法、系统、终端和可信云平台 | |
| CN113242120A (zh) | 终端设备密码更新方法、系统、装置及存储介质 | |
| CN106685644A (zh) | 通信加密方法和装置、网关、服务器、智能终端和系统 | |
| CN112650172B (zh) | 一种工业控制系统的安全认证方法及设备 | |
| CN115348107A (zh) | 物联网设备安全登陆方法、装置、计算机设备和存储介质 | |
| US9762388B2 (en) | Symmetric secret key protection | |
| CN100561913C (zh) | 一种访问密码设备的方法 | |
| CN113746642B (zh) | 一种计算机间通信方法及系统 | |
| Elganzoury et al. | A new secure one-time password algorithm for mobile applications | |
| KR101428665B1 (ko) | Aes-otp기반의 보안 시스템 및 방법 | |
| CN117857060B (zh) | 一种二维码离线核验方法、系统及存储介质 | |
| CN110971396B (zh) | 一种应用程序的登录方法及其对应系统 | |
| CN116582252A (zh) | 基于国密算法的安全通信方法及装置 | |
| Ying et al. | Critical analysis of new protocols on lightweight authentication | |
| CN116684870A (zh) | 电力5g终端的接入认证方法、装置及系统 | |
| CN117278214A (zh) | 一种电力系统网络安全通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A safety certification method and equipment for industrial control system Effective date of registration: 20220511 Granted publication date: 20210820 Pledgee: Jinan zhixiaozhinong Financing Guarantee Co.,Ltd. Pledgor: Shandong Yuntian Safety Technology Co.,Ltd. Registration number: Y2022980005473 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20230506 Granted publication date: 20210820 Pledgee: Jinan zhixiaozhinong Financing Guarantee Co.,Ltd. Pledgor: Shandong Yuntian Safety Technology Co.,Ltd. Registration number: Y2022980005473 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Safety Certification Method and Equipment for Industrial Control Systems Effective date of registration: 20230508 Granted publication date: 20210820 Pledgee: Ji'nan finance Company limited by guarantee Pledgor: Shandong Yuntian Safety Technology Co.,Ltd. Registration number: Y2023980039956 |