CN113645218A - Opcua协议的安全增强方法 - Google Patents

Opcua协议的安全增强方法 Download PDF

Info

Publication number
CN113645218A
CN113645218A CN202110899591.0A CN202110899591A CN113645218A CN 113645218 A CN113645218 A CN 113645218A CN 202110899591 A CN202110899591 A CN 202110899591A CN 113645218 A CN113645218 A CN 113645218A
Authority
CN
China
Prior art keywords
server
public key
client
random number
sends
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110899591.0A
Other languages
English (en)
Inventor
龚翔
马庄宇
冯涛
方君丽
郑路
王晶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lanzhou University of Technology
Original Assignee
Lanzhou University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lanzhou University of Technology filed Critical Lanzhou University of Technology
Priority to CN202110899591.0A priority Critical patent/CN113645218A/zh
Publication of CN113645218A publication Critical patent/CN113645218A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

OPCUA协议的安全增强方法,客户端首先向服务器发送GetEndPoints请求,请求关于服务器的相关信息;DiscoveryEndPoint使用pk(S)、安全模式、SP、UP进行应答;客户端验证pk(S)无误后生成随机数NC。随后客户端发送OpenSecureChannel请求、pk(C)、使用服务器公钥加密NC后的{NC}pk(S)、接收者公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;服务器验证收到的NC无误后生成随机数NS。服务端发送OpenSecureChannel应答、使用客户端公钥加密NS后的{NS}pk(C)、ST、TTL、接收者公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名。

Description

OPCUA协议的安全增强方法
技术领域
本发明涉及工业控制系统通信协议数据认证安全技术领域。
背景技术
OPCUA即OPC统一架构,是由OPC基金会在传统OPC基础上延伸而来基于Web服务的新的工控协议,并广泛应用于工厂设备之间的远距离交互以及多设备互联,具有跨平台、集成地址空间、封装通用服务接口、定义安全模型等特性。区别于传统的OPC协议,OPCUA协议能够通过互联网实现各种工业系统和设备的远距离数据交换、实现客户端与服务器之间的通信,满足工控系统各个层面数据交换的需求。
OPCUA安全模型分为三层。最底层为传输层,是保障数据安全通信的基础,也是较为容易被攻击的一层,比如遭受拒绝服务攻击;传输层之上是通信层,安全通道就在这一层建立,通信层采用非对称加密、数字签名等技术保证通道的机密性和完整性;最上层是应用层,基于安全通道客户端和服务器通过协商在应用层创建会话,用来传输设备之间的实时数据、操作指令等,创建会话可以对客户端的身份进行验证和授权。该安全模型为OPCUA的安全性提供了一定的基础,为分析OPCUA两个握手子协议安全性提供指导依据。
发明内容
本发明的目的是提供一种OPCUA协议的安全增强方法。
本发明是OPCUA协议的安全增强方法,其步骤为:
步骤(1)客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息;
步骤(2)检测端点DiscoveryEndPoint向客户端发送消息{GERes,pk(S),SignEnc,SP,UP},其中pk(S)为服务器的公钥、SignEnc表示安全模式为签密、SP和UP分别为安全策略和用户策略,其中SP和UP用于加密原语协商;
步骤(3)客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作;随机数NC用于代表客户端的身份;
步骤(4)生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;发送的消息即为:{OSCReq,pk(C),{NC}pk(S),pk(S)}pk(S),{h(OSCReq,pk(C),{NC}pk(S),pk(S))}sk(C);
步骤(5)服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作;随机数NS用于代表服务端的身份;
步骤(6)生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名;发送的消息即为:{OSCRes,{NS}pk(C),ST,TTL,pk(C)}pk(C),{h(OSCRes,{NS}pk(C),ST,TTL,pk(C))}sk(S)。
本发明的有益之处在于:
(1)防止欺骗攻击:本发明能有效防止身份的欺骗攻击。客户端向服务端发送开放安全通道请求时,在发送的消息中添加了接受方即服务端的公钥pk(S),同样,服务端向客户端发送应答响应时,在发送的消息中添加了接受方即客户端的公钥pk(C),这样确保接受方的身份不会被篡改。因此,避免了攻击者将消息重新发送到非法主机。
(2)提高随机数的保密性:本方法有效提高随机数的保密性。采用密钥包装机制将在客户端与服务端交互过程中出现的所有随机数NC替换为{NC}pk(S),随机数NS替换为{NS}pk(C)。在消息流中对随机数NC和NS进行加密,确保随机数的保密性,进而解决随机数的身份认证问题。
附图说明
图1是OPCUA的OpenSecureChannel子协议改进后的签密模式消息流模型图。
具体实施方式
本发明是OPCUA协议的安全增强方法,其步骤为:
步骤(1)客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息;
步骤(2)检测端点DiscoveryEndPoint向客户端发送消息{GERes,pk(S),SignEnc,SP,UP},其中pk(S)为服务器的公钥、SignEnc表示安全模式为签密、SP和UP分别为安全策略和用户策略,其中SP和UP用于加密原语协商;
步骤(3)客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作;随机数NC用于代表客户端的身份;
步骤(4)生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;发送的消息即为:{OSCReq,pk(C),{NC}pk(S),pk(S)}pk(S),{h(OSCReq,pk(C),{NC}pk(S),pk(S))}sk(C);
步骤(5)服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作;随机数NS用于代表服务端的身份;
步骤(6)生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名;发送的消息即为:{OSCRes,{NS}pk(C),ST,TTL,pk(C)}pk(C),{h(OSCRes,{NS}pk(C),ST,TTL,pk(C))}sk(S)。
如图1所示,本发明实施例中参与设备有三个,分别是客户端Client、服务端Server以及检测端点DiscoveryEndPoint。
本发明在子协议消息流中加入了接收者的公钥和采用密钥包装机制对随机数进行加密处理的安全增强方案,防止协议免受身份认证的欺骗攻击。
OPCUA的OpenSecureChannel子协议改进后的消息流程,运行初始化算法,客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息。检测端点DiscoveryEndPoint向客户端发送服务器的公钥pk(S)、安全模式、安全策略SP、用户策略UP,其中SP和UP用于加密原语协商。客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作。(随机数NC用于代表客户端的身份)。生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名。服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作。(随机数NS用于代表服务端的身份)。生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名。从而,完成OPCUA协议的开放安全通道操作。

Claims (1)

1.OPCUA协议的安全增强方法,其特征在于,其步骤为:
步骤(1)客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息;
步骤(2)检测端点DiscoveryEndPoint向客户端发送消息{GERes,pk(S),SignEnc,SP,UP},其中pk(S)为服务器的公钥、SignEnc表示安全模式为签密、SP和UP分别为安全策略和用户策略,其中SP和UP用于加密原语协商;
步骤(3)客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作;随机数NC用于代表客户端的身份;
步骤(4)生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;发送的消息即为:{OSCReq,pk(C),{NC}pk(S),pk(S)}pk(S),{h(OSCReq,pk(C),{NC}pk(S),pk(S))}sk(C);
步骤(5)服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作;随机数NS用于代表服务端的身份;
步骤(6)生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名;发送的消息即为:{OSCRes,{NS}pk(C),ST,TTL,pk(C)}pk(C),{h(OSCRes,{NS}pk(C),ST,TTL,pk(C))}sk(S)。
CN202110899591.0A 2021-08-06 2021-08-06 Opcua协议的安全增强方法 Pending CN113645218A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110899591.0A CN113645218A (zh) 2021-08-06 2021-08-06 Opcua协议的安全增强方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110899591.0A CN113645218A (zh) 2021-08-06 2021-08-06 Opcua协议的安全增强方法

Publications (1)

Publication Number Publication Date
CN113645218A true CN113645218A (zh) 2021-11-12

Family

ID=78419887

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110899591.0A Pending CN113645218A (zh) 2021-08-06 2021-08-06 Opcua协议的安全增强方法

Country Status (1)

Country Link
CN (1) CN113645218A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411528A (zh) * 2016-10-17 2017-02-15 重庆邮电大学 一种基于隐式证书的轻量级认证密钥协商方法
CN108282327A (zh) * 2017-01-06 2018-07-13 重庆邮电大学 一种基于混沌rsa加密的opc ua秘钥交换方法
CN109155732A (zh) * 2016-04-11 2019-01-04 菲尼克斯电气公司 用于在第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法和布置
CN109450615A (zh) * 2018-11-16 2019-03-08 重庆邮电大学 一种高效的opc ua客户端与服务器端数据传输加密方法
US20200304567A1 (en) * 2017-12-22 2020-09-24 Prosys Opc Oy Method, a system and a computer program product for managing opc ua server capacity

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109155732A (zh) * 2016-04-11 2019-01-04 菲尼克斯电气公司 用于在第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法和布置
CN106411528A (zh) * 2016-10-17 2017-02-15 重庆邮电大学 一种基于隐式证书的轻量级认证密钥协商方法
CN108282327A (zh) * 2017-01-06 2018-07-13 重庆邮电大学 一种基于混沌rsa加密的opc ua秘钥交换方法
US20200304567A1 (en) * 2017-12-22 2020-09-24 Prosys Opc Oy Method, a system and a computer program product for managing opc ua server capacity
CN109450615A (zh) * 2018-11-16 2019-03-08 重庆邮电大学 一种高效的opc ua客户端与服务器端数据传输加密方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
CHRIS PAUL IATROU: "Hard Real-Time Capable OPC UA Server as Hardware Peripheral for Single Chip IoT Systems", 《2019 24TH IEEE INTERNATIONAL CONFERENCE ON EMERGING TECHNOLOGIES AND FACTORY AUTOMATION (ETFA)》 *
MAXIME PUYS: "Formal Analysis of Security Properties on the OPC-UA SCADA Protocol", 《COMPUTER SAFETY, RELIABILITY, AND SECURITY 》 *
冯涛: "工业以太网EtherCAT协议形式化安全评估及改进", 《计算机研究与发展》 *
智能制造之家: "硬核技术分析OPC UA—面向未来的工业通信全解析", 《知乎》 *
杨东升等: "面向智能产线的R-ECC身份认证方法", 《计算机系统应用》 *

Similar Documents

Publication Publication Date Title
US20210367753A1 (en) Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption
CN105530238B (zh) 用于安全对话建立和数据的加密交换的计算机实现系统和方法
EP2290895B1 (en) Method, system and device for negotiating security association (sa) in ipv6 network
CN112039918B (zh) 一种基于标识密码算法的物联网可信认证方法
US11736304B2 (en) Secure authentication of remote equipment
CN111740964B (zh) 远程同步通信方法、拟态虚拟终端、异构执行体及介质
CN108650227A (zh) 基于数据报安全传输协议的握手方法及系统
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN112637136A (zh) 加密通信方法及系统
WO2005015827A1 (ja) 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム
JP2009110522A (ja) プロキシ認証サーバ
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
EP2507940B1 (en) Identity based network policy enablement
US7536719B2 (en) Method and apparatus for preventing a denial of service attack during key negotiation
CN111800467B (zh) 远程同步通信方法、数据交互方法、设备及可读存储介质
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN111614596B (zh) 一种基于IPv6隧道技术的远程设备控制方法及系统
WO2023036348A1 (zh) 一种加密通信方法、装置、设备及介质
CN112351037A (zh) 用于安全通信的信息处理方法及装置
CN114553430A (zh) 一种基于sdp的新型电力业务终端的安全接入系统
CN114928503B (zh) 一种安全通道的实现方法及数据传输方法
CN103986716A (zh) Ssl连接的建立方法以及基于ssl连接的通信方法及装置
KR101089269B1 (ko) 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템
CN113645218A (zh) Opcua协议的安全增强方法
CN107835196B (zh) 一种基于hdlc的安全通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20211112

WD01 Invention patent application deemed withdrawn after publication