CN113645218A - Opcua协议的安全增强方法 - Google Patents
Opcua协议的安全增强方法 Download PDFInfo
- Publication number
- CN113645218A CN113645218A CN202110899591.0A CN202110899591A CN113645218A CN 113645218 A CN113645218 A CN 113645218A CN 202110899591 A CN202110899591 A CN 202110899591A CN 113645218 A CN113645218 A CN 113645218A
- Authority
- CN
- China
- Prior art keywords
- server
- public key
- client
- random number
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
OPCUA协议的安全增强方法,客户端首先向服务器发送GetEndPoints请求,请求关于服务器的相关信息;DiscoveryEndPoint使用pk(S)、安全模式、SP、UP进行应答;客户端验证pk(S)无误后生成随机数NC。随后客户端发送OpenSecureChannel请求、pk(C)、使用服务器公钥加密NC后的{NC}pk(S)、接收者公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;服务器验证收到的NC无误后生成随机数NS。服务端发送OpenSecureChannel应答、使用客户端公钥加密NS后的{NS}pk(C)、ST、TTL、接收者公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名。
Description
技术领域
本发明涉及工业控制系统通信协议数据认证安全技术领域。
背景技术
OPCUA即OPC统一架构,是由OPC基金会在传统OPC基础上延伸而来基于Web服务的新的工控协议,并广泛应用于工厂设备之间的远距离交互以及多设备互联,具有跨平台、集成地址空间、封装通用服务接口、定义安全模型等特性。区别于传统的OPC协议,OPCUA协议能够通过互联网实现各种工业系统和设备的远距离数据交换、实现客户端与服务器之间的通信,满足工控系统各个层面数据交换的需求。
OPCUA安全模型分为三层。最底层为传输层,是保障数据安全通信的基础,也是较为容易被攻击的一层,比如遭受拒绝服务攻击;传输层之上是通信层,安全通道就在这一层建立,通信层采用非对称加密、数字签名等技术保证通道的机密性和完整性;最上层是应用层,基于安全通道客户端和服务器通过协商在应用层创建会话,用来传输设备之间的实时数据、操作指令等,创建会话可以对客户端的身份进行验证和授权。该安全模型为OPCUA的安全性提供了一定的基础,为分析OPCUA两个握手子协议安全性提供指导依据。
发明内容
本发明的目的是提供一种OPCUA协议的安全增强方法。
本发明是OPCUA协议的安全增强方法,其步骤为:
步骤(1)客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息;
步骤(2)检测端点DiscoveryEndPoint向客户端发送消息{GERes,pk(S),SignEnc,SP,UP},其中pk(S)为服务器的公钥、SignEnc表示安全模式为签密、SP和UP分别为安全策略和用户策略,其中SP和UP用于加密原语协商;
步骤(3)客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作;随机数NC用于代表客户端的身份;
步骤(4)生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;发送的消息即为:{OSCReq,pk(C),{NC}pk(S),pk(S)}pk(S),{h(OSCReq,pk(C),{NC}pk(S),pk(S))}sk(C);
步骤(5)服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作;随机数NS用于代表服务端的身份;
步骤(6)生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名;发送的消息即为:{OSCRes,{NS}pk(C),ST,TTL,pk(C)}pk(C),{h(OSCRes,{NS}pk(C),ST,TTL,pk(C))}sk(S)。
本发明的有益之处在于:
(1)防止欺骗攻击:本发明能有效防止身份的欺骗攻击。客户端向服务端发送开放安全通道请求时,在发送的消息中添加了接受方即服务端的公钥pk(S),同样,服务端向客户端发送应答响应时,在发送的消息中添加了接受方即客户端的公钥pk(C),这样确保接受方的身份不会被篡改。因此,避免了攻击者将消息重新发送到非法主机。
(2)提高随机数的保密性:本方法有效提高随机数的保密性。采用密钥包装机制将在客户端与服务端交互过程中出现的所有随机数NC替换为{NC}pk(S),随机数NS替换为{NS}pk(C)。在消息流中对随机数NC和NS进行加密,确保随机数的保密性,进而解决随机数的身份认证问题。
附图说明
图1是OPCUA的OpenSecureChannel子协议改进后的签密模式消息流模型图。
具体实施方式
本发明是OPCUA协议的安全增强方法,其步骤为:
步骤(1)客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息;
步骤(2)检测端点DiscoveryEndPoint向客户端发送消息{GERes,pk(S),SignEnc,SP,UP},其中pk(S)为服务器的公钥、SignEnc表示安全模式为签密、SP和UP分别为安全策略和用户策略,其中SP和UP用于加密原语协商;
步骤(3)客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作;随机数NC用于代表客户端的身份;
步骤(4)生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;发送的消息即为:{OSCReq,pk(C),{NC}pk(S),pk(S)}pk(S),{h(OSCReq,pk(C),{NC}pk(S),pk(S))}sk(C);
步骤(5)服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作;随机数NS用于代表服务端的身份;
步骤(6)生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名;发送的消息即为:{OSCRes,{NS}pk(C),ST,TTL,pk(C)}pk(C),{h(OSCRes,{NS}pk(C),ST,TTL,pk(C))}sk(S)。
如图1所示,本发明实施例中参与设备有三个,分别是客户端Client、服务端Server以及检测端点DiscoveryEndPoint。
本发明在子协议消息流中加入了接收者的公钥和采用密钥包装机制对随机数进行加密处理的安全增强方案,防止协议免受身份认证的欺骗攻击。
OPCUA的OpenSecureChannel子协议改进后的消息流程,运行初始化算法,客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息。检测端点DiscoveryEndPoint向客户端发送服务器的公钥pk(S)、安全模式、安全策略SP、用户策略UP,其中SP和UP用于加密原语协商。客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作。(随机数NC用于代表客户端的身份)。生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名。服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作。(随机数NS用于代表服务端的身份)。生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名。从而,完成OPCUA协议的开放安全通道操作。
Claims (1)
1.OPCUA协议的安全增强方法,其特征在于,其步骤为:
步骤(1)客户端首先向检测端点DiscoveryEndPoint发送GetEndPoint请求,请求关于服务器的相关信息;
步骤(2)检测端点DiscoveryEndPoint向客户端发送消息{GERes,pk(S),SignEnc,SP,UP},其中pk(S)为服务器的公钥、SignEnc表示安全模式为签密、SP和UP分别为安全策略和用户策略,其中SP和UP用于加密原语协商;
步骤(3)客户端收到DiscoveryEndPoint发送的服务器公钥pk(S)后进行验证,验证无误后生成随机数NC,验证失败则终止操作;随机数NC用于代表客户端的身份;
步骤(4)生成随机数NC后,客户端发送OpenSecureChannel请求、客户端公钥pk(C)、使用服务器公钥加密随机数NC后的{NC}pk(S)、接收者的公钥pk(S)给服务端,并分别使用服务端公钥pk(S)、客户端私钥sk(C)对整体进行加密和签名;发送的消息即为:{OSCReq,pk(C),{NC}pk(S),pk(S)}pk(S),{h(OSCReq,pk(C),{NC}pk(S),pk(S))}sk(C);
步骤(5)服务器收到消息后,对收到的随机数NC进行验证,验证无误后生成随机数NS,验证失败则终止操作;随机数NS用于代表服务端的身份;
步骤(6)生成随机数NS后,服务端发送OpenSecureChannel应答、使用客户端公钥加密随机数NS后的{NS}pk(C)、标识符ST、生命周期TTL、接收者的公钥pk(C)给客户端,并分别使用客户端公钥pk(C)、服务端私钥sk(S)对整体进行加密和签名;发送的消息即为:{OSCRes,{NS}pk(C),ST,TTL,pk(C)}pk(C),{h(OSCRes,{NS}pk(C),ST,TTL,pk(C))}sk(S)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110899591.0A CN113645218A (zh) | 2021-08-06 | 2021-08-06 | Opcua协议的安全增强方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110899591.0A CN113645218A (zh) | 2021-08-06 | 2021-08-06 | Opcua协议的安全增强方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113645218A true CN113645218A (zh) | 2021-11-12 |
Family
ID=78419887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110899591.0A Pending CN113645218A (zh) | 2021-08-06 | 2021-08-06 | Opcua协议的安全增强方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113645218A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411528A (zh) * | 2016-10-17 | 2017-02-15 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
CN108282327A (zh) * | 2017-01-06 | 2018-07-13 | 重庆邮电大学 | 一种基于混沌rsa加密的opc ua秘钥交换方法 |
CN109155732A (zh) * | 2016-04-11 | 2019-01-04 | 菲尼克斯电气公司 | 用于在第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法和布置 |
CN109450615A (zh) * | 2018-11-16 | 2019-03-08 | 重庆邮电大学 | 一种高效的opc ua客户端与服务器端数据传输加密方法 |
US20200304567A1 (en) * | 2017-12-22 | 2020-09-24 | Prosys Opc Oy | Method, a system and a computer program product for managing opc ua server capacity |
-
2021
- 2021-08-06 CN CN202110899591.0A patent/CN113645218A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109155732A (zh) * | 2016-04-11 | 2019-01-04 | 菲尼克斯电气公司 | 用于在第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法和布置 |
CN106411528A (zh) * | 2016-10-17 | 2017-02-15 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
CN108282327A (zh) * | 2017-01-06 | 2018-07-13 | 重庆邮电大学 | 一种基于混沌rsa加密的opc ua秘钥交换方法 |
US20200304567A1 (en) * | 2017-12-22 | 2020-09-24 | Prosys Opc Oy | Method, a system and a computer program product for managing opc ua server capacity |
CN109450615A (zh) * | 2018-11-16 | 2019-03-08 | 重庆邮电大学 | 一种高效的opc ua客户端与服务器端数据传输加密方法 |
Non-Patent Citations (5)
Title |
---|
CHRIS PAUL IATROU: "Hard Real-Time Capable OPC UA Server as Hardware Peripheral for Single Chip IoT Systems", 《2019 24TH IEEE INTERNATIONAL CONFERENCE ON EMERGING TECHNOLOGIES AND FACTORY AUTOMATION (ETFA)》 * |
MAXIME PUYS: "Formal Analysis of Security Properties on the OPC-UA SCADA Protocol", 《COMPUTER SAFETY, RELIABILITY, AND SECURITY 》 * |
冯涛: "工业以太网EtherCAT协议形式化安全评估及改进", 《计算机研究与发展》 * |
智能制造之家: "硬核技术分析OPC UA—面向未来的工业通信全解析", 《知乎》 * |
杨东升等: "面向智能产线的R-ECC身份认证方法", 《计算机系统应用》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210367753A1 (en) | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption | |
CN105530238B (zh) | 用于安全对话建立和数据的加密交换的计算机实现系统和方法 | |
EP2290895B1 (en) | Method, system and device for negotiating security association (sa) in ipv6 network | |
CN112039918B (zh) | 一种基于标识密码算法的物联网可信认证方法 | |
US11736304B2 (en) | Secure authentication of remote equipment | |
CN111740964B (zh) | 远程同步通信方法、拟态虚拟终端、异构执行体及介质 | |
CN108650227A (zh) | 基于数据报安全传输协议的握手方法及系统 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
CN112637136A (zh) | 加密通信方法及系统 | |
WO2005015827A1 (ja) | 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム | |
JP2009110522A (ja) | プロキシ認証サーバ | |
CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
EP2507940B1 (en) | Identity based network policy enablement | |
US7536719B2 (en) | Method and apparatus for preventing a denial of service attack during key negotiation | |
CN111800467B (zh) | 远程同步通信方法、数据交互方法、设备及可读存储介质 | |
CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
CN111614596B (zh) | 一种基于IPv6隧道技术的远程设备控制方法及系统 | |
WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
CN112351037A (zh) | 用于安全通信的信息处理方法及装置 | |
CN114553430A (zh) | 一种基于sdp的新型电力业务终端的安全接入系统 | |
CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
CN103986716A (zh) | Ssl连接的建立方法以及基于ssl连接的通信方法及装置 | |
KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
CN113645218A (zh) | Opcua协议的安全增强方法 | |
CN107835196B (zh) | 一种基于hdlc的安全通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20211112 |
|
WD01 | Invention patent application deemed withdrawn after publication |