CN114024706A

CN114024706A - 基于零信任组合访问控制策略的工业控制系统安全框架

Info

Publication number: CN114024706A
Application number: CN202111107412.1A
Authority: CN
Inventors: 刘忻; 杨浩睿; 郭振斌; 张瑞生; 狄农雨; 李韵宜
Original assignee: Lanzhou University
Current assignee: Lanzhou University
Priority date: 2021-09-22
Filing date: 2021-09-22
Publication date: 2022-02-08

Abstract

本发明涉及一种基于零信任组合访问控制策略的工业控制系统安全框架，采用边界网络安全模型和零信任安全模型组合策略构建安全体系；边界网络安全模型用于抵御工业物联网控制系统外部威胁；零信任安全模型用于防护工业物联网控制系统的内部威胁；零信任安全模型具体包括：零信任身份认证协议和策略引擎；零信任身份认证协议具体包括：系统初始化阶段、节点注册阶段、用户初始化阶段、用户注册阶段、登录和密钥协商阶段；本发明的有益效果是：采用组合策略实现对工业物联网控制系统的安全保障，解决了传统协议容易遭受追踪攻击和节点捕获攻击的问题，在注册阶段实现了权限分离，最小化了用户感染恶意程序、遭受社交工程攻击等手段带来的内部威胁。

Description

基于零信任组合访问控制策略的工业控制系统安全框架

技术领域

本发明涉及机密计算领域，尤其涉及一种基于零信任组合访问控制策略的工业控制系统安全框架。

背景技术

工业控制系统(ICS)是由计算机和工业过程控制部件组成的自动控制系统, 是我国物联网技术(IoT)的重要发展方向。工业控制系统可以替代人工对工业生产过程中的海量工业数据进行采集、分析和反馈，实现实时监控生产状态、控制生产进程的目的，在工业的信息化智能化生产中发挥重要的作用，并且被广泛应用于电能、核能、铁路、航空航天等关系国计民生的重要行业当中。工业控制系统一旦遭受攻击，将会造成严重的后果。因此业界存在对具有高可用性的符合安全要求的新型安全框架的需求。

随着物联网的发展，工业系统所处的环境，正在从“孤岛”走向“互联”，工业物联网的出现既是工业发展的新机遇，又对工业系统安全有序的生产进程提出了新的挑战。

然而，一方面，在协议层面，现行的、已经成为事实上业界标准的协议如 Modbus协议，设计之初主要致力于在于工业控制系统的可用性，可靠性方面的设计，对安全性方面的关注较少，缺乏认证、权限、加密等安全方面的设计，已经难以应对越来越严峻的安全威胁。另一方面，在硬件层次，工业物联网系统中，存在设备老旧，兼容性差，能耗敏感、能源难以补充等硬件问题，然而现行协议的严格离线注册规定和高能耗开销在实际工业生产中可用性不佳，因此，业界存在对具有高可用性的符合安全要求的协议的需求。

传统的基于边界的网络安全模型难以应对来自内部的攻击。木马、钓鱼网站、社交工程等攻击手段可以绕过防火墙的内外隔绝屏障，通过控制合法用户设备实现身份仿冒，发起来自系统内部的攻击，造成数据泄露，数据丢失的严重后果。

现行的基于零信任的网络架构过度依赖策略引擎。策略引擎是基于深度学习建立的用于身份认证和访问控制的模型，如果用户的身份认证与系统访问权限使用必须调用策略引擎进行判断与计算，将使得操作延迟上升，导致难以应对突发工业事故需要人工介入的紧急处理。再者，策略引擎一旦失效、误判或被恶意程序控制，会导致严重的安全事故。

现行身份认证协议存在不合理的安全假设与可用性缺陷。工业物联网需要面对工业场景下高温、高压、强辐射、电磁干扰、剧毒等恶劣的生产环境，网关与节点一经部署于工作区域，就难以取回。遗憾的是，一方面，现行身份认证协议常假设网关处于可信的环境，网关中以静态密文，甚至明文存储信息，事实上，针对无人监管区域的网关节点的捕获攻击可以使得攻击者获取网关存储的信息，真正安全的环境与信道并不存在。另一方面，现行的身份认证协议大多采用离线注册，假设用户和网关之间存在严格的离线安全通信环境，这使得新用户注册时，需要将网关取回，在离线环境下执行，这实质上大大损害的系统的可用性。

发明内容

针对上述技术问题，本发明提出的一种基于零信任组合访问控制策略的工业控制系统安全框架，使用组合策略实现对工控系统的安全保障，针对来自系统内部的威胁，选择在协议层面实现基于零信任的身份认证和密钥协商协议，同时在通信实体处做好埋点收集行为信息上交至策略引擎，当策略引擎认为存在异常数据、指令时候介入截断拦截。

本发明提供的一种基于零信任组合访问控制策略的工业控制系统安全框架，采用边界网络安全模型和零信任安全模型组合策略构建安全体系；

其中，边界网络安全模型用于抵御工业物联网控制系统外部威胁；零信任安全模型用于防护工业物联网控制系统的内部威胁；

所述零信任安全模型具体包括：零信任身份认证协议和策略引擎；

所述零信任身份认证协议具体包括：系统初始化阶段、节点注册阶段、用户初始化阶段、用户注册阶段、登录和密钥协商阶段；

所述系统初始化阶段，指超级管理员SA在离线安全环境下为网关和节点预埋信息和函数，保障后续阶段的安全性和可行性，具体为：

超级管理员SA为网关GW配置机密计算芯片搭建机密计算环境，为每一网关生成其独有的主密钥K_GW并在机密计算安全区中保存；

超级管理员SA为网关GW和工业终端节点SN配置基本的运算函数，包括：连接运算||、哈希运算函数h()和哈希运算消息认证码函数HMAC()和异或运算函数⊕；

超级管理员SA分配硬件id号，并为每一个网关GW生成一对公私钥，分别为公钥k_p和私钥k_v，超级管理员SA保存公钥k_p和对应的网关信息，网关保存私钥k_v；

初始化阶段后网关GW即部署于工作区域，后续阶段无需取回；

所述节点注册阶段，指工业终端节点SN在超级管理员SA的协助下进行在线注册，具体为：

超级管理员SA通过初始化阶段预存的公钥密码算法加密通信信息，保护通信安全，实现在不可信信道中向网关GW进行在线注册，经此过程后工业终端节点SN归属于唯一的网关GW，同时节点SN和网关GW相互存留信息以供后续的登录和密钥协商阶段中进行相互的身份认证、信息交换从而达到通信密钥协商的目的；

所述用户初始化阶段，指用户U在超级管理员SA处进行初始化，分配信息，赋予用户合法的身份和一次性权限申请的凭证OTV，使用户后续通过SA的身份校验，并在SA协助下向网关GW发起在线注册和节点访问权限申请；

所述用户注册阶段，指用户U在超级管理员SA协助下向网关GW发起在线注册和权限申请；用户U先通过提供用户初始化时信息以通过权限申请凭证 OTV验证，后续在线注册和权限申请在超级管理员SA的监管下进行；

所述登录和密钥协商阶段，指用户U、网关GW、工业终端节点SN三者之间的相互认证身份协商密钥，并在协商结束后动态更新通信凭证的过程。

进一步地，所述节点注册阶段的具体流程如下：

S11：工业终端节点SN获取自身唯一ID标识ID_j、网关GW唯一标识ID_GW，并生成随机数

SA根据ID_GW提供对应的公钥网关公钥k_p并计算：

其中，

是通信凭证、

是通信凭证假名、

是动态随机数

的假名；

S12：工业终端节点SN生成当前新鲜时间戳TS₁，并计算：

S13：工业终端节点SN将消息m₁＝{MSG_j,TS₁}传输至网关GW；

S14：网关GW检验时间戳TS₁的新鲜性，若不新鲜，则丢弃并请求重发；若新鲜，则计算:

其中

表示通过k_v解密密文MSG_j还原的信息；新鲜性判断用于防止延迟的无效注册消息和攻击者的重放攻击；

S15：网关GW判断

与TS₁是否相等，不等则丢弃并请求重发，相等则将ID_j传输至机密计算芯片中，并在机密计算环境中计算：

PPID_j＝h(ID_j||K_GW)

计算完毕后从安全区输出PPID_j，保存键值对

于网关内存；

其中TS₁相等判断是为了防止消息内容遭到篡改，K_GW是系统初始化阶段预存并在机密计算环境中严格保护的主密钥。

进一步地，所述用户初始化阶段，具体流程为：

S21：用户端插入智能卡SC，获取智能卡身份标识ID_SC，用户端采集用户生物特征信息BIO_i，计算：

(σ_i,τ_i)＝Gen(BIO_i)

UID_i＝h(ID_SC||σ_i)

其中Gen(BIO_i)是生物特征提取函数，σ_i,τ_i是提取的生物特征值；UID_i是由智能卡和用户生物特征组合计算的变量，是用户的全局唯一识别码，用户的访问和控制行为可以通过UID_i监测记录，交付旁挂策略引擎进行行为分析和控制；

S22：用户端生成新鲜时间戳TS₁，并将消息m₁＝{ID_SC,UID_i,TS₁}发送至超级管理员SA；

S24：超级管理员SA检查TS₁的新鲜度，若不新鲜则拒绝；若新鲜，则判断自身存储的智能卡列表SClist中是否包含ID_SC，用户已存在则拒绝初始化请求；若未包含，则生成随机数RN_SA，计算OTV＝h(UID_i||RN_SA)；

其中，OTV表示一次性的权限申请凭证，可凭此值在用户注册阶段进行身份认证和权限申请，过后作废；

S25：超级管理员SA生成当前最新时间戳TS₂，并保存键值对{UID_i-RN_SA}，同时将消息m₂＝{OTV,TS₂}发送至用户端；

S26：用户端检查TS₂的新鲜度，若新鲜，则保存{OTV,τ_i}至SC卡；若不新鲜，则请求重发。

进一步地，所述用户注册阶段，具体流程如下：

S31：用户端插入SC卡，获得本地存储信息ID_SC，OTV和τ_i；

S32：用户端输入要注册的自身ID号ID_SC，生物信息BIO_i和密码PW_i；

计算：

σ_i＝Rep(BIO_i,τ_i)

UiD_i＝h(ID_SC||σ_i)

其中Rep(BIO_i,τ_i)是生物特征匹配函数，是Gen(BIO_i)函数的逆过程；

S33：用户端向超级管理员SA请求UID_i对应的RN_SA,并计算:

OTV^*＝h(UID_i||RN_SA)

判断OTV是否与OTV^*是否相等，若是则计算

RPW＝h(ID_SC||σ_i||PW_W)

V＝h(UID_i||RPW)

其中，RPW是由密码PW_i生成的密码校验变量，V是身份校验变量，这些变量用于登陆与密钥协商阶段的用户身份校验；

S34：用户输入欲申请访问和控制权限的目标节点识别码ID_j；SA判断是否允许该权限申请，若是，则超级管理员提供ID_j所属网关的识别码ID_GW；

S35：用户端生成当前的时间戳TS₁，生成动态的随机数

并计算：

用户端将消息m₁＝{MSG_i,TS₁}发送至网关GW；

S36：网关GW检查TS₁的新鲜性，若不新鲜则拒绝注册；若新鲜，则计算:

S37：网关判断

是否与TS₁相等，若不等，则拒绝注册；若相等，则获取ID_GW，并计算：

其中，

表示被通信凭证

和动态随机数

保护的UID_i；

S38：网关传输

和

至机密计算芯片，并在安全区中计算：

计算完毕后从安全区输出

保存键值对

和键值对

于网关内存；其中K_GW是系统初始化阶段网关主密钥；

S39：网关生成新鲜的时间戳TS₂，并计算：

ACK_GW＝h(ID_GW||TS₂)

发送消息m₂＝{MSG_GW,TS₂}至用户端；

S310：用户端检查TS₂的新鲜性，若新鲜则计算：

ACK_GW＝h(ID_GW||TS₂)

并进入步骤S311，若不符合要求则拒绝注册；

S311：用户端判断

与ACK_GW是否相等，若是则计算：

并进入步骤S312，否则拒绝注册；

S312：用户端计算：

保存键值对{DID_j-DID_GW}至SC卡的用户的访问控制列表AClist中；

保存密钥对

于SC卡中；

设置允许访问时间范围Ptime；获取允许访问区域Ploc；

保存{V,Ptime,Ploc}至SC卡。

所述登录和密钥协商阶段，具体流程如下：

S41：用户端插入SC卡；获取当前时间T和位置L；

S42：判断当前时间T是否处于允许访问时间范围Ptime，位置L是否处于允许访问区域Ploc；若是，则获取ID_SC,V,τ_i，进入步骤S43；否则，则拒绝登录；

S43：用户端输入密码PW_i、生物信息BIO_i和访问控制的目标节点识别码ID_j，并计算：

σ_i＝Rep(BIO_i,τ_i)

UID_i＝h(ID_SC||σ_i)

RPW＝h(ID_SC||σ_i||PW_i)

V^*＝h(UID_i||RPW)

判断V^*是否与V相等，若相等，则计算

进入步骤S44；否则身份认证失败，拒绝登录；

S44：用户端判断用户具有的权限列表AClist中是否包含DID_j，若是，则通过DID_j获取DID_GW，进一步通过DID_GW获取

计算：

生成随机数R_i和新鲜的时间戳TS₁，计算：

其中，R_i是组成本阶段最终协商的会话密钥KEY_ij的组成部分，需要被安全的传递至SN；PKS₁为使用共享的通信凭证和其他共享变量加密并保护R_i传递的变量；PID_j为欲访问节点ID_j的匿名；q₁用于验证，校验消息的来源，保证消息未被篡改；

S45：用户端发送消息

至网关GW；

S46：网关GW检查TS₁的新鲜性，若新鲜，则通过

获取

并将

和

传输至机密计算芯片，在机密计算芯片安全区中计算：

从安全区输出

S47：网关GW通过

获取

并计算：

判断

与

是否相等，若是，则进入步骤S48；否则表示协商失败；

S48：计算；

判断

是否成立，若是则将IDj 传输至机密计算芯片，进入步骤S49；否则表示消息被篡改，协商失败；

S49：在机密计算环境安全区中计算PPID_j＝h(ID_j||K_GW)，并从安全区中输出PPID_j，通过PPID_j获取

计算：

生成新鲜的时间戳TS₂，并计算：

将消息

发送至工业终端节点SN；

其中PKS₂为使用共享的通信凭证和其他共享变量加密并保护R_i传递的变量， q₂用于验证，校验消息的来源，保证消息未被篡改；

S410：工业终端节点SN检查TS₂的新鲜性，若新鲜，则获取ID_j、ID_GW、

进入步骤S411，否则表示协商失败；

S411：工业终端节点计算：

判断

是否成立，若是，则生成随机数R_j和新鲜的时间戳TS₃，进入步骤S412，否则表示消息被篡改协商失败；至此，R_i被保密地传输至SN处；

S412：工业终端节点SN计算：

KEY_ij＝h(R_i||R_j)

并将消息m₂＝{PKS₃,q₃,TS₃}发送至网关GW；至此，登录和密钥协商阶段的会话密钥KEY_ij在节点端计算成功；

S413：网关GW检查TS₃的新鲜性，若新鲜，则计算：

进入步骤S414，否则表示协商失败；

S414：网关判断

是否成立，若是，则生成最新的时间戳TS₄，进入步骤S415，否则表示协商失败；

S415：网关GW计算：

并将消息m₄＝{PKS₄,q₄,TS₄}发送至用户端，用户端进入步骤S417；

网关生成新鲜的时间戳，同时计算：

并将消息m₅＝{q₅,TS₅}发送至SN端，节点进入步骤S422；

此后过程后，网关进入步骤S416；

S416：网关计算：

更新

覆盖

至此网关完成了对其管辖的节点对应的动态随机数伪装

的更新；

S417：用户端检查TS₄的新鲜性，若新鲜，则计算

进入步骤S418，否则表示协商失败；至此，R_j被保密地传输至U处；

S418：用户端判断：

是否成立，若是，则计算：

KEY_ij＝h(R_i||R_j)

进入步骤S419，否则表示协商失败；至此，登录和密钥协商阶段的会话密钥KEY_ij在用户端计算成功；

S419：用户端生成最新时间戳TS₆，并计算：

用户端更新

并将消息m₆＝{q₆,TS₆}传输至网关GW，网关进入步骤S420；至此，用户端完成对动态随机数

通信凭证

通信凭证假名

的更新；

S420：网关GW检查TS₆的新鲜性，若新鲜，则进入步骤S421，否则表示协商失败；

S421：网关GW判断：

是否成立，若是，则计算：

进入步骤S422，否则表示协商失败；

S421：将

传输至机密计算芯片，并在安全区中计算：

随后从安全区中输出

更新

和

至此，网关完成对动态随机数假名

通信凭证假名

用户识别码假名

的更新；

S422：工业终端节点SN检查TS₅的新鲜性，若新鲜，则进入步骤S423,否则表示协商失败；

S423：工业终端节点SN判断：

是否成立，若是，则计算：

进入S424，否则表示协商失败；

S423：工业终端节点SN更新

至此，节点完成了通信凭证

的更新。

本发明提供的有益效果是：从安全模型层面，本发明解决了单一安全策略难以同时应对严峻内外威胁的难题，采用组合策略实现对工业物联网控制系统的安全保障，扬弃了单一策略存在的不足，结合各种安全手段的优点，共同实现安全保护。

从认证协议层面，本发明在初始化阶段预埋公钥解决了传统协议要求严格离线注册带来的可用性缺陷，在登录和密钥协商时使用机密计算技术和动态轮转技术，解决了传统协议容易遭受追踪攻击和节点捕获攻击的问题，在注册阶段实现了权限分离，最小化了用户感染恶意程序、遭受社交工程攻击等手段带来的内部威胁。

附图说明

图1是边界网络安全模型示意图；

图2是零信任身份认证协议示意图；

图3是现行零信任产品示意图；

图4是本申请组合策略示意图；

图5是节点注册阶段流程示意图；

图6是用户初始化阶段流程示意图；

图7是用户注册阶段流程示意图；

图8是登录和密钥协商阶段流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地描述。

为了更好的解释说明，先对相关概念阐述如下。

请参考图1，图1是边界网络安全模型示意图。

边界网络安全模型是图1中竖虚线由边界防护设备构建的安全体系，将整个系统分为“内网”和“外网”，边界防护设备放行合法请求，拒绝外部异常请求。流量一旦进入防火墙内侧，便不再校验，一旦用户被伪装，甚至自己就是被收买的恶意用户，网络内部将会对他不设防，恶意用户/被病毒控制的用户的请求将在内部畅通无阻。这是传统的基于边界网络模型的缺点，预设了对“内网”所有流量和请求的信任，仅能针对外部异常威胁，对于伪装成合法的流量、或者本身就是合法的流量带来的内部威胁无法防御。

边界网络模型就像某公司的大楼门口处设立了门禁卡，合法用户通行，非法用户禁止。但是如果攻击者捡到、破获了门禁卡内容，甚至攻击者就是合法用户，直接就突破了边界的防护，边界网络模型不关心“合法用户”在内部做的任何事情，预设了对内部的信任，无法应对内部的攻击，因此需要组合零信任模型补充应对内部威胁。

但是也并不能说零信任模型可以单独运作了，仍然需要边界防火墙针对外部威胁。

基于此，本发明提出的一种基于零信任组合访问控制策略的工业控制系统安全框架，采用边界网络安全模型和零信任安全模型组合策略构建安全体系；

请参考图2，图2是零信任身份认证协议示意图；零信任身份认证协议实现了用户U和工业终端节点SN之间建立通信密钥，进行加密通信，并在阶段设计时践行的安全目标。

策略引擎是为了实现实时计算用户的访问控制权限，在出现异常流量和时终止会话断开连接。

请参考图3，图3是现行零信任产品示意图；现行零信任产品过度依赖策略引擎，访问控制和数据流通都要经过策略引擎判断，这具有较高的延迟，难以应对需要人工紧急处理的突发事件，而且由于机器学习模型无法做到100％的准确度，识别错误可能会导致指令传递不及时、恶意指令放行等安全事故，恶意用户也可以伪装自己的行为达到绕过策略引擎的目的。因此必须在协议层面实现零信任，策略引擎可以从旁辅助进行动态访问控制，如：在协商密钥后长时间不通信时回收会话密钥、拦截恶意用户发出的DOS攻击等任务，所以本申请采用，边界网络安全模型抵御外部威胁，零信任身份认证协议和策略引擎旁挂抵御内部威胁，组成图4的组合策略。

请参考图4，图4是本申请组合策略示意图；

策略引擎收集UIDi、IDGW、IDSN等全局唯一识别码，和他们的访问及被访问信息，进行动态判断，与零信任身份认证协议是一个同步的过程。

为方便解释说明，本申请首先对相关参数上、下标及参数本身统一解释：

以下标量与变量阐述均采用下角标i、j、GW、SC表示其来源，i表示来自用户U的变量常量，j表示来自工业终端节点SN的变量常量，GW表示来自网关GW的变量常量，SC表示来自智能卡的变量常量；拥有上角标old和new表示其是变量，old和new是更新过程中新旧值的区分；拥有*上角标表示该值来源于本地计算，与不含*上角标的同名值来自于本地存储，其对比运算是一种验证的过程。

表示异或运算；h(·)表示单向哈希函数；||表示连接符；

是加密(encode)函数，是以k_p为密钥的加密函数。

是解密(decode)函数，是k_v为密钥的解密函数。

关键参数本身解释如表1所示：

表1参数符号释义

请参考图5，图5是节点注册阶段流程示意图；

所述节点注册阶段的具体流程如下：

SA根据ID_GW提供对应的公钥网关公钥k_p并计算：

其中，

是通信凭证、

是通信凭证假名、

是动态随机数

的假名；

S12：工业终端节点SN生成当前新鲜时间戳TS₁，并计算：

S13：工业终端节点SN将消息m₁＝{MSG_j,TS₁}传输至网关GW；

其中

表示通过k_v解密密文MSG_j还原的信息；新鲜性判断是为了防止延迟的无效注册消息和攻击者的重放攻击；

S15：网关GW判断

PPID_j＝h(ID_j||K_GW)

计算完毕后从安全区输出PPID_j，保存键值对

于网关内存；

请参考图6，图6是用户初始化阶段流程示意图；

所述用户初始化阶段，具体流程为：

(σ_i,τi)＝Gen(BIO_i)

UID_i＝h(ID_SC||σ_i)

请参考图7，图7是用户注册阶段流程示意图；

所述用户注册阶段，具体流程如下：

S31：用户端插入SC卡，获得本地存储信息ID_SC，OTV和τ_i；

计算：

σ_i＝Rep(BIO_i,τ_i)

UiD_i＝h(ID_SC||σ_i)

S33：用户端向超级管理员SA请求UID_i对应的RN_SA,并计算:

OTV^*＝h(UID_i||RN_SA)

判断OTV是否与OTV^*是否相等，若是则计算

RPW＝h(ID_SC||σ_i||PW_i)

V＝h(UID_i||RPW)

S35：用户端生成当前的时间戳TS₁，生成动态的随机数

并计算：

用户端将消息m₁＝{MSG_i,TS₁}发送至网关GW；

S37：网关判断

其中，

表示被通信凭证

和动态随机数

保护的UID_i；

S38：网关传输

和

至机密计算芯片，并在安全区中计算：

计算完毕后从安全区输出

保存键值对

和键值对

于网关内存；其中K_GW是系统初始化阶段网关主密钥；

S39：网关生成新鲜的时间戳TS₂，并计算：

ACK_GW＝h(ID_GW||TS₂)

发送消息m₂＝{MSG_GW,TS₂}至用户端；

S310：用户端检查TS₂的新鲜性，若新鲜则计算：

ACK_GW＝h(ID_GW||TS₂)

并进入步骤S311，若不符合要求则拒绝注册；

S311：用户端判断

与ACK_GW是否相等，若是则计算：

并进入步骤S312，否则拒绝注册；

S312：用户端计算：

保存键值对{DID_j-DID_GW}至SC卡的用户的访问控制列表AClist中；

保存密钥对

于SC卡中；

设置允许访问时间范围Ptime；获取允许访问区域Ploc；

保存{V,Ptime,Ploc}至SC卡。

请参考图8，图8是登录和密钥协商阶段流程示意图；所述登录和密钥协商阶段，具体流程如下：

S41：用户端插入SC卡；获取当前时间T和位置L；

σ_i＝Rep(BIO_i,τ_i)

UID_i＝h(ID_SC||σ_i)

RPW＝h(ID_SC||σ_i||PW_i)

V^*＝h(UID_i||RPW)

判断V^*是否与V相等，若相等，则计算

进入步骤S44；否则身份认证失败，拒绝登录；

计算：

生成随机数R_i和新鲜的时间戳TS₁，计算：

S45：用户端发送消息

至网关GW；

S46：网关GW检查TS₁的新鲜性，若新鲜，则通过

获取

并将

和

传输至机密计算芯片，在机密计算芯片安全区中计算：

从安全区输出

S47：网关GW通过

获取

并计算：

判断

与

是否相等，若是，则进入步骤S48；否则表示协商失败；

S48：计算；

判断

计算：

生成新鲜的时间戳TS₂，并计算：

将消息

发送至工业终端节点SN；

进入步骤S411，否则表示协商失败；

S411：工业终端节点计算：

判断

S412：工业终端节点SN计算：

KEY_ij＝h(R_i||R_j)

S413：网关GW检查TS₃的新鲜性，若新鲜，则计算：

进入步骤S414，否则表示协商失败；

S414：网关判断

S415：网关GW计算：

网关生成新鲜的时间戳，同时计算：

并将消息m₅＝{q₅,TS₅}发送至SN端，节点进入步骤S422；

此后过程后，网关进入步骤S416；

S416：网关计算：

更新

覆盖

至此网关完成了对其管辖的节点对应的动态随机数伪装

的更新；

S417：用户端检查TS₄的新鲜性，若新鲜，则计算

S418：用户端判断：

是否成立，若是，则计算：

KEY_ij＝h(R_i||R_j)

S419：用户端生成最新时间戳TS₆，并计算：

用户端更新

通信凭证

通信凭证假名

的更新；

S421：网关GW判断：

是否成立，若是，则计算：

进入步骤S422，否则表示协商失败；

S421：将

传输至机密计算芯片，并在安全区中计算：

随后从安全区中输出

更新

和

至此，网关完成对动态随机数假名

通信凭证假名

用户识别码假名

的更新；

S423：工业终端节点SN判断：

是否成立，若是，则计算：

进入S424，否则表示协商失败；

S423：工业终端节点SN更新

至此，节点完成了通信凭证

的更新。

本发明的有益效果是：从安全模型层面，本发明解决了单一安全策略难以同时应对严峻内外威胁的难题，采用组合策略实现对工业物联网控制系统的安全保障，扬弃了单一策略存在的不足，结合各种安全手段的优点，共同实现安全保护；

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：

采用边界网络安全模型和零信任安全模型组合策略构建安全体系；

所述零信任身份认证协议具体包括：系统初始化阶段、节点注册阶段、用户初始化阶段、用户注册阶段、登录和密钥协商阶段；所述系统初始化阶段，指超级管理员SA在离线安全环境下为网关和节点预埋信息和函数，保障后续阶段的安全性和可行性，具体为：

超级管理员SA为网关GW和工业终端节点SN配置基本的参数与运算函数，包括：硬件id号连接运算||、哈希运算函数h()和哈希运算消息认证码函数HMAC()和异或运算函数⊕；

超级管理员SA为每一个网关GW生成一对公私钥，分别为公钥k_p和私钥k_v，超级管理员SA保存公钥k_p和对应的网关信息，网关保存私钥k_v；初始化阶段后网关GW即部署于工作区域，后续阶段无需取回；

所述用户注册阶段，指用户U在超级管理员SA协助下向网关GW发起在线注册和权限申请；用户U先通过提供用户初始化时信息以通过权限申请凭证OTV验证，后续在线注册和权限申请在超级管理员SA的监管下进行；

2.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：所述节点注册阶段的具体流程如下：

SA根据ID_GW提供对应的公钥网关公钥k_p并计算：

其中，

是通信凭证、

是通信凭证假名、

是动态随机数

的假名；

S12：工业终端节点SN生成当前新鲜时间戳TS₁，并计算：

S13：工业终端节点SN将消息m₁＝{MSG_j，TS₁}传输至网关GW；

S14：网关GW检验时间戳TS₁的新鲜性，若不新鲜，则丢弃并请求重发；若新鲜，则计算：

其中

S15：网关GW判断

PPID_j＝h(ID_j||K_GW)

计算完毕后从安全区输出PPID_j，保存键值对

于网关内存；

其中TS₁相等判断是为了防止消息内容遭到篡改，K_GW是系统初始化阶段预存并在机密计算环境中严格保护的主密钥；

S16：网关GW生成新鲜的时间戳，TS₂，并计算：

ACK_GW＝h(ID_GW||TS₂)

网关GW将消息m₂＝{MSG_GW，TS₂}发送至工业终端节点SN；其中ACK_GW是确认消息，MSG_GW是以网关私钥k_v加密的确认消息；

S17：工业终端节点SN接受消息，检查时间戳TS₂的新鲜度；若不新鲜，则丢弃并请求重发，若新鲜，则计算：

ACK_GW＝h(ID_GW||TS₂)

判断

和ACK_GW是否相等，若不等，丢弃并请求重发；若相等，则保存键值对

3.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：所述用户初始化阶段，具体流程为：

(σ_i，τ_i)＝Gen(BIO_i)

UID_i＝h(ID_SC||σ_i)

其中Gen(BIO_i)是生物特征提取函数，σ_i，τ_i是提取的生物特征值；UID_i是由智能卡和用户生物特征组合计算的变量，是用户的全局唯一识别码，用户的访问和控制行为可以通过UID_i监测记录，交付旁挂策略引擎进行行为分析和控制；

S22：用户端生成新鲜时间戳TS₁，并将消息m₁＝{ID_SC，UID_i，TS₁}发送至超级管理员SA；

S25：超级管理员SA生成当前最新时间戳TS₂，并保存键值对{UID_i-RN_SA}，同时将消息m₂＝{OTV，TS₂}发送至用户端；

S26：用户端检查TS₂的新鲜度，若新鲜，则保存{OTV，τ_i}至SC卡；若不新鲜，则请求重发。

4.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：所述用户注册阶段，具体流程如下：

S31：用户端插入SC卡，获得本地存储信息ID_SC，OTV和τ_i；

计算：

σ_i＝Rep(BIO_i，τ_i)

UID_i＝h(ID_SC||σ_i)

其中Rep(BIO_i，τ_i)是生物特征匹配函数，是Gen(BIO_i)函数的逆过程；

S33：用户端向超级管理员SA请求UID_i对应的RN_SA，并计算：

OTV^*＝h(UID_i||RN_SA)

判断OTV是否与OTV^*是否相等，若是则计算

RPW＝h(ID_SC||σ_i||PW_i)

V＝h(UID_i||RPW)

S35：用户端生成当前的时间戳TS₁，生成动态的随机数

并计算：

用户端将消息m₁＝{MSG_i，TS₁}发送至网关GW；

S36：网关GW检查TS₁的新鲜性，若不新鲜则拒绝注册；若新鲜，则计算：

S37：网关判断

其中，

表示被通信凭证

和动态随机数

保护的UIDi；

S38：网关传输

和

至机密计算芯片，并在安全区中计算：

计算完毕后从安全区输出

保存键值对

和键值对

于网关内存；其中K_GW是系统初始化阶段网关主密钥；

S39：网关生成新鲜的时间戳TS₂，并计算：

ACK_GW＝h(ID_GW||TS₂)

发送消息m₂＝{MSG_GW，TS₂}至用户端；

S310：用户端检查TS₂的新鲜性，若新鲜则计算：

ACK_GW＝h(ID_GW||TS₂)

并进入步骤S311，若不符合要求则拒绝注册；

S311：用户端判断

与ACK_GW是否相等，若是则计算：

并进入步骤S312，否则拒绝注册；

S312：用户端计算：

保存键值对{DID_j-DID_GW}至SC卡的用户的访问控制列表AClist中；

保存密钥对

于SC卡中；

设置允许访问时间范围Ptime；获取允许访问区域Ploc；

保存{V，Ptime，Ploc}至SC卡。

5.如权利要求1所述的一种基于零信任组合访问控制策略的工业控制系统安全框架，其特征在于：所述登录和密钥协商阶段，具体流程如下：

S41：用户端插入SC卡；获取当前时间T和位置L；

S42：判断当前时间T是否处于允许访问时间范围Ptime，位置L是否处于允许访问区域Ploc；若是，则获取ID_SC，V，τ_i，进入步骤S43；否则，则拒绝登录；

σ_i＝Rep(BIO_i，τ_i)

UID_i＝h(ID_SC||σ_i)

RPW＝h(ID_SC||σ_i||PW_i)

V^*＝h(UID_i||RPW)

判断V^*是否与V相等，若相等，则计算

进入步骤S44；否则身份认证失败，拒绝登录；

计算：

生成随机数R_i和新鲜的时间戳TS₁，计算：

S45：用户端发送消息

至网关GW；

S46：网关GW检查TS₁的新鲜性，若新鲜，则通过

获取

并将

和

传输至机密计算芯片，在机密计算芯片安全区中计算：

从安全区输出

S47：网关GW通过

获取

并计算：

判断

与

是否相等，若是，则进入步骤S48；否则表示协商失败；

S48：计算；

判断

是否成立，若是则将IDj传输至机密计算芯片，进入步骤S49；否则表示消息被篡改，协商失败；

计算：

生成新鲜的时间戳TS₂，并计算：

将消息

发送至工业终端节点SN；

其中PKS₂为使用共享的通信凭证和其他共享变量加密并保护R_i传递的变量，q₂用于验证，校验消息的来源，保证消息未被篡改；

进入步骤S411，否则表示协商失败；

S411：工业终端节点计算：

判断

S412：工业终端节点SN计算：

KEY_ij＝h(R_i||R_j)

并将消息m₂＝{PKS₃，q₃，TS₃}发送至网关GW；至此，登录和密钥协商阶段的会话密钥KEY_ij在节点端计算成功；

S413：网关GW检查TS₃的新鲜性，若新鲜，则计算：

进入步骤S414，否则表示协商失败；

S414：网关判断

S415：网关GW计算：

并将消息m₄＝{PKS₄，q₄，TS₄}发送至用户端，用户端进入步骤S417；

网关生成新鲜的时间戳，同时计算：

并将消息m₅＝{q₅，TS₅}发送至SN端，节点进入步骤S422；

此后过程后，网关进入步骤S416；

S416：网关计算：

更新

覆盖

至此网关完成了对其管辖的节点对应的动态随机数伪装

的更新；

S417：用户端检查TS₄的新鲜性，若新鲜，则计算

S418：用户端判断：

是否成立，若是，则计算：

KEY_ij＝h(R_i||R_j)

S419：用户端生成最新时间戳TS₆，并计算：

用户端更新

并将消息m₆＝{q₆，TS₆}传输至网关GW，网关进入步骤S420；至此，用户端完成对动态随机数

通信凭证

通信凭证假名

的更新；

S421：网关GW判断：

是否成立，若是，则计算：

进入步骤S422，否则表示协商失败；

S421：将

传输至机密计算芯片，并在安全区中计算：

随后从安全区中输出

更新

和

至此，网关完成对动态随机数假名

通信凭证假名

用户识别码假名

的更新；

S422：工业终端节点SN检查TS₅的新鲜性，若新鲜，则进入步骤S423，否则表示协商失败；

S423：工业终端节点SN判断：

是否成立，若是，则计算：

进入S424，否则表示协商失败；

S423：工业终端节点SN更新

至此，节点完成了通信凭证

的更新。