CN114071460B - 基于Wireless HART工业无线通信协议安全改进方法 - Google Patents
基于Wireless HART工业无线通信协议安全改进方法 Download PDFInfo
- Publication number
- CN114071460B CN114071460B CN202111357865.XA CN202111357865A CN114071460B CN 114071460 B CN114071460 B CN 114071460B CN 202111357865 A CN202111357865 A CN 202111357865A CN 114071460 B CN114071460 B CN 114071460B
- Authority
- CN
- China
- Prior art keywords
- information
- session
- connection
- key
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 55
- 238000004891 communication Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000006872 improvement Effects 0.000 title abstract description 9
- 238000012795 verification Methods 0.000 claims abstract description 22
- 230000003993 interaction Effects 0.000 claims abstract description 10
- 230000007246 mechanism Effects 0.000 claims abstract description 5
- 230000008569 process Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 6
- 238000013524 data verification Methods 0.000 claims description 4
- 230000002787 reinforcement Effects 0.000 abstract 1
- 238000011160 research Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于Wireless HART工业无线通信协议安全改进方法,提出一套轻量级的安全性增强方案,消除了安全信道内外部攻击者带来的安全隐患,引入了随机值、Hash函数运算和连接交互协议点对点验证,对各个阶段进行认证加固,可抵御欺骗、篡改2类中间人攻击,并满足保密性、身份真实性、正确性、完整性、实时性等安全属性。本发明可用于工业无线通信协议通信设备、中央管理器和执行设备之间的安全通信,相应的安全机制为Wireless HART协议提供了安全保障,提高了工业无线协议通信的信息安全级别,构建了一个相对安全的工业无线通信环境。
Description
技术领域
本发明属于工业无线安全通信协议领域,具体涉及基于WirelessHART的工业无线通信协议安全改进技术。
背景技术
Wireless HART作为国际无线标准,因为其低成本和强扩展性在工控现场有着广泛的应用。但其更开放的通信方式使得受到外部攻击的可能性增加。目前国内外有许多对于无线协议安全的研究,但是都侧重于协议自身安全功能方面的实现,对于协议形式化建模安全评估具有一定的局限性。传统工业控制系统领域随着工业智能化及物联网技术的迅猛发展,已经进入了新的发展阶段,工业控制系统与大量的外网设备互联互通。随之而来的信息安全问题变得日益严重,传统的工业控制协议设计大多是为了满足工业系统的通信和控制功能,对于协议的安全没有给予足够重视,缺乏必要的防护手段保证信息安全,使得攻击者能够利用协议存在的安全漏洞对工业控制系统造成破坏,随着越来越多的无线通信协议暴露出安全问题,对协议本身的安全研究具有重要的意义。本发明采用在会话连接时加入两者之间的点对点安全认证,取代原始协议中仅有网络中央管理器的验证。在数据信息传输过程中加入随机值和Hash值,确保数据信息的安全传输,提高了协议整体的安全性并可抵御篡改和欺骗2类中间人攻击漏洞。
发明内容
本发明的目的是提供一种基于Wireless HART工业无线通信协议安全改进方法。
本发明是基于Wireless HART工业无线通信协议安全改进方法,采用连接会话认证改进及加入随机值和Hash值保证安全传输的机制,其步骤为:
步骤(1)通信设备向网络中心管理器发送连接请求,包括连接密钥、连接ID、随机值和Hash值;
步骤(2)网络中心管理器将接收到的连接信息进行处理,通过加解密方式验证通信设备发送的连接请求是否合法,验证结束后将密钥信息和接收到的连接请求信息组合并发送给执行设备;
步骤(3)执行设备从网络中心管理器接收到通信设备的连接请求信息,通过密钥解密验证连接请求的合法性,最后将连接响应结果发送给网络中央管理器;
步骤(4)网络中央管理器接受到执行设备发送过来的响应信息后,将会话密钥,会话ID以及路由信息组合并发送给通信设备;
步骤(5)建立会话连接后,通信设备发起安全的命令请求信息,首先对数据信息进行本地Hash运算,使用会话密钥对数据信息加密,将本地Hash、随机值、数据信息及会话ID等组合并发送给网络中心管理器;
步骤(6)网络中心管理器收到命令请求信息后,进行拆分验证和比对密钥加解密及随机值等数据的一致性,待验证成功后,将命令数据信息发送到执行设备;
步骤(7)执行设备收到命令数据信息后用会话密钥解密相关信息,进行本地的数据验证若验证成功则执行相关命令,最后将执行结果通过网络中央管理器发送到通信设备,至此会话连接和执行命令信息的交互过程结束。
本发明的有益之处在于:1、防止重放攻击:本发明在协议交互流程中加入了随机值,保证了消息新鲜性,攻击者无法进行重放攻击。2、防止欺骗和篡改攻击:本发明使用Hash函数运算及MIC(Message Integrate Check)消息完整性验证,保证了协议在数据传输过程中的完整性,提升了防止欺骗和篡改攻击的安全能力。
附图说明
图1是基于Wireless HART工业无线协议安全改进方案的消息流模型。
具体实施方式
本发明是基于Wireless HART工业无线通信协议安全改进方法,采用连接会话认证改进及加入随机值和Hash值保证安全传输的机制,其步骤为:
步骤(1)通信设备向网络中心管理器发送连接请求,包括连接密钥、连接ID、随机值和Hash值;
步骤(2)网络中心管理器将接收到的连接信息进行处理,通过加解密方式验证通信设备发送的连接请求是否合法,验证结束后将密钥信息和接收到的连接请求信息组合并发送给执行设备;
步骤(3)执行设备从网络中心管理器接收到通信设备的连接请求信息,通过密钥解密验证连接请求的合法性,最后将连接响应结果发送给网络中央管理器;
步骤(4)网络中央管理器接受到执行设备发送过来的响应信息后,将会话密钥,会话ID以及路由信息组合并发送给通信设备;
步骤(5)建立会话连接后,通信设备发起安全的命令请求信息,首先对数据信息进行本地Hash运算,使用会话密钥对数据信息加密,将本地Hash、随机值、数据信息及会话ID等组合并发送给网络中心管理器;
步骤(6)网络中心管理器收到命令请求信息后,进行拆分验证和比对密钥加解密及随机值等数据的一致性,待验证成功后,将命令数据信息发送到执行设备;
步骤(7)执行设备收到命令数据信息后用会话密钥解密相关信息,进行本地的数据验证若验证成功则执行相关命令,最后将执行结果通过网络中央管理器发送到通信设备,至此会话连接和执行命令信息的交互过程结束。
下面用实施例进一步展开本发明的内容。
如图1所示,本发明在协议流程中加入了通信双方之间的安全验证,提高了通信双方的身份安全验证性。在协议交互过程中增加了随机值及Hash运算函数,增强通信过程中数据的传输安全。
符号说明:id:设备连接的唯一标识,JoinKey:设备加入密钥,Hash:哈希运算值,Random:随机数值,Mes:连接消息,MIC:完整性验证码,Data:连接后的必要数据,EnData:连接后的安全数据,result:设备执行返回消息,| :区分并列的分段数据。
具体通信交互流程如下:
(1)通信设备向网络中心管理器发送连接请求,请求信息包含加入密钥,连接ID,随机值和Hash值;
(2)网络中心管理器将接受到的连接信息进行处理,验证通信设备发送的连接信息是否合法,验证通过后将密钥信息和连接请求信息组合后发送给执行设备;
(3)执行设备接受到通信设备的连接请求消息后,连接请求的消息合法性,并将连接返回消息返回给中央管理器;
(4)中央管理器接收到返回的连接信息,会话密钥,会话ID及路由信息组合后发送给通信设备;
(5)建立会话连接后,通信设备发起安全命令请求信息,首先对数据信息进行本地Hash运算,使用会话密钥对数据信息加密,将本地Hash、随机值、数据信息和会话ID等组合发送给中央管理器;。
(6)中央管理器接收到命令请求信息后,进行拆分验证和比对密钥加解密和随机值等数据的一致性,验证成功后,将命令数据信息发送到执行设备;
(7)执行设备收到命令信息后用会话密钥解密相关信息,进行本地数据验证操作,验证成功后执行相关命令,最后将执行结果返回给中央管理器并传送到通信设备中,至此一个执行的交互过程完结。
本发明引入了通信交互过程中的随机值和Hash函数运算,有效的防止篡改欺骗等中间人攻击。并在原始通信协议的交互流程基础上,不再使用单一的中央管理器身份认证方式,引入通信设备和执行设备双方的点对点身份验证,增强了通信双方的安全信任,从而保证通信过程中各个通信设备的可信任性。
本发明所提出的基于Wireless HART工业无线通信协议具有较高的安全性,协议的安全机制可以抵御欺骗、篡改等2类中间人攻击,可用于工业无线通信网络,保证了工业无线通信的安全传输。
Claims (1)
1.基于Wireless HART工业无线通信协议安全改进方法,采用连接会话认证改进及加入随机值和Hash值保证安全传输的机制,其特征在于,其步骤为:
步骤(1)通信设备向网络中心管理器发送连接请求,包括连接密钥、连接ID、随机值和Hash值;
步骤(2)网络中心管理器将接收到的连接信息进行处理,通过加解密方式验证通信设备发送的连接请求是否合法,验证结束后将密钥信息和接收到的连接请求信息组合并发送给执行设备;
步骤(3)执行设备从网络中心管理器接收到通信设备的连接请求信息,通过密钥解密验证连接请求的合法性,最后将连接响应结果发送给网络中央管理器;
步骤(4)网络中央管理器接收到执行设备发送过来的响应信息后,将会话密钥,会话ID以及路由信息组合并发送给通信设备;
步骤(5)建立会话连接后,通信设备发起安全的命令请求信息,首先对数据信息进行本地Hash运算,使用会话密钥对数据信息加密,将本地Hash、随机值、数据信息及会话ID组合并发送给网络中心管理器;
步骤(6)网络中心管理器收到命令请求信息后,进行拆分验证和比对密钥加解密及随机值数据的一致性,待验证成功后,将命令数据信息发送到执行设备;
步骤(7)执行设备收到命令数据信息后用会话密钥解密相关信息,进行本地的数据验证若验证成功则执行相关命令,最后将执行结果通过网络中央管理器发送到通信设备,至此会话连接和执行命令信息的交互过程结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111357865.XA CN114071460B (zh) | 2021-11-17 | 2021-11-17 | 基于Wireless HART工业无线通信协议安全改进方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111357865.XA CN114071460B (zh) | 2021-11-17 | 2021-11-17 | 基于Wireless HART工业无线通信协议安全改进方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114071460A CN114071460A (zh) | 2022-02-18 |
CN114071460B true CN114071460B (zh) | 2024-02-06 |
Family
ID=80273185
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111357865.XA Active CN114071460B (zh) | 2021-11-17 | 2021-11-17 | 基于Wireless HART工业无线通信协议安全改进方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114071460B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180031573A (ko) * | 2016-09-19 | 2018-03-28 | 한양대학교 에리카산학협력단 | 산업 자동화를 위한 파워링크 무선 hart 게이트웨이 |
CN113572788A (zh) * | 2021-08-06 | 2021-10-29 | 兰州理工大学 | BACnet/IP协议设备认证安全方法 |
CN113612617A (zh) * | 2021-08-06 | 2021-11-05 | 兰州理工大学 | 一种基于can的车内通信协议安全改进方法 |
CN113612797A (zh) * | 2021-08-23 | 2021-11-05 | 金陵科技学院 | 一种基于国密算法的Kerberos身份认证协议改进方法 |
-
2021
- 2021-11-17 CN CN202111357865.XA patent/CN114071460B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180031573A (ko) * | 2016-09-19 | 2018-03-28 | 한양대학교 에리카산학협력단 | 산업 자동화를 위한 파워링크 무선 hart 게이트웨이 |
CN113572788A (zh) * | 2021-08-06 | 2021-10-29 | 兰州理工大学 | BACnet/IP协议设备认证安全方法 |
CN113612617A (zh) * | 2021-08-06 | 2021-11-05 | 兰州理工大学 | 一种基于can的车内通信协议安全改进方法 |
CN113612797A (zh) * | 2021-08-23 | 2021-11-05 | 金陵科技学院 | 一种基于国密算法的Kerberos身份认证协议改进方法 |
Non-Patent Citations (1)
Title |
---|
基于Wireless HART协议的工业无线通信技术安全性分析;张美兰等;信息安全与通信保密(第09期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114071460A (zh) | 2022-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ma et al. | An efficient decentralized key management mechanism for VANET with blockchain | |
CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
US8533806B2 (en) | Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA) | |
Adeel et al. | A multi‐attack resilient lightweight IoT authentication scheme | |
Gaba et al. | Robust and lightweight key exchange (LKE) protocol for industry 4.0 | |
Xu et al. | BAGKD: A batch authentication and group key distribution protocol for VANETs | |
Zhong et al. | Distributed blockchain‐based authentication and authorization protocol for smart grid | |
CN109359464B (zh) | 一种基于区块链技术的无线安全认证方法 | |
CN105450406A (zh) | 数据处理的方法和装置 | |
CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
Zhao et al. | PBTM: A privacy-preserving announcement protocol with blockchain-based trust management for IoV | |
CN109687965A (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
CN101241528A (zh) | 终端接入可信pda的方法和接入系统 | |
Xu et al. | Authentication-based vehicle-to-vehicle secure communication for VANETs | |
CN100579012C (zh) | 一种终端用户安全接入软交换网络的方法 | |
Oyler et al. | Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors | |
Tbatou et al. | Security of communications in connected cars modeling and safety assessment | |
Chen et al. | An efficient and secure key agreement protocol for sharing emergency events in VANET systems | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
CN104753886A (zh) | 一种对远程用户的加锁方法、解锁方法及装置 | |
CN114071460B (zh) | 基于Wireless HART工业无线通信协议安全改进方法 | |
CN116032495A (zh) | 基于智慧交通系统的车云协同安全传输数据异常检测方法 | |
CN112995140B (zh) | 安全管理系统及方法 | |
Aljumaili et al. | A Review on Secure Authentication Protocols in IOV: Algorithms, Protocols, and Comparisons | |
Aftab et al. | Towards a distributed ledger based verifiable trusted protocol for VANET |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |