CN115567191A - 一种基于设备指纹和国密算法的产线网络安全防护方法 - Google Patents
一种基于设备指纹和国密算法的产线网络安全防护方法 Download PDFInfo
- Publication number
- CN115567191A CN115567191A CN202211172671.7A CN202211172671A CN115567191A CN 115567191 A CN115567191 A CN 115567191A CN 202211172671 A CN202211172671 A CN 202211172671A CN 115567191 A CN115567191 A CN 115567191A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- equipment
- production line
- voltage
- line network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
一种基于设备指纹和国密算法的产线网络安全防护方法,其特征在于,包括:基于设备指纹的设备身份认证,通过CAN总线设备的高低电压差这一电气特征提取设备指纹,基于高斯朴素贝叶斯分类器对设备身份进行认证;基于国密算法的硬件数据传输加解密,利用开源的strongSwan项目,应用SM2,SM3,SM4等自主可控的国产密码算法。本发明基于朴素贝叶斯分类器识别设备指纹进行设备身份认证,防止未授权工业设备接入、以及设备被恶意篡改后导致设备指纹的变化;并基于国密算法对工业数据传输进行加密解密,实现自主可控,保证产线网络协议报文的机密性和完整性。
Description
技术领域
本发明涉及一种产线网络安全防护技术,尤其是一种防止未授权工业设备接入的设备身份认证方法和一种保证产线网络协议报文的机密性和完整性的数据传输加解密方法,具体地说是一种基于朴素贝叶斯分类器识别设备指纹的设备身份认证方法和一种基于国密算法的数据传输加解密方法。
背景技术
产线是指以自动机械来完成生产制造流程的一个制造组合方式,广泛应用于大批量生产的制造、冶金、化工、食品加工等行业,其网络是工业互联网在生产自动化过程中的应用。由于工业互联网在设计之初没有给予安全性足够的重视,随着网络的规模不断扩大、功能复杂度不断提升、其开放程度也不断增加,其安全隐患造成严重损失的可能性也随之升高。对于产线安全管理而言,没有保护的信息传输让整个系统暴露在被窃听、被假冒的风险当中;未经认证的设备或用户接入产线网络将引发诸如核心功能篡改、虚假数据注入、机密信息泄露等严重安全风险。基于此,产线安全防护具有相当的必要性。
传统的设备身份认证有很多基于口令、芯片,这些方法不仅安全性不高,成本还不低,当前最热门的方式是通过设备指纹来识别设备,它可以唯一标识出一台设备。设备硬ID这类一台设备只有一个,且处于同一使用场景下不会与其他设备有重复的数据可以作为显性标识符,成为生成设备指纹的基础。设备指纹也可以由设备隐性标识符的特征集合来生成。设备指纹的特征信息越多,安全性也就越高。本发明基于CAN总线设备的高低电压差这一电气特征提取设备指纹,对设备身份进行认证。
设备管理工程师通过验证获得授权接入网络之后,需要在硬件之间进行数据传输,若不加以保护,则信息极易被窃听、篡改、拦截。因此需要设计对数据进行加密传输。国际上默认采用的加密算法一般是以美国为主研发颁布的加密算法,如RSA、AES、3DES、SHA-256等等。strongSwan项目中IKE和ESP协议用到的密码算法是基于国际标准的,用开源软件实现的,并且在全网络公开,所以软件加密在加密速率、安全性方面有许多的不足之处,而且不符合我国国家安全和经济发展的需求。中国国家密码局将一系列由我国自主研发、具有自主知识产权的商用密码算法公之于众,并且积极提倡使用该套安全性极高的“国密算法”,包括SM2、SM3、SM4等算法。本发明基于国密SM2、SM3、SM4算法对数据传输进行加密解密。
发明内容
本发明的目的是针对现有产线网络所存在的安全问题,提出了一种基于设备指纹和国密算法的产线网络安全防护方法。
CAN总线广泛应用于产线网络,而常用的工业以太网的准入机制无法适用于CAN总线等产线网络,因此需要一种面向CAN总线的产线网络准入机制。本发明面向CAN总线,研发一种新型的设备电压指纹的采集与识别方法,以对CAN设备进行接入控制。如图3所示,CAN设备的信号发生器内部可近似看成一个全差分放大器。不同的CAN设备电气特性体现在总线电压上。当发送信号0时,CAN收发器端的晶体管可等效地描述为具有漏-源导通状态电阻RDSON的电阻(低阻抗状态),其中电流从VCC通过RL流到接地端,从而在CANH和CANL之间产生大约2V的差分电压。当发送信号1时,不触发RDSON的电阻(高阻抗状态),VCC到GND端电压差可忽略。因此,CAN收发器能够在两条CAN线上输出0V或2V的差分电压来编码数据1或0。
在实际发送报文时,由于不同CAN设备在总线上存在微小、固有的电气特性的差异,会导致输出的差分电压信号并非是标准的0V、2V。会由于各自的差异,产生独立的变化。这种变化是固定的、微小的。为了获得这种差异,对CANH和CANL上的输出电压进行大量的电气信号采样与收集,再通过放大、叠加各个CAN设备的电压特征差异,做出分析并导出电压曲线,获得各CAN设备的电压指纹。
本发明的技术方案是:
一种基于设备指纹和国密算法的产线网络安全防护方法,其特征在于,包括基于设备指纹的设备身份认证和基于国密算法的硬件之间数据传输加解密。
其中,基于设备指纹的设备身份认证方法,其特征是它包含以下步骤:
(1)识别CAN设备电压指纹;(2)基于朴素贝叶斯分类器判断输入指纹属于哪一台设备。
进一步,所述步骤(1)中,需要采集各ID的数据帧报文的电压信号,去除非主导电压,通过阈值学习,去除ACK场的主导电压,再追踪统计信息指标F1-F6,用来反映工控设备的电压特性。其中F1表示CANH最频繁值;F2表示CANL最频繁值;F3表示CANH累计75%点对应的值;F4表示CANL累计25%点对应的值;F5表示CANH累计90%点对应的值;F6表示CANH累计10%点对应的值,计算CVD,表示工控设备发射器的主导电压与理想值的累积偏差,最后用递归最小二乘法算出综合的累积偏差,即电压指纹。
进一步,所述步骤(2)中,采用高斯朴素贝叶斯算法判断输入指纹属于哪一台设备,朴素贝叶斯分类器用来计算一个样本属于某一类的概率,进而比较概率大小来决定样本的分类结果,分类器需要数据集作为已知样本集,还需要这些样本的分类结果,最后对新给出的样本集进行分类。具体来说,假设已经得到样本集D={x1,....,xn},每一个xi都有k个特征,分别计为ai,可能类别为Y={y1,...,ym},根据每个xi的特征,它会被分类到某一个yj类中。现在我们已经知道D分类的结果,分类器需要根据已经有的这些信息对新的样本x=(a1,...,ak)进行分类。yj就是一些模型,我们需要根据现有分类数据判断x最有可能符合哪一个模型。
需要计算已知x时分类到yj的概率Pr(yj|x),然后比较其中最大的概率,选择对应的yj作为分类结果。根据贝叶斯公式:
其中Pr(x)可以忽略,我们用D中分类到yj的元素占D所有元素的比例来估计yj出现的概率Pr(yj),然后计算Pr(x|yj),已知x有一些特征,那么:
也就是x的每一个特征都出现在yj中的概率,其中Pr(ai|yj)是ai出现在yj分类中的比例。最终就得到:
计算右边的最大值,然后选择对应的yj作为分类结果即可。也就是输入CANH和CANL的数值,可以判断它属于哪台设备。
其中,基于国密算法的硬件之间数据传输加解密,利用开源的strongSwan项目,增加了国产密码算法(包括SM2,SM3,SM4等),其特征是它包含以下步骤:
步骤1:替换AES算法为国密算法SM4;
步骤2:替换SHA-256算法为摘要算法SM3;
步骤3:替换ECDSA算法为国密算法SM2。
进一步,所述步骤(1)中,strongSwan启动时默认加载的是aes-128算法,即密钥长度和数据长度均为16字节,这是和SM4算法完全对应的,可以将其替换为SM4算法。
进一步,所述步骤(2)中,strongSwan默认加载的杂凑算法为sha-1,sha-1输出的摘要值长度为96位或者160位,而SM3算法输出摘要值为256位。又因为sha-256算法的输出摘要值长度为256位,这样就能够和SM3算法相对应起来了,可将其替换为SM3算法。
进一步,所述步骤(3)中,strongSwan中默认调用openssl中的ECDSA(椭圆曲线数字签名算法)来实现签名验签功能,SM2算法也可以实现签名验签,可将其替换为SM2算法。
本发明的有益效果是:
1.基于国密算法实现自主可控,实现工业数据加密传输,保证工业网络协议报文的机密性和完整性。
2.设计了一种基于设备指纹的网络认证技术,摆脱了对PKI/CA证书的需求。
附图说明
图1为本发明的设备身份认证方法流程图。
图2为本发明的数据传输加密方法流程图。
图3为本发明的CAN设备收发器差分放大器原理图。
图4为本发明的产线网络安全防护功能。
图5ID039 CANH Most Frequent。
图6ID039 CANH Maximum。
图7预测结果展示。
具体实施方式
下面结合附图和实施例对本发明做进一步详细描述。
一种基于设备指纹和国密算法的产线网络安全防护方法,包括基于设备指纹的设备身份认证和基于国密算法的硬件之间数据传输加解密。
图1为本发明的设备身份认证方法流程图,具体包含以下步骤:
步骤1:识别CAN设备电压指纹;
示波器采集CANH(CAN总线高电压)和CANL(CAN总线低电压)测量值作为初始样本,将初始的CANH和CANL数据过滤掉非主导电压后,分别对过滤后的CANH和CANL求核密度,获得Most Frequent(最高频电压)和Maximum(最大电压)。以设备ID039为例,Most Frequent如图5所示,Maximum如图6所示,由此可以得到设备ID039的S’max值。之后就可以根据公式求给定数据集中的CANH阈值和CANL阈值。
公式1至公式6是求出阈值的具体方法,其中公式1至公式3是求CANH阈值的过程,公式4至公式6是求CANL阈值的过程。对于求出的CANH阈值和CANL阈值,CANH阈值作为CANH电压值的上限,CANL阈值作为CANL电压值的下限再次过滤电压值。过滤后的电压值就可以作为合格的数据集进行训练了。
Γ1=median(S′max)-3MAD(S′max) (1)
Γ2=μS′max-3σS′max (2)
shareholdCANH=max(Γ1,Γ2) (3)
Γ1=median(S′max)+3MAD(S′max) (4)
Γ2=μS′max+3σS′max (5)
shareholdCANL=max(Γ1,Γ2) (6)
步骤2:基于朴素贝叶斯分类器判断输入指纹属于哪一台设备;
本发明设置数据集为正常状态下的多台设备的CAN高(CANH)信号线、CAN低(CANL)信号线输出电压训练朴素贝叶斯分类器,一共有四台设备的数据集,它们是:设备ID039、设备ID01A、设备ID077和设备ID083。每输入一个指纹,计算该指纹属于某个类别的概率q,若比较得max,则为已接入的设备,否则为未接入过的设备。若判定为已接入的设备,则判定为概率q最大的类别为该指纹属于的设备。
手动输入特征值就可以预测属于哪一类别,但是特征值的个数和格式要严格仿照训练集中数据的格式才能得出结果。输入CANH和CANL的数值,就可以得出这是否是新设备,若非新设备,将给出属于哪台设备的预测结果。如图7,得出了一个准确的预测结果。
图2为本发明的数据传输加密方法流程图,具体包含以下步骤:
步骤1:替换AES算法为国密算法SM4;
步骤2:替换SHA-256算法为摘要算法SM3;
步骤3:替换ECDSA算法为国密算法SM2。
进一步,所述步骤(1)中,strongSwan启动时默认加载的是aes-128算法,即密钥长度和数据长度均为16字节,这是和SM4算法完全对应的,所以只需修改strongSwan中源码目录下/src/libstrongswan/plugins/aes/aes_crypter.c程序即可。
进一步,所述步骤(2)中,strongSwan默认加载的杂凑算法为sha-1,sha-1输出的摘要值长度为96位或者160位,而SM3算法输出摘要值为256位。又因为sha-256算法的输出摘要值长度为256位,这样就能够和SM3算法相对应起来了,由于strongSwan结构的特殊性,提供sha-256函数源码的插件有两个,一个是plugin文件夹中的sha2插件,这里面包含sha-256、sha-384、sha-512三个杂凑函数,另一个是openssl插件,它是调用openssl库中的开源函数来实现杂凑函数的,但是在IKE和ESP过程中,默认加载的并不是sha2插件中的sha-256函数,而是openssl函数库中的sha-256函数,通过屏蔽openssl中调用sha-256函数的代码,strongSwan就开始调用sha2插件中的sha-256函数了,这时候只用修改sha2插件中的sha2_hasher.c程序即可。
进一步,所述步骤(3)中,strongSwan中默认调用openssl中的ECDSA(椭圆曲线数字签名算法)来实现签名验签功能,SM2算法也可以实现签名验签。签名程序对应的是/src/libstrongswan/plugins/openssl/openssl_ec_private_key.c,build_der_signature()就是用来生成签名值的函数。
本发明未涉及部分与现有技术相同或可采用现有技术加以实现。
Claims (4)
1.一种基于设备指纹和国密算法的产线网络安全防护方法,其特征在于,包括基于设备指纹的设备身份认证和基于国密算法的硬件数据传输加解密;所述基于设备指纹的设备身份认证是首先进行CAN设备电压指纹识别,然后基于朴素贝叶斯分类器判断输入指纹属于哪一台设备;所述基于国密算法的硬件数据传输加解密是利用开源的strongSwan项目,应用自主可控的SM2,SM3,SM4国产密码算法进行加解密,即替换strongSwan中的IKEv2协议和ESP协议中用到的数字签名算法、完整性验证算法、加解密算法为相应的国密SM2、SM3、SM4算法。
2.根据权利要求1所述的产线网络安全防护方法,其特征是,所述的CAN设备电压指纹识别包括如下步骤:
步骤1:采集各ID的数据帧报文的电压信号,去除非主导电压;
步骤2:通过阈值学习,去除ACK场的主导电压;
步骤3:追踪统计信息指标F1-F6,用来反映产线设备的电压特性;其中F1表示CANH最频繁值;F2表示CANL最频繁值;F3表示CANH累计75%点对应的值;F4表示CANL累计25%点对应的值;F5表示CANH累计90%点对应的值;F6表示CANH累计10%点对应的值;
步骤4:计算CVD,表示产线设备发射器的主导电压与理想值的累积偏差;
步骤5:用递归最小二乘法算出综合的累积偏差,即电压指纹。
3.根据权利要求1所述的产线网络安全防护方法,其特征是,基于朴素贝叶斯分类器判断输入指纹属于哪一台设备是通过计算一个样本属于某一类的概率,进而比较概率大小来决定样本的分类结果,分类器需要数据集作为已知样本集,还需要这些样本的分类结果,最后对新给出的样本集进行分类;假设已经得到样本集D={x1,....,xn},每一个xi都有k个特征,分别计为ai,可能类别为Y={y1,...,ym},根据每个xi的特征,它会被分类到某一个yj类中;现在已经知道D分类的结果,分类器需要根据已经有的这些信息对新的样本x=(a1,...,ak)进行分类;yj就是一些模型,需要根据现有分类数据判断x最有可能符合哪一个模型;
需要计算已知x时分类到yj的概率Pr(yj|x),然后比较其中最大的概率,选择对应的yj作为分类结果;根据贝叶斯公式:
其中Pr(x)可以忽略,用D中分类到yj的元素占D所有元素的比例来估计yj出现的概率Pr(yj),然后计算Pr(x|yj),已知x有一些特征,那么:
也就是x的每一个特征都出现在yj中的概率,其中Pr(ai|yj)是ai出现在yj分类中的比例;最终就得到:
计算右边的最大值,然后选择对应的yj作为分类结果即可;也就是输入CANH和CANL的数值,可以判断它属于哪台设备。
4.根据权利要求1所述的产线网络安全防护方法,其特征是,strongSwan项目中的国产密码算法替代算法包括如下步骤:
步骤1:替换AES算法为国密算法SM4;
步骤2:替换SHA-256算法为摘要算法SM3;
步骤3:替换ECDSA算法为国密算法SM2。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211172671.7A CN115567191A (zh) | 2022-09-26 | 2022-09-26 | 一种基于设备指纹和国密算法的产线网络安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211172671.7A CN115567191A (zh) | 2022-09-26 | 2022-09-26 | 一种基于设备指纹和国密算法的产线网络安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115567191A true CN115567191A (zh) | 2023-01-03 |
Family
ID=84742639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211172671.7A Pending CN115567191A (zh) | 2022-09-26 | 2022-09-26 | 一种基于设备指纹和国密算法的产线网络安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115567191A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116319146A (zh) * | 2023-02-01 | 2023-06-23 | 南京航空航天大学 | 车载can网络报文的功能管理的实现方法和存储介质 |
-
2022
- 2022-09-26 CN CN202211172671.7A patent/CN115567191A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116319146A (zh) * | 2023-02-01 | 2023-06-23 | 南京航空航天大学 | 车载can网络报文的功能管理的实现方法和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Casino et al. | HEDGE: efficient traffic classification of encrypted and compressed packets | |
CN107749848B (zh) | 物联网数据的处理方法、装置及物联网系统 | |
TWI592822B (zh) | Man-machine identification method, network service access method and the corresponding equipment | |
KR101252707B1 (ko) | 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치 | |
CN107612698B (zh) | 一种商用密码检测方法、装置与系统 | |
JP2016131335A (ja) | 情報処理方法、情報処理プログラムおよび情報処理装置 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
Hafeez et al. | Ecu fingerprinting through parametric signal modeling and artificial neural networks for in-vehicle security against spoofing attacks | |
CN107636669B (zh) | 不期望网络业务的控制 | |
CN110336663B (zh) | 一种基于区块链技术的PUFs群对群认证方法 | |
CN107749845A (zh) | 基于区块链技术的can总线报文的抗攻击方法及系统 | |
CN115567191A (zh) | 一种基于设备指纹和国密算法的产线网络安全防护方法 | |
Zhong et al. | Side-channels in electric power synchrophasor network data traffic | |
CN116015766A (zh) | 计算机的数据安全传输系统 | |
CN113987525A (zh) | 一种基于分组密码算法的系统数据防护方法 | |
CN105577706B (zh) | 一种网络安全防御系统和方法 | |
US20220038478A1 (en) | Confidential method for processing logs of a computer system | |
CN113918977A (zh) | 基于物联网和大数据分析的用户信息传输装置 | |
CN112199700B (zh) | 一种mes数据系统的安全管理方法及系统 | |
Zhou et al. | A model-based method for enabling source mapping and intrusion detection on proprietary can bus | |
US7920705B1 (en) | System and method for convert channel detection | |
CN116455668A (zh) | 零信任网络环境下用户信任度量方法与系统 | |
CN106936834B (zh) | 一种对iec61850数字变电站smv报文的入侵检测的方法 | |
CN116614251A (zh) | 一种数据安全监控系统 | |
CN116224915A (zh) | 一种基于联邦学习的分布式制造过程质量监测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |