[发明专利]用于SCADA系统主站与从站间身份认证的方法及系统

说明书

本发明提供的一种用于SCADA系统主站与从站间身份认证的方法及系统，包括如下步骤：主站A创建服务，产生对称多项式系数a_ij，从站B根据主站A服务器的IP地址与主站A建立连接，连接建立成功后从站B与主站A共享对称二元多项式参数；主从站均采用通信协议的数据帧作为自身身份标识符ID_A与ID_B；主站A与从站B交换彼此的身份标识符，并将两者的身份标识符带入对称多项式进行计算；如果f(ID_A，ID_B)＝f(ID_B，ID_A)，则主站A与从站B实现双向认证，并计算，扩展得到对称加密密钥K_AB。本发明选用对称多项式产生共享密钥，并将之作为对称加密密钥，报文交换过程中选用对称加密算法，降低了计算复杂度。

技术领域

本发明涉及的是一种用于SCADA系统主从站间的身份认证技术，尤其是一种基于对称多项式加密机制的双向认证技术，具体涉及SCADA系统的主从站通信安全的保证。

背景技术

随着信息技术的不断发展，工业的现代化水平与日俱增，工业控制系统(IndustryControl System，ICS)被广泛地应用于诸多与国计民生息息相关的行业，诸如冶金、水电供应、油气输送、航空航天、道路交通等，其在社会生产与保障性基础设施建设中发挥着不可替代的作用。典型的SCADA(Supervisory Control and Data Acquisition)系统主要用于远程监控和数据采集，综合运用计算机、控制、通信与网络等技术，通过对远程分散测控点采集的数据进行监控与分析，为整个生产过程的调度、管理、故障诊断等操作提供技术和数据支持。通过以太网，整个控制系统能够与远程终端设备便捷地相互连接。目前工业控制系统的性能、可靠性、灵活性等因素被给予高度关注，但其信息安全问题却没有得到足够重视。

工业化和信息化的深度融合使得标准控制协议的使用越来越广泛，工业控制系统的开放性也随之提升，通用的协议、软硬件设备、操作系统等已经被广泛应用，这直接导致针对工控系统的攻击事件频发，一系列网络安全问题逐渐暴露出来。以“震网病毒”为例，它利用微软Windows操作系统与西门子WinCC操作系统的漏洞实现对系统的直接破坏，黑客能够完全控制远程被感染的主机，使之成为僵尸计算机。“震网病毒”向公共事业机构和控制系统发动恶意攻击，各类通信设施、民用和工业基础设施等均暴露在其攻击下，伊朗布什尔核电站也没能幸免，核电站中铀分离机的控制逻辑被恶意修改，导致电动机转速异常而产生了严重的损失。在“震网病毒”事件发生后，世界各地针对工业控制系统的攻击事件频频发生，并愈演愈烈，造成了严重的破坏与损失，诸如比“震网病毒”强大20倍的“Flame火焰病毒”肆虐中东地区。针对工业控制系统接连不断的攻击事件已经造成严重的后果，这些网络安全问题给工业控制系统带来了严峻的挑战，将人们对于工业网络安全的关注推向一个新的高潮。

事实上，很多工业控制网络疏于严格的系统管理，可能出现内部人员接入已感染病毒的移动设备或外部人员通过非法手段截获而导致信息泄漏、篡改，从而使一些不法分子有机可乘。SCADA系统的信息安全机制并不完善，身份认证环节存在诸多漏洞，很容易暴露给攻击者。攻击者可以通过伪造的用户管理员身份与主站进行通信，非法接入工业控制网络中。攻击者也可以通过入侵主站与从站之间的通信网络，窃取通信内容，影响主从站间正常通信，致使SCADA系统中基础设施和工业服务中断，产生严重的破坏。身份认证对于实现SCADA系统的安全接入控制而言十分重要，其承担整个安全体系的“门禁”职能，好比整个信息安全体系的第一道大门，对PLC控制设备节点、管理员用户的身份进行核对，保障了使用者物理与数字身份的相互统一。这一环节实现了对系统资源的有效保护，防止用户身份被非法冒用，拒绝对敏感数据的非法访问请求。如果体系中的身份认证环节受到挑战，那么体系中其他的防护方案也将难以实现。由于控制环节在工业系统中处于至关重要的地位，要求对所有接入对象进行安全认证，包括用户接入和PLC等控制设备接入，SCADA系统对于主从站间的通讯认证有着严格的要求。