| 发明名称 | 无线工业控制网络安全系统及安全策略实现方法 | ||
| 摘要 | 本发明请求保护一种无线工业控制网络的安全策略实现方法及系统,涉及工业现场控制技术。本发明的技术方案是将无线工业控制网络分为企业管理层,过程控制层,现场设备层三个网段,根据工业控制网络的层次结构,构建无线工业控制网络安全管理系统,将所构建的无线工业控制网络定义为4个安全等级,根据密钥管理中心KDC的组态服务器中的访问控制列表对网络的不同层次以及不同的安全等级,通过采用基于KDC的密钥管理和设备鉴别机制、无线安全网关、无线网络安全应用管理实体、无线安全管理信息库实施不同的安全措施。本发明适用于工业现场控制,以有效解决无线工业控制网络内部资源与数据通信的安全性问题,以保障系统正常的运行。 | ||
| 申请公布号 | CN101094056B | 申请公布日期 | 2011.05.11 |
| 申请号 | CN200710078532.7 | 申请日期 | 2007.05.30 |
| 申请人 | 重庆邮电大学 | 发明人 | 王平;魏旻;王泉;王浩;金燕 |
| 分类号 | H04L9/00(2006.01)I;H04L9/08(2006.01)I;H04L29/06(2006.01)I;H04L12/66(2006.01)I;H04L12/28(2006.01)I | 主分类号 | H04L9/00(2006.01)I |
| 代理机构 | 重庆市恒信知识产权代理有限公司 50102 | 代理人 | 刘小红 |
| 主权项 | 一种无线工业控制网络的安全管理系统,将无线工业控制网络分为企业管理层L3,过程控制层L2,现场设备层L1三个网段,根据工业控制网络的层次结构,构建无线工业控制网络安全管理系统,其特征在于,密钥管理中心KDC的组态服务器根据其中的访问控制列表中无线工业控制网络的不同层次以及不同的安全等级实施安全措施,具体为:对不需要对L2网段进行边界保护的无线工业控制网络,L1网段的边界保护采用包过滤网关;对允许L3网段访问L2网段的无线工业控制网络,L3网段的边界保护采用状态防火墙,L2网段的边界保护采用包过滤防火墙,L1网段的边界保护采用包过滤网关;对允许L3网段访问L1网段的无线工业控制网络,L3网段的边界保护采用应用级防火墙,L2网段的边界保护采用状态防火墙,L1网段的边界保护采用协议转换与数据包过滤网关;对允许公共网络访问L1网段的无线工业控制网络,L3和L2网段的边界保护采用应用级防火墙,L1网段的边界保护采用IPSec转换与数据包过滤网关;L3网段的边界网关和边界路由器对整个无线工业控制网络实施边界保护;L3网段与L2网段之间采用安全代理对L2网段及L1网段实施边界保护,负责用户授权的鉴别工作;KDC负责密钥的产生、分发和管理,提供设备的鉴别认证方法;无线组态服务器提供安全组态服务,实现对网络中安全设备的监控,以及对安全功能进行配置;安全管理服务信息库向管理进程提供安全管理信息,以及所要保护的信息参数,并负责密钥的更新和组态;安全应用实体利用无线设备的标识符、时间戳和初始密钥进行加密,将加密后的密文作为鉴别码存放在设备鉴别服务报文中,KDC服务器对报文头进行处理,得到设备标识和时间戳,并获得“正确鉴别码”,将“正确鉴别码”与接收到的鉴别码进行比较,若相同则该设备通过鉴别。 | ||
| 地址 | 400065 重庆市南岸区黄桷垭崇文路2号 | ||