使用不重数实现控制网络通信鉴别机制的方法.doc.docVIP

使用不重数实现控制网络通信鉴别机制的方法摘要：控制网络由于受带宽的限制和实时性的要求，希望在其上实现的通信机制能够简单有效。文中通过时间服务器，使用一种不重数数的方法实现了应用层的鉴别。认证系统中使用报文摘要（Digest实现认证，该算法将发送或接收的数据经消化后产生消化值。该方法不仅能够满足大部分场景下控制网络鉴别的需求，而且能够利用时间服务器的信息用于鉴别，能够大大减少网络的数据流量。 关键词：不重数 控制网络 LonWorks Use Nonce as Authentication in Control Networks Communication Abstract：Control Networks are narrow band and real time networks so the communication authentication mechanism should simple and effective. A Nonce method using time server was presented in the paper, it applies the authentication on application layer. Digest was used as system Authentication and that use received or sent data as digest data. This method should meet most cases requirement of control networks, and can use the time server information as authentication as well and can reduce the throughput of the control networks. Key Words：Nonce; Control Networks; Authentication; Lonorks 1.引言 近年来，工业（是煤炭工业）、建筑物智能化控制系统和控制网络的安全性越来越受到重视。控制网络的安全涉及设备、网络、系统、信息等各个方面。控制网络有别于计算机网络，主要应用于工业的信息化和建筑的智能及节能等领域。LonWorks总线技术是美国Echelon公司于1991年推出的局部操作网络（LON网，Local Operating Network），其主要特色是将通信协议嵌入到一个芯片（Neuron chip，神经元芯片）内，用户采用该芯片及相关的配件即可设计出需要的应用节点，将应用节点与路由器/中继器等组成LonWorks控制网络。LonWorks总线支持不同的网络结构和通讯介质。2006年，LonWorks技术被采纳为中国控制联网标准、中国商业楼宇和住宅建设的国家标准。2008年12月，LonWorks被批准为国际标准ISO/IEC 14908。目前LonWorks技术的产品广泛应用在工业、楼宇、能源及交通等领域。 2.控制网络的安全鉴别 控制网络与数据网络一样，存在数据安全性问题。控制网络的数据安全主要包括下列几个方面： （1）防止对监控数据的未经授权的访问和更改； （2）监控命令和数据的安全可靠传输； （3）防止传输过程的泄密（非法窃听）； （4）防止控制网络被恶意攻击。 在高级别机密的数据传输中采用加密的方法。加密解密方法主要用于对付被动的攻击，且需要复杂的设备，不适合在控制网络中使用。对付主动攻击的主要方法是鉴别，特别是发送源的鉴别。报文鉴别使得通信的接收方能够验证所收到的报文（报文内容、发送时间、序列等）的真伪。采用鉴别机制实现控制网络的信息安全是一种常用的方法。 2.1报文摘要（Message Digest） A将报文经过报文摘要算法运算后得出很短的报文摘要。然后用的私钥对进行运算，即进行数字签名。得出已签名的报文摘要（）后，将其追加在报文后发送给B。B收到报文后首先把已签名的（）和报文分离。然后用A的公钥对（）进行运算，得出报文摘要。对报文进行报文摘要运算，是否能够得出同样的报文摘要。，以极高的概率断定收到的报文是A产生的。否则就不是。 图1 2.2存在的问题 报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体认证是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。A发送给B的报文被加密，使用的是对称密钥AB。B收到此报文后，用共享对称密钥AB进行解密，因而鉴别了实体A的身份。 图2 但是，这种加密与鉴别方式存在明显的漏洞入侵者可以从网络上截获A发给B的报文。并不需要破译这个报文因为这可能很多时间而把这个由A加密的报文直接发送给B，使B误认为就是A。然后B就向伪装是A的