[发明专利]一种适用于PLC的时间基一次性密码方法及系统

说明书

本发明公开了一种适用于PLC的时间基一次性密码方法、待验证设备、验证设备及身份验证系统。包括：证明方执行：A1，获取验证密钥；A2，建立包含多个节点的密码链，存储头节点的密码值并将尾节点的密码值发送验证方；A3，利用验证密钥、密码链的结束时间，以及当前时间生成第一一次性密码并发送至验证方；验证方执行：B1，设置动态的验证点和记录最近一次身份验证时间；B2，接收第一一次性密码并记录接收时间，若时间验证通过，且第二一次性密码与当前的验证点的值相等，验证成功，更新验证点和最近一次身份验证时间。本方法实现了PLC身份的高效率和高安全性验证，无需改动PLC固件，减少了内存占用。

技术领域

本发明涉及信息安全领域，特别是涉及一种适用于PLC的时间基一次性密 码方法、待验证设备、验证设备及身份验证系统。

背景技术

由于传统的信息物理系统(cyber physical systems，简称CPS)本身没有安 全措施，导致近年来CPS受到了一些大型攻击。CPS作为计算进程和物理进程的 统一体，是集成计算、通信与控制于一体的下一代智能系统，可编程逻辑控制 器(Programmable LogicController，简称PLC)作为CPS中控制物理进程的核心 架构，成为了攻击者攻击的主要目标。

CPS中可以用防火墙保证数据采集与监视控制系统(Supervisory Control AndData Acquisition，简称SCADA)和PLC之间的安全通信和访问控制，但防 火墙并不能针对具体某个PLC进行直接身份认证，而现有的PLC没有任何身份相 关机密信息，因此数据采集与监视控制系统也不能确定被监控PLC的身份真实 性。

在IEC-61131-3规定的PLC四种标准编程语言之中，结构化文本/结构式文 件编程语言(Structured text，简称ST)更接近计算机其它高级编程语言(如 Python)，因此适合用于实现密码算法。但由于ST并没有提供底层优化之类， 并且许多商业PLC(例如罗克韦尔)并没有提供密码算法实现需要的移位功能， 因此基于ST实现的程序相比其它语言要慢。所以一些在其它嵌入平台下能高速 运行的轻量级密码算法，并不一定能在PLC上实现类似的高效性。

发明内容

本发明旨在至少解决现有技术中存在的技术问题，特别创新地提出了一种 适用于PLC的时间基一次性密码方法、待验证设备、验证设备及身份验证系统。

为了实现本发明的上述目的，根据本发明的第一个方面，本发明提供了一 种适用于PLC的时间基一次性密码方法，包括：证明方执行以下全部或部分步 骤：步骤A1，获取安全参数，基于安全参数利用分组加密的密钥生成算法获取验 证密钥；步骤A2，建立包含多个节点的密码链，所述密码链的头节点的密码值为 验证密钥，以前一节点的密码值作为加密密钥利用分组加密的加密算法对消息 进行加密获得后一节点的密码值，完成密码链上所有节点的密码值获取；存储 头节点的密码值并将尾节点的密码值发送至验证方；所述验证密钥的位长小于 等于消息的位长；步骤A3，利用验证密钥、密码链的结束时间，以及当前时间通 过分组加密的加密算法生成第一一次性密码，将第一一次性密码发送至验证方；验证方执行以下全部或部分步骤：步骤B1，设置动态的验证点和记录最近一次 身份验证时间，所述验证点的初始值为密码链的尾节点的密码值；步骤B1，接 收第一一次性密码并记录接收时间，进行时间验证，若时间验证通过，验证方 利用最近一次身份验证时间和第一一次性密码通过分组加密的加密算法生成第 二一次性密码，若第二一次性密码与当前的验证点的值相等，认为证明方身份验 证成功，将验证点的值更新为第一一次性密码，将最近一次身份验证时间更新 为所述第一一次性密码的接收时间；若第二一次性密码与当前的验证点的值不 相等或者时间验证失败，则认为证明方身份验证失败。