[发明专利]一种多融合联动响应的动态安全方法与系统

权利要求书

1.一种多融合联动响应的动态安全方法，其特征在于，现场控制设备通过身份认证、密钥管理进行主动响应与被动响应，对异常行为进行报警，包括以下步骤：

接入认证主动响应，对于认证数据流，使现场控制设备通过自己的数字证书B与其他通信节点进行身份合法性认证；通过认证后允许通信；

访问控制主动响应，对于非认证数据流，检测到非法访问时，立即阻断数据通信并进行报警；

访问控制被动响应，当访问控制主动响应步骤检测到异常行为时被触发，由管理员确认该异常行为是否合法；

异常冒充被动响应，对于非认证数据流，检测到异常冒充行为，由管理员确认是否需要对证书进行处理；

密钥弱点被动响应，对于非认证数据流，检测到密钥脆弱性或过期的事件，由管理员确认是否需要对密钥进行处理；若是，则进行会话密钥的协商；

异常状态被动响应，对于非认证的数据流，检测到其他异常行为，通过通信模型的建立对所有违反通信模型的行为进行报警；

所述进行会话密钥的协商包括以下步骤：

a)发起方发送数字证书B和签名数据；

b)接收方验证发起方的签名数据，认证通过，则继续进行通信；接收方发送自己的数字证书B和签名数据；

c)发起方验证接收方的签名数据，认证通过，则继续进行通信；发起方发送基于接收方公钥进行加密的对称密钥对信息n，并附带随机数；

d)接收方发送基于发起方公钥进行加密的对称密钥对信息m，并附带随机数；

e)发起方和接收方对n、m信息进行处理，生成对称密钥对；发起方用对称密钥对加密一个随机数+时间标签，进行应答；

f)接收方解密发起方发送的数据，并对随机数+1；接收方用对称密钥对加密随机数+1的信息以及时间标签。

2.根据权利要求1所述的一种多融合联动响应的动态安全方法，其特征在于所述现场控制设备通过身份认证、密钥管理进行主动响应与被动响应之前：预先配置代表身份的数字证书A，然后现场控制设备在实际环境中对数字证书A进行现场更新，并获取数字证书B。

3.根据权利要求1所述的一种多融合联动响应的动态安全方法，其特征在于所述访问控制主动响应，对于非认证的数据流，检测包括以下步骤：

a)首先，通过网卡的混杂模式对数据流进行捕获；

b)对捕获的数据进行协议分析；

c)对协议的应用层协议进行解析；

d)匹配数据流中的协议解析内容与设定的匹配规则内容是否相符；若相符，则进行日志设置或直接放行数据流；否则对数据流进行阻拦并报警；默认情况下阻止一切数据流的通过。

4.根据权利要求1所述的一种多融合联动响应的动态安全方法，其特征在于所述访问控制被动响应，由管理员确认该异常行为是合法时，将该行为加入到匹配规则中。

5.一种多融合联动响应的动态安全系统，其特征在于，包括：

接入认证主动响应模块，用于对于认证数据流，使现场控制设备通过自己的数字证书B与其他通信节点进行身份合法性认证；通过认证后允许通信；

访问控制主动响应模块，用于对于非认证数据流，检测到非法访问时，立即阻断数据通信并进行报警；

访问控制被动响应模块，用于当访问控制主动响应模块检测到异常行为时被触发，由管理员确认该异常行为是否合法；

异常冒充被动响应模块，用于对于非认证数据流，检测到异常冒充行为，由管理员确认是否需要对证书进行处理；

密钥弱点被动响应模块，用于对于非认证数据流，检测到密钥脆弱性或过期的事件，由管理员确认是否需要对密钥进行处理；若是，则进行会话密钥的协商；

异常状态被动响应机制模块，用于对于非认证的数据流，检测到其他异常行为，通过通信模型的建立对所有违反通信模型的行为进行报警；

所述进行会话密钥的协商包括：

a)发起方发送数字证书B和签名数据；

b)接收方验证发起方的签名数据，认证通过，则继续进行通信；接收方发送自己的数字证书B和签名数据；

c)发起方验证接收方的签名数据，认证通过，则继续进行通信；发起方发送基于接收方公钥进行加密的对称密钥对信息n，并附带随机数；

d)接收方发送基于发起方公钥进行加密的对称密钥对信息m，并附带随机数；

e)发起方和接收方对n、m信息进行处理，生成对称密钥对；发起方用对称密钥对加密一个随机数+时间标签，进行应答；

f)接收方解密发起方发送的数据，并对随机数+1；接收方用对称密钥对加密随机数+1的信息以及时间标签。