[发明专利]基于双因子认证体系的工业控制报文语意解析审计方法

权利要求书

1.一种基于双因子认证体系的工业控制报文语意解析审计方法，其特征在于，所述解析审计方法包括以下步骤：

建立报文签名者数据库，所述报文签名数据库用于存储若干个认证签名者的报文签名；

接收到报文时，判断报文地址是否为中转报文地址，

如果是中转报文地址，识别中转报文地址类型并据此发送报文；

如果不是中转报文地址，解析报文获取报文的信息内容、报文签名和报文源地址并据此选择中转报文地址；

所述中转报文地址包括第一报文地址和第二报文地址，所述第一报文地址为报文源地址为工业控制系统内部地址时所使用的中转报文地址，所述第二报文地址为报文源地址为工业控制系统外部地址时所使用的中转报文地址；

所述识别中转报文地址类型并据此接收报文包括以下；

如果识别出报文地址为第一报文地址，将报文发送给工业控制系统内部地址，工业控制系统内部地址直接接收报文；

如果识别出报文地址为第二报文地址，将报文发送给其报文签名者进行密钥验证，密钥验证通过后，将报文发送给工业控制系统内部地址；

工业控制系统内部接收到报文地址为第二报文地址时，解析报文的信息内容后返回报文源地址该次信息内容的审计标识，所述审计标识包括兴趣标识和非兴趣标识；

所述解析报文获取报文的信息内容、报文签名和发送报文地址并据此选择中转报文地址包括以下：

获取报文的信息内容、报文签名和报文源地址，如果信息内容的语意内容包含恶意语意内容，丢弃该报文，并传输报文无效的信息给报文源地址，否则，如果报文签名属于报文签名者数据库，判断报文源地址属于兴趣地址还是非兴趣地址，当报文源地址属于兴趣地址时，直接将报文中的信息内容和报文中的报文签名以第二报文地址进行发送，当报文源地址属于非兴趣地址时，获取报文中的报文签名的签名者在最近一段时间内的签名频率，如果签名频率小于等于签名频率阈值，将报文中的信息内容和报文中的报文签名以第二报文地址发送，

其中，签名者在最近一段时间内的签名频率qf＝nq/nz，nq为最近一段时间内所有报文中报文签名为该次签名者的报文签名次数，nz为最近一段时间内所有报文中包含报文签名的报文数目，

兴趣地址为兴趣频率大于等于兴趣频率阈值的报文源地址，非兴趣地址为兴趣频率小于兴趣频率阈值的报文源地址，所述兴趣频率yf＝my/mz，其中，my为相应的报文源地址标识兴趣标识的次数，mz为工业控制系统内部接收到相应的报文源地址发送报文的次数。

2.根据权利要求1所述的一种基于双因子认证体系的工业控制报文语意解析审计方法，其特征在于：如果签名频率小于等于签名频率阈值，将报文中的信息内容和报文签名转发给其他认证签名者审核，如果其他签名者予以新报文签名，将报文中的信息内容和新报文签名以第二报文地址进行发送。

3.根据权利要求1所述的一种基于双因子认证体系的工业控制报文语意解析审计方法，其特征在于：所述第一报文地址发送的报文信息内容接收优先级大于第二报文地址发送的报文信息内容，

如果两个报文同时以第二报文地址发送，比较两个报文的报文源地址的兴趣频率大小，兴趣频率更大的报文源地址的报文信息内容接收优先级大于兴趣频率更小的报文信息内容。

4.根据权利要求1所述的一种基于双因子认证体系的工业控制报文语意解析审计方法，其特征在于：当发送报文地址为工业控制系统内部地址时，发送报文地址即为第一报文地址。

5.根据权利要求2所述的一种基于双因子认证体系的工业控制报文语意解析审计方法，其特征在于：所述解析审计方法还包括解析审计系统，所述解析审计系统包括报文签名者数据库、中转地址判断模块、报文发送模块和中转地址选取模块，所述报文签名数据库用于存储若干个认证签名者的报文签名，所述中转地址判断模块在接收到报文时，判断报文地址是否为中转报文地址，在是中转报文地址的情况下，报文发送模块识别中转报文地址类型并据此发送报文，在不是中转报文地址的情况下，中转地址选取模块解析报文获取报文的信息内容、报文签名和报文源地址并据此选择中转报文地址。