工業(yè)以太網(wǎng)交換機數(shù)據(jù)鏈路層安全分析與設(shè)計.pdf

1、越來越多的工業(yè)控制系統(tǒng)安全事件將現(xiàn)代工業(yè)控制系統(tǒng)的安全性提升到一個前所未有的高度,同時工業(yè)以太網(wǎng)技術(shù)在工業(yè)控制領(lǐng)域被大量采用。工業(yè)以太網(wǎng)交換機作為現(xiàn)代工業(yè)控制網(wǎng)絡(luò)的核心設(shè)備,其安全防范性對于增加工業(yè)控制系統(tǒng)的安全性卻是必不可少,它將是工業(yè)控制系統(tǒng)安全防范體系中重要的一環(huán).但是,由于工業(yè)以太網(wǎng)交換機的功能簡單,對其安全性的研究偏少,特別是數(shù)據(jù)鏈路層的安全問題,國內(nèi)工業(yè)以太網(wǎng)交換機廠商起步較晚也沒有足夠的積累。
　　本論文就立足于工業(yè)

2、以太網(wǎng)交換機的數(shù)據(jù)鏈路層,從拓撲結(jié)構(gòu)安全、訪問控制安全和數(shù)據(jù)保密完整性這三個重要的方面進行了安全性的設(shè)計和實現(xiàn),并對其安全防范性做了分析、加強設(shè)計和評估。本文的主要創(chuàng)新點如下:
　　1.設(shè)計了三種安全防范性機制,并將三者緊密結(jié)合起來。生成樹拓撲結(jié)構(gòu)控制用于鏈路故障時恢復(fù)網(wǎng)絡(luò)通信,設(shè)備訪問控制用于鑒別訪問設(shè)備的身份,將不合法的設(shè)備阻擋在工業(yè)控制網(wǎng)絡(luò)之外,鏈路層的數(shù)據(jù)加密防止重要控制平面數(shù)據(jù)的竊取和篡改;
　　2.對生成樹拓撲結(jié)

3、構(gòu)控制和設(shè)備訪問控制機制進行了安全防范性的分析,并采取措施對其安全防范性進行了加強。從生成樹拓撲控制機制上分析了生成樹拓撲控制存在的安全隱患,并提出了相應(yīng)的安全防范措施。利用模型檢測工具檢測到設(shè)備訪問控制的影子攻擊和服務(wù)器通道安全問題,并采取動態(tài)摘要值計算和本地認(rèn)證等措施進行應(yīng)對;
　　3.利用Markov模型和評估指標(biāo)輔助對協(xié)議功能的安全性進行評估。并分別對加入安全措施前后的生成樹拓撲控制和設(shè)備訪問控制進行了評估,評估結(jié)果表明安