1.一種EPA工業控制網絡安全測試方法，包括EPA工業控制網絡安全測試系統，所述EPA工業控制網絡安全測試系統包括工業控制驗證平臺(100)，用于驗證EPA工業控制網絡的安全性，其特征在于：所述工業控制驗證平臺(100)包括：

安全管理單元(110)，所述安全管理單元(110)用于對EPA控制網絡應用層以及數據鏈路中報文的安全措施進行管理；

報文控制單元(120)，所述報文控制單元(120)用于對數據鏈路中的EPA報文進行控制；

通信對話聯系單元，所述通信對話聯系單元包括通信目錄，所述通信目錄記錄了所以需要通信設備的ID，其中，通信對話聯系單元和所有的報文發送方、報文接受方的通信采用不同于報文發送方和報文接受方之間通信的物理通信路徑，從而，使得即使一條物理通信路徑被截獲，報文信息或通信密鑰數據依然可以不被截獲，增加通信被截獲的難度；

通信對話聯系單元和所有報文發送方、報文接收方通信，報文發送方和報文接收方之間的通信聯系由通信對話聯系單元確認，并提供物理地址進行連接；

信息庫單元(130)，所述信息庫單元(130)存放了所述安全管理單元(110)所需的信息，并對其進行操作處理；

所述安全管理單元(110)包括報文加密模塊(111)、完整性校驗模塊(112)、設備鑒別模塊(113)和訪問控制模塊(114)；所述報文加密模塊(111)用于對數據鏈路中報文進行加密；所述完整性校驗模塊(112)用于保證加密后的報文在傳輸過程中的完整性；所述設備鑒別模塊(113)用于向可信中心發出鑒別請求報文；所述訪問控制模塊(114)用于控制接收所述可信中心收到的請求，并通過網橋與可信設備建立通信；

所述報文控制單元(120)包括報文控制模塊(121)和報文過濾模塊(122)；所述報文控制模塊(121)用于控制傳輸中的報文協議；所述報文過濾模塊(122)用于對傳輸中的報文進行過濾；

其中，所述報文過濾模塊(122)為驗收濾波寄存器；所述驗收濾波寄存器采用CAN報文的驗收濾波寄存器，CAN控制器監聽所有來自CAN總線上的報文，當一個報文到達時，所述CAN控制器執行快速的硬件搜索算法，將收到的CAN報文標識符與驗收過濾RAM中存儲的標識符進行匹配；如果沒有匹配，則丟棄該報文，這個過程不會對所述CAN控制器產生中斷，應用代碼仍然正常執行；如果有匹配的標識符，所述CAN控制器將通過置位集中接收狀態寄存器中的相應位產生中斷，中斷服務程序將該報文從CAN控制器的寄存器復制到RAM中，并通過置位CAN命令寄存器的相應位來釋放所述CAN控制器的接收寄存器；

所述信息庫單元(130)包括信息探測模塊(131)、漏洞檢測模塊(132)、協議模塊(133)和存儲模塊(134)；所述信息探測模塊(131)用于對設備的開放端口進行掃描、服務辨識、木馬識別和操作系統探測；所述漏洞檢測模塊(132)用于對所述存儲模塊(134)中的特征報文進行掃描和檢測；所述協議模塊(133)用于所述信息庫單元(130)與所述安全管理單元(110)和所述報文控制單元(120)三者之間的信息交互；所述存儲模塊(134)用于對報文以及信息交互的數據進行存儲；

所述信息探測模塊(131)對于非EPA識備通過發送PING或ARP報文探測設備是否存活，ARP繞過防火墻對PING的過濾；對于EPA設備，開辟捕獲線程對EPA設備聲明報文進行解析，從而識別包括設備存活信息、MAC、IP和冗余號在內的設備信息，并發現非法EPA設備，然后對發現設備采用包括全開掃描、半開掃描、UDP掃描在內的端口掃描技術對目標系統的UDP端口和TCP端口進行測試，識別各端口狀態，并根據開放端口與服務映射表，進行第一次服務辨識；對一些端口上的木馬威脅進行識別；第二次辨識是通過與目標系統建立連接后，收集返回的Banner信息，查詢服務特征庫就能識別出服務類型、軟件的名稱和版本，最后采用TTL旗幟對目標系統進行操作系統辨識；對于依賴通用操作系統的設備就需要在漏洞檢測時測試系統漏洞，而對于UC/OS等實時操作系統和無操作系統的EPA網絡設備和現場設備可繞過系統漏洞測試；

所述漏洞檢測模塊(132)通過從存儲模塊中抽取特征報文進行掃描和檢測，測試單元從漏洞特征庫中提取測試特征指紋形成測試報文，向測試對象發送測試報文，然后偵聽檢測目標的響應，并收集信息，而后結合漏洞特征庫判斷EPA網絡是否存在安全漏洞；實際表現為封裝在一條測試插件中的特征匹配對，測試插件完成特征的提取，形成測試報文，接收返回信息并判斷是否存在漏洞；

所述報文加密模塊(111)采用周期性更新的秘鑰加密法；

所述周期性更新的秘鑰加密法采用秘鑰算法生產密文，其算法公式如下：

M＝{E(m，k)}；

其中，M為密文；E(*)為加密函數；m為原始消息；k為秘鑰；

包括如下方法步驟：

S1、通信發起方向可信中心發出鑒別請求報文，申請會話密鑰；

S2、可信中心收到鑒別請求后，如果容許則向通信雙方下發會話密鑰；

S3、報文發送方發送需要通話的報文接收方的虛擬名稱給通信對話聯系單元，通信對話聯系單元分配一個通信密鑰和報文接收方的物理地址給報文發送方，同時，發送一個通信密鑰和報文發送方的物理地址給報文接受方；從而建立報文發送方和報文接收方的通信許可；

S4、在獲得通信許可后，報文發送方將原始消息和會話密鑰進行加密；

加密后，密文作為報文體加在安全報文頭之后交由EPA應用實體發送，此時，通信物理路徑采用同于報文發送方、報文接受方和通信對話聯系單元之間通信的物理通信路徑；

S5、請求設備鑒別模塊(113)發送鑒別請求報文；

S6、網絡設備接收鑒別請求報文；

S7、接收鑒別請求報文后判斷其是否超過請求頻率；

S8、可信中心接收到鑒別請求報文，將生成的設備鑒別碼與報文中的設備鑒別碼進行比對；

S9、報文在發送之前，報文發送方先將明文用會話密鑰通過設計的算法生成密文，密文與源IP、目的IP和操作組成報文的主體，一起發送給網絡設備；

S10、網絡設備在接收到報文后，先對報文發送的頻率進行檢查；

S11、報文接收方在接收報文后，對于報文進行解密，獲得明文信息；

所述周期性更新的秘鑰加密法采用解密函數進行解密，其函數公式如下：

m＝{D(M，k)}；

其中，m為原始消息；D(*)為解密函數；M為密文；k為秘鑰；

所述鑒別請求報文主要由設備ID、設備鑒別碼和隨機數構成，設備鑒別碼通過設備ID、安全ID和隨機數通過隨機算法生成，其算法公式如下：

Maut＝{A(IDdev，IDsec，C)∣IDdev∣C}；

其中，Maut為設備鑒別請求報文；A(*)為鑒別算法；IDdev為設備ID；IDsec為安全ID；

所述協議模塊(133)采用TCP/IP協議，TCP/IP協議包括應用層、傳輸層、網絡層和數據鏈路層；

所述應用層用于接收來自所述傳輸層的數據，同時按不同應用要求與方式將數據傳輸至傳輸層；所述傳輸層用于為使用平臺和計算機信息網內部數據結合提供通道；所述網絡層用于負責網絡中數據包的傳送；所述數據鏈路層用于提供鏈路管理錯誤檢測。