本发明专利技术涉及工业信息安全技术领域,具体而言,涉及一种工业用户身份认证和加密的方法及系统。该方法包括:将电子钥匙通过USB接口接入用户终端设备,并通过用户终端设备登录客户端;客户端比对用户终端设备的硬件特征码和电子钥匙绑定的硬件特征码,若一致,且认证服务器验证用户证书具有合法性,则客户端获取工控指令信息并进行加密、封装处理,得到加密的数据包;客户端将所述数据包传输给加密网关;加密网关将所述数据包进行拆包、解密处理,得到解密的工控指令信息,并将其传输给OPC服务器。解决了现阶段工业信息系统数据传输安全性低,无法保证数据包的真实性的问题。
【技术实现步骤摘要】
本专利技术涉及工业信息安全
,具体而言,涉及一种工业用户身份认证和加密的方法及系统。
技术介绍
随着信息技术和网络技术在工业系统中应用的普及,开放、互连和标准化已经成为工业信息系统发展的必然趋势,工业系统对信息系统的依赖性也越来越强,所以工业信息系统的安全问题也越来越引起人们的重视,现有的计算机系统、信息网络、业务系统及人们的安全意识已经有一定的安全基础,但对于工业信息系统网络目前还处于快速发展阶段,现有的安全产品比如防火墙、VPN(Virtual Private Network,虚拟专用网)也无法直接用于工业信息系统,虽然目前市场上也有工业控制防火墙专门针对工业协议进行控制,但工业控制防火墙只解决了对数据包的过滤和控制,无法保证数据包的真实性,工业信息系统目前还没有比较成熟的安全解决方案。工业信息安全需求已经迫在眉睫,本专利技术结合传统安全相关技术,针对工业信息系统的特点,专利技术一种工业用户身份认证和加密系统,解决工业信息系统数据传输安全问题。
技术实现思路
本专利技术的目的在于提供一种工业用户身份认证和加密的方法及系统,以解决现阶段工业信息系统数据传输安全性低,无法保证数据包的真实性的问题。本专利技术提供了一种工业用户身份认证和加密的方法,其包括:步骤1:获取电子钥匙,所述电子钥匙包括用户证书、第一硬件特征码;步骤2:电子钥匙通过USB接口接入用户终端设备,并启动客户端;步骤3:客户端获取所述第一硬件特征码以及所述用户终端设备的第二硬件特征码,比对所述第一硬件特征码、第二硬件特征码,若一致,则进行步骤4;否则终止;步骤4:客户端获取所述用户证书,并将所述用户证书传输给认证服务器;步骤5:认证服务器验证所述用户证书的合法性,若认证通过,并将通过信息发送至客户端,进行步骤6;否则终止;步骤6:客户端将工控指令信息进行加密处理,得到加密的工控指令信息;步骤7:客户端将所述加密的工控指令信息进行隧道封装处理,得到数据包;步骤8:客户端将所述数据包传输给加密网关;步骤9:所述加密网关将所述数据包进行拆包、解密处理,得到解密的工控指令信息;步骤10:所述加密网关将所述解密的工控指令信息传输给OPC服务器。在一些实施例中,优选为,所述电子钥匙由证书授权中心统一管理。在一些实施例中,优选为,所述电子钥匙还包括:国家密码管理局批准的加密算法、用户基本信息,所述用户基本信息包括用户名、单位、部门、电话号码和邮箱地址。在一些实施例中,优选为,所述第一硬件特征码为与唯一用户终端设备绑定的硬件特征码。在一些实施例中,优选为,所述认证服务器包括OCSP认证服务器和LDAP认证服务器。在一些实施例中,优选为,所述步骤9中还包括:加密网关对所述解密的工控指令信息记性过滤处理。在一些实施例中,优选为,所述加密网关包括工业控制防火墙设备。本专利技术还提供了一种工业用户身份认证和加密的系统,其包括:权利要求1-6任一项所述的客户端、认证服务器、加密网关和OPC服务器;所述客户端包括:读取模块、验证模块、加密模块、封装模块和传输模块,所述读取模块用于读取电子钥匙中的用户证书、第一硬件特征码信息;所述验证模块用于比对第一硬件特征码与用户终端设备的第二硬件特征码;所述加密模块用于对工控指令信息进行加密处理,得到加密的工控指令信息;所述封装模块用于对所述加密的工控指令信息进行隧道封装处理,得到数据包;所述传输模块用于将所述数据包传输给加密网关;所述认证服务器用于验证用户证书合法性;所述加密网关用于将所述数据包进行拆包、解密处理,得到解密的工控指令信息;所述OPC服务器接收所述解密的工控指令信息,并根据所述解密的工控指令信息执行相关操作。针对上述系统,进一步,在一些实施例中,优选为,所述认证服务器包括OCSP认证服务器和LDAP认证服务器。进一步,在一些实施例中,优选为,所述加密网关包括工业控制防火墙设备。本专利技术实施例提供的工业用户身份认证和加密的方法及系统,与现有技术相比,通过获取电子钥匙,其中电子钥匙与终端设备硬件绑定,只要经过授权的终端设备才有操作权利,防止未授权用户和设备的非法操作。所以客户端进行比对用户终端设备的硬件特征码与电子钥匙绑定的硬件特征码,并且还会通过认证服务器验证所述用户证书的合法性,双重验证处理,可保证数据传输过 程中其实设备的安全性和操作权。另外,客户端在将工控指令信息传输之前会对其进行加密封装处理,在意保证了数据传输的安全性。因此,本专利技术公开的工业用户身份认证和加密的方法有效的解决了现阶段工业信息系统数据传输安全性低,无法保证数据包的真实性的问题。附图说明图1为本专利技术一个实施例中工业用户身份认证和加密的方法步骤示意图;图2为本专利技术一个实施例中工业用户身份认证和加密的系统结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。针对现阶段工业信息系统数据传输安全性低,无法保证数据包的真实性的问题,本专利技术提出了一种工业用户身份认证和加密的方法及系统。如图1-2所示,其具体包括:步骤1:获取电子钥匙,电子钥匙包括用户证书、第一硬件特征码。电子钥匙由证书授权中心统一管理,每个电子钥匙里面包含一个用户证书同时集成国家密码管理局批准的相关加密算法;用户证书由证书授权CA中心统一颁发。用户证书里面包含用户基本信息,用户基本信息包括用户名、单位、部门、电话号码和邮箱地址;每个电子钥匙里面还包含一个终端设备的硬件特征码。电子钥匙与终端设备硬件绑定,只要经过授权的终端设备才有操作权利,防止未授权用户和设备的非法操作。步骤2:电子钥匙通过USB接口接入用户终端设备并启动客户端软件。客户端软件安装在用户终端设备上,用户在使用客户端软件时需插入电子钥匙,每个电子钥匙只能和一台终端设备绑定,用户终端设备能从电子钥匙中读取数据;网关设备与用户终端设备进行双向信息交互;户终端设备与认证服务器进行双向信息交互。客户端软件集成工控协议引擎,只有工业控制协议的数据包才进行安全加密和数据封装,其它数据不进隧道,保证传输到服务器端的数据只有工业控制协议的数据包,并且加密算法使用国密算法。步骤3:客户端获取第一硬件特征码以及用户终端设备的第二硬件特征码,比对第一硬件特征码、第二硬件特征码,若一致,则进行步骤4;否则终止。步骤4:客户端获取用户证书,并将用户证书传输给认证服务器。步骤5:认证服务器验证用户证书的合法性,若认证通过,并将通过信息发送至客户端,进行步骤6;否则终止。步骤6:客户端将工控指令信息进行加密处理,得到加密的工控指令信息。步骤7:客户端将加密的工控指令信息进行隧道封装处理,得到数据包。步骤8:客户端将数据包传输给加密网关。步骤9:加密网关将数据包进行拆包、解密处理,得到解密的工控指令信息,加密网关对解密的工控指令信息记性过滤处理。因此,加密网关除负责数据解密和转发外,还负责对解密后的工业控制协议数据的深度过滤,有效控制非法指令的执行。步骤10:加密网关将解密的工控指令信息传输给本文档来自技高网...
【技术保护点】
一种工业用户身份认证和加密的方法,其特征在于,包括:步骤1:获取电子钥匙,所述电子钥匙包括用户证书、第一硬件特征码;步骤2:电子钥匙通过USB接口接入用户终端设备,并启动客户端;步骤3:客户端获取所述第一硬件特征码以及所述用户终端设备的第二硬件特征码,比对所述第一硬件特征码、第二硬件特征码,若一致,则进行步骤4;否则终止;步骤4:客户端获取所述用户证书,并将所述用户证书传输给认证服务器;步骤5:认证服务器验证所述用户证书的合法性,若认证通过,并将通过信息发送至客户端,进行步骤6;否则终止;步骤6:客户端将工控指令信息进行加密处理,得到加密的工控指令信息;步骤7:客户端将所述加密的工控指令信息进行隧道封装处理,得到数据包;步骤8:客户端将所述数据包传输给加密网关;步骤9:所述加密网关将所述数据包进行拆包、解密处理,得到解密的工控指令信息;步骤10:所述加密网关将所述解密的工控指令信息传输给OPC服务器。
【技术特征摘要】
1.一种工业用户身份认证和加密的方法,其特征在于,包括:步骤1:获取电子钥匙,所述电子钥匙包括用户证书、第一硬件特征码;步骤2:电子钥匙通过USB接口接入用户终端设备,并启动客户端;步骤3:客户端获取所述第一硬件特征码以及所述用户终端设备的第二硬件特征码,比对所述第一硬件特征码、第二硬件特征码,若一致,则进行步骤4;否则终止;步骤4:客户端获取所述用户证书,并将所述用户证书传输给认证服务器;步骤5:认证服务器验证所述用户证书的合法性,若认证通过,并将通过信息发送至客户端,进行步骤6;否则终止;步骤6:客户端将工控指令信息进行加密处理,得到加密的工控指令信息;步骤7:客户端将所述加密的工控指令信息进行隧道封装处理,得到数据包;步骤8:客户端将所述数据包传输给加密网关;步骤9:所述加密网关将所述数据包进行拆包、解密处理,得到解密的工控指令信息;步骤10:所述加密网关将所述解密的工控指令信息传输给OPC服务器。2.如权利要求1所述的一种工业用户身份认证和加密的方法,其特征在于,所述电子钥匙由证书授权中心统一管理;和/或,所述电子钥匙还包括:国家密码管理局批准的加密算法、用户基本信息,所述用户基本信息包括用户名、单位、部门、电话号码和邮箱地址。3.如权利要求1所述的一种工业用户身份认证和加密的方法,其特征在于,所述步骤9中还包括:加密网关对所述解密的工控指令信息记性过滤处理。4.如权利要求1所述的一种工业用户身份认证和加...
【专利技术属性】
技术研发人员:晏培,
申请(专利权)人:中京天裕科技北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。