一种基于SM3和SM4通信加密的地铁综合监控系统技术方案

本发明专利技术涉及一种基于SM3和SM4通信加密的地铁综合监控系统，属于地铁监控技术领域。本发明专利技术包括密钥管理中心和若干个监控中心；各个监控中心之间通过综合监控系统主干网连接；每个监控中心均包括通过网络总线连接的工作站、FEP和服务器；工作站、FEP和服务器分别配有工作站端UKey、FEP端UKey和服务器端UKey；工作站、FEP和服务器上均设有安全中间件模块。本发明专利技术每次在需要启动监控程序时，都先通过工作站、FEP和服务器对应的UKey和安全中间件模块进行设备的自我认证，同时服务器端还需要经过针对操作员的用户认证，通过后，才能启动相应的监控程序，之后再进行密钥协商和数据加密通信。本发明专利技术能够高效地避免非法侵入的发生，提高地铁综合监控系统的安全性。

A subway integrated monitoring system based on SM3 and SM4 communication encryption

【技术实现步骤摘要】
一种基于SM3和SM4通信加密的地铁综合监控系统
本专利技术涉及一种基于SM3和SM4通信加密的地铁综合监控系统，属于地铁监控

技术介绍
地铁综合监控系统（ISCS）的主要功能包括对机电设备的实时集中监控功能和各系统之间协调联动功能两大部分。一方面，通过地铁综合监控系统可实现对电力设备、火灾报警信息及其设备、车站环控设备、区间环控设备、环境参数、屏蔽门设备、防淹门设备、电扶梯设备、照明设备、门禁设备、自动售检票设备、广播和闭路电视设备、乘客信息显示系统的播出信息和时钟信息等进行实时集中监视和控制的基本功能；另一方面，通过地铁综合监控系统，还可实现晚间非运营情况下、日间正常运营情况下、紧急突发情况下和重要设备故障情况下各相关系统设备之间协调互动等高级功能。因此，地铁综合监控系统对于地铁线路的综合运营极为重要。目前，非云化的地铁综合监控系统是分布式多层应用，最主要特征是各个车站均配置有节点服务器和几台工作站，这些分散在不同环境下的计算机设备通过双环冗余网络与监控中心主机房连成一个跨越整条线路的网络应用系统。正因如此，地铁综合监控系本文档来自技高网...

【技术保护点】
1.一种基于SM3和SM4通信加密的地铁综合监控系统，其特征在于，该地铁综合监控系统包括密钥管理中心和若干个监控中心；各个监控中心之间通过综合监控系统主干网连接；每个监控中心均包括通过网络总线连接的工作站、FEP和服务器；/n各个工作站、FEP和服务器分别配有工作站端UKey、FEP端UKey和服务器端UKey；/n各个工作站、FEP和服务器上均设有安全中间件模块；/n安全中间件模块包括底层的设备层、中层的密码服务层和上层的API接口层；设备层用于连接用户端UKey、工作站端UKey、FEP端UKey和/或服务器端UKey；密码服务层用于提供对称密码算法和非对称密码算法的密码运算功能；API接...

【技术特征摘要】
1.一种基于SM3和SM4通信加密的地铁综合监控系统，其特征在于，该地铁综合监控系统包括密钥管理中心和若干个监控中心；各个监控中心之间通过综合监控系统主干网连接；每个监控中心均包括通过网络总线连接的工作站、FEP和服务器；
各个工作站、FEP和服务器分别配有工作站端UKey、FEP端UKey和服务器端UKey；
各个工作站、FEP和服务器上均设有安全中间件模块；
安全中间件模块包括底层的设备层、中层的密码服务层和上层的API接口层；设备层用于连接用户端UKey、工作站端UKey、FEP端UKey和/或服务器端UKey；密码服务层用于提供对称密码算法和非对称密码算法的密码运算功能；API接口层用来受工作站、EFP和/或服务器的调用；
用户端UKey中存储有用户账号标识及其对应的私钥信息；工作站端UKey中存储有工作站的设备特征信息及其对应的私钥信息；FEP端UKey中存储有FEP的设备特征信息及其对应的私钥信息；服务器端UKey中存储有服务器的设备特征信息及其对应的私钥信息；
密钥管理中心包括SM9标识密码管理系统和SM9标识密码机，SM9标识密码管理系统与SM9标识密码机连接，用于计算生成用户端UKey、工作站端UKey、FEP端UKey和服务器端UKey中的私钥信息，并将该私钥信息写入到对应UKey中；
工作站、FEP和服务器中的任意两方进行通信时，其中一方为通信发起方，另一方为通信提供方；
通信发起方与通信提供方只有经过以下步骤，才能进行通信：
S11：通信发起方与通信提供方分别启动各自的监控程序；
S12：通信发起方与通信提供方使用存储在对应的UKey中的私钥信息进行密钥协商，根据协商结果派生出用于SM4加密通信的加密密钥SKey和用于SM3认证签名的认证秘钥AKey；
S13：通信发起方与通信提供方使用加密密钥SKey和认证秘钥AKey进行加密通信；
其中，只有完成工作站设备认证和用户认证后，工作站上的监控程序才能启动；只有完成FEP设备认证后，FEP上的监控程序才能启动；只有完成服务器设备认证后，FEP上的监控程序才能启动。


2.根据权利要求1的基于SM3和SM4通信加密的地铁综合监控系统，其特征在于，工作站设备认证包括以下步骤：
S21：工作站上的监控程序向对应的工作站端安全中间件模块发送工作站端挑战值；
S22：工作站端安全中间件模块根据对应的工作站端UKey上存储的私钥信息对工作站端挑战值进行加密生成工作站对应的签名，并传输给工作站上的监控程序；
S23：当工作站上的监控程序使用工作站的设备特征信息对工作站对应的签名完成签名验证时，完成工作站设备认证。


3.根据权利要求1的基于SM3和SM4通信加密的地铁综合监控系统，其特征在于，服务器设备认证包括以下步骤：
S31：FEP上的监控程序向对应的FEP端安全中间件模块发送FEP端挑战值；
S32：FEP端安全中间件模块根据对应的FEP端UKey上存储的私钥信息对FEP端挑战值加密生成FEP对应的签名，并传输给FEP上的监控程序；
S33：当FEP上的监控程序件使用FEP的设备特征信息对FEP对应的签名完成签名验证时，完成FEP设备认证。


4.根据权利要求1的基于SM3和SM4通信加密的地铁综合监控系统，其特征在于，服务器设备认证包括以下步骤：
S41：服务器上的监控程序向对应的服务器端...

【专利技术属性】
技术研发人员：赵晗，何治达，郑继平，温鑫，李明，郑博胜，李建峰，杨永峰，刘中峰，周天鸣，
申请(专利权)人：郑州地铁集团有限公司，河南辉煌城轨科技有限公司，
类型：发明
国别省市：河南;41