本发明专利技术公开了一种用于工控系统的认证方法和装置,属于信息安全技术领域。该方法包括:接收终端发送的账号和账号对应的认证动态口令,账号与处于安全管理平台管辖范围的工控设备相对应,工控设备分属于不同的业务层级;获得账号的权限等级,账号的权限等级与工控设备所属业务层级对应;基于账号的权限等级对账号对应的认证动态口令进行认证,获得认证结果。该认证方法适用于工控系统,可以对访问工控系统的用户进行基于多级权限等级的身份认证,从而有效地阻挡非法用户对工控系统的访问,保护工控系统的核心设备。
A certification method and device for industrial control system
【技术实现步骤摘要】
一种用于工控系统的认证方法和装置
本专利技术涉及信息安全
,具体涉及一种用于工控系统的认证方法和装置。
技术介绍
工业控制系统(简称工控系统)是由各种自动化控制组件以及过程控制组件共同构成的、确保工业基础设施自动化运行的系统。工控系统作为国家工业基础设施的重要组成部分,其安全性已经成为涉及国家安全稳定的重要战略问题。身份认证是降低工控系统安全风险的有效手段之一。目前常用的身份认证方法包括用户名和密码认证、生物特征认证、动态口令认证等。但是这些身份认证方法均是针对IT系统设计的,而由于工控系统的控制对象是处于工控系统中的实体设备,其保护侧重点为实体设备的可用性,与IT系统侧重于保护系统数据不同,因此适用于IT系统的身份认证方法无法直接应用于工控系统。因此,需要一种适用于工控系统的身份认证方法,可以对访问工控系统的用户进行身份认证,从而有效阻挡非法用户对工控系统的未授权访问,保护工控系统的核心设备。
技术实现思路
为此,本专利技术提供一种认证方法和装置,以解决现有技术中由于工控系统与IT系统的保护侧重点不同,而导致IT系统的身份认证方法无法直接应用于工业控制系统的问题。为了实现上述目的,本专利技术第一方面提供一种用于工控系统的认证方法,应用于安全管理平台,该方法包括:接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。进一步地,所述接收终端发送的账号和所述账号对应的认证动态口令之前,还包括:设置口令更新阈值,初始化口令更新次数,根据所述账号权限等级生成对应的动态口令和认证基准动态值;将所述账号、口令更新阈值和口令更新次数下发至所述终端,将所述账号与所述账号对应的动态口令下发至用户。进一步地,所述基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,包括:所述账号的权限等级包括第一权限等级和第二权限等级;若所述账号的权限等级为所述第一权限等级,则基于所述认证动态口令计算验证动态值,比较所述验证动态值与所述账号对应的第一认证基准动态值是否一致,若一致则认证通过;若所述账号的权限等级为所述第二权限等级,则比较所述认证动态口令与所述账号对应的第二认证基准动态值是否一致,若一致则认证通过。进一步地,当所述账号对应的认证动态口令通过认证之后,还包括:若所述账号的权限等级为所述第一权限等级,则将所述账号对应的所述第一认证基准动态值更新为所述认证动态口令,并相应更新所述第二权限等级账号对应的所述动态口令和所述第二认证基准动态值;更新所述口令更新次数;将所述口令更新次数下发至所述终端,将所述账号和所述账号对应的且更新过的所述动态口令下发至用户。进一步地,所述更新所述口令更新次数之后,还包括:比较所述口令更新次数和所述口令更新阈值;若所述口令更新次数大于所述口令更新阈值时,重新初始化所述口令更新次数,并根据所述账号的权限等级重新生成所述账号对应的所述动态口令和所述认证基准动态值,再将所述口令更新次数下发至终端,将重新生成的与所述账号对应的动态口令下发至所述用户。进一步地,所述获得认证结果之后,还包括:将所述账号的认证信息和所述安全管理平台的操作日志上传区块链。为了实现上述目的,本专利技术第二方面提供一种用于工控系统的认证方法,应用于终端,该方法包括:接收用户的访问工控设备请求,所述访问工控设备请求包括账号和所述账号对应的动态口令,其中,所述账号和所述动态口令是由安全管理平台生成的;获得所述账号的权限等级,并根据所述账号权限等级获得所述账号对应的认证动态口令;将所述账号和所述账号对应的认证动态口令发送至所述安全管理平台,以进行认证。进一步地,所述根据所述账号权限等级获得所述账号对应的认证动态口令,包括:所述账号的权限等级包括第一权限等级和第二权限等级;若所述账号的权限等级为所述第一权限等级,则根据所述终端与所述安全管理平台预先约定的加密算法,基于所述动态口令计算获得所述账号对应的认证动态口令;若所述账号的权限等级为所述第二权限等级,则将所述账号对应的所述动态口令作为所述账号的认证动态口令。进一步地,所述将所述账号和所述账号对应的认证动态口令发送至所述安全管理平台,以进行认证之后,还包括:若所述账号的权限等级为第一权限等级且认证通过时,接收所述安全管理平台发送的口令更新次数和所述账号对应的且更新过的所述动态口令。为了实现上述目的,本专利技术第三方面提供一种用于工控系统的认证装置,应用于安全管理平台,该装置包括:接收模块,用于接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;权限获取模块,用于获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;认证模块,用于基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。本专利技术具有如下优点:本专利技术提供的用于工控系统的认证方法,安全管理平台接收终端发送的账号和账号对应的认证动态口令,并获得账号的权限等级,然后基于账号的权限等级对账号对应的认证动态口令进行认证,获得认证结果。该认证方法适用于工控系统,可以对访问工控系统的用户进行基于多级权限等级的身份认证,从而有效地阻挡非法用户对工控系统的访问,保护工控系统的核心设备。附图说明附图是用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本专利技术,但并不构成对本专利技术的限制。图1是本实施例提供的一种用于工控系统的认证方法的流程图;图2为本实施例提供的一种用于工控系统的认证方法的流程图;图3为本实施例提供的一种用于工控系统的认证装置的原理框图。具体实施方式以下结合附图对本专利技术的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术,并不用于限制本专利技术。本实施例提供的用于工控系统的认证方法和装置,是针对工控系统与IT系统保护侧重点不同导致的IT系统身份认证方法无法直接应用于工控系统的问题,专门设计的适用于工控系统的认证方法和对应的装置。该用于工控系统的认证方法和装置可以对访问工控系统的用户进行基于多级权限等级的身份认证,以阻挡非法用户对工控系统的访问。图1是本实施例提供的一种用于工控系统的认证方法的流程图,可用于安全管理平台。如图1所示,该用于工控系统的认证方法可包括如下步骤:步骤S101,接收终端发送的账号和账号对应的认证动态口令。其中,账号与处于安全管本文档来自技高网...
【技术保护点】
1.一种用于工控系统的认证方法,应用于安全管理平台,其特征在于,包括:/n接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;/n获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;/n基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。/n
【技术特征摘要】
1.一种用于工控系统的认证方法,应用于安全管理平台,其特征在于,包括:
接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;
获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;
基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。
2.根据权利要求1所述的用于工控系统的认证方法,其特征在于,所述接收终端发送的账号和所述账号对应的认证动态口令之前,还包括:
设置口令更新阈值,初始化口令更新次数,根据所述账号权限等级生成对应的动态口令和认证基准动态值;
将所述账号、口令更新阈值和口令更新次数下发至所述终端,将所述账号与所述账号对应的动态口令下发至用户。
3.根据权利要求1所述的用于工控系统的认证方法,其特征在于,所述基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,包括:
所述账号的权限等级包括第一权限等级和第二权限等级;
若所述账号的权限等级为所述第一权限等级,则基于所述认证动态口令计算验证动态值,比较所述验证动态值与所述账号对应的第一认证基准动态值是否一致,若一致则认证通过;
若所述账号的权限等级为所述第二权限等级,则比较所述认证动态口令与所述账号对应的第二认证基准动态值是否一致,若一致则认证通过。
4.根据权利要求3所述的用于工控系统的认证方法,其特征在于,当所述账号对应的认证动态口令通过认证之后,还包括:
若所述账号的权限等级为所述第一权限等级,则将所述账号对应的所述第一认证基准动态值更新为所述认证动态口令,并相应更新所述第二权限等级账号对应的所述动态口令和所述第二认证基准动态值;
更新所述口令更新次数;
将所述口令更新次数下发至所述终端,将所述账号和所述账号对应的且更新过的所述动态口令下发至用户。
5.根据权利要求4所述的用于工控系统的认证方法,其特征在于,所述更新所述口令更新次数之后,还包括:
比较所述口令更新次数和所述口令更新阈值;
若所述口令更新次数大于所述口令更新阈值时,重新初始化所述口令更新次数,并根据所...
【专利技术属性】
技术研发人员:李文杰,周桂英,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。