工业设备安全终端认证系统和认证方法技术方案

本发明专利技术公开了一种工业设备安全终端认证系统和认证方法，其中，安全终端通过标准串口与自助终端相连，安全终端与防护网关相连；安全终端用于采集自助终端的硬件信息，并针对每个自助终端生成一唯一的终端指纹码，并对终端指纹码进行加密和签名，并将加密和签名后的终端指纹码信息发送至防护网关；防护网关针对接收到的终端指纹码信息进行验签和解密，并将解密后的终端指纹码信息与本地预置的指纹信息进行对比，若对比成功则允许自助终端通信，若对比不成功则阻断自助终端通信。通过本发明专利技术的技术方案，从根本上解决自助终端设备的安全风险问题，确保自助终端的唯一合法性，且安全终端兼容性强、方便安装、即插即用。

【技术实现步骤摘要】
工业设备安全终端认证系统和认证方法
本专利技术涉及网络安全
，尤其涉及一种工业设备安全终端认证系统和一种工业设备安全终端认证方法。
技术介绍
目前，无人值守、自助终端、自助缴费这种无接触办公模式会成为一种趋势，各种营业厅各类服务类终端提供了越来越方便、快捷、人性化的服务，比如各级电力营业厅投运的各种服务类终端数量越来越多，同时涌现各式各样的网络终端设备。这些已投运的终端设备，在系统最初安全设计上已实现了软件级别的安全接入和防护，但由于目前安全防护措施相对薄弱以及黑客攻击手段不断增强，在将来营业厅各种智能化设备大规模部署后会致使点多面广、分布广泛的系统面临来自公网或专网的网络攻击风险，比如黑客偷偷更换终端设备的硬件部件，或者在硬件部件里面植入一些木马程序等，导致终端侧对用户的资金安全、个人隐私信息存在安全威胁。
技术实现思路
针对上述问题中的至少之一，本专利技术提供了一种工业设备安全终端认证系统，通过在自助终端设备上兼容安装安全终端，采集自助终端的硬件信息生成唯一的终端指纹码，并在加密和签名后发送至防护网关进行解密和验签，在对比判断到终端指纹码与预置的指纹信息不匹配时阻断自助终端的通信，从而从根本上解决自助终端设备的安全风险问题，确保自助终端的唯一合法性，且安全终端兼容性强、方便安装、即插即用。为实现上述目的，本专利技术提供了一种工业设备安全终端认证系统，应用于自助终端，包括安全终端和防护网关；所述安全终端通过标准串口与所述自助终端相连，所述安全终端与所述防护网关相连；所述安全终端用于采集所述自助终端的硬件信息，并针对每个所述自助终端生成一唯一的终端指纹码，并对所述终端指纹码进行加密和签名，并将加密和签名后的终端指纹码信息发送至所述防护网关；所述防护网关针对接收到的终端指纹码信息进行验签和解密，并将解密后的终端指纹码信息与本地预置的指纹信息进行对比，若对比成功则允许所述自助终端通信，若对比不成功则阻断所述自助终端通信。在上述技术方案中，优选地，所述安全终端用于生成基于噪声源的随机数，利用该随机数作为加密密钥对所述终端指纹码进行加密，并利用国密证书对加密数据进行签名。在上述技术方案中，优选地，所述安全终端和所述防护网关中分别预设有私钥和公钥，所述私钥和所述公钥构成密钥对，所述安全终端利用所述私钥对所述随机数进行加密，所述防护网关利用所述公钥对接收到的加密后的所述随机数进行解密。在上述技术方案中，优选地，所述防护网关本地预置有指纹白名单，所述指纹白名单中包括所述安全终端在安装过程中采集所述自助终端的硬件信息生成的终端指纹码。在上述技术方案中，优选地，所述安全终端采用SM4算法对所述终端指纹码进行加密，采用SM2证书对加密数据进行签名。本专利技术还提出一种工业设备安全终端认证方法，应用于如上述技术方案中任一项所述的工业设备安全终端认证系统，包括：采集自助终端的硬件信息，并生成终端指纹码；对所述终端指纹码进行加密和签名，并将加密和签名后的终端指纹码信息发送至防护网关；所述防护网关对接收到的所述终端指纹码信息进行解密和验签，如果验签成功且所述终端指纹码信息与本地预置的指纹信息匹配成功，则允许所述自助终端通信，否则阻断所述自助终端通信。在上述技术方案中，优选地，所述安全终端以基于噪声源的随机数作为加密密钥，对所述终端指纹码进行加密，以证书私钥对所述加密指纹进行签名，以私钥加密所述随机数，并将加密后的随机数和加密、签名后的所述终端指纹码发送至所述防护网关。在上述技术方案中，优选地，所述防护网关以与所述私钥相适配的公钥解密所述随机数，然后对所述签名进行验签，若验签失败则直接阻断所述自助终端的通信，若验签成功则以所述随机数继续解密所述终端指纹码信息，解密后将所述终端指纹码与本地预置的指纹白名单进行对比，判断所述终端指纹码是否与指纹白名单中的指纹信息相匹配，若不匹配则阻断所述自助终端的通信，若匹配则保持所述自助终端的通信。在上述技术方案中，优选地，所述安全终端采用SM4算法对所述终端指纹码进行加密，采用SM2证书对加密数据进行签名。在上述技术方案中，优选地，所述安全终端采集所述自助终端的CPU序列号、硬盘序列号、IP地址、MAC地址、内存大小及所述安全终端的硬件信息。与现有技术相比，本专利技术的有益效果为：通过在自助终端设备上兼容安装安全终端，采集自助终端的硬件信息生成唯一的终端指纹码，并在加密和签名后发送至防护网关进行解密和验签，在对比判断到终端指纹码与预置的指纹信息不匹配时阻断自助终端的通信，从而从根本上解决自助终端设备的安全风险问题，确保自助终端的唯一合法性，且安全终端兼容性强、方便安装、即插即用。附图说明图1为本专利技术一种实施例公开的工业设备安全终端认证系统的模拟拓扑结构示意图；图2为本专利技术一种实施例公开的工业设备安全终端认证方法的流程示意图；图3为本专利技术一种实施例公开的终端指纹码采集流程示意图；图4为本专利技术一种实施例公开的防护网关认证流程示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。下面结合附图对本专利技术做进一步的详细描述：如图1所示，根据本专利技术提供的一种工业设备安全终端认证系统，应用于自助终端，包括安全终端和防护网关；安全终端通过标准串口与自助终端相连，安全终端与防护网关相连；安全终端用于采集自助终端的硬件信息，并针对每个自助终端生成一唯一的终端指纹码，并对终端指纹码进行加密和签名，并将加密和签名后的终端指纹码信息发送至防护网关；防护网关针对接收到的终端指纹码信息进行验签和解密，并将解密后的终端指纹码信息与本地预置的指纹信息进行对比，若对比成功则允许自助终端通信，若对比不成功则阻断自助终端通信。在该实施例中，通过在自助终端设备上兼容安装安全终端，采集自助终端的硬件信息生成唯一的终端指纹码，并在加密和签名后发送至防护网关进行解密和验签，在对比判断到终端指纹码与预置的指纹信息不匹配时阻断自助终端的通信，从而从根本上解决自助终端设备的安全风险问题，确保自助终端的唯一合法性，且安全终端兼容性强、方便安装、即插即用。在上述实施例中，优选地，安全终端用于生成基于噪声源的随机数，利用该随机数作为加密密钥对终端指纹码进行加密，并利用国密证书对加密数据进行签名。其中，证书由专门的CA系统签发，一套安全终端认证系统使用一个密钥对，在生成一组密钥对后，通过硬件接口将私钥写入并固化于安全终端中，公钥导入防护网关中。安全终端在自助终端上运行指纹采集程序，该程序根据自助终端上的CPU序列号、硬盘序列号、IP地址、MAC地址、内存大小及安全终端的硬件信息生成具有唯一性的终端指纹码，并提供给防护网关，防护网本文档来自技高网...

【技术保护点】
1.一种工业设备安全终端认证系统，应用于自助终端，其特征在于，包括安全终端和防护网关；/n所述安全终端通过标准串口与所述自助终端相连，所述安全终端与所述防护网关相连；/n所述安全终端用于采集所述自助终端的硬件信息，并针对每个所述自助终端生成一唯一的终端指纹码，并对所述终端指纹码进行加密和签名，并将加密和签名后的终端指纹码信息发送至所述防护网关；/n所述防护网关针对接收到的终端指纹码信息进行验签和解密，并将解密后的终端指纹码信息与本地预置的指纹信息进行对比，若对比成功则允许所述自助终端通信，若对比不成功则阻断所述自助终端通信。/n

【技术特征摘要】
1.一种工业设备安全终端认证系统，应用于自助终端，其特征在于，包括安全终端和防护网关；
所述安全终端通过标准串口与所述自助终端相连，所述安全终端与所述防护网关相连；
所述安全终端用于采集所述自助终端的硬件信息，并针对每个所述自助终端生成一唯一的终端指纹码，并对所述终端指纹码进行加密和签名，并将加密和签名后的终端指纹码信息发送至所述防护网关；
所述防护网关针对接收到的终端指纹码信息进行验签和解密，并将解密后的终端指纹码信息与本地预置的指纹信息进行对比，若对比成功则允许所述自助终端通信，若对比不成功则阻断所述自助终端通信。


2.根据权利要求1所述的工业设备安全终端认证系统，其特征在于，所述安全终端用于生成基于噪声源的随机数，利用该随机数作为加密密钥对所述终端指纹码进行加密，并利用国密证书对加密数据进行签名。


3.根据权利要求2所述的工业设备安全终端认证系统，其特征在于，所述安全终端和所述防护网关中分别预设有私钥和公钥，所述私钥和所述公钥构成密钥对，所述安全终端利用所述私钥对所述随机数进行加密，所述防护网关利用所述公钥对接收到的加密后的所述随机数进行解密。


4.根据权利要求1所述的工业设备安全终端认证系统，其特征在于，所述防护网关本地预置有指纹白名单，所述指纹白名单中包括所述安全终端在安装过程中采集所述自助终端的硬件信息生成的终端指纹码。


5.根据权利要求1所述的工业设备安全终端认证系统，其特征在于，所述安全终端采用SM4算法对所述终端指纹码进行加密，采用SM2证书对加密数据进行签名。


6.一种工业设备安全终端认证方法，其特征...

【专利技术属性】
技术研发人员：晏培，胡鹏飞，
申请(专利权)人：中京天裕科技北京有限公司，
类型：发明
国别省市：北京;11