【技术实现步骤摘要】
面向工业控制系统认证和数据交互的方法、系统及终端
[0001]本专利技术属于工业互联网
,尤其涉及一种面向工业控制系统认证和数据交互的方法、系统及终端。
技术介绍
[0002]目前,工业互联网的不断发展促使工业控制系统与互联网之前的联系越来越密切,IT网络与OT网络已逐渐开始融合。如今的工业控制系统已经暴露在网络攻击的威胁之下,无论国内还是国外对于工业控制系统的攻击频频发生。现有的工业控制系统中的企业区的互联网设备与工业区设备通过DMZ区进行数据交互,恶意攻击容易导致DMZ区的安全机制被破坏,从而导致工业区设备被攻击。因此,亟需设计一种新的工业控制系统认证和数据交互方法。
[0003]通过上述分析,现有技术存在的问题及缺陷为:工业网络与企业网络在通信时,容易被攻击者攻击;现有工业控制系统缺乏对申请访问端进行完善且复杂的身份认证,对数据的安全交换算法不够复杂,密钥更新不及时容易被攻击者有机可乘。
技术实现思路
[0004]针对现有技术存在的问题,本专利技术提供了一种面向工业控制系统认证和数据交互的方法、系统、设备及终端。
[0005]本专利技术是这样实现的,一种面向工业控制系统认证和数据交互的方法,所述面向工业控制系统认证和数据交互的方法包括:在企业网络和工业控制网络在通信时建立访问控制机制,同时建立企业以及工业端的可信设备列表,以可信设备列表为细粒度访问策略以及双重身份验证策略,并以三级密钥体系、动态密钥、专钥专用、国产加密算法及数字签名技术相结合的方式实现工业控制系统的设备认证 ...
【技术保护点】
【技术特征摘要】
1.一种面向工业控制系统认证和数据交互的方法,其特征在于,所述面向工业控制系统认证和数据交互的方法包括:在企业网络和工业控制网络在通信时建立访问控制机制,同时建立企业以及工业端的可信设备列表,以可信设备列表为核心的细粒度访问策略以及双重身份验证策略,并以三级密钥体系、动态密钥、专钥专用、国产加密算法及数字签名技术相结合的方式实现工业控制系统的设备认证以及安全的数据交互。2.如权利要求1所述的面向工业控制系统认证和数据交互的方法,其特征在于,所述面向工业控制系统认证和数据交互的方法还包括:企业区设备首次认证时工业安全认证系统确保请求访问的设备是可信的,并给企业区设备颁发密钥K1;二次认证时,企业区设备生成会话密钥K2,工业安全认证系统对数字签名进行验签,确保颁发的密钥K1是否有效,同时验证企业区设备是否可信;通过验证后工业安全认证系统将指令转发给相应的工业区设备,得到返回数据后使用会话密钥K2进行加密,并对原始数据计算摘要生成数字签名后再发送给企业区设备;企业区设备接收到数据后进行解密,得到原始数据后做摘要;对数字签名进行验签,若相同则数据有效,若不同则数据无效。3.如权利要求1所述的面向工业控制系统认证和数据交互的方法,其特征在于,所述面向工业控制系统认证和数据交互的方法具体包括以下步骤:步骤一,工业安全认证系统初始化时,建立一个客户端信任列表以及设备信任列表,企业区设备预置工业区设备指纹以及设备信息;步骤二,企业区客户端使用工业安全认证系统的公钥对原始数据进行加密,并对原始数据做摘要生成数字签名后,发送给工业安全认证系统;步骤三,工业安全认证系统在接收到数据包后使用私钥对数据进行解密并验证数字签名;若有效且设备信息合法,则授权访问并返回密钥K1并临时存储在本地;步骤四,企业区设备生成会话密钥K2,使用密钥K2对原始数据加密得到密文数据P1;对原始数据做摘要并使用私钥进行加密,生成数字签名;使用密钥K1对会话密钥K2加密后再使用工业安全认证系统的公钥加密得到密文数据P2,并发送给工业安全认证系统;步骤五,工业安全认证系统使用私钥解密密文数据P2得到中间密文,再使用密钥K1解密得到会话密钥K2;使用K2解密密文数据P1;验证数字签名,并判断目标设备是否合法,最后丢弃密钥K1;步骤六,工业安全认证系统将指令数据转发给相应的工业区设备,工业区设备根据指令计算的到数据返回给工业安全认证系统;步骤七,工业安全认证系统使用会话密钥K2对设备返回原始数据进行加密,并对原始数据做摘要生成数字签名,最后丢弃K2;步骤八,企业区设备使用密钥K2对密文数据进行解密的到原始数据,并对原始数据做摘要;对数字签名验签,如果相同则数据有效,若不同则丢弃。4.如权利要求3所述的面向工业控制系统认证和数据交互的方法,其特征在于,步骤一中的客户端信任列表为企业区,设备信任列表为工业区;步骤二中的原始数据包括访问设备指纹和访问次数;步骤三中的设备信息包括设备指纹和访问次数;步骤四中的原始数据包括目标设备指纹和指令数据。
5.如权利要求3所述的面向工业控制系统认证和数据交互的方法,其特征在于,步骤一中的工业安全认证系统初始化包括:(1)ICS企业区的每一台与工业区进行数据交互的设备创建公私钥对;(2)工业安全认证系统创建自身的公私钥对,为企业区的设备生成设备指纹,并存储在对应设备中;(3)工业安全认证系统建立自身的企业区设备信任列表,信任列表存储的是键值对,键是企业区设备的设备指纹,值对应设备的公钥以及访问次数;(4)工业安全认证系统建立自身的工业区设备信任列表,信任列表存储的是信任列表存储的是键值对,键是工业区设备的设备指纹,值对应设备信息;(5)企业区设备预置可访问的工业区设备指纹及设备信息。6.如权利要求3所述的面向工业...
【专利技术属性】
技术研发人员:李凯玺,钟志峰,李房斌,易慧,邓赛南,宋虎,
申请(专利权)人:北京成鑫盈通科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。