面向工业控制系统认证和数据交互的方法、系统及终端技术方案

本发明专利技术属于工业互联网技术领域，公开了一种面向工业控制系统认证和数据交互的方法、系统及终端，方法包括：初始化时，工业控制系统企业区的设备创建公私钥对；工业安全认证系统为设备创建设备指纹，工业安全认证系统分别建立自身的企业区设备信任列表以及工业区设备信任列表；采用三级密钥体系、动态密钥、专钥专用、国产加密算法、数字签名技术与设备信任列表相结合的方式，实现工业控制系统的设备认证以及数据交互。本发明专利技术保证通信双方都是经过认证且可信的设备，实现IT与OT之间安全的信息共享，避免企业区与工业设备区进行直接的网络访问；工业区设备仅会通过本系统与外界建立通信，为易受攻击的工业区提供高级别的防护。为易受攻击的工业区提供高级别的防护。为易受攻击的工业区提供高级别的防护。

【技术实现步骤摘要】
面向工业控制系统认证和数据交互的方法、系统及终端


[0001]本专利技术属于工业互联网
，尤其涉及一种面向工业控制系统认证和数据交互的方法、系统及终端。

技术介绍

[0002]目前，工业互联网的不断发展促使工业控制系统与互联网之前的联系越来越密切，IT网络与OT网络已逐渐开始融合。如今的工业控制系统已经暴露在网络攻击的威胁之下，无论国内还是国外对于工业控制系统的攻击频频发生。现有的工业控制系统中的企业区的互联网设备与工业区设备通过DMZ区进行数据交互，恶意攻击容易导致DMZ区的安全机制被破坏，从而导致工业区设备被攻击。因此，亟需设计一种新的工业控制系统认证和数据交互方法。
[0003]通过上述分析，现有技术存在的问题及缺陷为：工业网络与企业网络在通信时，容易被攻击者攻击；现有工业控制系统缺乏对申请访问端进行完善且复杂的身份认证，对数据的安全交换算法不够复杂，密钥更新不及时容易被攻击者有机可乘。

技术实现思路

[0004]针对现有技术存在的问题，本专利技术提供了一种面向工业控制系统认证和数据交互的方法、系统、设备及终端。
[0005]本专利技术是这样实现的，一种面向工业控制系统认证和数据交互的方法，所述面向工业控制系统认证和数据交互的方法包括：在企业网络和工业控制网络在通信时建立访问控制机制，同时建立企业以及工业端的可信设备列表，以可信设备列表为细粒度访问策略以及双重身份验证策略，并以三级密钥体系、动态密钥、专钥专用、国产加密算法及数字签名技术相结合的方式实现工业控制系统的设备认证以及安全的数据交互。
[0006]进一步，所述面向工业控制系统认证和数据交互的方法还包括：企业区设备首次认证时工业安全认证系统确保请求访问的设备是可信的，并给企业区设备颁发密钥K1；二次认证时，企业区设备生成会话密钥K2，工业安全认证系统对数字签名进行验签，确保颁发的密钥K1是否有效，同时验证企业区设备是否可信；通过验证后工业安全认证系统将指令转发给相应的工业区设备，得到返回数据后使用会话密钥K2进行加密，并对原始数据计算摘要生成数字签名后再发送给企业区设备；企业区设备接收到数据后进行解密，得到原始数据后做摘要；对数字签名进行验签，若相同则数据有效，若不同则数据无效。
[0007]进一步，所述面向工业控制系统认证和数据交互的方法具体包括以下步骤：
[0008]步骤一，工业安全认证系统初始化时，建立一个客户端信任列表以及设备信任列表，企业区设备预置工业区设备指纹以及设备信息；
[0009]步骤二，企业区客户端使用工业安全认证系统的公钥对原始数据进行加密，并对原始数据做摘要生成数字签名后，发送给工业安全认证系统；
[0010]步骤三，工业安全认证系统在接收到数据包后使用私钥对数据进行解密并验证数
字签名；若有效且设备信息合法，则授权访问并返回密钥K1并临时存储在本地；
[0011]步骤四，企业区设备生成会话密钥K2，使用密钥K2对原始数据加密得到密文数据P1；对原始数据做摘要并使用私钥进行加密，生成数字签名；使用密钥K1对会话密钥K2加密后再使用工业安全认证系统的公钥加密得到密文数据P2，并发送给工业安全认证系统；
[0012]步骤五，工业安全认证系统使用私钥解密密文数据P2得到中间密文，再使用密钥K1解密得到会话密钥K2；使用K2解密密文数据P1；验证数字签名，并判断目标设备是否合法，最后丢弃密钥K1；
[0013]步骤六，工业安全认证系统将指令数据转发给相应的工业区设备，工业区设备根据指令计算的到数据返回给工业安全认证系统；
[0014]步骤七，工业安全认证系统使用会话密钥K2对设备返回原始数据进行加密，并对原始数据做摘要生成数字签名，最后丢弃K2；
[0015]步骤八，企业区设备使用密钥K2对密文数据进行解密的到原始数据，并对原始数据做摘要；对数字签名验签，如果相同则数据有效，若不同则丢弃。
[0016]进一步，步骤一中的客户端信任列表为企业区，设备信任列表为工业区；
[0017]进一步，步骤一中的工业安全认证系统初始化包括：
[0018](1)ICS企业区的每一台与工业区进行数据交互的设备创建公私钥对；
[0019](2)工业安全认证系统创建自身的公私钥对，为企业区的设备生成设备指纹，并存储在对应设备中；
[0020](3)工业安全认证系统建立自身的企业区设备信任列表，信任列表存储的是键值对，键是企业区设备的设备指纹，值对应设备的公钥以及访问次数；
[0021](4)工业安全认证系统建立自身的工业区设备信任列表，信任列表存储的是信任列表存储的是键值对，键是工业区设备的设备指纹，值对应设备信息；
[0022](5)企业区设备预置可访问的工业区设备指纹及设备信息。
[0023]进一步，步骤二中的原始数据包括访问设备指纹和访问次数。
[0024]进一步，步骤三中的设备信息包括设备指纹和访问次数。
[0025]进一步，步骤四中的原始数据包括目标设备指纹和指令数据。
[0026]进一步，工业控制系统认证方法包括：
[0027](1)企业区设备使用工业安全认证系统的公钥对设备信息使用SM2加密算法进行加密得到加密数据，并使用SM3加密算法得到原始数据的摘要信息M1；使用私钥进行签名，发送给工业安全认证系统；
[0028](2)工业安全认证系统接收到加密数据之后，使用自身的私钥对数据进行解密得到原始数据，并使用SM3算法对原始数据做摘要信息M2；对比摘要信息M1与M2，如果不同则丢弃此次请求，若相同则去自身的企业区设备信任列表查找设备的信息以及访问次数，并获取到该设备的公钥；若存在且合法则根据A端设备指纹、访问次数、时间戳和随机数拼接生成密钥K1，若不存在则丢弃请求；使用企业区设备公钥对密钥K1做SM4加密后返回给企业区，最后密钥K1并临时存储在工业安全认证系统本地；
[0029](3)企业区设备接收到返回的密钥密文数据之后证明已经建立连接，使用私钥对密文数据进行解密得到密钥K1，根据自身设备指纹、C端目标设备指纹、访问次数、时间戳和随机数拼接生成会话密钥K2；使用密钥K2对原始数据做SM4加密得到密文数据P1，并对原始
数据做SM3加密得到摘要信息后，仅用私钥进行签名；使用密钥K1对会话密钥做SM4加密，再使用工业安全认证系统的公钥做SM2加密得到密文数据P2，最后将密文数据P1以及P2发送给工业安全认证系统；
[0030](4)工业安全认证系统接收到加密数据后，使用本身的私钥对密文数据P2进行解密得到中间数据，再使用密钥K1对中间数据解密得到会话密钥K2；使用会话密钥解密密文数据P1，得到目标设备指纹以及指令数据；对数字签名进行验签，校验目标设备是否合法，最后丢弃密钥K1；
[0031](5)工业安全认证系统在认证成功后，系统将请求指令转发给企业区设备申请访问的工业区设备；工业区设备接收到指令后返回原始数据给工业安全认证系统，工业安全本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向工业控制系统认证和数据交互的方法，其特征在于，所述面向工业控制系统认证和数据交互的方法包括：在企业网络和工业控制网络在通信时建立访问控制机制，同时建立企业以及工业端的可信设备列表，以可信设备列表为核心的细粒度访问策略以及双重身份验证策略，并以三级密钥体系、动态密钥、专钥专用、国产加密算法及数字签名技术相结合的方式实现工业控制系统的设备认证以及安全的数据交互。2.如权利要求1所述的面向工业控制系统认证和数据交互的方法，其特征在于，所述面向工业控制系统认证和数据交互的方法还包括：企业区设备首次认证时工业安全认证系统确保请求访问的设备是可信的，并给企业区设备颁发密钥K1；二次认证时，企业区设备生成会话密钥K2，工业安全认证系统对数字签名进行验签，确保颁发的密钥K1是否有效，同时验证企业区设备是否可信；通过验证后工业安全认证系统将指令转发给相应的工业区设备，得到返回数据后使用会话密钥K2进行加密，并对原始数据计算摘要生成数字签名后再发送给企业区设备；企业区设备接收到数据后进行解密，得到原始数据后做摘要；对数字签名进行验签，若相同则数据有效，若不同则数据无效。3.如权利要求1所述的面向工业控制系统认证和数据交互的方法，其特征在于，所述面向工业控制系统认证和数据交互的方法具体包括以下步骤：步骤一，工业安全认证系统初始化时，建立一个客户端信任列表以及设备信任列表，企业区设备预置工业区设备指纹以及设备信息；步骤二，企业区客户端使用工业安全认证系统的公钥对原始数据进行加密，并对原始数据做摘要生成数字签名后，发送给工业安全认证系统；步骤三，工业安全认证系统在接收到数据包后使用私钥对数据进行解密并验证数字签名；若有效且设备信息合法，则授权访问并返回密钥K1并临时存储在本地；步骤四，企业区设备生成会话密钥K2，使用密钥K2对原始数据加密得到密文数据P1；对原始数据做摘要并使用私钥进行加密，生成数字签名；使用密钥K1对会话密钥K2加密后再使用工业安全认证系统的公钥加密得到密文数据P2，并发送给工业安全认证系统；步骤五，工业安全认证系统使用私钥解密密文数据P2得到中间密文，再使用密钥K1解密得到会话密钥K2；使用K2解密密文数据P1；验证数字签名，并判断目标设备是否合法，最后丢弃密钥K1；步骤六，工业安全认证系统将指令数据转发给相应的工业区设备，工业区设备根据指令计算的到数据返回给工业安全认证系统；步骤七，工业安全认证系统使用会话密钥K2对设备返回原始数据进行加密，并对原始数据做摘要生成数字签名，最后丢弃K2；步骤八，企业区设备使用密钥K2对密文数据进行解密的到原始数据，并对原始数据做摘要；对数字签名验签，如果相同则数据有效，若不同则丢弃。4.如权利要求3所述的面向工业控制系统认证和数据交互的方法，其特征在于，步骤一中的客户端信任列表为企业区，设备信任列表为工业区；步骤二中的原始数据包括访问设备指纹和访问次数；步骤三中的设备信息包括设备指纹和访问次数；步骤四中的原始数据包括目标设备指纹和指令数据。
5.如权利要求3所述的面向工业控制系统认证和数据交互的方法，其特征在于，步骤一中的工业安全认证系统初始化包括：(1)ICS企业区的每一台与工业区进行数据交互的设备创建公私钥对；(2)工业安全认证系统创建自身的公私钥对，为企业区的设备生成设备指纹，并存储在对应设备中；(3)工业安全认证系统建立自身的企业区设备信任列表，信任列表存储的是键值对，键是企业区设备的设备指纹，值对应设备的公钥以及访问次数；(4)工业安全认证系统建立自身的工业区设备信任列表，信任列表存储的是信任列表存储的是键值对，键是工业区设备的设备指纹，值对应设备信息；(5)企业区设备预置可访问的工业区设备指纹及设备信息。6.如权利要求3所述的面向工业...

【专利技术属性】
技术研发人员：李凯玺，钟志峰，李房斌，易慧，邓赛南，宋虎，
申请(专利权)人：北京成鑫盈通科技有限公司，
类型：发明
国别省市：