【技术实现步骤摘要】
一种DCS系统终端设备的可信性检验系统及方法
[0001]本专利技术属于分散控制系统可信
,特别涉及一种
DCS
系统终端设备的可信性检验系统及方法
。
技术介绍
[0002]近些年,越来越多的研究表明工业控制系统的安全问题,大多来自于内部终端设备而不是外部网络的入侵;有些企业的终端设备内网和外网隔离措施不到位,例如对移动存储设备
(U
盘和移动硬盘等
)
管理不当,从而容易造成机密信息泄露和遭受恶意破坏等情况;其次,企业内部员工拥有一定权限,而且工作环境便利,是保护信息安全过程中监管的难点
。
[0003]分散控制系统
(Distributed Control System
,
DCS)
是利用计算机技术对工业生产过程进行集中监视
、
操作
、
管理和分散控制的一种新型控制设备,其广泛的应用于电力等工业生产领域;随着电力系统的规模越来越大,结构越来越复杂,对电力设备的管理也日趋重要
。
[0004]目前,分散控制系统
(DCS)
中的终端设备在接入
DCS
系统的局域网时,仍然采用的是传统认证技术和认证协议;即,主要利用用户名和密码的形式来确定身份,身份认证通过后就可以顺利接入局域网;基于
TPM
芯片的可信计算技术可以保证终端的可信性,但是仍存在以下问题:首先,网络无法判断终端设备是否可信,无法拒绝在有账号密码 ...
【技术保护点】
【技术特征摘要】
1.
一种
DCS
系统终端设备的可信性检验系统,其特征在于,所述可信性检验系统的一端与待检验终端设备相连,另一端与
DCS
系统服务器相连;其中,所述可信性检验系统,包括:增强型身份验证模块,用于对待检验终端设备的身份信息进行双重验证;可信度量复验模块,用于对待检验终端设备进行可信度量或完整性度量的复验;动态实时可信检验模块,用于对待检验终端设备的自定义应用程序进行实时动态度量检测
。2.
根据权利要求1所述的一种
DCS
系统终端设备的可信性检验系统,其特征在于,所述增强型身份验证模块,包括第一重身份验证单元和第二重身份验证单元;所述第一重身份验证单元,用于基于
802.1X
协议的身份验证机制,对待检验终端设备的身份信息进行验证;所述第二重身份验证单元,用于基于移动密钥卡的身份验证机制,对待检验终端设备的身份信息进行验证
。3.
根据权利要求2所述的一种
DCS
系统终端设备的可信性检验系统,其特征在于,所述移动密钥卡采用非对称加密形式建立;其中,所述移动密钥卡中存储有公钥,服务器中存储有私钥;所述移动密钥卡通过
USB
接口与待检验终端设备进行连接
。4.
根据权利要求1所述的一种
DCS
系统终端设备的可信性检验系统,其特征在于,所述可信度量复验模块,包括终端判断单元
、
第一检测机制单元及第二检测机制单元;所述终端判断单元,用于判断待检验终端设备是否为内置有可信芯片的可信终端;若是,则触发第一检测机制单元动作;若非,则触发第二检测机制单元动作;所述第一检测机制单元,用于将待检验终端设备启动过程中的可信度量时的散列值与预存在服务器中的散列值进行校验;若校验一致,则可信度量复验通过;所述第二检测机制单元,用于接收并响应服务器发送的强制静态可信检验指令,针对待检验终端设备的系统程序或自定义的应用程序,基于
Hash
算法进行完整性校验;若完整性检验一致,则完整性度量的复验通过
。5.
根据权利要求4所述的一种
DCS
系统终端设备的可信性检验系统,其特征在于,判断待检验终端设备是否为内置有可信芯片的可...
【专利技术属性】
技术研发人员:曹桦松,高少华,张津,焦龙,张军,管磊,王鑫,程国栋,潘乐,柳曦,杨柳,杨渊,
申请(专利权)人:西安热工研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。