CN105471901A - 一种工业信息安全认证系统 - Google Patents
一种工业信息安全认证系统 Download PDFInfo
- Publication number
- CN105471901A CN105471901A CN201511019175.8A CN201511019175A CN105471901A CN 105471901 A CN105471901 A CN 105471901A CN 201511019175 A CN201511019175 A CN 201511019175A CN 105471901 A CN105471901 A CN 105471901A
- Authority
- CN
- China
- Prior art keywords
- key
- algorithm engine
- management
- key management
- information security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种工业信息安全认证系统,所述系统包括密钥管理认证系统、安全模块、网络数据加密器和双因素接入认证终端。本发明所述的工业信息安全认证系统主要用于防止非法访问、防止数据被非法篡改与毁坏、防止非法窃取数据和防止非法操作。本发明所述的工业信息安全认证系统实现了对终端设备的注册,认证,管理。实现“合法终端访问合法网络”“合法的平台管理合法的设备”的目标,对防止“信息未经过授权使用和误用起到支撑作用”。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种工业信息安全认证系统。
背景技术
随着信息化的发展和工业化进程的加速,企业信息化、综合自动化的程度逐渐深入,计算机网络技术被越来越多地应用于工业控制系统。在为工业生产带来极大效益的同时,也使得针对工业控制系统的攻击行为出现大幅度的增长,因此,工业控制系统对信息安全的需求变得更加迫切。
在工业基础设施中,关键工业控制系统引发的安全事件不仅会导致系统性能下降、系统可用性降低、关键控制数据被篡改或丧失、系统失去控制,影响生产安全并导致严重经济损失,而且还有可能会进一步导致人员伤亡、环境灾难等,危及公众生活甚至国家安全。
当前数据采集与监控SCADA、DCS、PLC、RTU等工业控制系统广泛应用到工业、石油、市政、交通等领域,一旦出现信息泄露,将对我国工业生产和经济造成极大的安全威胁。同时工控系统越来越多采用通用协议,工控设备可以以各种方式连接到互联网,病毒、木马正在想工控系统扩散,使得针对工业控制系统的攻击行为出现的大幅度增长,工业控制系统对信息安全的管理需求变得更加迫切。
当前国内工控系统中在信息安全方面主要是借鉴传统信息安全的防护手段,在网络层上增加防火墙,IDS等安全设备。但是这些安全设备所采用的操作系统、底层算法等等都是来自国外厂商。通过棱镜门实践、网震事件告诉我们,国外厂商的软件和硬件大都留有后门。同时对工控系统而言,大都通过制造一种错误场景,利用正常的数据指令,而引发一系列的不可挽救的错误。
现有工控系统的安全防护技术注意力更多放在服务器和网络的保护上,而忽略了对设备的身份鉴别,数据传输方面的防护措施不多,主要的问题有:设备的非法接入问题、协议开放问题、数据明文传输问题、非法操作问题和网络脆弱性问题。工业现场的重要控制指令一旦被截取,将对工控系统造成很大的威胁。工控信息安全认证系统从数据传输和通讯网络上进行封装处理,可以很好的保护工控系统的运行安全。
因此,工业控制系统的安全运行是确保国家关键基础设施正常运行的重要基础,是系统全生命周期内始终需要关注的重要指标。
发明内容
针对上述现有技术的缺陷,本发明所述的工业信息安全认证系统实现了对终端设备的注册,认证,管理。实现“合法终端访问合法网络”“合法的平台管理合法的设备”的目标,对防止“信息未经过授权使用和误用起到支撑作用”。
本发明提供一种工业信息安全认证系统,所述系统包括密钥管理认证系统、安全模块、网络数据加密器和双因素接入认证终端,其中,所述密钥管理认证系统用于对密钥的管理,进行密钥的生成、分配、存储、备份、恢复、下发、更新、吊销和销毁;所述安全模块用于实现数据的加解密、密钥保存、数字证书的解析;所述网络数据加密器用于与远端认证服务器建立数据传输通道,同时加密或者解密传输的数据;所述双因素接入认证终端用于管理员站或操作员站的接入管理控制;所述密钥管理认证系统分别与所述安全模块、所述网络数据加密器和所述双因素认证终端连接。
上述方案中优选的是,所述密钥管理认证系统包括加密机、密钥管理系统和设备接入管理模块,其中,所述密钥管理系统分别与所述加密机和所述设备接入管理模块连接。
上述方案中优选的是,所述密钥管理系统包括数字证书管理、角色权限管理和密钥管理,其中,所述密钥管理分别与所述数字证书管理和所述角色权限管理连接。
上述方案中优选的是,所述安全模块包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、核心处理器、密钥保存单元、芯片操作系统、SPI通讯和USB通信,其中,所述核心处理器分别与所述SM1算法引擎、所述SM2算法引擎、所述SM3算法引擎、所述SM4算法引擎、所述密钥保存单元、所述芯片操作系统、所述SPI通讯和所述USB通信连接。
上述方案中优选的是,所述网络数据加密器包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、工业以太网接口、操作系统、核心处理器、存储器和USB通信,其中,所述核心处理器分别与所述SM1算法引擎、所述SM2算法引擎、所述SM3算法引擎、所述SM4算法引擎、所述工业以太网接口、所述操作系统、所述存储器和所述USB通信连接。
上述方案中优选的是,所述双因素接入认证终端包括指纹识别器、国密算法芯片、USB通信、认证管理模块和操作系统,其中,所述操作系统分别与所述指纹识别器、所述国密算法芯片、所述USB通信和所述认证管理模块连接。
本发明所述的工业信息安全认证系统主要用于:一、防止非法访问,在没有通过密钥管理系统注册认证的设备,设备无法实现与平台信息交互;二、防止数据被非法篡改与毁坏,保证数据的秘密性,完整性;三、防止非法窃取数据,通过数据加密、数据签名等方式,保证数据加密存储;四、防止非法操作,采用双因素认证的方式,当系统对操作员的身份权限确认后,才允许操作员进行下一步的操作。
附图说明
图1为本发明所述的工业信息安全认证系统的结构示意图。
图2为本发明所述的工业信息安全认证系统的密钥管理认证系统的结构示意图。
图3为本发明所述的工业信息安全认证系统的密钥管理系统的结构示意图。
图4为本发明所述的工业信息安全认证系统的安全模块的结构示意图。
图5为本发明所述的工业信息安全认证系统的网络数据加密器的结构示意图。
图6为本发明所述的工业信息安全认证系统的双因素接入认证终端的结构示意图。
图7为本发明所述的工业信息安全认证系统的应用实例的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
图1为本发明所述的工业信息安全认证系统的结构示意图。本发明所述的101工业信息安全认证系统以国密算法为技术核心,包括密钥管理认证系统、安全模块、网络数据加密器和双因素接入认证终端。
图2为本发明所述的工业信息安全认证系统的密钥管理认证系统的结构示意图。图3为本发明所述的工业信息安全认证系统的密钥管理系统的结构示意图。其中,201密钥管理认证系统包括加密机、密钥管理系统和设备接入管理模块,301密钥管理系统包括数字证书管理、角色权限管理和密钥管理。
图4为本发明所述的工业信息安全认证系统的安全模块的结构示意图。401安全模块包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、核心处理器、密钥保存单元、芯片操作系统、SPI通讯和USB通信。
图5为本发明所述的工业信息安全认证系统的网络数据加密器的结构示意图。501网络数据加密器包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、工业以太网接口、操作系统、核心处理器、存储器和USB通信。
图6为本发明所述的工业信息安全认证系统的双因素接入认证终端的结构示意图。601双因素接入认证终端包括指纹识别器、国密算法芯片、USB通信、认证管理模块和操作系统。
所述密钥管理认证系统由加密机、密钥管理系统和设备接入管理模块,三个部分组成。所述密钥管理系统主要负责对密钥的管理,通过调用加密机中的密码算法模块实现密钥的生成和备份,同时密钥管理系统还实现了对设备密钥的分配、恢复、下发、更新、吊销和销毁。所述设备接入管理模块主要负责对系统接入设备的注册认证,通过双向认证过程,实现合法设备访问平台,合法的平台访问合法的设备,保障整体系统的信息安全。
所述安全模块有SM1、SM2、SM3、SM4硬件算法引擎以及芯片操作系统,主控制器组成,安全模块具有丰富的外围数据接口,如SPI,USB、Uart等接口,内部还有密钥存储单元,在系统中用于PLC或DCS控制器中,作为密码技术的核心,PLC/DCS通过电气接口与安全模块通信,实现数据的加解密、密钥保存、数字证书的解析。
所述网络数据加密器网络数据加密器的总体设计思想是:以核心处理器为中心,辅以强大功能的外围数字电路模块,使网络数据加密器能够与远端认证服务器建立安全数据传输通道,并同时加密或者解密传输的数据。采用无IP连接技术,可以实现方便的应用到工业以太网络中做加密设备,保证传输数据的机密性,完整性。
所述双因素接入认证终端由指纹识别器、国密算法芯片、USB通信单元、认证管理软件组成,用于管理员站、操作员站的接入管理控制。采用免驱的USB接口与主机通信,主机安装认证管理软件,双因素接入认证终端的指纹识别器与认证管理软件交互实现操作员身份的识别,并可以记录操作员操作行为。认证管理软件根据双因素认证终端配置的身份信息,可以对操作员操作权限给予授权,防止非法操作,比如对非法修改远程交换机配置。
本发明所述的工业信息安全认证系统的工作原理为:
首先,建立密钥管理认证系统。
建立所述密钥管理认证系统需要生成密钥,首先生成总控密钥、业务主密钥和一级管理密钥。其中,总控密钥是通过四个根密钥种子生成根密钥,业务主密钥是由总控密钥和业务信息生成不同的业务密钥,一级管理密钥的业务密钥是通过业务主密钥和区域分散因子生成。
启动所述密钥管理认证系统,确定所述加密机的正常通讯。包括,对各类算法、随机数进行自检运算,对管理的各类设备初始化,对其在线情况和密钥情况进行遍历,如对密码模块、U-key类、网络数据加密器等设备进行遍历,获取各个业务模块的密钥存储列表。
第二、运行密钥管理认证系统。
所述密钥管理认证系统的功能包括但不限于密钥的生成、分配、存储、备份、恢复、下发、更新、吊销和销毁。
根据应用的业务不同分为组织结构的管理。用户可以按照操作员、管理员、密钥管理员等不同角色登录。为了便于操作的可追溯性,优选地,设置日志管理,包括操作日志管理和密钥日志管理。
第三、所述密钥管理认证系统对所述安全模块进行授权管理。
所述安全模块出厂之前,要经过所述密钥管理认证系统备案注册,通过密钥管理认证系统获取模块的编号并进行记录,然后给安全模块下发数字证书,最后激发安全模块生成非对称密钥,密钥管理认证系统获取安全模块的公钥,并通过业务密钥生成其模块主密钥并灌入所述安全模块内。
第四、所述密钥管理认证系统对所述网络数据加密器进行授权管理。
所述网络数据加密器出厂之前要经过密钥管理认证系统备案注册,通过密钥管理认证系统获取网络数据加密器的编号并进行记录。然后给网络数据加密器下发数字证书,网络数据加密器对数字证书进行保存,密钥管理认证系统激发网络数据加密器生成非对称密钥,密钥管理认证系统获取网络数据加密器的公钥,并通过业务密钥生成网络数据加密器的主密钥并灌入其中。
第五、所述密钥管理认证系统对双因素接入认证终端进行授权管理。
所述双因素接入认证终端在发行时经过密钥管理认证系统备案注册,通过密钥管理认证系统获取双因素接入认证终端的编号并进行保存,然后给双因素接入认证终端下发数字证书,双因素接入认证终端对数字证书进行保存,解析。
密钥管理认证系统激发双因素接入认证终端生成非对称密钥,密钥管理认证系统获取双因素接入认证终端的公钥,并通过业务密钥生成双因素接入认证终端的主密钥,并灌入其中。密钥管理认证系统根据操作员的不同角色,设定不同的操作权限,并写入所述双因素接入认证系统中。
第六、在线更新密钥、证书。
工控系统根据设备的运行情况,经过一段时间后要对设备的密钥、数字证书进行更换,每次为了保证密钥更新的成功,只有新密钥更新成功时,才销毁原密钥该过程如下:
首先有管理员发起密钥更新过程,确定对某一类设备更新还是对所有设备进行密钥更新。
密钥更新时密钥管理认证系统首先对所有设备进行在线情况遍历。确定在线设备的数量,对不在线设备不予以密钥更新。
密钥管理认证系统首先生成密钥数据,密钥管理认证系统调用加密机的SM3算法引擎,计算得到密钥数据的杂凑值,然后调用加密机的SM2算法引擎,计算得到密钥数据的签名值。最后将密钥数据与密钥签名值打包成一组数据,通过设备内的SM1算法引擎和设备的主密钥,得到密钥数据的密文,发送到设备中。
设备收到密文数据后其主密钥调用SM1算法引擎,计算得到密钥明文及密钥签名值,设备利用出厂时到的二级证书的私钥值,及安全芯片的SM2算法引擎,对密钥数据签名值进行签名验证。验证通过后设备保存密钥管理认证系统下发的新密钥。
设备生成8字节随机数做密钥数据,调用内部SM3算法引擎,计算得到密钥数据的杂凑值,然后调用SM2算法引擎,计算得到密文数据的签名值,最后将密钥数据与签名值打成一个数据包,通过调用SM1算法引擎和设备的主密钥得到密钥数据密文发送给密钥管理认证系统。
所述密钥管理认证系统接收到设备发送的密文数据后通过首先调用加密机的SM1算法引擎,进行解密。得到密钥数据及密钥签名值,在调用加密机的SM2算法引擎和设备的公钥对密钥数据及密钥签名值进行签名验证,验证通过后密钥管理认证系统对密钥数据进行保存。这样密钥管理认证系统将密钥管理认证系统的密钥数据及设备的产生的密钥数据组合在一起成为设备的会话密钥。至此设备的密钥更新成功。
第七、双因素接入认证终端的接入注册过程;
双因素接入认证终端用于控制远程PC的网络接入以及操作员的合法接入控制。当双因素接入认证终端首次上电接入时要的过程如下:
首先生成注册包明文数据,双因素接入认证终端调用其内部的SM3算法引擎,计算得到注册包明文的杂凑值,然后调用双因素接入认证终端的SM2算法引擎,计算得到注册包明文数据的签名值。最后将注册包明文数据与注册包签名值打包成一组数据,通过双因素接入认证终端内的SM1算法引擎和双因素认证接入终端的主密钥,得到注册包数据的密文。通过PC机发送到密钥管理认证系统进行认证。
密钥管理认证系统收到密文数据后根据双因素接入认证终端编号得到其密钥编号,密钥管理认证系统根据其主密钥调用加密机SM1算法引擎,计算得到注册包明文及注册包签名值,密钥管理认证系统利用出厂时得到的双因素接入认证终端的公钥值,及加密机的SM2算法引擎,对注册包签名值进行签名验证。验证通过后密钥管理认证系统实现了对双因素接入认证终端的单向认证。
密钥管理认证系统向双因素接入认证终端下发新证书,替换双因素接入认证终端出厂时的根证书。密钥管理认证系统调用加密机的SM1算法引擎,将生成的二级数字证书进行加密,得到密文。发送给双因素接入认证终端。
双因素接入认证终端接收到生成的二级数字证书,调用其内部安全芯片的SM1算法引擎。得到证书明文。再调用其内部的SM2算法引擎和SM3算法引擎及根证书中的公钥值。对收到的二级数字证书进行验证。验证通过后双因素接入认证终端实现了对密钥管理系统的认证。至此密钥管理系统和双因素接入认证终端实现了双向认证,注册成功。
第八、所述安全模块的接入注册过程;
安全模块安装于工控设备中,如:RTU或者PLC、DCS控制器,用于RTU、PLC、DCS控制器的接入控制。当安全模块首次上电接入时的过程如下:
首先工控设备生成注册包明文数据,安全模块调用其内部的SM3算法引擎,计算得到注册包明文的杂凑值,然后调用安全模块的SM2算法引擎,计算得到注册包明文数据的签名值。最后将注册包明文数据与注册包签名值打包成一组数据,通过安全模块内的SM1算法引擎和安全模块的主密钥,得到注册包数据的密文。通过工控设备发送到密钥管理认证系统进行认证。
密钥管理认证系统收到密文数据后根据安全模块编号得到其密钥编号,密钥管理认证系统根据其主密钥调用加密机SM1算法引擎,计算得到注册包明文及注册包签名值,密钥管理认证系统利用出厂时得到的安全模块的公钥值,及加密机的SM2算法引擎,对注册包签名值进行签名验证。验证通过后密钥管理认证系统实现了对工控设备的单向认证。
密钥管理认证系统向安全模块下发新证书,替换安全模块出厂时的根证书。密钥管理认证系统调用加密机的SM1算法引擎,将生成的二级数字证书进行加密,得到密文。发送给安全模块。
安全模块接收到生成的二级数字证书,调用其内部安全芯片的SM1算法引擎。得到证书明文。再调用其内部的SM2算法引擎和SM3算法引擎及根证书中的公钥值。对收到的二级数字证书进行验证。验证通过后安全模块实现了对密钥管理系统的认证。至此密钥管理系统和工控设备实现了双向认证,注册成功。
第九、接入注册所述网络数据加密器。工控设备数据上传之后,开始安装网络数据加密器,所述网络数据加密器用于现有工控系统的改造,例如用于RTU、PLC或DCS控制器的接入控制。
所述网络数据加密器首次上电接入的过程如下:
网络数据加密器首先生成注册包明文数据。其次,调用网络数据加密器内的SM3算法引擎,计算得到注册包明文的杂凑值。然后,调用网络数据加密器内的SM2算法引擎,计算得到注册包明文数据的签名值。然后,将注册包明文数据与注册包明文数据的签名值打包成一组数据,通过网络数据加密器内的SM1算法引擎和网络数据加密器的主密钥,得到注册包数据的密文。最后,将所述密文发送到密钥管理认证系统进行认证。
所述密钥管理认证系统收到所述密文数据后,得到其密钥编号。所述密钥管理认证系统根据其主密钥调用加密器内的SM1算法引擎,计算得到注册包明文及注册包签名值,密钥管理认证系统利用出厂时得到的网络数据加密器的公钥值,及加密器内的SM2算法引擎,对注册包签名值进行签名验证。验证通过后密钥管理认证系统实现了对网络数据加密器的单向认证。
密钥管理认证系统向网络数据加密器下发新证书,替换网络数据加密器出厂时的根证书。密钥管理认证系统调用加密器的SM1算法引擎,将生成的二级数字证书进行加密,得到密文。发送给网络数据加密器。
所述网络数据加密器接收到生成的二级数字证书,调用其内部安全芯片的SM1算法引擎。得到证书明文。再调用其内部的SM2算法引擎和SM3算法引擎及根证书中的公钥值。对收到的二级数字证书进行验证。验证通过后安全模块实现了对密钥管理系统的认证。至此密钥管理系统和工控设备实现了双向认证,注册成功。
第十、控制管理操作员的行为。
图7为本发明所述的工业信息安全认证系统的应用实例的示意图。操作员行为控制管理是利用操作员认证管理模块及双因素接入认证终端实现两个方面目的:其一是对操作员身份的识别认证。这里采用的是具有指纹识别功能的u-key,操作员在控制操作员站的时候首先要插入U-key,操作员站上位机软件提示操作员输入密码并输入指纹,密码及指纹信息通过上位机软件传给密钥管理认证系统,认证通过后,提示用户验证通过。保障操作员的合法性和真实性;其二是对其操作行为进行控制。如交换机,路由器配置的设定不同的权限,指令下发的功能设置不同的权限。
本发明所述的工业信息安全认证系统本发明采用国密算法SM1,SM2,SM3,SM4,数字证书、密钥管理系统,双因素认证系统等,目的是提供一套工业信息安全认证解决方案,解决工控系统中信息泄露,数据篡改、非法操作等问题。为工业信息建立强大的安全保护手段。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种工业信息安全认证系统,其特征在于,所述系统包括密钥管理认证系统、安全模块、网络数据加密器和双因素接入认证终端,
其中,所述密钥管理认证系统用于对密钥的管理,进行密钥的生成、分配、存储、备份、恢复、下发、更新、吊销和销毁;
所述安全模块用于实现数据的加解密、密钥保存、数字证书的解析;
所述网络数据加密器用于与远端认证服务器建立数据传输通道,同时加密或者解密传输的数据;
所述双因素接入认证终端用于管理员站或操作员站的接入管理控制;
所述密钥管理认证系统分别与所述安全模块、所述网络数据加密器和所述双因素认证终端连接。
2.根据权利要求1所述的工业信息安全认证系统,其特征在于,所述密钥管理认证系统包括加密机、密钥管理系统和设备接入管理模块,其中,所述密钥管理系统分别与所述加密机和所述设备接入管理模块连接。
3.根据权利要求2所述的工业信息安全认证系统,其特征在于,所述密钥管理系统包括数字证书管理、角色权限管理和密钥管理,其中,所述密钥管理分别与所述数字证书管理和所述角色权限管理连接。
4.根据权利要求1所述的工业信息安全认证系统,其特征在于,所述安全模块包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、核心处理器、密钥保存单元、芯片操作系统、SPI通讯和USB通信,其中,所述核心处理器分别与所述SM1算法引擎、所述SM2算法引擎、所述SM3算法引擎、所述SM4算法引擎、所述密钥保存单元、所述芯片操作系统、所述SPI通讯和所述USB通信连接。
5.根据权利要求1所述的工业信息安全认证系统,其特征在于,所述网络数据加密器包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、工业以太网接口、操作系统、核心处理器、存储器和USB通信,其中,所述核心处理器分别与所述SM1算法引擎、所述SM2算法引擎、所述SM3算法引擎、所述SM4算法引擎、所述工业以太网接口、所述操作系统、所述存储器和所述USB通信连接。
6.根据权利要求1所述的工业信息安全认证系统,其特征在于,所述双因素接入认证终端包括指纹识别器、国密算法芯片、USB通信、认证管理模块和操作系统,其中,所述操作系统分别与所述指纹识别器、所述国密算法芯片、所述USB通信和所述认证管理模块连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511019175.8A CN105471901A (zh) | 2015-12-30 | 2015-12-30 | 一种工业信息安全认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511019175.8A CN105471901A (zh) | 2015-12-30 | 2015-12-30 | 一种工业信息安全认证系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105471901A true CN105471901A (zh) | 2016-04-06 |
Family
ID=55609171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511019175.8A Pending CN105471901A (zh) | 2015-12-30 | 2015-12-30 | 一种工业信息安全认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105471901A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656999A (zh) * | 2016-11-10 | 2017-05-10 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端设备安全传输认证方法及装置 |
| CN106773941A (zh) * | 2016-12-12 | 2017-05-31 | 中国航天系统工程有限公司 | 基于国家密码高性能芯片的安全采集远程终端单元 |
| CN108206760A (zh) * | 2016-12-16 | 2018-06-26 | 南京联成科技发展股份有限公司 | 一种工业控制系统的安全运维架构 |
| CN108696475A (zh) * | 2017-04-06 | 2018-10-23 | 中国电力科学研究院 | 一种带安全认证的配电自动化终端自动注册方法及装置 |
| CN108848107A (zh) * | 2018-07-04 | 2018-11-20 | 成都立鑫新技术科技有限公司 | 一种安全传输网络信息的方法 |
| CN113259347A (zh) * | 2021-05-12 | 2021-08-13 | 东信和平科技股份有限公司 | 一种工业互联网内的设备安全系统及设备行为管理方法 |
| US11716626B2 (en) | 2019-10-22 | 2023-08-01 | General Electric Company | Network access control system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201898525U (zh) * | 2010-08-24 | 2011-07-13 | 北京兵港科技发展有限公司 | 带有安全系统的物联网网络架构体系 |
| CN103376766A (zh) * | 2012-04-30 | 2013-10-30 | 通用电气公司 | 用于工业控制器的安全工作的系统和方法 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN104392172A (zh) * | 2014-10-30 | 2015-03-04 | 北京科技大学 | 一种基于嵌入式的工业系统的安全检测方法及系统 |
-
2015
- 2015-12-30 CN CN201511019175.8A patent/CN105471901A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201898525U (zh) * | 2010-08-24 | 2011-07-13 | 北京兵港科技发展有限公司 | 带有安全系统的物联网网络架构体系 |
| CN103376766A (zh) * | 2012-04-30 | 2013-10-30 | 通用电气公司 | 用于工业控制器的安全工作的系统和方法 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN104392172A (zh) * | 2014-10-30 | 2015-03-04 | 北京科技大学 | 一种基于嵌入式的工业系统的安全检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 桑圣洁: ""工控生产网网络及应用安全研究"", 《计算机安全》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656999A (zh) * | 2016-11-10 | 2017-05-10 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端设备安全传输认证方法及装置 |
| CN106773941A (zh) * | 2016-12-12 | 2017-05-31 | 中国航天系统工程有限公司 | 基于国家密码高性能芯片的安全采集远程终端单元 |
| CN108206760A (zh) * | 2016-12-16 | 2018-06-26 | 南京联成科技发展股份有限公司 | 一种工业控制系统的安全运维架构 |
| CN108696475A (zh) * | 2017-04-06 | 2018-10-23 | 中国电力科学研究院 | 一种带安全认证的配电自动化终端自动注册方法及装置 |
| CN108696475B (zh) * | 2017-04-06 | 2021-03-16 | 中国电力科学研究院 | 一种带安全认证的配电自动化终端自动注册方法及装置 |
| CN108848107A (zh) * | 2018-07-04 | 2018-11-20 | 成都立鑫新技术科技有限公司 | 一种安全传输网络信息的方法 |
| US11716626B2 (en) | 2019-10-22 | 2023-08-01 | General Electric Company | Network access control system |
| CN113259347A (zh) * | 2021-05-12 | 2021-08-13 | 东信和平科技股份有限公司 | 一种工业互联网内的设备安全系统及设备行为管理方法 |
| CN113259347B (zh) * | 2021-05-12 | 2022-11-18 | 东信和平科技股份有限公司 | 一种工业互联网内的设备安全系统及设备行为管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN104168267B (zh) | 一种接入sip安防视频监控系统的身份认证方法 | |
| EP2887576B1 (en) | Software key updating method and device | |
| CN105656859B (zh) | 税控设备软件安全在线升级方法及系统 | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| KR101753859B1 (ko) | 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법 | |
| CN105162808B (zh) | 一种基于国密算法的安全登录方法 | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
| WO2020192285A1 (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
| CN101695038A (zh) | 检测ssl加密数据安全性的方法及装置 | |
| CN104113409A (zh) | 一种sip视频监控联网系统的密钥管理方法及系统 | |
| CN104125239B (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
| WO2024088082A1 (zh) | 一种数据完整性审计方法、设备及存储介质 | |
| CN115001717B (zh) | 一种基于标识公钥的终端设备认证方法及系统 | |
| CN115865320A (zh) | 一种基于区块链的安全服务管理方法及系统 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| CN112989320B (zh) | 一种用于密码设备的用户状态管理系统及方法 | |
| CN103944721A (zh) | 一种基于web的保护终端数据安全的方法和装置 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
| CN112311553B (zh) | 一种基于挑战应答的设备认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160406 |