CN110661803A - 一种闸门加密控制系统及方法 - Google Patents

一种闸门加密控制系统及方法 Download PDF

Info

Publication number
CN110661803A
CN110661803A CN201910925149.3A CN201910925149A CN110661803A CN 110661803 A CN110661803 A CN 110661803A CN 201910925149 A CN201910925149 A CN 201910925149A CN 110661803 A CN110661803 A CN 110661803A
Authority
CN
China
Prior art keywords
gate
control
request data
symmetric key
usbkey
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910925149.3A
Other languages
English (en)
Inventor
金涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hubei Provincial Water Resources and Hydropower Planning Survey and Design Institute
Original Assignee
Hubei Provincial Water Resources and Hydropower Planning Survey and Design Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hubei Provincial Water Resources and Hydropower Planning Survey and Design Institute filed Critical Hubei Provincial Water Resources and Hydropower Planning Survey and Design Institute
Priority to CN201910925149.3A priority Critical patent/CN110661803A/zh
Publication of CN110661803A publication Critical patent/CN110661803A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Selective Calling Equipment (AREA)

Abstract

本发明涉及水利闸门控制技术领域,具体涉及一种闸门加密控制系统及方法。包括一个前端、一个服务中心和若干控制中心,所述前端布设有闸门控制PLC和远程安全通信模块,所述服务中心布设有标识密码机和云安全接入平台,若干所述控制中心均布设有终端设备和USBkey,所述USBkey和远程安全通信模块均为云安全接入的客户端,所述云安全接入平台为云安全接入的服务器端,所述标识密码机与云安全接入平台连接,所述闸门控制PLC的输入端与远程安全通信模块连接,所述终端设备与USBkey连接,所述控制中心的终端设备和前端的远程安全通信模块均通过网络与服务中心的云安全接入平台连接。实现水利闸门调控数据加密传输,具有较高的安全等级,保证水利行业的安全。

Description

一种闸门加密控制系统及方法
技术领域
本发明涉及水利闸门控制技术领域,具体涉及一种闸门加密控制系统及方法。
背景技术
国家密码管理局颁布的中办[2015]4号文件“关于加强重要领域密码应用的指导意见”,特别提到“随着信息化快速发展,网络安全事件呈现快速增长趋势,基础信息网络、重要信息系统、重要工业控制系统等,已成为各类犯罪组织的重点攻击对象,密码作为保护网络与信息安全的重要手段,在身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面发挥着不可替代的重要作用。”
水利行业的涵闸启闭,泵站的启停控制,随着水利信息化的发展,目前都是通过自建专网进行通信,实现水利设施的远程控制。而这些水利设施和人们的生活息息相关,如果出现人为有意破坏,截获水利专网的数据信息,并有意错误地操控涵闸,泵站,将对人民的生命财产造成巨大的损失,同时也严重影响水利设施的作用和功效。
为提高水利行业安全性能,如图1所示,在中心的工作站上运行闸控软件,通过中心的网络设备,通过网关连接运营商的专线,再通过专线连接到现地的网关设备,现地通过工业交换机、PLC和闸门的启闭机实现联系,最终实现闸门的远程控制。
由于中心和现地是专线连接,能保证数据的物理基本隔离,再加上防火墙的安全保护,保证异常的数据包被剔除掉,两种安全保护,基本能保障闸门控制网络的可靠和安全。但该模式还是存在一定的漏洞,即无论专线、防火墙如何保护,传输的数据都是符合IP协议的数据包,通过特殊的手段依然可以截获。
发明内容
本发明的目的就是针对现有技术的缺陷,提供一种安全等级高,且易于部署的闸门加密控制系统及方法。
本发明一种闸门加密控制系统,其技术方案为:
包括一个前端、一个服务中心和若干控制中心,所述前端布设有闸门控制PLC和远程安全通信模块,所述服务中心布设有标识密码机和云安全接入平台,若干所述控制中心均布设有终端设备和USBkey,所述USBkey和远程安全通信模块均为云安全接入的客户端,所述云安全接入平台为云安全接入的服务器端,所述标识密码机与云安全接入平台连接,所述闸门控制PLC信号输入端与远程安全通信模块连接,所述终端设备与USBkey连接,所述控制中心的终端设备和前端的远程安全通信模块均通过网络与服务中心的云安全接入平台连接。
本发明方法,其技术方案为,包括:
用户基于终端设备发送闸控请求数据时,USBkey随机产生对称密钥对闸控请求数据进行加密后,利用服务器端公钥对此对称密钥进行加密,并将两个加密数据包发送至服务器端;
服务器端通过自己的私钥对所述加密数据包解密,得到对称密钥,再利用所述对称密钥对加密的闸控请求数据解密,得到闸控请求数据;
服务器端随机产生对称密钥对闸控请求数据进行加密后,利用前端公钥对此对称密钥进行加密,并将两个加密数据包发送至前端客户端;
前端客户端通过自己的私钥对所述加密数据包解密,得到对称密钥,再利用所述对称密钥对加密的闸控请求数据解密,得到闸控请求数据;
前端客户端将解密得到的所述闸控请求数据发送至闸门控制端,所述闸门控制端基于所述闸控请求数据对闸门进行调控。
较为优选的,所述服务端和客户端使用的密码算法为SM9标识密码算法。
本发明的有益效果为:利用一个部署云安全接入服务器端的服务中心、一个部署云安全接入客户端的前端和若干部署云安全接入客户端的控制中心,实现水利闸门调控数据加密传输,具有较高的安全等级,保证水利行业的安全。同时,其可兼容用户现在的网络环境和应用环境,对现有的网络变动很小,实际操作简单。另外,在应用形式上,无论是点对点、点对多点、多点对点、多点对多点,都容易实现部署和应用。
附图说明
图1为传统水利闸门控制系统示意图;
图2为本发明一种闸门加密控制系统的部署示意图;
图3为本发明本发明一种闸门加密控制系统的拓展示意图;
图4为本发明远程安全访问界面。
图中:1-服务中心,2-前端,3-控制中心,4-云安全接入平台,5-标识密码机,6-USBkey,7-终端设备,8-远程安全通信模块,9-闸门控制PLC。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的详细说明,便于清楚地了解本发明,但它们不对本发明构成限定。
如图2所示,一种闸门加密控制系统包括一个前端2、一个服务中心1和若干控制中心3,所述前端2布设有闸门控制PLC9、远程安全通信模块8和网关,所述服务中心1布设有标识密码机5和云安全接入平台4,若干所述控制中心3均布设有终端设备7和USBkey 6,所述标识密码机5与云安全接入平台4连接,所述闸门控制PLC9信号输入端与远程安全通信模块8连接,所述终端设备7与USBkey 6连接,所述控制中心3的终端设备7和前端2的远程安全通信模块8均通过网络与服务中心1的云安全接入平台4连接。本实施例中的秘法算法采用SM9标识密码算法。本实施例中的终端设备7为电脑。
本方案中“中心1”(即服务中心1)部署了云安全接入平台服务端(即服务端程序),“前端”的远程安全通信模块8内置了云安全接入客户端程序,“中心2”(即控制中心3)的USBkey嵌入了云安全接入客户端的程序并将密钥存储在USBkey中;因此整个拓扑结构是一个中心点(服务器端)对多个客户端(前端和中心2、3……均是客户端)的模式。
如图3为本系统的拓展示意图,图3中的中心1为本系统中的服务中心1,中心2和中心3均为控制中心3,根据需要,控制中心3的数量可以增加。各个中心之间通过跨区域的MPLS-VPN实现网络连接。中心1-3和前端网络的网络传输数据(即图2中的虚线部分)均是加密数据,以保障数据传输的安全可靠。
控制中心3的用户插入USBkey到电脑,(本流程中用户已经获取了私钥并存储在该USBkey内),控制中心3管理人员调用闸控应用程序,控制中心3客户端的经过HASH算法随机产生一把对称密钥,将闸控应用程序的数据进行加密,再用服务中心1服务器端的公钥将此对称密钥进行加密,将两个加密的数据包一起连接到运营商的专线网络,专线网络对面服务中心1的服务器端通过自己的私钥将此对称密钥加密数据包进行解密,得到此对称密钥,再用此对称密钥对加密的大数据包进行解密,即可得到原始的闸控程序数据包。服务器端进过HASH算法随机产生一把新的对称密钥,将闸控程序数据包进行加密,再用前端2的公钥对称对称密钥进行加密,将两个加密的数据包一起连接到服务中心1通往前端2的运营商专线网络上,专线网络对面的前端2的远程安全通信模块8(即客户端)通过自己的私钥将此对称密钥加密数据包进行再解密,得到此对称密钥,再用此对称密钥对加密的大数据包进行解密,即可得到控制中心3原始的闸控程序数据包,该数据包送到PLC,PLC执行控制中心3相应的闸控程序命令,例如读取数据,执行指令等。
如图4所示,在私钥存储在该USBkey内之前,需进行身份认证。控制中心3的用户若想进行闸门远程控制,需要在电脑后插入USBkey,输入PIN码,弹出图4右边的远程安全接入窗口。
在“密钥管理”标签页面里访问服务中心1的标识密码机,输入自己的公钥例如邮箱或名字,通过标识密码机计算获取私钥,并将私钥下载并存储在USBkey里,存储成功后,下次再进入可以跳过此步骤。管理员将该公钥存储在云安全平台的服务器内,用于检验后续平台访问是否合法;控制中心3后续访问云安全平台是在网络上加解密访问(需检验公私钥配对),即实现安全传输的目的。
在连接管理标签页面里访问云安全平台实现云安全接入,服务中心1的云安全平台始终和前端2网络连接,各个控制中心3的USBkey用户只要和云安全平台建立连接,就实际上和前端建立了连接。
在应用管理标签页点击应用图标实现应用程序访问链接跳转,可进入闸门远程控制界面。
本说明书未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (3)

1.一种闸门加密控制系统,其特征在于,包括一个前端(2)、一个服务中心(1)和若干控制中心(3),所述前端(2)布设有闸门控制PLC(9)和远程安全通信模块(8),所述服务中心(1)布设有标识密码机(5)和云安全接入平台(4),若干所述控制中心(3)均布设有终端设备(7)和USBkey(6),所述USBkey(6)和远程安全通信模块(5)均为云安全接入的客户端,所述云安全接入平台(4)为云安全接入的服务器端,所述标识密码机(5)与云安全接入平台(4)连接,所述闸门控制PLC(8)的输入端与远程安全通信模块(8)连接,所述终端设备(7)与USBkey(6)连接,所述控制中心(3)的终端设备(7)和前端(2)的远程安全通信模块(8)均通过网络与服务中心(1)的云安全接入平台(4)连接。
2.一种基于权利要求1所述闸门加密控制系统的闸门加密控制方法,其特征在于,包括:
用户基于终端设备(7)发送闸控请求数据时,USBkey(6)随机产生对称密钥对闸控请求数据进行加密后,利用服务器端公钥对此对称密钥进行加密,并将两个加密数据包发送至服务器端;
服务器端通过自己的私钥对所述加密数据包解密,得到对称密钥,再利用所述对称密钥对加密的闸控请求数据解密,得到闸控请求数据;
服务器端随机产生对称密钥对闸控请求数据进行加密后,利用前端(2)公钥对此对称密钥进行加密,并将两个加密数据包发送至前端客户端;
前端(2)客户端通过自己的私钥对所述加密数据包解密,得到对称密钥,再利用所述对称密钥对加密的闸控请求数据解密,得到闸控请求数据;
前端(2)客户端将解密得到的所述闸控请求数据发送至闸门控制端,所述闸门控制端基于所述闸控请求数据对闸门进行调控。
3.根据权利要求2所述的闸门加密控制方法,其特征在于,所述服务端和客户端使用的密码算法为SM9标识密码算法。
CN201910925149.3A 2019-09-27 2019-09-27 一种闸门加密控制系统及方法 Pending CN110661803A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910925149.3A CN110661803A (zh) 2019-09-27 2019-09-27 一种闸门加密控制系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910925149.3A CN110661803A (zh) 2019-09-27 2019-09-27 一种闸门加密控制系统及方法

Publications (1)

Publication Number Publication Date
CN110661803A true CN110661803A (zh) 2020-01-07

Family

ID=69039451

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910925149.3A Pending CN110661803A (zh) 2019-09-27 2019-09-27 一种闸门加密控制系统及方法

Country Status (1)

Country Link
CN (1) CN110661803A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114019836A (zh) * 2022-01-06 2022-02-08 江苏水科尚禹能源技术研究院有限公司 一种闸站群智能控制系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640590A (zh) * 2009-05-26 2010-02-03 深圳市安捷信联科技有限公司 一种获取标识密码算法私钥的方法和密码中心
CN102724563A (zh) * 2012-06-15 2012-10-10 深圳市汇海威视科技有限公司 监控前端及终端、监控系统及音视频信号加密与解密方法
CN103338106A (zh) * 2013-07-18 2013-10-02 曙光云计算技术有限公司 文件的加密方法、解密方法、加密装置、以及解密装置
US20140281531A1 (en) * 2013-03-14 2014-09-18 Vinay Phegade Trusted data processing in the public cloud
CN104821944A (zh) * 2015-04-28 2015-08-05 广东小天才科技有限公司 一种混合加密的网络数据安全方法及系统
CN104954456A (zh) * 2015-06-08 2015-09-30 陈广宁 一种移动物联管控系统
CN106059869A (zh) * 2016-07-26 2016-10-26 北京握奇智能科技有限公司 一种物联网智能家居设备安全控制方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640590A (zh) * 2009-05-26 2010-02-03 深圳市安捷信联科技有限公司 一种获取标识密码算法私钥的方法和密码中心
CN102724563A (zh) * 2012-06-15 2012-10-10 深圳市汇海威视科技有限公司 监控前端及终端、监控系统及音视频信号加密与解密方法
US20140281531A1 (en) * 2013-03-14 2014-09-18 Vinay Phegade Trusted data processing in the public cloud
CN103338106A (zh) * 2013-07-18 2013-10-02 曙光云计算技术有限公司 文件的加密方法、解密方法、加密装置、以及解密装置
CN104821944A (zh) * 2015-04-28 2015-08-05 广东小天才科技有限公司 一种混合加密的网络数据安全方法及系统
CN104954456A (zh) * 2015-06-08 2015-09-30 陈广宁 一种移动物联管控系统
CN106059869A (zh) * 2016-07-26 2016-10-26 北京握奇智能科技有限公司 一种物联网智能家居设备安全控制方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114019836A (zh) * 2022-01-06 2022-02-08 江苏水科尚禹能源技术研究院有限公司 一种闸站群智能控制系统
CN114019836B (zh) * 2022-01-06 2022-04-15 江苏水科尚禹能源技术研究院有限公司 一种闸站群智能控制系统

Similar Documents

Publication Publication Date Title
CN106789015B (zh) 一种智能配电网通信安全系统
WO2003107153A2 (en) Method for configuring and commissioning csss
CN105027493A (zh) 安全移动应用连接总线
CN109995530B (zh) 一种适用于移动定位系统的安全分布式数据库交互系统
CN111918284B (zh) 一种基于安全通信模组的安全通信方法及系统
WO2023151427A1 (zh) 量子密钥传输方法、装置及系统
CN104065485A (zh) 电网调度移动平台安全保障管控方法
CN105577639A (zh) 可信装置控制消息
CN107094156A (zh) 一种基于p2p模式的安全通信方法及系统
WO2002054644A1 (en) Security breach management
CN112865965B (zh) 一种基于量子密钥的列车业务数据处理方法及系统
CN105471901A (zh) 一种工业信息安全认证系统
CN112202773B (zh) 一种基于互联网的计算机网络信息安全监控与防护系统
US7363486B2 (en) Method and system for authentication through a communications pipe
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN113572788A (zh) BACnet/IP协议设备认证安全方法
Sinha et al. Blockchain-based communication and data security framework for IoT-enabled micro solar inverters
CN115865320A (zh) 一种基于区块链的安全服务管理方法及系统
CN111970232A (zh) 一种电力营业厅智能服务机器人的安全接入系统
CN112989320B (zh) 一种用于密码设备的用户状态管理系统及方法
CN110519222A (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
KR101040543B1 (ko) 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법
CN110838910B (zh) 一种基于sm3和sm4通信加密的地铁综合监控系统
CN110661803A (zh) 一种闸门加密控制系统及方法
KR102423178B1 (ko) 에이전트 기반의 암호모듈 연동 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200107

RJ01 Rejection of invention patent application after publication