CN111090841A - 一种用于工控系统的认证方法和装置 - Google Patents

一种用于工控系统的认证方法和装置 Download PDF

Info

Publication number
CN111090841A
CN111090841A CN201911159170.3A CN201911159170A CN111090841A CN 111090841 A CN111090841 A CN 111090841A CN 201911159170 A CN201911159170 A CN 201911159170A CN 111090841 A CN111090841 A CN 111090841A
Authority
CN
China
Prior art keywords
account
authentication
industrial control
authority level
dynamic password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911159170.3A
Other languages
English (en)
Inventor
李文杰
周桂英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN201911159170.3A priority Critical patent/CN111090841A/zh
Publication of CN111090841A publication Critical patent/CN111090841A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Safety Devices In Control Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种用于工控系统的认证方法和装置,属于信息安全技术领域。该方法包括:接收终端发送的账号和账号对应的认证动态口令,账号与处于安全管理平台管辖范围的工控设备相对应,工控设备分属于不同的业务层级;获得账号的权限等级,账号的权限等级与工控设备所属业务层级对应;基于账号的权限等级对账号对应的认证动态口令进行认证,获得认证结果。该认证方法适用于工控系统,可以对访问工控系统的用户进行基于多级权限等级的身份认证,从而有效地阻挡非法用户对工控系统的访问,保护工控系统的核心设备。

Description

一种用于工控系统的认证方法和装置
技术领域
本发明涉及信息安全技术领域,具体涉及一种用于工控系统的认证方法和装置。
背景技术
工业控制系统(简称工控系统)是由各种自动化控制组件以及过程控制组件共同构成的、确保工业基础设施自动化运行的系统。工控系统作为国家工业基础设施的重要组成部分,其安全性已经成为涉及国家安全稳定的重要战略问题。身份认证是降低工控系统安全风险的有效手段之一。目前常用的身份认证方法包括用户名和密码认证、生物特征认证、动态口令认证等。但是这些身份认证方法均是针对IT系统设计的,而由于工控系统的控制对象是处于工控系统中的实体设备,其保护侧重点为实体设备的可用性,与IT系统侧重于保护系统数据不同,因此适用于IT系统的身份认证方法无法直接应用于工控系统。
因此,需要一种适用于工控系统的身份认证方法,可以对访问工控系统的用户进行身份认证,从而有效阻挡非法用户对工控系统的未授权访问,保护工控系统的核心设备。
发明内容
为此,本发明提供一种认证方法和装置,以解决现有技术中由于工控系统与IT系统的保护侧重点不同,而导致IT系统的身份认证方法无法直接应用于工业控制系统的问题。
为了实现上述目的,本发明第一方面提供一种用于工控系统的认证方法,应用于安全管理平台,该方法包括:
接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;
获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;
基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。
进一步地,所述接收终端发送的账号和所述账号对应的认证动态口令之前,还包括:
设置口令更新阈值,初始化口令更新次数,根据所述账号权限等级生成对应的动态口令和认证基准动态值;
将所述账号、口令更新阈值和口令更新次数下发至所述终端,将所述账号与所述账号对应的动态口令下发至用户。
进一步地,所述基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,包括:
所述账号的权限等级包括第一权限等级和第二权限等级;
若所述账号的权限等级为所述第一权限等级,则基于所述认证动态口令计算验证动态值,比较所述验证动态值与所述账号对应的第一认证基准动态值是否一致,若一致则认证通过;
若所述账号的权限等级为所述第二权限等级,则比较所述认证动态口令与所述账号对应的第二认证基准动态值是否一致,若一致则认证通过。
进一步地,当所述账号对应的认证动态口令通过认证之后,还包括:
若所述账号的权限等级为所述第一权限等级,则将所述账号对应的所述第一认证基准动态值更新为所述认证动态口令,并相应更新所述第二权限等级账号对应的所述动态口令和所述第二认证基准动态值;
更新所述口令更新次数;
将所述口令更新次数下发至所述终端,将所述账号和所述账号对应的且更新过的所述动态口令下发至用户。
进一步地,所述更新所述口令更新次数之后,还包括:
比较所述口令更新次数和所述口令更新阈值;
若所述口令更新次数大于所述口令更新阈值时,重新初始化所述口令更新次数,并根据所述账号的权限等级重新生成所述账号对应的所述动态口令和所述认证基准动态值,再将所述口令更新次数下发至终端,将重新生成的与所述账号对应的动态口令下发至所述用户。
进一步地,所述获得认证结果之后,还包括:
将所述账号的认证信息和所述安全管理平台的操作日志上传区块链。
为了实现上述目的,本发明第二方面提供一种用于工控系统的认证方法,应用于终端,该方法包括:
接收用户的访问工控设备请求,所述访问工控设备请求包括账号和所述账号对应的动态口令,其中,所述账号和所述动态口令是由安全管理平台生成的;
获得所述账号的权限等级,并根据所述账号权限等级获得所述账号对应的认证动态口令;
将所述账号和所述账号对应的认证动态口令发送至所述安全管理平台,以进行认证。
进一步地,所述根据所述账号权限等级获得所述账号对应的认证动态口令,包括:
所述账号的权限等级包括第一权限等级和第二权限等级;
若所述账号的权限等级为所述第一权限等级,则根据所述终端与所述安全管理平台预先约定的加密算法,基于所述动态口令计算获得所述账号对应的认证动态口令;
若所述账号的权限等级为所述第二权限等级,则将所述账号对应的所述动态口令作为所述账号的认证动态口令。
进一步地,所述将所述账号和所述账号对应的认证动态口令发送至所述安全管理平台,以进行认证之后,还包括:
若所述账号的权限等级为第一权限等级且认证通过时,接收所述安全管理平台发送的口令更新次数和所述账号对应的且更新过的所述动态口令。
为了实现上述目的,本发明第三方面提供一种用于工控系统的认证装置,应用于安全管理平台,该装置包括:
接收模块,用于接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;
权限获取模块,用于获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;
认证模块,用于基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。
本发明具有如下优点:
本发明提供的用于工控系统的认证方法,安全管理平台接收终端发送的账号和账号对应的认证动态口令,并获得账号的权限等级,然后基于账号的权限等级对账号对应的认证动态口令进行认证,获得认证结果。该认证方法适用于工控系统,可以对访问工控系统的用户进行基于多级权限等级的身份认证,从而有效地阻挡非法用户对工控系统的访问,保护工控系统的核心设备。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1是本实施例提供的一种用于工控系统的认证方法的流程图;
图2为本实施例提供的一种用于工控系统的认证方法的流程图;
图3为本实施例提供的一种用于工控系统的认证装置的原理框图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本实施例提供的用于工控系统的认证方法和装置,是针对工控系统与IT系统保护侧重点不同导致的IT系统身份认证方法无法直接应用于工控系统的问题,专门设计的适用于工控系统的认证方法和对应的装置。该用于工控系统的认证方法和装置可以对访问工控系统的用户进行基于多级权限等级的身份认证,以阻挡非法用户对工控系统的访问。
图1是本实施例提供的一种用于工控系统的认证方法的流程图,可用于安全管理平台。如图1所示,该用于工控系统的认证方法可包括如下步骤:
步骤S101,接收终端发送的账号和账号对应的认证动态口令。
其中,账号与处于安全管理平台管辖范围的工控设备相对应。安全管理平台为具有安全管理功能的软件或硬件或软硬件的相结合,对处于其管辖范围的工控设备进行安全管理。处于安全管理平台的工控设备分属于不同的业务层级,且分属于不同业务层级工控设备对应的账号具有不同的权限等级。
需要说明的是,认证动态口令与账号的权限等级相关。一般来说,账号权限等级越高,其对应认证动态口令的计算方法相应越复杂。但是对于安全管理平台来说,其接收到的认证动态口令是一串数字或字符或数字字符相结合的信息,它从认证动态口令本身无法判断该认证动态口令计算方法的复杂度。
在一个实施方式中,处于安全管理平台的工控设备分属于第一业务层级和第二业务层级。相应的,工控设备对应账号的权限等级包括第一权限等级和第二权限等级,且具有第一权限等级的账号对应第一业务层级的工控设备,具有第二权限等级的账号对应第二业务层级的工控设备。终端在接收到用户发送的访问工控设备请求时,首先根据账号的权限等级为该账号生成对应的认证动态口令,并将账号和账号对应的认证动态口令发送至安全管理平台。安全管理平台接收终端发送的账号和账号对应的认证动态口令。
在一个实施例中,终端根据账号的权限等级为该账号生成对应的认证动态口令包括:当账号为第一权限等级时,终端将用户发送的访问工控设备请求中的动态口令,通过与安全管理平台预先约定的加密算法进行计算,获得该账号的认证动态口令;当账号为第二权限等级时,终端直接将访问工控设备请求中的动态口令作为该账号的认证动态口令。
还需要说明的是,在接收终端发送的账号和账号对应的认证动态口令之前,安全管理平台需要为处于其管辖范围的工控设备配置相应的账号和账号信息。其中,账号信息包括但不限于口令更新阈值、口令更新次数、动态口令和认证基准动态值。
在一个实施方式中,假设处于安全管理平台的工控设备分属于第一业务层级和第二业务层级。安全管理平台基于工控设备分属的业务层级为其配置相应权限等级的账号,具体地,为分属于第一业务层级的工控设备配置具有第一权限等级的账号,为分属于第二业务层级的工控设备配置具有第二权限等级的账号。
完成账号及账号权限配置之后,安全管理平台设置口令更新阈值,初始化口令更新次数(一般情况初始值为零),并根据账号的权限等级生成对应的动态口令和认证基准动态值。一般来说,账号的权限等级越高,其对应的动态口令和/或认证基准动态值的计算方法复杂度就越高,以满足相应的安全管理需求。
完成账号和账号信息的配置之后,安全管理平台将账号、账号对应的认证基准动态值、口令更新阈值和口令更新次数存储在安全管理平台;将账号、口令更新阈值、口令更新次数下发至终端;将账号和账号对应的动态口令下发至用户。
需要说明的是,关于动态口令和认证基准动态值的计算方法包括现在的和将来出现的任何加密算法。
如,某工控系统包括生产监控层和现场控制层两个业务层级。其中,生产监控层中的设备为生产监控类设备,现场控制层中的设备为现场控制类设备。将该工控系统划分为若干个安全分区,并为每个安全分区配置对应的安全管理平台。其中,每个安全分区包括一台或多台生产监控类设备和一台或多台现场控制类设备。
以其中某一安全分区为例进行说明。假设该安全分区包括1台生产监控类设备和2台现场控制类设备。该安全分区对应的安全管理平台为这1台生产监控类设备和2台现场控制类设备配置相应的账号和账号信息的过程包括:
第一步:为工控设备创建账号。
假设生产监控层工控设备对应账号权限等级为第一权限等级,现场控制层工控设备对应账号权限等级为第二权限等级;生产监控类设备对应的设备标识为MD1,现场控制类设备对应的设备标识分别为SD1和SD2。
由于生产监控类设备MD1所属业务层级为生产监控层,因此安全管理平台为其创建具有第一权限等级的账号USER_MD1;由于现场控制类设备SD1所属业务层级为现场控制层,因此安全管理平台为其创建具有第二权限等级的账号USER_SD1,同理为现场控制类设备SD2创建具有第二权限等级的账号USER_SD2。
第二步:根据账号权限等级生成相应的动态口令和认证基准动态值。
首先,安全管理平台设置口令更新阈值为n,初始化口令更新次数为0。
其次,为账号USER_MD1生成相应的动态口令和第一认证基准动态值,具体包括:
利用随机函数生成账号USER_MD1对应的动态口令mpw0。
基于口令更新阈值n和动态口令mpw0,利用单向函数H,计算获得第一认证基准动态值Y0
其中,Y0=H(n)(mpw0)。
再次,为账号USER_SD1生成相应的动态口令和第二认证基准动态值,具体包括:
基于账号USER_SD1、账号USER_SD1对应的现场控制类设备的设备标识SD1、账号USER_MD1对应的第一认证基准动态值Y0,利用散列函数T,计算获得动态口令spw0_SD1。
其中,spw0_SD1=T(SD1,USER_SD1,Y0)[0:8]。
设置账号USER_SD1对应的第二认证基准动态值为Z0-SD1,令Z0-SD1=spw0_SD1。
同理,可以获得账号USER_SD2对应的动态口令spw0_SD2和第二认证基准动态值Z0_SD2。
其中,spw0_SD2=T(SD2,USER_SD2,Y0)[0:8],Z0_SD2=spw0_SD2。
第三步:下发账号和账号信息。
将口令更新阈值n,初始化口令更新次数0,账号USER_MD1对应的第一认证基准动态值Y0、账号USER_SD1对应的第二认证基准动态值Z0_SD1和账号USER_SD2对应的第二认证基准动态值Z0_SD2存储在安全管理平台;
将账号USER_MD1、账号USER_SD1、账号USER_SD2、口令更新阈值n和初始化口令更新次数0下发至终端;
将账号USER_MD1和对应的动态口令mpw0、账号USER_SD1和对应的动态口令spw0_SD1与账号USER_SD2和对应的动态口令spw0_SD2下发至用户。
步骤S102,获得账号的权限等级。
其中,账号的权限等级与工控设备所属业务层级对应。一般情况下,工控设备所属业务层级的重要性和/或安全要求越高,其对应的账号权限等级也就越高。
安全管理平台收到终端发送的账号之后,根据该账号对应的工控设备所属的业务层级,获得该账号的权限等级。
如,安全管理平台管辖范围内的工控设备分属于第一业务层级和第二业务层级,且分属于第一业务层级的工控设备对应的账号具有第一权限等级,分属于第二业务层级的工控设备对应的账号具有第二权限等级。假设接收到的账号为USER1,安全管理平台通过判断获得USER1对应工控设备所属业务层级为第一业务层级,从而获得该账号的权限等级为第一权限等级。
需要说明的是,账号权限等级的级数可以根据实际需求进行设置,可以包括二级以上。
步骤S103,基于账号的权限等级对账号对应的认证动态口令进行认证,获得认证结果。
根据步骤S102获得的账号权限等级,采用与账号权限等级相应的认证方法对该账号的认证动态口令进行认证。这是考虑到不同权限等级的账号具有不同的安全管理需求,从而针对不同权限等级的账号设置满足其安全管理需求的认证方法。这种基于账号权限等级的安全认证方法一方面可以满足相应的安全管理需求,另一方面还可以节省相应的资源(低权限等级账号的认证复杂度相对也低,认证所需要的计算资源和存储资源也相应较少,从而达到在满足安全管理需求的同时节省计算资源和存储资源的效果)。
在一个实施方式中,假设账号具有第一权限等级和第二权限等级。对账号基于权限等级进行认证的过程包括:
当账号的权限等级为第一权限等级时,基于该账号对应认证动态口令,通过加密算法计算获得验证动态值,并比较验证动态值与该账号对应的第一认证基准动态值是否一致,当两者一致时认证通过,两者不一致时认证失败;当账号的权限等级为第二权限等级时,比较该账号对应认证动态口令与该账号对应的第二认证基准动态值是否一致,当两者一致时认证通过,两者不一致时认证失败。其中,账号的认证基准动态值是安全管理平台根据账号权限等级生成的,且第一权限等级的账号对应第一认证基准动态值,第二权限等级的账号对应第二认证基准动态值。基于认证动态口令计算验证动态值所采用的加密算法包括现在的和将来出现的任何加密算法。
需要说明的是,当第一权限等级账号对应的认证动态口令通过认证之后,安全管理平台执行相应的更新操作,具体包括:将该账号对应的第一认证基准动态值更新为认证动态口令,并相应更新第二权限等级账号对应的动态口令和第二认证基准动态值,同时更新口令更新次数,然后将口令更新次数下发至终端,将账号和账号对应的且更新过的动态口令下发至用户。其中,当更新完口令更新次数后,安全管理平台还将比较口令更新次数和口令更新阈值。当口令更新次数大于预设的口令更新阈值时,安全管理平台重新初始化口令更新次数,并根据账号的权限等级重新生成账号对应的动态口令和认证基准动态值,然后将账号对应的口令更新次数下发至终端,将重新生成的与账号对应的动态口令下发至用户。
还需要说明的是,在获得认证结果之后,安全管理平台将账号的认证信息和安全管理平台的操作日志上传区块链。具体地,在该区块链中为每个账号分配相应的区块链交易地址,将该账号的认证信息和安全管理平台基于该账号的操作日志上传至该账号对应的区块链交易地址。
如,安全管理平台接收到的账号为USER_SD1,该账号对应的认证动态口令为Zi,并通过步骤S102判断出该账号为第二权限等级账号。对账号USER_SD1的认证动态口令Zi进行认证的过程包括:
首先,比较该账号对应认证动态口令与该账号对应的第二认证基准动态值是否一致。
假设安全管理平台预存的账号USER_SD1对应的第二认证基准动态值为Z0,比较Zi与Z0,判断两者是否一致。
其次,根据比较结果判断是否通过认证。
当Zi与Z0一致时,表示认证通过,用户可以通过终端访问账号USER_SD1对应的工控设备;
当Zi与Z0不一致时,表示认证失败,用户无法通过终端访问账号USER_SD1对应的工控设备。
又如,安全管理平台接收到的账号为USER_MD1,该账号对应的认证动态口令为Yi,并通过步骤S102判断出该账号为第一权限等级账号。对账号USER_MD1的认证动态口令Yi进行认证的过程包括:
首先,基于该账号对应认证动态口令通过加密算法计算获得第一验证动态值。
假设加密算法为单向单数H,利用单向函数H对认证动态口令Yi进行计算,获得第一验证动态值Y′i
Yi′=H(Yi)
其次,比较验证动态值与该账号对应的第一认证基准动态值是否一致。
假设安全管理平台预存的账号USER_MD1对应的第一认证基准动态值为Y0,比较计算得到的Yi′与Y0,判断两者是否一致。
最后,根据比较结果判断是否通过认证。
当Yi′与Y0一致时,表示认证通过,用户可以通过终端访问账号USER_MD1对应的工控设备;
当Yi′与Y0不一致时,表示认证失败,用户无法通过终端访问账号USER_MD1对应的工控设备。
进一步地,由于账号USER_MD1为第一权限等级账号,当账号的认证动态口令Yi通过验证之后,安全管理平台还执行相应的更新操作。
假设该安全管理平台的管辖范围内除账号USER_MD1对应的工控设备外,还包括另外一台工控设备,该工控设备对应的账号为USER_SD1,USER_SD1权限等级为第二权限等级,对应的动态口令为spw0,对应的第二认证基准动态值为Z0。其中:
spw0=T(SD1,USER_SD1,Y0)[0:8];
Z0=spw0_SD1。
其中,T为散列函数,SD1为账号USER_SD1对应工控设备的设备标识,Y0为账号USER_MD1对应的第一认证基准动态值。
安全管理平台执行的更新操作包括:
首先,更新账号USER_MD1对应的第一认证基准动态值。
将账号USER_MD1对应的第一认证基准动态值Y0更新为认证动态口令Yi
其次,更新安全管理平台内第二权限等级账号对应的动态口令和第二认证基准动态值。
由于账号USER_MD1对应的第一认证基准动态值Y0更新为Yi,而账号USER_SD1对应的动态口令与第二认证基准动态值均是与第一认证基准动态值相关的函数,所以进行相应更新。具体地,将账号USER_SD1对应的动态口令spw0更新为spwi,将第二认证基准动态值Z0更新为Zi。其中,spwi与Zi通过以下公式计算获得:
spwi=T(SD1,USER_SD1,Yi)[0:8];
Zi-=spwi_SD1。
再次,更新口令更新次数。
即将原来口令更新次数的数值加一作为新的口令更新次数。
最后,下发账号和账号信息。
将口令更新次数、账号USER_MD1和对应的第一认证基准动态值Yi与账号USER_SD1和对应的第二认证基准动态值Zi存储在安全管理平台;将口令更新次数下发至终端;将账号USER_SD1和对应的动态口令spwi下发至用户。
图2是本实施例提供的一种用于工控系统的认证方法的流程图,可用于终端。如图2所示,该用于工控系统的认证方法可包括如下步骤:
步骤S201,接收用户的访问工控设备请求。
其中,访问工控设备请求包括账号和账号对应的动态口令,账号和动态口令是由安全管理平台生成的并下发给用户的。安全管理平台为具有安全管理功能的软件或硬件或软硬件的相结合,对处于其管辖范围的工控设备进行安全管理。账号与处于该安全管理平台管辖范围的工控设备相对应。
在一个实施方式中,用户需要访问工控系统中的某一台工控设备时,在终端输入预先从安全管理平台获取的该工控设备对应的账号和动态口令,以访问该工控设备。
步骤S202,获得账号的权限等级,并根据账号权限等级获得账号对应的认证动态口令。
其中,账号的权限等级与工控设备所属业务层级对应,即处于安全管理平台的工控设备分属于不同的业务层级,分属于不同业务层级工控设备对应的账号具有不同的权限等级。一般情况下,工控设备所属业务层级的重要性和/或安全要求越高,其对应的账号权限等级也相应越高。
终端根据用户提供的账号,可以判断出该账号对应的工控设备所属的业务层级,进而获得账号的权限等级。不同权限等级的账号其对应的认证动态口令的获得方法不同。一般情况下,账号权限等级越高,其认证动态口令的获得方法相应越复杂。
在一个实施方式中,根据账号权限等级获得账号对应的认证动态口令的过程包括:
假设账号的权限等级包括第一权限等级和第二权限等级;
当账号的权限等级为第一权限等级时,根据终端与安全管理平台预先约定的加密算法,基于动态口令计算获得账号对应的认证动态口令;当账号的权限等级为第二权限等级时,将该账号对应的动态口令作为账号的认证动态口令。
需要说明的是,账号权限等级的级数可以根据实际需求进行设置,可以包括二级以上。
假设某安全管理平台管辖范围内包括第一业务层级和第二业务层级。其中第一业务层级对应一台工控设备,该设备对应账号为USER_MD1,第二业务层级对应另一台工控设备,该设备对应账号为USER_SD1。
如,用户提供至终端的账号为USER_MD1,对应的动态口令为mpw0。
首先,终端判断出账号USER_MD1对应工控设备所属业务层级为第一业务层级,从而获得账号USER_MD1的权限等级为第一权限等级。
其次,终端根据其与安全管理平台预先约定的加密算法,基于动态口令计算获得账号对应的认证动态口令,具体包括:
假设终端与安全管理平台预先约定的加密算法为H,终端预存的口令更新阈值为n,口令更新次数为m,则账号USER_MD1对应的认证动态口令可以根据以下公式获得:
Yi=H(n-m-1)(mpw0)
其中,Yi为账号USER_MD1对应的认证动态口令。
又如,用户提供至终端的账号为USER_SD1,对应的动态口令为spw0。
首先,终端判断出账号USER_SD1对应工控设备所属业务层级为第二业务层级,从而获得账号USER_SD1的权限等级为第二权限等级。
其次,终端设置账号USER_SD1对应的认证动态口令为Zi,并将spw0作为USER_SD1对应的认证动态口令,即:
Zi=spw0
步骤S203,将账号和账号对应的认证动态口令发送至安全管理平台,以进行认证。
通过步骤S202获得了账号对应的认证动态口令,终端将账号与该账号对应的认证动态口令发送至安全管理平台以进行认证。当认证通过后,用户可以通过该终端访问相应的工控设备。
需要说明的是,当账号的权限等级为第一权限等级且认证通过后,安全管理平台会更新口令更新次数、账号对应的动态口令和认证基准动态值,并将更新后的口令更新次数和账号对应的动态口令下发至终端。相应的,终端接收安全管理平台发送的更新过的口令更新次数和账号对应的动态口令以备用。
图3是本实施例提供的一种用于工控系统的认证装置的原理框图,可用于安全管理平台。如图3所示,该用于工控系统的认证装置可以包括:接收模块301、权限获得模块302和认证模块303。
接收模块301,用于终端发送的账号和账号对应的认证动态口令。
其中,账号与处于安全管理平台管辖范围的工控设备相对应。安全管理平台为具有安全管理功能的软件或硬件或软硬件的相结合,对处于其管辖范围的工控设备进行安全管理。处于安全管理平台的工控设备分属于不同的业务层级,且分属于不同业务层级工控设备对应的账号具有不同的权限等级。
需要说明的是,认证动态口令与账号的权限等级相关。一般来说,账号权限等级越高,其对应认证动态口令的计算方法相应越复杂。但是对于安全管理平台来说,其接收到的认证动态口令是一串数字或字符或数字字符相结合的信息,它从认证动态口令本身无法判断该认证动态口令计算方法的复杂度。
在一个实施方式中,处于安全管理平台的工控设备分属于第一业务层级和第二业务层级。相应的,工控设备对应账号的权限等级包括第一权限等级和第二权限等级,且具有第一权限等级的账号对应第一业务层级的工控设备,具有第二权限等级的账号对应第二业务层级的工控设备。终端在接收到用户发送的访问工控设备请求时,首先根据账号的权限等级为该账号生成对应的认证动态口令,并将账号和账号对应的认证动态口令发送至安全管理平台。安全管理平台通过接收模块301接收终端发送的账号和账号对应的认证动态口令。
在一个实施例中,终端根据账号的权限等级为该账号生成对应的认证动态口令包括:当账号为第一权限等级时,终端将用户发送的访问工控设备请求中的动态口令,通过与安全管理平台预先约定的加密算法进行计算,获得该账号的认证动态口令;当账号为第二权限等级时,终端直接将访问工控设备请求中的动态口令作为该账号的认证动态口令。
还需要说明的是,在接收模块301接收终端发送的账号和账号对应的认证动态口令之前,安全管理平台需要为处于其管辖范围的工控设备配置相应的账号和账号信息。其中,账号信息包括但不限于口令更新阈值、口令更新次数、动态口令和认证基准动态值。
在一个实施方式中,假设处于安全管理平台的工控设备分属于第一业务层级和第二业务层级。安全管理平台基于工控设备分属的业务层级为其配置相应权限等级的账号,具体地,为分属于第一业务层级的工控设备配置具有第一权限等级的账号,为分属于第二业务层级的工控设备配置具有第二权限等级的账号。
完成账号及账号权限配置之后,安全管理平台设置口令更新阈值,初始化口令更新次数(一般情况初始值为零),并根据账号的权限等级生成对应的动态口令和认证基准动态值。一般来说,账号的权限等级越高,其对应的动态口令和/或认证基准动态值的计算方法复杂度就越高,以满足相应的安全管理需求。
完成账号和账号信息的配置之后,安全管理平台将账号、账号对应的认证基准动态值、口令更新阈值和口令更新次数存储在安全管理平台;将账号、口令更新阈值、口令更新次数下发至终端;将账号和账号对应的动态口令下发至用户。
需要说明的是,关于动态口令和认证基准动态值的计算方法包括现在的和将来出现的任何加密算法。
如,某工控系统包括生产监控层和现场控制层两个业务层级。其中,生产监控层中的设备为生产监控类设备,现场控制层中的设备为现场控制类设备。将该工控系统划分为若干个安全分区,并为每个安全分区配置对应的安全管理平台。其中,每个安全分区包括一台或多台生产监控类设备和一台或多台现场控制类设备。
以其中某一安全分区为例进行说明。假设该安全分区包括1台生产监控类设备和2台现场控制类设备。该安全分区对应的安全管理平台为这1台生产监控类设备和2台现场控制类设备配置相应的账号和账号信息的过程包括:
第一步:为工控设备创建账号。
假设生产监控层工控设备对应账号权限等级为第一权限等级,现场控制层工控设备对应账号权限等级为第二权限等级;生产监控类设备对应的设备标识为MD1,现场控制类设备对应的设备标识分别为SD1和SD2。
由于生产监控类设备MD1所属业务层级为生产监控层,因此安全管理平台为其创建具有第一权限等级的账号USER_MD1;由于现场控制类设备SD1所属业务层级为现场控制层,因此安全管理平台为其创建具有第二权限等级的账号USER_SD1,同理为现场控制类设备SD2创建具有第二权限等级的账号USER_SD2。
第二步:根据账号权限等级生成相应的动态口令和认证基准动态值。
首先,安全管理平台设置口令更新阈值为n,初始化口令更新次数为0。
其次,为账号USER_MD1生成相应的动态口令和第一认证基准动态值,具体包括:
利用随机函数生成账号USER_MD1对应的动态口令mpw0。
基于口令更新阈值n和动态口令mpw0,利用单向函数H,计算获得第一认证基准动态值Y0
其中,Y0=H(n)(mpw0)。
再次,为账号USER_SD1生成相应的动态口令和第二认证基准动态值,具体包括:
基于账号USER_SD1、账号USER_SD1对应的现场控制类设备的设备标识SD1、账号USER_MD1对应的第一认证基准动态值Y0,利用散列函数T,计算获得动态口令spw0_SD1。
其中,spw0_SD1=T(SD1,USER_SD1,Y0)[0:8]。
设置账号USER_SD1对应的第二认证基准动态值为Z0-SD1,令Z0-SD1=spw0_SD1。
同理,可以获得账号USER_SD2对应的动态口令spw0_SD2和第二认证基准动态值Z0-SD2。
其中,spw0_SD2=T(SD2,USER_SD2,Y0)[0:8],Z0-SD2=spw0_SD2。
第三步:下发账号和账号信息。
将口令更新阈值n,初始化口令更新次数0,账号USER_MD1对应的第一认证基准动态值Y0、账号USER_SD1对应的第二认证基准动态值Z0-SD1和账号USER_SD2对应的第二认证基准动态值Z0-SD2存储在安全管理平台;
将账号USER_MD1、账号USER_SD1、账号USER_SD2、口令更新阈值n和初始化口令更新次数0下发至终端;
将账号USER_MD1和对应的动态口令mpw0、账号USER_SD1和对应的动态口令spw0_SD1与账号USER_SD2和对应的动态口令spw0_SD2下发至用户。
权限获得模块302,用于获得账号的权限等级。
其中,账号的权限等级与工控设备所属业务层级对应。一般情况下,工控设备所属业务层级的重要性和/或安全要求越高,其对应的账号权限等级也就越高。
在一个实施方式中,安全管理平台通过接收模块301接收到终端发送的账号之后,权限获得模块302首先确定该账号对应工控设备所属的业务层级,再根据业务层级与账号权限等级的对应关系,获得该账号的权限等级。
如,安全管理平台管辖范围内的工控设备分属于第一业务层级和第二业务层级,且分属于第一业务层级的工控设备对应的账号具有第一权限等级,分属于第二业务层级的工控设备对应的账号具有第二权限等级。假设通过接收模块301接收到的账号为USER1,权限获得模块302首先通过判断获得USER1对应工控设备所属业务层级为第一业务层级,再根据第一业务层级与账号第一权限等级的对应关系,从而获得该账号的权限等级为第一权限等级。
需要说明的是,账号权限等级的级数可以根据实际需求进行设置,可以包括二级以上。
认证模块303,用于基于账号的权限等级对账号对应的认证动态口令进行认证,获得认证结果。
认证模块303根据权限获取模块302获得的账号权限等级,采用与账号权限等级相应的认证方法对该账号的认证动态口令进行认证。这是考虑到不同权限等级的账号具有不同的安全管理需求,从而针对不同权限等级的账号设置满足其安全管理需求的认证方法。这种基于账号权限等级的安全认证方法一方面可以满足相应的安全管理需求,另一方面还可以节省相应的资源(低权限等级账号的认证复杂度相对也低,认证所需要的计算资源和存储资源也相应较少,从而达到在满足安全管理需求的同时节省计算资源和存储资源的效果)。
在一个实施方式中,假设账号具有第一权限等级和第二权限等级。认证模块303对账号基于权限等级进行认证的过程包括:
当账号的权限等级为第一权限等级时,基于该账号对应认证动态口令,通过加密算法计算获得验证动态值,并比较验证动态值与该账号对应的第一认证基准动态值是否一致,当两者一致时认证通过,两者不一致时认证失败;当账号的权限等级为第二权限等级时,比较该账号对应认证动态口令与该账号对应的第二认证基准动态值是否一致,当两者一致时认证通过,两者不一致时认证失败。其中,账号的认证基准动态值是安全管理平台根据账号权限等级生成的,且第一权限等级的账号对应第一认证基准动态值,第二权限等级的账号对应第二认证基准动态值。基于认证动态口令计算验证动态值所采用的加密算法包括现在的和将来出现的任何加密算法。
需要说明的是,当第一权限等级账号对应的认证动态口令通过认证模块303的认证之后,安全管理平台执行相应的更新操作,具体包括:将该账号对应的第一认证基准动态值更新为认证动态口令,并相应更新第二权限等级账号对应的动态口令和第二认证基准动态值,同时更新口令更新次数,然后将口令更新次数下发至终端,将账号和账号对应的且更新过的动态口令下发至用户。其中,当更新完口令更新次数后,安全管理平台还将比较口令更新次数和口令更新阈值。当口令更新次数大于预设的口令更新阈值时,安全管理平台重新初始化口令更新次数,并根据账号的权限等级重新生成账号对应的动态口令和认证基准动态值,然后将账号对应的口令更新次数下发至终端,将重新生成的与账号对应的动态口令下发至用户。
还需要说明的是,在获得认证结果之后,安全管理平台将账号的认证信息和安全管理平台的操作日志上传区块链。具体地,在该区块链中为每个账号分配相应的区块链交易地址,将该账号的认证信息和安全管理平台基于该账号的操作日志上传至该账号对应的区块链交易地址。
如,安全管理平台接收模块301接收到的账号为USER_SD1,该账号对应的认证动态口令为Zi,并通过权限获取模块302获得该账号为第二权限等级账号。认证模块303对账号USER_SD1的认证动态口令Zi进行认证的过程包括:
首先,比较该账号对应认证动态口令与该账号对应的第二认证基准动态值是否一致。
假设安全管理平台预存的账号USER_SD1对应的第二认证基准动态值为Z0,比较Zi与Z0,判断两者是否一致。
其次,根据比较结果判断是否通过认证。
当Zi与Z0一致时,表示认证通过,用户可以通过终端访问账号USER_SD1对应的工控设备;
当Zi与Z0不一致时,表示认证失败,用户无法通过终端访问账号USER_SD1对应的工控设备。
又如,安全管理平台接收模块301接收到的账号为USER_MD1,该账号对应的认证动态口令为Yi,并通过权限获取模块302获得该账号为第一权限等级账号。认证模块303对账号USER_MD1的认证动态口令Yi进行认证的过程包括:
首先,基于该账号对应认证动态口令通过加密算法计算获得第一验证动态值。
假设加密算法为单向单数H,利用单向函数H对认证动态口令Yi进行计算,获得第一验证动态值Yi′:
Yi′=H(Yi)
其次,比较验证动态值与该账号对应的第一认证基准动态值是否一致。
假设安全管理平台预存的账号USER_MD1对应的第一认证基准动态值为Y0,比较计算得到的Yi′与Y0,判断两者是否一致。
最后,根据比较结果判断是否通过认证。
当Yi′与Y0一致时,表示认证通过,用户可以通过终端访问账号USER_MD1对应的工控设备;
当Yi′与Y0不一致时,表示认证失败,用户无法通过终端访问账号USER_MD1对应的工控设备。
进一步地,由于账号USER_MD1为第一权限等级账号,当账号的认证动态口令Yi通过认证模块303的验证之后,安全管理平台还执行相应的更新操作。
假设该安全管理平台的管辖范围内除账号USER_MD1对应的工控设备外,还包括另外一台工控设备,该工控设备对应的账号为USER_SD1,USER_SD1权限等级为第二权限等级,对应的动态口令为spw0,对应的第二认证基准动态值为Z0。其中:
spw0=T(SD1,USER_SD1,Y0)[0:8];
Z0=spw0_SD1。
其中,T为散列函数,SD1为账号USER_SD1对应工控设备的设备标识,Y0为账号USER_MD1对应的第一认证基准动态值。
安全管理平台执行的更新操作包括:
首先,更新账号USER_MD1对应的第一认证基准动态值。
将账号USER_MD1对应的第一认证基准动态值Y0更新为认证动态口令Yi
其次,更新安全管理平台内第二权限等级账号对应的动态口令和第二认证基准动态值。
由于账号USER_MD1对应的第一认证基准动态值Y0更新为Yi,而账号USER_SD1对应的动态口令与第二认证基准动态值均是与第一认证基准动态值相关的函数,所以进行相应更新。具体地,将账号USER_SD1对应的动态口令spw0更新为spwi,将第二认证基准动态值Z0更新为Zi。其中,spwi与Zi通过以下公式计算获得:
spwi=T(SD1,USER_SD1,Yi)[0:8];
Zi-=spwi_SD1。
再次,更新口令更新次数。
即将原来口令更新次数的数值加一作为新的口令更新次数。
最后,下发账号和账号信息。
将口令更新次数、账号USER_MD1和对应的第一认证基准动态值Yi与账号USER_SD1和对应的第二认证基准动态值Zi存储在安全管理平台;将口令更新次数下发至终端;将账号USER_SD1和对应的动态口令spwi下发至用户。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种用于工控系统的认证方法,应用于安全管理平台,其特征在于,包括:
接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;
获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;
基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。
2.根据权利要求1所述的用于工控系统的认证方法,其特征在于,所述接收终端发送的账号和所述账号对应的认证动态口令之前,还包括:
设置口令更新阈值,初始化口令更新次数,根据所述账号权限等级生成对应的动态口令和认证基准动态值;
将所述账号、口令更新阈值和口令更新次数下发至所述终端,将所述账号与所述账号对应的动态口令下发至用户。
3.根据权利要求1所述的用于工控系统的认证方法,其特征在于,所述基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,包括:
所述账号的权限等级包括第一权限等级和第二权限等级;
若所述账号的权限等级为所述第一权限等级,则基于所述认证动态口令计算验证动态值,比较所述验证动态值与所述账号对应的第一认证基准动态值是否一致,若一致则认证通过;
若所述账号的权限等级为所述第二权限等级,则比较所述认证动态口令与所述账号对应的第二认证基准动态值是否一致,若一致则认证通过。
4.根据权利要求3所述的用于工控系统的认证方法,其特征在于,当所述账号对应的认证动态口令通过认证之后,还包括:
若所述账号的权限等级为所述第一权限等级,则将所述账号对应的所述第一认证基准动态值更新为所述认证动态口令,并相应更新所述第二权限等级账号对应的所述动态口令和所述第二认证基准动态值;
更新所述口令更新次数;
将所述口令更新次数下发至所述终端,将所述账号和所述账号对应的且更新过的所述动态口令下发至用户。
5.根据权利要求4所述的用于工控系统的认证方法,其特征在于,所述更新所述口令更新次数之后,还包括:
比较所述口令更新次数和所述口令更新阈值;
若所述口令更新次数大于所述口令更新阈值时,重新初始化所述口令更新次数,并根据所述账号的权限等级重新生成所述账号对应的所述动态口令和所述认证基准动态值,再将所述口令更新次数下发至终端,将重新生成的与所述账号对应的动态口令下发至所述用户。
6.根据权利要求1所述的用于工控系统的认证方法,其特征在于,所述获得认证结果之后,还包括:
将所述账号的认证信息和所述安全管理平台的操作日志上传区块链。
7.一种用于工控系统的认证方法,应用于终端,其特征在于,包括:
接收用户的访问工控设备请求,所述访问工控设备请求包括账号和所述账号对应的动态口令,其中,所述账号和所述动态口令是由安全管理平台生成的;
获得所述账号的权限等级,并根据所述账号权限等级获得所述账号对应的认证动态口令;
将所述账号和所述账号对应的认证动态口令发送至所述安全管理平台,以进行认证。
8.根据权利要求7所述的用于工控系统的认证方法,其特征在于,所述根据所述账号权限等级获得所述账号对应的认证动态口令,包括:
所述账号的权限等级包括第一权限等级和第二权限等级;
若所述账号的权限等级为所述第一权限等级,则根据所述终端与所述安全管理平台预先约定的加密算法,基于所述动态口令计算获得所述账号对应的认证动态口令;
若所述账号的权限等级为所述第二权限等级,则将所述账号对应的所述动态口令作为所述账号的认证动态口令。
9.根据权利要求7所述的用于工控系统的认证方法,其特征在于,所述将所述账号和所述账号对应的认证动态口令发送至所述安全管理平台,以进行认证之后,还包括:
若所述账号的权限等级为第一权限等级且认证通过时,接收所述安全管理平台发送的口令更新次数和所述账号对应的且更新过的所述动态口令。
10.一种用于工控系统的认证装置,应用于安全管理平台,其特征在于,包括:
接收模块,用于接收终端发送的账号和所述账号对应的认证动态口令;其中,所述账号与处于所述安全管理平台管辖范围的工控设备相对应,所述工控设备分属于不同的业务层级;
权限获取模块,用于获得所述账号的权限等级,其中,所述账号的权限等级与所述工控设备所属业务层级对应;
认证模块,用于基于所述账号的权限等级对所述账号对应的认证动态口令进行认证,获得认证结果。
CN201911159170.3A 2019-11-22 2019-11-22 一种用于工控系统的认证方法和装置 Pending CN111090841A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911159170.3A CN111090841A (zh) 2019-11-22 2019-11-22 一种用于工控系统的认证方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911159170.3A CN111090841A (zh) 2019-11-22 2019-11-22 一种用于工控系统的认证方法和装置

Publications (1)

Publication Number Publication Date
CN111090841A true CN111090841A (zh) 2020-05-01

Family

ID=70393525

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911159170.3A Pending CN111090841A (zh) 2019-11-22 2019-11-22 一种用于工控系统的认证方法和装置

Country Status (1)

Country Link
CN (1) CN111090841A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112507325A (zh) * 2020-12-03 2021-03-16 深圳天地宽视信息科技有限公司 一种设备访问权限的管理方法、装置、设备及存储介质
CN114745178A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 身份认证方法、装置、计算机设备、存储介质和程序产品

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377740A (zh) * 2010-08-12 2012-03-14 西门子公司 一种工业访问控制方法及装置
CN103795724A (zh) * 2014-02-07 2014-05-14 陈珂 一种基于异步动态口令技术的保护账户安全的方法
WO2015136800A1 (ja) * 2014-03-13 2015-09-17 株式会社日立ソリューションズ 認証装置、認証システム及び認証方法
US20170289141A1 (en) * 2014-10-28 2017-10-05 Feitian Technologies Co., Ltd. Operating method for one-time password with updatable seed
CN107919984A (zh) * 2017-11-06 2018-04-17 深圳狗尾草智能科技有限公司 具备自动升级功能的运维服务器及其管理方法
WO2018157247A1 (en) * 2017-02-28 2018-09-07 Bioconnect Inc. System and method for securing communications with remote security devices
US20190215319A1 (en) * 2018-01-10 2019-07-11 Abb Schweiz Ag Industrial automation device and cloud service
US20190312866A1 (en) * 2018-04-05 2019-10-10 Samsung Electronics Co., Ltd. Network apparatus and control method thereof

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377740A (zh) * 2010-08-12 2012-03-14 西门子公司 一种工业访问控制方法及装置
CN103795724A (zh) * 2014-02-07 2014-05-14 陈珂 一种基于异步动态口令技术的保护账户安全的方法
WO2015136800A1 (ja) * 2014-03-13 2015-09-17 株式会社日立ソリューションズ 認証装置、認証システム及び認証方法
US20170289141A1 (en) * 2014-10-28 2017-10-05 Feitian Technologies Co., Ltd. Operating method for one-time password with updatable seed
WO2018157247A1 (en) * 2017-02-28 2018-09-07 Bioconnect Inc. System and method for securing communications with remote security devices
CN107919984A (zh) * 2017-11-06 2018-04-17 深圳狗尾草智能科技有限公司 具备自动升级功能的运维服务器及其管理方法
US20190215319A1 (en) * 2018-01-10 2019-07-11 Abb Schweiz Ag Industrial automation device and cloud service
US20190312866A1 (en) * 2018-04-05 2019-10-10 Samsung Electronics Co., Ltd. Network apparatus and control method thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112507325A (zh) * 2020-12-03 2021-03-16 深圳天地宽视信息科技有限公司 一种设备访问权限的管理方法、装置、设备及存储介质
CN112507325B (zh) * 2020-12-03 2022-10-28 深圳天地宽视信息科技有限公司 一种设备访问权限的管理方法、装置、设备及存储介质
CN114745178A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 身份认证方法、装置、计算机设备、存储介质和程序产品

Similar Documents

Publication Publication Date Title
CN106462674B (zh) 使用验证令牌的资源访问控制
US7774824B2 (en) Multifactor device authentication
US9300664B2 (en) Off-host authentication system
EP1914658B1 (en) Identity controlled data center
US20140189807A1 (en) Methods, systems and apparatus to facilitate client-based authentication
CN109756446B (zh) 一种车载设备的访问方法和系统
CN108616504B (zh) 一种基于物联网的传感器节点身份认证系统及方法
US9485255B1 (en) Authentication using remote device locking
CN101262342A (zh) 分布式授权与验证方法、装置及系统
EP3704622B1 (en) Remote locking a multi-user device to a set of users
CN111953634B (zh) 终端设备的访问控制方法、装置、计算机设备和存储介质
CN111159656A (zh) 一种防止软件非授权使用的方法、装置、设备和存储介质
WO2019177563A1 (en) Hardware security
US20130047203A1 (en) Method and Apparatus for Third Party Session Validation
CN102571874B (zh) 一种分布式系统中的在线审计方法及装置
CN111090841A (zh) 一种用于工控系统的认证方法和装置
US20210135872A1 (en) Implicit attestation for network access
CN108604280B (zh) 交易方法、交易信息处理方法、交易终端及服务器
US20240048562A1 (en) Sponsor delegation for multi-factor authentication
CN112422516B (zh) 基于电力边缘计算的可信连接方法、装置和计算机设备
WO2024109269A1 (zh) At指令权限管理方法、装置、计算机设备和存储介质
CN112261103A (zh) 一种节点接入方法及相关设备
CN108390892B (zh) 一种远程存储系统安全访问的控制方法和装置
US8584201B2 (en) Method and apparatus for session validation to access from uncontrolled devices
CN107395341A (zh) 一种物联网安全认证芯片及基于该芯片的访问控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200501