CN111614684B - 工业设备安全终端认证系统和认证方法 - Google Patents
工业设备安全终端认证系统和认证方法 Download PDFInfo
- Publication number
- CN111614684B CN111614684B CN202010449403.XA CN202010449403A CN111614684B CN 111614684 B CN111614684 B CN 111614684B CN 202010449403 A CN202010449403 A CN 202010449403A CN 111614684 B CN111614684 B CN 111614684B
- Authority
- CN
- China
- Prior art keywords
- terminal
- self
- fingerprint
- fingerprint code
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Lock And Its Accessories (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种工业设备安全终端认证系统和认证方法,其中,安全终端通过标准串口与自助终端相连,安全终端与防护网关相连;安全终端用于采集自助终端的硬件信息,并针对每个自助终端生成一唯一的终端指纹码,并对终端指纹码进行加密和签名,并将加密和签名后的终端指纹码信息发送至防护网关;防护网关针对接收到的终端指纹码信息进行验签和解密,并将解密后的终端指纹码信息与本地预置的指纹信息进行对比,若对比成功则允许自助终端通信,若对比不成功则阻断自助终端通信。通过本发明的技术方案,从根本上解决自助终端设备的安全风险问题,确保自助终端的唯一合法性,且安全终端兼容性强、方便安装、即插即用。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种工业设备安全终端认证系统和一种工业设备安全终端认证方法。
背景技术
目前,无人值守、自助终端、自助缴费这种无接触办公模式会成为一种趋势,各种营业厅各类服务类终端提供了越来越方便、快捷、人性化的服务,比如各级电力营业厅投运的各种服务类终端数量越来越多,同时涌现各式各样的网络终端设备。
这些已投运的终端设备,在系统最初安全设计上已实现了软件级别的安全接入和防护,但由于目前安全防护措施相对薄弱以及黑客攻击手段不断增强,在将来营业厅各种智能化设备大规模部署后会致使点多面广、分布广泛的系统面临来自公网或专网的网络攻击风险,比如黑客偷偷更换终端设备的硬件部件,或者在硬件部件里面植入一些木马程序等,导致终端侧对用户的资金安全、个人隐私信息存在安全威胁。
发明内容
针对上述问题中的至少之一,本发明提供了一种工业设备安全终端认证系统,通过在自助终端设备上兼容安装安全终端,采集自助终端的硬件信息生成唯一的终端指纹码,并在加密和签名后发送至防护网关进行解密和验签,在对比判断到终端指纹码与预置的指纹信息不匹配时阻断自助终端的通信,从而从根本上解决自助终端设备的安全风险问题,确保自助终端的唯一合法性,且安全终端兼容性强、方便安装、即插即用。
为实现上述目的,本发明提供了一种工业设备安全终端认证系统,应用于自助终端,包括安全终端和防护网关;所述安全终端通过标准串口与所述自助终端相连,所述安全终端与所述防护网关相连;所述安全终端用于采集所述自助终端的硬件信息,并针对每个所述自助终端生成一唯一的终端指纹码,并对所述终端指纹码进行加密和签名,并将加密和签名后的终端指纹码信息发送至所述防护网关;所述防护网关针对接收到的终端指纹码信息进行验签和解密,并将解密后的终端指纹码信息与本地预置的指纹信息进行对比,若对比成功则允许所述自助终端通信,若对比不成功则阻断所述自助终端通信。
在上述技术方案中,优选地,所述安全终端用于生成基于噪声源的随机数,利用该随机数作为加密密钥对所述终端指纹码进行加密,并利用国密证书对加密数据进行签名。
在上述技术方案中,优选地,所述安全终端和所述防护网关中分别预设有私钥和公钥,所述私钥和所述公钥构成密钥对,所述安全终端利用所述私钥对所述随机数进行加密,所述防护网关利用所述公钥对接收到的加密后的所述随机数进行解密。
在上述技术方案中,优选地,所述防护网关本地预置有指纹白名单,所述指纹白名单中包括所述安全终端在安装过程中采集所述自助终端的硬件信息生成的终端指纹码。
在上述技术方案中,优选地,所述安全终端采用SM4算法对所述终端指纹码进行加密,采用SM2证书对加密数据进行签名。
本发明还提出一种工业设备安全终端认证方法,应用于如上述技术方案中任一项所述的工业设备安全终端认证系统,包括:采集自助终端的硬件信息,并生成终端指纹码;对所述终端指纹码进行加密和签名,并将加密和签名后的终端指纹码信息发送至防护网关;所述防护网关对接收到的所述终端指纹码信息进行解密和验签,如果验签成功且所述终端指纹码信息与本地预置的指纹信息匹配成功,则允许所述自助终端通信,否则阻断所述自助终端通信。
在上述技术方案中,优选地,所述安全终端以基于噪声源的随机数作为加密密钥,对所述终端指纹码进行加密,以证书私钥对所述加密指纹进行签名,以私钥加密所述随机数,并将加密后的随机数和加密、签名后的所述终端指纹码发送至所述防护网关。
在上述技术方案中,优选地,所述防护网关以与所述私钥相适配的公钥解密所述随机数,然后对所述签名进行验签,若验签失败则直接阻断所述自助终端的通信,若验签成功则以所述随机数继续解密所述终端指纹码信息,解密后将所述终端指纹码与本地预置的指纹白名单进行对比,判断所述终端指纹码是否与指纹白名单中的指纹信息相匹配,若不匹配则阻断所述自助终端的通信,若匹配则保持所述自助终端的通信。
在上述技术方案中,优选地,所述安全终端采用SM4算法对所述终端指纹码进行加密,采用SM2证书对加密数据进行签名。
在上述技术方案中,优选地,所述安全终端采集所述自助终端的CPU序列号、硬盘序列号、IP地址、MAC地址、内存大小及所述安全终端的硬件信息。
与现有技术相比,本发明的有益效果为:通过在自助终端设备上兼容安装安全终端,采集自助终端的硬件信息生成唯一的终端指纹码,并在加密和签名后发送至防护网关进行解密和验签,在对比判断到终端指纹码与预置的指纹信息不匹配时阻断自助终端的通信,从而从根本上解决自助终端设备的安全风险问题,确保自助终端的唯一合法性,且安全终端兼容性强、方便安装、即插即用。
附图说明
图1为本发明一种实施例公开的工业设备安全终端认证系统的模拟拓扑结构示意图;
图2为本发明一种实施例公开的工业设备安全终端认证方法的流程示意图;
图3为本发明一种实施例公开的终端指纹码采集流程示意图;
图4为本发明一种实施例公开的防护网关认证流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
如图1所示,根据本发明提供的一种工业设备安全终端认证系统,应用于自助终端,包括安全终端和防护网关;安全终端通过标准串口与自助终端相连,安全终端与防护网关相连;安全终端用于采集自助终端的硬件信息,并针对每个自助终端生成一唯一的终端指纹码,并对终端指纹码进行加密和签名,并将加密和签名后的终端指纹码信息发送至防护网关;防护网关针对接收到的终端指纹码信息进行验签和解密,并将解密后的终端指纹码信息与本地预置的指纹信息进行对比,若对比成功则允许自助终端通信,若对比不成功则阻断自助终端通信。
在该实施例中,通过在自助终端设备上兼容安装安全终端,采集自助终端的硬件信息生成唯一的终端指纹码,并在加密和签名后发送至防护网关进行解密和验签,在对比判断到终端指纹码与预置的指纹信息不匹配时阻断自助终端的通信,从而从根本上解决自助终端设备的安全风险问题,确保自助终端的唯一合法性,且安全终端兼容性强、方便安装、即插即用。
在上述实施例中,优选地,安全终端用于生成基于噪声源的随机数,利用该随机数作为加密密钥对终端指纹码进行加密,并利用国密证书对加密数据进行签名。
其中,证书由专门的CA系统签发,一套安全终端认证系统使用一个密钥对,在生成一组密钥对后,通过硬件接口将私钥写入并固化于安全终端中,公钥导入防护网关中。安全终端在自助终端上运行指纹采集程序,该程序根据自助终端上的CPU序列号、硬盘序列号、IP地址、MAC地址、内存大小及安全终端的硬件信息生成具有唯一性的终端指纹码,并提供给防护网关,防护网关将该终端指纹码加入到预置的指纹白名单中,从根本上解决非法设备接入业务网络或人为修改自助终端硬件模块的风险。
其中,优选地,采用基于噪声源的硬件随机数作为密钥并采用SM4算法对终端指纹码进行加密,再利用国密SM2证书对加密数据进行数据签名,从而保证其安全性。
在上述实施例中,优选地,安全终端和防护网关中分别预设有私钥和公钥,私钥和公钥构成密钥对,安全终端利用私钥对随机数进行加密,防护网关利用公钥对接收到的加密后的随机数进行解密。
在上述实施例中,优选地,防护网关本地预置有指纹白名单,安全终端在安装过程中采集自助终端的硬件信息,从而生成终端指纹码,并将终端指纹码加入指纹白名单中。
如图2至图4所示,本发明还提出一种工业设备安全终端认证方法,应用于如上述实施例中任一项的工业设备安全终端认证系统,包括:采集自助终端的硬件信息,并生成终端指纹码;对终端指纹码进行加密和签名,并将加密和签名后的终端指纹码信息发送至防护网关;防护网关对接收到的终端指纹码信息进行解密和验签,如果验签成功且终端指纹码信息与本地预置的指纹信息匹配成功,则允许自助终端通信,否则阻断自助终端通信。
在上述实施例中,优选地,安全终端以基于噪声源的随机数作为加密密钥,对终端指纹码进行加密,以证书私钥对加密指纹进行签名,以私钥加密随机数,并将加密后的随机数和加密、签名后的终端指纹码发送至防护网关。
在上述实施例中,优选地,防护网关以与私钥相适配的公钥解密随机数,然后对签名进行验签,若验签失败则直接阻断自助终端的通信,若验签成功则以随机数继续解密终端指纹码信息,解密后将终端指纹码与本地预置的指纹白名单进行对比,判断终端指纹码是否与指纹白名单中的指纹信息相匹配,若不匹配则阻断自助终端的通信,若匹配则保持自助终端的通信。
根据上述实施例提供的工业设备安全终端认证方法,具体包括:
首先,安全终端在自助终端上运行服务程序采集自助终端的CPU序列号、硬盘序列号、IP地址、MAC地址、内存大小及安全终端的硬件信息,计算生成自助终端的终端指纹码;终端指纹码发送至安全终端后,安全终端基于噪声源产生随机数,使用该随机数作为加密密钥对终端指纹码进行加密;
然后,利用证书私钥对加密后的终端指纹码信息进行签名,再用私钥加密随机数,将加密后的随机数和加密、签名后的终端指纹码信息发送至防护网关;
防护网关接收到加密的随机数和加密、签名后的终端指纹码信息后,先利用公钥解密随机数,然后对终端指纹码信息进行验证签名,如果验签失败,说明数据被纂改或者伪自助终端冒名接入,则防护网关直接阻断该自助终端所连接的交换机端口,如果验签成功,则继续解密指纹信息;
解密后通过与本地预置的指纹库信息对比,判断是否是白名单里面的指纹信息,如果是则说明是合法设备,如果不是说明则为非法接入设备,此时立刻阻断该自助终端接入的交换机端口。
进一步的,当监测到自助终端的终端指纹码信息不匹配或验签失败时,向相应的运营商或营业厅发送告警信息,以进一步提高防御安全风险的能力。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种工业设备安全终端认证系统,应用于自助终端,其特征在于,包括安全终端和防护网关;
所述安全终端通过标准串口与所述自助终端相连,所述安全终端与所述防护网关相连;
所述安全终端兼容安装于所述自助终端上,所述安全终端用于采集所述自助终端的硬件信息,并针对每个所述自助终端生成一唯一的终端指纹码,所述安全终端用于生成基于噪声源的随机数,利用该随机数作为加密密钥对所述终端指纹码进行加密,并利用国密证书对加密数据进行签名,并将加密和签名后的终端指纹码信息发送至所述防护网关;
所述防护网关针对接收到的终端指纹码信息进行验签和解密,并将解密后的终端指纹码信息与本地预置的指纹信息进行对比,若对比成功则允许所述自助终端通信,若对比不成功则阻断所述自助终端通信;
其中,所述安全终端采集的所述自助终端的硬件信息包括所述自助终端的CPU序列号、硬盘序列号、IP地址、MAC地址、内存大小及所述安全终端的硬件信息;
所述安全终端和所述防护网关中分别预设有私钥和公钥,所述私钥和所述公钥构成密钥对,一套安全终端认证系统使用一个所述密钥对,通过硬件接口将私钥写入并固化于所述安全终端中,公钥导入所述防护网关中,所述安全终端利用所述私钥对所述随机数进行加密,所述防护网关利用所述公钥对接收到的加密后的所述随机数进行解密。
2.根据权利要求1所述的工业设备安全终端认证系统,其特征在于,所述防护网关本地预置有指纹白名单,所述指纹白名单中包括所述安全终端在安装过程中采集所述自助终端的硬件信息生成的终端指纹码。
3.根据权利要求1所述的工业设备安全终端认证系统,其特征在于,所述安全终端采用SM4算法对所述终端指纹码进行加密,采用SM2证书对加密数据进行签名。
4.一种工业设备安全终端认证方法,其特征在于,应用于如权利要求1至3中任一项所述的工业设备安全终端认证系统,包括:
采集自助终端的CPU序列号、硬盘序列号、IP地址、MAC地址、内存大小及安全终端的硬件信息,并生成终端指纹码;
以基于噪声源的随机数作为加密密钥,对所述终端指纹码进行加密,并利用国密证书对加密数据进行签名,并将加密和签名后的终端指纹码信息发送至防护网关;
所述防护网关对接收到的所述终端指纹码信息进行解密和验签,如果验签成功且所述终端指纹码信息与本地预置的指纹信息匹配成功,则允许所述自助终端通信,否则阻断所述自助终端通信。
5.根据权利要求4所述的工业设备安全终端认证方法,其特征在于,所述安全终端以证书私钥对加密指纹进行签名,以私钥加密所述随机数,并将加密后的随机数和加密、签名后的所述终端指纹码发送至所述防护网关。
6.根据权利要求4所述的工业设备安全终端认证方法,其特征在于,所述防护网关以与所述私钥相适配的公钥解密所述随机数,然后对所述签名进行验签,若验签失败则直接阻断所述自助终端的通信,若验签成功则以所述随机数继续解密所述终端指纹码信息,解密后将所述终端指纹码与本地预置的指纹白名单进行对比,判断所述终端指纹码是否与指纹白名单中的指纹信息相匹配,若不匹配则阻断所述自助终端的通信,若匹配则保持所述自助终端的通信。
7.根据权利要求4所述的工业设备安全终端认证方法,其特征在于,所述安全终端采用SM4算法对所述终端指纹码进行加密,采用SM2证书对加密数据进行签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010449403.XA CN111614684B (zh) | 2020-05-25 | 2020-05-25 | 工业设备安全终端认证系统和认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010449403.XA CN111614684B (zh) | 2020-05-25 | 2020-05-25 | 工业设备安全终端认证系统和认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111614684A CN111614684A (zh) | 2020-09-01 |
| CN111614684B true CN111614684B (zh) | 2022-10-21 |
Family
ID=72204086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010449403.XA Active CN111614684B (zh) | 2020-05-25 | 2020-05-25 | 工业设备安全终端认证系统和认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111614684B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
| CN113992414B (zh) * | 2021-10-28 | 2024-06-14 | 马上消费金融股份有限公司 | 数据的访问方法、装置及设备 |
| CN115484053A (zh) * | 2022-08-02 | 2022-12-16 | 国网浙江省电力有限公司桐乡市供电公司 | 一种基于人工智能的零信任物联网终端设备身份认证方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786550A (zh) * | 2017-10-17 | 2018-03-09 | 中电长城(长沙)信息技术有限公司 | 一种自助设备的安全通信方法、安全通信系统及自助设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3007167A1 (fr) * | 2013-06-14 | 2014-12-19 | France Telecom | Procede d'authentification d'un terminal par une passerelle d'un reseau interne protege par une entite de securisation des acces |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
-
2020
- 2020-05-25 CN CN202010449403.XA patent/CN111614684B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786550A (zh) * | 2017-10-17 | 2018-03-09 | 中电长城(长沙)信息技术有限公司 | 一种自助设备的安全通信方法、安全通信系统及自助设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111614684A (zh) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111614684B (zh) | 工业设备安全终端认证系统和认证方法 | |
| CN102510333B (zh) | 一种授权认证方法及系统 | |
| CN107733636B (zh) | 认证方法以及认证系统 | |
| CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
| CN111159684B (zh) | 一种基于浏览器的安全防护系统和方法 | |
| CN111614621B (zh) | 物联网通信方法和系统 | |
| CN112396735B (zh) | 网联汽车数字钥匙安全认证方法及装置 | |
| CN111224784B (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| CN101964805B (zh) | 一种数据安全发送与接收的方法、设备及系统 | |
| KR20160113248A (ko) | 기기 증명서 제공 장치, 기기 증명서 제공 시스템 및 기기 증명서 제공 프로그램을 기록한 컴퓨터 판독 가능한 비 일시적 기록 매체 | |
| CN111540093A (zh) | 一种门禁控制系统及其控制方法 | |
| CN112565265A (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
| CN111583482A (zh) | 一种基于二维码的门禁控制系统及其控制方法 | |
| CN108989038B (zh) | 一种用于地理位置认证的识别设备、系统及方法 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN114024672A (zh) | 一种低压电力线载波通信系统安全防护方法及系统 | |
| CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN108632295B (zh) | 防止终端反复攻击服务器的方法 | |
| KR101326243B1 (ko) | 사용자 인증 방법 | |
| CN107343276B (zh) | 一种终端的sim卡锁数据的保护方法及系统 | |
| CN114422266A (zh) | 一种基于双重验证机制的IDaaS系统 | |
| CN114885326A (zh) | 一种银行移动作业安全防护方法、装置和存储介质 | |
| CN116633530A (zh) | 量子密钥传输方法、装置及系统 | |
| KR20150005789A (ko) | 인증서를 이용한 사용자 인증 방법 | |
| KR20210104338A (ko) | 양자난수 기반의 양자암호화칩이 탑재된 비화게이트웨이 및 이를 이용한 IoT디바이스간 비화통신 서비스 제공방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |