CN112383557B - 一种安全接入网关及工业设备通信管理方法 - Google Patents
一种安全接入网关及工业设备通信管理方法 Download PDFInfo
- Publication number
- CN112383557B CN112383557B CN202011288558.6A CN202011288558A CN112383557B CN 112383557 B CN112383557 B CN 112383557B CN 202011288558 A CN202011288558 A CN 202011288558A CN 112383557 B CN112383557 B CN 112383557B
- Authority
- CN
- China
- Prior art keywords
- access
- external equipment
- api
- equipment
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明实施例提供了一种安全接入网关及工业设备通信管理方法,涉及通信技术领域。安全接入网关包括证书管理模块,接收到外部设备的证书申请请求时,对外部设备进行身份验证,当验证通过时为外部设备申请数字证书;身份认证模块,接收到外部设备的接入请求时,对携带的数字证书进行验证;票据管理模块,接收到数字证书验证通过的消息时,生成访问票据并返回给外部设备;访问控制模块,接收到外部设备的访问请求时,对携带的访问票据以及API进行验证,当验证通过时向工业设备发送API执行请求,并返回执行结果。本发明使用票据访问,显著提升了身份认证与访问控制效率,且对外部设备的身份与访问API进行严格检查,保障了认证安全。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种安全接入网关及工业设备通信管理方法。
背景技术
工业互联网作为新一代信息技术与制造业深度融合的产物,通过对人、机、物的全面互联,构建起全要素、全产业链、全价值链全面连接的新型生产制造和服务体系,是数字化转型的实现途径,是实现新旧动能转换的关键力量。工业互联网作为“新基建”的七大领域之一,其重要性上升到一个新的高度。
工业互联网是工业数字化转型的承载与外在表现。工业互联网的核心原理是:数据驱动物理系统与数字空间互联协同。数据是工业互联网的灵魂,呈现出自下而上从设备层、边缘层到企业层、产业层的南北向流动与每个层次内部的东西向流动之特点。网络互联、系统互通数据加速流动的同时,也产生了若干数据安全风险。
工业互联网平台的安全风险。目前典型的工业互联网平台自下而上依次包括设备层、边缘层、企业层和产业层,随着设备入网以及产业协同日益频繁,安全威胁也逐步增长,设备层安全威胁主要表现在:用户非法登录现场设备,外部设备非法接入工控网络,指令被篡改、重放等安全威胁,并且这些安全威胁会以OT(Operational Technology,运营技术)网络为跳板进一步蔓延到IT(Information Technology,信息技术)网络。
目前工业互联网场景中,外部设备与内网工业设备通信时,多采用数字证书认证和用户名口令认证方式对外网设备进行认证。但现有技术中由于数字证书认证机制问题,导致认证效率很低、延时长,影响业务操作。而用户名口令认证方式容易被冒用,安全隐患极大,攻击者可以采用观察、拦截、试探等多种方式,获取用户名口令,假冒用户请求数据。
发明内容
本发明提供一种安全接入网关及工业设备通信管理方法,解决现有技术中外部设备与内网工业设备通信认证方式存在效率低、安全性差的问题。
在本发明实施的第一方面,提供了一种安全接入网关,包括:
证书管理模块,用于接收到工业互联网外部设备上传的证书申请请求时,对所述外部设备进行身份验证,当所述外部设备身份验证通过时,为所述外部设备申请数字证书,并将获得的数字证书返回给所述外部设备;
身份认证模块,用于接收到外部设备上传的接入请求时,对所述接入请求中携带的数字证书进行验证,当所述接入请求中携带的数字证书验证通过时,将验证通过的消息发送给票据管理模块;
票据管理模块,用于接收到所述身份认证模块发送的验证通过的消息时,为所述外部设备生成访问票据,并将所述访问票据返回给所述外部设备;
访问控制模块,用于接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据以及API信息进行验证,当所述访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
优选的,所述证书申请请求中携带有外部设备的设备信息以及待访问的API信息;
所述证书管理模块具体用于:接收到工业互联网外部设备上传的证书申请请求时,根据预先经过验证的外部设备的真实设备信息以及可访问的合法API信息,对所述证书申请请求中携带的设备信息以及API信息进行验证,当所述证书申请请求中携带的设备信息以及API信息均验证通过时,确定所述外部设备身份验证通过,否则,确定所述外部设备身份验证不通过。
优选的,所述安全接入网关还包括:
外部设备信息管理模块,用于提供设备信息录入接口和API信息录入接口,并将录入的外部设备的设备信息以及可访问的API信息经过验证后进行存储。
优选的,所述证书管理模块具体用于:当所述外部设备身份验证通过时,向证书颁发机构发送为所述外部设备申请数字证书的请求,使得所述证书颁发机构采用第一预设国家商用密码算法为所述外部设备生成数字证书,并所述证书颁发机构返回的数字证书发送给所述外部设备。
优选的,所述第一预设国家商用密码算法为椭圆曲线公钥密码算法SM2或密码杂凑算法SM3。
优选的,所述票据管理模块还用于:为所述外部设备生成访问票据后,设置所述访问票据的有效期;
所述访问控制模块具体用于:接收到外部设备上传的访问工业互联网内部设备的API的访问请求时,对所述访问请求中携带的访问票据的真实性和有效期分别进行验证。
优选的,所述票据管理模块具体用于:采用第二预设国家商用密码算法为所述外部设备生成访问票据。
优选的,所述第二预设国家商用密码算法为分组密码算法SM4。
优选的,所述安全接入网关还包括API代理模块;
所述访问控制模块具体用于:当所述通信请求中携带的访问票据以及API信息均验证通过时,向所述API代理模块发送API转发请求,使得所述API代理模块向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
在本发明实施的第二方面,还提供了一种工业设备通信管理方法,包括:
接收到工业互联网外部设备上传的证书申请请求时,对所述外部设备进行身份验证,当所述外部设备身份验证通过时,为所述外部设备申请数字证书,并将获得的数字证书返回给所述外部设备;
接收到外部设备上传的接入请求时,对所述接入请求中携带的数字证书进行验证;
当所述接入请求中携带的数字证书验证通过时,为所述外部设备生成访问票据,并将所述访问票据返回给所述外部设备;
接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据以及API信息进行验证;当所述访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
在本发明实施的第三方面,还提供了一种电子设备,包括:处理器、通信接口、存储器和通信总线;其中,处理器、通信接口以及存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现如上任一项所述的工业设备通信管理方法中的步骤。
在本发明实施的第四方面,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一项所述的工业设备通信管理方法。
针对在先技术,本发明具备如下优点:
本发明实施例中,安全接入网关包括证书管理模块、身份认证模块、票据管理模块和访问控制模块;证书管理模块接收到工业互联网外部设备上传的证书申请请求时,对外部设备进行身份验证,当外部设备身份验证通过时,为外部设备申请数字证书,并将获得的数字证书返回给外部设备;身份认证模块接收到外部设备上传的接入请求时,对接入请求中携带的数字证书进行验证,当接入请求中携带的数字证书验证通过时,将验证通过的消息发送给票据管理模块;票据管理模块接收到身份认证模块发送的验证通过的消息时,为外部设备生成访问票据,并将访问票据返回给外部设备;访问控制模块接收到外部设备上传的访问工业互联网内部设备API的访问请求时,对访问请求中携带的访问票据以及API信息进行验证,当访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给外部设备。安全接入网关从设备层接入角度,解决外部接入设备身份可信问题,在外部设备首次接入时,安全接入网关检验外部设备身份合法性,为其发放身份数字证书并生成票据,外部设备获得票据后,使用票据访问,显著提升了身份认证与访问控制效率,解决了证书认证效率低的问题,且对接入的外部设备的身份与访问API进行严格的检查,保障了认证安全的情况下,数据传输效率不受影响。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的安全接入网关的示意框图;
图2为本发明实施例提供的安全接入网关与其他外部系统的关系示意图;
图3为本发明实施例提供的安全接入网关为外部设备获取身份数字证书的流程示意图;
图4为本发明实施例提供的安全接入网关为外部设备进行接入身份认证的流程示意图;
图5为本发明实施例提供的外部设备持票据与工业互联网内部设备通信的流程示意图;
图6为本发明实施例提供的卷烟厂安全接入网关的示意框图;
图7为本发明实施例提供的卷烟厂安全接入网关的技术架构示意图;
图8为本发明实施例提供的卷烟厂安全接入网关部署架构示意图;
图9为本发明实施例提供的智能网联汽车安全接入网关的示意框图;
图10为本发明实施例提供的智能网联汽车安全接入网关的技术架构示意图;
图11为本发明实施例提供的智能网联汽车安全接入网关部署构架示意图;
图12为本发明实施例提供的工业设备通信管理方法的流程示意图;
图13为本发明实施例提供的电子设备的示意框图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解的是,还可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
在工业领域中,生产企业的IT架构一般由设备层、边缘层、企业层三个层次构成,保障设备稳定运行,支持企业持续运营。但是随着工业互联网产业的快速发展,企业设备层的大量生产工业设备需要与企业外部软硬件设备对接,在对接过程中,产生了众多由于外部设备身份不可控,造成的信息安全问题,严重影响企业正常运营。
本发明实施例提出了一种安全接入网关及工业设备通信管理方法。安全接入网关从设备层接入角度,解决外部接入设备身份可信问题,并采用票据技术,保障安全认证的情况下,数据传输效率不受影响。
图1是本发明实施例提供的安全接入网关的示意框图,参见图1所示,该安全接入网关100包括:
证书管理模块101,用于接收到工业互联网外部设备上传的证书申请请求时,对所述外部设备进行身份验证,当所述外部设备身份验证通过时,为所述外部设备申请数字证书,并将获得的数字证书返回给所述外部设备。
这里,在外部设备向安全接入网关申请证书时,由证书管理模块101验证其身份后,为外部设备申请数字证书,并在获得数字证书后,将证书发放至外部设备,从而在外部设备申请数字证书之前首先进行一次身份认证,只有当身份认证通过时才允许外部设备申请数字证书,提高了安全保障。
其中,证书管理模块101对外部设备进行身份验证的方式如可为对外部设备的设备信息进行验证,或者对外部设备的设备信息以及待访问的API(ApplicationProgramming Interface,应用程序接口)信息进行验证等。
其中,证书管理模块101在外部设备身份验证通过时,可向证书颁发机构CA为外部设备申请数字证书,但不限于此。
其中,本发明实施例中所提到的外部设备指的是生产企业工业互联网外部的软硬件设备,可以是任意形式的外部设备。
身份认证模块102,用于接收到外部设备上传的接入请求时,对所述接入请求中携带的数字证书进行验证,当所述接入请求中携带的数字证书验证通过时,将验证通过的消息发送给票据管理模块。
这里,外部设备申请接入安全接入网关时,由身份认证模块102验证其身份数字证书的合法性与有效性,当验证通过时发送消息给票据管理模块进行下一步处理,从而在外部设备与生产企业内部设备通信前再次进行身份认证,只有当身份认证通过时才允许外部设备接入与内部设备通信,进一步保障了安全性。
其中,身份认证模块102对数字证书进行验证时,可自行对数字证书进行验证,也可将数字证书发送给证书颁发机构CA进行验证。
票据管理模块103,用于接收到所述身份认证模块发送的验证通过的消息时,为所述外部设备生成访问票据,并将所述访问票据返回给所述外部设备。
这里,身份认证模块102对外部设备的身份数字证书验证通过后,由票据管理模块103为外部设备生成安全访问票据,从而使外部设备与内部设备通信时将访问票据作为身份认证数据,利用访问票据进行身份认证,能够显著提升身份认证与访问控制效率。
访问控制模块104,用于接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据以及API信息进行验证,当所述访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
这里,外部设备携带访问票据请求与生产企业工业互联网内部设备通信时,由访问控制模块验证访问票据和API有效性,从而对外部设备的身份与访问API进行严格的检查,保障通信安全,且通过访问票据进行认证,显著提升了身份认证与访问控制效率。
优选的,所述安全接入网关还包括API代理模块105;
所述访问控制模块104具体用于:当所述通信请求中携带的访问票据以及API信息均验证通过时,向所述API代理模块105发送API转发请求,使得所述API代理模块105向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
此时,访问控制模块104对访问票据以及API进行有效性验证后,通过API代理模块105代为向生产企业内部设备转发API执行请求,起到了隔离与安全控制的作用。
本发明实施例的安全接入网关100从设备层接入角度,解决外部接入设备身份可信问题,在外部设备首次接入时,安全接入网关100检验外部设备身份合法性,为其发放身份数字证书并生成票据,外部设备获得票据后,使用票据访问,显著提升了身份认证与访问控制效率,解决了证书认证效率低的问题,且对接入的外部设备的身份与访问API进行严格的检查,保障了认证安全的情况下,数据传输效率不受影响。
优选的,所述证书申请请求中携带有外部设备的设备信息以及待访问的API信息;
所述证书管理模块101具体用于:接收到工业互联网外部设备上传的证书申请请求时,根据预先经过验证的外部设备的真实设备信息以及可访问的合法API信息,对所述证书申请请求中携带的设备信息以及API信息进行验证,当所述证书申请请求中携带的设备信息以及API信息均验证通过时,确定所述外部设备身份验证通过,否则,确定所述外部设备身份验证不通过。
此时,证书管理模块101在外部设备申请证书时,根据预先经过验证外部设备的真实设备信息以及可访问的合法API信息,对外部设备上报的设备信息以及API信息进行合法性与安全性验证,只有验证通过时,才允许外部设备申请数字证书,从而通过对外部接入设备的身份与访问的API进行严格的检查与细粒度比对,实现外部接入设备的身份认证与访问控制,能够大幅提升工业场景安全接入保障能力。
其中,证书管理模块101具体可验证证书申请请求中携带的设备信息以及API信息,与预先经过验证的真实设备信息以及可访问的合法API信息是否一致,如果一致,则验证通过。
其中,外部设备的设备信息如可包括设备名称、IP地址、MAC地址等,但不限于此。
其中,安全接入网关100还可实现对外部设备的权限控制。权限控制指对外部设备访问工业互联网平台的地址和API等进行控制,即限定不同外部设备能够访问的内部设备地址和API,实际可根据需求灵活设置,在此不做限定。
优选的,所述安全接入网关100还包括:
外部设备信息管理模块106,用于提供设备信息录入接口和API信息录入接口,并将录入的外部设备的设备信息以及可访问的API信息经过验证后进行存储。
其中,工业互联网内部设备的API如可包括控制设备启动、停止、转弯等操作的API(仅为举例说明,并不局限于此),对于不同外部设备可限制其可访问的API,外部设备在安全接入网关录入信息时,同时填写设备信息和可访问的API信息。
此时,外部设备首先在安全接入网关100填写设备信息和API信息,安全接入网关100在验证设备信息以及API信息的合法性与安全性后,对外部设备填写的设备信息以及API信息进行存储,以便后续对外部设备的身份验证,同时安全接入网关100在系统中填写验证结果,外部设备采用接口,获取验证结果。
其中,安全接入网关100可采用人工方式验证外部设备首次填写的设备信息以及API信息,但不限于此。
优选的,所述证书管理模块101具体用于:当所述外部设备身份验证通过时,向证书颁发机构发送为所述外部设备申请数字证书的请求,使得所述证书颁发机构采用第一预设国家商用密码算法为所述外部设备生成数字证书,并所述证书颁发机构返回的数字证书发送给所述外部设备。
其中,所述第一预设国家商用密码算法可为椭圆曲线公钥密码算法SM2或密码杂凑算法SM3,但不限于此。
这里,安全接入网关100获得外部设备的证书申请请求后,首先验证身份信息与API信息,验证通过后,向证书颁发机构CA申请身份数字证书,CA采用SM2、SM3等商用密码算法生成数字证书,并将证书发起至安全接入网关,安全接入网关将证书发放至外部设备。现有技术中数字证书认证多以国外RSA算法为主,在自主可控方面存在很大隐患,本发明实施例使用国家商用密码算法,实现了自主可控,避免了安全隐患。
如图2所示,为本发明实施例的安全接入网关与其他外部系统的关系示意图。本发明实施例的安全接入网关分别与外部设备、生产企业工业互联网内部设备、CA等外部系统交互。安全接入网关以CA为基础,实现基于商用密码算法的身份认证、数据加解密。安全接入网关隔离了外部设备和生产企业内部设备,为外部设备接入到生产企业内部设备提供统一的身份认证。
如图3所示,为本发明实施例的安全接入网关为外部设备获取身份数字证书的流程示意图。在生产企业IT架构的设备层部署安全接入网关,安全接入网关是生产企业设备层与外部设备交互的代理,所有接入经过安全接入网关身份验证后,方可进行后续访问操作。外部设备身份数字证书获取步骤如下:S301、外部设备首先在安全接入网关填写设备信息和API信息;S302、安全接入网关采用人工方式验证身份信息以及API信息的合法性与安全性,并在系统中填写验证结果;S303、外部设备采用接口,获取验证结果;S304、外部设备打包身份信息与API,申请数字证书;S305、安全接入网关获得证书申请请求后,验证打包信息与验证过的真实身份信息和合法API信息是否一致,验证通过后,向CA申请身份数字证书;S306、CA采用SM2、SM3等商用密码算法生成数字证书,并将证书发送至安全接入网关,安全接入网关将证书发放至外部设备。经过上述6个步骤,外部设备获取了用于接入生产企业设备层的身份数字证书。
优选的,所述票据管理模块103还用于:为所述外部设备生成访问票据后,设置所述访问票据的有效期;
所述访问控制模块104具体用于:接收到外部设备上传的访问工业互联网内部设备的API的访问请求时,对所述访问请求中携带的访问票据的真实性和有效期分别进行验证。
此时,票据管理模块103为外部设备生成访问票据的同时,可设置访问票据的有效期,在有效期内,外部设备都可持访问票据访问工业互联网内部设备的API,提高了身份认证和访问控制效率。
其中,系统可根据实际需求灵活设置不同外部设备访问票据的有效期,在此不做限定。例如对于访问比较频繁的外部设备,可为通信使用的访问票据设置较长的有效期,如设置一张访问票据能够进行10次http请求的身份认证,对于访问比较少的外部设备,可为通信使用的访问票据设置较短的有效期,如设置一张访问票据仅能够进行1次http请求的身份认证。
优选的,所述票据管理模块103具体用于:采用第二预设国家商用密码算法为所述外部设备生成访问票据。
其中,所述第二预设国家商用密码算法可为分组密码算法SM4,但不限于此。
此时,使用国家商用密码算法生成访问票据,实现了自主可控,避免了安全隐患。且访问票据是采用国家商用密码算法生成的字符串,此字符串具有不可逆运算且能快速解密效果。外部设备获得票据后,使用票据访问,大幅提高身份认证与访问控制效率,解决了证书认证效率低的问题。
如图4所示,为本发明实施例的安全接入网关为外部设备进行接入身份认证的流程示意图。外部设备与生产企业内部设备通讯前进行身份认证。认证过程描述如下:S401、外部设备向安全接入网关提交数字证书,请求身份验证;S402、安全接入网关检验证书合法性和有效性;S403、检验通过后,为外部设备生成访问票据;S404、访问票据作为身份验证的返回值,发送至外部设备。
如图5所示,为本发明实施例的外部设备持票据与工业互联网内部设备通信的流程示意图。外部设备身份认证通过后,获得通信访问票据,持访问票据与工业内部设备通信,通信过程描述如下:S501、外部设备持访问票据向安全接入网关发起API访问请求;S502、安全接入网关验证访问票据和API,验证通过后,向工业内部设备转发请求;S503、工业内部设备执行API操作;S504、按接口要求将执行结果填写至返回值;S505、安全接入网关将返回值返回外部设备,之后结束此次通信。
本发明实施例的安全接入网关,基于商用密码算法,采用国密证书与票据相结合的方式,对接入设备的身份与访问API进行严格的检查与细粒度比对,实现工业接入设备身份认证与访问控制,大幅提升工业场景安全接入保障能力。且外部设备使用安全接入网关生成的访问票据进行访问,能够大幅提高身份认证与访问控制效率,解决了证书认证效率低的问题。
如图1所示,本发明实施例的安全接入网关还可包括系统管理模块107,用于提供管理员用户管理、加密卡等基础管理功能。系统管理模块107还可提供服务管理、策略管理和服务监控。服务管理指将设备侧与安全接入网关的通信类型分为身份注册、身份认证、数据传输等多种服务类型。策略管理指根据服务类型、服务数量定义服务优先级、控制服务启停等。服务监控指监控服务执行情况,根据管理策略优化数据通信过程,确保各种通信类型高效完成。
本发明实施例的安全接入网关还可包括数据加解密模块(图中未示出),用于对设备侧发送到工业互联网的数据执行加密与解密操作。具体的,当安全接入网关部署在工厂侧场景中,可由安全接入网关执行数据加密后,将密文发送至工业互联网平台。当安全接入网关部署在工业互联网平台侧场景中,安全接入网关接收到工厂侧上传的密文后,执行解密操作。
下面结合具体的应用场景对本发明实施例的安全接入网关举例说明如下。
示例一:
在卷烟厂的日常生产业务中,主要包括制丝设备、卷包设备、动力能源设备。制丝设备负责将烟叶切成烟丝,卷包设备负责将烟丝卷到烟支中,并包装到盒、包装到条、包装到箱。动力能源设备负责为制丝线、卷包线提供水电气汽生产过程所需能源。制丝设备、卷包设备、动力能源设备稳定运转是保障生产的必要前提,因此需要大量监测系统与设备,监测制丝、卷包和动力能源设备,以及时发现问题,辅助进行运维保障工作。
应用本发明实施例的安全接入网关架构所搭建的卷烟厂安全接入网关如图6所示。卷烟厂安全接入网关由外部设备信息管理模块、证书管理模块、访问控制模块、身份认证模块、票据管理模块、API代理模块等构成。其中外部设备信息管理模块用于记录与审核接入到制丝线设备、卷包线设备、动力能源设备的外部设备信息与API接口详细信息,包括设备信息录入、API录入、信息审核以及设备信息与API验证子模块。证书管理模块用于接收外部设备身份请求信息,向CA申请基于商用密码算法的证书,并将证书发放至外部设备,包括证书申请、证书同步以及证书列表子模块。票据管理模块用于生成外部设备快速访问卷烟厂生产线设备的临时性凭证,即采用商密算法生成访问票据字符串,并规定票据有效期,安全接入网关验证访问票据有效性与真实性,大幅提高身份认证与访问控制效率,票据管理模块包括票据生成、票据模型以及票据验证子模块。API代理模块用于转发外部设备访问卷烟厂生产线设备的API,起到了隔离与安全控制的作用,包括API转发、服务监控以及服务调度子模块。访问控制模块包括票据验证、API验证子模块。身份认证模块包括证书验证子模块。系统管理模块包括用户管理、加密卡以及日志审计子模块。
如7所示,为卷烟厂安全接入网关的技术架构示意图。卷烟厂安全接入网关在技术层面上分为设备前置接入网关和安全接入管理子系统。
设备前置接入网关,用于认证接入设备身份,加密入云数据,监控数据传输服务。主要功能包括设备认证、权限控制、数据加密、服务监控。其中设备认证功能,首先外部设备在接入卷烟厂工业互联网平台前向设备前置接入网关申请数字证书,设备前置接入网关验证外部设备身份后,向CA请求数字证书,由CA采用SM2、SM3等国密算法为外部设备发布数字证书。然后,外部设备携数字证书向设备前置接入网关请求身份认证,设备前置接入网关可以将请求转发至CA进行身份认证。身份认证通过后,进行数据传输工作。权限控制是指对设备侧请求工业互联网平台的地址、API等进行控制。数据加密是指对设备侧发送到工业互联网的数据执行加密与解密操作,在设备前置接入网关均部署在工厂侧场景中,由设备前置接入网关执行数据加密后,将密文发送至工业互联网平台。在设备前置接入网关均部署在工业互联网平台侧场景中,设备前置接入网关接收到工业侧上传的密文后,执行解密操作。
安全接入管理子系统,用于管理设备前置接入网关。主要功能包括接入传输监控、服务与策略管理、协议解密与转发、接入认证、对接密码基础设施,为设备前置接入网关提供身份认证、设备注册、数据加解密、服务推送等功能。服务管理是指将设备侧与安全前置接入网关的通信类型分为身份注册、身份认证、数据传输等多种服务类型。策略管理指根据服务类型、服务数量定义服务优先级、控制服务启停等。服务监控是指监控服务执行情况,根据管理策略优化数据通信过程,确保各种通信类型高效完成。
卷烟厂安全接入网关主要技术指标包括:支持SM2、SM3、SM4等商用密码算法;新建连接速度(次/秒)>3000;吞吐率(MB/秒)>800Mbps;每秒认证数(TPS)>5000。
如图8所示,为卷烟厂安全接入网关部署架构示意图。在本项目中,卷烟厂网络架构包括接入认证区和核心计算区,两个区之间有防火墙隔离。安全接入网关部署在接入认证区。有3套外部系统通过安全接入网关接入卷烟厂生产线,其中制丝线设备监测系统1套,接入卷烟厂制丝生产设备,包括20个API。卷包线设备监测系统1套,接入卷烟厂卷包生产设备,包括15个API。动力设备监测系统4套,接入卷烟厂动力能源设备,包括26个API。安全接入网关在这里完成身份认证、票据生成与认证、访问控制和证书同步工作。
示例二:
V2X(Vehicle to Everything,V代表车辆,X代表与车辆通信的外部单元)智能网联汽车是实现车辆自动驾驶的重要环节。在智能网联汽车运行场景中,车载信息系统、路边单元如智能路灯、手机端如电子钥匙、配置设备如充电桩等大量设备需要接入智能网联汽车的云端平台,如何保障大量接入设备安全可信,接入设备访问安全可信,是智能网联汽车发展的必要基石。
应用本发明实施例的安全接入网关架构所搭建的智能网联汽车安全接入网关如图9所示。基于商用密码算法的智能网联汽车安全接入网关,为智能网联汽车云端平台提供安全接入检验能力,保障低延时、海量接入、高带宽等不同应用场景下,接入到云端平台的车载系统、路边单元、电子钥匙APP、充电桩身份可信、访问指令可信。
智能网联汽车安全接入网关由安全接入网关代理端和安全接入网关服务端两部分组成。其中安全接入网关代理端为车载信息、路边单元等外部设备提供商密证书服务、票据服务、身份认证服务、访问控制服务以及API代理服务;安全接入网关服务端为外部设备提供基本信息管理服务(车辆、路边单元、APP信息等管理服务),并为安全接入网关代理端提供商密证书的发放、同步服务以及票据管理服务。
如图10所示,为智能网联汽车安全接入网关的技术架构示意图。面向车载智能终端、路边单元、移动APP、配套设备接入云端平台业务场景,以保护个人隐私数据、车辆行驶数据等重要数据的机密性、可用性、完整性为主要目标,基于PDRR安全模型,围绕着数据生命周期,依托商用密码算法,构建纵深防御、自主可控的智能网联汽车安全接入网关。
智能网联汽车安全接入网关的证书发放功能。车载智能终端、路边单元、移动APP、充电桩等外部设备在与云端通信前,首先将身份信息注册到安全接入网关服务端的信息管理模块。注册完成后,车载智能终端等外部设备向安全接入网关代理端发起证书申请,由安全接入网关检验身份后,向CA发起证书申请,CA基于商用密码算法,生成外部设备数字证书,并返回至请求设备。证书支持数据加解密、签名、生成摘要数据。证书发放过程覆盖安全接入网关代理端的商密证书同步模块、安全接入网关服务端的信息管理模块、商密证书发放模块、商密证书同步模块。
智能网联汽车安全接入网关的身份认证功能。车载智能终端、路边单元、移动APP、充电桩等外部设备向安全接入网关提交数字证书,请求身份验证。安全接入网关检验证书合法性、有效性。检验通过后,为其生成访问票据。访问票据作为身份验证的返回值,发送至车载智能终端、路边单元、移动APP、充电桩等外部设备。
智能网联汽车安全接入网关的访问控制功能。车载智能终端、路边单元、移动APP、充电桩等外部设备身份认证通过后,获取访问票据,持有效的访问票据与云端平台通信。外部设备持访问票据向安全接入网关发起访问请求;安全接入网关验证访问票据,验证通过后,向云端平台转发请求;云端平台执行API,并按接口要求填写返回值;安全接入网关将返回值返回车载智能终端、路边单元、移动APP、充电桩等外部设备,并结束此次通信。
智能网联汽车安全接入网关主要技术指标包括:支持SM2、SM3、SM4等商用密码算法;支持中标麒麟、银河麒麟;身份认证>450次/秒;身份认证响应时间<1000ms;新建连接速度(次/秒)>3000;吞吐率(MB/秒)>800Mbps;每秒认证数(TPS)>5000。
如图11所示,为智能网联汽车安全接入网关部署构架示意图。本项目中,外部设备数量大,包括2万余台车载端、10万余智能路灯、ETC等路边单元、10余部署手机终端、8000余台充电桩等配置设备。地理范围广,车辆行驶在全国所有行政区域。因此将安全接入网关分成代理端和服务端两部分,其中安全接入网关代理端采用边缘部署模式,就近于外部设备通信侧,服务端集中部署于云端。
车载智能终端、路边单元、移动APP、充电桩等外部设备与边缘侧安全接入网关代理端通信,由根据业务场景完成身份认证、访问控制等工作,安全接入网关代理端与服务端根据业务场景,进行证书同步与票据协同工作。
本发明实施例的安全接入网关可应用到各种工业环境中,并基于不同的工业环境对系统架构做各种适配变形,这些变形也应在本发明的保护范围内。
本发明实施例的安全接入网关,基于商用密码算法,采用国密证书与票据相结合的方式,对接入设备的身份与访问API进行严格的检查与细粒度比对,实现工业接入设备身份认证与访问控制,大幅提升工业场景安全接入保障能力。且外部设备使用安全接入网关生成的访问票据进行访问,能够大幅提高身份认证与访问控制效率,解决了证书认证效率低的问题。
参见图12所示,本发明实施例还提供了一种工业设备通信管理方法,包括:
步骤1201:接收到工业互联网外部设备上传的证书申请请求时,对所述外部设备进行身份验证,当所述外部设备身份验证通过时,为所述外部设备申请数字证书,并将获得的数字证书返回给所述外部设备;
步骤1202:接收到外部设备上传的接入请求时,对所述接入请求中携带的数字证书进行验证;
步骤1203:当所述接入请求中携带的数字证书验证通过时,为所述外部设备生成访问票据,并将所述访问票据返回给所述外部设备;
步骤1204:接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据以及API信息进行验证;当所述访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
本发明实施例的工业设备通信管理方法,从设备层接入角度,解决外部接入设备身份可信问题,在外部设备首次接入时,检验外部设备身份合法性,为其发放身份数字证书并生成票据,外部设备获得票据后,使用票据访问,显著提升了身份认证与访问控制效率,解决了证书认证效率低的问题,且对接入的外部设备的身份与访问API进行严格的检查,保障了认证安全的情况下,数据传输效率不受影响。
优选的,所述证书申请请求中携带有外部设备的设备信息以及待访问的API信息;
接收到工业互联网外部设备上传的证书申请请求时,对所述外部设备进行身份验证的步骤包括:
接收到工业互联网外部设备上传的证书申请请求时,根据预先经过验证的外部设备的真实设备信息以及可访问的合法API信息,对所述证书申请请求中携带的设备信息以及API信息进行验证,当所述证书申请请求中携带的设备信息以及API信息均验证通过时,确定所述外部设备身份验证通过,否则,确定所述外部设备身份验证不通过。
优选的,所述方法还包括:
将外部设备录入的设备信息以及可访问的API信息经过验证后进行存储。
优选的,当所述外部设备身份验证通过时,为所述外部设备申请数字证书的步骤包括:
当所述外部设备身份验证通过时,向证书颁发机构发送为所述外部设备申请数字证书的请求,使得所述证书颁发机构采用第一预设国家商用密码算法为所述外部设备生成数字证书,并所述证书颁发机构返回的数字证书发送给所述外部设备。
优选的,所述第一预设国家商用密码算法为椭圆曲线公钥密码算法SM2或密码杂凑算法SM3。
优选的,所述方法还包括:
为所述外部设备生成访问票据后,设置所述访问票据的有效期;
接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据进行验证的步骤包括:
接收到外部设备上传的访问工业互联网内部设备的API的访问请求时,对所述访问请求中携带的访问票据的真实性和有效期分别进行验证。
优选的,为所述外部设备生成访问票据的步骤包括:
采用第二预设国家商用密码算法为所述外部设备生成访问票据。
优选的,所述第二预设国家商用密码算法为分组密码算法SM4。
本发明实施例的工业设备通信管理方法,基于商用密码算法,采用国密证书与票据相结合的方式,对接入设备的身份与访问API进行严格的检查与细粒度比对,实现工业接入设备身份认证与访问控制,大幅提升工业场景安全接入保障能力。且外部设备使用访问票据进行访问,能够大幅提高身份认证与访问控制效率,解决了证书认证效率低的问题。
对于上述方法实施例而言,由于其与安全接入网关实施例基本相似,相关之处参见安全接入网关实施例的部分说明即可。
本发明实施例还提供了一种电子设备,该电子设备可以是服务器。如图13所示,包括处理器1301、通信接口1302、存储器1303和通信总线1304,其中,处理器1301,通信接口1302,存储器1303通过通信总线1304完成相互间的通信。
存储器1303,用于存放计算机程序。
处理器1301用于执行存储器1303上所存放的程序时,实现如下步骤:
接收到工业互联网外部设备上传的证书申请请求时,对所述外部设备进行身份验证,当所述外部设备身份验证通过时,为所述外部设备申请数字证书,并将获得的数字证书返回给所述外部设备;
接收到外部设备上传的接入请求时,对所述接入请求中携带的数字证书进行验证;
当所述接入请求中携带的数字证书验证通过时,为所述外部设备生成访问票据,并将所述访问票据返回给所述外部设备;
接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据以及API信息进行验证;当所述访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中所述的工业设备通信管理方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中所述的工业设备通信管理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk (SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,包含在本发明的保护范围内。
Claims (10)
1.一种安全接入网关,其特征在于,包括:证书管理模块,用于接收到工业互联网外部设备上传的证书申请请求时,根据预先经过验证的外部设备的真实设备信息及可访问的合法API信息,对所述证书申请请求中携带的设备信息及API信息进行验证,当所述证书申请请求中携带的设备信息及API信息均验证通过时,确定所述外部设备身份验证通过,当所述外部设备身份验证通过时,为所述外部设备申请数字证书,并将获得的数字证书返回给所述外部设备,所述证书申请请求中携带有所述外部设备的设备信息以及待访问的API信息;
身份认证模块,用于接收到外部设备上传的接入请求时,对所述接入请求中携带的数字证书进行验证,当所述接入请求中携带的数字证书验证通过时,将验证通过的消息发送给票据管理模块;
票据管理模块,用于接收到所述身份认证模块发送的验证通过的消息时,为所述外部设备生成访问票据,并将所述访问票据返回给所述外部设备;
访问控制模块,用于接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据以及API信息进行验证,当所述访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
2.根据权利要求1所述的安全接入网关,其特征在于,所述证书申请请求中携带有外部设备的设备信息以及待访问的API信息;
所述证书管理模块具体用于:接收到工业互联网外部设备上传的证书申请请求时,根据预先经过验证的外部设备的真实设备信息以及可访问的合法API信息,对所述证书申请请求中携带的设备信息以及API信息进行验证,当所述证书申请请求中携带的设备信息以及API信息均验证通过时,确定所述外部设备身份验证通过,否则,确定所述外部设备身份验证不通过。
3.根据权利要求2所述的安全接入网关,其特征在于,所述安全接入网关还包括:
外部设备信息管理模块,用于提供设备信息录入接口和API信息录入接口,并将录入的外部设备的设备信息以及可访问的API信息经过验证后进行存储。
4.根据权利要求1所述的安全接入网关,其特征在于,所述证书管理模块具体用于:当所述外部设备身份验证通过时,向证书颁发机构发送为所述外部设备申请数字证书的请求,使得所述证书颁发机构采用第一预设国家商用密码算法为所述外部设备生成数字证书,并所述证书颁发机构返回的数字证书发送给所述外部设备。
5.根据权利要求4所述的安全接入网关,其特征在于,所述第一预设国家商用密码算法为椭圆曲线公钥密码算法SM2或密码杂凑算法SM3。
6.根据权利要求1所述的安全接入网关,其特征在于,所述票据管理模块还用于:为所述外部设备生成访问票据后,设置所述访问票据的有效期;
所述访问控制模块具体用于:接收到外部设备上传的访问工业互联网内部设备的API的访问请求时,对所述访问请求中携带的访问票据的真实性和有效期分别进行验证。
7.根据权利要求1所述的安全接入网关,其特征在于,所述票据管理模块具体用于:采用第二预设国家商用密码算法为所述外部设备生成访问票据。
8.根据权利要求7所述的安全接入网关,其特征在于,所述第二预设国家商用密码算法为分组密码算法SM4。
9.根据权利要求1所述的安全接入网关,其特征在于,所述安全接入网关还包括API代理模块;
所述访问控制模块具体用于:当所述访问请求中携带的访问票据以及API信息均验证通过时,向所述API代理模块发送API转发请求,使得所述API代理模块向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
10.一种工业设备通信管理方法,其特征在于,包括:
接收到工业互联网外部设备上传的证书申请请求时,根据预先经过验证的外部设备的真实设备信息及可访问的合法API信息,对所述证书申请请求中携带的设备信息及API信息进行验证,当所述证书申请请求中携带的设备信息及API信息均验证通过时,确定所述外部设备身份验证通过,当所述外部设备身份验证通过时,为所述外部设备申请数字证书,并将获得的数字证书返回给所述外部设备,所述证书申请请求中携带有所述外部设备的设备信息以及待访问的API信息;
接收到外部设备上传的接入请求时,对所述接入请求中携带的数字证书进行验证;
当所述接入请求中携带的数字证书验证通过时,为所述外部设备生成访问票据,并将所述访问票据返回给所述外部设备;
接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时,对所述访问请求中携带的访问票据以及API信息进行验证;当所述访问请求中携带的访问票据以及API信息均验证通过时,向访问的工业互联网内部设备发送API执行请求,并将API执行结果返回给所述外部设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011288558.6A CN112383557B (zh) | 2020-11-17 | 2020-11-17 | 一种安全接入网关及工业设备通信管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011288558.6A CN112383557B (zh) | 2020-11-17 | 2020-11-17 | 一种安全接入网关及工业设备通信管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112383557A CN112383557A (zh) | 2021-02-19 |
| CN112383557B true CN112383557B (zh) | 2023-06-20 |
Family
ID=74585733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011288558.6A Active CN112383557B (zh) | 2020-11-17 | 2020-11-17 | 一种安全接入网关及工业设备通信管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112383557B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113114467B (zh) * | 2021-03-23 | 2022-07-29 | 中汽创智科技有限公司 | 可移动票据的安全接入方法及系统 |
| CN113204757A (zh) * | 2021-04-30 | 2021-08-03 | 北京明朝万达科技股份有限公司 | 一种信息交互方法、装置和系统 |
| CN113783868B (zh) * | 2021-09-08 | 2023-09-01 | 广西东信数建信息科技有限公司 | 一种基于商用密码保护闸机物联网安全的方法及系统 |
| CN116506221B (zh) * | 2023-06-25 | 2023-09-19 | 金锐同创(北京)科技股份有限公司 | 工业交换机准入的控制方法、装置、计算机设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107819805A (zh) * | 2016-09-14 | 2018-03-20 | 北京京东尚科信息技术有限公司 | 智能设备控制方法以及系统 |
| US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
| CN108243040A (zh) * | 2016-12-23 | 2018-07-03 | 南京联成科技发展股份有限公司 | 一种云计算的身份认证和访问管理安全服务的实现架构 |
| CN108259413A (zh) * | 2016-12-28 | 2018-07-06 | 华为技术有限公司 | 一种获取证书、鉴权的方法及网络设备 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4332071B2 (ja) * | 2004-06-03 | 2009-09-16 | 日本電信電話株式会社 | クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム |
| JP5170648B2 (ja) * | 2008-02-27 | 2013-03-27 | 日本電信電話株式会社 | 権限委譲システム、権限委譲方法および権限委譲プログラム |
| CN104168111A (zh) * | 2014-01-02 | 2014-11-26 | 北京中油瑞飞信息技术有限责任公司 | 一种结合随身安全模块的移动应用统一身份认证实现方法 |
| CN107425983A (zh) * | 2017-08-08 | 2017-12-01 | 北京明朝万达科技股份有限公司 | 一种基于web服务的统一身份认证方法及系统平台 |
| CN110213215B (zh) * | 2018-08-07 | 2022-05-06 | 腾讯云计算(北京)有限责任公司 | 一种资源访问方法、装置、终端和存储介质 |
| CN109787988B (zh) * | 2019-01-30 | 2020-01-07 | 杭州恩牛网络技术有限公司 | 一种身份加强认证和鉴权方法及装置 |
| CN111917685B (zh) * | 2019-05-07 | 2022-05-31 | 华为云计算技术有限公司 | 一种申请数字证书的方法 |
| CN110839087B (zh) * | 2020-01-13 | 2020-06-19 | 北京懿医云科技有限公司 | 接口调用方法及装置、电子设备和计算机可读存储介质 |
| CN111835774B (zh) * | 2020-07-15 | 2022-09-30 | 建信金融科技有限责任公司 | 数据处理方法、装置、设备及存储介质 |
-
2020
- 2020-11-17 CN CN202011288558.6A patent/CN112383557B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107819805A (zh) * | 2016-09-14 | 2018-03-20 | 北京京东尚科信息技术有限公司 | 智能设备控制方法以及系统 |
| CN108243040A (zh) * | 2016-12-23 | 2018-07-03 | 南京联成科技发展股份有限公司 | 一种云计算的身份认证和访问管理安全服务的实现架构 |
| CN108259413A (zh) * | 2016-12-28 | 2018-07-06 | 华为技术有限公司 | 一种获取证书、鉴权的方法及网络设备 |
| US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112383557A (zh) | 2021-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112383557B (zh) | 一种安全接入网关及工业设备通信管理方法 | |
| US11128477B2 (en) | Electronic certification system | |
| CN109302415B (zh) | 一种认证方法、区块链节点及存储介质 | |
| CN201194396Y (zh) | 基于透明代理网关的安全网关平台 | |
| CN103427998B (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| CN102111410B (zh) | 一种基于代理的单点登录方法及系统 | |
| US20220394026A1 (en) | Network identity protection method and device, and electronic equipment and storage medium | |
| EP3633949B1 (en) | Method and system for performing ssl handshake | |
| CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
| CN109039649B (zh) | 一种ccn中基于区块链的密钥管理方法、装置及存储介质 | |
| CN110381145B (zh) | 电动汽车与电网间的交互方法及系统 | |
| CN112752236B (zh) | 一种基于区块链的网联汽车认证方法、设备及储存介质 | |
| CN112436940B (zh) | 一种基于零知识证明的物联网设备可信启动管理方法 | |
| CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
| CN103079200A (zh) | 一种无线接入的认证方法、系统及无线路由器 | |
| CN108990060B (zh) | 一种基站设备的证书分发系统及方法 | |
| CN106470103B (zh) | 一种客户端发送加密url请求的方法和系统 | |
| CN114500120B (zh) | 一种公共云的扩展方法、设备、系统及存储介质 | |
| CN115549932B (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| Qureshi et al. | Authentication scheme for unmanned aerial vehicles based internet of vehicles networks | |
| CN105516066A (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
| CN114666353A (zh) | 一种基于区块链的电子存取证系统及方法 | |
| CN117278988A (zh) | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 | |
| CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |