CN113806763A - 一种安全获取现场设备的数据的方法、安全服务器和系统 - Google Patents
一种安全获取现场设备的数据的方法、安全服务器和系统 Download PDFInfo
- Publication number
- CN113806763A CN113806763A CN202110808370.8A CN202110808370A CN113806763A CN 113806763 A CN113806763 A CN 113806763A CN 202110808370 A CN202110808370 A CN 202110808370A CN 113806763 A CN113806763 A CN 113806763A
- Authority
- CN
- China
- Prior art keywords
- certificate
- field device
- storage medium
- data
- removable storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000004891 communication Methods 0.000 claims abstract description 9
- 238000012795 verification Methods 0.000 claims abstract description 9
- 230000002085 persistent effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于通信技术领域,其公开了一种安全获取现场设备的数据的方法,包括如下步骤:步骤1:将可移动存储介质连接到现场设备的接口上;所述可移动存储介质中存储有现场设备预先签发的证书;步骤2:现场设备校验该证书,在验证通过后采用证书中的公钥加密现场设备中的目标数据得到加密数据,并写入可移动存储介质中;步骤3:通过安全服务器读取可移动存储介质中加密数据,采用预存在安全服务器中的与公钥配套的私钥解密加密数据得到目标数据。该方法能够安全的从设备中提取目标数据,同时,本发明还提供一种安全服务器和系统。
Description
技术领域
本发明涉及通信技术领域,具体为一种安全获取现场设备的数据的方法、安全服务器和系统。
背景技术
CN201910719796.9公开了一种文件加密方法及装置、一种文件解密方法及装置,其中,电子钥匙USB key中包括加密程序;文件加密方法包括:加密程序在检测到存在文件创建操作时,获取USB key中的证书信息;对USB key中的证书信息进行解密,得到用户身份信息;利用USB key中预先存储的文件公钥和用户身份信息对创建的文件进行加密。通过USB key对创建的文件进行加密,能够确保文件的安全性,进一步的,在安全性较高的情况下还能利用网络进行文件转移,从而提高了文件转移效率。
该方案是采用USB key中的公钥对数据加密,然后再通过外界设备进行解密,维持数据的安全性。
但是该方案存在的缺陷是:USB key中的用户身份信息可能被伪造;一旦被伪造就能从设备中获取数据。
目前,许多工业电子设备对应安全性要求很高,设备厂商为了避免设备运行数据泄露,经过权衡考虑往往会对设备的关键物理接口进行禁用或者裁减。但是,考虑设备安全的同时,也是需要付出代价的,比如当设备出现故障时,技术人员由于无法获取设备的运行数据而无法进行有效的分析。
本申请解决的技术问题是:如何安全的从故障设备中提取目标数据。
发明内容
本发明的目的在于提供一种安全获取现场设备的数据的方法,该方法能够安全的从设备中提取目标数据,同时,本发明还提供一种安全服务器和系统。
为实现上述目的,本发明提供如下技术方案:一种安全获取现场设备的数据的方法,其特征在于,包括如下步骤:
步骤1:将可移动存储介质连接到现场设备的接口上;所述可移动存储介质中存储有现场设备预先签发的证书;
步骤2:现场设备校验该证书,在验证通过后采用证书中的公钥加密现场设备中的目标数据得到加密数据,并写入可移动存储介质中;
步骤3:通过安全服务器读取可移动存储介质中加密数据,采用预存在安全服务器中的与公钥配套的私钥解密加密数据得到目标数据。
在上述的安全获取现场设备的数据的方法中,所述证书的签发方法包括如下步骤:
步骤11:安全服务器生成密钥对,采用密钥对中的公钥生成证书签名申请,并发送给现场设备;
步骤12:现场设备针对证书签名申请进行签发得到证书,将证书和设备的SN码发送给安全服务器;
步骤13:所述可移动存储介质通过设备的SN码向安全服务器获取证书。
在上述的安全获取现场设备的数据的方法中,所述安全服务器通过可信平台模块产生RSA秘钥对;所述RSA秘钥对含有所述公钥和私钥;
所述现场设备采用内部的证书对证书签名申请进行签发得到证书。
在上述的安全获取现场设备的数据的方法中,所述可移动存储介质为U盘或SD数据卡。
在上述的安全获取现场设备的数据的方法中,所述目标数据为现场设备的日志数据、设备配置参数、运行状态数据中的一种或多种。
同时,本发明还公开了一种安全获取现场设备的数据的安全服务器,包括如下模块:
可信平台模块:用于产生秘钥对;
证书签名申请生成模块:用于采用秘钥对中的公钥生成证书签名申请;
通信模块:用于将证书签名申请发送给现场设备并接收现场设备发送的证书,所述证书由现场设备对证书签名申请进行签发得到;
证书下发模块:用于将与现场设备的SN码关联的证书写入可移动存储介质中;
数据读取模块:用于将可移动存储介质中的加密数据采用RSA秘钥对中的私钥进行解密得到现场设备的目标数据;所述加密数据由现场设备对可移动存储介质中的证书校验通过后采用证书中的公钥对现场设备的目标数据进行加密得到。
在上述的安全获取现场设备的数据的安全服务器中,还包括存储模块:用于持久化存储证书和相关联的现场设备的SN码。
最后,本发明还公开了一种安全获取现场设备的数据的系统,包括如上所述的安全服务器、可移动存储介质;
所述安全服务器用于产生秘钥对、证书签名申请、接收可移动存储介质中的加密数据并采用私钥解密;
所述可移动存储介质用于存储现场设备签发的证书、存储加密数据。
与现有技术相比,本发明的有益效果是:
1)安全服务器RSA秘钥对由TPM生成以及存放,秘钥对的私钥任何人无法获取得到,只能通过特定算法使用私钥对数据进行解密,确保秘钥存储的安全性,更保证数据的安全性。设备状态数据使用秘钥进行加密,避免由于可移动存储介质丢失导致数据泄露。所有加密数据都通过安全服务器进行解密,其它任何人任何机器无法对数据进行解密。
2)设备和安全服务器之间的数据交换由两者的软件实现并自动完成,对用户透明。技术人员只有在需要时进行简单的步骤,即可完成以上的工作,比如:把证书存放到可移动存储介质、登陆安全服务器、上传加密的状态数据以及下载以及解密的数据。
附图说明
图1为本发明的实施例1的流程方框图;
图2为本发明的实施例1的流程图;
图3为本发明的实施例2的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1和2,一种安全获取现场设备的数据的方法,包括如下步骤:
步骤1:将可移动存储介质如U盘连接到现场设备的接口上;所述可移动存储介质中存储有现场设备预先签发的证书;
步骤2:现场设备校验该证书,在验证通过后采用证书中的公钥加密现场设备中的目标数据得到加密数据,并写入可移动存储介质中;
本实施例所述的目标数据包括但不限于日志文件、运行数据、配置参数等。
步骤3:通过安全服务器读取可移动存储介质中加密数据,采用预存在安全服务器中的与公钥配套的私钥解密加密数据得到目标数据。
当设备存在故障的时候,无法通过远程来获取设备的目标数据,这个时候就需要采用可移动存储介质来获取目标数据。
本实施例的步骤1中的现场设备的接口指的是物理接口。
当然在步骤2和步骤3之间还可以包括操作人员和安全服务器之间的认证,然后才会去解密数据等操作。
将可移动存储介质连接到现场设备的USB接口上,由于证书是通过现场设备预先签发的,所以现场设备可以通过其自身的证书来校验证书,如果校验通过了,那么就采用可移动存储介质中证书所含公钥加密目标数据并将加密数据拷贝到可移动存储介质中,安全服务器接收可移动存储介质中的数据,采用匹配的私钥解密即可得到目标数据。
采用上述方案的优势在于:1)安全服务器秘钥对的私钥任何人无法获取得到,只能通过特定算法使用私钥对数据进行解密,确保秘钥存储的安全性,更保证数据的安全性。设备状态数据使用秘钥进行加密,避免由于可移动存储介质丢失导致数据泄露。所有加密数据都通过安全服务器进行解密,其它任何人任何机器无法对数据进行解密。
2)设备和安全服务器之间的数据交换由两者的软件实现并自动完成,对用户透明。技术人员只有在需要时进行简单的步骤,即可完成以上的工作,比如:把证书存放到可移动存储介质、登陆安全服务器、上传加密的状态数据以及下载以及解密的数据。
更为具体来说,所述证书的签发方法包括如下步骤:
步骤11:安全服务器生成密钥对,采用密钥对中的公钥生成证书签名申请,并发送给现场设备;证书签名申请含有公钥。
步骤12:现场设备针对证书签名申请(CSR,Certificate Signing Request)进行签发得到证书,将证书和设备的SN码发送给安全服务器;
步骤13:所述可移动存储介质通过设备的SN码向安全服务器获取证书。
所述安全服务器通过可信平台模块产生RSA秘钥对;所述RSA秘钥对含有所述公钥和私钥;
所述现场设备采用内部的证书对证书签名申请进行签发得到证书。
安全服务器在现场设备上线的时候就进行该步骤,避免设备故障时无法进行本步骤。
安全服务器RSA秘钥对由TPM(可信平台模块,Trusted Platform Module,一种安全密码硬件)生成以及存放,秘钥对的私钥任何人无法获取得到。
由于安全服务器中对证书、SN码进行了持久化,所以可移动存储介质可以在任何时候凭借设备的SN码来获取证书。
实施例2
如图3,一种安全获取现场设备的数据的系统,包括安全服务器1、可移动存储介质2;
所述安全服务器1用于产生秘钥对、证书签名申请、接收可移动存储介质中的加密数据并采用私钥解密;
所述可移动存储介质2用于存储现场设备签发的证书、存储加密数据。
更为具体来说,安全服务器1包括如下模块:
可信平台模块11:用于产生秘钥对;
证书签名申请生成模块12:用于采用秘钥对中的公钥生成证书签名申请;
通信模块13:用于将证书签名申请发送给现场设备并接收现场设备发送的证书,所述证书由现场设备对证书签名申请进行签发得到;
证书下发模块14:用于将与现场设备的SN码关联的证书写入可移动存储介质中;
数据读取模块15:用于将可移动存储介质中的加密数据采用RSA秘钥对中的私钥进行解密得到现场设备的目标数据;所述加密数据由现场设备对可移动存储介质中的证书校验通过后采用证书中的公钥对现场设备的目标数据进行加密得到。
其工作过程为:
在现场设备3上线后,通信模块和现场设备建立通信连接,可信平台模块产生RSA秘钥对,证书签名申请生成模块采用公钥生成证书签名申请CSR;通过通信模块将CSR发送给现场设备,现场设备通过自带的证书对CSR进行签发,得到证书,将证书和现场设备的SN码发送至通信模块,安全服务器采用存储模块16将证书和SN码持久化存储。
现场设备3发生故障无法将日志信息发送给外界时,需要采用可移动存储介质来拷贝现场设备的目标数据,其具体方法为:
证书下发模块根据可移动存储介质提供的SN码将对应的证书写入可移动存储介质中;
将可移动存储介质插入现场设备的USB接口上,现场设备通过其自身的证书校验可移动存储介质中的证书,校验通过后,采用可移动存储介质中的证书中的公钥加密目标数据,得到加密数据,该加密数据写入可移动存储介质中。
可移动存储介质插入到安全服务器,数据读取模块采用与证书中公钥匹配的私钥对加密数据进行解密得到目标数据,通过对目标数据进行分析得到设备的故障情况。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (8)
1.一种安全获取现场设备的数据的方法,其特征在于,包括如下步骤:
步骤1:将可移动存储介质连接到现场设备的接口上;所述可移动存储介质中存储有现场设备预先签发的证书;
步骤2:现场设备校验该证书,在验证通过后采用证书中的公钥加密现场设备中的目标数据得到加密数据,并写入可移动存储介质中;
步骤3:通过安全服务器读取可移动存储介质中加密数据,采用预存在安全服务器中的与公钥配套的私钥解密加密数据得到目标数据。
2.根据权利要求1所述的安全获取现场设备的数据的方法,其特征在于,所述证书的签发方法包括如下步骤:
步骤11:安全服务器生成密钥对,采用密钥对中的公钥生成证书签名申请,并发送给现场设备;
步骤12:现场设备针对证书签名申请进行签发得到证书,将证书和设备的SN码发送给安全服务器;
步骤13:所述可移动存储介质通过设备的SN码向安全服务器获取证书。
3.根据权利要求2所述的安全获取现场设备的数据的方法,其特征在于,所述安全服务器通过可信平台模块产生RSA秘钥对;所述RSA秘钥对含有所述公钥和私钥;
所述现场设备采用内部的证书对证书签名申请进行签发得到证书。
4.根据权利要求1所述的安全获取现场设备的数据的方法,其特征在于,所述可移动存储介质为U盘或SD数据卡。
5.根据权利要求1所述的安全获取现场设备的数据的方法,其特征在于,所述目标数据为现场设备的日志数据、设备配置参数、运行状态数据中的一种或多种。
6.一种安全获取现场设备的数据的安全服务器,其特征在于,包括如下模块:
可信平台模块:用于产生秘钥对;
证书签名申请生成模块:用于采用秘钥对中的公钥生成证书签名申请;
通信模块:用于将证书签名申请发送给现场设备并接收现场设备发送的证书,所述证书由现场设备对证书签名申请进行签发得到;
证书下发模块:用于将与现场设备的SN码关联的证书写入可移动存储介质中;
数据读取模块:用于将可移动存储介质中的加密数据采用RSA秘钥对中的私钥进行解密得到现场设备的目标数据;所述加密数据由现场设备对可移动存储介质中的证书校验通过后采用证书中的公钥对现场设备的目标数据进行加密得到。
7.根据权利要求6所述的安全获取现场设备的数据的安全服务器,其特征在于,还包括存储模块:用于持久化存储证书和相关联的现场设备的SN码。
8.一种安全获取现场设备的数据的系统,其特征在于,包括如权利要求7所述的安全服务器、可移动存储介质;
所述安全服务器用于产生秘钥对、证书签名申请、接收可移动存储介质中的加密数据并采用私钥解密;
所述可移动存储介质用于存储现场设备签发的证书、存储加密数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110808370.8A CN113806763B (zh) | 2021-07-16 | 一种安全获取现场设备的数据的方法、安全服务器和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110808370.8A CN113806763B (zh) | 2021-07-16 | 一种安全获取现场设备的数据的方法、安全服务器和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113806763A true CN113806763A (zh) | 2021-12-17 |
CN113806763B CN113806763B (zh) | 2024-05-24 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005258234A (ja) * | 2004-03-15 | 2005-09-22 | Hitachi Ltd | データの移管方法およびデータの保管装置 |
CN101051292A (zh) * | 2007-01-08 | 2007-10-10 | 中国信息安全产品测评认证中心 | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 |
CN102202057A (zh) * | 2011-05-18 | 2011-09-28 | 株洲南车时代电气股份有限公司 | 一种移动存储器安全转储数据系统及其方法 |
WO2012055166A1 (zh) * | 2010-10-28 | 2012-05-03 | 中国银联股份有限公司 | 移动存储设备、基于该设备的数据处理系统和方法 |
CN108769024A (zh) * | 2018-05-30 | 2018-11-06 | 中国电子信息产业集团有限公司第六研究所 | 一种数据获取方法及多数据运营商协商服务系统 |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005258234A (ja) * | 2004-03-15 | 2005-09-22 | Hitachi Ltd | データの移管方法およびデータの保管装置 |
CN101051292A (zh) * | 2007-01-08 | 2007-10-10 | 中国信息安全产品测评认证中心 | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 |
WO2012055166A1 (zh) * | 2010-10-28 | 2012-05-03 | 中国银联股份有限公司 | 移动存储设备、基于该设备的数据处理系统和方法 |
CN102202057A (zh) * | 2011-05-18 | 2011-09-28 | 株洲南车时代电气股份有限公司 | 一种移动存储器安全转储数据系统及其方法 |
CN108769024A (zh) * | 2018-05-30 | 2018-11-06 | 中国电子信息产业集团有限公司第六研究所 | 一种数据获取方法及多数据运营商协商服务系统 |
Non-Patent Citations (1)
Title |
---|
冯达;王强;赵译文;徐剑;: "基于SGX的证书可信性验证与软件安全签发系统", 信息网络安全, no. 03, 10 March 2018 (2018-03-10) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108366069B (zh) | 一种双向认证方法和系统 | |
CN110798315B (zh) | 基于区块链的数据处理方法、装置及终端 | |
US9223994B2 (en) | Secure transaction method from a non-secure terminal | |
WO2014139343A1 (zh) | 密钥下载方法、管理方法、下载管理方法及装置和系统 | |
US9256210B2 (en) | Safe method for card issuing, card issuing device and system | |
CN107005577B (zh) | 指纹数据的处理方法及处理装置 | |
CN102801730A (zh) | 一种用于通讯及便携设备的信息防护方法及装置 | |
CN104200156A (zh) | 一种基于龙芯处理器的可信加密系统 | |
CN112560058B (zh) | 基于智能密码钥匙的ssd分区加密存储系统及其实现方法 | |
CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
CN105468940A (zh) | 软件保护方法及装置 | |
CN103825724A (zh) | 一种自动更新和恢复私钥的标识型密码系统及方法 | |
RU2012130527A (ru) | Способ исполнения и система универсальной электронной карты и смарт-карты | |
CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
CN102468962A (zh) | 利用个人密码装置的个人身份验证方法及个人密码装置 | |
TWI476629B (zh) | Data security and security systems and methods | |
CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
CN113806763B (zh) | 一种安全获取现场设备的数据的方法、安全服务器和系统 | |
CN105426705A (zh) | 一种会计软件的加密控制系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 511356 Room 501, building 2, No. 63, Yong'an Avenue, Huangpu District, Guangzhou, Guangdong Applicant after: Guangzhou lubangtong Internet of things Technology Co.,Ltd. Address before: 510653 room F315, 95 daguanzhong Road, Tianhe District, Guangzhou City, Guangdong Province Applicant before: GUANGZHOU ROBUSTEL TECHNOLOGIES Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant |