CN113965930A - 一种基于量子密钥的工业互联网主动标识解析方法及其系统 - Google Patents

Abstract

本发明涉及工业互联网技术领域，具体涉及一种基于量子密钥的工业互联网主动标识解析方法及其系统，包括普通工业传感器、网关节点主动标识载体、企业信息系统、量子安全服务平台、企业节点、二级节点和顶级节点；本发明首先构造基于量子密钥的工业互联网主动标识解析系统，由企业信息系统向各级节点发起认证并注册本地标识，然后工业网关节点通过量子安全服务平台注册主动标识，最后由工业网关节点发起主动标识解析，并将汇总的传感器数据通过量子密钥加解密进行传输。本发明将量子通信领域中的量子密钥分发技术和工业互联网主动标识解析体系相结合，为现有工业互联网主动标识解析体系提供了一种基于量子密钥的加解密机制，安全强度更高。

Description

一种基于量子密钥的工业互联网主动标识解析方法及其系统

技术领域

本发明涉及工业互联网技术领域，具体涉及一种基于量子密钥的工业互联网主动标识解析方法及其系统。

背景技术

近年来，随着工业化和信息化融合的不断深化，工业互联网技术在各行各业中取得了快速的发展，其中标识解析体系是实现工业互联网的重要枢纽，也是实现企业智能管理的必备条件。而主动标识载体承载工业互联网标识编码及其必要的安全证书、算法和密钥，具备联网通信功能，能够主动向标识解析服务节点或标识数据应用平台等发起连接，无需借助标识读写设备来触发，是工业互联网的重要组成部分。

然而，海量的互联网数据在网络上传输，使得信息系统与工业系统的安全边界不断模糊，数据传输及存储过程中的安全性受到了越来越多的重视。传统加密技术大多是基于特定数学问题的计算复杂性，在理论上都不能保证绝对安全，并且随着现代计算机运算速度的不断突破，以及未来量子计算机的发展，传统的基于公私钥体系的算法在密钥交换过程中更容易受到攻击，被破解的可能性越来越大。而基于量子力学原理的量子通信技术迅速发展。量子保密通信的核心思想是利用单量子作为信息载体来传送“一次便签”密钥。

为了减少对传统工业互联网整体架构的改动以及实现复杂度，本申请将传统网关节点升级为具备主动标识解析功能的工业网关节点，用于普通工业传感器的数据采集、汇总，并且在整个标识解析过程中构建量子密钥分发网络对数据进行加解密。通过构建量子密钥分发网络作为桥梁连接企业信息系统、安全认证平台、网关节点，实现三者中任意双方通信的量子加解密，即本申请旨在提供一种基于量子密钥的工业互联网主动标识解析方法及其系统，用于保护工业互联网主动标识解析体系数据安全。

发明内容

针对以上问题，本发明提供了一种基于量子密钥的工业互联网主动标识解析方法及其系统，将量子通信领域中量子密钥分发技术和工业互联网主动标识解析体系相结合，用于保护工业互联网主动标识解析体系数据安全。

为了实现上述目的，本发明采用的技术方案如下：

一种基于量子密钥的工业互联网主动标识解析方法，包括以下步骤：

步骤S0，构造基于量子密钥的工业互联网主动标识解析系统；

步骤S1，工业网关节点主动标识载体注册；

步骤S2，工业网关节点发起主动标识解析并传输汇总的传感数据。

优选地，所述步骤S1包括：

步骤S1.1：企业信息系统向行业二级节点发送申请，由行业二级节点向国家顶级节点发送认证授权(Certificate Authority，CA)证书申请；

步骤S1.2：国家顶级节点发送CA证书给行业二级节点，由行业二级节点颁发至企业信息系统及其企业节点；

步骤S1.3：企业信息系统为预先注册的每个国际移动设备识别码(InternationalMobile Equipment Identity，IMEI)，生成唯一的工业身份标识(Identity document，ID)；

步骤S1.4：网关节点中的主动标识载体初次上电并激活，向企业信息系统提供其唯一的IMEI，发起身份认证请求；

步骤S1.5：企业信息系统收到已备案的主动标识载体的IMEI，将数据包包括IMEI，工业身份标识ID，CA证书，发送至量子安全服务平台，若收到IMEI未备案，则不做处理；

步骤S1.6：量子安全服务平台接收数据包后根据IMEI找到对应网关节点，将工业身份标识ID和CA证书利用量子安全服务平台提供基于BB84协议的量子密钥进行加密后传输至对应网关主动标识载体；网关主动标识载体接收数据后利用量子安全服务平台同时分发的对称量子密钥进行解密，并将数据写入其内部的模组固件中；

步骤S1.7：企业信息系统内部完成本地标识注册，企业信息系统向企业节点发送数据包，包括CA证书、工业身份标识ID和预留的传感器节点地址；企业节点接收到数据包后，验证CA证书，验证通过后，接收工业身份标识ID和预留的传感器节点地址，查找预留的传感器节点地址对应的唯一标识序号，并保存工业身份标识ID；

步骤S1.8：企业节点将传感器节点唯一标识序号利用量子安全服务平台同时分发的对称量子密钥进行加密发送给网关；

步骤S1.9：网关收到企业节点回传密文，利用对称量子密钥进行解密得到各工业传感器节点唯一标识序号，在网关本地替换原来的各工业传感器节点唯一标识，并保存在存储器中；

步骤S1.10：网关节点把各工业传感器节点唯一标识传送给各普通工业传感器节点，各普通工业传感器节点保存在模块固件中。

优选地，所述步骤S2包括：

步骤S2.1：各普通工业传感器节点通过无线或有线传输把采集的数据发送给工业网关节点，网关节点收到数据，若传感器节点唯一标识序号正确，则网关节点准备发送数据；若传感器节点唯一标识序号错误，则丢弃数据；

步骤S2.2：量子安全服务平台基于BB84协议同时向网关节点和企业信息系统分发量子密钥，网关节点将标识解析请求命令，包括标识解析请求、工业身份标识ID、CA和IMEI，通过量子密钥加密后发送给企业信息系统；

步骤S2.3：企业信息系统利用量子安全服务平台分发的对称量子密钥进行解密后，验证网关CA证书，验证通过后，根据工业身份标识ID解析对应的企业节点服务器的IP地址和端口信息，利用量子安全服务平台分发的密钥将企业节点服务器的IP地址和端口信息加密后发送给网关主动标识载体；

步骤S2.4：网关主动标识载体用对称量子密钥对数据解密后得到解析的IP地址和端口，量子安全服务平台同时向网关节点和企业信息系统分发量子密钥，网关节点将采集的普通工业传感器数据通过量子密钥加密后发送至指定的企业节点服务器；

步骤S2.5：企业节点服务器通过量子密钥解密收到网关发送的数据包，该数据包包括网关工业身份标识ID，传感器节点唯一标识序号，CA证书，传感器数据；验证CA证书成功后，根据网关工业身份标识ID和传感器节点唯一标识序号保存对应的传感器数据信息。

本发明提供了一种基于量子密钥的工业互联网主动标识解析系统，所述工业互联网主动标识解析系统包括普通工业传感器、网关节点主动标识载体、企业信息系统、量子安全服务平台、企业节点、二级节点和顶级节点；

其中，量子密钥分发网络设置于量子安全服务平台与各通信方之间，且量子密钥分发网络由量子安全服务平台统一管理；所述网关节点主动标识载体与量子安全服务平台通过公网相连并建立光纤量子信道进行量子密钥分发；所述量子安全服务平台与企业信息系统通过公网相连并建立光纤量子信道进行量子密钥分发；所述普通工业传感器通过无线或者有线网络接入工业网关节点；所述企业节点与企业信息系统连接，所述二级节点向上与顶级节点连接，所述二级节点向下与企业信息系统连接。

本发明有益效果：

1、本发明使用工业互联网主动标识解析方法及其系统，主动标识载体可嵌入在工业设备内部，且具备联网通信功能，能够主动向标识解析服务节点或标识数据应用平台发起连接，而无需借助标识读写设备来触发。

2、本发明在工业网关处进行主动标识解析，减少对现有工业互联网整体架构的改动，实现复杂度低，降低升级成本。

3、本发明中使用量子通信技术进行数据加密传输，基于量子力学原理的量子通信具有不可窃听、不可破译的特点，能够保证数据在存储、传输过程中的安全性和完整性，从而提高工业互联网主动标识体系中数据的安全性。

附图说明

图1是本发明中解析方法的流程图；

图2是本发明中步骤S1的流程图；

图3是本发明中步骤S2的流程图；

图4是本发明中解析系统的方框图；

图5是本发明中通过量子加解密认证网关节点的示意图；

图6是本发明中通过量子加解密传输唯一标识序号的示意图；

图7是本发明中通过量子加解密传输数据的示意图。

图中：10普通工业传感器、20网关节点主动标识载体、30企业信息系统、40量子安全服务平台、50企业节点、60二级节点、70顶级节点。

具体实施方式

下面结合附图将对本发明实施例中的技术方案进行清楚、完整地描述，以使本领域的技术人员能够更好的理解本发明的优点和特征，从而对本发明的保护范围做出更为清楚的界定。本发明所描述的实施例仅是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

参照图1-7，一种基于量子密钥的工业互联网主动标识解析方法，包括以下步骤：

步骤S0，构造基于量子密钥的工业互联网主动标识解析系统；

步骤S1，工业网关节点主动标识载体注册；

步骤S2，工业网关节点发起主动标识解析并传输汇总的传感数据。

具体的，所述步骤S1包括：

步骤S1.1：企业信息系统向行业二级节点发送申请，由行业二级节点向国家顶级节点发送认证授权(Certificate Authority，CA)证书申请；

步骤S1.2：国家顶级节点发送CA证书给行业二级节点，由行业二级节点颁发至企业信息系统及其企业节点；

步骤S1.3：企业信息系统为预先注册的每个国际移动设备识别码(InternationalMobile Equipment Identity，IMEI)，生成唯一的工业身份标识(Identity document，ID)；

步骤S1.4：网关节点中的主动标识载体初次上电并激活，向企业信息系统提供其唯一的IMEI，发起身份认证请求；

步骤S1.5：企业信息系统收到已备案的主动标识载体的IMEI，将数据包包括IMEI，工业身份标识ID，CA证书，发送至量子安全服务平台，若收到IMEI未备案，则不做处理；

步骤S1.6：如图5所示，通过量子加解密认证网关节点，量子安全服务平台接收数据包后根据IMEI找到对应网关节点，将工业身份标识ID和CA证书利用量子安全服务平台提供基于BB84协议的量子密钥进行加密后传输至对应网关主动标识载体；网关主动标识载体接收数据后利用量子安全服务平台同时分发的对称量子密钥进行解密，并将数据写入其内部的模组固件中；

步骤S1.7：企业信息系统内部完成本地标识注册，企业信息系统向企业节点发送数据包，包括CA证书、工业身份标识ID和预留的传感器节点地址；企业节点接收到数据包后，验证CA证书，验证通过后，接收工业身份标识ID和预留的传感器节点地址，查找预留的传感器节点地址对应的唯一标识序号，并保存工业身份标识ID；

步骤S1.8：如图6所示，通过量子加解密传输唯一标识序号，企业节点将传感器节点唯一标识序号利用量子安全服务平台同时分发的对称量子密钥进行加密发送给网关；

步骤S1.9：网关收到企业节点回传密文，利用对称量子密钥进行解密得到各工业传感器节点唯一标识序号，在网关本地替换原来的各工业传感器节点唯一标识，并保存在存储器中；

步骤S1.10：网关节点把各工业传感器节点唯一标识传送给各普通工业传感器节点，各普通工业传感器节点保存在模块固件中。

具体的，所述步骤S2包括：

步骤S2.1：各普通工业传感器节点通过无线或有线传输把采集的数据发送给工业网关节点，网关节点收到数据，若传感器节点唯一标识序号正确，则网关节点准备发送数据；若传感器节点唯一标识序号错误，则丢弃数据；

步骤S2.2：如图7所示，通过量子加解密传输数据，量子安全服务平台基于BB84协议同时向网关节点和企业信息系统分发量子密钥，网关节点将标识解析请求命令，包括标识解析请求、工业身份标识ID、CA和IMEI，通过量子密钥加密后发送给企业信息系统；

步骤S2.3：企业信息系统利用量子安全服务平台分发的对称量子密钥进行解密后，验证网关CA证书，验证通过后，根据工业身份标识ID解析对应的企业节点服务器的IP地址和端口信息，利用量子安全服务平台分发的密钥将企业节点服务器的IP地址和端口信息加密后发送给网关主动标识载体；

步骤S2.4：网关主动标识载体用对称量子密钥对数据解密后得到解析的IP地址和端口，量子安全服务平台同时向网关节点和企业信息系统分发量子密钥，网关节点将采集的普通工业传感器数据通过量子密钥加密后发送至指定的企业节点服务器；

步骤S2.5：企业节点服务器通过量子密钥解密收到网关发送的数据包，该数据包包括网关工业身份标识ID，传感器节点唯一标识序号，CA证书，传感器数据；验证CA证书成功后，根据网关工业身份标识ID和传感器节点唯一标识序号保存对应的传感器数据信息。

一种基于量子密钥的工业互联网主动标识解析系统，所述工业互联网主动标识解析系统包括普通工业传感器10、网关节点主动标识载体20、企业信息系统30、量子安全服务平台40、企业节点50、二级节点60和顶级节点70。

其中，量子密钥分发网络设置于量子安全服务平台40与各通信方之间，且量子密钥分发网络由量子安全服务平台40统一管理；同时将传统网关节点升级为具备主动标识载体的工业网关节点，该网关节点主动标识载体20与量子安全服务平台40通过公网相连并建立光纤量子信道进行量子密钥分发；所述量子安全服务平台40与企业信息系统30通过公网相连并建立光纤量子信道进行量子密钥分发；所述普通工业传感器10通过无线或者有线网络接入工业网关节点；所述企业节点50与企业信息系统30连接；其中，二级节点60为行业二级节点，顶级节点70为国家顶级节点，所述二级节点60向上与顶级节点70连接，所述二级节点60向下与企业信息系统30连接。

综上所述，本发明创造性地将量子通信领域中量子密钥分发技术和工业互联网主动标识解析体系相结合，提出一种新的保护工业互联网主动标识解析体系数据安全的方法；基于量子力学原理的量子通信具有不可窃听、不可破译的特点，能够保证数据在存储、传输过程中的安全性和完整性，从而提高工业互联网主动标识体系中数据的安全性。

以上对本发明的实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

Claims (4)

1.一种基于量子密钥的工业互联网主动标识解析方法，其特征在于：包括以下步骤：

步骤S0，构造基于量子密钥的工业互联网主动标识解析系统；

步骤S1，工业网关节点主动标识载体注册；

步骤S2，工业网关节点发起主动标识解析并传输汇总的传感数据。

2.根据权利要求1所述的一种基于量子密钥的工业互联网主动标识解析方法，其特征在于：所述步骤S1包括：

步骤S1.1：企业信息系统向行业二级节点发送申请，由行业二级节点向国家顶级节点发送认证授权CA证书申请；

步骤S1.2：国家顶级节点发送CA证书给行业二级节点，由行业二级节点颁发至企业信息系统及其企业节点；

步骤S1.3：企业信息系统为预先注册的每个国际移动设备识别码IMEI，生成唯一的工业身份标识ID；

步骤S1.4：网关节点中的主动标识载体初次上电并激活，向企业信息系统提供其唯一的IMEI，发起身份认证请求；

步骤S1.5：企业信息系统收到已备案的主动标识载体的IMEI，将数据包包括IMEI，工业身份标识ID，CA证书，发送至量子安全服务平台，若收到IMEI未备案，则不做处理；

步骤S1.6：量子安全服务平台接收数据包后根据IMEI找到对应网关节点，将工业身份标识ID和CA证书利用量子安全服务平台提供基于BB84协议的量子密钥进行加密后传输至对应网关主动标识载体；网关主动标识载体接收数据后利用量子安全服务平台同时分发的对称量子密钥进行解密，并将数据写入其内部的模组固件中；

步骤S1.7：企业信息系统内部完成本地标识注册，企业信息系统向企业节点发送数据包，包括CA证书、工业身份标识ID和预留的传感器节点地址；企业节点接收到数据包后，验证CA证书，验证通过后，接收工业身份标识ID和预留的传感器节点地址，查找预留的传感器节点地址对应的唯一标识序号，并保存工业身份标识ID；

步骤S1.8：企业节点将传感器节点唯一标识序号利用量子安全服务平台同时分发的对称量子密钥进行加密发送给网关；

步骤S1.9：网关收到企业节点回传密文，利用对称量子密钥进行解密得到各工业传感器节点唯一标识序号，在网关本地替换原来的各工业传感器节点唯一标识，并保存在存储器中；

步骤S1.10：网关节点把各工业传感器节点唯一标识传送给各普通工业传感器节点，各普通工业传感器节点保存在模块固件中。

3.根据权利要求1所述的一种基于量子密钥的工业互联网主动标识解析方法，其特征在于：所述步骤S2包括：

步骤S2.1：各普通工业传感器节点通过无线或有线传输把采集的数据发送给工业网关节点，网关节点收到数据，若传感器节点唯一标识序号正确，则网关节点准备发送数据；若传感器节点唯一标识序号错误，则丢弃数据；

步骤S2.2：量子安全服务平台基于BB84协议同时向网关节点和企业信息系统分发量子密钥，网关节点将标识解析请求命令，包括标识解析请求、工业身份标识ID、CA和IMEI，通过量子密钥加密后发送给企业信息系统；

步骤S2.3：企业信息系统利用量子安全服务平台分发的对称量子密钥进行解密后，验证网关CA证书，验证通过后，根据工业身份标识ID解析对应的企业节点服务器的IP地址和端口信息，利用量子安全服务平台分发的密钥将企业节点服务器的IP地址和端口信息加密后发送给网关主动标识载体；

步骤S2.4：网关主动标识载体用对称量子密钥对数据解密后得到解析的IP地址和端口，量子安全服务平台同时向网关节点和企业信息系统分发量子密钥，网关节点将采集的普通工业传感器数据通过量子密钥加密后发送至指定的企业节点服务器；

步骤S2.5：企业节点服务器通过量子密钥解密收到网关发送的数据包，该数据包包括网关工业身份标识ID，传感器节点唯一标识序号，CA证书，传感器数据；验证CA证书成功后，根据网关工业身份标识ID和传感器节点唯一标识序号保存对应的传感器数据信息。

4.一种基于量子密钥的工业互联网主动标识解析系统，其特征在于：所述工业互联网主动标识解析系统包括普通工业传感器、网关节点主动标识载体、企业信息系统、量子安全服务平台、企业节点、二级节点和顶级节点；

其中，量子密钥分发网络设置于量子安全服务平台与各通信方之间，且量子密钥分发网络由量子安全服务平台统一管理；所述网关节点主动标识载体与量子安全服务平台通过公网相连并建立光纤量子信道进行量子密钥分发；所述量子安全服务平台与企业信息系统通过公网相连并建立光纤量子信道进行量子密钥分发；所述普通工业传感器通过无线或者有线网络接入工业网关节点；所述企业节点与企业信息系统连接，所述二级节点向上与顶级节点连接，所述二级节点向下与企业信息系统连接。

Images