CN116633690B - 一种通信系统、方法、设备及存储介质 - Google Patents

一种通信系统、方法、设备及存储介质 Download PDF

Info

Publication number
CN116633690B
CN116633690B CN202310903789.0A CN202310903789A CN116633690B CN 116633690 B CN116633690 B CN 116633690B CN 202310903789 A CN202310903789 A CN 202310903789A CN 116633690 B CN116633690 B CN 116633690B
Authority
CN
China
Prior art keywords
host
security gateway
certificate
request instruction
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310903789.0A
Other languages
English (en)
Other versions
CN116633690A (zh
Inventor
李永成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yihe Technology Co ltd
Original Assignee
Beijing Yihe Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yihe Technology Co ltd filed Critical Beijing Yihe Technology Co ltd
Priority to CN202310903789.0A priority Critical patent/CN116633690B/zh
Publication of CN116633690A publication Critical patent/CN116633690A/zh
Application granted granted Critical
Publication of CN116633690B publication Critical patent/CN116633690B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种通信系统、方法、设备及存储介质,属于通信技术领域。本发明包括:主机向安全网关发送主机身份认证请求指令,安全网关接收主机发送的主机身份认证请求指令,根据主机身份认证请求指令中的主机证书编号,对主机的身份进行认证,若认证通过,向主机发出认证通过报文和安全网关身份认证请求指令,主机接收安全网关发送的认证通过报文和安全网关身份认证请求指令,对安全网关的身份进行认证,若认证通过,主机与安全网关的双向身份认证成功,主机向安全网关发送通信指令,从而有效解决现有技术中PLC控制系统信息安全防护较低的问题。

Description

一种通信系统、方法、设备及存储介质
技术领域
本发明涉及通信技术领域,具体涉及一种通信系统、方法、设备及存储介质。
背景技术
PLC(Programmable Logic Controller)控制系统是专为工业生产设计的一种数字运算操作的可编程的电子装置,通过数字或模拟式输入或输出控制各种类型的机械或生产过程,是工业控制的核心部分。PLC控制系统可以通过网络实现对多个设备或生产线的集中控制,还能通过一台具有通信功能的PLC控制多个被控对象。
一般来说,PLC控制系统中的主机包括PLC主机与上位机,PLC主机与上位机必须要进行实时网络通信,原则上进行网络通信的各节点与其他网络互不连接,形成一个独立的网域,但PLC主机作为控制设备需要将生产线或设备的生产数据返回给生产信息网,即PLC主机所在的控制网络是没有办法独立的,使得PLC控制系统在信息安全方面防护较低,很容易通过网络攻击到PLC控制系统的主机,给生产活动带来巨大的隐患。
由于PLC控制系统的PLC主机不具备鉴权能力,并不能通过身份认证来对上位机进行判断,从而容易遭受来自非授权主机的攻击。
发明内容
有鉴于此,本发明的目的在于提供一种通信系统、方法、设备及存储介质,以解决现有技术中PLC系统信息安全防护较低的问题。
根据本发明实施例的第一方面,提供一种通信系统,包括:主机和安全网关,其中:
所述主机用于向所述安全网关发送主机身份认证请求指令,其中所述主机身份认证请求指令携带有主机证书编号;
所述安全网关用于接收所述主机发送的主机身份认证请求指令,根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,若认证通过,向所述主机发出认证通过报文和安全网关身份认证请求指令,其中所述安全网关身份认证请求指令携带有安全网关证书编号;
所述主机还用于接收所述安全网关发送的认证通过报文和安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,若认证通过,所述主机与所述安全网关之间的双向身份认证成功,所述主机向所述安全网关发送通信指令。
优选地,所述系统还包括数字证书管理系统,所述数字证书管理系统接收并响应于所述主机的通信认证证书签发请求命令,发送通信认证证书导出指令至所述主机;
所述主机接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述主机发送的加密后的通信认证证书文件,得到所述主机对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的主机证书编号保存至证书管理系统。
优选地,所述数字证书管理系统还用于接收并响应于所述或安全网关的通信认证证书签发请求命令,发送通信认证证书导出指令至所述安全网关;
所述安全网关接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述安全网关发送的加密后的通信认证证书文件,得到所述安全网关对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的安全网关证书编号保存至证书管理系统。
优选地,所述数字证书管理系统还用于对所述安全网关的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至主机;
所述安全网关接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的安全网关证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息;
所述数字证书管理系统还用于对所述主机的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至安全网关;
所述主机接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的主机证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息。
优选地,所述所述主机用于向所述安全网关发送主机身份认证请求指令,包括:
所述主机获取主机证书编号、主机随机数和安全网关证书编号,根据所述安全网关证书编号从密码芯片区读取并解析安全网关的通信认证证书,得到安全网关公钥,其中所述密码芯片区存储有安全网关的通信认证证书;
所述主机通过所述安全网关公钥对自身的主机证书编号进行加密,得到加密后的主机证书编号,并将所述加密后的主机证书编号和主机随机数、安全网关证书编号进行组合,得到主机身份认证请求指令,将所述主机身份认证请求指令发送至所述安全网关。
优选地,所述安全网关根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,包括:
所述安全网关判断自身的安全网关证书编号与主机身份认证请求指令中的安全网关证书编号是否一致,若一致,调用安全网关私钥对所述加密后的主机证书编号进行解密,得到主机身份认证请求指令中的主机证书编号和主机随机数;
所述安全网关根据所述主机身份认证请求指令中的主机证书编号和主机随机数对所述主机的身份进行认证。
优选地,所述向所述主机发出安全网关身份认证请求指令,包括:
所述安全网关获取所述主机身份认证请求指令中的主机证书编号和主机随机数,根据所述主机证书编号从密码芯片区获取并解析主机对应的通信认证证书,得到主机公钥,其中所述密码芯片区存储有主机的通信认证证书;
所述安全网关获取自身的安全网关证书编号和安全网关随机数,并通过所述主机公钥对自身的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号进行加密,生成安全网关身份认证请求指令,并将所述安全网关身份认证请求指令发送至所述主机。
优选地,所述主机还用于接收所述安全网关发送的安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,包括:
所述主机接收所述安全网关发送的安全网关身份认证请求指令,并判断自身的主机证书编号与安全网关身份认证请求指令中的主机证书编号是否一致,若一致,调用主机私钥对所述安全网关身份认证请求指令进行解密,得到所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号;
所述主机根据所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号,对安全网关的身份进行认证。
根据本发明实施例的第二方面,提供一种通信方法,包括:
所述主机向所述安全网关发送主机身份认证请求指令,其中所述主机身份认证请求指令携带有主机证书编号;
所述安全网关接收所述主机发送的主机身份认证请求指令,根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,若认证通过,向所述主机发出认证通过报文和安全网关身份认证请求指令,其中所述安全网关身份认证请求指令携带有安全网关证书编号;
所述主机接收所述安全网关发送的认证通过报文和安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,若认证通过,所述主机与所述安全网关之间的双向身份认证成功,所述主机向所述安全网关发送通信指令。
根据本发明实施例的第三方面,提供一种通信设备,包括:
存储器,其上存储有可执行程序;
处理器,用于执行所述存储器中的所述可执行程序,以实上述方法的步骤。
本发明的实施例提供的技术方案可以包括以下有益效果:
通过主机向安全网关发送主机身份认证请求指令,安全网关接收主机发送的主机身份认证请求指令,根据主机身份认证请求指令中的主机证书编号,对主机的身份进行认证,若认证通过,向主机发出认证通过报文和安全网关身份认证请求指令,其中安全网关身份认证请求指令携带有安全网关证书编号,主机接收安全网关发送的认证通过报文和安全网关身份认证请求指令,根据安全网关身份认证请求指令中的安全网关证书编号,对安全网关的身份进行认证,若认证通过,主机与安全网关之间的双向身份认证成功,主机向安全网关发送通信指令,实现主机与安全网关的通信,使得PLC主机与上位机之间的通信指令不直接暴露在明文状态,通过安全网关使PLC主机与上位机之间的通信更加安全,并且由于进行了身份认证,有效避免了来自非授权主机的攻击,从而有效解决现有技术中PLC系统信息安全防护较低的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种通信系统的框图示意图;
图2是根据一示例性实施例示出的一种通信方法流程示意图;
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
目前,PLC(Programmable Logic Controller)控制系统是专为工业生产设计的一种数字运算操作的可编程的电子装置,通过数字或模拟式输入或输出控制各种类型的机械或生产过程,PLC控制系统中的PLC主机需要将生产数据返回给生产信息网,即把现场数据上传至上位机,与上位机之间进行实时网络通信,及时获取各设备的生产情况。
本发明提供了一种系统,参见图1,图1是根据一示例性实施例示出的一种通信系统的框图示意图,该系统包括:主机12和安全网关13,其中:
所述主机12用于向所述安全网关发送主机身份认证请求指令,其中所述主机身份认证请求指令携带有主机证书编号;
所述安全网关13用于接收所述主机发送的主机身份认证请求指令,根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,若认证通过,向所述主机发出认证通过报文和安全网关身份认证请求指令,其中所述安全网关身份认证请求指令携带有安全网关证书编号;
所述主机12还用于接收所述安全网关发送的认证通过报文和安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,若认证通过,所述主机与所述安全网关之间的双向身份认证成功,所述主机向所述安全网关发送通信指令。
需要说明的是,PLC通信系统由CA系统(数字证书管理系统)、主机和安全网关组成,其中主机包括PLC主机和上位机,PLC主机通过安全网关将生产数据上传至上位机,并接收上位机发送的控制指令。
PLC主机是现场控制系统的CPU,执行来自于上位机下发的指令和控制逻辑程序,同时通过IO模块获取现场数据,将现场数据上送到上位机。其中IO模块是生产现场控制设备或仪表的接口单元,用于采集数据和执行指令。
上位机是工业控制系统中执行人机互动操作的主机,位于中控室。工作人员可以根据PLC主机采集的生产数据通过上位机向PLC主机发送指令和控制逻辑程序,使生产设备执行生产任务,并能通过生产情况判断故障情况,及时处置生产故障,通过采样到的生产数据进行分析、计量和统计,生成生产日志等。
CA系统是数字签名系统,用于向所有PLC主机、上位机和安全网关签发通信认证证书,PLC主机、上位机和安全网关拥有CA系统签发的通信认证证书,并基于CA系统签发的通信认证证书,进行双向身份认证。只有双向身份认证通过,PLC主机才能与安全网关继续进行通信,上位机也同样需要与安全网关双向认证通过才能与安全网关继续进行通信。其中PLC主机、上位机和安全网关都有对应的通信认证证书,并携带有唯一的证书编号,通过证书编号可以确认PLC主机、上位机和安全网关的身份,并且通信认证证书的证书编号都由各自对应的密码卡编号生成。
上位机要和PLC主机通信,上位机首先向安全网关发送主机身份认证请求指令,请求身份认证,其中所述主机身份认证请求指令携带有主机证书编号,此时的主机身份认证请求指令为上位机身份认证请求指令,上位机身份认证请求指令携带的主机证书编号为上位机的通信认证证书的证书编号。
安全网关接收上位机发送的上位机身份认证请求指令之后,根据安全网关私钥对上位机身份认证请求指令进行验签,得到上位机的证书编号,根据上位机的证书编号对主机的身份进行认证,若认证通过,向上位机发出认证通过报文,同时向上位机发出安全网关身份认证请求指令,请求上位机对安全网关的身份进行认证,其中安全网关身份认证请求指令中携带有安全网关证书编号,其中安全网关证书编号为安全网关的通信认证证书的证书编号。
若上位机的身份认证未通过,丢弃上位机身份认证请求指令中的数据,安全网关向上位机返回认证未通过报文,该上位机和安全网关之间不再继续进行身份认证或通信。
对于接收到认证通过报文和安全网关身份认证请求指令的上位机,上位机响应于安全网关身份认证请求指令,根据上位机私钥对安全网关身份认证请求指令进行验签,得到安全网关的证书编号,根据安全网关证书编号,对安全网关的身份进行认证,若认证通过,主机与安全网关之间的双向身份认证成功,上位机向该安全网关发送通信指令,反馈双向身份认证成功,可以通信。
若认证不通过,主机与安全网关之间的双向身份认证不成功,丢弃安全网关身份认证请求指令中的数据,该上位机和安全网关之间不再继续进行身份认证或通信。
安全网关与上位机双向身份认证成功之后,安全网关与PLC主机之间进行双向身份认证。安全网关首先向PLC主机发送安全网关身份认证请求指令,请求身份认证,其中安全网关身份认证请求指令携带有安全网关证书编号。
PLC主机接收安全网关发送的安全网关身份认证请求指令之后,根据PLC主机关私钥对安全网关身份认证请求指令进行验签,得到安全网关的证书编号,根据安全网关的证书编号对安全网关的身份进行认证,若认证通过,向安全网关发出认证通过报文,同时向安全网关发出主机身份认证请求指令,请求安全网关对PLC主机的身份进行认证,其中主机身份认证请求指令中携带有主机证书编号,其中此时的主机身份认证请求指令为PLC主机身份认证请求指令,PLC主机身份认证请求指令携带的PLC主机证书编号为PLC主机的通信认证证书的证书编号。
若安全网关的身份认证未通过,丢弃安全网关身份认证请求指令中的数据,PLC主机向安全网关返回认证未通过报文,该PLC主机和安全网关之间不再继续进行身份认证或通信。
对于接收到认证通过报文和PLC主机身份认证请求指令的安全网关,安全网关响应于PLC主机身份认证请求指令,根据安全网关私钥对PLC主机身份认证请求指令进行验签,得到PLC主机的证书编号,根据PLC主机证书编号,对PLC主机的身份进行认证,若认证通过,PLC主机与安全网关之间的双向身份认证成功,安全网关向该PLC主机发送通信指令,反馈双向身份认证成功,可以通信。
若认证不通过,PLC主机与安全网关之间的双向身份认证不成功,丢弃PLC主机身份认证请求指令中的数据,该PLC主机和安全网关之间不再继续进行身份认证或通信。
上位机和PLC主机都与安全网关之间的双向身份认证成功之后,PLC主机通过安全网关获取上位机下发的指令和控制逻辑程序,进行执行,同时将获取的现场数据,通过安全网关上送到上位机,使得指令和数据能通过认证后的安全网关进行传递。
可以理解的是,本实施例提供的技术方案,通过主机向安全网关发送主机身份认证请求指令,安全网关接收主机发送的主机身份认证请求指令,根据主机身份认证请求指令中的主机证书编号,对主机的身份进行认证,若认证通过,向主机发出认证通过报文和安全网关身份认证请求指令,其中安全网关身份认证请求指令携带有安全网关证书编号,主机接收安全网关发送的认证通过报文和安全网关身份认证请求指令,根据安全网关身份认证请求指令中的安全网关证书编号,对安全网关的身份进行认证,若认证通过,主机与安全网关之间的双向身份认证成功,主机向安全网关发送通信指令,实现主机与安全网关的通信,使得PLC主机与上位机之间的通信指令不直接暴露在明文状态,通过安全网关使PLC主机与上位机之间的通信更加安全,并且由于进行了身份认证,有效避免了来自非授权主机的攻击,从而有效解决现有技术中PLC控制系统信息安全防护较低的问题。
优选地,所述系统还包括数字证书管理系统,所述数字证书管理系统接收并响应于所述主机的通信认证证书签发请求命令,发送通信认证证书导出指令至所述主机;
所述主机接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述主机发送的加密后的通信认证证书文件,得到所述主机对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的主机证书编号保存至证书管理系统。
优选地,所述数字证书管理系统还用于接收并响应于所述安全网关的通信认证证书签发请求命令,发送通信认证证书导出指令至所述安全网关;
所述安全网关接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述安全网关发送的加密后的通信认证证书文件,得到所述安全网关对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的安全网关证书编号保存至证书管理系统。
具体的,CA系统的主机有两个网口,一个网口与安全网关的内侧网口相连,另一个网口与安全网关的外侧网口相连,安全网的关内侧网口与PLC主机在同一个网域;安全网关外侧的网口与上位机在同一个网域。
主机、安全网关向CA系统发送通信认证证书签发请求命令,请求CA系统签发通信认证证书。该通信认证证书签发请求命令为广播命令,命令格式为:请求签发的主机对应的IP地址(32位地址数)+密码卡编号SN+设备类型CLASS+请求命令码QN+CRC16,其中密码卡编号SN与通信认证证书相对应,设备类型CLASS 为主机对应的类型,可以为上位机、PLC主机和安全网关中的任一个或多个的任意组合,请求命令码QN为该条通信认证证书签发请求命令的编码。
CA系统启动后,当接收来自上位机的通信认证证书签发请求命令时,登录CA系统,针对通信认证证书签发请求命令,向发出该命令的上位机发送导出通信认证证书导出指令,其命令格式:IP地址(32位地址数)+密码卡编号SN+设备类型CLASS+请求命令码QM+CRC16,请求命令码QM为该条指令的编码。
上位机收到QM命令码,读密码卡编号SN对应的通信认证证书文件,通过信封密码将该通信认证证书文件进行加密,将加密后的通信认证证书文件发送至CA系统,其中发出的命令格式为:IP地址(32位地址数)+密码卡编号SN+设备类型CLASS+数据命令码D+密文数据+CRC16,其中数据命令码D为该条命令的编码,密文数据即为加密后的通信认证证书文件。
CA系统收到加密后的通信认证证书文件后,通过信封密码对其进行解密,得到上位机对应的通信认证证书,并对通信认证证书进行签名,其中将密码卡编号SN生成对应的主机证书编号,形成签名的通信认证证书,进入证书管理系统,将签名的通信认证证书和其对应的主机证书编号进行保存,可以保存在以该上位机对应的IP地址+密码卡编号+设备类型的文件夹下面。
需要说明的是,安全网关和PLC主机以同样的方式发送通信认证证书签发请求命令,请求CA系统签发通信认证证书,CA系统以同样的方式对通信认证证书进行签名和保存。可以根据项目或用户的需要,把所有上位机、PLC主机和安全网关的通信认证证书都进行签名,并进行保存。
优选地,所述数字证书管理系统还用于对所述安全网关的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至主机;
所述安全网关接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的安全网关证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息;
所述数字证书管理系统还用于对所述主机的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至安全网关;
所述主机接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的主机证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息。
具体的,CA系统登录后,上位机、PLC主机和安全网关的通信认证证书都进行签名,并保存后,还可以执行导入通信认证证书的操作。导入通信认证证书的操作是指导入通信双方对方的签名通信认证证书。
比如上位机与安全网关之间进行通信。CA系统将安全网关的签名后的通信认证证书通过信封密码进行加密,成加密签名后的通信认证证书,并以命令格式传递给上位机,其中命令具体格式为:IP地址(32位地址数)+密码卡编号SN+设备类型CLASS+导入证书命令码DL+密文数据+CRC16,其中密文数据为密签名后的通信认证证书。
同样步骤,CA系统将上位机的签名后的通信认证证书通过信封密码进行加密,成加密签名后的通信认证证书,并以命令格式传递给安全网关。
上位机、安全网关收到对方发送的加密后的通信认证证书后,用信封密码进行解密,得到签名后的通信认证证书,以密码卡编号SN即其对应的主机证书编号或安全网关证书编号为索引,将签名后的通信认证证书存储签到密码芯片ROM区。并返回“确认存储成功”的数据报文给CA系统。
同理,PLC主机与安全网关之间进行通信时,通过CA系统把PLC主机的签名后的通信认证证书以同样的方式传递给安全网关;把安全网关的签名后的通信认证证书以同样的方式传递给PLC主机,PLC主机、安全网关收到对方发送的加密后的通信认证证书后,同样进行解密和存储,返回“确认存储成功”的数据报文给CA系统。
CA系统执行完所有上位机、PLC主机和安全网关的通信认证证书的签发后,关闭系统。
优选地,所述主机用于向所述安全网关发送主机身份认证请求指令,包括:
所述主机获取主机证书编号、主机随机数和安全网关证书编号,根据所述安全网关证书编号从密码芯片区读取并解析安全网关的通信认证证书,得到安全网关公钥,其中所述密码芯片区存储有安全网关的通信认证证书;
所述主机通过所述安全网关公钥对自身的主机证书编号进行加密,得到加密后的主机证书编号,并将所述加密后的主机证书编号和主机随机数、安全网关证书编号进行组合,得到主机身份认证请求指令,将所述主机身份认证请求指令发送至所述安全网关。
具体的,上位机向安全网关发送主机身份认证请求指令时,上位机的工程组态软件读取自身的密码卡编号SN1和安全网关证书编号S1,其中自身的密码卡编号为该上位机的主机证书编号SN1,安全网关证书编号为要要对其进行身份认证的安全网关的证书编号S1。根据安全网关证书编号从密码芯片区读取安全网关的通信认证证书A,对通信认证证书A进行解析,得到安全网关公钥K1,其中安全网关公钥K1为该安全网关的公钥,用于对其发送的加密指令进行解密或加密。上位机的工程组态软件读取随机数芯片,获取主机随机数M1,此时的主机随机数即为上位机随机数,将主机随机数M1和上位机的主机证书编号SN1组成字符序列,通过安全网关公钥K1对该字符序列进行非对称加密,得到加密后的主机证书编号SA,此时的主机证书编号即为上位机的主机证书编号。 之后将安全网关证书编号S1、加密后的主机证书编号SA和主机随机数M1形成新的组合数据,该新的数据组合即为上位机身份认证请求指令,将上位机身份认证请求指令发送至安全网关,请求网关对其进行身份认证。
需要说明的是,当PLC主机向安全网关发送主机身份认证请求指令时,同样用上述步骤组成PLC主机身份认证请求指令,请求网关对其进行身份认证。
优选地,所述安全网关根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,包括:
所述安全网关判断自身的安全网关证书编号与主机身份认证请求指令中的安全网关证书编号是否一致,若一致,调用安全网关私钥对所述加密后的主机证书编号进行解密,得到主机身份认证请求指令中的主机证书编号和主机随机数;
所述安全网关根据所述主机身份认证请求指令中的主机证书编号和主机随机数对所述主机的身份进行认证。
具体的,所有的安全网关都会收到上位机身份认证请求指令,当一个安全网关收到上位机身份认证请求指令时,由于该指令中包含有安全网关证书编号S1,安全网关判断自身的安全网关证书编号与该上位机身份认证请求指令中的安全网关证书编号S1是否一致,如果不一致,该安全网关不是身份认证的目的安全网关,丢弃该上位机身份认证请求指令,如果一致,该安全网关就是身份认证的目的安全网关,该安全网关将对该上位机进行身份认证。
该安全网关将对该上位机进行身份认证时,调用安全网关私钥K2对加密后的上位机证书编号进行解密,得到上位机身份认证请求指令中的上位机证书编号和上位机随机数,安全网关根据上位机身份认证请求指令中的上位机证书编号和上位机随机数对上位机的身份进行认证,若安全网关的密码芯片ROM区存在签名后的通信认证证书与上位机身份认证请求指令中的主机证书编号和上位机随机数均一致,该上位机的身份认证通过,向上位机发出认证通过报文,否则该上位机的身份认证不通过,返回认证失败报文。
需要说明的是,当PLC主机向安全网关发送主机身份认证请求指令时,安全网关同样用上述步骤对PLC主机进行身份认证。
优选地,所述向所述主机发出安全网关身份认证请求指令,包括:
所述安全网关获取所述主机身份认证请求指令中的主机证书编号和主机随机数,根据所述主机证书编号从密码芯片区获取并解析主机对应的通信认证证书,得到主机公钥,其中所述密码芯片区存储有主机的通信认证证书;
所述安全网关获取自身的安全网关证书编号和安全网关随机数,并通过所述主机公钥对自身的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号进行加密,生成安全网关身份认证请求指令,并将所述安全网关身份认证请求指令发送至所述主机。
具体的,对主机的身份进行认证,认证通过之后,安全网关获取上位机身份认证请求指令中的上位机证书编号SN1和上位机随机数M1,安全网关密码芯片区存储有上位机的通信认证证书,根据上位机的主机证书编号从密码芯片区获取该上位机对应的通信认证证书,并进行解析,得到上位机公钥KK1。
安全网关再读取自身的随机数芯片的安全网关随机数M2,并获取安全网关自身的安全网关证书编号S1,用上位机公钥KK1对上位机随机数M1、安全网关随机数M2、上位机的主机证书编号SN1和安全网关自身的安全网关证书编号S1进行加密,形成SAA密文数据,生成安全网关身份认证请求指令发送至上位机,请求上位机对其进行身份认证。
需要说明的是,对PLC主机的身份进行认证,认证通过之后,安全网关同样生成上述安全网关身份认证请求指令发送至PLC主机,请求PLC主机对其进行身份认证。
优选地,所述主机还用于接收所述安全网关发送的安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,包括:
所述主机接收所述安全网关发送的安全网关身份认证请求指令,并判断自身的主机证书编号与安全网关身份认证请求指令中的主机证书编号是否一致,若一致,调用主机私钥对所述安全网关身份认证请求指令进行解密,得到所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号;
所述主机根据所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号,对安全网关的身份进行认证。
具体的,上位机收到安全网关发送的安全网关身份认证请求指令后,先核对自身的主机证书编号与安全网关身份认证请求指令中的主机证书编号SN1是否一致,若不一致,该上位机不是要发送的目的上位机,该上位机丢弃该安全网关身份认证请求指令,若一致,该上位机就是要发送的目的上位机,该上位机调用自身的上位机私钥对安全网关身份认证请求指令进行解密,得到解密后的上位机随机数、安全网关随机数、主机证书编号,分别核对上位机随机数M1、安全网关随机数M2、上位机证书编号SN1和安全网关自身的安全网关证书编号S1与解密后的上位机随机数、安全网关随机数、上位机证书编号是否一致,若均一致,则安全网关认证成功,若有其中任意一个或多个不一致,则安全网关认证不成功,上位机丢弃该安全网关身份认证请求指令。
当安全网关与上位之间均身份认证成功之后,两者的身份认证通过,上位机向安全网关发送通信指令,告诉安全网关双向身份认证成功,可以进行通信。
需要说明的是,PLC主机收到安全网关发送的安全网关身份认证请求指令后,同样用上述步骤对安全网关的身份进行认证,当安全网关与PLC主机之间均身份认证成功之后,两者的身份认证通过,PLC主机向安全网关发送通信指令,告诉安全网关双向身份认证成功,可以进行通信。
可以理解的是,本实施例提供的技术方案,通过CA系统分别向主机和安全网关签发通信认证证书,主机包括PLC主机和上位机,向安全网关发送主机身份认证请求指令,安全网关接收主机发送的主机身份认证请求指令,根据主机身份认证请求指令中的主机证书编号,对主机的身份进行认证,若认证通过,向主机发出认证通过报文和安全网关身份认证请求指令,其中安全网关身份认证请求指令携带有安全网关证书编号,主机接收安全网关发送的认证通过报文和安全网关身份认证请求指令,根据安全网关身份认证请求指令中的安全网关证书编号,对安全网关的身份进行认证,若认证通过,主机与安全网关之间的双向身份认证成功,主机向安全网关发送通信指令,实现主机与安全网关的通信,使得PLC主机与上位机之间的通信指令不直接暴露在明文状态,通过安全网关使PLC主机与上位机之间的通信更加安全,并且由于进行了身份认证,有效避免了来自非授权主机的攻击,从而有效解决现有技术中PLC控制系统易遭到网络攻击,信息安全防护较低的问题。
参见图2,图2是根据一示例性实施例示出的一种通信方法流程示意图,包括:
步骤S21,所述主机向所述安全网关发送主机身份认证请求指令,其中所述主机身份认证请求指令携带有主机证书编号;
步骤S22,所述安全网关接收所述主机发送的主机身份认证请求指令,根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,若认证通过,向所述主机发出认证通过报文和安全网关身份认证请求指令,其中所述安全网关身份认证请求指令携带有安全网关证书编号;
步骤S23,所述主机接收所述安全网关发送的认证通过报文和安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,若认证通过,所述主机与所述安全网关之间的双向身份认证成功,所述主机向所述安全网关发送通信指令。
优选地,所述系统还包括数字证书管理系统,所述数字证书管理系统接收并响应于所述主机的通信认证证书签发请求命令,发送通信认证证书导出指令至所述主机;
所述主机接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述主机发送的加密后的通信认证证书文件,得到所述主机对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的主机证书编号保存至证书管理系统。
优选地,所述数字证书管理系统还用于接收并响应于所述安全网关的通信认证证书签发请求命令,发送通信认证证书导出指令至所述安全网关;
所述安全网关接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述安全网关发送的加密后的通信认证证书文件,得到所述安全网关对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的安全网关证书编号保存至证书管理系统。
优选地,所述数字证书管理系统还用于对所述安全网关的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至主机;
所述安全网关接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的安全网关证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息;
所述数字证书管理系统还用于对所述主机的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至安全网关;
所述主机接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的主机证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息。
优选地,所述主机用于向所述安全网关发送主机身份认证请求指令,包括:所述主机获取主机证书编号、主机随机数和安全网关证书编号,根据所述安全网关证书编号从密码芯片区读取并解析安全网关的通信认证证书,得到安全网关公钥,其中所述密码芯片区存储有安全网关的通信认证证书;
所述主机通过所述安全网关公钥对自身的主机证书编号进行加密,得到加密后的主机证书编号,并将所述加密后的主机证书编号和主机随机数、安全网关证书编号进行组合,得到主机身份认证请求指令,将所述主机身份认证请求指令发送至所述安全网关。
优选地,所述安全网关根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,包括:
所述安全网关判断自身的安全网关证书编号与主机身份认证请求指令中的安全网关证书编号是否一致,若一致,调用安全网关私钥对所述加密后的主机证书编号进行解密,得到主机身份认证请求指令中的主机证书编号和主机随机数;
所述安全网关根据所述主机身份认证请求指令中的主机证书编号和主机随机数对所述主机的身份进行认证。
优选地,所述向所述主机发出安全网关身份认证请求指令,包括:
所述安全网关获取所述主机身份认证请求指令中的主机证书编号和主机随机数,根据所述主机证书编号从密码芯片区获取并解析主机对应的通信认证证书,得到主机公钥,其中所述密码芯片区存储有主机的通信认证证书;
所述安全网关获取自身的安全网关证书编号和安全网关随机数,并通过所述主机公钥对自身的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号进行加密,生成安全网关身份认证请求指令,并将所述安全网关身份认证请求指令发送至所述主机。
优选地,所述主机还用于接收所述安全网关发送的安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,包括:
所述主机接收所述安全网关发送的安全网关身份认证请求指令,并判断自身的主机证书编号与安全网关身份认证请求指令中的主机证书编号是否一致,若一致,调用主机私钥对所述安全网关身份认证请求指令进行解密,得到所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号;
所述主机根据所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号,对安全网关的身份进行认证。
可以理解的是,本实施例提供的技术方案,由于通过上述实施例提及的数字证书管理系统分别向主机和安全网关签发通信认证证书,主机包括PLC主机和上位机,向安全网关发送主机身份认证请求指令,安全网关接收主机发送的主机身份认证请求指令,根据主机身份认证请求指令中的主机证书编号,对主机的身份进行认证,若认证通过,向主机发出认证通过报文和安全网关身份认证请求指令,其中安全网关身份认证请求指令携带有安全网关证书编号,主机接收安全网关发送的认证通过报文和安全网关身份认证请求指令,根据安全网关身份认证请求指令中的安全网关证书编号,对安全网关的身份进行认证,若认证通过,主机与安全网关之间的双向身份认证成功,主机向安全网关发送通信指令,实现主机与安全网关的通信,使得PLC主机与上位机之间的通信指令不直接暴露在明文状态,通过安全网关使PLC主机与上位机之间的通信更加安全,并且由于进行了身份认证,有效避免了来自非授权主机的攻击,从而有效解决现有技术中PLC控制系统信息安全防护较低的问题。
本发明还提供了一种通信设备,包括:
存储器,其上存储有可执行程序;
处理器,用于执行所述存储器中的所述可执行程序,以实现上述任一项所述方法的步骤。
此外,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行上述任一项所述方法的步骤。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (9)

1.一种通信系统,其特征在于,包括:主机和安全网关,其中:
所述主机用于向所述安全网关发送主机身份认证请求指令,其中所述主机身份认证请求指令携带有主机证书编号;
所述安全网关用于接收所述主机发送的主机身份认证请求指令,根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,若认证通过,向所述主机发出认证通过报文和安全网关身份认证请求指令,其中所述安全网关身份认证请求指令携带有安全网关证书编号;
所述主机还用于接收所述安全网关发送的认证通过报文和安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,若认证通过,所述主机与所述安全网关之间的双向身份认证成功,所述主机向所述安全网关发送通信指令;
所述主机用于向所述安全网关发送主机身份认证请求指令,包括:
所述主机获取主机证书编号、主机随机数和安全网关证书编号,根据所述安全网关证书编号从密码芯片区读取并解析安全网关的通信认证证书,得到安全网关公钥,其中所述密码芯片区存储有安全网关的通信认证证书;
所述主机通过所述安全网关公钥对自身的主机证书编号进行加密,得到加密后的主机证书编号,并将所述加密后的主机证书编号和主机随机数、安全网关证书编号进行组合,得到主机身份认证请求指令,将所述主机身份认证请求指令发送至所述安全网关。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括数字证书管理系统,所述数字证书管理系统接收并响应于所述主机的通信认证证书签发请求命令,发送通信认证证书导出指令至所述主机;
所述主机接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述主机发送的加密后的通信认证证书文件,得到所述主机对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的主机证书编号保存至证书管理系统。
3.根据权利要求2所述的系统,其特征在于,所述数字证书管理系统还用于接收并响应于所述安全网关的通信认证证书签发请求命令,发送通信认证证书导出指令至所述安全网关;
所述安全网关接收并响应于所述通信认证证书导出指令,读取并加密对应的通信认证证书文件,得到加密后的通信认证证书文件,并将所述加密后的通信认证证书文件发送至所述数字证书管理系统;
所述数字证书管理系统接收并解密所述安全网关发送的加密后的通信认证证书文件,得到所述安全网关对应的通信认证证书,并对所述通信认证证书进行签名,得到签名后的通信认证证书,将所述签名后的通信认证证书和其对应的安全网关证书编号保存至证书管理系统。
4.根据权利要求2所述的系统,其特征在于,所述数字证书管理系统还用于对所述安全网关的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至主机;
所述安全网关接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的安全网关证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息;
所述数字证书管理系统还用于对所述主机的签名后的通信认证证书进行加密,得到对应的加密签名后的通信认证证书,并将所述加密签名后的通信认证证书上传至安全网关;
所述主机接收所述加密签名后的通信认证证书,并进行解密,得到签名后的通信认证证书,将所述签名后的通信认证证书及其对应的主机证书编号存储至密码芯片区,并向所述数字证书管理系统返回存储成功的消息。
5.根据权利要求1所述的系统,其特征在于,所述安全网关根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,包括:
所述安全网关判断自身的安全网关证书编号与主机身份认证请求指令中的安全网关证书编号是否一致,若一致,调用安全网关私钥对所述加密后的主机证书编号进行解密,得到主机身份认证请求指令中的主机证书编号和主机随机数;
所述安全网关根据所述主机身份认证请求指令中的主机证书编号和主机随机数对所述主机的身份进行认证。
6.根据权利要求1所述的系统,其特征在于,所述向所述主机发出安全网关身份认证请求指令,包括:
所述安全网关获取所述主机身份认证请求指令中的主机证书编号和主机随机数,根据所述主机证书编号从密码芯片区获取并解析主机对应的通信认证证书,得到主机公钥,其中所述密码芯片区存储有主机的通信认证证书;
所述安全网关获取自身的安全网关证书编号和安全网关随机数,并通过所述主机公钥对自身的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号进行加密,生成安全网关身份认证请求指令,并将所述安全网关身份认证请求指令发送至所述主机。
7.根据权利要求6所述的系统,其特征在于,所述主机还用于接收所述安全网关发送的安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,包括:
所述主机接收所述安全网关发送的安全网关身份认证请求指令,并判断自身的主机证书编号与安全网关身份认证请求指令中的主机证书编号是否一致,若一致,调用主机私钥对所述安全网关身份认证请求指令进行解密,得到所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号;
所述主机根据所述安全网关身份认证请求指令中的安全网关证书编号、安全网关随机数、主机随机数和主机证书编号,对安全网关的身份进行认证。
8.一种通信方法,其特征在于,所述方法包括:
主机向安全网关发送主机身份认证请求指令,其中所述主机身份认证请求指令携带有主机证书编号;
安全网关接收所述主机发送的主机身份认证请求指令,根据所述主机身份认证请求指令中的主机证书编号,对所述主机的身份进行认证,若认证通过,向所述主机发出认证通过报文和安全网关身份认证请求指令,其中所述安全网关身份认证请求指令携带有安全网关证书编号;
所述主机接收所述安全网关发送的认证通过报文和安全网关身份认证请求指令,根据所述安全网关身份认证请求指令中的安全网关证书编号,对所述安全网关的身份进行认证,若认证通过,所述主机与所述安全网关之间的双向身份认证成功,所述主机向所述安全网关发送通信指令;
所述主机向安全网关发送主机身份认证请求指令,包括:
所述主机获取主机证书编号、主机随机数和安全网关证书编号,根据所述安全网关证书编号从密码芯片区读取并解析安全网关的通信认证证书,得到安全网关公钥,其中所述密码芯片区存储有安全网关的通信认证证书;
所述主机通过所述安全网关公钥对自身的主机证书编号进行加密,得到加密后的主机证书编号,并将所述加密后的主机证书编号和主机随机数、安全网关证书编号进行组合,得到主机身份认证请求指令,将所述主机身份认证请求指令发送至所述安全网关。
9.一种通信设备,其特征在于,包括:
存储器,其上存储有可执行程序;
处理器,用于执行所述存储器中的所述可执行程序,以实现权利要求8所述方法的步骤。
CN202310903789.0A 2023-07-24 2023-07-24 一种通信系统、方法、设备及存储介质 Active CN116633690B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310903789.0A CN116633690B (zh) 2023-07-24 2023-07-24 一种通信系统、方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310903789.0A CN116633690B (zh) 2023-07-24 2023-07-24 一种通信系统、方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN116633690A CN116633690A (zh) 2023-08-22
CN116633690B true CN116633690B (zh) 2023-09-26

Family

ID=87597562

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310903789.0A Active CN116633690B (zh) 2023-07-24 2023-07-24 一种通信系统、方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116633690B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1700638A (zh) * 2004-05-18 2005-11-23 江苏省电力公司 借助安全认证网关的企业网安全接入方法
CN106790173A (zh) * 2016-12-29 2017-05-31 浙江中控技术股份有限公司 一种scada系统及其rtu控制器双向身份认证的方法及系统
CN109787988A (zh) * 2019-01-30 2019-05-21 杭州恩牛网络技术有限公司 一种身份加强认证和鉴权方法及装置
CN111835752A (zh) * 2020-07-09 2020-10-27 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
CN112448958A (zh) * 2020-11-30 2021-03-05 南方电网科学研究院有限责任公司 一种域策略下发方法、装置、电子设备和存储介质
CN116318997A (zh) * 2023-03-20 2023-06-23 中国人民解放军军事科学院系统工程研究院 一种终端与网关之间的双向身份认证方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1700638A (zh) * 2004-05-18 2005-11-23 江苏省电力公司 借助安全认证网关的企业网安全接入方法
CN106790173A (zh) * 2016-12-29 2017-05-31 浙江中控技术股份有限公司 一种scada系统及其rtu控制器双向身份认证的方法及系统
CN109787988A (zh) * 2019-01-30 2019-05-21 杭州恩牛网络技术有限公司 一种身份加强认证和鉴权方法及装置
CN111835752A (zh) * 2020-07-09 2020-10-27 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
CN112448958A (zh) * 2020-11-30 2021-03-05 南方电网科学研究院有限责任公司 一种域策略下发方法、装置、电子设备和存储介质
CN116318997A (zh) * 2023-03-20 2023-06-23 中国人民解放军军事科学院系统工程研究院 一种终端与网关之间的双向身份认证方法

Also Published As

Publication number Publication date
CN116633690A (zh) 2023-08-22

Similar Documents

Publication Publication Date Title
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
Pereira et al. An authentication and access control framework for CoAP-based Internet of Things
CN109088870B (zh) 一种新能源厂站发电单元采集终端安全接入平台的方法
JP5845393B2 (ja) 暗号通信装置および暗号通信システム
CN106059757A (zh) 视音频监控设备及其数据加解密方法、视音频展示设备
CN103916363B (zh) 加密机的通讯安全管理方法和系统
CN111181723B (zh) 物联网设备间离线安全认证的方法和装置
CN102685119A (zh) 数据发送/接收方法及装置、传输方法及系统、服务器
CN106100836A (zh) 一种工业用户身份认证和加密的方法及系统
CN102811225B (zh) 一种ssl中间代理访问web资源的方法及交换机
CN109274500B (zh) 一种密钥下载方法、客户端、密码设备及终端设备
JP2003526836A (ja) 通信ネットワークを安全化するための方法、システム、サーバ、および装置
CN105162808A (zh) 一种基于国密算法的安全登录方法
CN112769773B (zh) 一种基于国密算法的铁路安全通信协议仿真系统
US20200128042A1 (en) Communication method and apparatus for an industrial control system
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
Friesen et al. A comparative evaluation of security mechanisms in DDS, TLS and DTLS
CN1848722B (zh) 建立可信虚拟专用网连接的方法和系统
CN111327591A (zh) 基于区块链的数据传输方法、系统及存储介质
CN114139176A (zh) 一种基于国密的工业互联网核心数据的保护方法及系统
CN112865965B (zh) 一种基于量子密钥的列车业务数据处理方法及系统
CN112583594B (zh) 数据处理方法、采集设备和网关、可信平台及存储介质
CN111435389A (zh) 一种配电终端运维工具安全防护系统
CN116633690B (zh) 一种通信系统、方法、设备及存储介质
CN111490874A (zh) 一种配网安全防护方法、系统、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant