CN213403064U - 一种基于标识密码的工业网络安全通信系统 - Google Patents
一种基于标识密码的工业网络安全通信系统 Download PDFInfo
- Publication number
- CN213403064U CN213403064U CN202022611785.XU CN202022611785U CN213403064U CN 213403064 U CN213403064 U CN 213403064U CN 202022611785 U CN202022611785 U CN 202022611785U CN 213403064 U CN213403064 U CN 213403064U
- Authority
- CN
- China
- Prior art keywords
- identification
- module
- network
- password
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型属于工业网络安全通信技术领域,具体涉及一种基于标识密码的工业网络安全通信系统,包括工控系统监控中心和监测终端,工控系统监控中心通过通信网络与监控终端连接,还包括标识密码基础设施模块和安全通信装置,通过标识密码基础设施模块生成、分发和管理密钥;工控系统监控中心和检测终端分别通过安全通信装置与通信网络连接;所述安全通信装置包括电源、处理器、存储器、密码模块和编程口及I/O模块,所述密码模块、编程口及I/O模块和处理器均与存储器连接,所述电源与处理器,所述存储器连接有至少两个网口,用于数据传输。基于标识密码技术,通过身份认证、密钥协商、加密通信、安全监控实现工控数据安全传输。
Description
技术领域
本实用新型属于工业网络安全通信技术领域,具体涉及一种基于标识密码的工业网络安全通信系统。
背景技术
工业互联网要求网络传输具有高可靠、低延时、广覆盖等特性,而传统的安全解决方案中,身份认证常采用PKI/CA技术实现,由于CA证书的验证协议复杂和管理开销大,此方式难以在一些工业设备里面实现。
在传统的安全解决方案中,身份认证常采用PKI/CA技术实现,由于CA证书的验证协议复杂和管理开销大,此方式难以在一些工业设备里面实现,不便在工业网络安全中得到广泛的应用。因为PKI/CA系统中需要为每一个设备、终端都要颁发数字证书,在使用过程中还需要交换对方的证书,在工业网络这种用户数巨大、交互频繁的使用场景下,需要维护管理大量证书、进行在线交换,整体建设和维护成本非常高,难以推广应用。
如图2所示,当前工控设备和公开协议本身缺乏安全防护设计,容易受到网络攻击,工控网络传输协议大多采用不加密的方式进行数据传输,数据通信过程中数据容易被篡改,安全风险大等问题。
实用新型内容
针对上述技术问题,本实用新型提供了一种基于标识密码的工业网络安全通信系统,该系统基于标识密码技术,通过身份认证、密钥协商、加密通信、安全监控实现工控数据安全传输。
为了解决上述技术问题,本实用新型采用的技术方案为:
一种基于标识密码的工业网络安全通信系统,包括工控系统监控中心和监测终端,工控系统监控中心通过通信网络与监控终端连接,还包括标识密码基础设施模块和安全通信装置,通过标识密码基础设施模块生成、分发和管理密钥;工控系统监控中心和检测终端分别通过安全通信装置与通信网络连接;所述安全通信装置包括电源、处理器、存储器、密码模块和编程口及I/O模块,所述密码模块、编程口及I/O模块和处理器均与存储器连接,所述电源与处理器,所述存储器连接有至少两个网口,用于数据传输。
还包括网络安全监控中心,通过网络安全监控中心进行流量统计、网络异常报警和安全日志管理。
所述标识密码基础设施模块包括标识密码密钥生成管理中心、标识生成管理模块和登录注册机,标识生成管理模块和登录注册机均与标识密码密钥生成管理中心连接,标识生成管理模块与登录注册机连接,登录注册机与安全通信装置连接。
本实用新型与现有技术相比,具有的有益效果是:
基于标识密码技术,遵循国密算法标准SM9、SM4、SM3的密码基础设施为系统提供密钥服务,安全通信装置以设备ID为标识公钥,密钥服务设施生成并为其分发专属私钥,装置内置安全程序,通过身份认证、密钥协商、加密通信、安全监控实现工控数据安全传输。
针对工业网络进行安全防护,具有网络通信加密、网络通信终端设备身份认证、网络信息加密、网络流量异常监控等功能,适用于各类工业网络环境。另外用于网络安全改造场景系统部署方便,管理简易,不需更改现有网络结构,在原有工业控制系统的现场控制点,例如可编程逻辑控制器、远程终端单元、数传单元通讯的接口上,通过串接的方式接入安全装置,不受被保护设备通讯协议的影响,可以无缝接入现有控制系统网络,直接提供信息安全防护能力,应用前景十分广阔。
附图说明
图1是本实用新型的系统结构框图;
图2是现有技术中的结构框图;
图3是本实用新型的结构框图;
图4是本实用新型的安全通信示意图;
图5是本实用新型初始化通信的流程图;
图6是本实用新型加解密流程图;
图7是本实用新型标识密码基础设施模块的框图;
具体实施方式
下面对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。
如图1所示,一种基于标识密码的工业网络安全通信系统,包括工控系统监控中心和监测终端,工控系统监控中心通过通信网络与监控终端连接;还包括标识密码基础设施模块和安全通信装置,通过标识密码基础设施模块生成、分发和管理密钥;工控系统监控中心和检测终端分别通过安全通信装置与通信网络连接。
在现有系统的基础上增设了标识密码基础设施和安全通信装置;新建标识密码基础设施,生成主密钥,根据通信节点设备生成个节点安全通信装置ID作为节点公钥,登记申请ID私钥,安全下载用户私钥及主公钥到安全通信装置。标识密码基础设施属于独立系统与工业网物理隔离。
标识生成与管理模块。依托设备(MAC或IP地址)信息,并经过处理生成设一定长度的设备唯一标识ID。基于标识密码体制(IBC)的密码基础设施模块。用于生成、分发和管理每个终端安全装置的密钥,建立终端通信安全加密、认证基础。
如图7所示,基于标识密码体制(IBC)的密码基础设施:
设计使用的基于标识密码体制(IBC)的密码基础设施,主要包括:标识密码密钥生成管理中心、标识生成管理模块、登录注册机三部分;标识生成管理模块和登录注册机均与标识密码密钥生成管理中心连接,标识生成管理模块与登录注册机连接,登录注册机与安全通信装置连接。
其中标识密码密钥生成管理中心主要功能有:主密钥密钥生成管理、主公钥参数发布模块、对外接口、随机数生成器、用户密钥登记注册生成管理等;标识生成管理模块主要功能由用户设备标识注册登记生成管理等;登录注册机主要功能提供安全通信设备的登记注册、标识设定及密钥相关信息的安全下载。
密码基础设施采用算法、参数等都符合SM9国密行业标准GM/T 0044中的要求:
椭圆曲线方程为:y2=x3+b,基域特征q,方程参数b,群1,2的阶N:余因子cf,嵌入次数k,扭曲线的参数,群的生成元P1=(xP1,yP1),群2的生成元P2=(xP2,yP2),双线性对的识别符eid4等。
第一步,标识密码密钥生成管理中心(KGC)负责主密钥(包括签名主密钥和加密主密钥)生成:
签名主私钥ks(随机数发生器产生),签名主公钥Ppub-s=[ks]P2
加密主密钥ke:(随机数发生器产生),加密主公钥Ppub-e=[ke]P1:
第二步,用户A公钥(IDA)生成:设备编号+MAC地址或IP地址等特定唯一标识组成;用户端私钥由终端用户通过登录注册机向标识密码密钥生成管理中心申请,并下载。
第三步,计算用户A签名私钥dsA,标识密码密钥生成管理中心依据I有限域FN上计算t1=H1(IDA||hid,N)+ks,若t1=0重新产生签名主私钥,计算和公开加密主公钥,并更新已有用户的签名私钥,否则计算t2=ks*t1-1modN,然后计算得到dsA=[t2]P1;
计算用户A加密私钥deA,标识密码密钥生成管理中心首先在有限域FN上计算t1=H1(IDA||hid,N)+ke,若t1=0则需重新产生加密主私钥,计算和公开加密主公钥,并更新已有用户的加密私钥;否则计算t2=ke*t1-1,然后计算deA=[t2]P2。
第四步,密钥管理中心负责主密钥秘密保存管理,同时可秘密存储管理用户私钥并提供接口实现、主公钥、用户私钥安全下载。
安全通信装置设计:要实现安全通信系统,通信各方都需在原接口处串接本发明中的安全通信装置(甲方与乙方安全通信附图4所示)。其采用国密标准算法,以工业网络设备ID为标识公钥,分发专属私钥,无需数字证书及认证中心即可实现对工业网络中信息传输双方设备进行身份认证,保证通信双方身份不能被冒用,对工业网络中传输的重要敏感数据做加密保护,保护敏感数据不被泄露。
如图3所示,安全通信装置基本组成:包括电源、处理器、存储器、密码模块和编程口及I/O模块,密码模块、编程口及I/O模块和处理器均与存储器连接,电源与处理器,存储器连接有至少两个网口,用于数据传输。
主要功能:加密、解密、通信协议识别、可针对协议加密、日志管理、安全监控接口等。
工作模式有三种:全加密(全加密)、协议选择加密(协议加密)、不加密(直通)。工作状态标识为:初始化(0)、正常(1)。
工作流程(如附图5所示):初始化设置(密钥设置下载、通信白名单设置),模式选择,通信对象确定,握手认证,正常通讯。
安全通信装置使用前必须先进行初始化设置,初始化主要是设备ID(公钥)设置,安全连接密码基础设施中的登录注册机,下载对应私钥并存储到通讯装置安全存储区,设置装置通信白名单内容包括对应设备ID及IP信息(本系统中IP与ID具有关联性改变设备IP时必须更改装置白名单信息);
工作模式设置(全加密、协议加密、直通);
与白名单通信装置进行身份认证,并协商记录通信密钥,及密钥有效期;
工作状态置位,选择并判断密钥有效期(不在有效期重新进行密钥协商),开始正常工作对安全通信装置明文口来的数据进行加密操作并从密文口输出,对密文口传输来的数据进行解密操作并从明文口输出。
三种工作模式流程如下:
直通模式流程:装置对流入的数据不进行任何处理直接输出。
全加密和协议加密时通信流程主要过程如下:以甲乙双方通信为例,甲方对应安全装置标识(即甲方公钥)为ID甲,乙方对应安全装置标识(即乙方公钥)ID乙,甲、乙设备通信过程主要步骤是:
1、安全装置初始化握手,ID甲与ID乙进行身份认证,密钥协商,成功后保存状态参数同时置工作状态标置位1,进入正常工作状态,具体流程见附图5;
2、加、解密流程由数据流入流出端口确定,由此加(解)密流程描述如下:捕获B(A)口数据包,根据加密模式判断是否进行协议分析,拆分包头和正文数据包,对正文数据包(或指定协议的数据包)进行加(解)密操作(使用SM4算法,密钥长度128bit),重新打包,新数据发往A(B)口,完成一轮数据加解密工作。具体流程图见附图6。(工作模式为不加密时数据直接由A(B)口转发至B(A)口)
进一步,还包括网络安全监控中心,由于安全通信装置具备日志功能和监控接口,因此可在通信网络中搭建一个网络安全监控中心节点以监控网络通信状态,主要功能有:安全通信装置在线监测、网络流量监测、流量异常报警、安全日志管理等。
网络安全监控中心可根据实际情况选择是否新增,具体可设计专用网络安全监控软件,软件开启服务,接收各安全通信装置的监控消息,监控软件具备,流量统计、通信装置在线统计、网络异常报警、安全日志管理等功能。
上面仅对本实用新型的较佳实施例作了详细说明,但是本实用新型并不限于上述实施例,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本实用新型宗旨的前提下作出各种变化,各种变化均应包含在本实用新型的保护范围之内。
Claims (3)
1.一种基于标识密码的工业网络安全通信系统,包括工控系统监控中心和监测终端,工控系统监控中心通过通信网络与监控终端连接,其特征在于:还包括标识密码基础设施模块和安全通信装置,通过标识密码基础设施模块生成、分发和管理密钥;工控系统监控中心和检测终端分别通过安全通信装置与通信网络连接;所述安全通信装置包括电源、处理器、存储器、密码模块和编程口及I/O模块,所述密码模块、编程口及I/O模块和处理器均与存储器连接,所述电源与处理器,所述存储器连接有至少两个网口,用于数据传输。
2.根据权利要求1所述的一种基于标识密码的工业网络安全通信系统,其特征在于:还包括网络安全监控中心,通过网络安全监控中心进行流量统计、网络异常报警和安全日志管理。
3.根据权利要求1所述的一种基于标识密码的工业网络安全通信系统,其特征在于:所述标识密码基础设施模块包括标识密码密钥生成管理中心、标识生成管理模块和登录注册机,标识生成管理模块和登录注册机均与标识密码密钥生成管理中心连接,标识生成管理模块与登录注册机连接,登录注册机与安全通信装置连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202022611785.XU CN213403064U (zh) | 2020-11-12 | 2020-11-12 | 一种基于标识密码的工业网络安全通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202022611785.XU CN213403064U (zh) | 2020-11-12 | 2020-11-12 | 一种基于标识密码的工业网络安全通信系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN213403064U true CN213403064U (zh) | 2021-06-08 |
Family
ID=76194153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202022611785.XU Active CN213403064U (zh) | 2020-11-12 | 2020-11-12 | 一种基于标识密码的工业网络安全通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN213403064U (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872760A (zh) * | 2021-11-03 | 2021-12-31 | 中电科鹏跃电子科技有限公司 | 一种sm9秘钥基础设施及安全系统 |
| CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
| CN116866090A (zh) * | 2023-09-05 | 2023-10-10 | 长扬科技(北京)股份有限公司 | 工控网络的网络安全管理系统和网络安全管理方法 |
-
2020
- 2020-11-12 CN CN202022611785.XU patent/CN213403064U/zh active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872760A (zh) * | 2021-11-03 | 2021-12-31 | 中电科鹏跃电子科技有限公司 | 一种sm9秘钥基础设施及安全系统 |
| CN114070590A (zh) * | 2021-11-03 | 2022-02-18 | 中电科鹏跃电子科技有限公司 | 一种基于ibc的零信任防护方法及系统 |
| CN116866090A (zh) * | 2023-09-05 | 2023-10-10 | 长扬科技(北京)股份有限公司 | 工控网络的网络安全管理系统和网络安全管理方法 |
| CN116866090B (zh) * | 2023-09-05 | 2023-11-28 | 长扬科技(北京)股份有限公司 | 工控网络的网络安全管理系统和网络安全管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN213403064U (zh) | 一种基于标识密码的工业网络安全通信系统 | |
| JP4527358B2 (ja) | 鍵供託を使用しない、認証された個別暗号システム | |
| CN110069918B (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
| CA2865835C (en) | System and method for connecting client devices to a network | |
| US8600063B2 (en) | Key distribution system | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN109951513B (zh) | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 | |
| CN111490871A (zh) | 一种基于量子密钥云的sm9密钥认证方法、系统及存储介质 | |
| CN109586908A (zh) | 一种安全报文传输方法及其系统 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN113285959A (zh) | 一种邮件加密方法、解密方法及加解密系统 | |
| CN114221765B (zh) | 一种qkd网络与经典密码算法融合的量子密钥分发方法 | |
| CN105119894A (zh) | 基于硬件安全模块的通信系统及通信方法 | |
| CN113572740A (zh) | 一种基于国密的云管理平台认证加密方法 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN114024698A (zh) | 一种基于国密算法的配电物联网业务安全交互方法及系统 | |
| CN113572607A (zh) | 一种采用非平衡sm2密钥交换算法的安全通信方法 | |
| CN108123797A (zh) | 基于量子密钥的网络加密装置 | |
| CN109194650B (zh) | 基于文件远距离加密传输系统的加密传输方法 | |
| CN116743372A (zh) | 基于ssl协议的量子安全协议实现方法及系统 | |
| Boyd et al. | Design and analysis of key exchange protocols via secure channel identification | |
| CN107534552A (zh) | 交易完整性密钥的分发和验证 | |
| CN112787990B (zh) | 一种电力终端可信接入认证方法和系统 | |
| CN114386020A (zh) | 基于量子安全的快速二次身份认证方法及系统 | |
| CN101267298A (zh) | 一种基于媒体流业务的密钥协商方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |