CN112350826A - 一种工业控制***数字证书签发管理方法和加密通信方法 - Google Patents

一种工业控制***数字证书签发管理方法和加密通信方法 Download PDF

Info

Publication number
CN112350826A
CN112350826A CN202110020753.9A CN202110020753A CN112350826A CN 112350826 A CN112350826 A CN 112350826A CN 202110020753 A CN202110020753 A CN 202110020753A CN 112350826 A CN112350826 A CN 112350826A
Authority
CN
China
Prior art keywords
client device
certificate
client
server
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110020753.9A
Other languages
English (en)
Inventor
褚健
章维
马纳
张高达
陈银桃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Supcon Technology Co Ltd
Original Assignee
Zhejiang Supcon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Supcon Technology Co Ltd filed Critical Zhejiang Supcon Technology Co Ltd
Priority to CN202110020753.9A priority Critical patent/CN112350826A/zh
Publication of CN112350826A publication Critical patent/CN112350826A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种工业控制***数字证书签发管理方法,基于公开密钥基础架构(PKI)的证书管理体系,结合工控***网络环境特点,实现了工业控制***中工程师站、控制器、操作员站的数字证书签发和管理。还提供一种工业控制***加密通信方法,在第一客户端设备和第二客户端设备之间的每一次通信开始时,第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商,若身份认证通过,则根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信。提高了整体工控***的通信安全性,有效降低通信被劫持或恶意篡改的风险。

Description

一种工业控制***数字证书签发管理方法和加密通信方法
技术领域
本发明涉及工业控制***安全技术领域,尤其涉及一种工业控制***数字证书签发管理方法和加密通信方法。
背景技术
工业控制***作为工业生产的核心,自身网络环境复杂,传统工业通讯协议在设计之初并未考虑安全性,设备间通信存在明文传输、身份无法确认等诸多安全隐患。
随着工业4.0与数字化工厂进程的不断推进,工业控制***的网络安全防护越来越不容忽视。现有工业控制***进行通信广泛采用口令技术对设备身份进行验证,然而密码口令的安全强度相对有限,职责权限划分不够明确,缺少对设备、***的统一管理与一对一配对,容易出现管理漏洞从而易被破解。现有工业控制***进行业务通讯时,业务数据通常采用明文传输、固定传输、通用协议等方式进行,无法有效验证通信方身份,控制器自身组态与业务数据易遭到篡改与劫持伪造,具有较大安全风险;或者现有工业控制***长期沿用3DES、SHA-1、RSA等国际通用密码算法体系及相关标准来进行加密传输,然而随着计算机算力、各类优质算法的提出、量子计算机等新兴技术的出现,国外主流算法也不再是牢不可破,例如基于秀尔算法的量子计算机利用量子计算的并行性,可快速分解出公约数,从原理上打破了RSA算法的安全基础。
因此,工业控制***迫切需要一种更为安全、实用、可靠的用于设备身份认证和加密通信的技术。
发明内容
(一)要解决的技术问题
鉴于上述技术中存在的问题,本发明至少从一定程度上进行解决。为此,本发明的一个目的在于提出了一种工业控制***数字证书签发管理方法,实现了对工业控制***中工程师站、控制器、操作员站的数字证书签发和管理。
本发明的第二个目的在于提出一种工业控制***加密通信方法,能够提高整体工控***的通信安全性,有效降低通信被劫持或恶意篡改的风险。
(二)技术方案
为了达到上述目的,本发明一方面提供一种工业控制***数字证书签发管理方法,包括:
在工业控制***出厂时,客户端设备与CA服务器之间进行认证对方身份的数据交互;
若客户端设备与CA服务器之间的身份认证通过,则客户端设备根据国密算法生成自身密钥对和证书签发请求,并发送证书签发请求和自身公钥至CA服务器;CA服务器根据国密算法、证书签发请求和公钥信息生成数字证书,并将数字证书发送至客户端设备;
若客户端设备根据自身密钥对和根证书验证数字证书有效性通过,则存储数字证书以作为自身数字证书;
其中,客户端设备包括工程师站、控制器和操作员站。
进一步地,工业控制***数字证书签发管理方法还包括:
客户端设备在自身数字证书到期前的预设时刻,生成影子证书签发请求,并发送影子证书签发请求和自身公钥至CA服务器;
CA服务器根据影子证书签发请求和公钥信息生成影子证书,并将影子证书发送至客户端设备;
若客户端设备根据自身密钥对和根证书验证影子证书有效性通过,则存储影子证书;
客户端设备在自身数字证书到期时,将影子证书作为自身数字证书。
进一步地,客户端设备与CA服务器之间进行认证对方身份的数据交互,包括:
客户端设备发送证书请求和自身设备信息至CA服务器;
CA服务器收到证书请求后对客户端设备信息进行验证,若验证通过,则CA服务器发送自身数字证书至客户端设备;
客户端设备根据根证书验证CA服务器的数字证书的有效性,若验证通过,则客户端设备与CA服务器之间的身份认证通过。
本发明另一方面提供一种工业控制***加密通信方法,包括:
在第一客户端设备和第二客户端设备之间的每一次通信开始时,第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商;
若身份认证通过,则根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信;
其中,通讯双方的数字证书根据如上所述的工业控制***数字证书签发管理方法获得。
进一步地,会话密钥为对称密钥。
进一步地,第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商,包括:
第一客户端设备生成连接请求和第一随机数,并根据自身私钥和国密算法加密第一随机数;
第一客户端设备发送连接请求、自身数字证书和加密的第一随机数至第二客户端设备;
根据CA服务器的根证书,第二客户端设备对第一客户端设备数字证书有效性进行验证,若验证通过,则第二客户端设备生成第二随机数,并根据第一客户端设备数字证书中携带的公钥对加密的第一随机数进行解密,根据第一随机数和第二随机数生成会话密钥,以及根据自身私钥和国密算法加密第二随机数;
第二客户端设备发送自身数字证书、会话密钥、解密的第一随机数和加密的第二随机数至第一客户端设备;
根据CA服务器的根证书,第一客户端设备对第二客户端设备数字证书和解密的第一随机数的有效性进行验证,若验证通过,则第一客户端设备根据第二客户端设备数字证书中携带的公钥对加密的第二随机数进行解密,并根据会话密钥对解密的第二随机数进行加密;
第一客户端设备发送会话密钥加密的第二随机数至第二客户端设备;
第二客户端设备根据会话密钥对会话密钥加密的第二随机数进行解密,并验证会话密钥解密的第二随机数的有效性,若验证通过,则第二客户端设备向第一客户端设备发送通信开始通知。
进一步地,根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信,包括:第一客户端设备根据会话密钥和国密算法对业务数据进行加密,然后将加密后的业务数据发送至第二客户端设备。
进一步地,国密算法包括国密非对称加密算法、国密对称加密算法和国密密码杂凑算法。
进一步地,国密非对称加密算法为椭圆曲线加密算法;国密对称加密算法为分组密码算法。
(三)有益效果
本发明的有益效果是:
1、本发明提出的工业控制***数字证书签发管理方法,实现了PKI证书管理体系在工控***的应用,能够对工业控制***中工程师站、控制器、操作员站的数字证书进行统一签发和管理,并实现了对工业控制***设备证书的高效、安全、灵活的管理,为在工控***的通信过程中利用数字证书作准备,以提高整体工控***的通信安全性,有效降低通信被劫持或恶意篡改的风险。
2、本发明提出的工业控制***加密通信方法,有效利用数字证书不可抵赖、不可伪造的特点,限制非授权操作行为,保障了设备通信身份认证安全;同时本方法密钥协商过程、业务通信过程的加解密均以国密算法为基础,充分利用国密算法抗攻击性强、加密速度快、***资源占用低、安全性强的优点,提升整体工控***的通信安全性,有效防止工业通信数据遭受篡改、挟持等攻击。
3、在本发明提出的工业控制***加密通信方法中,通过采用非对称加密和对称加密结合的方式进行动态密钥协商,每次交互过程密钥均不相同且不可伪造,所有通信数据均通过国密算法进行加密传输,即使通信数据被截获,截获方也需要花费指数级的时间才可以破解,极大地保证了工业控制***的通信安全。
附图说明
本发明借助于以下附图进行描述:
图1为根据本发明一个实施例的工业控制***数字证书签发管理方法的流程图;
图2为根据本发明一个实施例的工业控制***加密通信方法的流程图。
具体实施方式
为了更好的解释本发明,以便于理解,下面结合附图,通过具体实施方式,对本发明作详细描述。
公开密钥基础架构(Public Key Infrastructure,PKI),是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于统一创造、管理、分配、使用、存储以及撤销数字证书。数字证书作为PKI架构的核心,其数据签名类似于加密过程,数据在实施加密后,只有接收方才可打开或更改数据信息,并加上自己的签名后再传输至发送方,而接收方的私钥具唯一性和私密性,这也保证了签名的真实性和可靠性,进而保障信息的安全性,因此数字证书具有不可伪造、不可抵赖的特点。
为此,本发明实施例提出了工业控制***数字证书签发管理方法,基于公开密钥基础架构(PKI)的证书管理体系,结合工控***网络环境特点,实现了工业控制***中工程师站、控制器、操作员站的数字证书签发和管理,为在工控***的通信过程中利用数字证书作准备,以提高整体工控***的通信安全性。
为了更好的理解上述技术方案,下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更清楚、透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
下面就参照附图来描述根据本发明实施例提出的工业控制***数字证书签发管理方法。
图1为本发明一个实施例的工业控制***数字证书签发管理方法的流程示意图。
如图1所示,该工业控制***数字证书签发管理方法包括以下步骤:
步骤101、在工业控制***出厂时,客户端设备与CA服务器之间进行认证对方身份的数据交互。
具体地,作为一个实施例,客户端设备包括工业控制***中的工程师站、控制器和操作员站。
具体地,作为一个实施例,客户端设备与CA服务器之间进行认证对方身份的数据交互,包括:
101-1、客户端设备发送证书请求和自身设备信息Info至CA服务器。
101-2、CA服务器收到证书请求后对客户端设备信息Info进行验证,若验证失败,则CA服务器丢弃报文,若验证通过,则CA服务器发送自身数字证书至客户端设备。
101-3、客户端设备根据根证书验证CA服务器的数字证书的有效性,若验证失败,则客户端设备丢弃报文,若验证通过,则客户端设备与CA服务器之间的身份认证通过。
步骤102、若客户端设备与CA服务器之间的身份认证通过,则客户端设备根据国密算法生成自身密钥对和证书签发请求,并发送证书签发请求和自身公钥至CA服务器。
步骤103、CA服务器根据国密算法、证书签发请求和公钥信息生成数字证书,并将数字证书发送至客户端设备。
步骤104、客户端设备根据自身密钥对和根证书验证数字证书的有效性,若验证失败,则客户端设备丢弃报文,若验证通过,则客户端设备存储数字证书以作为自身数字证书。
可见,本发明实施例提出的工业控制***数字证书签发管理方法,实现了PKI证书管理体系在工控***的应用,能够对工业控制***中工程师站、控制器、操作员站的数字证书进行统一签发。
由于数字证书具有有效期,因此本发明实施例提出的工业控制***数字证书签发管理方法,还包括以下步骤:
步骤105、客户端设备在自身数字证书到期前的预设时刻,生成影子证书签发请求,并发送影子证书签发请求和自身公钥至CA服务器。
其中,影子证书为新的数字证书。
步骤106、CA服务器根据影子证书签发请求和公钥信息生成影子证书,并将影子证书发送至客户端设备。
步骤107、客户端设备根据自身密钥对和根证书验证影子证书的有效性,若验证失败,则客户端设备丢弃报文,若验证通过,则客户端设备存储影子证书。
步骤108、客户端设备在自身数字证书到期时,将影子证书作为自身数字证书。至此完成了客户端设备数字证书的更新。
综上所述,本发明实施例提出的工业控制***数字证书签发管理方法,实现了PKI证书管理体系在工控***的应用,能够对工业控制***中工程师站、控制器、操作员站的数字证书进行统一签发和管理,并实现了对工业控制***设备证书的高效、安全、灵活的管理,为在工控***的通信过程中利用数字证书作准备,以提高整体工控***的通信安全性,有效降低通信被劫持或恶意篡改的风险。
国密算法作为国家密码局指定标准的一系列算法,相较于国外主流算法,从密码学原理上提高了整体算法的安全性与复杂性,具有抗攻击性强、加密速度快、***资源占用低、安全性强等优点,切合工控***信息安全需求。
因此,本发明实施例还提出了一种工业控制***加密通信方法,在第一客户端设备和第二客户端设备之间的每一次通信开始时,第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商,若身份认证通过,则根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信。该方法利用了数字证书不可伪造、不可抵赖的特点,并结合国密算法的抗攻击性强、加密速度快、***资源占用低、安全性强的优点,来进行设备身份认证和动态密钥协商,提高了整体工控***的通信安全性,有效降低通信被劫持或恶意篡改的风险。
下面就参照附图来描述根据本发明实施例提出的工业控制***加密通信方法。
图2为本发明一个实施例的工业控制***加密通信方法的流程示意图。
如图2所示,该工业控制***加密通信方法包括以下步骤:
步骤201、在第一客户端设备和第二客户端设备之间的每一次通信开始时,第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商。其中,客户端设备证书根据如上所述的工业控制***数字证书签发管理方法获得。
具体地,作为一个实施例,会话密钥为对称密钥。
具体地,作为一个实施例,第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商,包括:
201-1、第一客户端设备生成连接请求和第一随机数,并根据自身私钥和国密算法加密第一随机数;第一客户端设备发送连接请求、自身数字证书和加密的第一随机数至第二客户端设备。
201-2、根据CA服务器的根证书,第二客户端设备对第一客户端设备数字证书有效性进行验证,若验证失败,则第二客户端设备丢弃报文,返回步骤201,若验证通过,则第二客户端设备生成第二随机数,并根据第一客户端设备数字证书中携带的公钥对加密的第一随机数进行解密,根据第一随机数和第二随机数生成会话密钥,以及根据自身私钥和国密算法加密第二随机数;第二客户端设备发送自身数字证书、会话密钥、解密的第一随机数和加密的第二随机数至第一客户端设备。
201-3、根据CA服务器的根证书,第一客户端设备对第二客户端设备数字证书和解密的第一随机数的有效性进行验证,若验证失败,则第一客户端设备丢弃报文,返回步骤201,若验证通过,则第一客户端设备根据第二客户端设备数字证书中携带的公钥对加密的第二随机数进行解密,并根据会话密钥对解密的第二随机数进行加密;第一客户端设备发送会话密钥加密的第二随机数至第二客户端设备。
201-4、第二客户端设备根据会话密钥对会话密钥加密的第二随机数进行解密,并验证会话密钥解密的第二随机数的有效性,若验证失败,则第二客户端设备丢弃报文,返回步骤201,若验证通过,则第二客户端设备向第一客户端设备发送通信开始通知。
通过采用非对称加密和对称加密结合的方式进行动态密钥协商,每次交互过程密钥均不相同且不可伪造,所有通信数据均通过国密算法进行加密传输,即使通信数据被截获,截获方也需要花费指数级的时间才可以破解,极大地保证了工业控制***的通信安全。
具体地,国密算法包括国密非对称加密算法SM2、国密对称加密算法SM4和国密密码杂凑算法SM3。其中,国密非对称加密算法为椭圆曲线加密算法,国密对称加密算法为分组密码算法。
步骤202、若身份认证通过,则根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信。
具体地,作为一个实施例,根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信,包括:第一客户端设备根据会话密钥和国密算法对业务数据进行加密,然后将加密后的业务数据发送至第二客户端设备。
综上所述,本发明实施例提出的工业控制***加密通信方法,有效利用数字证书不可抵赖、不可伪造的特点,限制非授权操作行为,保障了设备通信身份认证安全;同时本方法密钥协商过程、业务通信过程的加解密均以国密算法为基础,充分利用国密算法抗攻击性强、加密速度快、***资源占用低、安全性强的优点,提升整体工控***的通信安全性,有效防止工业通信数据遭受篡改、挟持等攻击。
需要理解的是,以上对本发明的具体实施例进行的描述只是为了说明本发明的技术路线和特点,其目的在于让本领域内的技术人员能够了解本发明的内容并据以实施,但本发明并不限于上述特定实施方式。凡是在本发明权利要求的范围内做出的各种变化或修饰,都应涵盖在本发明的保护范围内。

Claims (9)

1.一种工业控制***数字证书签发管理方法,其特征在于,包括:
在工业控制***出厂时,客户端设备与CA服务器之间进行认证对方身份的数据交互;
若客户端设备与CA服务器之间的身份认证通过,则客户端设备根据国密算法生成自身密钥对和证书签发请求,并发送证书签发请求和自身公钥至CA服务器;CA服务器根据国密算法、证书签发请求和公钥信息生成数字证书,并将数字证书发送至客户端设备;
若客户端设备根据自身密钥对和根证书验证数字证书有效性通过,则存储数字证书以作为自身数字证书;
所述客户端设备包括工程师站、控制器和操作员站。
2.根据权利要求1所述的方法,其特征在于,还包括:
客户端设备在自身数字证书到期前的预设时刻,生成影子证书签发请求,并发送影子证书签发请求和自身公钥至CA服务器;
CA服务器根据影子证书签发请求和公钥信息生成影子证书,并将影子证书发送至客户端设备;
若客户端设备根据自身密钥对和根证书验证影子证书有效性通过,则存储影子证书;
客户端设备在自身数字证书到期时,将影子证书作为自身数字证书。
3.根据权利要求1所述的方法,其特征在于,所述客户端设备与CA服务器之间进行认证对方身份的数据交互,包括:
客户端设备发送证书请求和自身设备信息至CA服务器;
CA服务器收到证书请求后对客户端设备信息进行验证,若验证通过,则CA服务器发送自身数字证书至客户端设备;
客户端设备根据根证书验证CA服务器的数字证书的有效性,若验证通过,则客户端设备与CA服务器之间的身份认证通过。
4.一种工业控制***加密通信方法,其特征在于,包括:
在第一客户端设备和第二客户端设备之间的每一次通信开始时,第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商;
若身份认证通过,则根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信;
所述通讯双方的数字证书根据权利要求1至3任一项所述的工业控制***数字证书签发管理方法获得。
5.根据权利要求4所述的方法,其特征在于,所述会话密钥为对称密钥。
6.根据权利要求4所述的方法,其特征在于,所述第一客户端设备和第二客户端设备之间基于通讯双方的数字证书、CA服务器的根证书和国密算法进行身份认证和动态密钥协商,包括:
第一客户端设备生成连接请求和第一随机数,并根据自身私钥和国密算法加密第一随机数;
第一客户端设备发送连接请求、自身数字证书和加密的第一随机数至第二客户端设备;
根据CA服务器的根证书,第二客户端设备对第一客户端设备数字证书有效性进行验证,若验证通过,则第二客户端设备生成第二随机数,并根据第一客户端设备数字证书中携带的公钥对加密的第一随机数进行解密,根据第一随机数和第二随机数生成会话密钥,以及根据自身私钥和国密算法加密第二随机数;
第二客户端设备发送自身数字证书、会话密钥、解密的第一随机数和加密的第二随机数至第一客户端设备;
根据CA服务器的根证书,第一客户端设备对第二客户端设备数字证书和解密的第一随机数的有效性进行验证,若验证通过,则第一客户端设备根据第二客户端设备数字证书中携带的公钥对加密的第二随机数进行解密,并根据会话密钥对解密的第二随机数进行加密;
第一客户端设备发送会话密钥加密的第二随机数至第二客户端设备;
第二客户端设备根据会话密钥对会话密钥加密的第二随机数进行解密,并验证会话密钥解密的第二随机数的有效性,若验证通过,则第二客户端设备向第一客户端设备发送通信开始通知。
7.根据权利要求6所述的方法,其特征在于,所述根据国密算法和密钥协商后获得的会话密钥,第一客户端设备和第二客户端设备之间进行加密通信,包括:
第一客户端设备根据会话密钥和国密算法对业务数据进行加密,然后将加密后的业务数据发送至第二客户端设备。
8.根据权利要求4所述的方法,其特征在于,所述国密算法包括国密非对称加密算法、国密对称加密算法和国密密码杂凑算法。
9.根据权利要求8所述的方法,其特征在于,所述国密非对称加密算法为椭圆曲线加密算法;所述国密对称加密算法为分组密码算法。
CN202110020753.9A 2021-01-08 2021-01-08 一种工业控制***数字证书签发管理方法和加密通信方法 Pending CN112350826A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110020753.9A CN112350826A (zh) 2021-01-08 2021-01-08 一种工业控制***数字证书签发管理方法和加密通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110020753.9A CN112350826A (zh) 2021-01-08 2021-01-08 一种工业控制***数字证书签发管理方法和加密通信方法

Publications (1)

Publication Number Publication Date
CN112350826A true CN112350826A (zh) 2021-02-09

Family

ID=74427472

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110020753.9A Pending CN112350826A (zh) 2021-01-08 2021-01-08 一种工业控制***数字证书签发管理方法和加密通信方法

Country Status (1)

Country Link
CN (1) CN112350826A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112731897A (zh) * 2021-04-06 2021-04-30 浙江中控技术股份有限公司 一种基于隧道加解密的工业控制***通信方法及***
CN113364582A (zh) * 2021-05-11 2021-09-07 国网浙江省电力有限公司电力科学研究院 一种变电站内通信密钥配置与更新管理的方法
CN113810411A (zh) * 2021-09-17 2021-12-17 公安部交通管理科学研究所 一种交通管控设施数字证书管理方法及***
CN113905359A (zh) * 2021-08-24 2022-01-07 福建升腾资讯有限公司 一种银行外设的蓝牙安全通讯方法、装置、设备和介质
CN114070649A (zh) * 2021-12-15 2022-02-18 武汉天喻信息产业股份有限公司 一种设备间的安全通信方法及***
CN114172740A (zh) * 2021-12-16 2022-03-11 广州城市理工学院 一种基于配网证书验证的配电网安全接入方法
CN114710289A (zh) * 2022-06-02 2022-07-05 确信信息股份有限公司 物联网终端安全注册和接入方法及***
CN114745134A (zh) * 2022-03-30 2022-07-12 恒玄科技(上海)股份有限公司 媒体数据流的流转方法、***、设备及计算机可读介质
CN115664648A (zh) * 2022-10-17 2023-01-31 山东新一代信息产业技术研究院有限公司 一种iros中无需人工输入的动态秘钥产生方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106936790A (zh) * 2015-12-30 2017-07-07 上海格尔软件股份有限公司 基于数字证书实现客户端和服务器端进行双向认证的方法
CN110099072A (zh) * 2019-05-21 2019-08-06 唯伊云(武汉)科技有限公司 一种针对于工业物联网数据传输的安全防护方法
CN111614637A (zh) * 2020-05-08 2020-09-01 郑州信大捷安信息技术股份有限公司 一种基于软件密码模块的安全通信方法及***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106936790A (zh) * 2015-12-30 2017-07-07 上海格尔软件股份有限公司 基于数字证书实现客户端和服务器端进行双向认证的方法
CN110099072A (zh) * 2019-05-21 2019-08-06 唯伊云(武汉)科技有限公司 一种针对于工业物联网数据传输的安全防护方法
CN111614637A (zh) * 2020-05-08 2020-09-01 郑州信大捷安信息技术股份有限公司 一种基于软件密码模块的安全通信方法及***

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022213535A1 (zh) * 2021-04-06 2022-10-13 浙江中控技术股份有限公司 一种基于隧道加解密的工业控制***通信方法及***
CN112731897A (zh) * 2021-04-06 2021-04-30 浙江中控技术股份有限公司 一种基于隧道加解密的工业控制***通信方法及***
CN113364582B (zh) * 2021-05-11 2022-07-12 国网浙江省电力有限公司电力科学研究院 一种变电站内通信密钥配置与更新管理的方法
CN113364582A (zh) * 2021-05-11 2021-09-07 国网浙江省电力有限公司电力科学研究院 一种变电站内通信密钥配置与更新管理的方法
CN113905359A (zh) * 2021-08-24 2022-01-07 福建升腾资讯有限公司 一种银行外设的蓝牙安全通讯方法、装置、设备和介质
CN113905359B (zh) * 2021-08-24 2023-11-10 福建升腾资讯有限公司 一种银行外设的蓝牙安全通讯方法、装置、设备和介质
CN113810411A (zh) * 2021-09-17 2021-12-17 公安部交通管理科学研究所 一种交通管控设施数字证书管理方法及***
CN113810411B (zh) * 2021-09-17 2023-02-14 公安部交通管理科学研究所 一种交通管控设施数字证书管理方法及***
CN114070649A (zh) * 2021-12-15 2022-02-18 武汉天喻信息产业股份有限公司 一种设备间的安全通信方法及***
CN114172740A (zh) * 2021-12-16 2022-03-11 广州城市理工学院 一种基于配网证书验证的配电网安全接入方法
CN114745134A (zh) * 2022-03-30 2022-07-12 恒玄科技(上海)股份有限公司 媒体数据流的流转方法、***、设备及计算机可读介质
CN114745134B (zh) * 2022-03-30 2024-05-31 恒玄科技(上海)股份有限公司 媒体数据流的流转方法、***、设备及计算机可读介质
CN114710289A (zh) * 2022-06-02 2022-07-05 确信信息股份有限公司 物联网终端安全注册和接入方法及***
CN115664648A (zh) * 2022-10-17 2023-01-31 山东新一代信息产业技术研究院有限公司 一种iros中无需人工输入的动态秘钥产生方法

Similar Documents

Publication Publication Date Title
CN112350826A (zh) 一种工业控制***数字证书签发管理方法和加密通信方法
CN108390851B (zh) 一种用于工业设备的安全远程控制***及方法
US9979553B2 (en) Secure certificate distribution
US9043598B2 (en) Systems and methods for providing secure multicast intra-cluster communication
US20200358764A1 (en) System and method for generating symmetric key to implement media access control security check
US6839841B1 (en) Self-generation of certificates using secure microprocessor in a device for transferring digital information
CN104506534A (zh) 安全通信密钥协商交互方案
CN105790938A (zh) 基于可信执行环境的安全单元密钥生成***及方法
EP1151579A2 (en) Self-generation of certificates using a secure microprocessor in a device for transferring digital information
US20160344725A1 (en) Signal haystacks
CN113572601B (zh) 一种基于国密tls的vnc远程安全通信方法
CN110300287B (zh) 一种公共安全视频监控联网摄像头接入认证方法
CN105162808A (zh) 一种基于国密算法的安全登录方法
CN108632251A (zh) 基于云计算数据服务的可信认证方法及其加密算法
CN111010399A (zh) 一种数据传输方法、装置、电子设备及存储介质
KR101481403B1 (ko) 차량용 데이터의 인증 및 획득 방법
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和***
CN116633530A (zh) 量子密钥传输方法、装置及***
CN113221136B (zh) Ais数据传输方法、装置、电子设备和存储介质
CN102739660B (zh) 一种单点登录***的密钥交换方法
CN103856463A (zh) 基于密钥交换协议的轻量目录访问协议实现方法和装置
CN107276755B (zh) 一种安全关联方法、装置及***
CN113676330B (zh) 一种基于二级密钥的数字证书申请***及方法
US11570008B2 (en) Pseudonym credential configuration method and apparatus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210209