CN112995140A - 安全管理***及方法 - Google Patents

安全管理***及方法 Download PDF

Info

Publication number
CN112995140A
CN112995140A CN202110155754.4A CN202110155754A CN112995140A CN 112995140 A CN112995140 A CN 112995140A CN 202110155754 A CN202110155754 A CN 202110155754A CN 112995140 A CN112995140 A CN 112995140A
Authority
CN
China
Prior art keywords
security
public key
security management
management device
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110155754.4A
Other languages
English (en)
Other versions
CN112995140B (zh
Inventor
贺峰
李凤军
鲁鹏飞
杨忠飞
白伟
路娟
李广清
李鸿伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shaanxi Guohua Jinjie Energy Co Ltd
Guohua Power Branch of China Shenhua Energy Co Ltd
Original Assignee
Shaanxi Guohua Jinjie Energy Co Ltd
Guohua Power Branch of China Shenhua Energy Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shaanxi Guohua Jinjie Energy Co Ltd, Guohua Power Branch of China Shenhua Energy Co Ltd filed Critical Shaanxi Guohua Jinjie Energy Co Ltd
Priority to CN202110155754.4A priority Critical patent/CN112995140B/zh
Publication of CN112995140A publication Critical patent/CN112995140A/zh
Application granted granted Critical
Publication of CN112995140B publication Critical patent/CN112995140B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Selective Calling Equipment (AREA)

Abstract

本申请公开了一种安全管理***及方法,由安全设备执行的方法包括:与安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥;向所述安全管理设备发送认证请求;接收所述安全管理设备根据所述认证请求发送的第一身份验证信息,并根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证;当对所述安全管理设备的验证通过后,向所述安全管理设备发送第二身份验证信息以得到所述安全管理设备对所述安全设备进行身份验证的验证结果;如果所述验证结果为验证通过,建立与所述安全管理设备的通信。本申请可以提高工业控制***中安全管理平台的安全性。

Description

安全管理***及方法
技术领域
本申请涉及工业控制***安全领域,尤其涉及一种安全管理***及方法。
背景技术
随着工业信息化进程的快速推进,信息、网络以及物联网技术在智能电网、智能交通、工业生产***等工业控制领域得到了广泛的应用,极大地提高了企业的综合效益。为实现***间的协同和信息分享,工业控制***也逐渐打破了以往的封闭性:采用标准、通用的通信协议及硬软件***,甚至有些工业控制***也能以某些方式连接到互联网等公共网络中。这使得工业控制***也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁,而且由于工业控制***多被应用在电力、交通、石油化工、核工业等国家重要的行业中,其安全事故造成的社会影响和经济损失会更为严重。
为了保证工控控制***网络的安全,安全管理平台实现了对全网中各安全设备进行监控、实时告警、流量分析等。安全管理平台对于安全设备的统一管理,是基于网络通讯技术和接口技术实现的。然而,现有的安全管理平台并不能保证管理设备和被管理设备都是安全的,某一设备的不安全都会引起整个安全管理平台被攻击的危险。
因此,如何保证安全管理设备和被管理设备之间是互为安全的,是本申请所要解决的技术问题。
发明内容
本申请实施例的目的是提供一种安全管理***及安全管理方法,用以解决现有安全管理平台安全性低的问题。
为了解决上述技术问题,本说明书是这样实现的:
第一方面,提供了一种安全管理***,包括安全设备和安全管理设备,
所述安全设备,与所述安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥;向所述安全管理设备发送认证请求;接收所述安全管理设备根据所述认证请求发送的第一身份验证信息;根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证;当对所述安全管理设备的验证通过后,向所述安全管理设备发送第二身份验证信息以得到所述安全管理设备对所述安全设备进行身份验证的验证结果;如果所述验证结果为验证通过,建立与所述安全管理设备的通信;
所述安全管理设备,与所述安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥;接收并根据所述认证请求向所述安全设备发送所述第一身份验证信息;接收所述第二身份验证信息;根据所述第一公钥和所述第二身份验证信息对所述安全设备进行身份验证;向所述安全设备返回所述验证结果。
可选的,所述安全设备与所述安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥,具体包括:
根据所述安全设备的设备标识生成第一密钥对,其中,所述第一密钥对包括所述第一公钥和第一私钥;
向所述安全管理设备发送所述第一公钥;
接收并保存所述安全管理设备返回的所述第二公钥。
可选的,所述安全管理设备与所述安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥,具体包括:
接收并保存所述安全设备发送的所述第一公钥;
根据随机数生成第二密钥对,其中,所述第二密钥对包括所述第二公钥和第二私钥;
向所述安全设备返回所述第二公钥。
可选的,所述安全设备与所述安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥,具体包括:
根据所述安全设备的设备标识生成第一密钥对,其中,所述第一密钥对包括所述第一公钥和第一私钥;
向所述安全管理设备发送所述第一公钥、所述安全设备的设备标识和第一签名码,其中,所述第一签名码是使用所述第一公钥对所述设备标识进行加密生成;
接收并保存所述安全管理设备对所述第一签名码验签通过后返回的所述第二公钥。
可选的,所述安全管理设备与所述安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥,具体包括:
接收所述安全设备发送的所述第一公钥、所述设备标识和所述第一签名码;
根据所述第一公钥对所述第一签名码进行验签;
在对所述第一签名码验签通过后,根据随机数生成第二密钥对,其中,所述第二密钥对包括所述第二公钥和第二私钥;
向所述安全设备返回所述第二公钥。
可选的,所述认证请求包括所述设备标识和第一密文,所述安全设备还用于:在向所述安全管理设备发送认证请求之前,使用所述第二公钥对第一随机数加密生成所述第一密文;
所述第一身份验证信息包括第二密文及第二签名码,所述安全管理设备还用于:在向所述安全设备发送所述第一身份验证信息之前,使用所述第一公钥对第二随机数加密生成所述第二密文;使用所述第二私钥解密所述第一密文,得到所述第一随机数;使用所述第二私钥对所述第一随机数和所述第二随机数加密生成所述第二签名码。
可选的,所述安全设备根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证,具体包括:
使用所述第一私钥解密所述第二密文,得到所述第二随机数;
使用所述第一随机数、所述第二随机数和所述第二公钥对所述第二签名码进行验签;
验签成功,则完成对所述安全管理设备的身份验证。
可选的,所述第二身份验证信息包括第三签名码,所述安全设备还用于:在向所述安全管理设备发送所述第二身份验证信息之前,使用所述第一私钥对所述第一随机数和所述第二随机数加密生成所述第三签名码;
所述安全管理设备根据所述第一公钥和所述第二身份验证信息对所述安全设备进行身份验证,具体包括:使用所述第一随机数、所述第二随机数和所述第一公钥对所述第三签名码进行验签;验签成功,则完成对所述安全设备的身份验证。
第二方面,提供了一种安全管理方法,由安全设备执行,该方法包括:
与安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥;
向所述安全管理设备发送认证请求;
接收所述安全管理设备根据所述认证请求发送的第一身份验证信息,并根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证;
当对所述安全管理设备的验证通过后,向所述安全管理设备发送第二身份验证信息以得到所述安全管理设备对所述安全设备进行身份验证的验证结果;
如果所述验证结果为验证通过,建立与所述安全管理设备的通信。
第三方面,提供了一种安全管理方法,由安全管理设备执行,该方法包括:
与安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥;
接收所述安全设备发送的认证请求,并根据所述认证请求向所述安全设备发送所述第一身份验证信息;
接收所述安全设备根据所述第二公钥和所述第一身份验证信息对所述安全管理设备身份验证通过后发送的第二身份验证信息,并根据所述第一公钥和所述第二身份验证信息对所述安全设备进行身份验证;
向所述安全设备发送对所述安全设备进行身份验证的验证结果。
在本申请实施例中,安全设备与安全管理设备交换安全设备的第一公钥及安全管理设备的第二公钥,安全设备向安全管理设备发送认证请求,接收安全管理设备根据认证请求发送的第一身份验证信息,并根据第二公钥和第一身份验证信息对安全管理设备进行身份验证,当对安全管理设备的验证通过后,向安全管理设备发送第二身份验证信息,安全管理设备根据第一公钥和接收的第二身份验证信息对安全设备进行身份验证,并返回验证结果。如果验证结果为验证通过,安全设备建立与安全管理设备的通信,从而保证安全管理设备和被管理设备在通信之前,二者之间是互为安全的,如此可以提高安全管理平台的安全性,保证工业控制***网络的安全。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的安全管理***的架构示意图。
图2是本申请第一实施例的安全管理方法的流程示意图。
图3是本申请第二实施例的安全管理方法的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。本申请中附图编号仅用于区分方案中的各个步骤,不用于限定各个步骤的执行顺序,具体执行顺序以说明书中描述为准。
为了解决现有技术中存在的问题,本申请实施例提供一种安全管理***,图1是本申请实施例的安全管理***的架构示意图。
如图1所示,安全管理***包括安全管理设备2000和安全设备1000,安全管理设备2000用于对安全设备1000进行统一管理。安全设备包括接入到工业控制***网络中的工业防火墙、监测审计设备等,安全设备支持国家商用密码算法SM2/3/4算法。
安全设备1000首先与安全管理设备2000交换安全设备1000的第一公钥及安全管理设备2000的第二公钥。
在一个实施例中,安全设备1000与安全管理设备2000交换公钥,具体包括:
安全设备1000根据其设备标识生成第一密钥对,其中,第一密钥对包括第一公钥和第一私钥。安全设备的设备标识为设备的唯一标识,例如设备序列号。安全设备1000支持国家商用密码算法SM2/3/4算法,例如使用SM2密码算法生成第一密钥对。
安全设备1000将第一密钥对中的第一公钥发送给安全管理设备2000,可以请求报文中携带第一公钥的形式发送。
安全管理设备2000接收并保存安全设备1000发送的第一公钥。然后,根据随机数生成第二密钥对,其中,第二密钥对包括第二公钥和第二私钥。
安全管理设备2000向安全设备1000返回第二公钥,安全设备1000接收并保存安全管理设备2000返回的第二公钥,从而完成安全设备1000的第一公钥与安全管理设备2000的第二公钥的交换。
在另一个实施例中,安全设备1000与安全管理设备2000交换公钥,具体包括:
安全设备1000根据其设备标识生成第一密钥对,其中,第一密钥对包括第一公钥和第一私钥。安全设备1000将第一密钥对中的第一公钥、安全设备1000的设备标识和第一签名码发送给安全管理设备2000,第一签名码是使用第一公钥对安全设备1000的设备标识进行加密生成。此时,安全设备1000可以将第一公钥、设备标识和第一签名码组装成请求报文发送给安全管理设备2000。
安全管理设备2000接收并保存安全设备1000发送的第一公钥、设备标识和第一签名码。然后,根据第一公钥对第一签名码进行验签,在对第一签名码验签通过后,再根据随机数生成包括第二公钥和第二私钥的第二密钥对。最后,向安全设备1000返回第二公钥。
在一个实施例中,安全设备1000发送的认证请求包括设备标识和第一密文,第一密文是安全设备1000在向安全管理设备2000发送认证请求之前,使用与安全管理设备2000交换的第二公钥,对第一随机数加密生成第一密文。
安全管理设备2000向安全设备1000发送的第一身份验证信息包括第二密文及第二签名码,第二密文是安全管理设备2000在向安全设备1000发送第一身份验证信息之前,使用与安全设备1000交换的第一公钥,对第二随机数加密生成第二密文。然后,使用自身的第二私钥解密来自安全设备1000的第一密文,由于第一密文是安全设备1000使用第二公钥加密生成的,因此利用第二密钥对的第二私钥对第一密文进行解密,则可以得到第一随机数。最后,安全管理设备2000使用自身的第二私钥对第二随机数和第一密文解密后得到第一随机数,进行加密生成第二签名码。
安全设备1000接收到安全管理设备2000发送的第一身份验证信息后,根据第二公钥和第一身份验证信息对安全管理设备2000进行身份验证,具体包括:
安全设备1000使用自身的第一私钥解密第二密文,得到第二随机数。由于第二密文是安全管理设备2000使用第一公钥加密生成的,因此利用第一密钥对的第一私钥对第二密文进行解密,则可以得到第二随机数。然后,使用第一随机数、第二随机数和第二公钥对第二签名码进行验签。同样地,由于第二签名码是安全管理设备2000使用第二私钥对第一随机数和第二随机数加密生成,因此如果是安全的第二签名码,则安全设备1000使用第二公钥对第二签名码进行解密,则能够得到第一随机数和第二随机数,则验签成功,完成对安全管理设备2000的身份验证,表示当前的安全管理设备2000是安全的。否则,验签失败,对安全管理设备2000的身份验证失败,表示当前的安全管理设备2000是不安全的。
在一个实施例中,安全设备1000对安全管理设备2000的验证通过后,向安全管理设备2000发送第二身份验证信息包括第三签名码。第三签名码是安全设备1000在向安全管理设备2000发送第二身份验证信息之前,使用第一私钥对第一随机数和第二随机数加密生成的。
安全管理设备2000收到第二身份验证信息后,根据交换的第一公钥和第二身份验证信息对安全设备1000进行身份验证,具体包括:
安全管理设备2000使用第一随机数、第二随机数和第一公钥对第三签名码进行验签;验签成功,则完成对安全设备1000的身份验证,表示当前的安全设备1000是安全的。否则,验签失败,对安全设备1000的身份验证失败,表示当前的安全设备1000是不安全的。
安全管理设备2000向安全设备1000返回对安全设备1000进行身份验证的验证结果,如果所述验证结果为验证通过,安全设备1000则建立与安全管理设备2000的通信,并进行正常工作状态。否则,安全设备与安全管理设备2000之间互为不安全的,二者不建立任何通信。
在一个实施例中,在安全管理设备2000对安全设备1000的身份验证验签成功后,安全管理设备2000还可以下发到安全设备本次认证的认证令牌。认证令牌可以包括安全设备1000的设备标识、表示下发认证令牌的时间的时间戳以及第四签名码,第四签名码为安全管理设备2000使用与安全设备1000交互的第一公钥对设备标识和时间戳进行加密得到的。安全设备1000在收到认证令牌后,利用与安全管理设备2000交互的第二公钥对第四签名吗进行验签,得到对应的设备标识和时间戳,通过判断验签的设备标识和时间戳来判断该认证令牌是否有效。
安全设备1000验证认证令牌有效后,完成安全设备1000与安全管理设备2000之间的双向身份认证流程,安全设备1000进入正常工作状态。
本申请实施例的安全管理***,通过在安全管理设备与安全设备通信之前增加公钥交换和双向身份验证,能够保证安全管理设备和被管理设备之间是互为安全的,从而可有效提高安全管理平台的安全性,保证工业控制***网络的安全。
在一个实施例中,为了进一步增加安全管理平台的安全性,安全设备和安全管理设备所涉及的密钥对生成、随机数加解密的密文、数字签名码验证等密码运算和密钥管理功能可以由单独的密码服务设备提供。安全设备和安全管理设备从密码服务设备获取对应的密钥对、密文和/或签名码,并用于身份验证即可。安全管理装置与安全设备、密码服务设备之间的通信可采用HTTPS协议进行。
在一个实施例中,本申请还提供了一种安全管理方法,图2是本申请第一实施例的安全管理方法的流程示意图。
在该实施例中,安全管理方法由安全设备执行,该方法包括以下步骤:
步骤102,与安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥;
步骤104,向所述安全管理设备发送认证请求;
步骤106,接收所述安全管理设备根据所述认证请求发送的第一身份验证信息,并根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证;
步骤108,当对所述安全管理设备的验证通过后,向所述安全管理设备发送第二身份验证信息以得到所述安全管理设备对所述安全设备进行身份验证的验证结果;
步骤110,如果所述验证结果为验证通过,建立与所述安全管理设备的通信。
在一个实施例中,本申请还提供了一种安全管理方法,图3是本申请第二实施例的安全管理方法的流程示意图。
在该实施例中,安全管理方法由安全管理设备执行,该方法包括以下步骤:
步骤202,与安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥;
步骤204,接收所述安全设备发送的认证请求,并根据所述认证请求向所述安全设备发送所述第一身份验证信息;
步骤206,接收所述安全设备根据所述第二公钥和所述第一身份验证信息对所述安全管理设备身份验证通过后发送的第二身份验证信息,并根据所述第一公钥和所述第二身份验证信息对所述安全设备进行身份验证;
步骤208,向所述安全设备发送对所述安全设备进行身份验证的验证结果。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一种安全管理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random AccessMemory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。

Claims (10)

1.一种安全管理***,其特征在于,包括安全设备和安全管理设备,
所述安全设备,与所述安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥;向所述安全管理设备发送认证请求;接收所述安全管理设备根据所述认证请求发送的第一身份验证信息;根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证;当对所述安全管理设备的验证通过后,向所述安全管理设备发送第二身份验证信息以得到所述安全管理设备对所述安全设备进行身份验证的验证结果;如果所述验证结果为验证通过,建立与所述安全管理设备的通信;
所述安全管理设备,与所述安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥;接收并根据所述认证请求向所述安全设备发送所述第一身份验证信息;接收所述第二身份验证信息;根据所述第一公钥和所述第二身份验证信息对所述安全设备进行身份验证;向所述安全设备返回所述验证结果。
2.如权利要求1所述的***,其特征在于,所述安全设备与所述安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥,具体包括:
根据所述安全设备的设备标识生成第一密钥对,其中,所述第一密钥对包括所述第一公钥和第一私钥;
向所述安全管理设备发送所述第一公钥;
接收并保存所述安全管理设备返回的所述第二公钥。
3.如权利要求2所述的***,其特征在于,所述安全管理设备与所述安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥,具体包括:
接收并保存所述安全设备发送的所述第一公钥;
根据随机数生成第二密钥对,其中,所述第二密钥对包括所述第二公钥和第二私钥;
向所述安全设备返回所述第二公钥。
4.如权利要求1所述的***,其特征在于,所述安全设备与所述安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥,具体包括:
根据所述安全设备的设备标识生成第一密钥对,其中,所述第一密钥对包括所述第一公钥和第一私钥;
向所述安全管理设备发送所述第一公钥、所述安全设备的设备标识和第一签名码,其中,所述第一签名码是使用所述第一公钥对所述设备标识进行加密生成;
接收并保存所述安全管理设备对所述第一签名码验签通过后返回的所述第二公钥。
5.如权利要求4所述的***,其特征在于,所述安全管理设备与所述安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥,具体包括:
接收所述安全设备发送的所述第一公钥、所述设备标识和所述第一签名码;
根据所述第一公钥对所述第一签名码进行验签;
在对所述第一签名码验签通过后,根据随机数生成第二密钥对,其中,所述第二密钥对包括所述第二公钥和第二私钥;
向所述安全设备返回所述第二公钥。
6.如权利要求3或5所述的***,其特征在于,所述认证请求包括所述设备标识和第一密文,所述安全设备还用于:在向所述安全管理设备发送认证请求之前,使用所述第二公钥对第一随机数加密生成所述第一密文;
所述第一身份验证信息包括第二密文及第二签名码,所述安全管理设备还用于:在向所述安全设备发送所述第一身份验证信息之前,使用所述第一公钥对第二随机数加密生成所述第二密文;使用所述第二私钥解密所述第一密文,得到所述第一随机数;使用所述第二私钥对所述第一随机数和所述第二随机数加密生成所述第二签名码。
7.如权利要求6所述的***,其特征在于,所述安全设备根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证,具体包括:
使用所述第一私钥解密所述第二密文,得到所述第二随机数;
使用所述第一随机数、所述第二随机数和所述第二公钥对所述第二签名码进行验签;
验签成功,则完成对所述安全管理设备的身份验证。
8.如权利要求7所述的***,其特征在于,
所述第二身份验证信息包括第三签名码,所述安全设备还用于:在向所述安全管理设备发送所述第二身份验证信息之前,使用所述第一私钥对所述第一随机数和所述第二随机数加密生成所述第三签名码;
所述安全管理设备根据所述第一公钥和所述第二身份验证信息对所述安全设备进行身份验证,具体包括:使用所述第一随机数、所述第二随机数和所述第一公钥对所述第三签名码进行验签;验签成功,则完成对所述安全设备的身份验证。
9.一种安全管理方法,其特征在于,由安全设备执行,该方法包括:
与安全管理设备交换所述安全设备的第一公钥及所述安全管理设备的第二公钥;
向所述安全管理设备发送认证请求;
接收所述安全管理设备根据所述认证请求发送的第一身份验证信息,并根据所述第二公钥和所述第一身份验证信息对所述安全管理设备进行身份验证;
当对所述安全管理设备的验证通过后,向所述安全管理设备发送第二身份验证信息以得到所述安全管理设备对所述安全设备进行身份验证的验证结果;
如果所述验证结果为验证通过,建立与所述安全管理设备的通信。
10.一种安全管理方法,其特征在于,由安全管理设备执行,该方法包括:
与安全设备交换所述安全管理设备的第二公钥与所述安全设备的第一公钥;
接收所述安全设备发送的认证请求,并根据所述认证请求向所述安全设备发送所述第一身份验证信息;
接收所述安全设备根据所述第二公钥和所述第一身份验证信息对所述安全管理设备身份验证通过后发送的第二身份验证信息,并根据所述第一公钥和所述第二身份验证信息对所述安全设备进行身份验证;
向所述安全设备发送对所述安全设备进行身份验证的验证结果。
CN202110155754.4A 2021-02-04 2021-02-04 安全管理***及方法 Active CN112995140B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110155754.4A CN112995140B (zh) 2021-02-04 2021-02-04 安全管理***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110155754.4A CN112995140B (zh) 2021-02-04 2021-02-04 安全管理***及方法

Publications (2)

Publication Number Publication Date
CN112995140A true CN112995140A (zh) 2021-06-18
CN112995140B CN112995140B (zh) 2023-03-24

Family

ID=76347126

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110155754.4A Active CN112995140B (zh) 2021-02-04 2021-02-04 安全管理***及方法

Country Status (1)

Country Link
CN (1) CN112995140B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615012A (zh) * 2022-01-28 2022-06-10 北京威尔文教科技有限责任公司 设备连接方法、装置、电子设备和可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080219451A1 (en) * 2007-03-09 2008-09-11 Samsung Electronics Co., Ltd. Method and system for mutual authentication between mobile and host devices
US20100250952A1 (en) * 2007-11-08 2010-09-30 China Iwncomm Co.., Ltd. two-way access authentication method
CN106453330A (zh) * 2016-10-18 2017-02-22 深圳市金立通信设备有限公司 一种身份认证的方法和***
CN108366069A (zh) * 2018-02-26 2018-08-03 北京赛博兴安科技有限公司 一种双向认证方法和***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080219451A1 (en) * 2007-03-09 2008-09-11 Samsung Electronics Co., Ltd. Method and system for mutual authentication between mobile and host devices
US20100250952A1 (en) * 2007-11-08 2010-09-30 China Iwncomm Co.., Ltd. two-way access authentication method
CN106453330A (zh) * 2016-10-18 2017-02-22 深圳市金立通信设备有限公司 一种身份认证的方法和***
CN108366069A (zh) * 2018-02-26 2018-08-03 北京赛博兴安科技有限公司 一种双向认证方法和***

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615012A (zh) * 2022-01-28 2022-06-10 北京威尔文教科技有限责任公司 设备连接方法、装置、电子设备和可读存储介质

Also Published As

Publication number Publication date
CN112995140B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
CN110380852B (zh) 双向认证方法及通信***
CN111049660B (zh) 证书分发方法、***、装置及设备、存储介质
CN107046531B (zh) 监测终端的数据接入电力信息网络的数据处理方法及***
EP2779524A1 (en) Secure data transmission method, device and system
CN113225352B (zh) 一种数据传输方法、装置、电子设备及存储介质
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现***
CN113806772A (zh) 基于区块链的信息加密传输方法及装置
CN111914291A (zh) 消息处理方法、装置、设备及存储介质
CN109729000B (zh) 一种即时通信方法及装置
WO2023151479A1 (zh) 数据处理方法及设备
CN116132043B (zh) 会话密钥协商方法、装置及设备
CN110855695A (zh) 一种改进的sdn网络安全认证方法及***
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN111756528A (zh) 一种量子会话密钥分发方法、装置及通信架构
CN104243452A (zh) 一种云计算访问控制方法及***
CN110839036B (zh) 一种sdn网络的攻击检测方法及***
CN104796399B (zh) 一种数据加密传输的密钥协商方法
WO2017020530A1 (zh) 一种增强的wlan证书鉴别方法、装置及***
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
WO2021170049A1 (zh) 一种访问行为的记录方法、装置
CN107104888B (zh) 一种安全的即时通信方法
CN112995140B (zh) 安全管理***及方法
CN104994107A (zh) 一种基于iec62351的mms报文离线分析方法
CN113973000A (zh) 一种预共享密钥psk的处理方法及装置
CN113364756B (zh) 一种智能电子设备数据传输方法、装置、***及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant