一种工业信息安全认证系统的制作方法
【技术领域】
[0001 ]本发明涉及信息安全领域,尤其涉及一种工业信息安全认证系统。
【背景技术】
[0002]随着信息化的发展和工业化进程的加速,企业信息化、综合自动化的程度逐渐深入,计算机网络技术被越来越多地应用于工业控制系统。在为工业生产带来极大效益的同时,也使得针对工业控制系统的攻击行为出现大幅度的增长,因此,工业控制系统对信息安全的需求变得更加迫切。
[0003]在工业基础设施中,关键工业控制系统引发的安全事件不仅会导致系统性能下降、系统可用性降低、关键控制数据被篡改或丧失、系统失去控制,影响生产安全并导致严重经济损失,而且还有可能会进一步导致人员伤亡、环境灾难等,危及公众生活甚至国家安全。
[0004]当前数据采集与监控SCADA、DCS、PLC、RTU等工业控制系统广泛应用到工业、石油、市政、交通等领域,一旦出现信息泄露,将对我国工业生产和经济造成极大的安全威胁。同时工控系统越来越多采用通用协议,工控设备可以以各种方式连接到互联网,病毒、木马正在想工控系统扩散,使得针对工业控制系统的攻击行为出现的大幅度增长,工业控制系统对信息安全的管理需求变得更加迫切。
[0005]当前国内工控系统中在信息安全方面主要是借鉴传统信息安全的防护手段,在网络层上增加防火墙,IDS等安全设备。但是这些安全设备所采用的操作系统、底层算法等等都是来自国外厂商。通过棱镜门实践、网震事件告诉我们,国外厂商的软件和硬件大都留有后门。同时对工控系统而言,大都通过制造一种错误场景,利用正常的数据指令,而引发一系列的不可挽救的错误。
[0006]现有工控系统的安全防护技术注意力更多放在服务器和网络的保护上,而忽略了对设备的身份鉴别,数据传输方面的防护措施不多,主要的问题有:设备的非法接入问题、协议开放问题、数据明文传输问题、非法操作问题和网络脆弱性问题。工业现场的重要控制指令一旦被截取,将对工控系统造成很大的威胁。工控信息安全认证系统从数据传输和通讯网络上进行封装处理,可以很好的保护工控系统的运行安全。
[0007]因此,工业控制系统的安全运行是确保国家关键基础设施正常运行的重要基础,是系统全生命周期内始终需要关注的重要指标。
【发明内容】
[0008]针对上述现有技术的缺陷,本发明所述的工业信息安全认证系统实现了对终端设备的注册,认证,管理。实现“合法终端访问合法网络” “合法的平台管理合法的设备”的目标,对防止“信息未经过授权使用和误用起到支撑作用”。
[0009]本发明提供一种工业信息安全认证系统,所述系统包括密钥管理认证系统、安全模块、网络数据加密器和双因素接入认证终端,其中,所述密钥管理认证系统用于对密钥的管理,进行密钥的生成、分配、存储、备份、恢复、下发、更新、吊销和销毁;所述安全模块用于实现数据的加解密、密钥保存、数字证书的解析;所述网络数据加密器用于与远端认证服务器建立数据传输通道,同时加密或者解密传输的数据;所述双因素接入认证终端用于管理员站或操作员站的接入管理控制;所述密钥管理认证系统分别与所述安全模块、所述网络数据加密器和所述双因素认证终端连接。
[0010]上述方案中优选的是,所述密钥管理认证系统包括加密机、密钥管理系统和设备接入管理模块,其中,所述密钥管理系统分别与所述加密机和所述设备接入管理模块连接。
[0011]上述方案中优选的是,所述密钥管理系统包括数字证书管理、角色权限管理和密钥管理,其中,所述密钥管理分别与所述数字证书管理和所述角色权限管理连接。
[0012]上述方案中优选的是,所述安全模块包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、核心处理器、密钥保存单元、芯片操作系统、SPI通讯和USB通信,其中,所述核心处理器分别与所述SM1算法引擎、所述SM2算法引擎、所述SM3算法引擎、所述SM4算法引擎、所述密钥保存单元、所述芯片操作系统、所述SPI通讯和所述USB通信连接。
[0013]上述方案中优选的是,所述网络数据加密器包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、工业以太网接口、操作系统、核心处理器、存储器和USB通信,其中,所述核心处理器分别与所述SM1算法引擎、所述SM2算法引擎、所述SM3算法引擎、所述SM4算法引擎、所述工业以太网接口、所述操作系统、所述存储器和所述USB通信连接。
[0014]上述方案中优选的是,所述双因素接入认证终端包括指纹识别器、国密算法芯片、USB通信、认证管理模块和操作系统,其中,所述操作系统分别与所述指纹识别器、所述国密算法芯片、所述USB通信和所述认证管理模块连接。
[0015]本发明所述的工业信息安全认证系统主要用于:一、防止非法访问,在没有通过密钥管理系统注册认证的设备,设备无法实现与平台信息交互;二、防止数据被非法篡改与毁坏,保证数据的秘密性,完整性;三、防止非法窃取数据,通过数据加密、数据签名等方式,保证数据加密存储;四、防止非法操作,采用双因素认证的方式,当系统对操作员的身份权限确认后,才允许操作员进行下一步的操作。
【附图说明】
[0016]图1为本发明所述的工业信息安全认证系统的结构示意图。
[0017]图2为本发明所述的工业信息安全认证系统的密钥管理认证系统的结构示意图。
[0018]图3为本发明所述的工业信息安全认证系统的密钥管理系统的结构示意图。
[0019]图4为本发明所述的工业信息安全认证系统的安全模块的结构示意图。
[0020]图5为本发明所述的工业信息安全认证系统的网络数据加密器的结构示意图。
[0021 ]图6为本发明所述的工业信息安全认证系统的双因素接入认证终端的结构示意图。
[0022]图7为本发明所述的工业信息安全认证系统的应用实例的示意图。
【具体实施方式】
[0023]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0024]图1为本发明所述的工业信息安全认证系统的结构示意图。本发明所述的101工业信息安全认证系统以国密算法为技术核心,包括密钥管理认证系统、安全模块、网络数据加密器和双因素接入认证终端。
[0025]图2为本发明所述的工业信息安全认证系统的密钥管理认证系统的结构示意图。图3为本发明所述的工业信息安全认证系统的密钥管理系统的结构示意图。其中,201密钥管理认证系统包括加密机、密钥管理系统和设备接入管理模块,301密钥管理系统包括数字证书管理、角色权限管理和密钥管理。
[0026]图4为本发明所述的工业信息安全认证系统的安全模块的结构示意图。401安全模块包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、核心处理器、密钥保存单元、芯片操作系统、SPI通讯和USB通信。
[0027]图5为本发明所述的工业信息安全认证系统的网络数据加密器的结构示意图。501网络数据加密器包括SM1算法引擎、SM2算法引擎、SM3算法引擎、SM4算法引擎、工业以太网接口、操作系统、核心处理器、存储器和USB通信。
[0028]图6为本发明所述的工业信息安全认证系统的双因素接入认证终端的结构示意图。601双因素接入认证终端包括指纹识别器、国密算法芯片、USB通信、认证管理模块和操作系统。
[0029]所述密钥管理认证系统由加密机、密钥管理系统和设备接入管理模块,三个部分组成。所述密钥管理系统主要负责对密钥的管理,通过调用加密机中的密码算法模块实现密钥的生成和备份,同时密钥管理系统还实现了对设备密钥的分配、恢