工业终端设备的离线初始化方法和系统的制作方法
【专利摘要】本发明提供一种工业终端设备的离线初始化方法,包括:管理终端获取输入的工业终端设备的初始化信息;管理终端与所述工业终端设备建立连接,并将初始化命令发送给所述工业终端设备;工业终端设备响应所述初始化命令;管理终端接收所述响应命令,获取服务器密码机生成的数字证书并签名;管理终端将所述数字证书和初始化信息发送给工业终端设备;所述工业终端设备接收所述数字证书和初始化信息进行初始化操作,并反馈初始化结果给所述管理终端。本发明还提供对应的系统,能对工业终端设备进行离线初始化,工作效率和安全性能高。
【专利说明】工业终端设备的离线初始化方法和系统
【技术领域】
[0001]本发明涉及工业终端初始化【技术领域】,特别是涉及一种工业终端设备的离线初始化方法,以及一种工业终端设备的离线初始化系统。
【背景技术】
[0002]工业终端设备(如电网的配电终端、负荷终端、计量终端等设备)在应用广泛应用。典型的分布式工控系统(或分布式数据采集系统)由工控主站(或监控后台)和工业终端设备组成。
[0003]这些工业终端与工控主站的之间的通信主要是基于IP网络技术,为解决这一类型系统的业务数据在传统IP网络中的机密性、完整性和抗抵赖性,需要在工业终端与工控主站之间部署防护设备(或防护模块),即主站防护设备和终端防护设备。设备之间的通信安全性依赖于密钥的保密性,其中私钥由设备自行保管,公钥通过证书方式分配给所有通信对等实体。在一些安全级别要求高的应用场景(如电网生产系统)中为了确保安全性,采用离线方式签发证书,每增加一台终端防护设备手工执行如下几个方面的工作:
[0004]I)生成公私钥对
[0005]2)数字证书系统签发该终端防护设备的证书A
[0006]3)将证书A离线颁发给主站防护装置
[0007]4)将主站证书B颁发给该终端防护设备
[0008]5)将数字证书系统的根证书颁发给该终端防护设备
[0009]6)配置该终端防护设备等等一批配置信息。
[0010]这种工控系统离线证书签发相比传统数字证书系统的证书签发具有如下缺陷:[0011 ] I是传统数字证书系统签发的设备更多的是计算机、服务器或PC机等设备,这些设备的证书安装过程中都是人为操作,可进行人为的配置操作。而工业终端防护设备是一种工业控制设备,不带鼠标、键盘、显示器等通用人机接口 ;而且设备安装过程中通常不具备计算机相关知识的工程师。
[0012]2是传统数字证书给设备签发证书都是采用在线方式,由CA机构(证书授证Certificate Authority中心)进行在线证书签发,这样可以将很多配置信息通信在线签发的协议进行传输。而工业终端防护设备的证书签发为确保其安全性需要采用离线方式进行证书签发,这样导致需要将大量的配置信息通过离线方式注入到设备中。
[0013]3是工控主站防护装置数量通常固定为两台或四台,但终端防护设备一般数量很多,而且随着工控系统规模增大(如智能电网的建设),这些终端防护设备的数量会越来越多。而每增加一台终端防护设备就需要给该终端注入大量的配置信息,同时给主站防护装置增加该终端防护设备的信息。以每台终端防护设备配置需要半小时计,一万个终端防护设备的配置需要6.94个月才能配置完成,对于工控系统的生产、运行和建设带来极大的不便,效率非常低。
【发明内容】
[0014]基于此,本发明提供一种工业终端设备的离线初始化方法和系统,能对工业终端设备进行离线初始化,工作效率和安全性能高。
[0015]一种工业终端设备的离线初始化方法,包括如下步骤:
[0016]管理终端获取输入的工业终端设备的初始化信息;
[0017]管理终端与所述工业终端设备建立连接,并将初始化命令发送给所述工业终端设备;
[0018]工业终端设备响应所述初始化命令;
[0019]管理终端接收所述响应命令,获取服务器密码机生成的数字证书并签名;
[0020]管理终端将所述数字证书和初始化信息发送给工业终端设备;
[0021]所述工业终端设备接收所述数字证书和初始化信息进行初始化操作,并反馈初始化结果给所述管理终端。
[0022]一种工业终端设备的数字证书离线签发系统,包括管理终端、工业终端设备和服务器密码机,所述工业终端设备和服务器密码机分别和所述管理终端连接,其中,所述管理终端包括获取模块、连接模块、签名模块和发送模块;所述工业终端设备包括响应模块和初始化模块;
[0023]所述获取模块用于获取输入的工业终端设备的初始化信息;
[0024]所述连接模块用于与所述工业终端设备建立连接,并将初始化命令发送给所述工业终端设备;
[0025]所述响应模块响应所述初始化命令;
[0026]所述签名模块用于接收所述响应命令,获取服务器密码机生成的数字证书并签名;
[0027]所述发送模块用于将所述数字证书和初始化信息发送给工业终端设备;
[0028]所述初始化模块用于接收所述数字证书和初始化信息进行初始化操作,并反馈初始化结果给所述管理终端。
[0029]上述工业终端设备的离线初始化方法和系统,通过管理终端获取输入的初始化信息,管理终端与工业终端设备建立连接后发送初始化命令,在得到工业终端设备的响应后,调用服务器密码机生成数字证书;管理终端对数字证书进行签名后,将签名后的数字证书和初始化信息同时发送给工业终端设备进行初始化工作;本发明提高了工业终端设备部署、安装和初始化的效率,方便大量工业终端防护设备的管理,所有工业终端防护设备的信息和证书都能进行离线管理,工业终端防护设备离线与管理终端直接对连,自动化地进行初始化和证书导入,避免了传统在线证书存在的网络安全风险,以及传统U盘离线拷贝的证书管理安全风险。
【专利附图】
【附图说明】
[0030]图1为本发明工业终端设备的离线初始化方法在一实施例中的流程示意图。
[0031]图2为本发明工业终端设备的离线初始化系统在一实施例中的结构示意图。
[0032]图3为本发明工业终端设备的离线初始化系统在另一实施例中的结构示意图。
[0033]图4为图3系统的处理流程示意图。【具体实施方式】
[0034]下面结合实施例及附图对本发明作进一步详细说明,但本发明的实施方式不限于此。
[0035]如图1所示,是本发明一种工业终端设备的离线初始化方法,包括如下步骤:
[0036]S11、管理终端获取输入的工业终端设备的初始化信息;
[0037]设备管理人员将需要初始化的设备的初始化信息输入管理终端;管理终端可为计算机终端,通过在WEB容器中设置终端管理插件,专用于获取工业终端设备的初始化信息服务。
[0038]在一较佳实施例中,所述初始化信息为所述工业终端设备的配置信息,包括所述工业终端设备的IP地址、网关IP地址和/或与所述工业终端设备连接的无线终端设备的IP地址。
[0039]S12、管理终端与所述工业终端设备建立连接,并将初始化命令发送给所述工业终端设备;
[0040]管理终端与工业终端设备建立连接后,将含主题信息的初始化命令发送给被初始化的工业终端设备;管理终端可能同时与多台工业终端设备连接,在发送初始化命令时需携带被初始化设备的主题信息。
[0041]在一较佳实施例中,所述管理终端与所述工业终端设备建立连接的步骤包括:所述管理终端选择通过串口方式或网口方式与所述工业终端设备建立连接;
[0042]工业终端设备需进行初始化时,以串口方式或网口方式与管理终端物理连接;管理终端通过检测端口,选择通过串口方式或网口方式与所述工业终端设备建立通讯连接,实现两者的离线通讯。
[0043]S13、工业终端设备响应所述初始化命令;
[0044]工业终端设备在接收到所述初始化命令后进行响应,以保证与管理终端的通讯服务正常,保证后续的数字证书签发和初始化工作顺利进行。
[0045]S14、管理终端接收所述响应命令,获取服务器密码机生成的数字证书并签名;
[0046]管理终端接收到响应命令,表示当前与工业终端设备通讯正常,可开始执行证书签发和初始化操作;
[0047]数字证书的获取,需调用与其连接的服务器密码机,由服务器密码机生成;服务器密码机设备用于提供基本的密码运算服务,例如实现SM1/SM2/SM3等对称、非对称和散列算法,生成数字证书;获取到服务器密码机生成的数字证书,管理终端对其签名,得到签名后的数字证书。
[0048]在一较佳实施例中,所述获取服务器密码机生成的数字证书的步骤可包括:
[0049]所述管理终端通过openssl协议和所述服务器密码机通讯,在进行通讯时,将服务器密码机的密码算法注册到openssl协议中,当所述管理终端获取数字证书时,生成获取证书请求,通过openssl协议将所述获取证书请求转换为对所述服务器密码机的证书调用请求,获得数字证书;
[0050]管理终端通过openssl协议和所述服务器密码机通讯,openssl协议用于屏蔽服务器密码机底层各种算法的差异,并向上层提供统一的证书处理、签名/验签、数据加解密等功能,使通讯过程更加安全可靠。
[0051]S15、管理终端将所述数字证书和初始化信息发送给工业终端设备;
[0052]在本步骤中,将签名后的数字证书和输入的初始化信息一起发送给工业终端设备,提高工业终端设备初始化工作的效率。
[0053]S16、所述工业终端设备接收所述数字证书和初始化信息进行初始化操作,并反馈初始化结果给所述管理终端。
[0054]工业终端设备接收到数字证书和初始化信息后可开始进行初始化操作,完成后将初始化结果反馈给所述管理终端。
[0055]如图2所示,本发明还提供了一种工业终端设备的数字证书离线签发系统,包括管理终端21、工业终端设备22和服务器密码机23,所述工业终端设备22和服务器密码机23分别和所述管理终端21连接,其中所述管理终端21包括获取模块211、连接模块212、签名模块213和发送模块214 ;所述工业终端设备22包括响应模块221和初始化模块222 ;
[0056]所述获取模块211用于获取输入的工业终端设备的初始化信息;
[0057]设备管理人员将需要初始化的设备的初始化信息输入管理终端21 ;管理终端21可为计算机终端,通过在WEB容器中设置终端管理插件,专用于获取工业终端设备22的初始化信息服务。
[0058]在一较佳实施例中,所述初始化信息为所述工业终端设备的配置信息,包括所述工业终端设备的IP地址、网关IP地址和/或与所述工业终端设备连接的无线终端设备的IP地址。
[0059]所述连接模块212用于与所述工业终端设备22建立连接,并将初始化命令发送给所述工业终端设备22 ;
[0060]管理终端21与工业终端设备22建立连接后,将含主题信息的初始化命令发送给被初始化的工业终端设备22 ;管理终端21可能同时与多台工业终端设备22连接,在发送初始化命令时需携带被初始化设备的主题信息。
[0061]在一较佳实施例中,所述连接模块212还用于选择通过串口方式或网口方式与所述工业终端设备建立连接;
[0062]工业终端设备22需进行初始化时,以串口方式或网口方式与管理终端21物理连接;管理终端21通过检测端口,选择通过串口方式或网口方式与所述工业终端设备22建立通讯连接,实现两者的离线通讯。
[0063]所述响应模块221用于响应所述初始化命令;
[0064]工业终端设备22在接收到所述初始化命令后进行响应,以保证与管理终端21的通讯服务正常,保证后续的数字证书签发和初始化工作顺利进行。
[0065]所述签名模块213用于接收所述响应命令,获取服务器密码机生成的数字证书并签名;
[0066]管理终端21接收到响应命令,表示当前与工业终端设备22通讯正常,可开始执行证书签发和初始化操作;
[0067]数字证书的获取,需调用与其连接的服务器密码机23,由服务器密码机23生成;服务器密码机23设备用于提供基本的密码运算服务,例如实现SM1/SM2/SM3等对称、非对称和散列算法,生成数字证书;获取到服务器密码机23生成的数字证书,管理终端21对其签名,得到签名后的数字证书。
[0068]在一较佳实施例中,所述签名模块213还用于通过openssl协议和所述服务器密码机23通讯,在进行通讯时,将服务器密码机23的密码算法注册到openssl协议中,当所述管理终端21获取数字证书时,生成获取证书请求,通过openssl协议将所述获取证书请求转换为对所述服务器密码机23的证书调用请求,获得数字证书;
[0069]管理终端21通过openssl协议和所述服务器密码机23通讯,openssl协议用于屏蔽服务器密码机23底层各种算法的差异,并向上层提供统一的证书处理、签名/验签、数据加解密等功能,使通讯过程更加安全可靠。
[0070]所述发送模块214用于将所述数字证书和初始化信息发送给工业终端设备22 ;
[0071]在本模块中,将签名后的数字证书和输入的初始化信息一起发送给工业终端设备22,提高工业终端设备22初始化工作的效率。
[0072]所述初始化模块222用于接收所述数字证书和初始化信息进行初始化操作,并反馈初始化结果给所述管理终端21。
[0073]工业终端设备22接收到数字证书和初始化信息后可开始进行初始化操作,完成后将初始化结果反馈给所述管理终端21。
[0074]接下来再通过一具体实施例阐述本发明方案。
[0075]如图3所示,是实现上述工业终端设备的数字证书离线签发系统的一个系统结构图;
[0076]所述的服务器密码机设备,用于为系统提供基本的密码运算服务,该服务器密码机主要实现了 SM1/SM2/SM3等对称、非对称和散列算法。
[0077]所述的工业终端设备,为本实施例进行证书签发和初始化的对象。
[0078]所述的证书封装模块,主要完成SM2/SM3算法的证书签发,pkcslO (以下简称P#10)格式的证书请求封装和解析。其中,证书封装模块包括密码机引擎、openssl模块、证书接口封装库、JNI库等部分。
[0079]其中,密码机引擎是Openssl和服务器密码机设备之间的适配器,按照Openssl引擎的标准进行实现。密码机引擎将服务器密码机设备实现的SM2/SM3算法注册到openssl中,当openssl需要使用SM2/SM3算法时,密码机引擎将调用请求转化为对服务器密码机的调用请求。
[0080]其中,openssl用于屏蔽底层各种算法的差异,并向上层提供统一的证书处理、签名/验签、数据加解密等功能。当使用SM2/SM3等算法时,openssl调用注册该算法的密码机引擎完成具体的运算。
[0081]其中,证书接口库是基于openssl提供的基础功能进行封装,实现证书的产生、P#10的生成和解析等功能。证书接口库需要从配置文件中读取证书模板(包括证书主题项、扩展项等信息的配置模板)、密码机引擎、私钥索引等信息。
[0082]其中,JNI库是实现java与证书接口库之间的转接。
[0083]所述的配置文件,用于存放证书模板、密码机引擎、私钥索引等信息,供证书接口库使用。
[0084]所述的终端防护设备通信库,用于实现与终端防护设备的通信与交互。在与终端防护设备通信上,可采用串口或网口两种方式,终端防护设备通信库对两种通信方式进行抽象,实现统一通信接口,然后再统一通信接口的基础上实现统一的通信协议,终端防护设备通信库采用apache mina技术实现。
[0085]所述的服务主程序采用基java的框架和插件机制实现,框架部分实现基本的功能,为插件提供基础的服务。主程序提供web界面为用户与系统交互提供接口。
[0086]其中,终端管理插件主要完成工业终端设备的CRUD (增删查改,Create/Read/Update/Delete)操作和工业终端设备的初始化操作(包括装置的预录、初始化参数配置、信息打印、和初始化等功能);
[0087]在初始化终端防护设备时,终端管理插件调用终端防护设备通信库与终端防护设备进行通信,根据终端防护设备导出的公钥,结合预录的终端防护设备信息,调用机构管理插件实现证书签发。随后,终端管理插件将预录的初始化参数和证书一起打包发送给终端防护设备。
[0088]其中,机构管理插件主要提供机构、主站的管理功能,包含导入并解析下级主站的P#10、根据P#10产生主站证书、主站信息的CRUD等功能。
[0089]其中,审计管理插件主要完成用户基于IE浏览器登录、操作等各种行为的记录,用于防护本发明系统自身的安全。
[0090]其中,系统管理插件主要完成本发明系统用户帐号、密码、帐号角色(包括操作员、系统管理员、安全审计员、安全管理员等角色帐号)的各功能权限配置。
[0091]如图4所示,是上述工业终端设备的数字证书离线签发系统的一个处理流程图;
[0092]步骤1.1:管理员通过IE将需要初始化的终端的信息预录入到web。
[0093]步骤1.2:web容器调用终端管理插件提供的获取终端详细信息服务。
[0094]步骤2:管理员通过IE选择被初始化的终端的连接方式(包括串口方式和网口方式)。
[0095]步骤3:管理员通过IE执行初始化操作。
[0096]步骤3.1:web容器调用通信库与被初始化设备建立连接,并将含主题信息的初始化命令的发送给被初始化设备。
[0097]步骤3.2:被初始化设备响应并发送证书P#10请求数据,通信库将该P#10请求发
送给终端管理插件。
[0098]步骤3.3:终端管理插件向证书封装模块发送证书P#10生成请求,证书封装模块调用服务器密码机设备的SM2/SM3算法运算生成证书,并返回给终端管理插件。
[0099]步骤3.4:终端管理插件向机构管理插件获取主站证书。
[0100]步骤3.5:终端管理插件将终端的证书、主站证书等初始化数据通过通信库发送给被初始化设备,并等待初始化结果。
[0101]步骤3.6:终端管理插件将初始化相关信息记录在签发系统中。
[0102]本发明工业终端设备的离线初始化方法和系统,通过管理终端获取输入的初始化信息,管理终端与工业终端设备建立连接后发送初始化命令,在得到工业终端设备的响应后,调用服务器密码机生成数字证书;管理终端对数字证书进行签名后,将签名后的数字证书和初始化信息同时发送给工业终端设备进行初始化工作;本发明提高了工业终端设备部署、安装和初始化的效率,方便大量工业终端防护设备的管理,所有工业终端防护设备的信息和证书都能进行离线管理,工业终端防护设备离线与管理终端直接对连,自动化地进行初始化和证书导入,避免了传统在线证书的存在的网络安全风险,和传统U盘离线拷贝的证书管理安全风险。
[0103]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种工业终端设备的离线初始化方法,其特征在于,包括如下步骤: 管理终端获取输入的工业终端设备的初始化信息; 管理终端与所述工业终端设备建立连接,并将初始化命令发送给所述工业终端设备; 工业终端设备响应所述初始化命令; 管理终端接收所述响应命令,获取服务器密码机生成的数字证书并签名; 管理终端将所述数字证书和初始化信息发送给工业终端设备; 工业终端设备接收所述数字证书和初始化信息进行初始化操作,并反馈初始化结果给所述管理终端。
2.根据权利要求1所述的工业终端设备的离线初始化方法,其特征在于,所述获取服务器密码机生成的数字证书的步骤包括: 所述管理终端通过openssl协议和所述服务器密码机通讯,在进行通讯时,将服务器密码机的密码算法注 册到openssl协议中,当所述管理终端获取数字证书时,生成获取证书请求,通过openssl协议 将所述获取证书请求转换为对所述服务器密码机的证书调用请求,获得数字证书。
3.根据权利要求1所述的工业终端设备的离线初始化方法,其特征在于,所述管理终端与所述工业终端设备建立连接的步骤包括: 所述管理终端选择通过串口方式或网口方式与所述工业终端设备建立连接。
4.根据权利要求1所述的工业终端设备的离线初始化方法,其特征在于,所述初始化信息为所述工业终端设备的配置信息,包括所述工业终端设备的IP地址、网关IP地址和/或与所述工业终端设备连接的无线终端设备的IP地址。
5.一种工业终端设备的数字证书离线签发系统,包括管理终端、工业终端设备和服务器密码机,所述工业终端设备和服务器密码机分别和所述管理终端连接,其特征在于,所述管理终端包括获取模块、连接模块、签名模块和发送模块;所述工业终端设备包括响应模块和初始化模块; 所述获取模块用于获取输入的工业终端设备的初始化信息; 所述连接模块用于与所述工业终端设备建立连接,并将初始化命令发送给所述工业终端设备; 所述响应模块响应所述初始化命令; 所述签名模块用于接收所述响应命令,获取服务器密码机生成的数字证书并签名; 所述发送模块用于将所述数字证书和初始化信息发送给工业终端设备; 所述初始化模块用于接收所述数字证书和初始化信息进行初始化操作,并反馈初始化结果给所述管理终端。
6.根据权利要求5所述的工业终端设备的离线初始化系统,其特征在于,所述签名模块还用于通过openssl协议和所述服务器密码机通讯,在进行通讯时,将服务器密码机的密码算法注册到openssl协议中,当所述管理终端获取数字证书时,生成获取证书请求,通过openssl协议将所述获取证书请求转换为对所述服务器密码机的证书调用请求,获得数字证书。
7.根据权利要求5所述的工业终端设备的离线初始化系统,其特征在于,所述连接模块还用于选择通过串口方式或网口方式与所述工业终端设备建立连接。
8.根据权利要求5所述的工业终端设备的离线初始化系统,其特征在于,所述初始化信息为所述工业终端设备的配置信息,包括所述工业终端设备的IP地址、网关IP地址和/或与所述 工业终端设备连接的无线终端设备的IP地址。
【文档编号】H04L9/32GK103532951SQ201310482962
【公开日】2014年1月22日 申请日期:2013年10月15日 优先权日:2013年10月15日
【发明者】江泽鑫, 谢善益, 苏扬, 曾强, 李海涛, 钟志明, 周安, 梁智强, 胡朝辉, 梁志宏, 陈炯聪, 黄曙, 余南华, 林丹生, 李闯, 石炜君, 梁毅成, 黄岳峰 申请人:广东电网公司电力科学研究院