一种针对工业互联网的可信数据采集方法、设备及介质与流程

本申请涉及工业互联网，尤其涉及一种针对工业互联网的可信数据采集方法、设备及介质。

背景技术：

1、随着工业互联网的发展，越来越多的设备接入了工业互联网，给工业互联网带来了巨大挑战：

2、1)设备多种多样，协议种类繁多，服务器协议种类繁多。

3、2)设备安全问题让工业互联网面临更严峻的安全风险，病毒软件、防火墙等传统防御系统的需要预先捕捉黑客攻击和病毒入侵的特征信息，属于“事后防御”的“黑名单”机制，不能满足目前工业互联网的发展需求。

4、3)数据安全是工业互联网的基础安全，数据泄露问题也是工业互联网面临的安全风险。

5、因此，针对多种多样的工业互联网设备，如何实现安全可信数据的采集成为亟待解决的技术问题。

技术实现思路

1、本申请实施例提供了一种针对工业互联网的可信数据采集方法、设备及介质，用以解决如下技术问题：针对多种多样的工业互联网设备，如何实现安全可信数据的采集。

2、第一方面，本申请实施例提供了一种针对工业互联网的安全可信数据采集方法，其特征在于，方法包括：在安全可信数据采集网关上电后，通过预置的tpcm模块进行可信度量，以生成对应的可信度量报告与度量日志；其中，安全可信数据采集网关用于实现待接入终端与远方服务器的通信连接；安全可信数据采集网关向远方服务器进行远程身份认证，以建立待接入终端与远方服务器的通信连接；在需要进行工业互联网数据采集的情况下，基于安全可信数据采集网关中预置的协议转换器对待采集数据进行协议转换，并获取远方服务器的公钥，以对转换后的待采集数据进行加密；将加密后的待采集数据上传至远方服务器。

3、在本申请的一种实现方式中，通过预置的tpcm模块进行可信度量，具体包括：基于tpcm模块读取bios程序，以对bios程序进行度量；在确定bios程序度量通过的情况下，tpcm模块控制电源向cpu供电，并在操作系统内核加载前对操作系统内核进行度量；在确定操作系统度量通过的情况下，对操作系统进程进行度量以及在应用程序运行前对应用程序进行度量；在tpcm模块的配置寄存器中扩展度量结果，并基于度量过程生成度量日志，以及基于度量结果生成度量报告。

4、在本申请的一种实现方式中，安全可信数据采集网关向远方服务器进行远程身份认证，具体包括：安全可信数据采集网关基于tpcm模块中预置的背书密钥ek生成平台身份认证密钥aik；将平台身份认证密钥aik发送至第三方私有签证机构验证，并通过第三方私有签证机构发布平台身份认证密钥aik；远方服务器基于平台身份认证密钥aik、可信度量报告与度量日志，通过挑战-应答协议，对安全可信数据采集网关完成远程身份认证。

5、在本申请的一种实现方式中，远方服务器基于平台身份认证密钥aik、可信度量报告与度量日志，通过挑战-应答协议，完成远程身份认证，具体包括：远方服务器生成待应用随机数，并基于待应用随机数向安全可信数据采集网关发起证明请求；基于证明请求，安全可信数据采集网关将平台身份认证密钥aik、可信度量报告与度量日志发送给远方服务器；远方服务器对可信度量报告与度量日志进行验证，并将平台身份认证密钥aik发送给第三方的私有签证机构进行验证；第三方的私有签证机构对平台身份认证密钥aik进行验证，并返回验证结果；在确定验证通过的情况下，远方服务器允许安全可信数据采集网关的数据接入，完成远程认证。

6、在本申请的一种实现方式中，在对操作系统进程进行度量以及在应用程序运行前对应用程序进行度量之后，方法还包括：确定操作系统进程或应用程序是否为应用白名单程序；在确定操作系统进程或应用程序为非应用白名单程序的情况下，阻断程序运行；在确定操作系统进程或应用程序为应用白名单程序的情况下，运行程序，并对程序行为进行监测，以确定程序行为是否为行为白名单行为；在确定程序行为是行为白名单行为的情况下，运行程序行为，在确定程序行为不是行为白名单行为的情况下，阻断程序行为。

7、在本申请的一种实现方式中，获取远方服务器的公钥，以对转换后的待采集数据进行加密，具体包括：安全可信数据采集网关获取远方服务器公布的公钥，并基于公钥对待采集数据进行加密；安全可信数据采集网关基于平台身份认证密钥aik对加密后的待采集数据数据进行签名。

8、在本申请的一种实现方式中，在基于安全可信数据采集网关中预置的协议转换器对待采集数据进行协议转换之前，方法还包括：确定待接入终端对应的通信协议是否为白名单协议；在确定待接入终端对应的通信协议不是白名单协议的情况下，过滤本次数据采集任务。

9、在本申请的一种实现方式中，将加密后的待采集数据上传至远方服务器，具体包括：安全可信数据采集网关通过北向接口对待采集数据进行上传。

10、第二方面，本申请实施例还提供了一种针对工业互联网的可信数据采集设备，其特征在于，设备包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够：在安全可信数据采集网关上电后，通过预置的tpcm模块进行可信度量，以生成对应的可信度量报告与度量日志；其中，安全可信数据采集网关用于实现待接入终端与远方服务器的通信连接；安全可信数据采集网关向远方服务器进行远程身份认证，以建立待接入终端与远方服务器的通信连接；在需要进行工业互联网数据采集的情况下，基于安全可信数据采集网关中预置的协议转换器对待采集数据进行协议转换，并获取远方服务器的公钥，以对转换后的待采集数据进行加密；将加密后的待采集数据上传至远方服务器。

11、第三方面，本申请实施例还提供了一种针对工业互联网的可信数据采集的非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，计算机可执行指令设置为：在安全可信数据采集网关上电后，通过预置的tpcm模块进行可信度量，以生成对应的可信度量报告与度量日志；其中，安全可信数据采集网关用于实现待接入终端与远方服务器的通信连接；安全可信数据采集网关向远方服务器进行远程身份认证，以建立待接入终端与远方服务器的通信连接；在需要进行工业互联网数据采集的情况下，基于安全可信数据采集网关中预置的协议转换器对待采集数据进行协议转换，并获取远方服务器的公钥，以对转换后的待采集数据进行加密；将加密后的待采集数据上传至远方服务器。

12、本申请实施例提供的一种针对工业互联网的可信数据采集方法、设备及介质，其可以完成从自身硬件、操作系统内核、操作系统到应用程序的可信度量，保障自身可信，并实现远程报告、认证，将信任传递到网络。同时，支持协议白名单，对合法协议进行协议转换，并过滤非白名单的协议，使得服务器接口统一，将设备与服务器进行安全隔离，有效保障网络和设备安全。

技术特征：

1.一种针对工业互联网的安全可信数据采集方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种针对工业互联网的可信数据采集方法，其特征在于，通过预置的tpcm模块进行可信度量，具体包括：

3.根据权利要求1所述的一种针对工业互联网的可信数据采集方法，其特征在于，所述安全可信数据采集网关向所述远方服务器进行远程身份认证，具体包括：

4.根据权利要求3所述的一种针对工业互联网的可信数据采集方法，其特征在于，所述远方服务器基于所述平台身份认证密钥aik、所述可信度量报告与所述度量日志，通过挑战-应答协议，完成远程身份认证，具体包括：

5.根据权利要求2所述的一种针对工业互联网的可信数据采集方法，其特征在于，在对操作系统进程进行度量以及在应用程序运行前对所述应用程序进行度量之后，所述方法还包括：

6.根据权利要求3所述的一种针对工业互联网的可信数据采集方法，其特征在于，获取所述远方服务器的公钥，以对转换后的待采集数据进行加密，具体包括：

7.根据权利要求1所述的一种针对工业互联网的可信数据采集方法，其特征在于，在基于所述安全可信数据采集网关中预置的协议转换器对待采集数据进行协议转换之前，所述方法还包括：

8.根据权利要求1所述的一种针对工业互联网的可信数据采集方法，其特征在于，将加密后的待采集数据上传至所述远方服务器，具体包括：

9.一种针对工业互联网的可信数据采集设备，其特征在于，所述设备包括：

10.一种针对工业互联网的可信数据采集的非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令设置为：

技术总结
本申请公开了一种针对工业互联网的可信数据采集方法、设备及介质。方法包括：安全可信数据采集网关上电后，通过预置的TPCM模块进行可信度量，以生成对应的可信度量报告与度量日志；安全可信数据采集网关用于实现待接入终端与远方服务器的通信连接；安全可信数据采集网关向远方服务器进行远程身份认证，以建立待接入终端与远方服务器的通信连接；在需要进行工业互联网数据采集的情况下，基于安全可信数据采集网关中预置的协议转换器对待采集数据进行协议转换，并获取远方服务器的公钥，以对转换后的待采集数据进行加密；将加密后的待采集数据上传至远方服务器。本申请通过上述方法针对多种多样的工业互联网设备，实现了安全可信数据的采集。

技术研发人员：沈万江,肖雪,商广勇,刘广扩,陆需飞
受保护的技术使用者：浪潮云洲工业互联网有限公司
技术研发日：
技术公布日：2024/2/29