一种安全认证方法及系统技术方案

本发明专利技术实施例公开了一种安全认证方法，应用于供热行业控制系统安全领域。一种安全认证方法包括应用服务器发送数据指令到认证装置加密；所述认证装置加密所述数据指令后发送到所述应用服务器；所述应用服务器发送所述数据指令到采集装置；所述采集装置解密所述数据指令，执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器；所述应用服务器发送所述加密后的所述数据指令执行结果到所述认证装置解密；所述认证装置接收并解密所述加密后的所述数据指令执行结果，发送解密后的所述数据指令执行结果到所述应用服务器；所述应用服务器接收所述解密后的所述数据指令执行结果。本发明专利技术提供的方法有效的解决了通信前密钥交换的问题。

【技术实现步骤摘要】

本专利技术涉及供热行业控制系统安全领域，尤其涉及一种安全认证方法及系统。
技术介绍
国家提出保障工业控制系统安全，加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理，重点对可能危及生命和公共财产安全的工业控制系统加强监督。当前供热行业控制系统大部分采用公有协议明文传输，且大型工控设备被国外厂商占领市场，工业控制系统现场数据一旦被截取，将对工控系统造成很大的威胁，主要表现在通过模拟指令，模拟设备发出影响系统正常运行的指令，通过截取数据运行数据获取国家重要的战略计划。而现有的供热行业控制系统中数据传输时没有加密，数据的安全性低，而且不能实现实体间的双向身份鉴别不能有效阻止不符合安全要求的终端访问系统。
技术实现思路
本专利技术的目的在于解决现有技术中数据传输没有加密，且不能实现实体间双向身份鉴别以及不能有效阻止不符合安全要求的终端访问系统的问题。为解决上述问题，本专利技术实施例提供了一种安全认证方法及系统。有鉴于此，本专利技术提供一种安全认证方法，可包括：应用服务器发送数据指令到认证装置加密；所述认证装置接收并加密所述应用服务器发送的所述数据指令，并将加密后的所述数据指令发送到所述应用服务器；所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置；所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令，执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器；所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结果，并发送所述加密后的所述数据指令执行结果到所述认证装置解密；所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据指令执行结果，发送解密后的所述数据指令执行结果到所述应用服务器；所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。本专利技术还提供一种安全认证方法，其中，所述方法包括：采集装置发送加密后的数据指令到应用服务器；所述应用服务器接收所述数据指令并发送到认证装置；所述认证装置接收并解密所述数据指令，并将解密后的所述数据指令发送到所述应用服务器；所述应用服务器接收所述数据指令，执行所述数据指令并返回所述数据指令执行结果到所述认证装置加密；所述认证装置接收所述数据指令执行结果并加密后发送所述数据指令执行结果到所述应用服务器；所述应用服务器接收加密后的所述数据指令执行结果并发送到所述采集装置；所述采集装置接收所述加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果。本专利技术还提供一种应用于安全认证方法的安全认证系统，其中，所述系统包括：应用服务器，采集装置和认证装置，所述应用服务器用于发送数据指令到所述认证装置加密，接收所述认证装置加密后的所述数据指令并发送所述加密后的所述数据指令到所述采集装置，还用于接收所述采集装置返回的加密后的所述数据指令执行结果，并发送所述加密后的所述数据指令执行结果到所述认证装置解密，接收所述认证装置解密后的所述数据指令执行结果，所述采集装置用于接收并解密所述应用服务器发送的所述数据指令，执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器；所述认证装置用于接收并加密所述应用服务器发送的所述数据指令，并将加密后的所述数据指令发送到所述应用服务器，还用于接收并解密所述应用服务器发送的所述数据指令执行结果，发送解密后的所述数据指令执行结果到所述应用服务器，所述应用服务器与所述认证装置通信连接，所述采集装置与所述应用服务器通信连接。本专利技术还提供一种应用于安全认证方法的安全认证系统，其中，所述系统包括：应用服务器，采集装置和认证装置，所述应用服务器用于接收所述采集装置发送的加密后的数据指令并发送到所述认证装置，接收所述认证装置解密后的所述数据指令并执行所述数据指令返回所述数据指令执行结果到所述认证装置解密，还用于接收所述认证装置发送的加密后的所述数据指令执行结果并发送道所述采集装置，所述采集装置用于发送加密后的数据指令到所述应用服务器，还用于接收所述应用服务器加密后的所述数据指令执行结果并解密得到解密后的所述数据指令执行结果，所述认证装置用于接收所述应用服务器发送的加密后的所述数据指令并解密所述数据指令后发送到所述应用服务器，还用于接收所述应用服务器返回的所述数据指令执行结果并加密后发送到所述应用服务器，所述应用服务器与所述认证装置通信连接，所述采集装置与所述应用服务器通信连接。本专利技术提供的一种安全认证方法及系统，通过采用在线更新设备数字证书，采用数字信封、非对称算法等技术实现整个认证机制，实现实体间的双向身份鉴别，有效阻止不符合要求的终端访问系统，解决了现有技术中供热行业的数据传输没有加密的问题，提高了供热行业中数据传输的安全性。附图说明图1为本专利技术实施例1提供的一种安全认证方法的流程图；图2为本专利技术实施例2提供的一种安全认证方法的结构框图；图3为本专利技术实施例3提供的一种安全认证方法的流程图。具体实施方式本专利技术实施例提供了一种安全认证方法，能够解决现有技术中不能实现实体间的双向身份鉴别不能有效阻止不符合安全要求的终端访问系统的问题。为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。请参阅图1，为本专利技术提供的一种安全认证方法实施例1的流程图，本实施例具体可以包括：S101、应用服务器发送数据指令到认证装置加密；S102、所述认证装置接收并加密所述应用服务器发送的所述数据指令，并将加密后的所述数据指令发送到所述应用服务器；S103、所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置；S104、所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令，执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器；S105、所述应用服务器接收所述采集装置返回本文档来自技高网...

【技术保护点】
一种安全认证方法，其特征在于，所述方法包括：应用服务器发送数据指令到认证装置加密；所述认证装置接收并加密所述应用服务器发送的所述数据指令，并将加密后的所述数据指令发送到所述应用服务器；所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后的所述数据指令到采集装置；所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据指令，执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用服务器；所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结果，并发送所述加密后的所述数据指令执行结果到所述认证装置解密；所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据指令执行结果，发送解密后的所述数据指令执行结果到所述应用服务器；所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。

【技术特征摘要】
1.一种安全认证方法，其特征在于，所述方法包括：
应用服务器发送数据指令到认证装置加密；
所述认证装置接收并加密所述应用服务器发送的所述数据指令，并将加
密后的所述数据指令发送到所述应用服务器；
所述应用服务器接收所述认证装置加密后的所述数据指令并发送加密后
的所述数据指令到采集装置；
所述采集装置接收并解密所述应用服务器发送的所述加密后的所述数据
指令，执行所述数据指令并返回加密后的所述数据指令执行结果到所述应用
服务器；
所述应用服务器接收所述采集装置返回的所述加密后的数据指令执行结
果，并发送所述加密后的所述数据指令执行结果到所述认证装置解密；
所述认证装置接收并解密所述应用服务器发送的所述加密后的所述数据
指令执行结果，发送解密后的所述数据指令执行结果到所述应用服务器；
所述应用服务器接收所述认证装置解密后的所述数据指令执行结果。
2.根据权利要求1所述的方法，其特征在于，所述认证装置加密及解密
所述数据指令或所述数据指令执行结果所需的密钥与所述采集装置加密及解
密所述数据指令或所述数据指令执行结果所需的密钥为对称密钥。
3.根据权利要求2所述的方法，其特征在于，所述认证装置的对称密钥
的获取包括：
所述采集装置发送附加数字签名的采集装置随机数到所述应用服务器并
通过所述应用服务器将所述附加数字签名的采集装置随机数发送到所述认证
装置；
所述认证装置接收到所述附加数字签名的采集装置随机数后，通过数字
签名验证获取到所述采集装置随机数，并与所述认证装置随机数做密钥分散

\t生成所述认证装置的对称密钥。
4.根据权利要求2所述的方法，其特征在于，所述采集装置的对称密钥
的获取包括：
所述认证装置发送附加数字签名的认证装置随机数到所述应用服务器并
通过所述应用服务器将所述附加数字签名的认证装置随机数发送到所述采集
装置；
所述采集装置接收到所述附加数字签名的认证装置随机数后，通过数字
签名验证获取得到所述认证装置随机数，并与所述采集装置随机数做密钥分
散生成所述采集装置的对称密钥。
5.根据权利要求2所述的方法，其特征在于，在所述数据传输过程中每
断电一次都需要重新获取一次对称密钥。
6.根据权利要求1所述的方法，其特征在于，所述应用服务器发送所述
数据指令或所述数据指令执行结果到所述认证装置时还包括发送所述应用服
务器与所述认证装置通信的加权信息到所述认证装置，所述应用服务器与发
送所述数据指令或数据指令执行结果到所述采集装置时还包括发送所述应用
服务器与所述采集装置通信的加权信息到所述采集装置。
7.一种安全认证方法，其特征在于，所述方法包括：
采...

【专利技术属性】
技术研发人员：张一帆，巩金亮，李明，张晓武，王星尹，
申请(专利权)人：北京华大智宝电子系统有限公司，
类型：发明
国别省市：北京;11