工业互联网平台应用商用密码安全接入的研究.pdf
《工业互联网平台应用商用密码安全接入的研究.pdf》由会员分享,可在线阅读,更多相关《工业互联网平台应用商用密码安全接入的研究.pdf(4页珍藏版)》请在咨信网上搜索。
1、SOFTWARE软 件2023第 44 卷 第 8 期2023 年Vol.44,No.8作者简介:徐海波(1972),男,江苏无锡人,硕士研究生,高级工程师,研究方向:软件测评及密码技术。工业互联网平台应用商用密码安全接入的研究徐海波(北京赛迪软件测评工程技术中心有限公司,北京 100048)摘要:本文介绍了工业互联网接入软件的类型,分析了工业互联网平台应用商用密码实现软件接入安全认证系统的必要性,描述了建设安全接入系统的设计思路,从安全接入密钥管理中心、密钥体系、业务流程、数字证书认证体系及应用安全五个方面详细阐述了设计方法及流程,为工业互联网企业平台软件安全接入分类认证管控提出了解决方案。
2、关键词:工业互联网;商用密码;安全接入中图分类号:TP393 文献标识码:A DOI:10.3969/j.issn.1003-6970.2023.08.021本文著录格式:徐海波.工业互联网平台应用商用密码安全接入的研究J.软件,2023,44(08):092-094+102Research on Secure Access of Business Cipher in Industrial Internet PlatformXU Haibo(CCID Software Testing,Beijing 100048)【Abstract】:This paper introduces the typ
3、es of industrial Internet access software,analyzes the necessity of industrial Internet platform using business cipher to implement software access security authentication system,describes the design idea of building security access system,and elaborates the design method and process from five aspec
4、ts of security access key management center,key system,business process,digital certificate authentication system and application security,proposed a solution for the management and control of software security access classification authentication of industrial Internet platform.【Key words】:industri
5、al Internet;business cipher;secure access设计研究与应用0 引言工业互联网接入软件主要分为工业采集软件、工业控制软件、各种工业 App 等工业软件和 SaaS 服务。各类工业软件对于数据的安全性、时效性、交互频率等各不相同,如工业采集软件需实时发送各类状态数据,工业控制软件下达指令的实时性要求,及工业 App 对所涉及业务数据敏感信息的安全性等。因此对工业互联网接入软件分类识别,能有效提高工业互联网平台软件安全接入的可用性、安全性。1 安全认证接入管理系统工业互联网的信息安全事关国计民生,要做到工业互联网的“保真、保密、保全”,就必须完成工业互联网平台软
6、件接入的商用密码安全认证接入体系建设。伴随着工业互联网的广泛应用,其网络安全问题日益突出。基于商用密码算法的应用,可以有效保护数据传输过程中的机密性和完整性。当重要数据在传输时,通过密码技术加密,就能够有效保护数据被监听截获,信息也不会泄漏,保护数据的机密性;通过密码技术对数据生成消息鉴别码(MAC),一旦数据被篡改,通过MAC 可以很容易发现,从而保护数据的完整性1。通过基于商用密码技术的数字证书认证体系,为工业互联网平台软件接入签发数字证书。数字证书可作为工业互联网平台软件安全接入的身份认证凭证,实现基于商用密码技术的身份认证功能。数字证书也能对关键数据和日志进行签名,实现数据和日志防抵赖
7、和防篡改。1.1 安全接入密钥管理中心设计密钥管理中采用基于 Spring Cloud 微服务设计,具有高内聚、低耦合标准化接口、可重用服务等特点。密钥管理中心支持基于商用密码算法的密码应用体系,通过数据加解密、签名验签、随机数生成、安全传输密钥,以及敏感数据加密存储、访问控制等技术手段为工业互联网平台软件安全接入提供基础支撑,主要包括数字证93徐海波:工业互联网平台应用商用密码安全接入的研究书管理、日志/系统管理、密码设备管理、密钥管理、密码运算服务等功能。根据项目整体规划,密钥管理中心分为核心密钥管理中心和云端密钥管理中心。核心密钥管理中心依托于服务器密码机,为工业互联网、接入设备、接入工
8、业信息系统等提供数据传输加密、数据存储加密、数据完整性校验、日志完整性校验、重要配置参数加密、身份认证、接入软件端密钥下发及管理等功能2。密钥管理中心通过服务器密码机使用合规的密钥管理和密码运算,通过 CA 为平台自身和软件接入提供数字证书签发服务。平台通过接口为接入软件、控制软件、工业信息系统提供相关功能。通过接口与安全增强服务组件完成与接入软件数据交互和身份认证功能。云端密钥管理中心依托于云密码机,运行于云平台虚拟服务器,为工业互联网平台、接入软件提供数据传输加密、数据存储加密、数据完整性校验、日志完整性校验、重要配置参数加密、身份认证等功能。(1)运算服务。密钥安全管理中心运算服务主要功
9、能模块包括:机密性接口、完整性接口、身份认证、日志审计等功能。1)机密性接口:通过对外提供的数据加解密接口,为管理平台提供加解密服务,根据工业互联网平台软件安全接入的加密运算需求,将数据明文传送到核心加密平台,核心加密平台将会调取运算所需的工作密钥,进行数据加解密操作,整个传输过程都将有传输密钥(KEK)进行保护,保证链路上数据传输的安全性。2)完整性接口:通过对外提供的数据完整性校验接口,为工业互联网平台提供数据完整性校验服务,根据工业互联网平台数据完整性校验需求,将校验数据传送到核心加密平台,核心加密平台将会调取运算所需工作密钥,进行数据校验操作,整个传输过程都将有传输密钥(KEK)进行保
10、护,保证链路上数据传输的安全性,从终端考虑接入软件只需考虑数据多元化,并支持核心与云端双端校验机制。3)身份认证:通过 Ukey 等终端设备,验证接入软件所对应数字证书的有效性,识别终端设备后将签名证书返回核心管理中心进行身份认证验签操作,并告知匹配结果是否成功,成功后则注册进核心管理中心完成身份验证服务。4)日志审计:通过核心安全平台对工业互联网软件接入操作都会形成操作日志,并将日志进行签名保存,当审计员进行查阅校对时,将会再次签名进行日志审计工作,完成日志审计服务。(2)管理服务。密钥安全管理中心管理服务主要功能模块包括:密钥管理、证书管理、权限管理等功能。1)密钥管理:根据不同的主体和用
11、途,密钥管理中心保证了密钥全生命周期的安全性,使密钥(除公钥外)不被非授权的访问、使用、泄漏、修改和替换。整个生命周期包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。2)证书管理:通过 CA 系统对接入软件与核心管理中心申请、更新、注销相关证书,并同步映射到云端管理中心,当需要证书的业务场景出现时,进行证书信息调取,并联合密钥进行相关业务逻辑操作。3)权限管理:根据相关配置文件,进行黑白名单权限控制,形成对接入软件与核心管理中心的权限管理。1.2 密钥体系设计密码应用的安全依赖于密钥体系的安全。在工业互联网平台软件安全接入管理中心密钥体系中,所有的密钥均由核心密钥管
12、理中心生成并下发,并向云端密钥管理中心同步密钥。密码应用的安全性主要体现在密钥安全,核心中心、云端中心、工业互联网平台的密码应用依赖于密码硬件设备,既能符合密钥管理的相关规范,也能满足密钥安全的实际需求。根据业务功能不同,密钥管理中心下发不同的密钥,符合密钥具有专用性这一管理要求。非对称密钥只存在于各密码硬件内部,通过密码硬件接口提供申请数字证书、签名/验签、非对称加密/解密等功能3。对称密钥根据其功能可划分为管理密钥和工作密钥两大类。(1)管理密钥包括:1)LMK(本地主密钥):每个平台的 LMK 都是独立的;LMK 由密码硬件生成,存储于密码硬件内部,只用于对其他密钥的存储加密,保证其他密
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 工业 互联网 平台 应用 商用 密码 安全 接入 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。