本發(fā)明屬于身份認(rèn)證，具體涉及一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法。

背景技術(shù)：

1、隨著全球工業(yè)化進(jìn)程的不斷推進(jìn)，工業(yè)控制系統(tǒng)（ics）在現(xiàn)代制造、能源、電力、交通和水處理等關(guān)鍵基礎(chǔ)設(shè)施中發(fā)揮著至關(guān)重要的作用。這些系統(tǒng)通過(guò)自動(dòng)化控制設(shè)備和網(wǎng)絡(luò)連接，實(shí)現(xiàn)對(duì)生產(chǎn)過(guò)程的監(jiān)控、控制和優(yōu)化。然而，隨著信息技術(shù)的不斷發(fā)展，尤其是互聯(lián)網(wǎng)和云計(jì)算技術(shù)的廣泛應(yīng)用，工業(yè)控制系統(tǒng)面臨著前所未有的安全挑戰(zhàn)。

2、傳統(tǒng)的身份認(rèn)證方法，如用戶名和密碼，雖然在過(guò)去的幾十年中廣泛應(yīng)用于各類計(jì)算機(jī)系統(tǒng)，但其固有的安全漏洞和缺陷，在現(xiàn)代工業(yè)環(huán)境中愈加顯現(xiàn)。密碼系統(tǒng)是工業(yè)控制系統(tǒng)中最常見(jiàn)的身份驗(yàn)證方式之一，但隨著用戶數(shù)量的增加和密碼管理的復(fù)雜性提高，密碼的安全性大打折扣。許多用戶為了便于記憶，選擇了簡(jiǎn)單的密碼，這些密碼往往容易被猜測(cè)或破解，成為攻擊者獲取系統(tǒng)權(quán)限的薄弱環(huán)節(jié)。密碼管理的困境，尤其是在密碼定期更新和強(qiáng)度要求上，進(jìn)一步加劇了這些安全風(fēng)險(xiǎn)。

3、與此同時(shí)，社會(huì)工程攻擊和暴力破解等攻擊手段不斷進(jìn)化，使得傳統(tǒng)的用戶名和密碼認(rèn)證方式不再足以抵御復(fù)雜的攻擊威脅。對(duì)于工業(yè)控制系統(tǒng)而言，這些問(wèn)題尤為嚴(yán)重，因?yàn)橄到y(tǒng)一旦被攻擊者突破，可能會(huì)導(dǎo)致生產(chǎn)線停運(yùn)、設(shè)備損壞、生產(chǎn)數(shù)據(jù)泄露，甚至?xí)绊懙焦舶踩c社會(huì)秩序。因此，如何確保用戶身份的安全認(rèn)證，成為了保障工業(yè)控制系統(tǒng)穩(wěn)定和安全運(yùn)行的核心問(wèn)題。

4、目前，許多工業(yè)控制系統(tǒng)仍然依賴于單一的身份認(rèn)證機(jī)制，即通過(guò)用戶名和密碼的組合進(jìn)行用戶身份驗(yàn)證。然而，單一認(rèn)證機(jī)制存在明顯的安全隱患，尤其是當(dāng)工業(yè)控制系統(tǒng)面臨對(duì)外聯(lián)網(wǎng)、遠(yuǎn)程訪問(wèn)等更復(fù)雜的網(wǎng)絡(luò)環(huán)境時(shí)，攻擊者通過(guò)網(wǎng)絡(luò)漏洞、釣魚(yú)攻擊等方式，能夠突破傳統(tǒng)認(rèn)證機(jī)制，獲得非法訪問(wèn)權(quán)限。尤其是在一些工業(yè)控制系統(tǒng)未能實(shí)施多因素認(rèn)證（mfa）時(shí)，單一認(rèn)證方式使得系統(tǒng)極易受到未經(jīng)授權(quán)的訪問(wèn)，甚至可能被惡意攻擊者操控，造成嚴(yán)重的安全事故。因此亟需引入更加安全、靈活且易于管理的身份認(rèn)證方案，確保工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)行。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，以解決現(xiàn)有技術(shù)中的技術(shù)問(wèn)題，降低了單一密碼被破解或泄露的風(fēng)險(xiǎn)，提高了工業(yè)控制系統(tǒng)的安全性。

2、為達(dá)到上述目的，本發(fā)明采用以下技術(shù)方案予以實(shí)現(xiàn)：

3、本發(fā)明提供一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，包括：

4、配置usbkey的pin碼和容器名稱；

5、將用戶名與usbkey容器名稱建立一一對(duì)應(yīng)關(guān)系；

6、將用戶名與密碼建立對(duì)應(yīng)關(guān)系；

7、將usbkey插入上位機(jī)；上位機(jī)獲取用戶名、密碼和usbkey的pin碼；

8、進(jìn)行初步驗(yàn)證，初步驗(yàn)證成功后判斷插入的usbkey容器名稱a是否與所述用戶名對(duì)應(yīng)的usbkey容器名稱b一致；若容器名稱a和容器名稱b不一致，則身份認(rèn)證失??；反之，將容器名稱b和隨機(jī)數(shù)進(jìn)行雜湊運(yùn)算，得到雜湊結(jié)果；通過(guò)私鑰對(duì)雜湊結(jié)果進(jìn)行簽名得到簽名值；通過(guò)公鑰對(duì)數(shù)字證書(shū)、根證書(shū)、雜湊結(jié)果和簽名值進(jìn)行驗(yàn)簽；如果驗(yàn)簽通過(guò)，則身份認(rèn)證成功，反之身份認(rèn)證失??；

9、其中，所述上位機(jī)配置有數(shù)字證書(shū)；所述服務(wù)器配置有根證書(shū)。

10、優(yōu)選的，所述初步驗(yàn)證的方法為：驗(yàn)證用戶名是否與密碼為對(duì)應(yīng)關(guān)系，同時(shí)驗(yàn)證獲取的pin碼是否與配置的pin碼一致，若用戶名與密碼為對(duì)應(yīng)關(guān)系且獲取的pin碼與配置的pin碼一致則為驗(yàn)證成功，反之驗(yàn)證失敗。

11、優(yōu)選的，所述usbkey在插入前進(jìn)行配置應(yīng)用以激活usbkey。

12、優(yōu)選的，所述上位機(jī)在初步驗(yàn)證前判斷服務(wù)器是否成功初始化，如果初始化失敗則終止流程；初始化成功則進(jìn)行初步驗(yàn)證。

13、優(yōu)選的，所述初始化成功后上位機(jī)通過(guò)枚舉設(shè)備接口判斷是否檢測(cè)到usbkey，如果檢測(cè)到usbkey則進(jìn)行初步驗(yàn)證，如果沒(méi)有檢測(cè)到usbkey則終止流程。

14、優(yōu)選的，所述插入的usbkey容器名稱a通過(guò)容器接口獲取。

15、優(yōu)選的，所述隨機(jī)數(shù)通過(guò)隨機(jī)數(shù)接口生成。

16、優(yōu)選的，所述雜湊運(yùn)算采用sha-256算法。

17、優(yōu)選的，所述上位機(jī)ip地址和服務(wù)器ip地址連接并配置在同一網(wǎng)段的組網(wǎng)中。

18、優(yōu)選的，所述上位機(jī)中設(shè)置有usbkey控件。

19、與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果：

20、本發(fā)明通過(guò)結(jié)合用戶名、密碼、usbkey及其pin碼，實(shí)現(xiàn)多因素認(rèn)證，從而提高安全性，防止未授權(quán)訪問(wèn)；通過(guò)判斷插入的usbkey容器名稱與用戶名對(duì)應(yīng)容器名稱是否一致，確保每個(gè)usbkey與特定容器名一致，從而有效阻止設(shè)備盜用或身份冒用；通過(guò)隨機(jī)數(shù)和雜湊運(yùn)算，系統(tǒng)為每個(gè)用戶請(qǐng)求生成唯一哈希值，隨后利用數(shù)字簽名算法進(jìn)行簽名，確保只有擁有相同私鑰的用戶才能成功驗(yàn)簽，從而驗(yàn)證其身份的合法性，提升整體數(shù)據(jù)完整性和保密性。

技術(shù)特征：

1.一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述初步驗(yàn)證的方法為：驗(yàn)證用戶名是否與密碼為對(duì)應(yīng)關(guān)系，同時(shí)驗(yàn)證獲取的pin碼是否與配置的pin碼一致，若用戶名與密碼為對(duì)應(yīng)關(guān)系且獲取的pin碼與配置的pin碼一致則為驗(yàn)證成功，反之驗(yàn)證失敗。

3.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述usbkey在插入前進(jìn)行配置應(yīng)用以激活usbkey。

4.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述上位機(jī)在初步驗(yàn)證前判斷服務(wù)器是否成功初始化，如果初始化失敗則終止流程；初始化成功則進(jìn)行初步驗(yàn)證。

5.根據(jù)權(quán)利要求4所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述初始化成功后上位機(jī)通過(guò)枚舉設(shè)備接口判斷是否檢測(cè)到usbkey，如果檢測(cè)到usbkey則進(jìn)行初步驗(yàn)證，如果沒(méi)有檢測(cè)到usbkey則終止流程。

6.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述插入的usbkey容器名稱a通過(guò)容器接口獲取。

7.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述隨機(jī)數(shù)通過(guò)隨機(jī)數(shù)接口生成。

8.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述雜湊運(yùn)算采用sha-256算法。

9.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述上位機(jī)ip地址和服務(wù)器ip地址連接并配置在同一網(wǎng)段的組網(wǎng)中。

10.根據(jù)權(quán)利要求1所述的一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，其特征在于，所述上位機(jī)中設(shè)置有usbkey控件。

技術(shù)總結(jié)
本發(fā)明屬于身份認(rèn)證技術(shù)領(lǐng)域，具體涉及一種增強(qiáng)工控系統(tǒng)身份認(rèn)證的方法，包括：配置usbkey的PIN碼和容器名稱；將用戶名與usbkey容器名稱建立一一對(duì)應(yīng)關(guān)系；將用戶名與密碼建立對(duì)應(yīng)關(guān)系；將usbkey插入上位機(jī)；上位機(jī)獲取用戶名、密碼和usbkey的PIN碼；進(jìn)行初步驗(yàn)證，初步驗(yàn)證成功后判斷插入的usbkey容器名稱a是否與所述用戶名對(duì)應(yīng)的usbkey容器名稱b一致；若容器名稱a和容器名稱b不一致，則身份認(rèn)證失??；反之，將容器名稱b和隨機(jī)數(shù)進(jìn)行雜湊運(yùn)算，得到雜湊結(jié)果；通過(guò)私鑰對(duì)雜湊結(jié)果進(jìn)行簽名得到簽名值；通過(guò)公鑰對(duì)數(shù)字證書(shū)、根證書(shū)、雜湊結(jié)果和簽名值進(jìn)行驗(yàn)簽；如果驗(yàn)簽通過(guò)，則身份認(rèn)證成功；本發(fā)明降低了單一密碼被破解或泄露的風(fēng)險(xiǎn)，提高了工業(yè)控制系統(tǒng)的安全性。

技術(shù)研發(fā)人員：曹乃虹,吳建,孫浩溈,宋美艷,徐文海,李家港,馮震震,賈澤冰,張昇,邱起瑞,楊柳
受保護(hù)的技術(shù)使用者：西安熱工研究院有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/6/26