工業(yè)終端設(shè)備的離線初始化方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種工業(yè)終端設(shè)備的離線初始化方法,包括:管理終端獲取輸入的工業(yè)終端設(shè)備的初始化信息;管理終端與所述工業(yè)終端設(shè)備建立連接,并將初始化命令發(fā)送給所述工業(yè)終端設(shè)備;工業(yè)終端設(shè)備響應(yīng)所述初始化命令;管理終端接收所述響應(yīng)命令,獲取服務(wù)器密碼機(jī)生成的數(shù)字證書并簽名;管理終端將所述數(shù)字證書和初始化信息發(fā)送給工業(yè)終端設(shè)備;所述工業(yè)終端設(shè)備接收所述數(shù)字證書和初始化信息進(jìn)行初始化操作,并反饋初始化結(jié)果給所述管理終端。本發(fā)明還提供對(duì)應(yīng)的系統(tǒng),能對(duì)工業(yè)終端設(shè)備進(jìn)行離線初始化,工作效率和安全性能高。
【專利說明】工業(yè)終端設(shè)備的離線初始化方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及工業(yè)終端初始化【技術(shù)領(lǐng)域】,特別是涉及一種工業(yè)終端設(shè)備的離線初始化方法,以及一種工業(yè)終端設(shè)備的離線初始化系統(tǒng)。
【背景技術(shù)】
[0002]工業(yè)終端設(shè)備(如電網(wǎng)的配電終端、負(fù)荷終端、計(jì)量終端等設(shè)備)在應(yīng)用廣泛應(yīng)用。典型的分布式工控系統(tǒng)(或分布式數(shù)據(jù)采集系統(tǒng))由工控主站(或監(jiān)控后臺(tái))和工業(yè)終端設(shè)備組成。
[0003]這些工業(yè)終端與工控主站的之間的通信主要是基于IP網(wǎng)絡(luò)技術(shù),為解決這一類型系統(tǒng)的業(yè)務(wù)數(shù)據(jù)在傳統(tǒng)IP網(wǎng)絡(luò)中的機(jī)密性、完整性和抗抵賴性,需要在工業(yè)終端與工控主站之間部署防護(hù)設(shè)備(或防護(hù)模塊),即主站防護(hù)設(shè)備和終端防護(hù)設(shè)備。設(shè)備之間的通信安全性依賴于密鑰的保密性,其中私鑰由設(shè)備自行保管,公鑰通過證書方式分配給所有通信對(duì)等實(shí)體。在一些安全級(jí)別要求高的應(yīng)用場(chǎng)景(如電網(wǎng)生產(chǎn)系統(tǒng))中為了確保安全性,采用離線方式簽發(fā)證書,每增加一臺(tái)終端防護(hù)設(shè)備手工執(zhí)行如下幾個(gè)方面的工作:
[0004]I)生成公私鑰對(duì)
[0005]2)數(shù)字證書系統(tǒng)簽發(fā)該終端防護(hù)設(shè)備的證書A
[0006]3)將證書A離線頒發(fā)給主站防護(hù)裝置
[0007]4)將主站證書B頒發(fā)給該終端防護(hù)設(shè)備
[0008]5)將數(shù)字證書系統(tǒng)的根證書頒發(fā)給該終端防護(hù)設(shè)備
[0009]6)配置該終端防護(hù)設(shè)備等等一批配置信息。
[0010]這種工控系統(tǒng)離線證書簽發(fā)相比傳統(tǒng)數(shù)字證書系統(tǒng)的證書簽發(fā)具有如下缺陷:[0011 ] I是傳統(tǒng)數(shù)字證書系統(tǒng)簽發(fā)的設(shè)備更多的是計(jì)算機(jī)、服務(wù)器或PC機(jī)等設(shè)備,這些設(shè)備的證書安裝過程中都是人為操作,可進(jìn)行人為的配置操作。而工業(yè)終端防護(hù)設(shè)備是一種工業(yè)控制設(shè)備,不帶鼠標(biāo)、鍵盤、顯示器等通用人機(jī)接口 ;而且設(shè)備安裝過程中通常不具備計(jì)算機(jī)相關(guān)知識(shí)的工程師。
[0012]2是傳統(tǒng)數(shù)字證書給設(shè)備簽發(fā)證書都是采用在線方式,由CA機(jī)構(gòu)(證書授證Certificate Authority中心)進(jìn)行在線證書簽發(fā),這樣可以將很多配置信息通信在線簽發(fā)的協(xié)議進(jìn)行傳輸。而工業(yè)終端防護(hù)設(shè)備的證書簽發(fā)為確保其安全性需要采用離線方式進(jìn)行證書簽發(fā),這樣導(dǎo)致需要將大量的配置信息通過離線方式注入到設(shè)備中。
[0013]3是工控主站防護(hù)裝置數(shù)量通常固定為兩臺(tái)或四臺(tái),但終端防護(hù)設(shè)備一般數(shù)量很多,而且隨著工控系統(tǒng)規(guī)模增大(如智能電網(wǎng)的建設(shè)),這些終端防護(hù)設(shè)備的數(shù)量會(huì)越來越多。而每增加一臺(tái)終端防護(hù)設(shè)備就需要給該終端注入大量的配置信息,同時(shí)給主站防護(hù)裝置增加該終端防護(hù)設(shè)備的信息。以每臺(tái)終端防護(hù)設(shè)備配置需要半小時(shí)計(jì),一萬個(gè)終端防護(hù)設(shè)備的配置需要6.94個(gè)月才能配置完成,對(duì)于工控系統(tǒng)的生產(chǎn)、運(yùn)行和建設(shè)帶來極大的不便,效率非常低。
【發(fā)明內(nèi)容】
[0014]基于此,本發(fā)明提供一種工業(yè)終端設(shè)備的離線初始化方法和系統(tǒng),能對(duì)工業(yè)終端設(shè)備進(jìn)行離線初始化,工作效率和安全性能高。
[0015]一種工業(yè)終端設(shè)備的離線初始化方法,包括如下步驟:
[0016]管理終端獲取輸入的工業(yè)終端設(shè)備的初始化信息;
[0017]管理終端與所述工業(yè)終端設(shè)備建立連接,并將初始化命令發(fā)送給所述工業(yè)終端設(shè)備;
[0018]工業(yè)終端設(shè)備響應(yīng)所述初始化命令;
[0019]管理終端接收所述響應(yīng)命令,獲取服務(wù)器密碼機(jī)生成的數(shù)字證書并簽名;
[0020]管理終端將所述數(shù)字證書和初始化信息發(fā)送給工業(yè)終端設(shè)備;
[0021]所述工業(yè)終端設(shè)備接收所述數(shù)字證書和初始化信息進(jìn)行初始化操作,并反饋初始化結(jié)果給所述管理終端。
[0022]一種工業(yè)終端設(shè)備的數(shù)字證書離線簽發(fā)系統(tǒng),包括管理終端、工業(yè)終端設(shè)備和服務(wù)器密碼機(jī),所述工業(yè)終端設(shè)備和服務(wù)器密碼機(jī)分別和所述管理終端連接,其中,所述管理終端包括獲取模塊、連接模塊、簽名模塊和發(fā)送模塊;所述工業(yè)終端設(shè)備包括響應(yīng)模塊和初始化模塊;
[0023]所述獲取模塊用于獲取輸入的工業(yè)終端設(shè)備的初始化信息;
[0024]所述連接模塊用于與所述工業(yè)終端設(shè)備建立連接,并將初始化命令發(fā)送給所述工業(yè)終端設(shè)備;
[0025]所述響應(yīng)模塊響應(yīng)所述初始化命令;
[0026]所述簽名模塊用于接收所述響應(yīng)命令,獲取服務(wù)器密碼機(jī)生成的數(shù)字證書并簽名;
[0027]所述發(fā)送模塊用于將所述數(shù)字證書和初始化信息發(fā)送給工業(yè)終端設(shè)備;
[0028]所述初始化模塊用于接收所述數(shù)字證書和初始化信息進(jìn)行初始化操作,并反饋初始化結(jié)果給所述管理終端。
[0029]上述工業(yè)終端設(shè)備的離線初始化方法和系統(tǒng),通過管理終端獲取輸入的初始化信息,管理終端與工業(yè)終端設(shè)備建立連接后發(fā)送初始化命令,在得到工業(yè)終端設(shè)備的響應(yīng)后,調(diào)用服務(wù)器密碼機(jī)生成數(shù)字證書;管理終端對(duì)數(shù)字證書進(jìn)行簽名后,將簽名后的數(shù)字證書和初始化信息同時(shí)發(fā)送給工業(yè)終端設(shè)備進(jìn)行初始化工作;本發(fā)明提高了工業(yè)終端設(shè)備部署、安裝和初始化的效率,方便大量工業(yè)終端防護(hù)設(shè)備的管理,所有工業(yè)終端防護(hù)設(shè)備的信息和證書都能進(jìn)行離線管理,工業(yè)終端防護(hù)設(shè)備離線與管理終端直接對(duì)連,自動(dòng)化地進(jìn)行初始化和證書導(dǎo)入,避免了傳統(tǒng)在線證書存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),以及傳統(tǒng)U盤離線拷貝的證書管理安全風(fēng)險(xiǎn)。
【專利附圖】
【附圖說明】
[0030]圖1為本發(fā)明工業(yè)終端設(shè)備的離線初始化方法在一實(shí)施例中的流程示意圖。
[0031]圖2為本發(fā)明工業(yè)終端設(shè)備的離線初始化系統(tǒng)在一實(shí)施例中的結(jié)構(gòu)示意圖。
[0032]圖3為本發(fā)明工業(yè)終端設(shè)備的離線初始化系統(tǒng)在另一實(shí)施例中的結(jié)構(gòu)示意圖。
[0033]圖4為圖3系統(tǒng)的處理流程示意圖。【具體實(shí)施方式】
[0034]下面結(jié)合實(shí)施例及附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明,但本發(fā)明的實(shí)施方式不限于此。
[0035]如圖1所示,是本發(fā)明一種工業(yè)終端設(shè)備的離線初始化方法,包括如下步驟:
[0036]S11、管理終端獲取輸入的工業(yè)終端設(shè)備的初始化信息;
[0037]設(shè)備管理人員將需要初始化的設(shè)備的初始化信息輸入管理終端;管理終端可為計(jì)算機(jī)終端,通過在WEB容器中設(shè)置終端管理插件,專用于獲取工業(yè)終端設(shè)備的初始化信息服務(wù)。
[0038]在一較佳實(shí)施例中,所述初始化信息為所述工業(yè)終端設(shè)備的配置信息,包括所述工業(yè)終端設(shè)備的IP地址、網(wǎng)關(guān)IP地址和/或與所述工業(yè)終端設(shè)備連接的無線終端設(shè)備的IP地址。
[0039]S12、管理終端與所述工業(yè)終端設(shè)備建立連接,并將初始化命令發(fā)送給所述工業(yè)終端設(shè)備;
[0040]管理終端與工業(yè)終端設(shè)備建立連接后,將含主題信息的初始化命令發(fā)送給被初始化的工業(yè)終端設(shè)備;管理終端可能同時(shí)與多臺(tái)工業(yè)終端設(shè)備連接,在發(fā)送初始化命令時(shí)需攜帶被初始化設(shè)備的主題信息。
[0041]在一較佳實(shí)施例中,所述管理終端與所述工業(yè)終端設(shè)備建立連接的步驟包括:所述管理終端選擇通過串口方式或網(wǎng)口方式與所述工業(yè)終端設(shè)備建立連接;
[0042]工業(yè)終端設(shè)備需進(jìn)行初始化時(shí),以串口方式或網(wǎng)口方式與管理終端物理連接;管理終端通過檢測(cè)端口,選擇通過串口方式或網(wǎng)口方式與所述工業(yè)終端設(shè)備建立通訊連接,實(shí)現(xiàn)兩者的離線通訊。
[0043]S13、工業(yè)終端設(shè)備響應(yīng)所述初始化命令;
[0044]工業(yè)終端設(shè)備在接收到所述初始化命令后進(jìn)行響應(yīng),以保證與管理終端的通訊服務(wù)正常,保證后續(xù)的數(shù)字證書簽發(fā)和初始化工作順利進(jìn)行。
[0045]S14、管理終端接收所述響應(yīng)命令,獲取服務(wù)器密碼機(jī)生成的數(shù)字證書并簽名;
[0046]管理終端接收到響應(yīng)命令,表示當(dāng)前與工業(yè)終端設(shè)備通訊正常,可開始執(zhí)行證書簽發(fā)和初始化操作;
[0047]數(shù)字證書的獲取,需調(diào)用與其連接的服務(wù)器密碼機(jī),由服務(wù)器密碼機(jī)生成;服務(wù)器密碼機(jī)設(shè)備用于提供基本的密碼運(yùn)算服務(wù),例如實(shí)現(xiàn)SM1/SM2/SM3等對(duì)稱、非對(duì)稱和散列算法,生成數(shù)字證書;獲取到服務(wù)器密碼機(jī)生成的數(shù)字證書,管理終端對(duì)其簽名,得到簽名后的數(shù)字證書。
[0048]在一較佳實(shí)施例中,所述獲取服務(wù)器密碼機(jī)生成的數(shù)字證書的步驟可包括:
[0049]所述管理終端通過openssl協(xié)議和所述服務(wù)器密碼機(jī)通訊,在進(jìn)行通訊時(shí),將服務(wù)器密碼機(jī)的密碼算法注冊(cè)到openssl協(xié)議中,當(dāng)所述管理終端獲取數(shù)字證書時(shí),生成獲取證書請(qǐng)求,通過openssl協(xié)議將所述獲取證書請(qǐng)求轉(zhuǎn)換為對(duì)所述服務(wù)器密碼機(jī)的證書調(diào)用請(qǐng)求,獲得數(shù)字證書;
[0050]管理終端通過openssl協(xié)議和所述服務(wù)器密碼機(jī)通訊,openssl協(xié)議用于屏蔽服務(wù)器密碼機(jī)底層各種算法的差異,并向上層提供統(tǒng)一的證書處理、簽名/驗(yàn)簽、數(shù)據(jù)加解密等功能,使通訊過程更加安全可靠。
[0051]S15、管理終端將所述數(shù)字證書和初始化信息發(fā)送給工業(yè)終端設(shè)備;
[0052]在本步驟中,將簽名后的數(shù)字證書和輸入的初始化信息一起發(fā)送給工業(yè)終端設(shè)備,提高工業(yè)終端設(shè)備初始化工作的效率。
[0053]S16、所述工業(yè)終端設(shè)備接收所述數(shù)字證書和初始化信息進(jìn)行初始化操作,并反饋初始化結(jié)果給所述管理終端。
[0054]工業(yè)終端設(shè)備接收到數(shù)字證書和初始化信息后可開始進(jìn)行初始化操作,完成后將初始化結(jié)果反饋給所述管理終端。
[0055]如圖2所示,本發(fā)明還提供了一種工業(yè)終端設(shè)備的數(shù)字證書離線簽發(fā)系統(tǒng),包括管理終端21、工業(yè)終端設(shè)備22和服務(wù)器密碼機(jī)23,所述工業(yè)終端設(shè)備22和服務(wù)器密碼機(jī)23分別和所述管理終端21連接,其中所述管理終端21包括獲取模塊211、連接模塊212、簽名模塊213和發(fā)送模塊214 ;所述工業(yè)終端設(shè)備22包括響應(yīng)模塊221和初始化模塊222 ;
[0056]所述獲取模塊211用于獲取輸入的工業(yè)終端設(shè)備的初始化信息;
[0057]設(shè)備管理人員將需要初始化的設(shè)備的初始化信息輸入管理終端21 ;管理終端21可為計(jì)算機(jī)終端,通過在WEB容器中設(shè)置終端管理插件,專用于獲取工業(yè)終端設(shè)備22的初始化信息服務(wù)。
[0058]在一較佳實(shí)施例中,所述初始化信息為所述工業(yè)終端設(shè)備的配置信息,包括所述工業(yè)終端設(shè)備的IP地址、網(wǎng)關(guān)IP地址和/或與所述工業(yè)終端設(shè)備連接的無線終端設(shè)備的IP地址。
[0059]所述連接模塊212用于與所述工業(yè)終端設(shè)備22建立連接,并將初始化命令發(fā)送給所述工業(yè)終端設(shè)備22 ;
[0060]管理終端21與工業(yè)終端設(shè)備22建立連接后,將含主題信息的初始化命令發(fā)送給被初始化的工業(yè)終端設(shè)備22 ;管理終端21可能同時(shí)與多臺(tái)工業(yè)終端設(shè)備22連接,在發(fā)送初始化命令時(shí)需攜帶被初始化設(shè)備的主題信息。
[0061]在一較佳實(shí)施例中,所述連接模塊212還用于選擇通過串口方式或網(wǎng)口方式與所述工業(yè)終端設(shè)備建立連接;
[0062]工業(yè)終端設(shè)備22需進(jìn)行初始化時(shí),以串口方式或網(wǎng)口方式與管理終端21物理連接;管理終端21通過檢測(cè)端口,選擇通過串口方式或網(wǎng)口方式與所述工業(yè)終端設(shè)備22建立通訊連接,實(shí)現(xiàn)兩者的離線通訊。
[0063]所述響應(yīng)模塊221用于響應(yīng)所述初始化命令;
[0064]工業(yè)終端設(shè)備22在接收到所述初始化命令后進(jìn)行響應(yīng),以保證與管理終端21的通訊服務(wù)正常,保證后續(xù)的數(shù)字證書簽發(fā)和初始化工作順利進(jìn)行。
[0065]所述簽名模塊213用于接收所述響應(yīng)命令,獲取服務(wù)器密碼機(jī)生成的數(shù)字證書并簽名;
[0066]管理終端21接收到響應(yīng)命令,表示當(dāng)前與工業(yè)終端設(shè)備22通訊正常,可開始執(zhí)行證書簽發(fā)和初始化操作;
[0067]數(shù)字證書的獲取,需調(diào)用與其連接的服務(wù)器密碼機(jī)23,由服務(wù)器密碼機(jī)23生成;服務(wù)器密碼機(jī)23設(shè)備用于提供基本的密碼運(yùn)算服務(wù),例如實(shí)現(xiàn)SM1/SM2/SM3等對(duì)稱、非對(duì)稱和散列算法,生成數(shù)字證書;獲取到服務(wù)器密碼機(jī)23生成的數(shù)字證書,管理終端21對(duì)其簽名,得到簽名后的數(shù)字證書。
[0068]在一較佳實(shí)施例中,所述簽名模塊213還用于通過openssl協(xié)議和所述服務(wù)器密碼機(jī)23通訊,在進(jìn)行通訊時(shí),將服務(wù)器密碼機(jī)23的密碼算法注冊(cè)到openssl協(xié)議中,當(dāng)所述管理終端21獲取數(shù)字證書時(shí),生成獲取證書請(qǐng)求,通過openssl協(xié)議將所述獲取證書請(qǐng)求轉(zhuǎn)換為對(duì)所述服務(wù)器密碼機(jī)23的證書調(diào)用請(qǐng)求,獲得數(shù)字證書;
[0069]管理終端21通過openssl協(xié)議和所述服務(wù)器密碼機(jī)23通訊,openssl協(xié)議用于屏蔽服務(wù)器密碼機(jī)23底層各種算法的差異,并向上層提供統(tǒng)一的證書處理、簽名/驗(yàn)簽、數(shù)據(jù)加解密等功能,使通訊過程更加安全可靠。
[0070]所述發(fā)送模塊214用于將所述數(shù)字證書和初始化信息發(fā)送給工業(yè)終端設(shè)備22 ;
[0071]在本模塊中,將簽名后的數(shù)字證書和輸入的初始化信息一起發(fā)送給工業(yè)終端設(shè)備22,提高工業(yè)終端設(shè)備22初始化工作的效率。
[0072]所述初始化模塊222用于接收所述數(shù)字證書和初始化信息進(jìn)行初始化操作,并反饋初始化結(jié)果給所述管理終端21。
[0073]工業(yè)終端設(shè)備22接收到數(shù)字證書和初始化信息后可開始進(jìn)行初始化操作,完成后將初始化結(jié)果反饋給所述管理終端21。
[0074]接下來再通過一具體實(shí)施例闡述本發(fā)明方案。
[0075]如圖3所示,是實(shí)現(xiàn)上述工業(yè)終端設(shè)備的數(shù)字證書離線簽發(fā)系統(tǒng)的一個(gè)系統(tǒng)結(jié)構(gòu)圖;
[0076]所述的服務(wù)器密碼機(jī)設(shè)備,用于為系統(tǒng)提供基本的密碼運(yùn)算服務(wù),該服務(wù)器密碼機(jī)主要實(shí)現(xiàn)了 SM1/SM2/SM3等對(duì)稱、非對(duì)稱和散列算法。
[0077]所述的工業(yè)終端設(shè)備,為本實(shí)施例進(jìn)行證書簽發(fā)和初始化的對(duì)象。
[0078]所述的證書封裝模塊,主要完成SM2/SM3算法的證書簽發(fā),pkcslO (以下簡稱P#10)格式的證書請(qǐng)求封裝和解析。其中,證書封裝模塊包括密碼機(jī)引擎、openssl模塊、證書接口封裝庫、JNI庫等部分。
[0079]其中,密碼機(jī)引擎是Openssl和服務(wù)器密碼機(jī)設(shè)備之間的適配器,按照Openssl引擎的標(biāo)準(zhǔn)進(jìn)行實(shí)現(xiàn)。密碼機(jī)引擎將服務(wù)器密碼機(jī)設(shè)備實(shí)現(xiàn)的SM2/SM3算法注冊(cè)到openssl中,當(dāng)openssl需要使用SM2/SM3算法時(shí),密碼機(jī)引擎將調(diào)用請(qǐng)求轉(zhuǎn)化為對(duì)服務(wù)器密碼機(jī)的調(diào)用請(qǐng)求。
[0080]其中,openssl用于屏蔽底層各種算法的差異,并向上層提供統(tǒng)一的證書處理、簽名/驗(yàn)簽、數(shù)據(jù)加解密等功能。當(dāng)使用SM2/SM3等算法時(shí),openssl調(diào)用注冊(cè)該算法的密碼機(jī)引擎完成具體的運(yùn)算。
[0081]其中,證書接口庫是基于openssl提供的基礎(chǔ)功能進(jìn)行封裝,實(shí)現(xiàn)證書的產(chǎn)生、P#10的生成和解析等功能。證書接口庫需要從配置文件中讀取證書模板(包括證書主題項(xiàng)、擴(kuò)展項(xiàng)等信息的配置模板)、密碼機(jī)引擎、私鑰索引等信息。
[0082]其中,JNI庫是實(shí)現(xiàn)java與證書接口庫之間的轉(zhuǎn)接。
[0083]所述的配置文件,用于存放證書模板、密碼機(jī)引擎、私鑰索引等信息,供證書接口庫使用。
[0084]所述的終端防護(hù)設(shè)備通信庫,用于實(shí)現(xiàn)與終端防護(hù)設(shè)備的通信與交互。在與終端防護(hù)設(shè)備通信上,可采用串口或網(wǎng)口兩種方式,終端防護(hù)設(shè)備通信庫對(duì)兩種通信方式進(jìn)行抽象,實(shí)現(xiàn)統(tǒng)一通信接口,然后再統(tǒng)一通信接口的基礎(chǔ)上實(shí)現(xiàn)統(tǒng)一的通信協(xié)議,終端防護(hù)設(shè)備通信庫采用apache mina技術(shù)實(shí)現(xiàn)。
[0085]所述的服務(wù)主程序采用基java的框架和插件機(jī)制實(shí)現(xiàn),框架部分實(shí)現(xiàn)基本的功能,為插件提供基礎(chǔ)的服務(wù)。主程序提供web界面為用戶與系統(tǒng)交互提供接口。
[0086]其中,終端管理插件主要完成工業(yè)終端設(shè)備的CRUD (增刪查改,Create/Read/Update/Delete)操作和工業(yè)終端設(shè)備的初始化操作(包括裝置的預(yù)錄、初始化參數(shù)配置、信息打印、和初始化等功能);
[0087]在初始化終端防護(hù)設(shè)備時(shí),終端管理插件調(diào)用終端防護(hù)設(shè)備通信庫與終端防護(hù)設(shè)備進(jìn)行通信,根據(jù)終端防護(hù)設(shè)備導(dǎo)出的公鑰,結(jié)合預(yù)錄的終端防護(hù)設(shè)備信息,調(diào)用機(jī)構(gòu)管理插件實(shí)現(xiàn)證書簽發(fā)。隨后,終端管理插件將預(yù)錄的初始化參數(shù)和證書一起打包發(fā)送給終端防護(hù)設(shè)備。
[0088]其中,機(jī)構(gòu)管理插件主要提供機(jī)構(gòu)、主站的管理功能,包含導(dǎo)入并解析下級(jí)主站的P#10、根據(jù)P#10產(chǎn)生主站證書、主站信息的CRUD等功能。
[0089]其中,審計(jì)管理插件主要完成用戶基于IE瀏覽器登錄、操作等各種行為的記錄,用于防護(hù)本發(fā)明系統(tǒng)自身的安全。
[0090]其中,系統(tǒng)管理插件主要完成本發(fā)明系統(tǒng)用戶帳號(hào)、密碼、帳號(hào)角色(包括操作員、系統(tǒng)管理員、安全審計(jì)員、安全管理員等角色帳號(hào))的各功能權(quán)限配置。
[0091]如圖4所示,是上述工業(yè)終端設(shè)備的數(shù)字證書離線簽發(fā)系統(tǒng)的一個(gè)處理流程圖;
[0092]步驟1.1:管理員通過IE將需要初始化的終端的信息預(yù)錄入到web。
[0093]步驟1.2:web容器調(diào)用終端管理插件提供的獲取終端詳細(xì)信息服務(wù)。
[0094]步驟2:管理員通過IE選擇被初始化的終端的連接方式(包括串口方式和網(wǎng)口方式)。
[0095]步驟3:管理員通過IE執(zhí)行初始化操作。
[0096]步驟3.1:web容器調(diào)用通信庫與被初始化設(shè)備建立連接,并將含主題信息的初始化命令的發(fā)送給被初始化設(shè)備。
[0097]步驟3.2:被初始化設(shè)備響應(yīng)并發(fā)送證書P#10請(qǐng)求數(shù)據(jù),通信庫將該P(yáng)#10請(qǐng)求發(fā)
送給終端管理插件。
[0098]步驟3.3:終端管理插件向證書封裝模塊發(fā)送證書P#10生成請(qǐng)求,證書封裝模塊調(diào)用服務(wù)器密碼機(jī)設(shè)備的SM2/SM3算法運(yùn)算生成證書,并返回給終端管理插件。
[0099]步驟3.4:終端管理插件向機(jī)構(gòu)管理插件獲取主站證書。
[0100]步驟3.5:終端管理插件將終端的證書、主站證書等初始化數(shù)據(jù)通過通信庫發(fā)送給被初始化設(shè)備,并等待初始化結(jié)果。
[0101]步驟3.6:終端管理插件將初始化相關(guān)信息記錄在簽發(fā)系統(tǒng)中。
[0102]本發(fā)明工業(yè)終端設(shè)備的離線初始化方法和系統(tǒng),通過管理終端獲取輸入的初始化信息,管理終端與工業(yè)終端設(shè)備建立連接后發(fā)送初始化命令,在得到工業(yè)終端設(shè)備的響應(yīng)后,調(diào)用服務(wù)器密碼機(jī)生成數(shù)字證書;管理終端對(duì)數(shù)字證書進(jìn)行簽名后,將簽名后的數(shù)字證書和初始化信息同時(shí)發(fā)送給工業(yè)終端設(shè)備進(jìn)行初始化工作;本發(fā)明提高了工業(yè)終端設(shè)備部署、安裝和初始化的效率,方便大量工業(yè)終端防護(hù)設(shè)備的管理,所有工業(yè)終端防護(hù)設(shè)備的信息和證書都能進(jìn)行離線管理,工業(yè)終端防護(hù)設(shè)備離線與管理終端直接對(duì)連,自動(dòng)化地進(jìn)行初始化和證書導(dǎo)入,避免了傳統(tǒng)在線證書的存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),和傳統(tǒng)U盤離線拷貝的證書管理安全風(fēng)險(xiǎn)。
[0103]以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對(duì)本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
【權(quán)利要求】
1.一種工業(yè)終端設(shè)備的離線初始化方法,其特征在于,包括如下步驟: 管理終端獲取輸入的工業(yè)終端設(shè)備的初始化信息; 管理終端與所述工業(yè)終端設(shè)備建立連接,并將初始化命令發(fā)送給所述工業(yè)終端設(shè)備; 工業(yè)終端設(shè)備響應(yīng)所述初始化命令; 管理終端接收所述響應(yīng)命令,獲取服務(wù)器密碼機(jī)生成的數(shù)字證書并簽名; 管理終端將所述數(shù)字證書和初始化信息發(fā)送給工業(yè)終端設(shè)備; 工業(yè)終端設(shè)備接收所述數(shù)字證書和初始化信息進(jìn)行初始化操作,并反饋初始化結(jié)果給所述管理終端。
2.根據(jù)權(quán)利要求1所述的工業(yè)終端設(shè)備的離線初始化方法,其特征在于,所述獲取服務(wù)器密碼機(jī)生成的數(shù)字證書的步驟包括: 所述管理終端通過openssl協(xié)議和所述服務(wù)器密碼機(jī)通訊,在進(jìn)行通訊時(shí),將服務(wù)器密碼機(jī)的密碼算法注 冊(cè)到openssl協(xié)議中,當(dāng)所述管理終端獲取數(shù)字證書時(shí),生成獲取證書請(qǐng)求,通過openssl協(xié)議 將所述獲取證書請(qǐng)求轉(zhuǎn)換為對(duì)所述服務(wù)器密碼機(jī)的證書調(diào)用請(qǐng)求,獲得數(shù)字證書。
3.根據(jù)權(quán)利要求1所述的工業(yè)終端設(shè)備的離線初始化方法,其特征在于,所述管理終端與所述工業(yè)終端設(shè)備建立連接的步驟包括: 所述管理終端選擇通過串口方式或網(wǎng)口方式與所述工業(yè)終端設(shè)備建立連接。
4.根據(jù)權(quán)利要求1所述的工業(yè)終端設(shè)備的離線初始化方法,其特征在于,所述初始化信息為所述工業(yè)終端設(shè)備的配置信息,包括所述工業(yè)終端設(shè)備的IP地址、網(wǎng)關(guān)IP地址和/或與所述工業(yè)終端設(shè)備連接的無線終端設(shè)備的IP地址。
5.一種工業(yè)終端設(shè)備的數(shù)字證書離線簽發(fā)系統(tǒng),包括管理終端、工業(yè)終端設(shè)備和服務(wù)器密碼機(jī),所述工業(yè)終端設(shè)備和服務(wù)器密碼機(jī)分別和所述管理終端連接,其特征在于,所述管理終端包括獲取模塊、連接模塊、簽名模塊和發(fā)送模塊;所述工業(yè)終端設(shè)備包括響應(yīng)模塊和初始化模塊; 所述獲取模塊用于獲取輸入的工業(yè)終端設(shè)備的初始化信息; 所述連接模塊用于與所述工業(yè)終端設(shè)備建立連接,并將初始化命令發(fā)送給所述工業(yè)終端設(shè)備; 所述響應(yīng)模塊響應(yīng)所述初始化命令; 所述簽名模塊用于接收所述響應(yīng)命令,獲取服務(wù)器密碼機(jī)生成的數(shù)字證書并簽名; 所述發(fā)送模塊用于將所述數(shù)字證書和初始化信息發(fā)送給工業(yè)終端設(shè)備; 所述初始化模塊用于接收所述數(shù)字證書和初始化信息進(jìn)行初始化操作,并反饋初始化結(jié)果給所述管理終端。
6.根據(jù)權(quán)利要求5所述的工業(yè)終端設(shè)備的離線初始化系統(tǒng),其特征在于,所述簽名模塊還用于通過openssl協(xié)議和所述服務(wù)器密碼機(jī)通訊,在進(jìn)行通訊時(shí),將服務(wù)器密碼機(jī)的密碼算法注冊(cè)到openssl協(xié)議中,當(dāng)所述管理終端獲取數(shù)字證書時(shí),生成獲取證書請(qǐng)求,通過openssl協(xié)議將所述獲取證書請(qǐng)求轉(zhuǎn)換為對(duì)所述服務(wù)器密碼機(jī)的證書調(diào)用請(qǐng)求,獲得數(shù)字證書。
7.根據(jù)權(quán)利要求5所述的工業(yè)終端設(shè)備的離線初始化系統(tǒng),其特征在于,所述連接模塊還用于選擇通過串口方式或網(wǎng)口方式與所述工業(yè)終端設(shè)備建立連接。
8.根據(jù)權(quán)利要求5所述的工業(yè)終端設(shè)備的離線初始化系統(tǒng),其特征在于,所述初始化信息為所述工業(yè)終端設(shè)備的配置信息,包括所述工業(yè)終端設(shè)備的IP地址、網(wǎng)關(guān)IP地址和/或與所述 工業(yè)終端設(shè)備連接的無線終端設(shè)備的IP地址。
【文檔編號(hào)】H04L9/32GK103532951SQ201310482962
【公開日】2014年1月22日 申請(qǐng)日期:2013年10月15日 優(yōu)先權(quán)日:2013年10月15日
【發(fā)明者】江澤鑫, 謝善益, 蘇揚(yáng), 曾強(qiáng), 李海濤, 鐘志明, 周安, 梁智強(qiáng), 胡朝輝, 梁志宏, 陳炯聰, 黃曙, 余南華, 林丹生, 李闖, 石煒君, 梁毅成, 黃岳峰 申請(qǐng)人:廣東電網(wǎng)公司電力科學(xué)研究院