一种基于工业数据的采集接入与访问控制方法及设备与流程

本技术涉及工业互联网安全，尤其涉及一种基于工业数据的采集接入与访问控制方法及设备。

背景技术：

1、随着工业物联网的快速发展，工业设备数量不断增加，设备来源也变得越来越多样化。多源异构工业设备接入认证是为了实现不同厂商、不同类型的工业设备之间的互联互通，使其能够无缝集成到工业互联网系统中，实现数据共享和协同操作。多源异构工业设备接入认证面临的技术壁垒和痛点问题包括：(1)设备间的协议和通信标准不统一；(2)设备接口不兼容；(3)设备认证和身份验证机制缺乏统一标准；(4)工业数据容易泄露。

2、现有技术壁垒导致设备之间无法实现兼容、互联互通，限制了工业设备的灵活性和可扩展性。因此亟需一种基于工业数据采集设备和系统的安全接入及访问控制方法，来解决工业数据多源异构采集设备和系统统一接入及访问认证的安全问题，实现了只有合法和经过授权的设备可以接入工业网络，防止未经授权的设备对系统造成安全威胁。同时对接入的工业设备进行统一维护和管理，保障工业系统和数据的机密性、完整性和可用性。

技术实现思路

1、本技术实施例提供了一种基于工业数据的采集接入与访问控制方法及设备，用于解决如下技术问题：现有的工业设备之间的协议和通信标准不一，容易使未经授权的工业设备泄露工业数据，并且还缺乏设备认证与身份验证机制统一标准。

2、本技术实施例采用下述技术方案：

3、一方面，本技术实施例提供了一种基于工业数据的采集接入与访问控制方法，包括：通过预设的标识可信数据采集设备，对工业数据采集设备进行身份识别，确定出所述工业数据采集设备的身份标识信息；基于所述身份标识信息，并通过预设的身份认证技术，对工业数据采集系统进行有关数据传输的身份认证，得到所述工业数据采集系统的身份认证信息；其中，所述身份认证技术包括：数字信封认证技术、uicc卡认证技术、基于sm2数字签名和hash算法认证技术、基于sm9算法和hash算法认证技术、https协议认证技术以及sm3-hmac消息认证码技术；根据所述身份认证信息，将采集的工业数据进行接入处理，以完成对所述工业数据采集设备的接入控制；通过预设的三因素身份认证技术，将用户与所述工业数据采集设备之间进行登录访问认证，以完成对所述工业数据采集设备的访问控制。

4、本技术实施例通过安全接入认证，可以确保只有经过授权的采集终端/设备才能接入数据采集平台，从而有效防止未经授权的设备对数据进行非法访问或篡改。止传输通过数据泄漏被截获，降低安全风险。对接入设备进行安全认证可以帮助平台筛选恶意软件、病毒等恶意攻击，提高平台整体的网络安全水平，保障工业数据不受到网络攻击的威胁。安全接入认证帮助采集平台实现对接入采集终端/设备的身份识别和权限管理，远程监控该采集终端/设备的存在与连接状态，防止伪造品冒充；确保不同设备在平台上的操作和访问都符合相应的权限规定，降低了内部操作失误和非法操作的风险。通过认证可以确保数据采集设备的合法性和可信度，有助于防止数据在传输或采集过程中遭到篡改，保障数据的完整性。

5、在一种可行的实施方式中，通过预设的标识可信数据采集设备，对工业数据采集设备进行身份识别，确定出所述工业数据采集设备的身份标识信息，具体包括：通过所述标识可信数据采集设备中的安全载体模块，对所述工业数据采集设备进行关联支持，并获取接入后所述工业数据采集设备的设备基本信息；其中，所述设备基本信息至少包括：设备类型信息、设备型号信息、ip地址信息以及设备序列号；所述关联支持包括：在线识别服务、注册服务、接入服务以及认证服务；基于所述设备基本信息，生成所述工业数据采集设备的唯一身份标识码；将所述唯一身份标识码发送至工业数据物联终端中，并确定为所述工业数据采集设备的所述身份标识信息。

6、在一种可行的实施方式中，基于所述身份标识信息，并通过预设的身份认证技术，对工业数据采集系统进行有关数据传输的身份认证，得到所述工业数据采集系统的身份认证信息，包括：获取与所述身份标识信息所对应的工业数据采集设备的公私钥信息；其中，所述公私钥信息包括：公钥信息以及私钥信息；通过所述数字信封认证技术，并根据预设的ip列表，将所述公钥信息发送到工业数据物联终端中；将所述公钥信息中的设备ip信息、设备标识信息以及对称加密密钥进行加密处理，并发送到所述工业数据采集设备中；其中，所述工业数据物联终端以及所述工业数据采集设备均属于所述工业数据采集系统；通过所述工业数据采集设备中的私钥信息，将解密后的设备ip信息以及设备标识信息进行身份认证核对，得到基于所述数字信封认证技术下的身份认证信息；其中，所述身份认证信息包括：身份认证成功信息以及身份认证失败信息。

7、在一种可行的实施方式中，基于所述身份标识信息，并通过预设的身份认证技术，对工业数据采集系统进行有关数据传输的身份认证，得到所述工业数据采集系统的身份认证信息，包括：将基于所述uicc卡认证技术下的uicc卡平台与工业数据物联终端进行关联处理，确定出工业标识uicc卡验证平台；其中，uicc卡负责存储工业标识、证书、密钥以及applet，且具备工业标识写入功能；所述工业标识uicc卡验证平台承载工业互联网标识身份认证卡应用及数据；通过所述工业标识uicc卡验证平台，对所述工业数据物联终端中的uicc卡信息进行验证处理，得到所述uicc卡的终端绑定验证信息；其中，所述uicc卡信息至少包括：工业数据中的工业标识符以及相应证书；若所述终端绑定验证信息为通过信息，则将所述工业数据采集设备中与所述身份标识信息对应的公钥矩阵与所述工业数据物联终端中的标识密钥对进行双向身份认证，并根据双向身份认证后的通信加解密密钥，确定出基于所述uicc卡认证技术下的身份认证信息。

8、在一种可行的实施方式中，基于所述身份标识信息，并通过预设的身份认证技术，对工业数据采集系统进行有关数据传输的身份认证，得到所述工业数据采集系统的身份认证信息，包括：通过预设的hash算法，对所述工业数据采集设备中的身份标识信息进行哈希计算，得到哈希摘要值；根据sm2数字签名算法以及所述工业数据采集设备中的私钥信息，生成有关哈希摘要值的第一数字签名；并根据所述sm2数字签名算法以及所述身份标识信息，生成基于工业数据物联终端的sm2密文信息；通过预设的采集平台以及所述sm2密文信息，将接收到的哈希摘要值以及第一数字签名分别进行密钥解密处理，分别得到sm2哈希摘要值以及sm2身份标识信息；通过所述hash算法，将所述sm2身份标识信息进行哈希计算，得到新sm2哈希摘要值；将所述新sm2哈希摘要值与所述sm2哈希摘要值进行比对处理，得到sm2比对信息；基于所述sm2比对信息，确定出基于所述sm2数字签名和hash算法认证技术下的身份认证信息。

9、在一种可行的实施方式中，基于所述身份标识信息，并通过预设的身份认证技术，对工业数据采集系统进行有关数据传输的身份认证，得到所述工业数据采集系统的身份认证信息，包括：根据所述sm9算法以及所述工业数据采集设备中的私钥信息，生成有关所述哈希摘要值的第二数字签名；并根据所述sm9算法以及所述身份标识信息，生成基于工业数据物联终端的sm9密文信息；通过所述采集平台以及所述sm9密文信息，将接收到的哈希摘要值以及第二数字签名分别进行密钥解密处理，分别得到sm9哈希摘要值以及sm9身份标识信息；通过所述hash算法，将所述sm9身份标识信息进行哈希计算，得到新sm9哈希摘要值；将所述新sm9哈希摘要值与所述sm9哈希摘要值进行比对处理，得到sm9比对信息；基于所述sm9比对信息，确定出基于所述sm9数字签名和hash算法认证技术下的身份认证信息。

10、在一种可行的实施方式中，基于所述身份标识信息，并通过预设的身份认证技术，对工业数据采集系统进行有关数据传输的身份认证，得到所述工业数据采集系统的身份认证信息，包括：通过所述https协议认证技术中的访问模块，获取工业户数据采集系统中客户端的htpps请求；其中，所述访问模块由https服务端以及ca证书构成；基于所述htpps请求，并通过所述https协议认证技术中的认证模块，将所述身份标识信息进行身份识别，得到基于所述https协议认证技术下的身份认证信息。

11、在一种可行的实施方式中，基于所述身份标识信息，并通过预设的身份认证技术，对工业数据采集系统进行有关数据传输的身份认证，得到所述工业数据采集系统的身份认证信息，包括：获取工业数据采集设备的身份标识信息；通过所述sm3-hmac消息认证码技术，将所述身份标识信息以及预设密钥进行加密计算，得到sm3-hmac摘要值；并将所述摘要值上传到采集平台；将所述采集平台中的预存摘要值与所述sm3-hmac摘要值进行比对处理，得到基于sm3-hmac消息认证码技术下的身份认证信息。

12、在一种可行的实施方式中，通过预设的三因素身份认证技术，将用户与所述工业数据采集设备之间进行登录访问认证，具体包括：根据预设的口令密码，将所述工业数据采集设备与所述用户之间进行访问认证，得到口令访问认证信息；通过预设的数字证书，将所述工业数据采集设备与所述用户之间进行远程身份鉴别处理，得到证书访问认证信息；其中，所述数字证书至少包括：usbkey以及文件证书；通过预设的生物特征，将所述工业数据采集设备与所述用户之间进行生物特征识别，确定出生物特征访问认证信息；其中，所述生物特征至少包括：指纹、语音、瞳孔以及人脸；其中，所述三因素身份认证技术包括：所述口令密码、所述数字证书以及所述生物特征。

13、另一方面，本技术实施例还提供了一种基于工业数据的采集接入与访问控制设备，所述设备包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有能够被所述至少一个处理器执行的指令，以使所述至少一个处理器能够执行上述任一实施例所述的一种基于工业数据的采集接入与访问控制方法

14、本技术提供了一种基于工业数据的采集接入与访问控制方法及设备，与现有技术相比，本技术实施例具有以下有益的技术效果：

15、本技术实施例通过安全接入认证，可以确保只有经过授权的采集终端/设备才能接入数据采集平台，从而有效防止未经授权的设备对数据进行非法访问或篡改。止传输通过数据泄漏被截获，降低安全风险。对接入设备进行安全认证可以帮助平台筛选恶意软件、病毒等恶意攻击，提高平台整体的网络安全水平，保障工业数据不受到网络攻击的威胁。安全接入认证帮助采集平台实现对接入采集终端/设备的身份识别和权限管理，远程监控该采集终端/设备的存在与连接状态，防止伪造品冒充；确保不同设备在平台上的操作和访问都符合相应的权限规定，降低了内部操作失误和非法操作的风险。通过认证可以确保数据采集设备的合法性和可信度，有助于防止数据在传输或采集过程中遭到篡改，保障数据的完整性。