[发明专利]应用于油料存储系统的设备身份认证系统、方法及装置

说明书

本发明提供一种应用于油料存储系统的设备身份认证系统、方法及装置，该应用于油料存储系统的设备身份认证系统包括：后台管理系统、主设备及从设备；该应用于油料存储系统的设备身份认证系统、方法及装置具有的优点如下：实现了设备的身份认证，确保设备接入安全。设备认证中全部采用国产密码算法实现，从算法层面保证了系统的安全可靠。设备认证中只使用了国密算法SM3。HMAC‑SM3算法也是执行两次SM3杂凑算法而已。这使得密码模块不必集成过多的密码算法，特别是对从设备而言，可以降低从设备密码模块的规模、开销和成本。兼容Modbus协议、安全性高、灵活性高，同时后台管理系统可方便快捷的管理主从设备。

技术领域

本发明具体涉及一种应用于油料存储系统的设备身份认证系统、方法及装置。

背景技术

油料存储系统由调控中心、集注站中控室、分输站等部分组成，这些单元通过工业生产网实现数据监控，集注站配置DCS(分布式控制系统)、SIS(安全控制系统)以及FGS(火气消防控制系统)，辅助配置工业视频监控系统、周边报警系统等。ModBus协议是一个工业系统通信协议，由带智能终端的可编程序控制器和计算机通过公用线路或局部专用线路连接而成。通过此协议，控制器相互之间、控制器经由网络(例如以太网)和其它设备之间可以通信。有了它，不同厂商生产的控制设备可以连成工业网络，进行集中监控。RTU主要用来采集和控制安装在远端现场的传感器和设备，负责对现场信号、工业仪器仪表的检测和控制，在现场维护或远程维护时，远端RTU远程控制终端与DCS之间的通信存在严重的安全问题，其中最核心的原因就是缺乏设备身份认证问题，这导致任意设备都可接入或者设备被篡改为非法设备也不能识别等，从而对整个油料存储系统的安全运行造成危害。

传统的油料存储系统是封闭系统，很多厂商也就默认和接收了这样的风险。其次，油料存储系统中使用的Modbus协议中也不提供设备认证功能。但是现在工业互联网的引入使得油料存储系统成为一个开放的环境，这就使得该问题成为一个迫在眉睫的严重问题。

发明内容

本发明的目的在于针对现有技术的不足，提供一种应用于油料存储系统的设备身份认证系统、方法及装置，该应用于油料存储系统的设备身份认证系统、方法及装置可以很好地解决上述问题。

为达到上述要求，本发明采取的技术方案是：提供一种应用于油料存储系统的设备身份认证系统、方法及装置，该应用于油料存储系统的设备身份认证系统包括：后台管理系统，用于管理主设备和从设备，内含第一密码模块，所述密码模块具有计算SM3、HMAC-SM3的能力，并且具有密钥管理能力；主设备，作为油料存储系统的主设备和通信协议Modbus的发起方，同时内设第二密码模块；从设备，作为油料存储系统的从设备和通信协议Modbus的响应方，同时内设第三密码模块。

该应用于油料存储系统的设备身份认证系统、方法及装置具有的优点如下：

(1)实现了设备的身份认证，确保设备接入安全。

(2)设备认证中全部采用国产密码算法实现，从算法层面保证了系统的安全可靠。

(3)设备认证中只使用了国密算法SM3。HMAC-SM3算法也是执行两次SM3杂凑算法而已。这使得密码模块不必集成过多的密码算法，特别是对从设备而言，可以大大降低从设备密码模块的规模、开销和成本。

(4)兼容Modbus协议：首先，协议格式无改动；其次，采用Modbus允许的自定义功能码方式告知协议指令功能；第三，有良好的健壮性，即使有不识别自定义功能码的从设备存在，也不会对导致设备或系统异常。

(5)安全性高：首先，主设备可以计算出任意从设备的密钥，只要知道从设备的唯一标识DEV-ID，就可以派生出从设备密钥。其次，每一个从设备只知道自己的从设备密钥，无法计算出其它设备的密钥。