[发明专利]一种基于国密算法的数控系统安全防护方法及装置

权利要求书

1.一种基于国密算法的数控系统安全防护方法，其特征在于，所述方法包括：

S1、构造数控设备安全模块，所述数控设备安全模块包括现场控制设备安全单元以及存储媒体安全单元；

S2、构造数控网络边界安全模块，所述数控网络边界安全模块包括网间边界防护单元、远程访问安全单元以及身份认证单元；

S3、构造数控系统软件安全模块，所述数控系统软件安全模块包括安全配置单元、配置变更单元、账户管理单元、控制指令保护单元以及安全审计单元；

S4、构造数控系统数据安全模块，所述数控系统数据安全模块包括数据的分类分级管理单元、差异化防护单元、数据的备份与恢复单元以及测试数据的保护单元；

S5、基于国密算法、所述数控设备安全模块、数控网络边界安全模块、数控系统软件安全模块以及数控系统数据安全模块，对数控系统进行安全防护。

2.根据权利要求1所述的方法，其特征在于，所述S1中的现场控制设备安全单元，用于实现现场控制设备基于国密算法的安全可信；

所述存储媒体安全单元，用于通过基于国密算法的PKI管理系统，完成媒介管理和接入认证。

3.根据权利要求2所述的方法，其特征在于，所述基于国密算法的PKI管理系统，采用基于公钥密码理论PKI的安全架构，并设计了SM2签名函数算法和SM2验签函数算法。

4.根据权利要求3所述的方法，其特征在于，所述SM2签名函数算法包括：

获取接入用户输入的原始明文数据，对所述原始明文数据进行预处理；

对预处理后的原始明文数据进行哈希运算，得到哈希运算结果；其中，所述哈希运算采用SM3算法；

提取私钥，对所述哈希运算结果进行数字签名，得到签名结果文件，将所述签名结果文件输出到磁盘。

5.根据权利要求4所述的方法，其特征在于，所述SM2验签函数算法包括：

基于所述SM2签名函数算法，对所述原始明文数据重新计算数字签名，得到签名结果；

从证书池获取证书并提取公钥，对所述磁盘中的签名结果文件进行解密运算，得到解密结果；

对比所述签名结果和解密结果，若完全一致则验证签名通过，否则验证签名不通过。

6.根据权利要求2所述的方法，其特征在于，所述根据基于国密算法的PKI管理系统，完成接入认证包括：

获取新接入用户的数字证书申请；

通过基于国密算法的PKI管理系统中的证书认证机构CA，对所述数字证书申请进行审核，并为所述新接入用户生成公私钥以及签发证书，将所述公私钥以及签发证书放入USBKEY中交付给所述新接入用户；

通过数控系统的监督层，基于证书验证策略，对所述新接入用户的证书进行验证真伪，验证通过后，将所述新接入用户加入到所述监督层。

7.根据权利要求1所述的方法，其特征在于，所述S2中的网间边界防护单元，用于在生产网与办公网之间接入安全防护设备，并在所述安全防护设备上基于国密算法对接入设备进行可信校验；

远程访问安全单元，用于基于国密算法保护访问会话的机密性、完整性、真实性和不可否认性；

身份认证单元，用于在主机登录、应用服务资源访问以及云平台访问过程中，使用动态口令进行身份认证；其中，所述动态口令基于国密算法的SM4或SM3算法实现。

8.根据权利要求1所述的方法，其特征在于，所述S3中的账户管理单元，用于基于国密算法签名时间戳，实现数控系统管理账户的接入时间审核；

控制指令保护单元，用于基于国密算法进行控制指令的加密存储以及传输；

安全审计单元，用于基于国密算法进行数控系统审计日志的存储和传输。