[发明专利]一种云制造环境下的信息安全管控方法

摘要

本发明以网络安全协议、密码技术和基于公钥基础设施PKI为基础，通过基于多层协议的虚拟专用网VPN、数字信封、密码算法等实现技术与方法，为云内部网络之间，云与云之间、用户与云之间的信息交互提供了全面的安全保障，涵盖了云制造系统的Intranet、Extranet和Internet，综合管控技术信息文件存储、传递到使用的各个环节；利用密钥生成协议随机产生的会话密钥SK对技术信息文件进行对称加密，并通过PKI数字证书获得接收方公钥对会话密钥SK非对称加密形成数字信封，用来保护技术信息文件和会话密钥SK的安全。本发明具有保密性强、效率高、部署灵活等特点，可广泛应用于云制造系统和其他网络化制造系统中。

主权项

一种云制造环境下的信息安全管控方法，该方法的特征在于：云内部网采用基于网络层的安全网际协议（IPSec）进行信息交互，提供通道级的信息安全防护；云与云之间采用基于传输层的安全套接层协议（SSL）和应用层协议进行信息交互，提供页面级和信息级的安全防护；用户与云之间采用基于公钥基础设施（PKI）实现用户认证、签名加密等，其CA信任模型采用混合信任模型；该方法包括以下步骤：步骤1）通过安全路由、完善的防火墙设计、入侵检测系统（Intrusion Detection Systems，IDS）并及时更新系统漏洞，动态确保云制造系统网络服务层的安全；步骤2）建立完善的公钥基础设施（PKI），由证书签发机构CA为用户和网络层协议（IPSec）、传输层协议（SSL）、应用层协议（如S/MIME、PEM、SSH等）服务器颁发证书；建立基于网络层协议（IPSec）、传输层协议（SSL）的虚拟专用网（VPN），实现云内部以及云与云之间的网络安全接入以及技术信息安全传输和共享；步骤3）为步骤2）中的公钥基础设施（PKI）的CA结构采用混合信任模型，根据信任模型的信任链路为用户和服务器颁发证书；根据密钥生成协议随机生成会话密钥SK，对称加密技术信息，并利用X.509证书获得公钥非对称加密会话密钥SK形成数字信封，用来保护技术信息文件和会话密钥SK的安全；通过数字证书和数字信封实现用户认证和签名加密，实现用户与云之间的技术信息安全传输、共享以及使用，并通过日志管理协议审计跟踪技术信息的传输过程；步骤4）用户通过USB‑Key存储密钥和证书，云服务器通过智能芯片存储密钥和证书，通过设立PIN码实现“双因子认证”，即必须同时获得存储介质和PIN码才能获得密钥和数字证书，确保密钥和证书不能被非法者获取。