一种支持国密加密算法的工业边缘操作系统的制作方法

1.本发明属于物联网技术领域，尤其涉及一种支持国密加密算法的工业边缘操作系统。


背景技术：

2.密码技术作为一种基础的安全防护手段，贯穿工业互联网平台边缘接入层、iaas层、paas层和saas层的加密、认证、完整性校验过程，但国产密码在其中的使用还处于起步阶段。


技术实现要素：

3.为了克服现有技术所指出的不足，本发明涉及一种支持国密加密算法的工业边缘操作系统，用于保障工业信息安全，加强工业互联网平台账户管理、身份认证、数据传输与保护，是通过如下方案实现的。
4.一种支持国密加密算法的工业边缘操作系统，是一种基于linux的工业边缘操作系统，其包括安全认证平台系统，所述安全认证平台系统组成包括：安全芯片生产系统、tsm系统、设备id系统、密钥管理系统、安全通信系统、设备身份认证系统、se-sdk、应用sdk、开发者平台，所述se-sdk和应用sdk用于进行设备接入和业务接入，接入的物联网终端设备采用安全芯片唯一序列号作为设备唯一id来标识，所述业务接入基于对称与非对称密码算法对设备进行身份认证、通信数据加密安全保护。
5.进一步的，所述设备身份认证系统通过建立基于国产算法的pki/ca基础设施，为物联网场景下的各个设备以及云端都颁发证书，通过对设备的识别和认证并且与证书进行绑定，对每个设备都能进行备案。
6.进一步的，所述密钥管理系统通过sm2和sm4的组合使用，在未建立ssl安全通道的传输链路中对传输的数据包进行签名和加密，保证了数据的安全可信。
7.进一步的，所述安全通信系统，建立基于国密标准的ssl双向链接通讯，通过双证书体系，签名证书进行签名确认双方身份以及握手，加密证书进行数据安全通讯。
8.本发明的有益效果在于：保障障工业信息安全，加强工业互联网平台账户管理、身份认证、数据传输与保护。采用pki安全认证机制/对称密钥认证机制实现物联网设备的安全认证。使用安全芯片作为可信根，保存密钥和设备证书等敏感数据。安全芯片对敏感数据提供硬件保护，保证数据无法被读出，关键数据加密存储。
附图说明
9.图1是本发明实施例中系统结构框图。
10.图2是本发明实施例的认证密钥流程图。
11.图3是本发明实施例的国产加密算法对账户和用户实施加密存储的流程图。
具体实施方式
12.以下结合实施例对本发明作进一步的阐述，所述的实施例仅为本发明一部分的实施例，这些实施例仅用于解释本发明，对本发明的范围并不构成任何限制。
13.如图1所示，一种支持国密加密算法的工业边缘操作系统，是一种基于linux的工业边缘操作系统，其包括安全认证平台系统，所述安全认证平台系统组成包括：安全芯片生产系统、tsm系统、设备id系统、密钥管理系统、安全通信系统、设备身份认证系统、se-sdk、应用sdk、开发者平台，所述se-sdk和应用sdk用于进行设备接入和业务接入，接入的物联网终端设备采用安全芯片唯一序列号作为设备唯一id来标识，所述业务接入基于对称与非对称密码算法对设备进行身份认证、通信数据加密安全保护。
14.本发明实施例中，内置硬件算法协处理器提供性能优异的des/3des、aes、sha、rsa、ecc以及国家商用密码sm1/sm2/sm3/sm4等安全算法模块，同时集成12位1msps高精度saradc、10bit dac、比较器、rtc实时时钟、高性能pwm、usb2.0(fs)、多路spi、uart、i2c、iso7816多种应用外设接口，可以轻松实现物联网以及移动互联网安全认证解决方案。身份认证指在第一次设备上电初始化的时候需要更新se的认证密钥(即密钥替换)，认证密钥更新只做一次，后续认证都是使用更新后的密钥来进行认证的。
15.如图2所示，本发明实施例中，所述的系统非对称密码算法应用的方法，包括如下步骤：
16.步骤1、业务平台对新入网设备进行初始化；
17.步骤2、网关调用se-sdk进行安全芯片初始化；
18.步骤3、se-sdk获取卡片随机数，应用序列号；
19.步骤4、卡随机数及应用序列号上送业务平台；
20.步骤5、业务平台调用国民安全云sdk初始密钥更新接口；
21.步骤6、国民安全云检查应用序列号是否合法；
22.步骤7、国民安全云生成正式安全认证密钥密文；
23.步骤8、业务平台通过国民安全云sdk获取密钥密文并下发给终端；
24.步骤9、终端调用se-sdk，传递密钥密文；
25.步骤10、se-sdk生成writekey指令，进行认证密钥更新；
26.步骤11、se返回密钥更新结果；
27.步骤12、业务平台调用国民安全云sdk返回密钥写入结果；
28.步骤13、国民安全云将数据转入平台设备表。
29.认证与鉴别贯穿工业互联网平台各个层次。在工业互联网平台边缘接入层，有海量的设备接入平台中，使用黑名单只能抵御已知的有害的设备威胁，不能够抵御未知设备威胁，因此需要采用白名单机制对接入的设备和用户进行身份认证与鉴别，只有通过认证的实体才能允许接入并开始传输数据；在iaas层，需要对服务器用户进行身份鉴别；在paas层及saas层，需要对登录用户进行身份认证和鉴别。我国提出的sm2椭圆曲线公钥密码算法秘钥生成速度快，安全性高，可以比rsa更好地实现身份认证和鉴别功能。在边缘设备身份认证和鉴别中使用sm2算法可本质提高设备接入安全。
30.设备和用户账户管理贯穿工业互联网平台。只要需要进行登录和授权，就必然存在账户管理。账号和口令的安全关系到用户对于平台的信任度，一旦账户信息发生泄漏，对
于平台正常开展扩大业务具有极大的负面影响。因此平台企业应该高度重视账户的加密管理。国密sm1、sm7、祖冲之加密算法即可在此场景进行大力推广，通过安全的国产加密算法对账户和用户实行加密存储，抵抗针对分组密码算法的各种攻击方法，包括穷举搜索攻击、差分攻击、线性攻击等，在实际应用中能够抵抗这些攻击手段。
31.如图3所示，本发明所述的系统可通过安全的国产加密算法对账户和用户实施加密存储，其步骤如下：
32.步骤1、网关通过se-sdk获取设备证书和设备随机数；
33.步骤2、将设备证书和设备随机数发送到海尔平台；
34.步骤3、海尔平台通过平台sdk请求国民安全平台设备证书验证服务；
35.步骤4、国民安全平台返回验证结果。
36.即可为用户账户和口令上锁，在被盗取的情况下也能保证账户信息“看不懂”，为用户账户安全再上一道安全防线。
37.本发明的系统还可以提供通信保护。工业互联网平台应确保通信的保密性、完整性、不可否认和篡改性，比如在paas层进行数据挖掘和分析时，要保证原始数据不被篡改，完整可用，且隐私数据不被泄露，这就需要对通信过程中的数据实施保护。通常的数据保护采用aes、rsa、md5、ecc等国际密码算法。
38.实施例一：
39.本发明实施例在医疗领域的应用。物联网技术给现代医疗带来了巨大的变化。传统的医疗方式是出现症状，医院检测，医生确诊，这种方式的时效性非常不好，很多重大疾病得不到提前预防。佩戴性医疗器械，比如可以通过分析眼泪确定人体健康状态的隐形眼镜类型的采集器，需要将采集的数据发送给医生，进行大数据分析后，评估病人的健康状态。此外，植入性医疗设备的发展，也成为了现代医疗不可或缺的治疗手段，比如新型心脏起搏器或者人造关节，也会采集人体活动数据，通过互联网发送给医生。这些联网的医疗设备，成为了攻击者和黑客新的关注点。
40.医疗设备的数据安全事关人的生命和病人的隐私，属于极其敏感的核心数据。这些数据只能在医疗机构的授权人员和患者之间传递，其他任何非法的泄露都可能会造成巨大的影响。因此医疗领域应当是密码学技术应用的重点。
41.采用国家商用密码标准，可以确保数据在完整性、私密性和可认证性等方面得到保证，基于sm2，sm3，sm4等算法，可以构造出一个完整的医疗数据保护方案，并进一步形成相关的行业法规。物联网医疗设备本身和其他物联网应用存在一些不同之处，首先大部分嵌入式医疗设备本地保存数据的能力有限，这就导致了其对联网传输数据有着极大的依赖。因此物联网医疗设备是安全链路应用的重点，具体来说，在于医疗设备和云端之间的传输，需要采用具有自主知识产权，自主可控的技术手段，例如商用密码相关标准。云端数据的保存，则需要使用高强度的加密算法，确保数据的安全。
42.以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明，任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内，当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例，但凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。