[发明专利]一种用于工控系统的认证方法和装置

说明书

本发明公开了一种用于工控系统的认证方法和装置，属于信息安全技术领域。该方法包括：接收终端发送的账号和账号对应的认证动态口令，账号与处于安全管理平台管辖范围的工控设备相对应，工控设备分属于不同的业务层级；获得账号的权限等级，账号的权限等级与工控设备所属业务层级对应；基于账号的权限等级对账号对应的认证动态口令进行认证，获得认证结果。该认证方法适用于工控系统，可以对访问工控系统的用户进行基于多级权限等级的身份认证，从而有效地阻挡非法用户对工控系统的访问，保护工控系统的核心设备。

技术领域

本发明涉及信息安全技术领域，具体涉及一种用于工控系统的认证方法和装置。

背景技术

工业控制系统(简称工控系统)是由各种自动化控制组件以及过程控制组件共同构成的、确保工业基础设施自动化运行的系统。工控系统作为国家工业基础设施的重要组成部分,其安全性已经成为涉及国家安全稳定的重要战略问题。身份认证是降低工控系统安全风险的有效手段之一。目前常用的身份认证方法包括用户名和密码认证、生物特征认证、动态口令认证等。但是这些身份认证方法均是针对IT系统设计的，而由于工控系统的控制对象是处于工控系统中的实体设备，其保护侧重点为实体设备的可用性，与IT系统侧重于保护系统数据不同，因此适用于IT系统的身份认证方法无法直接应用于工控系统。

因此，需要一种适用于工控系统的身份认证方法，可以对访问工控系统的用户进行身份认证，从而有效阻挡非法用户对工控系统的未授权访问，保护工控系统的核心设备。

发明内容

为此，本发明提供一种认证方法和装置，以解决现有技术中由于工控系统与IT系统的保护侧重点不同，而导致IT系统的身份认证方法无法直接应用于工业控制系统的问题。

为了实现上述目的，本发明第一方面提供一种用于工控系统的认证方法，应用于安全管理平台，该方法包括：

接收终端发送的账号和所述账号对应的认证动态口令；其中，所述账号与处于所述安全管理平台管辖范围的工控设备相对应，所述工控设备分属于不同的业务层级；

获得所述账号的权限等级，其中，所述账号的权限等级与所述工控设备所属业务层级对应；

基于所述账号的权限等级对所述账号对应的认证动态口令进行认证，获得认证结果。

进一步地，所述接收终端发送的账号和所述账号对应的认证动态口令之前，还包括：

设置口令更新阈值，初始化口令更新次数，根据所述账号权限等级生成对应的动态口令和认证基准动态值；

将所述账号、口令更新阈值和口令更新次数下发至所述终端，将所述账号与所述账号对应的动态口令下发至用户。

进一步地，所述基于所述账号的权限等级对所述账号对应的认证动态口令进行认证，包括：

所述账号的权限等级包括第一权限等级和第二权限等级；

若所述账号的权限等级为所述第一权限等级，则基于所述认证动态口令计算验证动态值，比较所述验证动态值与所述账号对应的第一认证基准动态值是否一致，若一致则认证通过；

若所述账号的权限等级为所述第二权限等级，则比较所述认证动态口令与所述账号对应的第二认证基准动态值是否一致，若一致则认证通过。

进一步地，当所述账号对应的认证动态口令通过认证之后，还包括：

若所述账号的权限等级为所述第一权限等级，则将所述账号对应的所述第一认证基准动态值更新为所述认证动态口令，并相应更新所述第二权限等级账号对应的所述动态口令和所述第二认证基准动态值；

更新所述口令更新次数；

将所述口令更新次数下发至所述终端，将所述账号和所述账号对应的且更新过的所述动态口令下发至用户。