[发明专利]一种安全接入网关及工业设备通信管理方法

权利要求书

1.一种安全接入网关，其特征在于，包括：证书管理模块，用于接收到工业互联网外部设备上传的证书申请请求时，根据预先经过验证的外部设备的真实设备信息及可访问的合法API信息，对所述证书申请请求中携带的设备信息及API信息进行验证，当所述证书申请请求中携带的设备信息及API信息均验证通过时，确定所述外部设备身份验证通过，当所述外部设备身份验证通过时，为所述外部设备申请数字证书，并将获得的数字证书返回给所述外部设备，所述证书申请请求中携带有所述外部设备的设备信息以及待访问的API信息；

身份认证模块，用于接收到外部设备上传的接入请求时，对所述接入请求中携带的数字证书进行验证，当所述接入请求中携带的数字证书验证通过时，将验证通过的消息发送给票据管理模块；

票据管理模块，用于接收到所述身份认证模块发送的验证通过的消息时，为所述外部设备生成访问票据，并将所述访问票据返回给所述外部设备；

访问控制模块，用于接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时，对所述访问请求中携带的访问票据以及API信息进行验证，当所述访问请求中携带的访问票据以及API信息均验证通过时，向访问的工业互联网内部设备发送API执行请求，并将API执行结果返回给所述外部设备。

2.根据权利要求1所述的安全接入网关，其特征在于，所述证书申请请求中携带有外部设备的设备信息以及待访问的API信息；

所述证书管理模块具体用于：接收到工业互联网外部设备上传的证书申请请求时，根据预先经过验证的外部设备的真实设备信息以及可访问的合法API信息，对所述证书申请请求中携带的设备信息以及API信息进行验证，当所述证书申请请求中携带的设备信息以及API信息均验证通过时，确定所述外部设备身份验证通过，否则，确定所述外部设备身份验证不通过。

3.根据权利要求2所述的安全接入网关，其特征在于，所述安全接入网关还包括：

外部设备信息管理模块，用于提供设备信息录入接口和API信息录入接口，并将录入的外部设备的设备信息以及可访问的API信息经过验证后进行存储。

4.根据权利要求1所述的安全接入网关，其特征在于，所述证书管理模块具体用于：当所述外部设备身份验证通过时，向证书颁发机构发送为所述外部设备申请数字证书的请求，使得所述证书颁发机构采用第一预设国家商用密码算法为所述外部设备生成数字证书，并所述证书颁发机构返回的数字证书发送给所述外部设备。

5.根据权利要求4所述的安全接入网关，其特征在于，所述第一预设国家商用密码算法为椭圆曲线公钥密码算法SM2或密码杂凑算法SM3。

6.根据权利要求1所述的安全接入网关，其特征在于，所述票据管理模块还用于：为所述外部设备生成访问票据后，设置所述访问票据的有效期；

所述访问控制模块具体用于：接收到外部设备上传的访问工业互联网内部设备的API的访问请求时，对所述访问请求中携带的访问票据的真实性和有效期分别进行验证。

7.根据权利要求1所述的安全接入网关，其特征在于，所述票据管理模块具体用于：采用第二预设国家商用密码算法为所述外部设备生成访问票据。

8.根据权利要求7所述的安全接入网关，其特征在于，所述第二预设国家商用密码算法为分组密码算法SM4。

9.根据权利要求1所述的安全接入网关，其特征在于，所述安全接入网关还包括API代理模块；

所述访问控制模块具体用于：当所述访问请求中携带的访问票据以及API信息均验证通过时，向所述API代理模块发送API转发请求，使得所述API代理模块向访问的工业互联网内部设备发送API执行请求，并将API执行结果返回给所述外部设备。

10.一种工业设备通信管理方法，其特征在于，包括：

接收到工业互联网外部设备上传的证书申请请求时，根据预先经过验证的外部设备的真实设备信息及可访问的合法API信息，对所述证书申请请求中携带的设备信息及API信息进行验证，当所述证书申请请求中携带的设备信息及API信息均验证通过时，确定所述外部设备身份验证通过，当所述外部设备身份验证通过时，为所述外部设备申请数字证书，并将获得的数字证书返回给所述外部设备，所述证书申请请求中携带有所述外部设备的设备信息以及待访问的API信息；

接收到外部设备上传的接入请求时，对所述接入请求中携带的数字证书进行验证；

当所述接入请求中携带的数字证书验证通过时，为所述外部设备生成访问票据，并将所述访问票据返回给所述外部设备；

接收到外部设备上传的访问工业互联网内部设备的应用程序接口API的访问请求时，对所述访问请求中携带的访问票据以及API信息进行验证；当所述访问请求中携带的访问票据以及API信息均验证通过时，向访问的工业互联网内部设备发送API执行请求，并将API执行结果返回给所述外部设备。