[发明专利]一种身份认证方法和装置

说明书

本发明公开了一种身份认证方法和装置，应用于第一设备或中间设备，包括：与中间设备建立通信连接；将第一数据发送至中间设备，并指示中间设备与第二设备建立通信连接，以将第一数据发送至第二设备以获取第二数据；断开与中间设备的通信连接；在中间设备与第二设备断开通信连接之后，与中间设备建立通信连接，并接收中间设备发送的第二数据；根据第二数据与第一设备预存数据，生成第三数据；将第三数据以同种传输方式发送至第二设备，第二设备根据第三数据和第四数据验证第一设备身份。在传输过程中，中间设备只与一个设备进行通信连接，因此不会受到外部干扰指令及恶意攻击命令，使生产业务能够安全稳定运行。

技术领域

本发明涉及信息安全、网络安全领域，尤其涉及一种身份认证方法和装置。

背景技术

工业生产网络环境与自动化办公网络环境存在着明显差异，各自保障的目标也有所不同。工业生产网络环境下更关注的是业务的连续性、数据的合规性和信息的安全性，信息指令传达的即时反馈能力，对延迟、中断也非常敏感，同时由于各种专用设备之间存在着非常强的逻辑互锁及联动关系，外部干扰指令及恶意攻击命令会给生产控制信息系统的稳定运行带来致命打击。因此，在工控安全系统设计和数据应用管理时，保障生产业务安全稳定运行是第一位的。

发明内容

本发明实施例提供了一种身份认证方法和装置，具有不会受到外部干扰指令及恶意攻击命令，使得生产业务能够安全稳定运行的技术效果。

本发明一方面提供一种身份认证方法，应用于第一设备，所述方法包括：在中间设备与第二设备断开通信连接的情况下，与所述中间设备建立通信连接；将第一数据发送至所述中间设备，并指示所述中间设备与所述第二设备建立通信连接，以将所述第一数据发送至所述第二设备以获取第二数据，其中所述第一数据用于向所述第二设备的设备身份认证请求，所述第二数据为针对所述设备身份认证请求的随机数据；

在所述中间设备与所述第二设备建立通信连接之前，断开与所述中间设备的通信连接；在所述中间设备与所述第二设备断开通信连接之后，与所述中间设备建立通信连接，并接收所述中间设备发送的所述第二数据；根据所述第二数据与第一设备预存数据，生成第三数据；将第三数据发送至所述中间设备，并指示所述中间设备与所述第二设备建立通信连接，以将所述第三数据发送至所述第二设备，并指示所述第二设备根据所述第三数据和第四数据验证所述第一设备身份，其中第四数据为根据所述第二数据与第二设备预存数据所生成的数据。

在一可实施方式中，在将第一数据发送至所述中间设备的过程中，所述方法还包括：使用AES算法对所述第一数据进行加密，并相应生成长度为128bit的密钥数据，其中所述密钥数据分别存储于第一设备和第二设备中。

在一可实施方式中，接收所述第二设备所发送的第一数据指令，并根据所述第一数据指令更新所述密钥数据。

在一可实施方式中，所述第一设备与所述中间设备通过第一私有协议进行通信连接，所述中间设备与所述第二设备通过第二私有协议进行通信连接，所述第一数据、第二数据和第三数据均为私有化数据格式。

在一可实施方式中，所述中间设备与所述第二设备建立通信连接，包括：所述中间设备向所述第二设备发送表征数据可读取的第二数据指令；所述第二设备接收所述第二数据指令，并与所述中间设备发送通信连接请求，以建立通信连接。

在一可实施方式中，所述根据所述第二数据与第一设备预存数据，生成第三数据，包括：将所述第二数据和第一设备预存数据进行数据连接，生成数据串形式的第三数据。

在一可实施方式中，所述根据所述第三数据和第四数据验证所述第一设备身份，包括：若判定所述第三数据与第四数据为数据一致，则表示所述第一设备身份认证成功；若判定所述第三数据与第四数据为数据不一致，则表示所述第一设备身份认证失败。