本發明屬于身份認證，具體涉及一種增強工控系統身份認證的方法。

背景技術：

1、隨著全球工業化進程的不斷推進，工業控制系統（ics）在現代制造、能源、電力、交通和水處理等關鍵基礎設施中發揮著至關重要的作用。這些系統通過自動化控制設備和網絡連接，實現對生產過程的監控、控制和優化。然而，隨著信息技術的不斷發展，尤其是互聯網和云計算技術的廣泛應用，工業控制系統面臨著前所未有的安全挑戰。

2、傳統的身份認證方法，如用戶名和密碼，雖然在過去的幾十年中廣泛應用于各類計算機系統，但其固有的安全漏洞和缺陷，在現代工業環境中愈加顯現。密碼系統是工業控制系統中最常見的身份驗證方式之一，但隨著用戶數量的增加和密碼管理的復雜性提高，密碼的安全性大打折扣。許多用戶為了便于記憶，選擇了簡單的密碼，這些密碼往往容易被猜測或破解，成為攻擊者獲取系統權限的薄弱環節。密碼管理的困境，尤其是在密碼定期更新和強度要求上，進一步加劇了這些安全風險。

3、與此同時，社會工程攻擊和暴力破解等攻擊手段不斷進化，使得傳統的用戶名和密碼認證方式不再足以抵御復雜的攻擊威脅。對于工業控制系統而言，這些問題尤為嚴重，因為系統一旦被攻擊者突破，可能會導致生產線停運、設備損壞、生產數據泄露，甚至會影響到公共安全與社會秩序。因此，如何確保用戶身份的安全認證，成為了保障工業控制系統穩定和安全運行的核心問題。

4、目前，許多工業控制系統仍然依賴于單一的身份認證機制，即通過用戶名和密碼的組合進行用戶身份驗證。然而，單一認證機制存在明顯的安全隱患，尤其是當工業控制系統面臨對外聯網、遠程訪問等更復雜的網絡環境時，攻擊者通過網絡漏洞、釣魚攻擊等方式，能夠突破傳統認證機制，獲得非法訪問權限。尤其是在一些工業控制系統未能實施多因素認證（mfa）時，單一認證方式使得系統極易受到未經授權的訪問，甚至可能被惡意攻擊者操控，造成嚴重的安全事故。因此亟需引入更加安全、靈活且易于管理的身份認證方案，確保工業控制系統的穩定運行。

技術實現思路

1、本發明的目的在于提供一種增強工控系統身份認證的方法，以解決現有技術中的技術問題，降低了單一密碼被破解或泄露的風險，提高了工業控制系統的安全性。

2、為達到上述目的，本發明采用以下技術方案予以實現：

3、本發明提供一種增強工控系統身份認證的方法，包括：

4、配置usbkey的pin碼和容器名稱；

5、將用戶名與usbkey容器名稱建立一一對應關系；

6、將用戶名與密碼建立對應關系；

7、將usbkey插入上位機；上位機獲取用戶名、密碼和usbkey的pin碼；

8、進行初步驗證，初步驗證成功后判斷插入的usbkey容器名稱a是否與所述用戶名對應的usbkey容器名稱b一致；若容器名稱a和容器名稱b不一致，則身份認證失敗；反之，將容器名稱b和隨機數進行雜湊運算，得到雜湊結果；通過私鑰對雜湊結果進行簽名得到簽名值；通過公鑰對數字證書、根證書、雜湊結果和簽名值進行驗簽；如果驗簽通過，則身份認證成功，反之身份認證失敗；

9、其中，所述上位機配置有數字證書；所述服務器配置有根證書。

10、優選的，所述初步驗證的方法為：驗證用戶名是否與密碼為對應關系，同時驗證獲取的pin碼是否與配置的pin碼一致，若用戶名與密碼為對應關系且獲取的pin碼與配置的pin碼一致則為驗證成功，反之驗證失敗。

11、優選的，所述usbkey在插入前進行配置應用以激活usbkey。

12、優選的，所述上位機在初步驗證前判斷服務器是否成功初始化，如果初始化失敗則終止流程；初始化成功則進行初步驗證。

13、優選的，所述初始化成功后上位機通過枚舉設備接口判斷是否檢測到usbkey，如果檢測到usbkey則進行初步驗證，如果沒有檢測到usbkey則終止流程。

14、優選的，所述插入的usbkey容器名稱a通過容器接口獲取。

15、優選的，所述隨機數通過隨機數接口生成。

16、優選的，所述雜湊運算采用sha-256算法。

17、優選的，所述上位機ip地址和服務器ip地址連接并配置在同一網段的組網中。

18、優選的，所述上位機中設置有usbkey控件。

19、與現有技術相比，本發明具有以下有益效果：

20、本發明通過結合用戶名、密碼、usbkey及其pin碼，實現多因素認證，從而提高安全性，防止未授權訪問；通過判斷插入的usbkey容器名稱與用戶名對應容器名稱是否一致，確保每個usbkey與特定容器名一致，從而有效阻止設備盜用或身份冒用；通過隨機數和雜湊運算，系統為每個用戶請求生成唯一哈希值，隨后利用數字簽名算法進行簽名，確保只有擁有相同私鑰的用戶才能成功驗簽，從而驗證其身份的合法性，提升整體數據完整性和保密性。

技術特征：

1.一種增強工控系統身份認證的方法，其特征在于，包括：

2.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述初步驗證的方法為：驗證用戶名是否與密碼為對應關系，同時驗證獲取的pin碼是否與配置的pin碼一致，若用戶名與密碼為對應關系且獲取的pin碼與配置的pin碼一致則為驗證成功，反之驗證失敗。

3.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述usbkey在插入前進行配置應用以激活usbkey。

4.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述上位機在初步驗證前判斷服務器是否成功初始化，如果初始化失敗則終止流程；初始化成功則進行初步驗證。

5.根據權利要求4所述的一種增強工控系統身份認證的方法，其特征在于，所述初始化成功后上位機通過枚舉設備接口判斷是否檢測到usbkey，如果檢測到usbkey則進行初步驗證，如果沒有檢測到usbkey則終止流程。

6.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述插入的usbkey容器名稱a通過容器接口獲取。

7.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述隨機數通過隨機數接口生成。

8.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述雜湊運算采用sha-256算法。

9.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述上位機ip地址和服務器ip地址連接并配置在同一網段的組網中。

10.根據權利要求1所述的一種增強工控系統身份認證的方法，其特征在于，所述上位機中設置有usbkey控件。

技術總結
本發明屬于身份認證技術領域，具體涉及一種增強工控系統身份認證的方法，包括：配置usbkey的PIN碼和容器名稱；將用戶名與usbkey容器名稱建立一一對應關系；將用戶名與密碼建立對應關系；將usbkey插入上位機；上位機獲取用戶名、密碼和usbkey的PIN碼；進行初步驗證，初步驗證成功后判斷插入的usbkey容器名稱a是否與所述用戶名對應的usbkey容器名稱b一致；若容器名稱a和容器名稱b不一致，則身份認證失敗；反之，將容器名稱b和隨機數進行雜湊運算，得到雜湊結果；通過私鑰對雜湊結果進行簽名得到簽名值；通過公鑰對數字證書、根證書、雜湊結果和簽名值進行驗簽；如果驗簽通過，則身份認證成功；本發明降低了單一密碼被破解或泄露的風險，提高了工業控制系統的安全性。

技術研發人員：曹乃虹,吳建,孫浩溈,宋美艷,徐文海,李家港,馮震震,賈澤冰,張昇,邱起瑞,楊柳
受保護的技術使用者：西安熱工研究院有限公司
技術研發日：
技術公布日：2025/6/26