一种用于工业物联化终端应用许可授权的方法及系统

技术领域

本发明涉及工业物联化终端技术领域，更具体地，涉及一种用于工业物联化终端应用许可授权的方法及系统。

背景技术

随着物联网技术的发展及在工业应用的不断拓展，工业物联化终端(包括台区智能融合终端、智能站所终端、智能馈线终端等配电终端设备，变电站测控保护装置，油田远动终端设备等)已逐步具备硬件平台化、软件容器化和APP化等技术特征，以满足边缘计算、万物互联的应用需求。终端设备的设计采用了“软件定义终端”技术理念，通过标准平台架构实现软硬件解耦，并支持第三方FDV应用软件(即APP)的安装与运行。传统终端设备由于软、硬件架构差异大导致应用程序复制难度较大，而物联网化终端中的APP与操作系统组件、各APP之间采用了标准化数据交互接口，因此终端内部APP存在被非法复制到其他终端上运行的风险。

目前，工业物联化终端中的APP主要采取远程和现场两种安装方式，APP软件包附带APP管理中心的签名信息，用于终端验证APP的合法性。然而，该签名并不具备防止APP被非法复制的功能。现有终端中的APP主要通过绑定终端唯一标识(如设备ID、MAC地址等)实现防止非法复制目的，由于设备ID、MAC地址等信息容易被伪造、篡改，因此需要采用一种新的方式实现APP许可授权管理。

因此，需要一种技术，以实现对工业物联化终端应用许可进行授权。

发明内容

本发明技术方案提供一种用于工业物联化终端应用许可授权的方法及系统，以解决如何对工业物联化终端应用进行许可授权的问题。

为了解决上述问题，本发明提供了一种用于工业物联化终端应用许可授权的方法，所述方法包括：

S11，为待授权的终端配置安全模块，所述安全模块包括与所述终端相关联的惟一的公钥和私钥；

S12，通过应用APP管理机构采集与待授权的所述终端相关联的公钥，并将所述公钥发送至证书数字证书签发机构；

S13，通过所述证书数字证书签发机构基于所述公钥为待授权的所述终端签发公钥数字证书C

S14，基于对称密钥K

优选地，还包括：

S21，启动所述应用APP，查找所述终端的公钥数字证书C

S22，当查找到所述终端的公钥数字证书C

S23，通过所述应用APP解析所述公钥数字证书C

S24，对比步骤S22与S23中获取的应用APP的特征信息，当步骤S22与S23中的应用APP的特征信息对比结果为一致时，判断公钥数字证书C

S25，读取应用APP的程序代码中的加密CA证书C'

S26，基于所述CA证书C

S27，当所述签名验证结果为成功时，通过所述应用APP生成随机数R，将所述随机数R发送至所述安全模块，通过安全模块签名获取签名随机数S

S28，基于所述公钥数字证书C

S29，当所述验证结果为通过时，所述应用APP正常运行。

优选地，所述终端的公钥包括：国密SM2公钥、RSA公钥、ECC公钥。

优选地，所述通过应用APP管理机构采集与待授权的所述终端相关联的公钥，采集方式包括：

从终端证书请求文件中获取；或

从已签发的用于终端与主站身份认证的终端的数字证书中获取。

优选地，所述终端签发公钥数字证书C

优选地，所述应用APP的特征信息，包括：应用APP名称、应用APP厂家、版本号、唯一标识。

优选地，所述公钥数字证书C

基于本发明的另一方面，本发明提供一种用于工业物联化终端应用许可授权的系统，所述系统包括：

初始单元，用于为待授权的终端配置安全模块，所述安全模块包括与所述终端相关联的惟一的公钥和私钥；

采集单元，用于通过应用APP管理机构采集与待授权的所述终端相关联的公钥，并将所述公钥发送至证书数字证书签发机构；

签发单元，用于通过所述证书数字证书签发机构基于所述公钥为待授权的所述终端签发公钥数字证书C

处理单元，用于基于对称密钥K

优选地，还包括：

查找单元，用于启动所述应用APP，查找所述终端的公钥数字证书C

第一获取单元，用于当查找到所述终端的公钥数字证书C

解析单元，用于通过所述应用APP解析所述公钥数字证书C

对比单元，用于对比获取单元与解析单元中获取的应用APP的特征信息，当获取单元与解析单元中获取的应用APP的特征信息对比结果为一致时，判断公钥数字证书C

解密单元，用于读取应用APP的程序代码中的加密CA证书C'

第一验证单元，用于基于所述CA证书C

第二获取单元，用于当所述签名验证结果为成功时，通过所述应用APP生成随机数R，将所述随机数R发送至所述安全模块，通过安全模块签名获取签名随机数S

第二验证单元，用于基于所述公钥数字证书C

结果单元，用于当所述验证结果为通过时，所述应用APP正常运行。

优选地，所述终端的公钥包括：国密SM2公钥、RSA公钥、ECC公钥。

优选地，所述通过应用APP管理机构采集与待授权的所述终端相关联的公钥，采集方式包括：

从终端证书请求文件中获取；或

从已签发的用于终端与主站身份认证的终端的数字证书中获取。

优选地，所述终端签发公钥数字证书C

优选地，所述应用APP的特征信息，包括：应用APP名称、应用APP厂家、版本号、唯一标识。

优选地，所述公钥数字证书C

本发明技术方案提供一种用于工业物联化终端应用许可授权的方法及系统，其中方法包括：S11，为待授权的终端配置安全模块，安全模块包括与终端相关联的惟一的公钥和私钥；S12，通过应用APP管理机构采集与待授权的终端相关联的公钥，并将公钥发送至证书数字证书签发机构；S13，通过证书数字证书签发机构基于公钥为待授权的终端签发公钥数字证书C

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明优选实施方式的一种用于工业物联化终端应用许可授权的方法流程图；以及

图2为根据本发明优选实施方式的一种用于工业物联化终端应用许可授权的系统结构图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明优选实施方式的一种用于工业物联化终端应用许可授权的方法流程图。本发明针对现有工业物联化终端APP无法有效防止被非法复制、应用等问题，本发明基于安全模块，利用密码算法及身份认证技术将APP与终端设备硬件信息进行绑定，APP可对终端进行身份鉴别，可防止终端身份信息被恶意篡改或伪造，有效提升了终端APP许可授权管理水平。本发明提供一种基于安全模块的工业物联化终端应用许可授权方法，包括APP与终端安全模块的绑定方法、APP对终端身份的鉴别方法。

如图1所示，本发明提供一种用于工业物联化终端应用许可授权的方法，方法包括：

S11，为待授权的终端配置安全模块，安全模块包括与终端相关联的惟一的公钥和私钥；优选地，终端的公钥包括：国密SM2公钥、RSA公钥、ECC公钥。

本发明提供APP与终端安全模块的绑定方法，本发明的待授权的终端配置一个安全模块，安全模块具有唯一的公钥和私钥。

S12，通过应用APP管理机构采集与待授权的终端相关联的公钥，并将公钥发送至证书数字证书签发机构；

优选地，通过应用APP管理机构采集与待授权的终端相关联的公钥，采集方式包括：

从终端证书请求文件中获取；或

从已签发的用于终端与主站身份认证的终端的数字证书中获取。

本发明的APP管理机构采集待授权的终端安全模块公钥信息。

S13，通过证书数字证书签发机构基于公钥为待授权的终端签发公钥数字证书C

本发明的证书签发机构(CA系统)为待授权的终端签发公钥数字证书C

S14，基于对称密钥K

本发明在APP开发过程中，使用对称密钥K

本发明将APP与数字证书C

优选地，还包括：

S21，启动应用APP，查找终端的公钥数字证书C

本发明APP启动后，首先查找数字证书C

S22，当查找到终端的公钥数字证书C

本发明的APP从代码中读出K'

S23，通过应用APP解析公钥数字证书C

S24，对比步骤S22与S23中获取的应用APP的特征信息，当步骤S22与S23中的应用APP的特征信息对比结果为一致时，判断公钥数字证书C

本发明的APP解析数字证书C

本发明APP获取系统时间，若当前时间在数字证书C

S25，读取应用APP的程序代码中的加密CA证书C'

S26，基于CA证书C

本发明的APP从代码中读取C'

S27，当签名验证结果为成功时，通过应用APP生成随机数R，将随机数R发送至安全模块，通过安全模块签名获取签名随机数S

本发明的APP生成随机数R，并将其发送给安全模块进行签名得到S

S28，基于公钥数字证书C

S29，当验证结果为通过时，应用APP正常运行。

本发明APP使用数字证书C

本发明通过在工业物联化终端中配置安全模块，结合密码算法增强了APP对终端的身份鉴别能力，可有效防止APP被非法复制应用，保障了APP供应商的合法知识产权。

本发明将APP信息与终端硬件信息进行绑定，可有效控制APP的安装数量，便于APP授权管理。

本发明可有效防止APP、终端信息被篡改，可促进工业物联化终端向智能化、APP化方向发展。

本发明提供一种基于安全模块的工业物联化终端应用许可授权方法，包括APP与终端安全模块的绑定方法、APP对终端身份的鉴别方法。

本发明具体应用的实施例如下：

(1)APP与终端安全模块的绑定方法

1)待授权的终端应配置一个安全模块，安全模块具有唯一的公钥和私钥。

2)APP管理机构采集待授权的终端安全模块公钥信息；安全模块公钥可为国密SM2公钥、RSA公钥、ECC公钥等。采集方式包括但不限于：从终端证书请求文件(P10格式)中获取；或从已签发的用于终端与主站身份认证的终端数字证书中获取。

3)证书签发机构(CA系统)为待授权的终端签发公钥数字证书C

CN＝配电终端

SERIALNUMBER＝0114234801001C09

APPNAME＝IEC104

APPVENDOR＝ABC Co.,Ltd

APPVERSION＝1.23.07.69

APPID＝61309F2359B803721A2C8D042383EAD1

OU＝CEPRI

O＝SGCC

C＝CN

其中，SERIALNUMBER为安全模块序列号；APPNAME为APP名称，APPVENDOR为APP厂家，APPVERSION为APP版本号；APPID为APP唯一标识，且APP名称或APP厂家不同时，唯一标识应不同。

数字证书C

4)APP开发过程中，使用对称密钥K

5)将APP可执行文件、配置文件与数字证书C

(2)APP对终端身份的鉴别方法

1)APP启动后，首先在指定目录(例如/data/app/IEC104/cer)查找数字证书C

2)APP从代码中读出K'

3)APP解析数字证书C

4)APP获取系统时间，若当前时间(例如2021年12月20日15:00:00)在数字证书C

5)APP从代码中读取C'

6)APP生成随机数R，并将其发送给安全模块进行签名得到S

7)APP使用数字证书C

图2为根据本发明优选实施方式的一种用于工业物联化终端应用许可授权的系统结构图。

如图2所示，本发明提供一种用于工业物联化终端应用许可授权的系统，系统包括：

初始单元201，用于为待授权的终端配置安全模块，安全模块包括与终端相关联的惟一的公钥和私钥；优选地，终端的公钥包括：国密SM2公钥、RSA公钥、ECC公钥。

采集单元202，用于通过应用APP管理机构采集与待授权的终端相关联的公钥，并将公钥发送至证书数字证书签发机构；

优选地，通过应用APP管理机构采集与待授权的终端相关联的公钥，采集方式包括：

从终端证书请求文件中获取；或

从已签发的用于终端与主站身份认证的终端的数字证书中获取。

优选地，终端签发公钥数字证书C

签发单元203，用于通过证书数字证书签发机构基于公钥为待授权的终端签发公钥数字证书C

处理单元204，用于基于对称密钥K

优选地，应用APP的特征信息，包括：应用APP名称、应用APP厂家、版本号、唯一标识。

优选地，系统还包括：

查找单元，用于启动应用APP，查找终端的公钥数字证书C

第一获取单元，用于当查找到终端的公钥数字证书C

解析单元，用于通过应用APP解析公钥数字证书C

对比单元，用于对比获取单元与解析单元中获取的应用APP的特征信息，当获取单元与解析单元中获取的应用APP的特征信息对比结果为一致时，判断公钥数字证书C

解密单元，用于读取应用APP的程序代码中的加密CA证书C'

第一验证单元，用于基于CA证书C

第二获取单元，用于当签名验证结果为成功时，通过应用APP生成随机数R，将随机数R发送至安全模块，通过安全模块签名获取签名随机数S

第二验证单元，用于基于公钥数字证书C

结果单元，用于当验证结果为通过时，应用APP正常运行。

优选地，公钥数字证书C

本发明优选实施方式的一种用于工业物联化终端应用许可授权的系统200与本发明优选实施方式的一种用于工业物联化终端应用许可授权的方法100相对应，在此不再进行赘述。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。