您的当前位置：首页一种用于工业设备的安全远程控制系统及方法[发明专利]

一种用于工业设备的安全远程控制系统及方法[发明专利]

来源：华拓网

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号 CN 108390851 A(43)申请公布日 2018.08.10

(21)申请号 201810010215.X(22)申请日 2018.01.05

(71)申请人郑州信大捷安信息技术股份有限公

司

地址 450000 河南省郑州市金水区杨金路

139号F4号楼(72)发明人刘熙胖　石淑英　廖正赟　孙晓鹏　

李汶昊　王高峰　(74)专利代理机构郑州德勤知识产权代理有限

公司 41128

代理人黄红梅(51)Int.Cl.

H04L 29/06(2006.01)H04L 9/32(2006.01)H04L 9/08(2006.01)

权利要求书5页说明书10页附图1页

H04L 29/08(2006.01)

CN 108390851 A()发明名称

一种用于工业设备的安全远程控制系统及方法

(57)摘要

本发明提供了一种用于工业设备的安全远程控制系统及方法，该系统包括工业设备、控制终端和云平台；所述工业设备内置安全模块I，所述控制终端插入或内置安全模块II，所述云平台包括安全接入网关、管理系统、CA证书管理系统和转发服务器，所述安全接入网关内置安全模块III。进行远程控制时，所述工业设备与所述安全接入网关进行双向身份认证和密钥协商并建立第一会话密钥；所述控制终端与所述安全接入网关进行双向身份认证和密钥协商并建立第二会话密钥；所述控制终端经所述转发服务器与所述工业设备进行双向身份认证和密钥协商后建立第三会话密钥；所述控制终端使用所述第三会话密钥经所述转发服务器对所述工业设备进行安全远程控制。

CN 108390851 A

权　利　要　求　书

1/5页

1.一种用于工业设备的安全远程控制系统，其特征在于，包括工业设备、控制终端和云平台；

所述工业设备内置安全模块I，所述控制终端插入或内置安全模块II，所述云平台包括安全接入网关、管理系统、CA证书管理系统和转发服务器，所述安全接入网关内置安全模块III；

所述安全接入网关分别与所述管理系统、所述CA证书管理系统相连接；所述管理系统与所述转发服务器相连接；所述安全接入网关分别与所述工业设备、所述控制终端通过网络相连接；

所述工业设备与所述安全接入网关进行双向身份认证和密钥协商并建立第一会话密钥，所述安全接入网关通过所述管理系统使所述转发服务器与所述工业设备建立连接之后，所述转发服务器等待所述控制终端与其建立连接；

所述控制终端与所述安全接入网关进行双向身份认证和密钥协商并建立第二会话密钥，所述安全接入网关使用所述第二会话密钥将从所述管理系统获取的与所述控制终端关联的工业设备的列表信息加密后发送给所述控制终端；所述控制终端使用所述第二会话密钥对所述列表信息解密后获得所述列表信息明文；

所述控制终端根据所述列表信息选择要远程控制的工业设备并与所述转发服务器建立连接；

所述控制终端经所述转发服务器与所述工业设备进行双向身份认证和密钥协商后建立第三会话密钥；所述控制终端使用所述第三会话密钥经所述转发服务器对所述工业设备进行安全远程控制。

2.根据权利要求1所述的一种用于工业设备的安全远程控制系统，其特征在于：所述安全模块I至少包括所述工业设备的数字证书和私钥，所述安全模块II至少包括所述控制终端用户的数字证书和私钥，所述安全模块III至少包括所述安全接入网关的数字证书和私钥；

所述工业设备通过所述转发服务器连接一个或多个关联的控制终端；所述控制终端通过所述转发服务器连接一个或多个关联的工业设备；所述安全接入网关的数量至少为一台。

3.根据权利要求1或2所述的一种用于工业设备的安全远程控制系统，其特征在于：所述控制终端包括智能手机、笔记本电脑、平板电脑、台式电脑或智能可穿戴设备中的一种或多种。

4.根据权利要求1或2所述的一种用于工业设备的安全远程控制系统，其特征在于，所述工业设备为智能电梯。

5.一种用于工业设备的安全远程控制方法，所述方法基于权利要求1或2所述的系统，其特征在于，所述方法包括初始化过程、权限分配和管理过程、远程控制过程；

初始化过程

工业设备初始化过程包括：通过云平台的CA证书管理系统，在工业设备的安全模块I中预置或导入所述工业设备的数字证书和所述CA证书管理系统的根证书，在所述工业设备中写入所述云平台的第一配置信息；所述工业设备根据所述第一配置信息接入到所述云平台，将所述工业设备的数字证书信息写入所述云平台内的管理系统；

CN 108390851 A

权　利　要　求　书

2/5页

控制终端初始化过程包括：通过所述CA证书管理系统，在所述控制终端的安全模块II中预置或导入所述控制终端用户的数字证书和所述CA证书管理系统的根证书，在所述控制终端中写入所述云平台的第二配置信息；所述控制终端根据所述第二配置信息接入到所述云平台，将所述控制终端用户的数字证书信息写入所述云平台内的所述管理系统；

安全接入网关初始化过程包括：通过所述CA证书管理系统在安全接入网关的安全模块III中预置或导入所述安全接入网关的数字证书和所述CA证书管理系统的根证书；

权限分配和管理过程

在所述云平台的管理系统中建立所述控制终端和所述工业设备之间的关联关系，并生成所述控制终端可访问的工业设备的列表信息；

远程控制过程步骤S1，所述工业设备与所述安全接入网关进行双向身份认证和密钥协商并建立第一会话密钥后，所述安全接入网关通过所述管理系统通知所述云平台的转发服务器接受所述工业设备的连接，之后，所述工业设备与所述转发服务器建立连接，然后，所述转发服务器等待所述控制终端与其建立连接；

步骤S2，所述控制终端与所述安全接入网关进行双向身份认证和密钥协商并建立第二会话密钥后，所述安全接入网关使用所述第二会话密钥将从所述管理系统获取的与所述控制终端关联的工业设备的列表信息加密后发送给所述控制终端；所述控制终端使用所述第二会话密钥对所述列表信息解密后获得所述列表信息明文；

步骤S3，所述控制终端根据所述列表信息选择要进行远程控制的工业设备后与所述转发服务器建立连接；

步骤S4，所述控制终端经所述转发服务器与所述工业设备进行双向身份认证和密钥协商并建立第三会话密钥后，所述控制终端通过所述安全模块II使用所述第三会话密钥对远程控制指令进行加密后得到所述远程控制指令的密文；所述控制终端将所述远程控制指令的密文发送至所述转发服务器，所述转发服务器再将所述远程控制指令的密文发送至所述工业设备；

步骤S5，所述工业设备接收到所述远程控制指令的密文后，通过所述安全模块I使用所述第三会话密钥解密获得所述远程控制指令的明文；所述工业设备执行所述远程控制指令。

6.根据权利要求5所述的一种用于工业设备的安全远程控制方法，其特征在于，所述步骤S1中建立第一会话密钥包括：

步骤S1.1，所述工业设备向所述安全接入网关发送包括有随机数a的安全参数信息；所述包括有随机数a的安全参数信息由所述工业设备通过所述安全模块I生成；

步骤S1.2，所述安全接入网关将接收到的所述包括有随机数a的安全参数信息进行处理后，将所述安全接入网关的数字证书和包括有随机数b的安全参数信息发送至所述工业设备，并向所述工业设备发送数字证书请求信息；所述包括有随机数b的安全参数信息由所述安全接入网关通过所述安全模块III生成；

步骤S1.3，所述工业设备接收到所述安全接入网关的数字证书和包括有随机数b的安全参数信息后，通过所述安全模块I验证所述安全接入网关的数字证书，若验证成功，则表示所述安全接入网关的身份合法，执行步骤S1.4；否则，结束当前会话；

CN 108390851 A

权　利　要　求　书

3/5页

步骤S1.4，所述工业设备接收到所述安全接入网关发送的数字证书请求信息后，通过所述安全模块I获取所述工业设备的数字证书；所述工业设备通过所述安全模块I对所述工业设备和所述安全接入网关之间已交互的信息c进行签名；

所述信息c包括：所述工业设备发送的所述包括有随机数a的安全参数信息、所述工业设备的数字证书，所述工业设备接收的所述包括有随机数b的安全参数信息、所述安全接入网关的数字证书、所述数字证书请求信息；

步骤S1.5，所述工业设备通过所述安全模块I生成预主密钥d，并使用所述安全接入网关的公钥对所述预主密钥d进行加密；所述工业设备将所述工业设备的数字证书、签名的所述信息c和所述预主密钥d的密文发送至所述安全接入网关；

步骤S1.6，所述安全接入网关接收到所述工业设备发送的所述工业设备的数字证书、签名的所述信息c和所述预主密钥d的密文后，通过所述安全接入网关的所述安全模块III验证所述工业设备的数字证书和签名的所述信息c，若验证成功，则表示所述工业设备的身份合法，所述安全接入网关通过所述安全模块III使用所述安全接入网关的私钥解密所述预主密钥d的密文，获得所述预主密钥d的明文；否则，结束当前会话；

步骤S1.7，所述工业设备通过所述安全模块I、所述安全接入网关通过所述安全模块III使用相同的算法根据所述随机数a、所述随机数b和所述预主密钥d进行计算后分别生成相同的第一会话密钥；所述第一会话密钥用于所述工业设备与所述安全接入网关之间的通信信息的加解密。

7.根据权利要求5所述的一种用于工业设备的安全远程控制方法，其特征在于，所述步骤S2中建立第二会话密钥包括：

步骤S2.1，所述控制终端向所述安全接入网关发送包括有随机数a'的安全参数信息；所述包括有随机数a'的安全参数信息由所述控制终端通过所述安全模块II生成；

步骤S2.2，所述安全接入网关将接收到所述包括有随机数a'的安全参数信息进行处理后，将所述安全接入网关的数字证书和包括有随机数b'的安全参数信息发送至所述控制终端，并向所述控制终端发送数字证书请求信息；所述包括有随机数b'的安全参数信息由所述安全接入网关通过所述安全模块III生成；

步骤S2.3，所述控制终端接收到所述安全接入网关的数字证书和包括有随机数b'的安全参数信息后，通过所述安全模块II验证所述安全接入网关的数字证书，若验证成功，则表示所述安全接入网关的身份合法，执行步骤S2.4；否则，结束当前会话；

步骤S2.4，所述控制终端接收到所述安全接入网关发送的数字证书请求信息后，通过所述安全模块II获取所述控制终端的数字证书；所述控制终端通过所述安全模块II对所述控制终端和所述安全接入网关之间已交互的信息c'进行签名；

所述信息c'包括：所述控制终端发送的所述包括有随机数a'的安全参数信息、所述控制终端的数字证书，所述控制终端接收的所述包括有随机数b'的安全参数信息、所述安全接入网关的数字证书、所述数字证书请求信息；

步骤S2.5，所述控制终端通过所述安全模块II生成预主密钥d'，并使用所述安全接入网关的公钥对所述预主密钥d'进行加密；所述控制终端将所述控制终端的数字证书、签名的所述信息c'和所述预主密钥d'的密文发送至所述安全接入网关；

步骤S2.6，所述安全接入网关接收所述控制终端发送的所述控制终端的数字证书、签

CN 108390851 A

权　利　要　求　书

4/5页

名的所述信息c'和所述预主密钥d'的密文后，通过所述安全接入网关的所述安全模块III验证所述控制终端的数字证书和签名的所述信息c'，若验证成功，则表示所述控制终端的身份合法，所述安全接入网关通过所述安全模块III使用所述安全接入网关的私钥解密所述预主密钥d'的密文，获得所述预主密钥d'的明文；否则，结束当前会话；

步骤S2.7，所述控制终端通过所述安全模块II、所述安全接入网关通过所述安全模块III使用相同的算法根据所述随机数a'、所述随机数b'和所述预主密钥d'进行计算后分别生成相同的第二会话密钥；所述第二会话密钥用于所述控制终端与所述安全接入网关之间的通信信息的加解密。

8.根据权利要求5所述的一种用于工业设备的安全远程控制方法，其特征在于，所述步骤S4中建立第三会话密钥包括：

步骤S4.1，所述控制终端将包括有随机数a''的安全参数信息发送至所述转发服务器，所述转发服务器再将所述包括有随机数a''的安全参数信息发送至所述工业设备；所述包括有随机数a''的安全参数信息由所述控制终端通过所述安全模块II生成；

步骤S4.2，所述工业设备将接收到的所述包括有随机数a''的安全参数信息进行处理后，再将所述工业设备的数字证书和包括有随机数b''的安全参数信息发送至所述转发服务器，所述转发服务器再将所述工业设备的数字证书和所述包括有随机数b''的安全参数信息发送至所述控制终端；然后将所述工业设备发送的数字证书请求信息发送至所述转发服务器，所述转发服务器再将所述数字证书请求信息发送至所述控制终端；所述包括有随机数b''的安全参数信息由所述工业设备通过所述安全模块I生成；

步骤S4.3，所述控制终端接收到所述工业设备的数字证书和所述包括有随机数b''的安全参数信息后，通过所述安全模块II验证所述工业设备的数字证书的合法性，若验证成功，则表示所述工业设备的身份合法，执行步骤S4.4；否则，结束当前会话；

步骤S4.4，所述控制终端接收到所述工业设备发送的数字证书请求信息后，通过所述安全模块II获取所述控制终端的数字证书；所述控制终端通过所述安全模块II对所述控制终端与所述工业设备之间已交互的信息c''进行签名；

所述信息c''包括：所述控制终端发送的所述包括有随机数a''的安全参数信息、所述控制终端的数字证书，所述控制终端接收的所述包括有随机数b''的安全参数信息、所述工业设备的数字证书、所述数字证书请求信息；

步骤S4.5，所述控制终端通过所述安全模块II生成预主密钥d''，并使用所述工业设备的公钥将所述预主密钥d''进行加密；所述控制终端将所述控制终端的数字证书、签名的所述信息c''和所述预主密钥d''的密文发送至所述转发服务器，所述转发服务器再将所述控制终端的数字证书、签名的所述信息c''和所述预主密钥d''的密文发送至所述工业设备；

步骤S4.6，所述工业设备接收到所述控制终端的数字证书、签名的所述信息c''和所述预主密钥d''的密文后，通过所述安全模块I验证所述控制终端的数字证书和签名的所述信息c''，若验证成功，则表示所述控制终端的身份合法，所述工业设备通过所述安全模块I使用所述工业设备的私钥解密所述预主密钥d''的密文，获得所述预主密钥d''的明文；否则，结束当前会话；

步骤S4.7，所述工业设备通过所述安全模块I、所述控制终端通过所述安全模块II使用相同的算法根据所述随机数a''、所述随机数b''和所述预主密钥d''进行计算后分别生成

CN 108390851 A

权　利　要　求　书

5/5页

相同的第三会话密钥；所述第三会话密钥用于所述控制终端与所述工业设备之间的通信信息的加解密。

9.根据权利要求5所述的一种用于工业设备的安全远程控制方法，其特征在于，所述步骤S5还包括：所述工业设备执行所述远程控制指令后，将所述远程控制指令的执行结果发送至所述转发服务器，所述转发服务器再将所述远程控制指令的执行结果发送至所述控制终端。

10.根据权利要求9所述的一种用于工业设备的安全远程控制方法，其特征在于：所述工业设备执行所述远程控制指令后，通过所述安全模块I使用所述第三会话密钥将所述远程控制指令的执行结果加密后得到所述远程控制指令的执行结果的密文；所述工业设备将所述远程控制指令的执行结果的密文发送至所述转发服务器，所述转发服务器再将所述远程控制指令的执行结果的密文发送至所述控制终端；所述控制终端接收到所述远程控制指令的执行结果的密文后，通过所述安全模块II使用所述第三会话密钥解密获得所述远程控制指令的执行结果的明文。

CN 108390851 A

说　明　书

一种用于工业设备的安全远程控制系统及方法

1/10页

[0001]

技术领域：

本发明涉及远程控制技术领域，具体涉及一种用于工业设备的安全远程控制系统及方

法。

背景技术：

随着移动互联网和工业信息化的快速发展，工业设备从功能型向智能型不断转变，人们对于工业设备实现远程控制的需求逐渐增多。目前，通过手机、电脑等控制终端可以实时对工业设备进行远程控制，不仅能够方便快捷地获取工业设备的当前运行状态和采集的数据等，还能够针对出现的突发状况或者故障信息，采取及时的解决措施，从而避免不必要的安全事故和经济损失。[0003]然而，人们在享受对工业设备进行远程控制所带来的便利的同时，也面临着诸多信息安全问题。比如，恶意控制终端假冒合法身份非法接入工业设备，从而非法控制工业设备；恶意第三方非法截获、重放控制指令等。这些安全问题一旦发生，将可能带来灾难性的后果。

[0004]为了解决上述安全问题，人们一直在寻求一种安全的解决方案。[0005]发明内容：

本发明的目的在于克服现有的工业设备在安全性方面存在的不足而提供一种设计科学、实用性强、安全性高的用于工业设备的安全远程控制系统，并提供了该系统的控制方法，具有设计科学和安全可靠的优点。[0006]为达到上述目的，本发明采用的技术方案如下：

一种用于工业设备的安全远程控制系统，包括工业设备、控制终端和云平台；所述工业设备内置安全模块I，所述控制终端插入或内置安全模块II，所述云平台包括安全接入网关、管理系统、CA证书管理系统和转发服务器，所述安全接入网关内置安全模块III；

所述控制终端根据所述列表信息选择要远程控制的工业设备并与所述转发服务器建立连接；

所述控制终端经所述转发服务器与所述工业设备进行双向身份认证和密钥协商后建

[0002]

CN 108390851 A

说　明　书

2/10页

立第三会话密钥；所述控制终端使用所述第三会话密钥经所述转发服务器对所述工业设备进行安全远程控制。[0007]基于上述，所述安全模块I至少包括所述工业设备的数字证书和私钥，所述安全模块II至少包括所述控制终端用户的数字证书和私钥，所述安全模块III至少包括所述安全接入网关的数字证书和私钥；

[0008]基于上述，所述控制终端包括智能手机、笔记本电脑、平板电脑、台式电脑或智能可穿戴设备中的一种或多种。[0009]基于上述，所述工业设备为智能电梯。

[0010]一种用于工业设备的安全远程控制方法，所述方法基于权利要求1或2所述的系统，其特征在于，所述方法包括初始化过程、权限分配和管理过程、远程控制过程；

初始化过程

权限分配和管理过程

在所述云平台的管理系统中建立所述控制终端和所述工业设备之间的关联关系，并生成所述控制终端可访问的工业设备的列表信息；

步骤S3，所述控制终端根据所述列表信息选择要进行远程控制的工业设备后与所述转发服务器建立连接；

步骤S4，所述控制终端经所述转发服务器与所述工业设备进行双向身份认证和密钥协

CN 108390851 A

说　明　书

3/10页

商并建立第三会话密钥后，所述控制终端通过所述安全模块II使用所述第三会话密钥对远程控制指令进行加密后得到所述远程控制指令的密文；所述控制终端将所述远程控制指令的密文发送至所述转发服务器，所述转发服务器再将所述远程控制指令的密文发送至所述工业设备；

[0011]基于上述，所述步骤S1中建立第一会话密钥包括：

步骤S1.7，所述工业设备通过所述安全模块I、所述安全接入网关通过所述安全模块III使用相同的算法根据所述随机数a、所述随机数b和所述预主密钥d进行计算后分别生成相同的第一会话密钥；所述第一会话密钥用于所述工业设备与所述安全接入网关之间的通信信息的加解密。[0012]基于上述，所述步骤S2中建立第二会话密钥包括：

步骤S2.2，所述安全接入网关将接收到所述包括有随机数a'的安全参数信息进行处理

CN 108390851 A

说　明　书

4/10页

后，将所述安全接入网关的数字证书和包括有随机数b'的安全参数信息发送至所述控制终端，并向所述控制终端发送数字证书请求信息；所述包括有随机数b'的安全参数信息由所述安全接入网关通过所述安全模块III生成；

步骤S2.6，所述安全接入网关接收所述控制终端发送的所述控制终端的数字证书、签名的所述信息c'和所述预主密钥d'的密文后，通过所述安全接入网关的所述安全模块III验证所述控制终端的数字证书和签名的所述信息c'，若验证成功，则表示所述控制终端的身份合法，所述安全接入网关通过所述安全模块III使用所述安全接入网关的私钥解密所述预主密钥d'的密文，获得所述预主密钥d'的明文；否则，结束当前会话；

步骤S2.7，所述控制终端通过所述安全模块II、所述安全接入网关通过所述安全模块III使用相同的算法根据所述随机数a'、所述随机数b'和所述预主密钥d'进行计算后分别生成相同的第二会话密钥；所述第二会话密钥用于所述控制终端与所述安全接入网关之间的通信信息的加解密。[0013]基于上述，所述步骤S4中建立第三会话密钥包括：

步骤S4.4，所述控制终端接收到所述工业设备发送的数字证书请求信息后，通过所述安全模块II获取所述控制终端的数字证书；所述控制终端通过所述安全模块II对所述控制

CN 108390851 A

说　明　书

5/10页

终端与所述工业设备之间已交互的信息c''进行签名；

步骤S4.7，所述工业设备通过所述安全模块I、所述控制终端通过所述安全模块II使用相同的算法根据所述随机数a''、所述随机数b''和所述预主密钥d''进行计算后分别生成相同的第三会话密钥；所述第三会话密钥用于所述控制终端与所述工业设备之间的通信信息的加解密。

[0014]基于上述，所述工业设备执行所述远程控制指令后，将所述远程控制指令的执行结果发送至所述转发服务器，所述转发服务器再将所述远程控制指令的执行结果发送至所述控制终端。

[0015]基于上述，所述工业设备执行所述远程控制指令后，通过所述安全模块I使用所述第三会话密钥将所述远程控制指令的执行结果加密后得到所述远程控制指令的执行结果的密文；所述工业设备将所述远程控制指令的执行结果的密文发送至所述转发服务器，所述转发服务器再将所述远程控制指令的执行结果的密文发送至所述控制终端；所述控制终端接收到所述远程控制指令的执行结果的密文后，通过所述安全模块II使用所述第三会话密钥解密获得所述远程控制指令的执行结果的明文。

[0016]本发明相对现有技术具有突出的实质性特点和显著的进步，具体地说：

（1）本发明通过在工业设备与云平台内的安全接入网关之间、控制终端与云平台内的安全接入网关之间、控制终端经云平台内的转发服务器与工业设备之间分别进行基于数字证书的双向身份认证，可以有效保证系统中工业设备、控制终端和安全接入网关三者的身份合法，防止非法接入；

（2）通过在工业设备与云平台内的安全接入网关之间、控制终端与云平台内的安全接入网关之间、控制终端经云平台内的转发服务器与工业设备之间分别进行密钥协商，建立相应的会话密钥对远程控制过程中的通信信息进行加密保护，使得非法第三方无法获得远程控制信息内容，进一步保障了远程控制的安全性，有效地解决了现有技术安全性不足的问题。

[0017]附图说明：

图1为本发明系统的结构示意图。[0018]具体实施方式：

CN 108390851 A

说　明　书

6/10页

下面通过具体实施方式，对本发明的技术方案做进一步的详细描述。[0019]如图1所示，一种用于工业设备的安全远程控制系统，包括工业设备、控制终端和云平台；所述工业设备内置安全模块I；所述控制终端插入或内置安全模块II；所述云平台包括安全接入网关、管理系统、CA证书管理系统和转发服务器；所述安全接入网关内置安全模块III；所述安全接入网关分别与所述管理系统、所述CA证书管理系统相连接；所述管理系统与所述转发服务器相连接；所述安全接入网关分别与所述工业设备、所述控制终端通过网络相连接；

所述工业设备与所述安全接入网关进行双向身份认证和密钥协商并建立第一会话密钥后，所述安全接入网关通过所述管理系统使所述转发服务器与所述工业设备建立连接之后，所述转发服务器等待所述控制终端与其建立连接；

所述控制终端与所述安全接入网关进行双向身份认证和密钥协商并建立第二会话密钥后，所述安全接入网关使用所述第二会话密钥将从所述管理系统获取的与所述控制终端关联的工业设备的列表信息加密后发送给所述控制终端；所述控制终端使用所述第二会话密钥对所述列表信息解密后获得所述列表信息明文；所述列表信息是所述管理系统生成的用于控制终端用户可访问的工业设备的列表信息；

所述控制终端根据所述列表信息选择要远程控制的工业设备后与所述转发服务器建立连接；之后，所述控制终端经所述转发服务器与所述工业设备进行双向身份认证和密钥协商后建立第三会话密钥；然后，所述控制终端使用所述第三会话密钥经所述转发服务器对所述工业设备进行安全远程控制。[0020]具体地，所述安全模块I至少包括所述工业设备的数字证书和私钥，所述安全模块II至少包括所述控制终端用户的数字证书和私钥，所述安全模块III至少包括所述安全接入网关的数字证书和私钥；所述安全模块I、所述安全模块II和所述安全模块III用于处理身份认证、密钥协商和加解密任务；所述CA证书管理系统进行所述工业设备的数字证书、所述控制终端用户的数字证书和所述安全接入网关的数字证书的签发、撤销和CRL证书撤销列表查询；所述控制终端包括智能手机、笔记本电脑、平板电脑、台式电脑或智能可穿戴设备中的一种或多种；所述工业设备通过所述转发服务器连接一个或多个关联的控制终端；所述控制终端通过所述转发服务器连接一个或多个关联的工业设备；所述安全接入网关的数量至少为一台。[0021]具体地，所述工业设备为智能电梯。

[0022]本发明还提供一种用于所述工业设备的安全远程控制系统的方法，该方法包括初始化过程、权限分配和管理过程、远程控制过程；

初始化过程

工业设备初始化过程包括：通过云平台的CA证书管理系统在工业设备的安全模块I中预置或导入所述工业设备的数字证书和所述CA证书管理系统的根证书、在所述工业设备中写入所述云平台的第一配置信息；所述工业设备根据所述第一配置信息接入到所述云平台，将所述工业设备的数字证书信息写入所述云平台内的管理系统；

控制终端初始化过程包括：通过所述CA证书管理系统在控制终端的安全模块II中预置或导入所述控制终端用户的数字证书和所述CA证书管理系统的根证书、在所述控制终端中写入所述云平台的第二配置信息；所述控制终端根据所述第二配置信息接入到所述云平

CN 108390851 A

说　明　书

7/10页

台，将所述控制终端用户的数字证书信息写入所述云平台内的所述管理系统；

权限分配和管理过程

在所述云平台的所述管理系统中建立控制终端用户和工业设备之间的关联关系，并生成控制终端用户可访问的工业设备的列表信息；

步骤S3，所述控制终端根据所述列表信息选择要进行远程控制的工业设备后与所述转发服务器建立连接；

[0023]具体地，所述步骤S1中所述工业设备与所述安全接入网关进行双向身份认证和密钥协商并建立第一会话密钥的步骤包括：

步骤S1.2，所述安全接入网关将接收到的所述包括有随机数a的安全参数信息进行处理后，将所述安全接入网关的数字证书和包括有随机数b的安全参数信息发送至所述工业设备，并向所述工业设备发送数字证书请求信息，请求所述工业设备将所述工业设备的数字证书发送至所述安全接入网关；所述包括有随机数b的安全参数信息由所述安全接入网关通过所述安全模块III生成；

步骤S1.4，所述工业设备接收到所述安全接入网关发送的数字证书请求信息后，通过所述安全模块I获取所述工业设备的数字证书；所述工业设备通过所述安全模块I对所述工

CN 108390851 A

说　明　书

8/10页

业设备和所述安全接入网关之间已交互的信息c进行签名；所述信息c包括：所述工业设备发送的所述包括有随机数a的安全参数信息、所述工业设备的数字证书和所述工业设备接收的所述包括有随机数b的安全参数信息、所述安全接入网关的数字证书、所述数字证书请求信息；所述工业设备通过所述安全模块I生成预主密钥d，并使用所述安全接入网关的公钥对所述预主密钥d进行加密；所述工业设备将所述工业设备的数字证书、签名的所述信息c和所述预主密钥d的密文发送至所述安全接入网关；

步骤S1.5，所述安全接入网关接收到所述工业设备发送的所述工业设备的数字证书、签名的所述信息c和所述预主密钥d的密文后，通过所述安全接入网关的所述安全模块III验证所述工业设备的数字证书和签名的所述信息c，若验证成功，则表示所述工业设备的身份合法，所述安全接入网关通过所述安全模块III使用所述安全接入网关的私钥解密所述预主密钥d的密文，获得所述预主密钥d的明文；否则，结束当前会话；

步骤S1.6，所述工业设备通过所述安全模块I、所述安全接入网关通过所述安全模块III使用相同的算法根据所述随机数a、所述随机数b和所述预主密钥d进行计算后分别生成相同的第一会话密钥；所述第一会话密钥用于所述工业设备与所述安全接入网关之间的通信信息的加解密。[0024]具体地，所述步骤S2中所述控制终端与所述安全接入网关进行双向身份认证和密钥协商并建立第二会话密钥的步骤包括：

步骤S2.2，所述安全接入网关将接收到所述包括有随机数a'的安全参数信息进行处理后，将所述安全接入网关的数字证书和包括有随机数b'的安全参数信息发送至所述控制终端，并向所述控制终端发送数字证书请求信息，请求所述控制终端将所述控制终端的数字证书发送至所述安全接入网关；所述包括有随机数b'的安全参数信息由所述安全接入网关通过所述安全模块III生成；

步骤S2.4，所述控制终端接收到所述安全接入网关发送的数字证书请求信息后，通过所述安全模块II获取所述控制终端的数字证书；所述控制终端通过所述安全模块II对所述控制终端和所述安全接入网关之间已交互的信息c'进行签名；所述信息c'包括：所述控制终端发送的所述包括有随机数a'的安全参数信息、所述控制终端的数字证书和所述控制终端接收的所述包括有随机数b'的安全参数信息、所述安全接入网关的数字证书、所述数字证书请求信息；所述控制终端通过所述安全模块II生成预主密钥d'，并使用所述安全接入网关的公钥对所述预主密钥d'进行加密；所述控制终端将所述控制终端的数字证书、签名的所述信息c'和所述预主密钥d'的密文发送至所述安全接入网关；

步骤S2.5，所述安全接入网关接收所述控制终端发送的所述控制终端的数字证书、签名的所述信息c'和所述预主密钥d'的密文后，通过所述安全接入网关的所述安全模块III验证所述控制终端的数字证书和签名的所述信息c'，若验证成功，则表示所述控制终端的身份合法，所述安全接入网关通过所述安全模块III使用所述安全接入网关的私钥解密所

CN 108390851 A

说　明　书

9/10页

述预主密钥d'的密文，获得所述预主密钥d'的明文；否则，结束当前会话；

步骤S2.6，所述控制终端通过所述安全模块II、所述安全接入网关通过所述安全模块III使用相同的算法根据所述随机数a'、所述随机数b'和所述预主密钥d'进行计算后分别生成相同的第二会话密钥；所述第二会话密钥用于所述控制终端与所述安全接入网关之间的通信信息的加解密。[0025]具体地，所述步骤S4中所述控制终端经所述转发服务器与所述工业设备进行双向身份认证和密钥协商后建立第三会话密钥的步骤包括：

[0026]具体地，所述步骤S5还包括：所述工业设备执行所述远程控制指令后，通过所述安

CN 108390851 A

说　明　书

10/10页

全模块I使用所述第三会话密钥将所述远程控制指令的执行结果加密后得到所述远程控制指令的执行结果的密文；所述工业设备将所述远程控制指令的执行结果的密文发送至所述转发服务器，所述转发服务器再将所述远程控制指令的执行结果的密文发送至所述控制终端；所述控制终端接收到所述远程控制指令的执行结果的密文后，通过所述安全模块II使用所述第三会话密钥解密获得所述远程控制指令的执行结果的明文。[0027]在具体的实施例中，所述安全模块I、所述安全模块II和所述安全模块III中预置或导入的CA证书管理系统的根证书用于在进行双向身份认证时，验证接收到的相应数字证书真实性。

[0028]在具体的实施例中，所述工业设备与所述安全接入网关进行双向身份认证和密钥协商并建立第一会话密钥后，所述安全接入网关通过所述管理系统通知所述转发服务器接受所述工业设备的连接，所述转发服务器根据所述管理系统内预置或动态生成的规则为所述工业设备分配服务端口号并监听该端口；之后，所述工业设备通过该端口号与所述转发服务器建立连接；然后，在该连接建立完成后，所述转发服务器再根据所述管理系统内预置或动态生成的规则为控制终端分配服务端口号并监听该端口，等待控制终端与其进行连接。

[0029]在具体的实施例中，当所述CA证书管理系统对控制终端用户的数字证书进行撤销后生成CRL证书撤销列表，所述CRL证书撤销列表包括已经撤销的所述控制终端用户的数字证书的序列号、撤销日期和采用的签名算法等；所述安全接入网关使用所述第一会话密钥将所述CA证书管理系统中的所述CRL证书撤销列表进行加密后发送至所述工业设备；所述工业设备使用所述第一会话密钥对所述CRL证书撤销列表的密文解密后获得所述CRL证书撤销列表的明文。

[0030]所述工业设备在与所述控制终端在进行双向身份认证时根据所述CRL证书撤销列表和/或所述CA证书管理系统的根证书来判断所述控制终端证书的有效性。具体地可为：所述工业设备对接收到的所述控制终端的数字证书进行验证时，检查所述控制终端的数字证书是否在所述CRL证书撤销列表中；如果在所述CRL证书撤销列表中，表明该控制终端的数字证书已经被撤销，则结束当前会话；否则，表明该控制终端的数字证书有效，则通过所述安全模块I使用所述CA证书管理服务器的根证书对所述控制终端的数字证书进行后续验证，确认所述控制终端身份的合法性。

[0031]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。

CN 108390851 A

说　明　书　附　图

1/1页

图1

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文