本發(fā)明屬于工控系統(tǒng)，特別涉及一種用于可信控制器的安全管控方法及相關(guān)裝置。

背景技術(shù)：

1、分布式控制系統(tǒng)（distributed?control?system，dcs）是利用計算機技術(shù)對工業(yè)生成過程進(jìn)行集中監(jiān)視、操作、管理和分散控制的一種新型控制設(shè)備，其廣泛應(yīng)用于電力等工業(yè)生成領(lǐng)域；可信dcs系統(tǒng)是以傳統(tǒng)dcs系統(tǒng)為原型，通過引入可信計算體系以提高系統(tǒng)的安全性。

2、在可信dcs系統(tǒng)中，可信控制器通過硬件和軟件相互協(xié)作，以確保系統(tǒng)的軟件和數(shù)據(jù)在被使用時是可信的；然而，現(xiàn)有的可信控制器往往采用單一的身份驗證方式，例如密碼驗證，存在易被破解的風(fēng)險；同時，現(xiàn)有的可信控制器缺乏實時監(jiān)控機制，使得系統(tǒng)無法及時發(fā)現(xiàn)和應(yīng)對潛在的安全威脅。

技術(shù)實現(xiàn)思路

1、針對現(xiàn)有技術(shù)中存在的技術(shù)問題，本發(fā)明提供了一種用于可信控制器的安全管控方法及相關(guān)裝置，以解決現(xiàn)有的可信控制器存在易被破解的風(fēng)險、缺乏實時監(jiān)控機制，導(dǎo)致系統(tǒng)無法及時發(fā)現(xiàn)和應(yīng)對潛在的安全威脅的技術(shù)問題。

2、為達(dá)到上述目的，本發(fā)明采用的技術(shù)方案為：

3、本發(fā)明提供了一種用于可信控制器的安全管控方法，包括：

4、利用預(yù)設(shè)的多身份驗證因素依次對可信控制器進(jìn)行身份驗證，得到身份驗證結(jié)果；其中，預(yù)設(shè)的多身份驗證因素包括已知信息因素、物理設(shè)備驗證因素及生物特征驗證因素；

5、根據(jù)身份驗證結(jié)果，對可信控制器的運行狀態(tài)信息進(jìn)行實時監(jiān)控、分析，獲得實時監(jiān)控結(jié)果；

6、根據(jù)身份驗證結(jié)果和實時監(jiān)控結(jié)果，生成控制決策或觸發(fā)預(yù)設(shè)的安全措施機制。

7、進(jìn)一步的，利用預(yù)設(shè)的多身份驗證因素依次對可信控制器進(jìn)行身份驗證，得到身份驗證結(jié)果的過程，具體如下：

8、利用已知信息驗證因素對可信控制器進(jìn)行第一重身份驗證；

9、若第一重身份驗證通過，則利用物理設(shè)備驗證因素對可信控制器進(jìn)行第二重身份驗證；

10、若第二重身份驗證通過，則利用生物特征驗證因素對可信控制器進(jìn)行第三重身份驗證。

11、進(jìn)一步的，所述已知信息驗證因素包括密碼、pin碼或安全問題；所述物理設(shè)備驗證因素采用物理令牌；其中，所述物理令牌包括預(yù)置驗證信息的智能卡或手機；所述生物特征驗證因素包括指紋識別、面部識別或虹膜識別。

12、進(jìn)一步的，可信控制器的運行狀態(tài)信息包括可信控制器的操作狀態(tài)、用戶行為以及系統(tǒng)安全狀態(tài)。

13、進(jìn)一步的，根據(jù)身份驗證結(jié)果，對可信控制器的運行狀態(tài)信息進(jìn)行實時監(jiān)控、分析，獲得實時監(jiān)控結(jié)果的過程，具體如下：

14、若身份驗證結(jié)果為通過，則讀取可信控制器的實時系統(tǒng)日志、用戶行為數(shù)據(jù)及安全事件信息，得到實時監(jiān)控數(shù)據(jù)；

15、利用預(yù)設(shè)的數(shù)據(jù)分析方法，對所述實時監(jiān)控數(shù)據(jù)進(jìn)行分析，得到可信控制器的操作狀態(tài)、用戶行為以及系統(tǒng)安全狀態(tài)，即得到所述實時監(jiān)控結(jié)果。

16、進(jìn)一步的，根據(jù)身份驗證結(jié)果和實時監(jiān)控結(jié)果，生成控制決策或觸發(fā)預(yù)設(shè)的安全措施機制的過程，具體如下：

17、若身份驗證結(jié)果為通過且實時監(jiān)控結(jié)果為正常，則生成操作請求授權(quán)執(zhí)行指令至可信控制器；其中，所述操作請求授權(quán)執(zhí)行指令用于授權(quán)可信控制器執(zhí)行接收到的操作請求；

18、若身份驗證結(jié)果為不通過或?qū)崟r監(jiān)控結(jié)果為異常，則生成操作請求拒絕執(zhí)行指令至可信控制器；其中，所述操作請求拒絕執(zhí)行指令用于觸發(fā)可信控制器拒絕執(zhí)行接收到的操作請求；

19、若身份驗證結(jié)果為通過，但實時監(jiān)控結(jié)果發(fā)現(xiàn)異常且實時監(jiān)控結(jié)果的異常狀態(tài)超過預(yù)設(shè)的安全狀態(tài)閾值，則生成并發(fā)送預(yù)設(shè)的安全措施指令至可信控制器；其中，所述預(yù)設(shè)的安全措施指令用于觸發(fā)可信控制器執(zhí)行預(yù)設(shè)的安全預(yù)警機制，所述預(yù)設(shè)的安全預(yù)警機制包括鎖定賬戶操作、限制操作權(quán)限操作或觸發(fā)預(yù)設(shè)的安全事件響應(yīng)操作。

20、本發(fā)明還提供了一種用于可信控制器的安全管控系統(tǒng)，包括：

21、身份驗證模塊，用于利用預(yù)設(shè)的多身份驗證因素依次對可信控制器進(jìn)行身份驗證，得到身份驗證結(jié)果；其中，預(yù)設(shè)的多身份驗證因素包括已知信息因素、物理設(shè)備驗證因素及生物特征驗證因素；

22、實時監(jiān)控模塊，用于根據(jù)身份驗證結(jié)果，對可信控制器的運行狀態(tài)信息進(jìn)行實時監(jiān)控、分析，獲得實時監(jiān)控結(jié)果；

23、管控模塊，用于根據(jù)身份驗證結(jié)果和實時監(jiān)控結(jié)果，生成控制決策或觸發(fā)預(yù)設(shè)的安全措施機制。

24、本發(fā)明還提供了一種用于可信控制器的安全管控設(shè)備，包括：

25、處理器，適用于執(zhí)行計算機程序；

26、計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)中存儲有計算機程序，所述計算機程序被所述處理器執(zhí)行時，執(zhí)行所述的用于可信控制器的安全管控方法。

27、本發(fā)明還提供了一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)所述的用于可信控制器的安全管控方法。

28、本發(fā)明還提供了一種計算機程序產(chǎn)品，所述計算機程序產(chǎn)品包括計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)所述的用于可信控制器的安全管控方法。

29、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果為：

30、本發(fā)明提供的用于可信控制器的安全管控設(shè)備，通過預(yù)設(shè)的多身份驗證因素對可信控制器進(jìn)行身份驗證，顯著提高了系統(tǒng)的安全性，使得攻擊者必須同時獲取多種驗證因素才能訪問系統(tǒng)，從而大大降低了被非法入侵的風(fēng)險；根據(jù)身份驗證結(jié)果，對可信控制器的運行狀態(tài)信息進(jìn)行實時監(jiān)控和分析，能夠及時發(fā)現(xiàn)并應(yīng)對潛在的安全威脅，以使系統(tǒng)能夠在安全事件發(fā)生時迅速做出響應(yīng)，有效防止事態(tài)的進(jìn)一步惡化；本發(fā)明中，通過結(jié)合多因素身份驗證機制和實時監(jiān)控技術(shù)，實現(xiàn)了對可信控制器操作權(quán)限的嚴(yán)格管理以及對可信控制器安全狀態(tài)的實時監(jiān)測，能夠有效防止非法訪問和安全威脅，進(jìn)而有效提高控制系統(tǒng)的可靠性和穩(wěn)定性，為不同應(yīng)用場景提供安全、可靠的控制解決方案。

31、本發(fā)明提供的用于可信控制器的安全管控系統(tǒng)、用于可信控制器的安全管控設(shè)備、計算機可讀存儲介質(zhì)及計算機程序產(chǎn)品，具備上述用于可信控制器的安全管控方法的全部優(yōu)勢。

技術(shù)特征：

1.一種用于可信控制器的安全管控方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的一種用于可信控制器的安全管控方法，其特征在于，利用預(yù)設(shè)的多身份驗證因素依次對可信控制器進(jìn)行身份驗證，得到身份驗證結(jié)果的過程，具體如下：

3.根據(jù)權(quán)利要求2所述的一種用于可信控制器的安全管控方法，其特征在于，所述已知信息驗證因素包括密碼、pin碼或安全問題；所述物理設(shè)備驗證因素采用物理令牌；其中，所述物理令牌包括預(yù)置驗證信息的智能卡或手機；所述生物特征驗證因素包括指紋識別、面部識別或虹膜識別。

4.根據(jù)權(quán)利要求1所述的一種用于可信控制器的安全管控方法，其特征在于，可信控制器的運行狀態(tài)信息包括可信控制器的操作狀態(tài)、用戶行為以及系統(tǒng)安全狀態(tài)。

5.根據(jù)權(quán)利要求4所述的一種用于可信控制器的安全管控方法，其特征在于，根據(jù)身份驗證結(jié)果，對可信控制器的運行狀態(tài)信息進(jìn)行實時監(jiān)控、分析，獲得實時監(jiān)控結(jié)果的過程，具體如下：

6.根據(jù)權(quán)利要求1所述的一種用于可信控制器的安全管控方法，其特征在于，根據(jù)身份驗證結(jié)果和實時監(jiān)控結(jié)果，生成控制決策或觸發(fā)預(yù)設(shè)的安全措施機制的過程，具體如下：

7.一種用于可信控制器的安全管控系統(tǒng)，其特征在于，包括：

8.一種用于可信控制器的安全管控設(shè)備，其特征在于，包括：

9.一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，其特征在于，所述計算機程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1-6任一項所述的用于可信控制器的安全管控方法。

10.一種計算機程序產(chǎn)品，其特征在于，所述計算機程序產(chǎn)品包括計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1-6任一項所述的用于可信控制器的安全管控方法。

技術(shù)總結(jié)
本發(fā)明屬于工控系統(tǒng)技術(shù)領(lǐng)域，公開了一種用于可信控制器的安全管控方法及相關(guān)裝置，方法包括：利用預(yù)設(shè)的多身份驗證因素依次對可信控制器進(jìn)行身份驗證，得到身份驗證結(jié)果；其中，預(yù)設(shè)的多身份驗證因素包括已知信息因素、物理設(shè)備驗證因素及生物特征驗證因素；根據(jù)身份驗證結(jié)果，對可信控制器的運行狀態(tài)信息進(jìn)行實時監(jiān)控、分析，獲得實時監(jiān)控結(jié)果；根據(jù)身份驗證結(jié)果和實時監(jiān)控結(jié)果，生成控制決策或觸發(fā)預(yù)設(shè)的安全措施機制；本發(fā)明通過結(jié)合多因素身份驗證機制和實時監(jiān)控技術(shù)，實現(xiàn)了對可信控制器操作權(quán)限的嚴(yán)格管理以及對可信控制器安全狀態(tài)的實時監(jiān)測，能夠有效防止非法訪問和安全威脅，進(jìn)而有效提高控制系統(tǒng)的可靠性和穩(wěn)定性。

技術(shù)研發(fā)人員：胡波,焦龍,辛志波,馮震震,李卓,李滕,李亞都,高少華,王珩,李博洋,陳帆
受保護(hù)的技術(shù)使用者：西安熱工研究院有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/8