(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210730676.0 (22)申请日 2022.06.24 (71)申请人 国家石油天然气管网集团有限公司 地址 100013 北京市朝阳区东土城路5号A 座6层08-10室 (72)发明人 祁国成　孙铁良　闫峰　孙艳国　 吕峰　刘芸　姜念琛　毛炳强　 陈泓君　王雪斌　 (74)专利代理 机构 北京至臻永信知识产权代理 有限公司 1 1568 专利代理师 杨海涛 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/54(2022.01) (54)发明名称 工控设备入网认证方法、 装置、 设备和存储 介质 (57)摘要 本发明公开了工控设备入网认证方法、 系 统、 设备和存储介质， 所述方法包括步骤： 对允许 接入网络的各合法工控设备进行认证注册， 包 括： 对各合法工控设备进行认证注册； 将自定义 对象ID‑0x80的值作为用于进行认证注册的身份 密钥凭证； 通过构建各合法工控设备与身份密钥 凭证的对应关系生成注册信息， 并将注册信息存 储至预设存储装置； 对待入网工控设备进行认 证， 包括： 获取待入网工控设备的modbus协议的 响应； 将响应中自定义对象ID ‑0x80的值作为身 份密钥凭证， 根据预设存储装置中的对应关系， 通过预设规则生成待入网工控设备的认证结果。 本发明无需安装认证程序即可实现PLC和RTU等 设备的安全入网认证， 从而提高了哑终端设备接 入SCADA系统时认证的便捷性和安全性。 权利要求书2页 说明书8页 附图2页 CN 115150143 A 2022.10.04 CN 115150143 A 1.一种工控设备入网认证方法， 其特 征在于， 包括 步骤： 对允许接入网络的各合法工控设备进行认证注 册， 包括： 确定所述合法工控设备的至少一种特定设备特征， 并根据 所述特定设备特征的取值生 成与所述合法工控设备对应的设备指纹； 所述特定设备特征 的取值包括设备名称、 设备型 号、 设备编号、 所属厂商、 协 议端口号、 MAC地址、 IP地址和IMEI编号中的一种或多种； 所述合 法工控设备包括可配置modbus协议02B功能码的 哑终端； 基于modbus协议02B功能码， 将自定义对象ID ‑0x80的值作为用于进行认证注册的身份 密钥凭证； 所述身份密钥凭证根据所述 合法工控设备的设备指纹生成； 通过构建各所述合法工控设备与 所述身份密钥凭证的对应关系生成注册信 息， 并将所 述注册信息存 储至预设存 储装置； 对所述待入网工控设备进行认证， 包括： 获取所述待入网工控设备的modbus协议的响应； 将响应中自定义对象ID ‑0x80的值作为身份密钥凭证， 根据所述预设存储装置中的所 述对应关系， 通过 预设规则生成所述待入网工控设备的认证结果。 2.根据权利要求1所述的工控设备入 网认证方法， 其特征在于， 所述对所述待入 网工控 设备进行认证， 还 包括： 接收到所述待入网工控设备的入网请求后， 发送modb us协议读取设备识别码(0x2B)请 求。 3.根据权利要求1或2所述的工控设备入网认证方法， 其特征在于， 所述自定义对象ID ‑ 0x80的值的长度为所述身份密钥凭证的信息 字符长度。 4.根据权利要求1或2所述的工控设备入网认证方法， 其特 征在于， 所述哑终端包括： PLC设备或RT U。 5.根据权利要求1或2所述的工控设备入网认证方法， 其特征在于， 所述根据所述特定 设备特征的取值 生成与所述哑终端对应的设备指纹， 包括： 对多个所述特定设备特征的取值进行预设算法的计算， 将计算结果作为所述设备指 纹。 6.根据权利要求5所述的工控设备入网认证方法， 其特 征在于， 所述预设算法， 包括： 哈希计算。 7.一种工控设备入网认证装置， 其特 征在于， 包括： 注册单元， 包括采集模块、 密钥生成模块和关联模块， 用于对允许接入 网络的各合法工 控设备进行认证注， 其中： 所述采集模块用于确定所述合法工控设备的至少一种特定设备特征， 并根据 所述特定 设备特征的取值生成与所述合法工控设备对应的设备指纹； 所述特定 设备特征的取值包括 设备名称、 设备型号、 设备编号、 所属厂商、 协议端口号、 MAC地址、 IP地址和IMEI编号中的一 种或多种； 所述 合法工控设备包括可配置modbus协议02B功能码的 哑终端； 所述密钥生成模块用于基于modb us协议02B功能码， 将自定义对象ID ‑0x80的值作为用 于进行认证注册的身份密钥凭证； 所述身份密钥凭证根据所述合法工控设备的设备指纹生 成； 所述关联模块用于通过构建各所述合法工控设备与所述身份密钥凭证的对应关系生权　利　要　求　书 1/2 页 2 CN 115150143 A 2成注册信息， 并将所述注 册信息存 储至预设存 储装置； 认证单元， 包括指令模块和匹配模块， 用于对所述待入网工控设备进行认证， 其中： 响应获取模块， 用获取 所述待入网工控设备的modbus协议的响应； 匹配模块， 用于将响应 中自定义对象ID ‑0x80的值作为身份密钥凭证， 根据所述预设存 储装置中的所述对应关系， 通过 预设规则生成所述待入网工控设备的认证结果。 8.根据权利要求7 所述的工控设备入网认证装置， 其特 征在于， 所述认证单 元还包括： 请求反馈模块， 用于接收到所述待入网工控设备的入网请求后， 发送modbus协议读取 设备识别码(0x2B)请求。 9.一种工控设备入网认证设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于调用并执行所述计算机程序， 以实现如权利要求1 ‑6中任一项所述工控设 备入网认证方法的步骤。 10.一种存储介质， 其特征在于， 包括软件程序， 所述软件程序适于由处理器执行如权 利要求1‑6中任一所述工控设备入网认证方法的步骤。权　利　要　求　书 2/2 页 3 CN 115150143 A 3