工业自动化生产业务数据传输加解密方法及系统技术方案

本发明专利技术公开了一种利用国密算法的工业自动化生产业务数据传输加解密方法及系统，其中工业自动化生产业务数据传输加解密方法，包括以下步骤：1)步骤1：第一加解密装置配对第二加解密装置；2)步骤2：第一业务终端输出业务数据明文至第一加解密装置进行加密；3)步骤3：第一加解密装置加密后的业务数据在第二加解密装置之间传输；4)步骤4：第二加解密装置接收到第一加解密装置发送的密文后进行解密；5)步骤5：第二加解密装置解密得到的业务数据明文传输给第二业务终端。本发明专利技术工业自动化生产业务数据传输加解密方法及系统可以对工业自动化生产业务数据进行数据加密保护，可以有效保证每一台接入终端的安全操作控制。

Method and system for data transmission and encryption and decryption of industrial automation production

The present invention discloses the production of industrial automation business data encryption method and system using a state secret algorithm, in which the production of industrial automation business data transmission encryption method, which comprises the following steps: 1) step 1: first encryption device pairing second encryption device; 2) step 2: first service terminal business data encryption and decryption device to the first plaintext encrypted; 3) step 3: first business data decryption device encrypted transmission between second encryption devices; 4) step 4: second encryption device receives the first encryption device sends the ciphertext to decrypt; 5) step 5: second encryption device decrypts the business data to the second plaintext transmission service terminal. The invention of industrial automation production business data encryption method and system for the production of industrial automation business data encryption protection, can effectively guarantee the safety of operation and control of each access terminal.

【技术实现步骤摘要】

本专利技术涉及一种利用国密算法的工业自动化生产业务数据传输加解密方法及系统。
技术介绍
随着我国两化深度融合和物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马、工业间谍等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。目前，作为工业自动化生产系统基本单元和核心的传统RTU产品，负责生产现场的常规信息收集和直接传输，并不具备与信息安全相关的设计和防护措施，面临着严重的“互联互通”带来的通信安全问题，包括无法有效保证每一台接入终端的安全操作控制，在终端设备不知情的情况下，信息不被读取；缺乏互联互通过程中的数据加密机制，无法预防信息在通讯传输中途被截取而泄密；缺乏互联互通过程中的传输隔离机制，无法防御协议层的双向非法入侵和攻击。
技术实现思路
本专利技术的目的在于克服现有技术中存在的上述不足，而提供一种设计合理的工业自动化生产业务数据传输加解密方法及系统。本专利技术解决上述问题所采用的技术方案是：一种工业自动化生产业务数据传输加解密方法，其特征在于：包括以下步骤：步骤1：第一加解密装置与第二加解密装置通电后，第一加解密装置自动配对第二加解密装置；步骤2：第一业务终端输出业务数据明文至第一加解密装置进行加密；步骤3：第一加解密装置加密后的业务数据在与第一加解密装置相配对的第二加解密装置之间传输；步骤4：第二加解密装置接收到第一加解密装置发送的密文后进行解密，得到业务数据明文；步骤5：第二加解密装置解密得到的业务数据明文传输给第二业务终端，由第二业务终端来执行相应数据处理和业务操作,所述步骤1中的第一加解密装置和第二加解密装置将各自创建SM2非对称算法公私钥对，私钥对应存储在第一加解密装置的内部寄存器中和第二加解密装置的内部寄存器中，用于第一加解密装置和第二加解密装置的签名和业务数据解密；公钥发布给配对的第二加解密装置和第一加解密装置，用于配对的第二加解密装置和第一加解密装置进行签名验证和业务数据加密。进一步作为优选，所述步骤1中的配对的第一加解密装置和第二加解密装置之间将利用双方的公钥参数进行密钥协商生成会话密钥，用于SM1对称分组加解密。进一步作为优选，所述步骤2中第一加解密装置采用SM2非对称分组算法对业务数据明文进行加密得到业务数据密文，所述步骤4中第二加解密装置采用SM2非对称分组算法对业务数据密文进行解密得到业务数据明文。进一步作为优选，所述步骤2中第一加解密装置采用SM1对称分组算法对业务数据密文进行二次加密得到传输密文，所述步骤4中第二加解密装置采用SM1对称分组算法对传输密文进行解密得到业务数据密文。采用SM1对称分组算法对业务数据密文进行二次加密得到传输密文，实现了多重加密的信息安全防护机制，提高了保密性。进一步作为优选，所述步骤2中第一加解密装置自适应业务终端数据传输协议，不需要更改业务终端软硬件，所述步骤5中第二加解密装置自适应业务终端数据传输协议，不需要更改业务终端软硬件。进一步作为优选，所述步骤3中配对的第一加解密装置和第二加解密装置之间之间采用适合长距离传输的通信方式传输密文。一种用于上述工业自动化生产业务数据传输加解密方法的工业自动化生产业务数据传输加解密系统，其特征在于：包括第一业务终端、第一加解密装置、第二加解密装置以及第二业务终端，第一加解密装置、第二加解密装置均包括装置壳体以及安装在装置壳体内的加解密电路，所述加解密电路包括电源模块、电源接口、第一HSC08K1国密算法芯片、第二HSC08K1国密算法芯片，第一HSC08K1国密算法芯片连接至第二HSC08K1国密算法芯片，第一HSC08K1国密算法芯片连接至业务终端UART接口和密文传输UART接口，第二HSC08K1国密算法芯片连接至连接至业务终端UART接口和密文传输UART接口，第一HSC08K1国密算法芯片、第二HSC08K1国密算法芯片连接至电源模块，电源模块连接至电源接口，第一业务终端通过第一UART总线连接至第一加解密装置的业务终端UART接口，第一加解密装置的密文传输UART接口通过第二UART总线连接至第二加解密装置的密文传输UART接口，第二加解密装置的业务终端UART接口通过第三UART总线连接至第二业务终端。进一步作为优选，所述第一业务终端和第二业务终端采用RTU或PLC或中控计算机。进一步作为优选，第一加解密装置、第二加解密装置均内置SM1分组对称加密算法和SM2非对称算法。本专利技术与现有技术相比，具有以下优点和效果：本专利技术工业自动化生产业务数据传输加解密方法及系统可以对工业自动化生产业务数据进行数据加密保护，可以有效保证每一台接入终端的安全操作控制，通过互联互通过程中的数据加密机制，可以预防信息在通讯传输中途被截取而泄密；便于业务终端之间在互联互通过程中的形成传输隔离机制，可以有效防御协议层的双向非法入侵和攻击。国密SM2非对称分组算法的私钥每次上电动态变化，且不可导出，无法通过公钥反推出私钥，来对业务数据密文进行解密，具有成本低、性能好、保密性强等特点。由于用于国密SM1加解密的会话密钥不可见，进而使得业务数据密文不可见，相当于给业务数据密文又加了一层壳；只有满足动态身份签名验证条件的配对模块之间才能进行数据收发，签名验证是动态随机的，杜绝伪造终端，屏蔽有害数据注入。因此，配对加解密装置传输过程中被非法窃取的数据不能被识别；非法注入的数据不会被响应，对业务应用数据起到了良好的信息保护作用。附图说明图1是本专利技术实施例工业自动化生产业务数据传输加解密系统的运行原理图。图2是本专利技术实施例第一加解密装置的结构框图。具体实施方式下面通过实施例对本专利技术作进一步的详细说明，以下实施例是对本专利技术的解释而本专利技术并不局限于以下实施例。本实施例一种工业自动化生产业务数据传输加解密方法，其特征在于：包括以下步骤：步骤1：第一加解密装置与第二加解密装置通电后，第一加解密装置自动配对第二加解密装置；步骤2：第一业务终端输出业务数据明文至第一加解密装置进行加密；步骤3：第一加解密装置加密后的业务数据在与第一加解密装置相配对的第二加解密装置之间传输；步骤4：第二加解密装置接收到第一加解密装置发送的密文后进行解密，得到业务数据明文；步骤5：第二加解密装置解密得到的业务数据明文传输给第二业务终端，由第二业务终端来执行相应数据处理和业务操作。所述步骤1中的第一加解密装置和第二加解密装置将各自创建SM2非对称算法公私钥对，私钥对应存储在第一加解密装置的内部寄存器中和第二加解密装置的内部寄存器中，用于第一加解密装置和第二加解密装置的签名和业务数据解密；公钥发布给配对的第二加解密装置和第一加解密装置，用于配对的第二加解密装置和第一加解密装置进行签名验证和业务数据加密。所述步骤1中的配对的第一加解密装置和第二加解密装置之间将利用双方的公钥参数进行密钥协商生成会话密钥，用于SM1对称分组加解密。所述步骤2中第一加解密装置采用SM2非对称分组算法对业务数据明文进行加密得到业务数据密文，所述步骤4中第二加解密装置采用SM2非对称分组算法对业务数据密文进行解密得到业务数据明文。所述步骤2中第一加解密装置采用SM1对称分组算法对业务数据密文进行二次加密得到传输密本文档来自技高网...

【技术保护点】
一种工业自动化生产业务数据传输加解密方法，其特征在于：包括以下步骤：1)步骤1：第一加解密装置与第二加解密装置通电后，第一加解密装置配对第二加解密装置；2)步骤2：第一业务终端输出业务数据明文至第一加解密装置进行加密；3)步骤3：第一加解密装置加密后的业务数据在与第一加解密装置相配对的第二加解密装置之间传输；4)步骤4：第二加解密装置接收到第一加解密装置发送的密文后进行解密，得到业务数据明文；5)步骤5：第二加解密装置解密得到的业务数据明文传输给第二业务终端，由第二业务终端来执行相应数据处理和业务操作,所述步骤1中的第一加解密装置和第二加解密装置将各自创建SM2非对称算法公私钥对，私钥对应存储在第一加解密装置的内部寄存器中和第二加解密装置的内部寄存器中，用于第一加解密装置和第二加解密装置的签名和业务数据解密；公钥发布给配对的第二加解密装置和第一加解密装置，用于配对的第二加解密装置和第一加解密装置进行签名验证和业务数据加密。

【技术特征摘要】
1.一种工业自动化生产业务数据传输加解密方法，其特征在于：包括以下步骤：1)步骤1：第一加解密装置与第二加解密装置通电后，第一加解密装置配对第二加解密装置；2)步骤2：第一业务终端输出业务数据明文至第一加解密装置进行加密；3)步骤3：第一加解密装置加密后的业务数据在与第一加解密装置相配对的第二加解密装置之间传输；4)步骤4：第二加解密装置接收到第一加解密装置发送的密文后进行解密，得到业务数据明文；5)步骤5：第二加解密装置解密得到的业务数据明文传输给第二业务终端，由第二业务终端来执行相应数据处理和业务操作,所述步骤1中的第一加解密装置和第二加解密装置将各自创建SM2非对称算法公私钥对，私钥对应存储在第一加解密装置的内部寄存器中和第二加解密装置的内部寄存器中，用于第一加解密装置和第二加解密装置的签名和业务数据解密；公钥发布给配对的第二加解密装置和第一加解密装置，用于配对的第二加解密装置和第一加解密装置进行签名验证和业务数据加密。2.根据权利要求1所述的工业自动化生产业务数据传输加解密方法，其特征在于：所述步骤1中的配对的第一加解密装置和第二加解密装置之间将利用双方的公钥参数进行密钥协商生成会话密钥，用于SM1对称分组加解密。3.根据权利要求1所述的工业自动化生产业务数据传输加解密方法，其特征在于：所述步骤2中第一加解密装置采用SM2非对称分组算法对业务数据明文进行加密得到业务数据密文，所述步骤4中第二加解密装置采用SM2非对称分组算法对业务数据密文进行解密得到业务数据明文。4.根据权利要求3所述的工业自动化生产业务数据传输加解密方法，其特征在于：所述步骤2中第一加解密装置采用SM1对称分组算法对业务数据密文进行二次加密得到传输密文，所述步骤4中第二加解密装置采用SM1对称分组算法对传输密文进行解密得到业务数据密文。5.根据权利要求1所述的工业自动化生产业务数据传输加解密方...

【专利技术属性】
技术研发人员：刘亚，韩晋普，
申请(专利权)人：南京普瑶电子科技有限公司，
类型：发明
国别省市：江苏;32