一种跨链路数据传输方法及系统技术方案

本发明专利技术公开一种跨链路数据传输方法，获取待传输数据；为预设的控制侧通信对象分配控制侧句柄，再根据控制侧句柄和待传输数据生成第一请求数据包；对第一请求数据包进行加密处理，生成请求加密数据块；生成第二请求数据包，第二请求数据包含有请求加密数据块和与请求加密数据块相对应的哈希值；通过USB通信链路将第二请求数据包发送至信息侧；本发明专利技术对第一请求数据包进行加密处理后还进行哈希值计算，以便于信息侧对所接收数据进行哈希验证，防止数据被篡改导致的安全隐患。

A cross link data transmission method and system

【技术实现步骤摘要】
一种跨链路数据传输方法及系统
本专利技术涉及数据传输领域，尤其涉及一种跨链路数据传输方法及系统。
技术介绍
管理信息系统是指在企业内部建立的用于管理企业各类资源、信息的计算机网络系统，包括ERP、CIMS/PIMS等。通过管理信息系统，企业能够实现对生产调度、人事、财务甚至整个供应链的自动化管理，从而提高自身的经济效益。在流程工业中，企业生产管理的生产决策数据需要从现场级到控制级、执行级到工厂级间流转，而管理信息系统常常会和Internet互联，从而整个管理信息系统的整体网络安全可能存在隐患；如果生产控制网络(本文中简称为控制网)与管理信息网(本文中简称为信息网网)直接相连，就会和控制系统追求的实时、安全、可靠的特性相背；同时控制网一旦感染某些病毒，就会使控制网的数据外泄。企业需要一种能够彻底隔离控制网和信息网直接物理连接的设备，但现有防火墙只能按照端口或者传输协议进行过滤，在物理上双方网络还是直接连接的，且其并不检测通信双方的通信内容，一旦欺骗成功，控制网的安全就得不到保障；现有单向隔离网闸使用只是确保了数据的传输是单向的，并不检测通信的内容，无法做到控制网数据的安全可靠，不外泄；现有还存在采集网关使用共享内存使位于不同链路两侧主机进行数据交互，但共享内存只是用于将数据从控制侧传递到信息侧，而两侧主机间的信令交互需要另外的通道实现，并且这类方法不能跨设备通信。综上，需要对现有技术做进一步改进。
技术实现思路
本专利技术针对现有技术中的缺点，提供了一种跨链路数据传输方法及系统。为了解决上述技术问题，本专利技术通过下述技术方案得以解决：一种跨链路数据传输方法，用于控制侧通过USB通信链路传输数据，包括以下步骤：获取待传输数据；为预设的控制侧通信对象分配控制侧句柄，再根据所述控制侧句柄和待传输数据生成第一请求数据包；对所述第一请求数据包进行加密处理，生成请求加密数据块；对所述请求加密数据块进行哈希计算，获得相对应的哈希值，并根据所述请求加密数据块和与所述请求加密数据块相对应的哈希值生成第二请求数据包；通过USB通信链路将所述第二请求数据包发送至信息侧；通过USB通信链路接收信息侧返回的第二响应数据包，所述第二响应数据包含有包长度、响应加密数据块和哈希值，对所述包长度进行确认、对所述哈希值进行验证，并对所述响应加密数据块进行解密，然后对所得解密结果进行校验，解析校验成功后的响应加密数据块，并将解析结果发送至相应控制侧通信对象。作为一种可实施方式，对所述第一请求数据包进行加密处理，生成请求加密数据块的具体步骤为：在所述第一请求数据包上增加包序号和类型，对所得数据包进行非对称加密，获得请求加密数据块。作为一种可实施方式，对所述包长度进行确认、对所述哈希值进行验证，并对所述响应加密数据块进行解密，然后对所得解密结果进行校验，解析校验成功后的响应加密数据块，并将解析结果发送至相应控制侧通信对象的具体步骤为：首先根据包长度确认所述第二响应数据包是否完整，当确认第二响应数据包为完整的数据包后，验证所述哈希值，当哈希值验证通过后，解密所述响应加密数据块，获得第一解密数据，所述第一解密数据含有包序号、类型和第一响应数据包，对所述第一解密数据进行校验，解析校验成功的第一解密数据中的第一响应数据包；所述第一响应数据包含有控制侧句柄和响应数据，根据所述控制侧句柄将解析后的第一响应数据包发送至相对应的控制侧通信对象；当确认第二响应数据包不完整、对哈希值的验证失败、或对第一解密数据的校验失败时，断开USB通信链路，同时向建立在所述USB通信链路上的所有控制侧通信对象发送链路故障的通知。本专利技术还提出一种跨链路数据传输方法，用于信息侧通过USB通信链路传输数据，包括以下步骤：通过USB通信链路接收控制侧发送的第二请求数据包，所述第二请求数据包含有包长度、请求加密数据块和哈希值，对所述包长度进行确认、对所述哈希值进行验证、并对所述请求加密数据块进行解密，之后对所得解密结果进行校验，解析校验成功后的请求加密数据块，获得待传输数据和控制侧句柄；根据所述待传输数据执行相应操作，获得操作结果；根据所述操作结果和所述控制侧句柄生成第一响应数据包，对所述第一响应数据包进行加密处理，生成响应加密数据块；对所述响应加密数据块进行哈希计算，获得相对应的哈希值，并根据所述响应加密数据块和与所述响应加密数据块相对应的哈希值生成第二响应数据包；通过USB通信链路将所述第二响应数据包发送至控制侧。作为一种可实施方式，根据所述操作结果和所述控制侧句柄生成第一响应数据包，对所述第一响应数据包进行加密处理，生成响应加密数据块的具体步骤为：在所述第一响应数据包上增加包序号和类型，对所得数据包进行非对称加密，获得响应加密数据块。作为一种可实施方式，对所述包长度进行确认、对所述哈希值进行验证、并对所述请求加密数据块进行解密，之后对所得解密结果进行校验，解析校验成功后的请求加密数据块的具体步骤为：首先根据包长度确认所述第二请求数据包是否完整，当确认第二请求数据包为完整的数据包后，验证所述哈希值，当哈希值验证通过后，解密所述请求加密数据块，获得第二解密数据，所述第二解密数据含有包序号、类型和第一请求数据包，对所述第二解密数据进行校验，解析校验成功的第二解密数据中的第一请求数据包；当确认第二请求数据包不完整、对哈希值的验证失败、或对第二解密数据的校验失败时，断开USB通信链路，同时向建立在所述USB通信链路上的所有信息侧通信对象发送链路故障的通知。本专利技术还提出一种跨链路数据传输系统，应用于控制侧主机中，包括：获取模块，用于获取待传输数据；控制侧数据传输模块，用于为预设的控制侧通信对象分配控制侧句柄，再根据所述控制侧句柄和待传输数据生成第一请求数据包；对所述第一请求数据包进行加密处理，生成请求加密数据块；对所述请求加密数据块进行哈希计算，获得相对应的哈希值，并根据所述请求加密数据块和与所述请求加密数据块相对应的哈希值生成第二请求数据包；通过USB通信链路将所述第二请求数据包发送至信息侧；所述控制侧数据传输模块，还用于通过USB通信链路接收信息侧返回的第二响应数据包，所述第二响应数据包含有包长度、响应加密数据块和哈希值，对所述包长度进行确认、对所述哈希值进行验证，并对所述响应加密数据块进行解密，然后对所得解密结果进行校验，解析校验成功后的响应加密数据块，并将解析结果发送至相应控制侧通信对象。作为一种可实施方式，控制侧数据传输模块包括控制侧应用层、控制侧传输层、控制侧通信层和控制侧链路层；所述控制侧应用层，用于为预设的控制侧通信对象分配控制侧句柄，并根据所述控制侧句柄和待传输数据生成第一请求数据包；还用于解析校验成功后的响应加密数据块，并将解析结果发送至相应控制侧通信对象；所述控制侧传输层，用于对所述第一请求数据包进行加密处理，生成请求加密数据块；还用于对验证成功的响应加密数据块进行解密，然后对所得本文档来自技高网...

【技术保护点】
1.一种跨链路数据传输方法，用于控制侧通过USB通信链路传输数据，其特征在于包括以下步骤：/n获取待传输数据；/n为预设的控制侧通信对象分配控制侧句柄，再根据所述控制侧句柄和待传输数据生成第一请求数据包；对所述第一请求数据包进行加密处理，生成请求加密数据块；对所述请求加密数据块进行哈希计算，获得相对应的哈希值，并根据所述请求加密数据块和与所述请求加密数据块相对应的哈希值生成第二请求数据包；通过USB通信链路将所述第二请求数据包发送至信息侧；/n通过USB通信链路接收信息侧返回的第二响应数据包，所述第二响应数据包含有包长度、响应加密数据块和哈希值，对所述包长度进行确认、对所述哈希值进行验证，并对所述响应加密数据块进行解密，然后对所得解密结果进行校验，解析校验成功后的响应加密数据块，并将解析结果发送至相应控制侧通信对象。/n

【技术特征摘要】
1.一种跨链路数据传输方法，用于控制侧通过USB通信链路传输数据，其特征在于包括以下步骤：
获取待传输数据；
为预设的控制侧通信对象分配控制侧句柄，再根据所述控制侧句柄和待传输数据生成第一请求数据包；对所述第一请求数据包进行加密处理，生成请求加密数据块；对所述请求加密数据块进行哈希计算，获得相对应的哈希值，并根据所述请求加密数据块和与所述请求加密数据块相对应的哈希值生成第二请求数据包；通过USB通信链路将所述第二请求数据包发送至信息侧；
通过USB通信链路接收信息侧返回的第二响应数据包，所述第二响应数据包含有包长度、响应加密数据块和哈希值，对所述包长度进行确认、对所述哈希值进行验证，并对所述响应加密数据块进行解密，然后对所得解密结果进行校验，解析校验成功后的响应加密数据块，并将解析结果发送至相应控制侧通信对象。


2.根据权利要求1所述的一种跨链路数据传输方法，其特征在于，对所述第一请求数据包进行加密处理，生成请求加密数据块的具体步骤为：
在所述第一请求数据包上增加包序号和类型，对所得数据包进行非对称加密，获得请求加密数据块。


3.根据权利要求1或2所述的一种跨链路数据传输方法，其特征在于，对所述包长度进行确认、对所述哈希值进行验证，并对所述响应加密数据块进行解密，然后对所得解密结果进行校验，解析校验成功后的响应加密数据块，并将解析结果发送至相应控制侧通信对象的具体步骤为：
首先根据包长度确认所述第二响应数据包是否完整，当确认第二响应数据包为完整的数据包后，验证所述哈希值，当哈希值验证通过后，解密所述响应加密数据块，获得第一解密数据，所述第一解密数据含有包序号、类型和第一响应数据包，对所述第一解密数据进行校验，解析校验成功的第一解密数据中的第一响应数据包；
所述第一响应数据包含有控制侧句柄和响应数据，根据所述控制侧句柄将解析后的第一响应数据包发送至相对应的控制侧通信对象；
当确认第二响应数据包不完整、对哈希值的验证失败、或对第一解密数据的校验失败时，断开USB通信链路，同时向建立在所述USB通信链路上的所有控制侧通信对象发送链路故障的通知。


4.一种跨链路数据传输方法，用于信息侧通过USB通信链路传输数据，其特征在于包括以下步骤：
通过USB通信链路接收控制侧发送的第二请求数据包，所述第二请求数据包含有包长度、请求加密数据块和哈希值，对所述包长度进行确认、对所述哈希值进行验证、并对所述请求加密数据块进行解密，之后对所得解密结果进行校验，解析校验成功后的请求加密数据块，获得待传输数据和控制侧句柄；
根据所述待传输数据执行相应操作，获得操作结果；
根据所述操作结果和所述控制侧句柄生成第一响应数据包，对所述第一响应数据包进行加密处理，生成响应加密数据块；对所述响应加密数据块进行哈希计算，获得相对应的哈希值，并根据所述响应加密数据块和与所述响应加密数据块相对应的哈希值生成第二响应数据包；通过USB通信链路将所述第二响应数据包发送至控制侧。


5.根据权利要求4所述的一种跨链路数据传输方法，其特征在于，根据所述操作结果和所述控制侧句柄生成第一响应数据包，对所述第一响应数据包进行加密处理，生成响应加密数据块的具体步骤为：
在所述第一响应数据包上增加包序号和类型，对所得数据包进行非对称加密，获得响应加密数据块。


6.根据权利要求4或5所述的一种跨链路数据传输方法，其特征在于，对所述包长度进行确认、对所述哈希值进行验证、并对所述请求加密数据块进行解密，之后对所得解密结果进行校验，解析校验成功后的请求加密数据块的具体步骤为：
首先根据包长度确认所述第二请求数据包是否完整，当确认第二请求数据包为完整的数据包后，验证所述哈希值，当哈希值验证通过后，解密所述请求加密数据块，获得第二解密数据，所述第二解密数据含有包序号、类型和第一请求数据包，对所述第二解密数据进行校验，解析校验成功的第二解密数据中的第一请求数据包；
当确认第二请求数据包不完整、对哈希值的验证失败、或对第二解密数据的校验失败时，断开USB通信链路，同时向建立在所述USB通信链路上的所有信息侧通信对象发送链路故障的通知。...

【专利技术属性】
技术研发人员：裘坤，方洪祥，姚罕琦，姚杰，
申请(专利权)人：浙江中控技术股份有限公司，
类型：发明
国别省市：浙江;33