一种基于5G的工业控制安全通信系统及方法技术方案

本发明专利技术涉及一种基于5G的工业控制安全通信系统及方法，包括云端、至少两个控制端；云端包括证书服务器、云端安全模块及工业控制服务器；控制端包括5G通信模块、控制端安全模块及工业控制模块；工业控制服务器靠5G网络与5G通信模块通信连接，控制端靠现场总线连接，云端安全模块和控制端安全模块提供密码和存储服务，密码服务包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；工业控制服务器调用云端安全模块密码服务，工业控制模块调用控制端安全模块密码和存储服务；证书服务器为云端和控制端生成公钥证书，将公钥证书公钥写入控制端安全模块内；云端安全模块和控制端安全模块保存对应私钥，实现控制模块间身份认证和组安全加密通信。

【技术实现步骤摘要】
一种基于5G的工业控制安全通信系统及方法
：本专利技术属于工业控制通信
，具体涉及一种保证现场总线上多个工业控制模块间进行安全加密通信的基于5G的工业控制安全通信系统及方法。
技术介绍
：现场总线(Fieldbus)是一种应用于生产现场，在现场设备之间、现场设备与控制装置之间实行双向、串行、多节点数字通信的技术。它主要解决工业现场的控制器、智能化仪器仪表、执行机构等现场设备间的数字通信以及这些现场控制设备和高级控制系统之间的信息传递问题。它作为工业数据通信网络的基础，沟通了生产过程现场级控制设备之间及其与更高控制管理层之间的联系，它不仅是一个基层网络，而且还是一种开放式、新型全分布式控制系统。由于现场总线简单、可靠、经济实用等一系列突出的优点，因而受到了许多标准团体和计算机厂商的高度重视，成为当今自动化领域技术发展的热点之一，被誉为自动化领域的计算机局域网。在一条现场总线上可以连接有多个工业控制模块，这些工业控制模块之间可以相互便捷高效地传递相关的控制和数据信息。然而，在现场总线为多个工业控制模块之间的通信带来方便快捷实用的同时，也存在着不可忽视的安全隐患。比如，工业控制模块身份被假冒、工业控制模块之间传输的信息被窃听、篡改、重放等，这些安全威胁很可能造成重大事故、严重经济损失或其它不良影响。同时，在工业控制环境中，工业控制模块本身所拥有的存储资源和处理能力有限(如数据及通信的处理能力、存储能力等)，并且为了适应柔性生产的需要，各工业控制模块之间的通信关系随时可能变化，因此，若要在一个工业控制模块内存储所有可能与其有通信关系的工业控制模块的所有可能的公钥证书或公钥，会造成存储上的负担和不灵活。作为新一代移动通信技术，5G不仅用于人与人之间的通信，还用于人与物以及物与物之间的通信，从而实现真正的万物互联。5G在技术上规划了三大应用场景：eMBB(增强型移动宽带)、mMTC(海量机器类通信)和URLLC(超高可靠、超低时延通信)，以应对垂直应用对大带宽数据传输、海量网络连接、超低时延控制的需求。如何根据现场总线上多个工业控制模块间相互通信的上述特点和问题，结合云端的计算和存储资源通常都配置得比工业控制模块更强大的实际情况，并利用超高可靠、超低时延通信的5G技术，进行现场总线上多个工业控制模块间的安全加密通信，是目前急需解决的问题。
技术实现思路
：本专利技术的目的在于克服现有技术的不足而提供一种使得在现场总线上多个工业控制模块间的相互通信既安全可靠，又简单高效的基于5G的工业控制安全通信系统及方法。为了实现上述目的，本专利技术所采用的技术方案是：一种基于5G的工业控制安全通信系统，包括云端、至少两个控制端；所述云端包括证书服务器、云端安全模块以及分别与所述证书服务器和所述云端安全模块连接的工业控制服务器；所述控制端包括5G通信模块、控制端安全模块以及分别与所述5G通信模块和所述控制端安全模块连接的工业控制模块；所述云端的工业控制服务器通过5G网络与所述控制端的5G通信模块通信接连，以实现所述云端与所述控制端之间的双向通信；所述至少为两个的所述控制端之间通过现场总线通信连接，以实现相互通信；所述云端安全模块和所述控制端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；所述工业控制服务器调用由所述云端安全模块提供的相应密码服务功能；所述工业控制模块调用由所述控制端安全模块提供的相应密码服务功能和安全存储功能；所述证书服务器分别为所述云端和所述控制端生成并保存相应的公钥证书，通过离线方式将所述云端的公钥证书中的公钥写入所述控制端的控制端安全模块内；所述云端的云端安全模块和所述控制端的控制端安全模块各自保存与其相应公钥证书中的公钥相对应的私钥。进一步的，所述基于5G的工业控制安全通信系统还通过如下步骤实现：包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；准备阶段：所述至少为两个的所述控制端均作为安全通信组会话密钥协商的成员，统一用CEi表示，其中i＝1,2,…,n；n为大于1的自然数；在所述控制端的控制端安全模块内设置控制端组会话密钥安全存储区；所述控制端组会话密钥安全存储区统一用KZi表示，其中i＝1,2,…,n；n为大于1的自然数；取大素数p和有限域GFp上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN，HA是GFp上的无碰撞单向散列函数；IDi为CEi的标识；每个CEi随机选取si∈[1,PN-1]作为其私钥，其对应的公钥为gi＝siBP；通过离线方式将gi传送给所述云端的证书服务器，或者通过所述云端的公钥证书中的公钥对gi加密后通过5G网络经所述云端的工业控制服务器在线发送给所述证书服务器，然后，所述证书服务器使用gi为该CEi生成并保存相应的公钥证书；||表示拼接操作；SIGi表示用CEi的私钥si进行签名；PEi表示用CEi的公钥gi进行加密；PEc表示用云端的公钥进行加密；所述云端生成一个随机数因子kc；VERFAIL为验证失败标识；VERSUCC为验证成功标识；组会话密钥协商阶段：组会话密钥协商包括下列步骤：步骤1)，对每个CEi，随机选取ei∈[1,PN-1]，随机选取fi∈[1,PN-1],对每个j＝1,2,…,n,j≠i，CEi用其私钥si对fi进行签名，得到SIGi(fi),然后用所述云端的公钥证书内的云端公钥对IDi、fi和j进行加密，得到PEc(IDi||fi||j)；然后CEi将{PEc(IDi||fi||j)||SIGi(fi)}通过5G网络发送给所述云端；所述云端在收到CEi发来的{PEc(IDi||fi||j)||SIGi(fi)}后，用所述云端的私钥对PEc(IDi||fi||j)进行解密，得到IDi、fi和j，所述云端再根据IDi用CEi的公钥gi对SIGi(fi)进行验签运算，并将得到的fi与前述用云端的私钥对PEc(IDi||fi||j)进行解密得到的fi进行比对，若该两fi值不相同，则验证失败，所述云端向CEi发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两fi值相同，则表示验证通过，然后，所述云端再根据j用CEj的公钥gj与fi计算生成figj，所述云端用CEi的公钥gi对figj、j和kc进行加密运算，得到PEi(figj||j||kc)；所述云端将PEi(figj||j||kc)发送给CEi；CEi收到PEi(figj||j||kc)后，用自身私钥si对PEi(figj||j||kc)解密，得到figj、j和kc；CEi计算Qi、Xi,j和Yi,j，其中，Qi＝eiBP，Xi,j＝fiBP，Yi,j＝Qi+figj，Qi、Xi,j和Yi,j均为椭圆曲线EC上的点；用Zi,j表示Xi,j与Yi,j这一对椭圆曲线EC上的点，即Zi,j＝(Xi,j,Yi,j)；CEi根据j将Zi,j发送给CEj，其中，j＝1,2,…,n,j≠i；步骤2，CEj收到Zi,j，其中，i＝1,2,…本文档来自技高网...

【技术保护点】
1.一种基于5G的工业控制安全通信系统，包括云端、至少两个控制端；其特征在于：所述云端包括证书服务器、云端安全模块以及分别与所述证书服务器和所述云端安全模块连接的工业控制服务器；所述控制端包括5G通信模块、控制端安全模块以及分别与所述5G通信模块和所述控制端安全模块连接的工业控制模块；所述云端的工业控制服务器通过5G网络与所述控制端的5G通信模块通信接连，以实现所述云端与所述控制端之间的双向通信；所述至少为两个的控制端之间通过现场总线通信连接，以实现相互通信；/n所述云端安全模块和所述控制端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；所述工业控制服务器调用由所述云端安全模块提供的相应密码服务功能；所述工业控制模块调用由所述控制端安全模块提供的相应密码服务功能和安全存储功能；/n所述证书服务器分别为所述云端和所述控制端生成并保存相应的公钥证书，通过离线方式将所述云端的公钥证书中的公钥写入所述控制端的控制端安全模块内；所述云端的云端安全模块和所述控制端的控制端安全模块各自保存与其相应公钥证书中的公钥相对应的私钥。/n...

【技术特征摘要】
1.一种基于5G的工业控制安全通信系统，包括云端、至少两个控制端；其特征在于：所述云端包括证书服务器、云端安全模块以及分别与所述证书服务器和所述云端安全模块连接的工业控制服务器；所述控制端包括5G通信模块、控制端安全模块以及分别与所述5G通信模块和所述控制端安全模块连接的工业控制模块；所述云端的工业控制服务器通过5G网络与所述控制端的5G通信模块通信接连，以实现所述云端与所述控制端之间的双向通信；所述至少为两个的控制端之间通过现场总线通信连接，以实现相互通信；
所述云端安全模块和所述控制端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；所述工业控制服务器调用由所述云端安全模块提供的相应密码服务功能；所述工业控制模块调用由所述控制端安全模块提供的相应密码服务功能和安全存储功能；
所述证书服务器分别为所述云端和所述控制端生成并保存相应的公钥证书，通过离线方式将所述云端的公钥证书中的公钥写入所述控制端的控制端安全模块内；所述云端的云端安全模块和所述控制端的控制端安全模块各自保存与其相应公钥证书中的公钥相对应的私钥。


2.根据权利要求1所述的基于5G的工业控制安全通信系统，其特征在于：所述基于5G的工业控制安全通信系统还通过如下步骤实现：包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；
准备阶段：
所述至少为两个的所述控制端均作为安全通信组会话密钥协商的成员，统一用CEi表示，其中i＝1,2,…,n；n为大于1的自然数；在所述控制端的所述控制端安全模块内设置控制端组会话密钥安全存储区；所述控制端组会话密钥安全存储区统一用KZi表示，其中i＝1,2,…,n；n为大于1的自然数；
取大素数p和有限域GFp上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN，HA是GFp上的无碰撞单向散列函数；IDi为CEi的标识；每个CEi随机选取si∈[1,PN-1]作为其私钥，其对应的公钥为gi＝siBP；通过离线方式将gi传送给所述云端的证书服务器，或者通过所述云端的公钥证书中的公钥对gi加密后通过5G网络经所述云端的工业控制服务器在线发送给所述证书服务器，然后，所述证书服务器使用gi为该CEi生成并保存相应的公钥证书；||表示拼接操作；SIGi表示用CEi的私钥si进行签名；PEi表示用CEi的公钥gi进行加密；PEc表示用云端的公钥进行加密；所述云端生成一个随机数因子kc；VERFAIL为验证失败标识；VERSUCC为验证成功标识；
组会话密钥协商阶段：组会话密钥协商包括下列步骤：
步骤1)，对每个CEi，随机选取ei∈[1,PN-1]，随机选取fi∈[1,PN-1],对每个j＝1,2,…,n,j≠i，CEi用其私钥si对fi进行签名，得到SIGi(fi),然后用所述云端的公钥证书内的云端公钥对IDi、fi和j进行加密，得到PEc(IDi||fi||j)；然后CEi将{PEc(IDi||fi||j)||SIGi(fi)}通过5G网络发送给所述云端；所述云端在收到CEi发来的{PEc(IDi||fi||j)||SIGi(fi)}后，用所述云端的私钥对PEc(IDi||fi||j)进行解密，得到IDi、fi和j，所述云端再根据IDi用CEi的公钥gi对SIGi(fi)进行验签运算，并将得到的fi与前述用云端的私钥对PEc(IDi||fi||j)进行解密得到的fi进行比对，若该两fi值不相同，则验证失败，所述云端向CEi发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两fi值相同，则表示验证通过，然后，所述云端再根据j用CEj的公钥gj与fi计算生成figj，所述云端用CEi的公钥gi对figj、j和kc进行加密运算，得到PEi(figj||j||kc)；所述云端将PEi(figj||j||kc)发送给CEi；CEi收到PEi(figj||j||kc)后，用自身私钥si对PEi(figj||j||kc)解密，得到figj、j和kc；CEi计算Qi、Xi,j和Yi,j，其中，Qi＝eiBP，Xi,j＝fiBP，Yi,j＝Qi+figj，Qi、Xi,j和Yi,j均为椭圆曲线EC上的点；用Zi,j表示Xi,j与Yi,j这一对椭圆曲线EC上的点，即Zi,j＝(Xi,j,Yi,j)；CEi根据j将Zi,j发送给CEj，其中，j＝1,2,…,n,j≠i；
步骤2)，CEj收到Zi,j，其中，i＝1,2,…,n,i≠j，计算Xj和Yj,其中：






然后再计算Kj,其中：



由上式可知，Kj为椭圆曲线EC上的点，设其横坐标与纵坐标分别为xj和yj，
则：



接下来，CEj计算Tj,其中，Tj＝HA(xj||yj||kc)，然后把Tj发送给每个CEi，其中i＝1,2,…,n,i≠j；
每个CEi在收到所有Tj后，其中j＝1,2,…,n,j≠i，进行判断，若所有收到的Tj＝HA(xj||yj||kc)的值都与CEi自身计算的Ti＝HA(xi||yi||kc)相同，则每个CEi将组会话密钥设置为T,其中T＝HA(xi||yi||kc)；CEi将组会话密钥T保存于KZi；
组安全加密通信阶段：
成功协商建立组会话密钥后，各个CEi之间，其中i＝1,2,…,n；n为大于1的自然数，就可以使用所述组会话密钥T进行组安全加密通信。


3.根据权利要求2所述的基于5G的工业控制安全通信系统，其特征在于：在所述组会话密钥协商阶段的步骤1)中的CEi根据j将Zi,j发送给CEj之前，CEi先将Zi,j进行HA杂凑运算，得到HA(Zi,j),然后用自身私钥si对HA(Zi,j)进行签名，得到SIGi(HA(Zi,j))；然后，CEi将{Zi,j||SIGi(HA(Zi,j))}发送给CEj；然后，在所述组会话密钥协商阶段的步骤2)中，CEj收到{Zi,j||SIGi(HA(Zi,j))}，其中，i＝1,2,…,n,i≠j，在计算Xj和Yj前，CEj先将{Zi,j||SIGi(HA(Zi,j))||i}通过5G网络发送给所述云端；所述云端在收到CEj发来的{Zi,j||SIGi(HA(Zi,j))||i}后，再根据i用CEi的公钥gi对SIGi(HA(Zi,j))进行验签运算，得到HA(Zi,j)，然后再将收到的Zi,j进行HA杂凑运算得到HA(Zi,j)，然后所述云端将两个HA(Zi,j)进行比较，若不相同，则验证失败，所述云端向CEj发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两HA(Zi,j)值相同，则表示验证通过，所述云端向CEj发送验证成功标识VERSUCC；CEj在收到所述云端发送来的验证成功标识VERSUCC后，继续计算Xj和Yj。


4.根据权利要求1、2或3所述的基于5G的工业控制安全通信系统，其特征在于：所述云端调用所述密码服务功能具体是指所述云端的工业控制服务器调用由所述云端的云端安全模块提供的相应密码服务功能；
所述云端通过5G网络与所述控制端进行双向通信具体是指所述云端的工业控制服务器与所述控制端的工业控制模块经所述5G通信模块通过5G网络进行双向通信，所述控制端调用所述密码服务功能和安全存储功能具体是指所述控制端的工业控制模块调用由所述控制端的控制端安全模块所提供的相应密码服务功能和安全存储功能；
所述控制端之间通过现场总线通信连接具体是指所述控制端的工业控制模块通过现场总线通信连接；所述至...

【专利技术属性】
技术研发人员：李平，李鑫，刘长河，廖正赟，孙晓鹏，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：河南;41