一种工业控制安全通信系统及通信方法技术方案

本发明专利技术涉及一种工业控制安全通信系统及通信方法，包括云端、至少两个控制端；云端包括证书服务器、云端安全模块及工业控制服务器；控制端包括5G通信模块、控制端安全模块及工业控制模块；工业控制服务器与5G通信模块连接，控制端之间通过现场总线通信连接，云端安全模块和控制端安全模块提供密码服务和安全存储功能；密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；工业控制服务器调用云端安全模块提供密码服务功能；工业控制模块调用控制端安全模块提供密码服务功能和安全存储功能；证书服务器为云端生成保存公钥证书，将公钥写入控制端安全模块内；云端安全模块保存对应私钥,保证工业控制模块间通信安全可靠，简单高效。

【技术实现步骤摘要】
一种工业控制安全通信系统及通信方法
本专利技术属于工业控制通信
，具体涉及一种保证现场总线上多个工业控制模块间进行安全加密通信的工业控制安全通信系统及通信方法。
技术介绍
现场总线(Fieldbus)是一种应用于生产现场，在现场设备之间、现场设备与控制装置之间实行双向、串行、多节点数字通信的技术。它主要解决工业现场的控制器、智能化仪器仪表、执行机构等现场设备间的数字通信以及这些现场控制设备和高级控制系统之间的信息传递问题。它作为工业数据通信网络的基础，沟通了生产过程现场级控制设备之间及其与更高控制管理层之间的联系，它不仅是一个基层网络，而且还是一种开放式、新型全分布式控制系统。由于现场总线简单、可靠、经济实用等一系列突出的优点，因而受到了许多标准团体和计算机厂商的高度重视，成为当今自动化领域技术发展的热点之一，被誉为自动化领域的计算机局域网。在一条现场总线上可以连接有多个工业控制模块，这些工业控制模块之间可以相互便捷高效地传递相关的控制和数据信息。然而，在现场总线为多个工业控制模块之间的通信带来方便快捷实用的同时，也存在着不可忽视的安全隐患。比如，工业控制模块身份被假冒、工业控制模块之间传输的信息被窃听、篡改、重放等，这些安全威胁很可能造成重大事故、严重经济损失或其它不良影响。作为新一代移动通信技术，5G不仅用于人与人之间的通信，还用于人与物以及物与物之间的通信，从而实现真正的万物互联。5G在技术上规划了三大应用场景：eMBB(增强型移动宽带)、mMTC(海量机器类通信)和URLLC(超高可靠、超低时延通信)，以应对垂直应用对大带宽数据传输、海量网络连接、超低时延控制的需求。如何根据现场总线上多个工业控制模块间相互通信的上述特点和问题，利用超高可靠、超低时延通信的5G技术，进行现场总线上多个工业控制模块间的安全加密通信，是目前急需解决的问题。
技术实现思路
本专利技术的目的在于克服现有技术的不足而提供一种使得在现场总线上多个工业控制模块间的相互通信既安全可靠、又简单高效的工业控制安全通信系统及通信方法。为了实现上述目的，本专利技术所采用的技术方案是这样实现的：一种工业控制安全通信系统，包括云端、与云端通过5G网络相连接的至少两个控制端；其中云端还包括证书服务器、云端安全模块以及分别与证书服务器和云端安全模块相连接的工业控制服务器；所述控制端包括5G通信模块、控制端安全模块以及分别与5G通信模块和控制端安全模块相连接的工业控制模块；所述云端的工业控制服务器通过5G网络与所述控制端的5G通信模块通信连接，以实现云端与控制端之间的双向通信；各个控制端之间通过现场总线通信连接，以实现相互通信；所述云端安全模块和控制端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；所述工业控制服务器调用由云端安全模块提供的相应密码服务功能；所述工业控制模块调用由控制端安全模块提供的相应密码服务功能和安全存储功能；所述证书服务器为云端生成并保存相应的公钥证书，通过离线方式将云端的公钥证书中的公钥写入所述控制端的控制端安全模块内；所述云端安全模块保存与其相应公钥证书中的公钥相对应的私钥。所述各个控制端之间通过现场总线通信连接具体是指所述控制端的工业控制模块通过现场总线通信连接，工业控制模块分别通过现场总线的通信连接实现相互通信。所述控制端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。一种利用所述工业控制安全通信系统进行工业控制安全通信的方法，所述工业控制安全通信方法包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；步骤1)、准备阶段具体包括如下步骤：至少为两个的所述控制端均作为安全通信组会话密钥协商的成员，统一用CEi表示，其中i＝1,2,…,n；n为大于1的自然数；在所述控制端的控制端安全模块内设置控制端组会话密钥安全存储区；所述控制端组会话密钥安全存储区统一用KZi表示，其中i＝1,2,…,n；n为大于1的自然数；K为待协商的组会话密钥；所述云端的工业控制服务器生成以下系统参数：G1与G2分别是阶均为q的循环加法群与循环乘法群，双线性映射DL:G1×G1→G2，P∈G1，随机选取作为本次密钥协商的随机数，哈希函数H:{0,1}*→G1；所述工业控制服务器公开系统参数<P,DL,q,G1,G2,H,t>；其中为有限域，的单位元为e；IDi为CEi的唯一身份标识，Qi＝H(IDi)为CEi的公钥；IDi与Qi均公开，其中i＝1,2,…,n；n为大于1的自然数；每个CEi随机选取计算si＝biQi，si为CEi的私钥；然后，所述CEi随机选取计算Di＝cisi；然后，通过离线方式将Di传送给所述云端的工业控制服务器，或者通过使用所述云端的公钥证书中的公钥对Di加密后通过5G网络传送给所述云端的工业控制服务器；所述工业控制服务器利用所述云端的公钥所对应的私钥进行解密从而获得并保存Di；所述工业控制服务器建立IDi与Di的对应关系；每个CEi取随机数每个CEi计算并保存ci的乘法逆元素其中其中i＝1,2,…,n；n为大于1的自然数；步骤2)、组会话密钥协商阶段具体包括下列步骤：步骤21)、每个CEi各自生成Ei＝ciQi和Vi＝siP，然后分别将三元组<IDi,Vi,Ei>发送给每个CEj，其中i＝1,2,…,n；j＝1,2,…,n,j≠i，n为大于1的自然数；步骤22)、CEj收到CEi发来的三元组<IDi,Vi,Ei>后，从所述工业控制服务器处获取与IDi相对应的Di，然后分别计算DL(Vi,Ei)和DL(QiP,Di)并比较两者的值以对CEi进行验证，如果值不相同，则验证失败，所述CEj向每个CEi和所述工业控制服务器发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两值相同，则表示验证通过，继续下一步；步骤23)、CEi计算Mi＝ciP，然后分别发送给每个CEj，其中i＝1,2,…,n；j＝1,2,…,n,j≠i，n为大于1的自然数；步骤24)、CEj收到CEi发来的Mi后，计算Nji＝gjMi，然后将Nji发送给CEi；步骤25)、CEi收到CEj发来的Nji后，计算CEi计算ri＝giP；然后，CEi计算其中i＝1,2,…,n；j＝1,2,…,n,j≠i，n为大于1的自然数，每个CEi将Ki保存于KZi；组会话密钥K＝Ki；步骤3)、组安全加密通信阶段具体包括如下步骤：成功协商建立组会话密钥K后本文档来自技高网...

【技术保护点】
1.一种工业控制安全通信系统，包括云端、与云端通过5G网络相连接的至少两个控制端；其中云端还包括证书服务器、云端安全模块以及分别与证书服务器和云端安全模块相连接的工业控制服务器；所述控制端包括5G通信模块、控制端安全模块以及分别与5G通信模块和控制端安全模块相连接的工业控制模块；其特征在于：/n所述云端的工业控制服务器通过5G网络与所述控制端的5G通信模块通信连接，以实现云端与控制端之间的双向通信；/n各个控制端之间通过现场总线通信连接，以实现相互通信；/n所述云端安全模块和控制端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；/n所述工业控制服务器调用由云端安全模块提供的相应密码服务功能；所述工业控制模块调用由控制端安全模块提供的相应密码服务功能和安全存储功能；/n所述证书服务器为云端生成并保存相应的公钥证书，通过离线方式将云端的公钥证书中的公钥写入所述控制端的控制端安全模块内；所述云端安全模块保存与其相应公钥证书中的公钥相对应的私钥。/n

【技术特征摘要】
1.一种工业控制安全通信系统，包括云端、与云端通过5G网络相连接的至少两个控制端；其中云端还包括证书服务器、云端安全模块以及分别与证书服务器和云端安全模块相连接的工业控制服务器；所述控制端包括5G通信模块、控制端安全模块以及分别与5G通信模块和控制端安全模块相连接的工业控制模块；其特征在于：
所述云端的工业控制服务器通过5G网络与所述控制端的5G通信模块通信连接，以实现云端与控制端之间的双向通信；
各个控制端之间通过现场总线通信连接，以实现相互通信；
所述云端安全模块和控制端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；
所述工业控制服务器调用由云端安全模块提供的相应密码服务功能；所述工业控制模块调用由控制端安全模块提供的相应密码服务功能和安全存储功能；
所述证书服务器为云端生成并保存相应的公钥证书，通过离线方式将云端的公钥证书中的公钥写入所述控制端的控制端安全模块内；所述云端安全模块保存与其相应公钥证书中的公钥相对应的私钥。


2.根据权利要求1所述的一种工业控制安全通信系统，其特征在于：所述各个控制端之间通过现场总线通信连接具体是指所述控制端的工业控制模块通过现场总线通信连接，工业控制模块分别通过现场总线的通信连接实现相互通信。


3.根据权利要求1所述的一种工业控制安全通信系统，其特征在于：所述控制端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。


4.一种利用权利要求1-3之一所述工业控制安全通信系统进行工业控制安全通信的方法，其特征在于：所述工业控制安全通信方法包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；
步骤1)、准备阶段具体包括如下步骤：
至少为两个的所述控制端均作为安全通信组会话密钥协商的成员，统一用CEi表示，其中i＝1,2,…,n；n为大于1的自然数；在所述控制端的控制端安全模块内设置控制端组会话密钥安全存储区；所述控制端组会话密钥安全存储区统一用KZi表示，其中i＝1,2,…,n；n为大于1的自然数；K为待协商的组会话密钥；
...

【专利技术属性】
技术研发人员：李平，李鑫，彭金辉，廖正赟，孙晓鹏，李亚运，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：河南;41