一种保护数据传输的方法、装置、设备及介质制造方法及图纸

本申请公开了一种保护数据传输的方法、装置、设备及介质，涉及信息安全领域，应用于第一业务系统，包括：在生成业务数据后，则按照APDU格式对业务数据进行封装得到APDU数据包；基于预设的安全数据封装格式对APDU数据包进行封装得到封装后数据包，并传输至第二业务系统；通过第二业务系统基于安全数据封装格式对封装后数据包进行解封装以得到业务数据，并调用预设处理程序对业务数据进行处理。在按照APDU格式对业务数据进行封装后，再基于预设的安全数据封装格式对业务数据进行再次封装，保证了数据在应用层上传输时的机密性，能够防止窃取和篡改；此外无需依赖于第三方安全防护设备即可实现数据的安全防护，降低了安全应用成本。降低了安全应用成本。降低了安全应用成本。

【技术实现步骤摘要】
一种保护数据传输的方法、装置、设备及介质


[0001]本专利技术涉及信息安全领域，特别涉及一种保护数据传输的方法、装置、设备及介质。

技术介绍

[0002]在工业控制系统领域，常见的规约协议为IEC 104规约、Modbus
‑
TCP规约等，这些规约均使用TCP协议（Transmission Control Protocol，即传输控制协议）传输了一个与基础通信层无关的应用规约数据单元(Application Protocol Data Unit，即APDU)，其具体格式可以参加图1中所示。由于IEC 104规约及Modbus规约在设计之初，未考虑任何对规约数据的机密性、完整性、不可否认性等保护措施，因此这两个规约均不具有防窃取和防篡改的能力，工控系统中的业务数据也只能在网络上进行明文传输。具体的业务数据处理流程可以参加图2中所示，第一业务系统生成业务数据后，则封装成APDU格式，并作为TCP协议的载荷以网络形式发出；第二业务系统收到TCP协议承载的APDU数据包后，对APDU数据包进行解封得到原始业务数据内容，并进行处理。
[0003]为了解决工控系统业务数据安全保密传输的问题，现有技术通过在业务系统的边界处部署VPN（virtual private network，即虚拟专用网络）类设备进行通道防护。例如以电力调度数据网为例，在GB/T 36572—2018《电力监控系统网络安全防护导则》中明确要求使用纵向加密认证装置保护上下级调度中心间或发电厂、变电站与调度中心间通道安全。然而通过这种方式，一来，工控领域应用的VPN类设备或者包含VPN功能的防火墙类设备售价较高，对通道的安全防护增加了工控系统建设及运营成本，即存在安全应用成本较高的问题；二来，VPN类设备的安全策略工作在网络层，即通过网络数据包的“源、目的地址+协议+源、目的端口”五元组来控制，无法识别工控协议内容并根据工控协议的控制字段来对数据包进行精细化的安全控制；三来，VPN类设备工作在工控网络的边界处，VPN类设备间的网络数据可以做到密文传输，避免被窃取和篡改，但网络数据包在工控系统与VPN设备之间是明文传输的，此时篡改了数据包的端口则可能导致业务数据明文传输，篡改了数据包的内容则可能导致对端的控制系统发生故障，即存在安全路径覆盖不完全的问题。
[0004]综上，在不依赖于第三方安全防护设备的情况下，如何实现业务数据传输过程中的安全防护，并降低安全应用成本是目前有待解决的问题。

技术实现思路

[0005]有鉴于此，本专利技术的目的在于提供一种保护数据传输的方法、装置、设备及介质，能够在不依赖于第三方安全防护设备的情况下，实现业务数据传输过程中的安全防护，并降低安全应用成本。其具体方案如下：第一方面，本申请公开了一种保护数据传输的方法，应用于第一业务系统，包括：在生成业务数据后，则按照APDU格式对所述业务数据进行封装处理得到APDU数据包；
基于预设的安全数据封装格式对所述APDU数据包进行封装处理得到封装后数据包，并将所述封装后数据包传输至第二业务系统；通过所述第二业务系统基于所述安全数据封装格式对所述封装后数据包进行解封装处理以得到所述业务数据，并调用预设处理程序对所述业务数据进行处理。
[0006]可选的，所述基于预设的安全数据封装格式对所述APDU数据包进行封装处理得到封装后数据包，包括：确定所述业务数据的目标保护类型，并利用所述目标保护类型设置安全载荷头中的类型字段；基于所述类型字段并按照预设认证方式对所述APDU数据包进行认证处理得到认证结果，并基于所述类型字段对所述APDU数据包进行加密处理得到加密结果；利用所述认证结果和所述加密结果设置认证载荷，并基于所述安全载荷头和所述认证载荷对所述APDU数据包进行封装得到封装后数据包。
[0007]可选的，所述基于所述类型字段并按照预设认证方式对所述APDU数据包进行认证处理得到认证结果，包括：确定所述类型字段中第一目标位数据的取值类型；若所述取值类型为第一预设取值类型，则预设认证方式为哈希认证，并对所述APDU数据包进行哈希运算处理得到第一哈希值；若所述取值类型为第二预设取值类型，则所述预设认证方式为签名认证，并对所述APDU数据包进行签名运算处理得到签名结果；若所述取值类型为第三预设取值类型，则不对所述APDU数据包进行认证处理。
[0008]可选的，所述基于所述类型字段对所述APDU数据包进行加密处理得到加密结果，包括：确定所述类型字段中第二目标位数据的取值结果，并将所述取值结果与预设取值进行与运算得到运算结果；判断所述运算结果是否为零，若不为零，则对所述APDU数据包进行加密处理得到加密结果，若为零，则不对所述APDU数据包进行加密处理。
[0009]可选的，所述通过所述第二业务系统基于所述安全数据封装格式对所述封装后数据包进行解封装处理以得到所述业务数据，包括：通过所述第二业务系统基于所述安全数据封装格式对所述封装后数据包进行解封装处理以得到所述认证载荷和所述安全载荷头中的所述类型字段；对所述认证载荷进行解密处理以得到所述APDU数据包，以及基于所述类型字段并按照所述预设认证方式对所述APDU数据包进行验证得到验证结果；若所述验证结果为用于表征验证成功，则对所述APDU数据包进行解封装处理得到所述业务数据。
[0010]可选的，所述按照所述预设认证方式对所述APDU数据包进行验证得到验证结果，包括：若所述预设认证方式为哈希认证，则对所述APDU数据包进行哈希运算处理得到第二哈希值，并验证所述第一哈希值与所述第二哈希值是否一致，若一致，则验证成功；若所述预设认证方式为签名认证，则对所述签名结果进行验签处理，并判断是否
验签成功，若是，则验证成功。
[0011]可选的，所述保护数据传输的方法，还包括：将所述安全数据封装格式设置为包括安全载荷头、携带有所述APDU数据包的业务载荷、认证载荷和安全载荷尾的数据包格式。
[0012]第二方面，本申请公开了一种保护数据传输的装置，应用于第一业务系统，包括：第一封装模块，用于在生成业务数据后，则按照APDU格式对所述业务数据进行封装处理得到APDU数据包；第二封装模块，用于基于预设的安全数据封装格式对所述APDU数据包进行封装处理得到封装后数据包，并将所述封装后数据包传输至第二业务系统；解封装模块，用于通过所述第二业务系统基于所述安全数据封装格式对所述封装后数据包进行解封装处理以得到所述业务数据，并调用预设处理程序对所述业务数据进行处理。
[0013]第三方面，本申请公开了一种电子设备，包括：存储器，用于保存计算机程序；处理器，用于执行所述计算机程序，以实现前述公开的保护数据传输的方法的步骤。
[0014]第四方面，本申请公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的保护数据传输的方法的步骤。
[0015]可见，本申请在生成业务数据后，则按照APDU格式对所述业务数据进行封装处理得到APDU数据包本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种保护数据传输的方法，其特征在于，应用于第一业务系统，包括：在生成业务数据后，则按照APDU格式对所述业务数据进行封装处理得到APDU数据包；基于预设的安全数据封装格式对所述APDU数据包进行封装处理得到封装后数据包，并将所述封装后数据包传输至第二业务系统；通过所述第二业务系统基于所述安全数据封装格式对所述封装后数据包进行解封装处理以得到所述业务数据，并调用预设处理程序对所述业务数据进行处理。2.根据权利要求1所述的保护数据传输的方法，其特征在于，所述基于预设的安全数据封装格式对所述APDU数据包进行封装处理得到封装后数据包，包括：确定所述业务数据的目标保护类型，并利用所述目标保护类型设置安全载荷头中的类型字段；基于所述类型字段并按照预设认证方式对所述APDU数据包进行认证处理得到认证结果，并基于所述类型字段对所述APDU数据包进行加密处理得到加密结果；利用所述认证结果和所述加密结果设置认证载荷，并基于所述安全载荷头和所述认证载荷对所述APDU数据包进行封装处理得到封装后数据包。3.根据权利要求2所述的保护数据传输的方法，其特征在于，所述基于所述类型字段并按照预设认证方式对所述APDU数据包进行认证处理得到认证结果，包括：确定所述类型字段中第一目标位数据的取值类型；若所述取值类型为第一预设取值类型，则预设认证方式为哈希认证，并对所述APDU数据包进行哈希运算处理得到第一哈希值；若所述取值类型为第二预设取值类型，则所述预设认证方式为签名认证，并对所述APDU数据包进行签名运算处理得到签名结果；若所述取值类型为第三预设取值类型，则不对所述APDU数据包进行认证处理。4.根据权利要求2所述的保护数据传输的方法，其特征在于，所述基于所述类型字段对所述APDU数据包进行加密处理得到加密结果，包括：确定所述类型字段中第二目标位数据的取值结果，并将所述取值结果与预设取值进行与运算得到运算结果；判断所述运算结果是否为零，若不为零，则对所述APDU数据包进行加密处理得到加密结果，若为零，则不对所述APDU数据包进行加密处理。5.根据权利要求3所述的保护数据传输的方法，其特征在于，所述通过...

【专利技术属性】
技术研发人员：宗琪，张雄风，江星，谢喻霞，邓强，兰昆，
申请(专利权)人：成都卫士通信息产业股份有限公司，
类型：发明
国别省市：