【技术实现步骤摘要】
一种基于国密算法的工控编程平台及构建方法与运行方法
[0001]本专利技术涉及一种基于国密算法的工控编程平台及构建方法与运行方法,属于安全工控平台
技术介绍
[0002]作为国家关键基础设施运行的“神经中枢”,工业控制系统已经广泛应用到装备制造等关键工业领域。工业控制系统一般由上位机的编程/监控系统和下位机的可编程逻辑控制器/分散控制系统(PLC/DCS)等组成。工控编程平台便是上下位机系统的“软件内核”,即是“中枢的中枢”,包括编程/监控环境IDE、运行时环境RTE等。工控编程平台是工控系统的开发环境,包括上位机编程/监控环境IDE和下位机运行时环境RTE,IDE部署于工程师站,RTE部署于PLC、DCS等工业控制器。
[0003]目前,国内主流行业的工业控制系统,尤其是高端行业应用,大部分仍采用德国西门子Siemens、美国罗克韦尔Rockwell、法国施耐德Schneider等国外产品;工控编程平台主要包括西门子的TIA Portal、STEP7、WinCC,罗克韦尔的RSLogix5000、施耐德的Unity Pro XL等,还有很多公司包括中国工控企业还采用了德国CodeSYS的编程平台。
[0004]上述产品在设计、开发中几乎完全没有考虑网络安全,存在协议栈脆弱易遭受拒绝服务攻击、指令篡改防范能力弱、易遭受伪源攻击、缺乏身份认证能力、漏洞修补难且慢、易遭受新型漏洞攻击、存在预置后门的可能。这些都对我国的工控行业造成了巨大的安全威胁。
[0005]目前针对工控系统安全防护主 ...
【技术保护点】
【技术特征摘要】
1.一种基于国密算法的工控编程平台,用于实现对工业控制器的逻辑控制,其特征在于:包括部署于工程师站的安全集成开发系统IDE、以及部署于工业控制器中的安全运行时系统RTE;安全集成开发系统IDE包括安全策略库、安全管理模块、以及逻辑编程环境子系统,其中,逻辑编程环境子系统用于生成符合用户设计的逻辑控制文件,进而基于安全策略库,由安全管理模块针对逻辑控制文件、以及其所对应用户执行认证加密安全操作;安全集成开发系统IDE与安全运行时系统RTE之间通过基于国密算法的安全通信协议进行通信;安全运行时系统RTE包括运行时程序子系统、以及由安全集成开发系统IDE下装的安全策略子库,基于安全策略子库,由运行时程序子系统针对来自安全集成开发系统IDE、并执行认证加密安全操作后的逻辑控制文件及其所对应用户,进一步执行验证安全操作;最后将验证通过的逻辑控制文件交由工业控制器进行执行,实现对工业控制器的逻辑控制。2.根据权利要求1所述一种基于国密算法的工控编程平台,其特征在于:所述安全集成开发系统IDE中的安全策略库包括通用功能块库、工控业务功能块库、安全防护算法库、密码算法库、安全防护策略库、以及知识库,安全集成开发系统IDE中的安全管理模块包括文件加密模块、文件签名/验签模块、完整性保护模块、用户认证模块、安全编译模块、权限管理模块、安全通信模块;其中,基于安全策略库,由文件加密模块与文件签名/验签模块针对逻辑控制文件执行加密、签名、签名验证操作;基于安全策略库,由用户认证模块针对逻辑控制文件所对应用户执行用户身份认证;基于安全策略库,由权限管理模块针对逻辑控制文件所对应用户执行细粒度用户权限管理;基于安全策略库,由安全通信模块采用基于国密算法的安全通信协议,实现安全集成开发系统IDE与安全运行时系统RTE之间的双向用户身份认证、传输数据的加密,并结合完整性保护模块实现传输数据完整性保护;基于安全策略库,由安全编译模块针对逻辑控制文件执行安全检查。3.根据权利要求2所述一种基于国密算法的工控编程平台,其特征在于:所述基于安全策略库,由安全编译模块针对逻辑控制文件执行静态安全检查和动态安全检查;其中,静态安全检查基于预定义安全规则,对逻辑控制文件中语义树进行数据流及控制流分析、并进行安全增强;动态安全检查将逻辑控制文件可执行代码在虚拟机中动态仿真运行,分析脆弱点并进行安全增强。4.根据权利要求1所述一种基于国密算法的工控编程平台,其特征在于:所述安全运行时系统RTE中由安全集成开发系统IDE下装的安全策略子库包括用户程序、硬件/通信配置文件、安全策略文件、轻量级安全防护算法库、轻量级密码算法库,所述安全运行时系统RTE中运行时程序子系统包括运行态访问许可认证模块、用户程序保护模块、运行模式保护模块、威胁识别模块、安全通信子模块;其中,基于安全策略子库,由运行态访问许可认证模块对访问运行时系统的用户进行身份认证、以及权限控制;由用户程序保护模块对安全策略子库中的用户程序进行签名验证和加密保护;
基于安全策略子库,由运行模式保护模块用于区分工业控制器的调试模式和运行模式,并分别进行保护;基于安全策略子库,由威胁识别模块实现异常报文检测、异常流量检测、异常指令检测和异常行为检测;基于安全策略子库,由安全通信子模块实现与基于国密算法的工业控制器之间的通信。5.根据权利要求4所述一种基于国密算法的工控编程平台,其特征在于:所述用户程序包括访问保护与指定功能保护。6.根据权利要求1所述一种基于国密算法的工控编程平台,其特征在于:若存在至少两个工业控制器,则不同工业控制器之间基于各工业控制器中安全运行时系统RTE实时安全通信,实现数据的汇集或共享。7.实现权利要求1至6中任意一项所述一种基于国密算法的工控...
【专利技术属性】
技术研发人员:胡静,张胜,陈飞,
申请(专利权)人:信联科技南京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。