一种基于国密的烟草行业车间级数据传输方法及系统技术方案

本发明专利技术公开了一种基于国密的烟草行业车间级数据传输方法，其特征在于，包括C/S工控端数据传输方法：使用OPC server采集工控设备数据；使用Agent的同步模块同步OPC server中设备数据；通过密码机或者Agent中加密模块，使用国密算法加密设备数据；加密后的数据通过SSL安全通信链路进行传输；到达数据使用者后再进行解密；还包括B/S端数据传输方法。本发明专利技术针对烟草数据中的C/S工控端数据和B/S端管理端数据，通过国密算法对烟草数据进行加密，并对数据采用不同的传输方法，保证数据机密性、完整性，增加工控环境下数据的安全性。增加工控环境下数据的安全性。增加工控环境下数据的安全性。

【技术实现步骤摘要】
一种基于国密的烟草行业车间级数据传输方法及系统


[0001]本专利技术涉及烟草行业工控系统安全领域，具体涉及一种基于国密的烟草行业车间级数据传输方法及系统。

技术介绍

[0002]数字化转型是我国经济社会未来发展的必由之路。随着数字化、信息化的推进，网络安全威胁和风险不断涌现，基于内网隔离的传统烟草网络已经不满足新需求。
[0003]通过近年来国家局每年针对烟草行业的检查结果分析，工控系统数据管理存在重大缺失，不满足国家、行业相关安全要求。为了烟草行业支撑数字化、信息化业务，工业控制系统将数据开放，这种大量的、复杂的数据传输需求导致数据变得极易泄露。在数据共享的趋势下，数据安全风险的产生主要来自于外部网络直接访问未经加密的数据，针对车间内部数据安全缺乏针对性的、细粒度的控制措施，难以应对这些威胁，数据保密性、完整性亟需升级。
[0004]基于国密的数据传输加密机制是数据安全未来的发展趋势。国密即国家密码局认定的国产密码算法。该算法是我国自主研发创新的一套数据加密处理系列算法。从SM1
‑
SM4分别实现了对称、非对称、摘要等算法功能。特别适合应用于物联网、工控网等相关领域，完成身份认证和数据加解密等功能。
[0005]烟草工控网络既有基于C/S的工控数据，也有B/S端管理等数据，并且烟草工控数据在使用过程中，存在API调用复杂、明文传输等问题。需要针对不同的协议、规则调用这些数据，没有一个统一的数据传输规范，导致数据获取复杂。
[0006]因此，迫切需要深入研究烟草行业工控系统数据传输问题，实现和工控场景紧密结合的基于国密的烟草行业车间级数据传输解决方案。

技术实现思路

[0007]本专利技术的目的在于：针对上述存在的问题，提供一种基于国密的烟草行业车间级数据传输方法及系统，针对C/S工控端数据和B/S端管理数据，采用不同的数据传输方法，并且在数据传输过程中采用国密算法加密，有效的增强烟草行业车间工控数据的安全性。
[0008]本专利技术的技术方案如下：
[0009]本专利技术公开一种基于国密的烟草行业车间级数据传输方法，包括C/S工控端数据传输方法：
[0010]使用OPC server采集工控设备数据；
[0011]使用Agent的同步模块同步OPC server中设备数据；
[0012]通过密码机或者Agent中加密模块，使用国密算法加密设备数据；
[0013]加密后的数据通过SSL安全通信链路进行传输；
[0014]到达数据使用者后再进行解密。
[0015]作为优选，还包括B/S端数据传输方法：
[0016]通过接口获取B/S端数据；
[0017]通过密钥模块或者密码机，使用国密算法加密；
[0018]加密后的数据通过SSL安全通信链路进行传输；
[0019]到达数据使用者后再进行解密。
[0020]作为优选，所述C/S工控端数据传输方法的具体步骤如下：
[0021]S1：Agent初始化；
[0022]S2：用户端和服务端协商会话密钥；
[0023]S3：用户端向设备传输数据，首先用户端Agent使用会话密钥加密数据，然后通过SSL安全通信链路传输到服务端Agent，最后服务端Agent使用会话密钥解密数据；
[0024]S4：服务端Agent将S3中的数据自动同步到OPC server中，最后通过OPC server将数据传输到工控设备中；
[0025]S5：OPC server自动采集设备的返回数据，然后服务端Agent同步模块自动同步OPC server 中返回数据，然后使用会话密钥加密，最后通过SSL安全通信链路传输到用户端Agent中； S6：用户端Agent使用会话密钥将S5中返回数据解密，然后将设备数据传输给用户。
[0026]作为优选，S1具体包括：
[0027]S11：在车间OPC server服务器上部署Agent，并配置Agent环境，同步OPC server中数据，将Agent配置信息导出保存；
[0028]S12：在服务端和用户端中部署密码机，或者Agent中设有加密模块；
[0029]S13：将Agent部署在用户端上，并导入S11中Agent配置信息，进行Agent初始化。
[0030]作为优选，所述S2具体包括：
[0031]S21：用户端通过Agent或者密码机使用SM2国密算法生成公钥和私钥，私钥自身保存；
[0032]S22：用户端Agent使用SSL安全通信链路传输公钥到服务端Agent；
[0033]S23：服务端通过Agent或者密码机使用SM1/SM4国密算法生成会话密钥；
[0034]S24：服务端Agent使用S22中获得的公钥加密会话密钥；
[0035]S25：服务端Agent使用SSL安全通信链路传输加密后的会话密钥到用户端Agent；
[0036]S26：用户端Agent使用S21中私钥解密出会话密钥，完成密钥协商。
[0037]作为优选，所述B/S端数据传输方法的具体步骤如下：
[0038]S10：密钥模块初始化；
[0039]S20：用户端和服务端协商会话密钥；
[0040]S30：用户端向服务端传输数据，首先用户端使用会话密钥加密数据，然后通过SSL安全通信链路传输到服务端应用软件或者Web接口，最后服务端使用会话密钥解密数据；
[0041]S40：服务端将S30中的数据自动同步到数据库；
[0042]S50：服务端的返回数据使用会话密钥加密，再通过SSL安全通信链路传输到用户端中； S60：用户端使用会话密钥将S50中返回数据解密，然后将数据传输给用户。
[0043]作为优选，所述S20具体包括：
[0044]S201：用户端调用密钥模块或者密码机使用SM2国密算法生成公钥和私钥，私钥自身保存； S202：用户使用SSL安全通信链路传输公钥到服务端或者Web接口；
[0045]S203：服务端调用密钥模块或者密码机使用SM1/SM4国密算法生成会话密钥；
[0046]S204：服务端使用S202中获得的公钥加密会话密钥；
[0047]S205：服务端使用SSL安全通信链路传输加密后的会话密钥到用户端；
[0048]S206：用户端使用S201中私钥解密出会话密钥，完成密钥协商。
[0049]本专利技术公开一种基于国密的烟草行业车间级数据传输系统，采用基于国密的烟草行业车间级数据传输方法，包括C/S端工控数据传输框架；所述C/S端工控数据传输框架：含有用户端Agent的用户终端、服务端Agent、采集工控设备数据的OPC server；所述用户端Agent 和服务端Agent之间通过SSL安全通信链路进行传输，服务端Agent与OPC server之间数据传输；所述用户端Agent和服务端Agent都设有本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国密的烟草行业车间级数据传输方法，其特征在于，包括C/S工控端数据传输方法：使用OPC server采集工控设备数据；使用Agent的同步模块同步OPC server中设备数据；通过密码机或者Agent中加密模块，使用国密算法加密设备数据；加密后的数据通过SSL安全通信链路进行传输；到达数据使用者后再进行解密。2.根据权利要求1所述的基于国密的烟草行业车间级数据传输方法，其特征在于，还包括B/S端数据传输方法：通过接口获取B/S端数据；通过密钥模块或者密码机，使用国密算法加密；加密后的数据通过SSL安全通信链路进行传输；到达数据使用者后再进行解密。3.根据权利要求1所述的基于国密的烟草行业车间级数据传输方法，其特征在于，所述C/S工控端数据传输方法的具体步骤如下：S1：Agent初始化；S2：用户端和服务端协商会话密钥；S3：用户端向设备传输数据，首先用户端Agent使用会话密钥加密数据，然后通过SSL安全通信链路传输到服务端Agent，最后服务端Agent使用会话密钥解密数据；S4：服务端Agent将S3中的数据自动同步到OPC server中，最后通过OPC server将数据传输到工控设备中；S5：OPC server自动采集设备的返回数据，然后服务端Agent同步模块自动同步OPC server中返回数据，然后使用会话密钥加密，最后通过SSL安全通信链路传输到用户端Agent中；S6：用户端Agent使用会话密钥将S5中返回数据解密，然后将设备数据传输给用户。4.根据权利要求3所述的基于国密的烟草行业车间级数据传输方法，其特征在于，S1具体包括：S11：在车间OPC server服务器上部署Agent，并配置Agent环境，同步OPC server中数据，将Agent配置信息导出保存；S12：在服务端和用户端中部署密码机，或者Agent中设有加密模块；S13：将Agent部署在用户端上，并导入S11中Agent配置信息，进行Agent初始化。5.根据权利要求3所述的基于国密的烟草行业车间级数据传输方法，其特征在于，所述S2具体包括：S21：用户端通过Agent或者密码机使用SM2国密算法生成公钥和私钥，私钥自身保存；S22：用户端Agent使用SSL安全通信链路传输公钥到服务端Agent；S23：服务端通过Agent或者密码机使用SM1/SM4国密算法生成会话密钥；S24：服务端Agent使用S22中获得的公钥加密会话密钥；S25：服务端Agent使用SSL安全通信链路传输加密后的会话密钥到用户端Agent；S26：用户端Agent使用S21中私钥解密出会话密钥，完成密钥协商。

【专利技术属性】
技术研发人员：雷阳，林传喜，周业宙，殷耀华，高进舟，李民程，张真恺，陈慧嫔，李俊燊，秦川杨，
申请(专利权)人：云南昆船设计研究院有限公司，
类型：发明
国别省市：