本发明专利技术工业控制安全技术领域,且公开了一种保障PLC和上位机之间安全通信的方法,包括,在上位机上安装PLC网络驱动,所述上位机向PLC发送请求指令;将所述PLC网络驱动与PLC安全装置之间建立安全通道,在所述安全通道内设置加密系统;所述PLC网络驱动与所述PLC安全装置进行定期握手报文传送,若传送时间超时则所述PLC网络驱动与所述PLC安全装置重建安全连接;若PLC安全装置收到未加密的上位机请求,则予以丢弃。通过将所述PLC网络驱动与PLC安全装置之间建立安全通道,所述安全通道是全程加密的,恶意程序无法解密,保障了PLC和上位机之间的安全通信。的安全通信。的安全通信。
【技术实现步骤摘要】
一种保障PLC和上位机之间安全通信的方法及系统
[0001]本专利技术涉及工业控制安全
,具体为一种保障PLC和上位机之间安全通信的方法及系统。
技术介绍
[0002]随着网络与信息技术的发展,工业生产对I C S(工业控制系统,Industrial Control System)的要求也在不断提高,特别是网络攻击的发展,现在已经有很多攻击软件可以直接控制PLC,进行一些物理破坏性的操作。攻击软件可以通过中间人攻击来篡改PLC通信报文,也可以模拟上位机软件直接发送控制报文或者下载代码给PLC来进行生产破坏。
[0003]由于工业企业的特殊性,PLC硬件通常会持续使用数十年都不会更换,这些老旧的PLC不能更新最新的补丁,一旦工控内网被入侵,就直接面对被攻击的危险,但在这种情况下却缺少防护的手段,来保障保障PLC和上位机之间的安全通信。
技术实现思路
[0004]本专利技术主要是提供一种保障PLC和上位机之间安全通信的方法及系统为了解决上述技术问题,本专利技术采用如下技术方案:一种保障PLC和上位机之间安全通信的方法,包括:在上位机上安装PLC网络驱动,所述上位机向PLC发送请求指令;将所述PLC网络驱动与PLC安全装置之间建立安全通道,在所述安全通道内设置加密系统所述PLC网络驱动与所述PLC安全装置进行定期握手报文传送,若传送时间超时则所述PLC网络驱动与所述PLC安全装置重建安全连接;若PLC安全装置收到未加密的上位机请求,则予以丢弃。
[0005]进一步的,所述PLC网络驱动截获到所述上位机向PLC发送的指令请求,先发送安全连接指示给对端的所述PLC安全装置;所述PLC安全装置向所述PLC网络驱动发送安全连接的请求,包含自己支持的加密版本;所述PLC网络驱动把SSL证书发送给所述PLC安全装置。
[0006]进一步的,所述PLC安全装置校验证书的合法性,产生一个动态随机数作为对称加密的密钥,用证书包含的公钥加密该密钥并发送到PLC网络驱动;PLC网络驱动接收后用证书的私钥解密该对称密钥。
[0007]进一步的,加密公钥、双方都支持的加密算法的最高版本。
[0008]进一步的,PLC安全装置是单机设备,一对一部署设置在PLC和以太网之间;若是串口PLC,则部署在串口网口转接器和以太网之间。
[0009]一种保障PLC和上位机之间安全通信的系统,包括,上位机操作模块:用于将上位机上安装PLC网络驱动,所述上位机向PLC发送请求
指令;安全通道模块,用于将所述PLC网络驱动与PLC安全装置之间建立安全通道,在所述安全通道内设置加密系统;报文传送模块,用于将所述PLC网络驱动与所述PLC安全装置进行定期握手报文传送,若传送时间超时则所述PLC网络驱动与所述PLC安全装置重建安全连接;上位机请求判断模块,用于判断当PLC安全装置收到未加密的上位机请求,则予以丢弃。
[0010]进一步的,PLC网络驱动与PLC安全装置连接子模块,用于将所述PLC网络驱动截获到所述上位机向PLC发送的指令请求,先发送安全连接指示给对端的所述PLC安全装置;所述PLC安全装置向所述PLC网络驱动发送安全连接的请求,包含自己支持的加密版本;所述PLC网络驱动把SSL证书发送给所述PLC安全装置。
[0011]进一步的,PLC安全装置校验单元,所述PLC安全装置校验证书的合法性,产生一个动态随机数作为对称加密的密钥,用证书包含的公钥加密该密钥并发送到PLC网络驱动;解密单元:PLC网络驱动接收后用证书的私钥解密该对称密钥。
[0012]进一步的,加密公钥、双方都支持的加密算法的最高版本。
[0013]进一步的,PLC安全装置是单机设备,一对一部署设置在PLC和以太网之间;若是串口PLC,则部署在串口网口转接器和以太网之间。
有益效果
[0014]1、本专利技术中通过将所述PLC网络驱动与PLC安全装置之间建立安全通道,所述安全通道是全程加密的,恶意程序无法解密,保障了PLC和上位机之间的安全通信;2、可以防止中间人攻击;由于双方在建立安全通道之前会协商加密算法办法,所以该方法也支持通过软件升级的方式更换新的加密算法,以防止当前加密算法被破解,
附图说明
[0015]图1为保障PLC和上位机之间安全通信的方法示意图;图2为保障PLC和上位机之间安全通信的系统流程示意图;图3为保障PLC和上位机之间安全通信的系统连接示意图。
[0016]上述附图中:8、上位机软件;9、PLC网络驱动;10、PLC;11、PLC安全装置。
具体实施方式
[0017]以下将对本专利技术涉及的一种保障PLC和上位机之间安全通信的方法及系统的技术方案进一步详细说明。
[0018]如图1所示,一种保障PLC和上位机之间安全通信的方法,包括:S100:在上位机上安装PLC网络驱动,所述上位机向PLC发送请求指令在所述PLC之前设有PLC安全装置;具体的,所述PLC安全装置是单机设备,一对一部署,在PLC和以太网之间;若是是串口PLC,则部署在串口网口转接器和以太网之间。
[0019]S200:将所述PLC网络驱动与PLC安全装置之间建立安全通道,在所述安全通道内
设置加密系统;并且将所述PLC安全装置桥接到所述PLC;具体的,解密是靠新增加的桥接硬件PLC安全装置实现,通过将所述PLC网络驱动与PLC安全装置之间建立安全通道,所述安全通道是全程加密的,恶意程序无法解密,保障了PLC和上位机之间的安全通信。
[0020]具体的,所述PLC网络驱动截获到所述上位机向PLC发送的指令请求,先发送安全连接指示给对端的所述PLC安全装置;所述PLC安全装置向所述PLC网络驱动发送安全连接的请求,包含自己支持的加密版本;所述PLC网络驱动把SSL证书发送给所述PLC安全装置。
[0021]所述PLC安全装置校验证书的合法性,产生一个动态随机数作为对称加密的密钥,用证书包含的公钥加密该密钥并发送到PLC网络驱动;PLC网络驱动接收后用证书的私钥解密该对称密钥;加密公钥、双方都支持的加密算法的最高版本。
[0022]S300:所述PLC网络驱动与所述PLC安全装置进行定期握手报文传送,若传送时间超时则所述PLC网络驱动与所述PLC安全装置重建安全连接;具体的,对于上位机软件,和以前收发完全一样的报文,PLC安全装置也是收发完全一样的报文,但是,在网络中实际传输的报文却是加密的,所以在此中方式中对于PLC和上位机之间的信息安全得到了保障。
[0023]S400:若PLC安全装置收到未加密的上位机请求,则予以丢弃。
[0024]其中,上位机请求判断,当PLC安全装置收到未加密的上位机请求,则予以丢弃。
[0025]如图2、3所示,一种保障PLC和上位机之间安全通信的系统,包括,上位机操作模块01:用于将上位机上安装PLC网络驱动9,所述上位机向PLC10发送请求指令;安全通道模块02,用于将所述PLC网络驱动9与PL本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种保障PLC和上位机之间安全通信的方法,其特征在于,包括:在上位机上安装PLC网络驱动,所述上位机向PLC发送请求指令,在所述PLC之前设有PLC安全装置;将所述PLC网络驱动与PLC安全装置之间建立安全通道,在所述安全通道内设置加密系统;所述PLC网络驱动与所述PLC安全装置进行定期握手报文传送,若传送时间超时则所述PLC网络驱动与所述PLC安全装置重建安全连接;若PLC安全装置收到未加密的上位机请求,则予以丢弃。2.根据权利要求1所述的一种保障PLC和上位机之间安全通信的方法,其特征在于,所述将所述PLC网络驱动与PLC安全装置之间建立安全通道,在所述安全通道内设置加密系统,包括:所述PLC网络驱动截获到所述上位机向PLC发送的指令请求,先发送安全连接指示给对端的所述PLC安全装置;所述PLC安全装置向所述PLC网络驱动发送安全连接的请求,包含自己支持的加密版本;所述PLC网络驱动把SSL证书发送给所述PLC安全装置。3.根据权利要求2所述的一种保障PLC和上位机之间安全通信的方法,其特征在于,所述PLC网络驱动与PLC安全装置之间建立安全通道,包括:所述PLC安全装置校验证书的合法性,产生一个动态随机数作为对称加密的密钥,用证书包含的公钥加密该密钥并发送到PLC网络驱动;PLC网络驱动接收后用证书的私钥解密对称密钥。4.根据权利要求2所述的一种保障PLC和上位机之间安全通信的方法,其特征在于,所述SSL证书,包括:加密公钥、双方都支持的加密算法的最高版本。5.根据权利要求1所述的一种保障PLC和上位机之间安全通信的方法,其特征在于,包括:PLC安全装置是单机设备,一对一部署设置在PLC和以太网之间;若是串口PLC,则部署在串口网口转接器和以太网之间。6.一种保障PLC和上位机之间安全...
【专利技术属性】
技术研发人员:李斌,胡仁豪,原树生,
申请(专利权)人:北京网藤科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。