【技术实现步骤摘要】
本专利技术涉及数据传输加解密领域,特别是涉及一种水利工控数据传输加解密方法及系统。
技术介绍
1、工业控制系统(industrial control system,ics)是水利工程的核心部位,随着工业控制系统和信息技术加速融合,在这一过程中,原本独立、封闭的工控系统面临着更多的外部威胁。一直以来工控网络系统更多的考虑其功能的可用性和业务的连续性,其安全性并未得到足够的重视,尤其缺乏对数据传输过程中的安全防护,致使安全隐患重重。典型的水利工业控制系统包括过程监控层、现场控制层以及现场设备层。过程监控层主要负责监督和控制系统各个环节的物理过程的功能实现,包含操作员站、工程师站、数据库服务器等设备。现场控制层一般由多个现地控制单元组成,包含可编程逻辑控制器等设备。现场设备层包含各类传感器和执行器,包括水位计、流量计、启闭机等。过程监控层与现场控制层之间一般使用工业以太网协议进行通信。现场控制层与现场设备层之间一般使用现场总线协议进行通信。
2、目前,水利工业控制系统中使用的工业以太网协议多为modbus tcp、profinet等,使用的现场总线协议多为modbus、modbus plus等,这些协议都是若干年前设计的,没有考虑协议安全性问题,攻击者利用协议漏洞很容易监听、篡改、伪造通信报文,进而控制plc对水利工程现场造成破坏。并且水利工控系统多为单一局域网部署,现有的安全网关多用于实现网域之间的加密通信,难以适配局域网内部设备之间的加密需求。已建水利工控系统数量庞大,对全部系统开展通信网络改造或重建成本较高,周期较长
技术实现思路
1、本专利技术的目的是提供一种水利工控数据传输加解密方法及系统,可提高水利工控数据传输安全性。
2、为实现上述目的,本专利技术提供了如下方案:
3、一种水利工控数据传输加解密方法,所述方法包括:
4、当用户设备连接的通信类型为网口通信时:
5、获取明文通信报文;明文通信报文为由过程监控层设备或现场控制层设备产生的数据;
6、采用对称加密算法根据第一初始向量和会话密钥对明文通信报文进行加密,生成加密消息;第一初始向量和会话密钥由第一加密网关和第二加密网关协商时的协商参数确定;第一加密网关为客户端加密网关,第二加密网关为服务端加密网关;
7、对第一校验值、第一头部信息、加密消息以及新的ip地址进行拼接,得到密文通信报文,并将密文通信报文发送到工业以太网网络中;第一校验值由加密消息、第一头部信息和验证密钥生成;第一头部信息包括安全索引参数和序列号;
8、当监听到工业以太网网络中密文通信报文对应的密文消息时,对密文消息进行校验,当校验通过后,采用对称加密算法根据第一初始向量和会话密钥对加密消息进行解密,得到明文消息,将明文消息发送至目标设备;目标设备包括过程监控层设备或现场控制层设备;
9、当用户设备连接的通信类型为串口通信时:
10、获取应用数据单元;应用数据单元为由现场控制层设备或现场设备层设备产生的数据;
11、对应用数据单元进行校验;当校验通过后,采用对称加密算法根据第二初始向量、预制加密密钥对应用数据单元进行加密,得到加密数据单元;第二初始向量由时间戳种子生成的伪随机数计算得到;
12、对加密数据单元添加第二头部信息和尾部信息,生成新的应用数据单元,并将新的应用数据单元发送到总线网络中;第二头部信息包括加密标识号、伪随机数和数据长度标识;尾部信息由应用数据单元、预制加密密钥、第二头部信息和加密数据单元确定;
13、当监听到总线网络中新的应用数据单元对应的密文数据单元时,对密文数据单元进行校验;当校验通过后,采用对称加密算法根据第二初始向量和预制加密密钥对加密数据单元进行解密,得到明文数据单元;
14、对明文数据单元进行校验,当校验通过后,将明文数据单元发送至目标设备。
15、可选的,在所述获取明文通信报文之前,还包括:
16、基于数字证书,通过第一加密网关和第二加密网关进行身份验证;当身份验证通过后,根据所述协商参数生成会话密钥、验证密钥和第一初始向量。
17、可选的,对所述密文消息进行校验,具体包括:
18、采用杂凑算法根据所述加密消息、所述验证密钥和密文消息的头部信息生成第二校验值;
19、根据所述第一校验值和所述第二校验值对所述密文消息进行校验。
20、可选的,对所述加密数据单元添加第二头部信息和尾部信息,生成新的应用数据单元,具体包括:
21、采用杂凑算法根据所述应用数据单元和所述预制共享密钥生成消息认证码;
22、在所述加密数据单元头部添加第二头部信息,得到更新加密数据单元;
23、根据所述更新加密数据单元和所述消息认证码计算得到新校验码;
24、将所述消息认证码和所述新校验码作为尾部信息,添加到所述更新加密数据单元的尾部,得到新的应用数据单元。
25、可选的,对所述密文数据单元进行校验,具体包括:
26、利用校验码生成函数根据所述更新加密数据单元和所述消息认证码计算得到临时校验码;
27、根据所述临时校验码和所述新校验码对所述密文数据单元进行校验。
28、可选的,对所述明文数据单元进行校验,具体包括:
29、采用杂凑算法根据所述明文数据单元和预制共享密钥计算得到临时消息认证码;
30、根据所述临时消息认证码和所述消息认证码对所述明文数据单元进行校验。
31、可选的,将所述明文数据单元发送至目标设备,具体包括:
32、根据所述明文数据单元中的目的地址将所述明文数据单元发送至目标设备。
33、本专利技术还提供了一种实现上述水利工控数据传输加解密方法的水利工控数据传输加解密系统,所述系统包括加密网关组、过程监控层设备、现场控制层设备和现场设备层设备;
34、其中,所述加密网关组,包括第一加密网关和第二加密网关;
35、所述过程监控层设备用于监督和控制水利工控系统各个环节的物理过程的功能实现,面向现场控制层设备的运行数据的收集监视,指令下发;
36、所述现场控制层设备,用于采集数据、现场控制以及接收所述过程监控层设备下发的指令;
37、所述现场设备层设备,用于采集现场状况的数据,向上响应现场控制层设备的指令,回传监测数据。
38、根据本专利技术提供的具体实施例,本专利技术公开了以下技术效果:本专利技术提供了一种水利工控数据传输加解密方法及系统,该方法包括:当用户设备连接的通信类型为网口通信时:获取明文通信报文;明文通信报文为由过程监控层设备或现场控制层设备产生的数据;采用对称加密算法根据第一初始向量和会话密钥对明文通信报文进行加密,生成加密消息;第一初始向量和会话密钥由第一加密网关和第二加密网关协商时的协商本文档来自技高网...
【技术保护点】
1.一种水利工控数据传输加解密方法,其特征在于,所述方法包括:
2.根据权利要求1所述的水利工控数据传输加解密方法,其特征在于,在所述获取明文通信报文之前,还包括:
3.根据权利要求1所述的水利工控数据传输加解密方法,其特征在于,对所述密文消息进行校验,具体包括:
4.根据权利要求1所述的水利工控数据传输加解密方法,其特征在于,对所述加密数据单元添加第二头部信息和尾部信息,生成新的应用数据单元,具体包括:
5.根据权利要求4所述的水利工控数据传输加解密方法,其特征在于,对所述密文数据单元进行校验,具体包括:
6.根据权利要求4所述的水利工控数据传输加解密方法,其特征在于,对所述明文数据单元进行校验,具体包括:
7.根据权利要求1所述的水利工控数据传输加解密方法,其特征在于,将所述明文数据单元发送至目标设备,具体包括:
8.一种实现权利要求1所述水利工控数据传输加解密方法的水利工控数据传输加解密系统,其特征在于,所述系统包括加密网关组、过程监控层设备、现场控制层设备和现场设备层设备;
【技术特征摘要】
1.一种水利工控数据传输加解密方法,其特征在于,所述方法包括:
2.根据权利要求1所述的水利工控数据传输加解密方法,其特征在于,在所述获取明文通信报文之前,还包括:
3.根据权利要求1所述的水利工控数据传输加解密方法,其特征在于,对所述密文消息进行校验,具体包括:
4.根据权利要求1所述的水利工控数据传输加解密方法,其特征在于,对所述加密数据单元添加第二头部信息和尾部信息,生成新的应用数据单元,具体包括:
5.根据权利要求4所述的水利工控...
【专利技术属性】
技术研发人员:刘豪杰,刘朋俊,荆芳,何刘鹏,葛创杰,姜成桢,胡洁,王戈飞,荆海峰,
申请(专利权)人:黄河勘测规划设计研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。