【技术实现步骤摘要】
本专利技术属于自动化控制和信息安全,具体涉及一种可信状态传输及存储方法、装置、设备和存储介质。
技术介绍
1、在包含有分布式控制系统(简称为dcs)的工业控制网络中,上位机、dcs控制器等设备本身不具备主动安全防护能力,同时上位机与dcs控制器之间、dcs控制器与dcs控制器之间的数据交互不存在任何的数据安全防御能力。
2、当前将工业控制网络中的设备替换为带有主动可信安全加固功能的上位机及控制器后,使得工业控制网络中的以太网设备具备了主动安全的防御能力,而这种自身主动安全防御功能是数据安全交互的基础,在数据交互的过程中,双方通过主动安全防御功能的判断,可以保证自身的安全状态;但是对于现有的设备,在进行数据交互时,如何判断数据交互过程中对端设备的安全状态,尚未出现有效且能够满足高实时性需求的解决方案,增加了数据传输的风险。
技术实现思路
1、本专利技术的目的在于克服上述现有技术的缺点,提供一种可信状态传输及存储方法、装置、设备和存储介质,以解决现有技术中,工业控制设备在和对端设备数据交互过程中,难以判断对端设备安全状态的问题。
2、为达到上述目的,本专利技术采用以下技术方案予以实现:
3、一种可信状态传输及存储方法,包括以下步骤:
4、s1,控制器接收上位机传输数据请求,判断是否与上位机建立数据传递信任链,如果已建立,执行s4,否则执行s2;
5、s2,控制器向上位机发送建立数据传递信任链的请求报文;上位机对接收到的请求报文
6、s3,基于数据传递信任链的成功报文,控制器和上位机相互认定为可信状态;
7、s4,存储所述可信状态,控制器和上位机之间相互传输数据。
8、本专利技术的进一步改进在于:
9、优选的,s2中,控制器向上位机发送建立数据传递信任链的请求报文前,通过上位机id选择对应的上位机公钥,基于上位机公钥,通过tcm模块对请求报文加密。
10、优选的,s2中,上位机通过tcm模块对请求报文解密;
11、判断请求报文是否满足设定条件一的过程为:判断请求报文中的上位机id与本机id是否相同,如果相同,存储请求报文序号;判断请求报文的发送时间和上位机接收时间的时间差是否小于设定阈值一,如果小于设定阈值一,上位机向控制器回复同意建立数据传递信任链的确认报文。
12、优选的,s2中,控制器通过tcm模块对确认报文解密;
13、判断确认报文是否满足设定条件二的过程为:判断确认报文中的控制器id与本控制器id是否相同,如果相同,判断控制器发出的请求报文序号加1后的序号与确认报文中请求报文序号是否相同,如果相同,判断上位机发送确认报文的时间与控制器的系统时间的时间差是否小于设定阈值二,如果小于设定阈值二,控制器向上位机反馈建立数据传递信任链的成功报文。
14、优选的,s4中,控制器和上位机之间相互传输数据过程,还包括:控制器和上位机之间周期性的重复s2和s3,判断数据传递信任链是否为可信状态。
15、优选的,s4中,所述可信状态存储在tcm模块的安全存储区中;
16、如果安全存储区的时间与控制器的系统时间均超过3个周期,认定安全存储区中的数据传递信任链不可信。
17、优选的,s1中,控制器接收上位机传输数据请求中的数据包括动态实时采集数据和操作指令数据;
18、s4中,当控制器和上位机之间相互传输的数据为动态实时采集数据时,还要通过轮询检测控制器可信状态;
19、s4中,当控制器和上位机之间相互传输的数据为操作指令数据时,首先判断数据传递信任链是否可信,如果不可信,则放弃发送;如果可信,对传输操作指令数据的报文进行二次可信校验,二次可信校验通过后,控制器和上位机之间传输操作指令数据。
20、一种可信状态传输及存储装置,包括:
21、判断模块,用于控制器接收上位机传输数据请求,判断是否与上位机建立数据传递信任链,如果已建立,执行传输模块,否则执行建立模块;
22、建立模块,用于控制器向上位机发送建立数据传递信任链的请求报文;上位机对接收到的请求报文解密,判断请求报文是否满足设定条件一,如果满足,向控制器回复同意建立数据传递信任链的确认报文;控制器将确认报文解密,判断确认报文是否满足设定条件二,如果满足,向上位机反馈建立数据传递信任链的成功报文;
23、确认模块,用于基于数据传递信任链的成功报文,控制器和上位机相互认定为可信状态;
24、传输模块,用于存储所述可信状态,控制器和上位机之间相互传输数据。
25、一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一项所述可信状态传输及存储方法的步骤。
26、一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述可信状态传输及存储方法的步骤。
27、与现有技术相比,本专利技术具有以下有益效果:
28、本专利技术公开了一种可信状态传输及存储方法,该方法中控制器首先判断与上位机之间是否有数据传递信任链,如果已建立,直接传输数据,如果未建立,则向上位机发送建立数据传递信任链的请求报文,上位机对接收到的请求报文解密并判断是否满足设定条件一,如果满足,向控制器回复确认报文;控制器将确认报文解密后判断是否满足设定条件二,如果满足,向上位机反馈建立数据传递信任链的成功报文,然后传输数据;该方法能够保证控制器可以持续安全的维护数据传递信任链的可信状态,同时能够使得可信状态存放在一个较安全的区域,保证工控业务数据在不受影响的前提下,增强工控业务数据传递的安全性。
本文档来自技高网...【技术保护点】
1.一种可信状态传输及存储方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,S2中,控制器向上位机发送建立数据传递信任链的请求报文前,通过上位机ID选择对应的上位机公钥,基于上位机公钥,通过TCM模块对请求报文加密。
3.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,S2中,上位机通过TCM模块对请求报文解密;
4.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,S2中,控制器通过TCM模块对确认报文解密;
5.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,S4中,控制器和上位机之间相互传输数据过程,还包括:控制器和上位机之间周期性的重复S2和S3,判断数据传递信任链是否为可信状态。
6.根据权利要求5所述的一种可信状态传输及存储方法,其特征在于,S4中,所述可信状态存储在TCM模块的安全存储区中;
7.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,S1中,控制器接收上位机传输数据请求中的数据包括动态实时采集
8.一种可信状态传输及存储装置,其特征在于,包括:
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述可信状态传输及存储方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述可信状态传输及存储方法的步骤。
...【技术特征摘要】
1.一种可信状态传输及存储方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,s2中,控制器向上位机发送建立数据传递信任链的请求报文前,通过上位机id选择对应的上位机公钥,基于上位机公钥,通过tcm模块对请求报文加密。
3.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,s2中,上位机通过tcm模块对请求报文解密;
4.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,s2中,控制器通过tcm模块对确认报文解密;
5.根据权利要求1所述的一种可信状态传输及存储方法,其特征在于,s4中,控制器和上位机之间相互传输数据过程,还包括:控制器和上位机之间周期性的重复s2和s3,判断数据传递信任链是否为可信状态。
【专利技术属性】
技术研发人员:王利国,刘入维,张欢,宋美艳,程国栋,韩培林,项涛,邱起瑞,王鑫,豆心杰,王晓凯,李家港,
申请(专利权)人:西安热工研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。