一种基于工业以太网的数据安全传输方法、系统及装置制造方法及图纸

本发明专利技术公开了一种基于工业以太网的数据安全传输方法、系统及装置，解决现有工业以太网中进行数据传输时，接收端不能对发送端的身份进行认证，无法保证数据传输安全性的问题。在该方法中当发送端发送数据信息时，还发送其数字签名以及待验证信息，交换设备根据待验证信息包含的时间戳信息和密钥信息完成对发送端身份的一次验证，根据数字签名完成对发送端身份的二次验证，当发送端的身份验证通过后，根据该数据信息的工业协议信息检验该数据信息的安全性。由于本发明专利技术实现了对发送端和数据信息的全面检测，既达到了对发送端身份验证的目的，又实现了对数据信息的安全性检验，因此，提高了在工业以太网中进行数据传输的安全性。

【技术实现步骤摘要】
一种基于工业以太网的数据安全传输方法、系统及装置
本专利技术涉及工业以太网
，尤其涉及一种基于工业以太网的数据安全传输方法、系统及装置。
技术介绍
随着通讯技术的迅速发展，信息网络已经成为社会发展的重要保证。由于网络的组网规模的扩大和组网模式的多元化，对于网络系统处理能力和连接能力的要求也在不断地提高。但在连接能力、信息流通能力提高的同时，基于网络连接的安全问题也日益突出。工业以太网是应用于工业控制领域的以太网技术，它以其适用性强、高实时性、高可互操作性、高可靠性和抗干扰性等突出特点，满足了工业现场对安全性和可靠性的更高要求。随着两化融合和物联网的快速发展，工业控制系统面临的安全问题日益严重，如何保证工业以太网的数据传输安全，将是未来工业领域急需解决的重要问题。在工业以太网中进行数据传输时，往往采用明文的形式进行传输，以数据白名单的下发为例：在进行数据白名单的传输时，一般通过网络对对端的交换机等设备进行远程的监控管理，第一交换机设备登陆第二交换机设备时，通过属于管理者的用户名和密码对该作为管理者的第一交换机设备进行验证，当验证通过时，第一交换机设备可以任意向第二交换机设备下发策略等数据白名单信息。一般在现有技术中第二交换机设备不对第一交换机设备的身份进行验证，只要该第一交换机设备能够输入正确的用户名和密码，即可通过网络对第二交换机设备进行数据白名单传输的操作，但该方法中接收数据白名单的第二交换机设备，不能确定是否为相应的管理者对其发送的相应数据白名单，并且即使完成对第一交换机设备的身份验证，也无法确定该数据白名单本身的安全性问题。因此，在现有的工业以太网中进行数据传输时，因为无法对发送端的身份进行验证，所以不能确定接收到的数据是否可靠，从而将导致严重的安全隐患，并且即使发送端的身份通过验证，对该发送端发送的数据信息也缺乏进一步的检验手段，因此，无法保证工业以太网中数据传输的安全性。
技术实现思路
本专利技术实施例提供一种基于工业以太网的数据安全传输方法、系统及装置，用以解决现有技术在工业以太网的交换设备中进行数据传输时，接收端不能对发送端的身份进行认证，无法保证数据安全性的问题。本专利技术实施例提供了一种基于工业以太网的数据安全传输方法，该方法包括：交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。本专利技术实施例提供了一种基于工业以太网的数据安全传输系统，该系统包括：其他设备，用于向交换设备发送报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；交换设备，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。本专利技术实施例提供了一种基于工业以太网的数据安全传输装置，该装置包括：接收模块，用于接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；验证模块，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；处理模块，用于当匹配成功时，处理该数据信息。本专利技术实施例提供了一种基于工业以太网的数据安全传输方法、系统及装置，该方法中交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。由于在本专利技术实施例中交换设备根据自身保存的验证信息对接收到的数据信息进行信息验证，并通过工业协议信息的匹配识别对该数据信息进行二次验证，从而达到对报文数据信息的安全性进行验证的目的，因此，该方法提高了工业网络中数据传输的安全性。附图说明图1为本专利技术实施例提供的一种基于工业以太网的数据安全传输过程示意图；图2为本专利技术实施例提供的一种基于工业以太网的数据安全传输的一个详细实施过程示意图；图3为本专利技术实施例提供的一种基于工业以太网的数据安全传输的另一详细实施过程示意图；图4为本专利技术实施例提供的一种基于工业以太网的数据安全传输系统结构示意图；图5为本专利技术实施例提供的一种基于工业以太网的数据安全传输装置的结构示意图；图6为本专利技术实施例提供的一种基于工业以太网的数据安全传输装置的结构示意图。具体实施方式本专利技术为了在工业以太网中提高数据传输的可靠性，本专利技术实施例提供了一种基于工业以太网的数据安全传输方法、系统及装置。下面结合说明书附图，对本专利技术进行详细说明。图1为本专利技术实施例提供的一种基于工业以太网的数据安全传输过程示意图，该过程包括以下步骤：S101：交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息。在本专利技术实施例中为了保证在工业以太网中报文传输的安全性，当其他设备向交换设备发送报文时，根据该报文的数据信息确定其数字签名，确定该报文的发送时间，将该发送时间对应的时间戳信息、数字签名、密钥信息及数据信息一并发送给作为接收端的交换设备。其中，所述其他设备可以为终端和传感器等节点设备，也可以为交换机等交换设备。S102：提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证，判断是否验证通过，当验证通过时，进行步骤S103，否则，将接收的数据丢弃。当交换设备接收到其他设备发送的报文后，提取该报文的时间戳信息和密钥信息对该报文进行验证，主要是实现对发送端身份的验证，在本专利技术实施例中作为接收端的交换设备在对该发送设备进行身份验证时，可以先通过时间戳信息进行验本文档来自技高网...

【技术保护点】
一种基于工业以太网的数据安全传输方法，其特征在于，所述方法包括：交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。

【技术特征摘要】
1.一种基于工业以太网的数据安全传输方法，其特征在于，所述方法包括：交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、所述其他设备的数字签名、时间戳信息和密钥信息；提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。2.如权利要求1所述的方法，其特征在于，所述提取所述报文中的时间戳信息，对该报文进行验证包括：交换设备根据所述报文获取该报文的源地址信息，其中该源地址信息包括源IP信息或源MAC信息；根据所述源地址信息及自身的地址信息，确定设备之间的链路延时；根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证。3.如权利要求2所述的方法，其特征在于，所述根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证包括：根据所述链路延时，提取的所述时间戳信息，确定接收所述报文的理论时间；判断所述理论时间，及当前的接收时间信息差的绝对值是否小于所述时间阈值信息。4.如权利要求1所述的方法，其特征在于，所述根据保存的密钥信息，对该报文进行验证包括：所述交换设备根据自身保存的私钥，对接收到的报文进行解密；识别解密后的该报文中的密钥信息；判断该密钥信息是否能够对该数据信息及其数字签名进行解密。5.如权利要求1所述的方法，其特征在于，所述工业协议信息包括：工业协议类型特征码和工业协议关键字；所述将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配包括：提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配；当匹配成功时，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配；或，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配，当匹配成功时，提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配。6.一种基于工业以太网的数据安全传输系统，其特征在于，所述系统包括：其他设备，用于向交换设备发送报文，其中所述报文中包括数据信息、所...

【专利技术属性】
技术研发人员：丁杰，孔勇，马化一，仁参考，李硕，张俭锋，薛百华，
申请(专利权)人：北京东土科技股份有限公司，
类型：发明
国别省市：