[发明专利]一种组态存档加密及解密方法、装置存储介质及设备

说明书

本发明涉及一种组态存档加密及解密方法、装置存储介质及设备，其包括硬件授权控制器、加密模块和解密验证模块；所述硬件授权控制器，部署在计算机上，过USB/或并口与计算机进行连接，用于生成公私密钥对；所述加密模块，根据所述硬件授权控制器生成的公私密钥对对原始组态存档数据进行加密、签名，生成加密组态存档数据；所述解密验证模块，利用私钥对所述加密组态存档数据进行存档解密，解密成功，表明组态存档数据可靠；再使用签名时公开的公钥进行验证，验证通过后，表明组态存档数据可信。本发明能实现工程组态配置数据的安全可靠、抵抗非法篡改，保证数据的完整、一致性。

技术领域

本发明涉及一种数据信息安全技术领域，特别是关于一种组态存档加密及解密方法、装置存储介质及设备。

背景技术

随着信息化与工业化深度融合的快速发展，越来越多的IT技术应用到工业控制系统行业，工业控制系统的信息安全问题日益突出。当前最突出的前三位安全威胁是：恶意代码攻击、信息非法窃取、数据和系统非法破坏，其中以用户私密信息以及数据为目标的恶意代码攻击超过传统病毒成为最大安全威胁。在工业控制场景中，控制组态存档包括了控制系统关键的参数配置信息，涉及到现场工艺、控制策略、产品质量、人员考核等一些列敏感数据。为保证存档数据的安全性，即防止无效篡改、无效访问，业内普遍的做法是对其进行加密存储、解密访问。

工业控制系统运行过程中数据复杂且相对封闭，配置信息数据在存储过程中需要可靠的数据加密认证机制。数据加密作为一项基本技术是所有通信安全的基础，在多数情况下，数据加密是保证数据机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种，可以分对称密钥加密和非对称密钥加密。

对称加密技术的优点：算法效率高，较高的保密强度；缺点：加解密的密钥要么必须通过安全途径传送，或者固化在软件内部，不但不便于软件更新，而且一旦被逆向、破解，将导致信息泄露、数据篡改等严重的信息安全事故。

非对称加密技术的优点：安全性高。算法使用一对完全匹配的秘钥，一个用来加密，一个用来解密，而且公钥是公开的，秘钥是自己保存的，不需要像对称加密那样在通信之前要先同步秘钥。因此非对称加密算法更安全，密钥越长，它就越难破解。缺点是加密和解密花费时间长、速度慢。

常见三种加密、解密实现方法如下：

方法一：采用存档原始数据；生成指定长度的随机内容，并将生成的所述随机内容添加至所述原始数据中，以形成新数据；基于所述新数据的长度以及所述预设冗余数据，生成所述新数据的加密密钥；利用所述加密密钥对所述新数据进行加密。对应解密方法是识别加密后的数据的长度，并基于识别出的所述长度以及所述预设冗余数据，生成所述加密后的数据所使用的加密密钥；利用所述加密密钥对所述加密后的数据进行解密，得到解密后的数据；从所述解密后的数据中去除所述数据加密装置添加的具备指定长度的随机内容，得到原始数据。该方法的缺点是对等加密的密钥以及预设冗余数据均为软件内置，可能被非法获取。同时它们是固化在软件产品内部，一旦被获取会造成大规模的数据泄密事件发生。

方法二：接收存储设备发送的密钥信息；其中，所述密钥信息中携带有标识以及第一加密信息，所述标识用于表示出所述唯一第二加密设备；利用所述标识判断本端是否与所述存储设备匹配；当与所述存储设备匹配时，提取所述第一加密信息；基于所述第一加密信息对所述待加密数据进行加密，以得到加密数据。通过对带有标识的数据信息进行匹配加密，保证了数据从存储设备到本端的数据安全性，进而能够保证在使用生产智能设备进行远程控制时的安全性问题。该方法虽然增加了可信验证的环节，但是其传输的标识信息仍是明文，存在被截获、篡改的可能性。同时针对组态存档的多样性应用要求，设计不合理的可信验证的环节会增加加密、解密的复杂度，导致效率下降。