[发明专利]一种基于国密算法的工控编程平台安全通信方法及系统

说明书

本发明涉及一种基于国密算法的工控编程平台安全通信方法，设计IDE编程软件与控制器中安全RTE之间的程序安全加载方法，经工程师身份认证、双向身份认证、以及控制程序可信验证，执行控制程序到控制器中安全RTE的下载与更新；设计IDE组态监控软件与安全RTE之间的安全数据通信方法，经双向身份认证，执行彼此间通信过程中的数据安全保护；进一步相应系统，通过对工程师站、操作员站、控制器分别进行模块化设计，提高模块间的通信效率，进而高效执行安全通信方法，进一步提高对控制器运行过程监控的安全性；整个方案在实际应用中，能够覆盖工控系统研发、部署、运行、更新等各环节，可实现工控系统全生命周期的安全通信保护。

技术领域

本发明涉及一种基于国密算法的工控编程平台安全通信方法及系统，属于工控平台安全加密通信控制技术领域。

背景技术

目前，工控系统已在我国电力、燃气、供热、交通、制造等涉及国计民生的关键领域广泛应用。工控编程平台是工控系统的核心组件，包括上位机组态与编程环境IDE和下位机运行时环境RTE；IDE包括编程软件和组态监控软件，编程软件部署于工程师站，组态监控软件部署于操作员站，RTE部署于PLC、DCS等工业控制器。

工控编程平台的通信分为两类：一类是IDE编程软件与控制器间的通信，工程师使用编程软件编写控制程序、配置运行参数，下装或更新到控制器的RTE中，控制器按照控制程序的逻辑，周期性地通过输入口采集现场设备的运行数据，并通过输出口发送给操作员站的组态监控软件。另一类是IDE组件监控软件与控制器间的通信，操作员通过组态监控软件，根据现场设备的类型和连接方式，在软件上画出和现场设备执行顺序一直的界面，形象地实时监控现场设备的运行状况，并可根据需要向控制器发送控制指令调整现场设备的运行。可见，IDE功能强大，权限很高，控制IDE就可以对控制器植入病毒、木马、后门等恶意代码，任意控制现场设备的运行，甚至对工控系统造成毁灭性的破坏。因此，确保IDE与RTE间的安全通信至关重要。

IDE与RTE间主要采用底层基于TCP/IP协议的客户端/服务器网络通信方式，IDE为客户端，主动向控制器RTE发起连接请求。编程软件与控制器间上层通常采用各厂商自定义的私有协议，组态监控软件与控制器间采用标准的工业以太网协议，典型的如Profinet、Ethernet/IP、Modbus等。由于以前工控系统运行环境相对封闭，且对可用性、实时性的要求强于安全性，因此各厂商在设计协议时基本未考虑安全通信机制，普遍存在以下问题：

（1）IDE编程软件向控制器下装或更新控制程序时未对工程师进行身份认证，且与RTE通信时也未进行相互的身份认证，攻击者可以冒充合法的IDE与RTE通信，随意访问控制器并植入恶意代码。

（2）IDE组件监控软件与控制器RTE采用明文通信，对传输的数据未采用加密、完整性等保护机制，数据易被篡改、伪造。

由于IDE编程软件与控制器间的通信属于短连接通信（称为第一类通信），编程软件下装或更新完控制器程序即断开连接，而IDE组态监控软件一直与控制器RTE间保持长连接通信（称为第二类通信）。因此，现有的解决方案主要针对第二类通信协议进行改进，增加简易挑战/应答认证机制或基于密码学的安全通信机制，其中，简易挑战/应答认证机制是指用户在访问系统时，系统随机产生一个消息作为挑战值发送给用户，用户在对挑战值进行简单的运算处理后，将计算结果作为登录口令返回给系统，如果系统收到正确的应答，则验证通过。基于密码学的安全通信机制则采用对称、非对称、HASH等密码算法实现身份认证、数据加密、数据完整性保护等，实现通信安全。

现有技术虽然在一定程度上提高了IDE和RTE通信的安全性，但是仍存在如下不足：

（1）未对第一类通信进行安全保护，工程师操作IDE向RTE下装程序时未对用户身份和程序完整性进行校验，无法保证当前用户为合法用户，也无法保证程序没有被植入恶意代码；

（2）第二类通信采用的简易挑战/应答认证机制只进行了身份认证，且安全强度较弱，极易破解，无法保证数据不被篡改或伪造；