[发明专利]一种基于隧道加解密的工业控制系统通信方法及系统

权利要求书

1.一种基于隧道加解密的工业控制系统通信方法，其特征在于，包括：

在客户端设备与目标控制设备之间通过国密加解密隧道进行通信的起始阶段，所述国密加解密隧道获得所述客户端设备发送的请求数据包，其中，所述请求数据包携带有所述目标控制设备的设备标识和目标工控协议，所述国密加解密隧道对所述客户端设备透明；

所述国密加解密隧道根据所述设备标识和所述目标工控协议，确定与所述请求数据包匹配的隧道加密策略；

所述国密加解密隧道根据所述隧道加密策略，在加密通讯数据库中查询与所述目标控制设备匹配的目标密钥信息；

所述国密加解密隧道确定所述目标密钥信息中是否存在处于有效期之内的第一通讯密钥，其中，该第一通讯密钥由所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定；

所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下，根据该第一通讯密钥和国密算法对所述请求数据包进行加密获得第一加密数据包；

所述国密加解密隧道将所述第一加密数据包发送至所述目标控制设备；

所述目标控制设备根据该第一通讯密钥对所述第一加密数据包进行解密获得所述请求数据包；

所述目标控制设备对所述请求数据包作出响应，获得响应数据包；

所述目标控制设备根据该第一通讯密钥和所述国密算法对所述响应数据包进行加密获得第二加密数据包；

所述目标控制设备将所述第二加密数据包发送至所述国密加解密隧道；

所述国密加解密隧道根据该第一通讯密钥对所述第二加密数据包进行解密，获得所述响应数据包并将所述响应数据包发送至所述客户端设备；

所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下，将所述请求数据包中的目的信息与所述隧道加密策略中的协议转换策略进行匹配，若匹配成功，则所述国密加解密隧道根据所述协议转换策略对所述请求数据包进行协议转换操作。

2.根据权利要求1所述的方法，其特征在于，还包括：

在所述目标密钥信息中不存在有效期之内的通讯密钥，或，所述目标密钥信息中处于有效期之内的第一通讯密钥的剩余有效期小于第一预设时长的情况下，所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定第二通讯密钥；

所述国密加解密隧道将所述第二通讯密钥添加至所述目标密钥信息中。

3.根据权利要求2所述的方法，其特征在于，所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定第二通讯密钥可以包括：

所述国密加解密隧道将第一数字证书和经第一私钥加密后的第一随机数发送至所述目标控制设备；

所述目标控制设备根据CA服务器的根证书，对所述第一数字证书进行有效性验证；若验证通过，所述目标控制设备使用所述第一数字证书携带的第一公钥对经第一私钥加密后的所述第一随机数进行解密；

所述目标控制设备生成第二随机数，并根据解密后的所述第一随机数和所述第二随机数生成第二通讯密钥并存储所述第二通讯密钥；

所述目标控制设备将第二数字证书、解密后的所述第一随机数以及经第二私钥加密后的所述第二随机数发送至所述国密加解密隧道；

所述国密加解密隧道根据所述CA服务器的根证书，对所述第二数字证书和解密后的所述第一随机数进行有效性验证，若验证通过，则使用所述第二数字证书携带的第二公钥对第二私钥加密后的所述第二随机数进行解密；

所述国密加解密隧道根据所述第一随机数和解密后的所述第二随机数生成所述第二通讯密钥并存储所述第二通讯密钥；

所述国密加解密隧道使用所述第二通讯密钥对解密后的所述第二随机数进行加密，并将经所述第二通讯密钥加密后的所述第二随机数发送至所述目标控制设备；

所述目标控制设备使用所述第二通讯密钥对经所述第二通讯密钥加密后的所述第二随机数进行解密，并对解密后的所述第二随机数进行有效性验证，若验证通过，则所述目标控制设备向国密加解密隧道发送可使用所述第二通讯密钥进行加密通信的通知。

4.根据权利要求3所述的方法，其特征在于，所述第一数字证书由所述CA服务器向所述国密加解密隧道签发，所述第二数字证书由所述CA服务器向所述目标控制设备签发。