[发明专利]一种基于隧道加解密的工业控制系统通信方法及系统

说明书

本公开提供的一种基于隧道加解密的工业控制系统通信方法及系统，通过对客户端设备透明的国密加解密隧道，使用处于有效期之内的第一通讯密钥和国密算法完成客户端设备和目标控制设备之间的加密通信，其中，第一通讯密钥由国密加解密隧道与目标控制设备通过身份识别和密钥协商确定。本公开基于透明的国密加解密隧道完成客户端设备与目标控制设备的加密通信，以代理服务的形式完成对客户端设备发送和接收的数据的加密解密的过程，规避了需要对客户端设备中的相关工控软件进行适应性改造的兼容性问题，容易在多样化的工业控制系统之间实现安全的通信。

技术领域

本发明涉及系统安全技术领域，尤其涉及一种基于隧道加解密的工业控制系统通信方法及系统。

背景技术

随着工业4.0与数字工厂进程的不断推进，对工业控制系统中的通信安全防护不容忽视。现有工业控制系统由于缺乏有效的安全传输手段，通信数据容易被劫持与伪造，存在巨大的安全风险。

同时，由于不同的工业控制系统在实际生产应用中的通信内容和实现机制存在差异，因此，如何在多样化的工业控制系统之间实现通信过程的安全，成为本领域技术人员急需解决的技术问题。

发明内容

鉴于上述问题，本发明提供一种克服上述问题或者至少部分地解决上述问题的一种基于隧道加解密的工业控制系统通信方法及系统，技术方案如下：

一种基于隧道加解密的工业控制系统通信方法，包括：

在客户端设备与目标控制设备之间通过国密加解密隧道进行通信的起始阶段，所述国密加解密隧道获得所述客户端设备发送的请求数据包，其中，所述请求数据包携带有所述目标控制设备的设备标识和目标工控协议，所述国密加解密隧道对所述客户端设备透明；

所述国密加解密隧道根据所述设备标识和所述目标工控协议，确定与所述请求数据包匹配的隧道加密策略；

所述国密加解密隧道根据所述隧道加密策略，在加密通讯数据库中查询与所述目标控制设备匹配的目标密钥信息；

所述国密加解密隧道确定所述目标密钥信息中是否存在处于有效期之内的第一通讯密钥，其中，该第一通讯密钥由所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定；

所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下，根据该第一通讯密钥和国密算法对所述请求数据包进行加密获得第一加密数据包；

所述国密加解密隧道将所述第一加密数据包发送至所述目标控制设备；

所述目标控制设备根据该第一通讯密钥对所述第一加密数据包进行解密获得所述请求数据包；

所述目标控制设备对所述请求数据包作出响应，获得响应数据包；

所述目标控制设备根据该第一通讯密钥和所述国密算法对所述响应数据包进行加密获得第二加密数据包；

所述目标控制设备将所述第二加密数据包发送至所述国密加解密隧道；

所述国密加解密隧道根据该第一通讯密钥对所述第二加密数据包进行解密，获得所述响应数据包并将所述响应数据包发送至所述客户端设备。

可选的，所述方法还包括：

所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下，将所述请求数据包中的目的信息与所述隧道加密策略中的协议转换策略进行匹配，若匹配成功，则所述国密加解密隧道根据所述协议转换策略对所述请求数据包进行协议转换操作。

可选的，所述方法还包括：