[发明专利]一种轻量无扰式的工业安全控制系统

权利要求书

1.一种轻量无扰式的工业安全控制系统，其特征在于，所述系统包括工业控制器、密码服务模块、服务器端、中心端密码服务驱动模块和USBkey模块，其中：

所述密码服务模块集成安装于所述工业控制器内，用于实现加解密功能，并存储设备证书；

所述中心端密码服务驱动模块安装部署在组态软件所在的服务器端，用于实现对工业控制器进行身份认证、协商秘钥、秘钥管理，以及加解密功能；

所述USBkey模块与所述服务器端采用USB口连接，该USBkey模块用于为所述中心端密码服务驱动模块提供密码运算相关的API接口；

具体来说，所述中心端密码服务驱动模块在收到组态软件的明文数据后，先将所述明文数据发送给所述USBkey模块，所述USBkey模块对明文数据进行加密，再由中心端密码服务驱动模块将所述USBkey模块返回的密文数据发送到所述工业控制器；

所述工业控制器在从所述服务器端接收到密文数据后，先将所述密文数据发给所述密码服务模块进行解密，再从解密后的密文中获取相应的原始报文数据；

所述工业控制器对原始报文数据进行处理后，将需要返回的报文发送给所述密码服务模块进行加密，再由工业控制器将所述密码服务模块返回的密文数据发送到所述服务器端；

所述中心端密码服务驱动模块在收到工业控制器发送的密文数据后，先将所述密文数据发送给所述USBkey模块，所述USBkey模块对密文数据进行解密，再由中心端密码服务驱动模块将所述USBkey模块返回的明文数据发送到所述组态软件；

其中，在所述工业控制器与所述服务器端进行密文数据传输过程中，首先由所述中心端密码服务驱动模块与所述工业控制器建立基础连接，并验证双方身份合法性，在验证通过后双方进行密钥协商；

所述中心端密码服务驱动模块采用协商后的对称密钥对从组态软件接收的原始报文数据进行加密，得到加密后的报文密文后，将密钥密文和报文密文一并发送给所述工业控制器；

所述工业控制器获取到密钥密文和报文密文后，首先采用密码服务模块的私钥对所述密钥密文进行解密，得到协商后的对称密钥；然后采用所述对称密钥解密所述报文密文，获得相应的原始报文数据。

2.根据权利要求1所述的轻量无扰式的工业安全控制系统，其特征在于，所述中心端密码服务驱动模块与所述工业控制器建立基础连接，并验证双方身份合法性的过程具体为：

所述中心端密码服务驱动模块产生随机数发给所述工业控制器；

所述工业控制器调用密码服务模块，使用密码服务模块的私钥对所收到的随机数进行数字签名，再将数字签名和密码服务模块内存放的数字证书发送给所述中心端密码服务驱动模块；

所述中心端密码服务驱动模块调用USBkey模块，验证所接收到的数字证书的有效性和数字签名的有效性，若成功，则表明通过身份认证。

3.根据权利要求1所述的轻量无扰式的工业安全控制系统，其特征在于，所述密钥协商是使用数字信封技术，利用非对称算法SM2加密和解密运算，在通讯二端生成相同的对称算法密钥，具体过程为：

首先所述密码服务模块生成一对SM2公私钥对，SM2私钥保存在所述密码服务模块中，SM2公钥导入到所述中心端密码服务驱动模块中；

所述中心端密码服务驱动模块产生随机数作为对称算法的密钥，并利用所述密码服务模块导入的SM2公钥对该随机数进行加密，再将加密结果发送给所述密码服务模块；

所述密码服务模块利用自己的SM2私钥对加密结果进行解密，解密的结果是所述中心端密码服务驱动模块产生的随机数，并作为自己的对称算法的密钥。

4.根据权利要求1所述的轻量无扰式的工业安全控制系统，其特征在于，

所述密码服务模块是具有USB接口的终端加密认证设备；

所述USBkey模块采用USB2.0高速芯片，芯片内带有高速安全控制处理器，支持国家密码管理局批准的对称算法SM1、非对称算法SM2和摘要算法SM3。

5.根据权利要求1所述的轻量无扰式的工业安全控制系统，其特征在于，

所述密码服务模块以电路板子板的形式固定在所述工业控制器的基板上；

所述工业控制器的CPU和所述密码服务模块以USB2.0高速的方式进行通讯。