[发明专利]一种高效的OPC UA客户端与服务器端数据传输加密方法

说明书

本发明请求保护一种高效的OPC UA客户端与服务器端数据传输加密方法，涉及工业数据通信，信息安全。该方法主要应用于在OPC UA客户端和服务器之间安全交换秘钥信息以及数据传输。我们利用AES加密速度快的特性，用RSA在网络传输过程中安全管理AES密钥来平衡整个OPC UA客户端与OPC UA服务器之间完成密匙交换以及数据传输的实时性和安全性，对于我们工业数据通信，信息安全十分重要。

技术领域

本发明属于工业数据通信领域，属于信息安全方面，具体涉及一种高效的 OPC UA客户端与服务器端数据传输加密方法。

背景技术

OPC UA作为一种先进的工业信息交换规范已经得到了业界大多数自动化设备生产商的认可，势必成为主流的工业信息交换系统。但是OPC UA现在技术不够完全成熟，对于在秘钥的加密解密方面以及数据传输的安全方面难以达到很好的状况，基于目前国内外对于OPC UA安全领域的研究很少，而且OPC UA规范仅定义了OPC UA支持的安全机制，并没有针对具体运行环境详细定义应该执行的安全策略，复杂的安全机制和通信的实时性是一对矛盾，在工控领域尤为突出，尤其是处于底层的控制器，对实时性的要求极为苛刻。如何平衡性能以及实时性的问题是目前研究的重点。

OPC UA在通信的过程中首先要建立安全通道，服务器和客户端程序互相验证对方的证书，如果双方信任彼此的证书，则在安全通道上建立会话。根据OPC UA规范，UA中常用的证书类型是X.509v3，常用的安全策略有Basic128，采用 RSA不对称算法加解密，SHA1算法生成消息签名。RSA算法是公开密钥系统的代表，其安全性建立在具有大素数因子的合数，其因子分解困难这一法则之上的。而AES算法作为新一代的高级加密标准，运行时不需要计算机有非常高的处理能力和大的内存，操作可以很容易的抵御时间和空间的攻击，在不同的运行环境下始终能保持良好的性能。这使AES将安全，高效，性能，方便，灵活性集于一体，理应成为网络数据加密的首选。相比较，因为AES密钥的长度最长只有256比特，可以利用软件和硬件实现高速处理，而RSA算法需要进行大整数的乘幂和求模等多倍字长处理，处理速度明显慢于AES；所以AES算法加解密处理效率明显高于RSA算法。在密钥管理方面，因为AES算法要求在通信前对密钥进行秘密分配，解密的私钥必须通过网络传送至加密数据接收方，而RSA采用公钥加密，私钥解密(或私钥加密，公钥解密)，加解密过程中不必网络传输保密的密钥；所以RSA算法密钥管理要明显优于AES算法。从上面比较得知，由于RSA加解密速度慢，不适合大量数据文件加密，因此在网络中完全用公开密码体制传输机密信息是没有必要，也是不太现实的。AES加密速度很快，但是在网络传输过程中如何安全管理AES密钥是保证AES加密安全的重要环节。这样在传送机密信息的双方，如果使用AES对称密码体制对传输数据加密，同时使用RSA不对称密码体制来传送AES的密钥，就可以综合发挥AES和RSA的优点同时避免它们缺点来实现一种新的数据加密方案。

发明内容

本发明的目的在于提升目前OPC UA系统中数据交换时的加密效率，由于RSA 非对称加密性能速度慢性能差的弱点，因此我们利用RSA与AES交互加密的算法，既可以保证实时性，又可以保证数据传输的安全性，这样更利于OPC UA实时性系统的加密使用，提出了一种高效的OPC UA客户端与服务器端数据传输加密方法。本发明的技术方案如下：

一种高效的OPC UA客户端与服务器端数据传输加密方法，其包括以下步骤：

a.服务器首先创建RSA密匙对，即RSA公钥和私钥，通过Internet网络发送RSA公钥到客户端，同时保存RSA私钥；

b.客户端创建AES密钥，并用该AES密钥加密待传送的数据，同时用接受的RSA公钥加密AES密钥；

c.用RSA公钥加密后的AES密钥同密文一起通过Internet网络传输发送到服务器；