[发明专利]一种工业通信协议高鲁棒性实时加解密方法

说明书

本发明涉及一种工业通信协议高鲁棒性实时加解密方法。本发明利用现阶段工业嵌入式设备内存容量不断增大的条件，通过增加并发内存容量、预存多个子密码的方法，在通用流密码技术基础上增加了容错和加解密并发处理，实现了工业通信协议的高鲁棒性实时加解密。本发明实现的工业通信加解密程序在处理器主频高于100MHz、内存容量支持程序完整运行的情况下，可达到工业通信协议一次通信加解密增加时延1us，3个或更多节拍失序依然正常工作，实现高实时性和鲁棒性。

技术领域

本发明属于工业网络安全技术领域，涉及一种工业通信协议高鲁棒性实时加解密方法。

背景技术

目前工业通信协议在工业控制现场运行时基本处于不加密状态，原因在于工业控制现场需满足实时性要求，而公钥+对称密钥的传统通信协议加密方式耗时较高，会影响到协议运行的实时性能，不适合工业通信协议加密。为了提高加密的速度，一般使用流加密技术对协议流进行加密。流加密技术用流密码对协议流进行异或运算，由于流密码自身是近似随机的，异或后的协议流也具备近似随机特点。但是通用流密码技术的鲁棒性不高，流密码的产生过程为，从获得初始密钥开始，按节拍顺次产生后一个流密码用于加密，加密过程通信双方的节拍必须一致，即必须同步，一旦有一方停顿或者错序，后续的所有加解密过程都会失败。通用流密码的这一特点使得其在工业通信协议加密应用中遇到困难，工业通信协议加密需要同时满足实时性和鲁棒性要求。

发明内容

本发明的目的就是提供一种工业通信协议高鲁棒性实时加解密方法。

本发明利用现阶段工业嵌入式设备内存容量不断增大的条件，通过增加并发内存容量、预存多个子密码的方法，在通用流密码技术基础上增加了容错和加解密并发处理，实现了工业通信协议的高鲁棒性实时加解密。

本发明具体加密方法如下：

步骤一、通信双方事先约定好2个共享秘密：1)流密码的初始密钥；2)通信加解密过程中所使用的魔数的具体取值；魔数主要用于加解密过程中的可容错的密码同步,两个通信实体间拥有1个或多个共同魔数。每个魔数占用t比特空间，使得多个连续的流密码子密码之间前t位数据不会重复；

步骤二、对通信双方交换的数据包进行扩展操作，增加工业协议数据包附加载荷，即在原包头前增加ts个相同取值的魔数，魔数为通信双方事先约定好的共享秘密。

步骤三、按照通信过程行进的节拍，取流密码的对应节拍的子密码的前t个比特，对ts个魔数进行异或加密操作，用剩余子密码对工业协议数据包的普通载荷进行异或加密操作；

步骤四、将加密后的协议数据包，含附加载荷和普通载荷，发送给数据接收方。

具体解密方法如下：

步骤1、数据接收方接收到加密数据包后，对数据包前ts*t个比特进行解密操作，即解密工业协议数据包的加密附加载荷，解密结果为获得解密子密码ks’。工业协议数据包附加载荷的具体解密过程为：

(1)、提取ts个连续的预设子密码，组成附加载荷解密数据块；加密方、解密方均运行一个流密码生成器，各自按节拍生成子密码流，节拍指通信双方一次数据包交互为1个节拍，为方便起见记录工业协议执行的前一个节拍数为ks，则当前正在运行的节拍数为ks+1；由于工业嵌入式设备的内存容量在不断增大，有足够的空间支持流密码生成器预生成多个子密码存储在内存中，让流密码生成器从第ks个子密码开始，预生成后续的ts-1个子密码，每个预设子密码长度为协议数据包的预设最大长度4Kbit，将第ks个预设子密码、第ks+1个预设子密码、…、第ks+ts-1个预设子密码，共ts个连续的子密码的各自前t个比特提取出来，顺次排列组成附加载荷解密数据块，用于解密附加载荷。

(2)、用步骤(1)取得的附加载荷解密数据块异或加密后的魔数数据块,获得一次解密后魔数数据块，含ts个一次解密后魔数。