[发明专利]一种水利工业控制系统中应用数据单元加密方法

权利要求书

1.一种水利工业控制系统中应用数据单元加密方法，其特征在于：该方法包括以下步骤：

S1：在连接至现场总线的每一台控制设备上分别安装一套加密代理程序的副本，并在加密代理程序的密钥配置文件中预先写入对应的会话密钥和目的地址编码；所述加密代理程序中预置加密函数，支持对称加密与散列算法；

S2：控制设备开机后，通过脚本启动加密代理程序；加密代理程序开始工作，通过钩子注入到水利工业控制系统应用程序与现场总线通信程序的进程之间，并对加密代理程序的密钥配置文件执行初始化；若初始化过程完成，进入步骤S3；若初始化过程终止，不执行后继操作；

S3：对加密代理程序的密钥配置文件初始化完成后，开始执行监听过程；

S4：加密代理程序开始执行监听过程之后，当且仅当控制设备关机时，监听过程终止；否则，始终执行监听过程；控制设备关机后，当且仅当再次进行控制设备开机时，通过脚本启动加密代理程序，加密代理程序重新执行步骤S2所述初始化过程，以及步骤S3所述监听过程；

步骤S2所述初始化过程如下：

(2-1)查找密钥配置文件中所有已存储的目的地址编码，以及与之相对应的会话密钥记录；

(2-2)判断会话密钥记录是否大于或等于1，若会话密钥记录大于或等于1，初始化过程完成；否则，初始化过程终止，不执行后继操作；

步骤S3所述监听过程包括两部分：其一，在现场总线通信程序的接口上对于所有传入加密代理程序的串口通信应用数据单元ADU进行监听；其二，在水利工业控制系统应用程序的接口上对于所有传入加密代理程序的串口通信应用数据单元ADU进行监听；

在现场总线通信程序的接口上对于所有传入加密代理程序的串口通信应用数据单元ADU进行监听；步骤如下：

(3-1-1)当加密代理程序从现场总线通信程序的接口收到传入的串口通信应用数据单元ADU时，向加密函数发送中断请求；加密函数响应中断，进入中断处理过程，使用应用数据单元ADU尾部的校验码CRC对于该单元中除CRC以外剩余部分的数据进行校验，校验算法使用加密函数中内部预置的散列算法；

(3-1-2)若校验失败，加密函数中断返回，对于应用数据单元ADU不进行响应；若校验成功，加密函数通过应用数据单元ADU首部的目的地址编码ADDR，在密钥管理模块中查找与目的地址编码ADDR对应的会话密钥PK；ADDR为大于或等于1个字节的十六进制数据；

(3-1-3)若会话密钥PK不存在，加密函数中断返回，对于应用数据单元ADU不进行响应；若会话密钥PK存在，使用会话密钥PK，通过加密函数中内置的对称加密算法，解密位于应用数据单元ADU中协议数据单元PDU的密文CK，获得数据明文PD；

(3-1-4)将数据明文PD作为新的协议数据单元PDU2；将目的地址编码ADDR附加到PDU2首部，计算PDU2的校验码CRC2并附加到PDU2尾部，作为新的应用数据单元ADU2；校验算法使用加密函数中内部预置的散列算法；

(3-1-5)将ADU2通过水利工业控制系统应用程序的接口进行发送；

在水利工业控制系统应用程序的接口上对于所有传入加密代理程序的串口通信应用数据单元ADU进行监听；步骤如下：

(3-2-1)当加密代理程序从水利工业控制系统应用程序的接口收到传入的串口通信应用数据单元ADU时，向加密函数发送中断请求；加密函数响应中断，进入中断处理过程，使用应用数据单元ADU尾部的校验码CRC对于该单元中除CRC以外剩余部分的数据进行校验，校验算法使用加密函数中内部预置的散列算法；

(3-2-2)若校验失败，加密函数中断返回，对于应用数据单元ADU不进行响应；若校验成功，加密函数通过应用数据单元ADU首部的目的地址编码ADDR，在密钥管理模块中查找与该目的地址编码ADDR对应的会话密钥PK；其中ADDR为大于或等于1个字节的十六进制数据；

(3-2-3)若会话密钥PK不存在，加密函数中断返回，对于该应用数据单元ADU不进行响应；若会话密钥PK存在，使用应用数据单元ADU中的协议数据单元PDU作为数据明文PD；

(3-2-4)使用会话密钥PK，通过内置的对称加密算法加密数据明文PD，获得密文CK；

(3-2-5)将密文CK作为新的协议数据单元PDU2；将目的地址编码ADDR附加到PDU2首部，计算PDU2的校验码CRC2并附加到PDU2尾部，作为新的应用数据单元ADU2，校验算法使用加密函数中内部预置的散列算法；

(3-2-6)将ADU2通过现场总线通信程序的接口进行发送。

2.根据权利要求1所述的一种水利工业控制系统中应用数据单元加密方法，其特征在于：所述对称加密算法包括SM1、RC4或AES算法；所述散列算法包括SM3、MD5或SHA-1算法。