[发明专利]一种水利工业控制系统中应用数据单元加密方法

说明书

本发明公开了一种水利工业控制系统中应用数据单元加密方法，通过在水利工业控制系统应用程序与现场总线通信程序之间安装加密代理程序，实现应用数据单元的透明加密。在加密代理程序中，通过基于国产对称加密算法的加密方案，实现控制设备身份验证、现场总线通信数据保密、协议分组完整性校验功能，有效预防未经授权的非法设备在现场总线的信道上监听、拦截、篡改数据监测及控制信息，对于中间人攻击具有较高的抵抗能力，降低在水利自动化控制系统中因现场总线信道受到侵入而产生的安全风险。所述加密代理程序能够无缝接入目前现有的水利工业控制系统，具有较高的设备兼容性和通用性。

技术领域

本发明属于信息技术领域，尤其涉及一种水利工业控制系统中应用数据单元加密方法。

背景技术

在我国目前部署的水利工业控制系统中，绝大多数采用现场总线(Field Bus)网络对可编程逻辑控制器(PLC)与下位机进行组网。其原因是，计算机网络所使用的物理层媒体，如STP、单模或多模光纤等，其物理性质不能满足高耐候性、高强度的工业应用场景。RS232/485电缆以其优异的性能及价格优势，在工业自动化控制系统中具有二十余年的应用历史，短时间内无法被替代。而要对现有物理层进行更换，实施改造成本过高，甚至将高于当初部署系统的成本。如果使用无线组网，则会降低网络的可靠性与稳定性，且在信号屏蔽的场景中无法实施，具有较高的局限性。

目前水利自动化控制系统所使用的PLC大多数不具备计算机网络通信能力，必须为其搭配相配套的硬件接口。对于现有设备的改造同样存在实施成本过高的情况，且要考虑不同厂家之间电气、接口规范的不同需求，性价比低。虽然Modbus TCP协议支持在计算机网络中实现透明传输，但是由于其实现较为简单，无法支持TCP/IP协议中的网络层、传输层安全特性，需要对网络模块进行特殊改造，通用性不强。

电气工程师大多数仅具备现场总线网络中数据通信的开发经验，若使用计算机网络替代现场总线，必须具备足够的人员支撑，这意味着首先需要建立相关知识体系、培训教材、课程、实务、流程。由于目前电气工程师的培训周期较长，尚不具备实施计算机网络化改造的人员基础。

综上所述，复用计算机网络中相关理论及技术，用以解决水利工业控制系统中现场总线网络安全性问题的思路，在目前人员及技术条件下，具有相当高的局限性。

因此，如何在降低改造成本的前提下，针对现场总线信道提出一套低成本、高适用性的加密方案，通过基于国产对称加密算法的加密方案，实现控制设备身份验证、现场总线通信数据保密、协议分组完整性校验功能，是一个具有较高研究及应用价值的课题。

发明内容

发明目的：针对以上问题，本发明提出一种水利工业控制系统中应用数据单元加密方法，实现控制设备身份验证、现场总线通信数据保密、协议分组完整性校验功能。

技术方案：为实现本发明的目的，本发明所采用的技术方案是：

一种水利工业控制系统中应用数据单元加密方法，包括以下步骤：

S1：在连接至现场总线的每一台控制设备上分别安装一套加密代理程序的副本。所述加密代理程序一旦开始工作，即通过钩子(Hook)注入到水利工业控制系统应用程序与现场总线通信程序的进程之间。在加密代理程序的密钥配置文件中预先写入对应的会话密钥和目的地址编码。加密代理程序中预置加密函数，支持常见的对称加密与散列算法，所述对称加密算法包括但不限于SM1、RC4、AES算法；所述散列算法包括但不限于SM3、MD5、SHA-1算法。所述控制设备包括但不限于PLC、下位机、传感器、控制器。

S2：控制设备开机后，通过脚本启动加密代理程序。加密代理程序开始工作，通过钩子(Hook)注入到水利工业控制系统应用程序与现场总线通信程序的进程之间，并对加密代理程序的密钥配置文件执行初始化；若初始化过程完成，进入步骤S3；若初始化过程终止，不执行后继操作；初始化过程如下：