[发明专利]基于非对称加密的控制系统通信方法、装置和计算机设备

权利要求书

1.一种基于非对称加密的控制系统通信方法，执行于主站装置，所述方法包括：在达到密钥更新条件后，根据非对称加密算法，生成更新后的密钥，所述更新后的密钥包括更新后的私钥和待发布的公钥，存储更新后的私钥；

使用更新前的私钥对待发布的公钥进行签名，生成公钥更新报文并发送至执行站装置；由所述执行站装置使用更新前的公钥对公钥更新报文进行签名验证，在所述签名验证通过时，将更新前的公钥替换成待发布的公钥，并发送确认报文至所述主站装置，结束密钥更新步骤；在所述签名验证未通过时，所述执行站装置发送公钥申请报文至所述主站装置；

当接收到所述执行站装置发送的公钥申请报文时，重新生成公钥更新报文并发送至执行站装置；

当发起动作命令请求时，根据所述动作命令请求，生成第一命令报文；

将所述第一命令报文发送至执行站装置；

使用私钥对所述第一命令报文进行签名，生成第二命令报文；所述第二命令报文包括所述第一命令报文和签名信息；

每隔预设时间间隔将所述第二命令报文发送至所述执行站装置，直至达到执行站装置预设的命令报文帧数为止；由所述执行站装置接收第二命令报文并存储，所述执行站装置从所述第二命令报文获取所述签名信息和所述第一命令报文，并对所述签名信息使用公钥进行签名验证，按照预设的命令报文帧数，若每次签名验证都通过，且每次接收到的所述第二命令报文中的第一命令报文内容与所述第一命令报文相同，则执行所述第一命令报文的动作命令。

2.根据权利要求1所述的方法，其特征在于，所述当发起动作命令请求时之前，还包括密钥初始化；所述密钥初始化包括：

在与所述执行站装置初次建立通信连接时，根据非对称加密算法，生成私钥和所述私钥对应的公钥；

存储所述私钥；

将所述私钥对应的公钥发送至所述执行站装置。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

接收执行站装置发送的身份验证加密报文；身份验证加密报文由执行站装置在控制系统正常运行时，发起身份验证请求，使用非对称密钥对中的公钥进行加密得到，其中，身份验证加密报文包含特征码；

使用非对称密钥对中相应的私钥对身份验证加密报文进行解密，得到解密后的特征码；

返回解密后的特征码至执行站装置，由执行站装置验证返回的特征码，根据验证结果确定主站装置的身份验证结果。

4.一种基于非对称加密的控制系统通信方法，执行于执行站装置，所述方法包括：

接收主站装置发送的公钥更新报文；所述公钥更新报文由所述主站装置在达到密钥更新条件后，根据非对称加密算法，生成更新后的密钥，存储更新后的私钥，并使用更新前的私钥对待发布的公钥进行签名，生成得到，其中，所述更新后的密钥包括更新后的私钥和待发布的公钥；

使用更新前的公钥对所述公钥更新报文进行签名验证；

在所述签名验证通过时，将所述更新前的公钥替换成待发布的公钥，并发送确认报文至所述主站装置；在所述签名验证未通过时，所述执行站装置发送公钥申请报文至主站装置；接收主站装置重新生成并发送的公钥更新报文；

接收主站装置发送的第一命令报文，存储所述第一命令报文；所述第一命令报文由所述主站装置在发起动作命令请求时，根据所述动作命令请求生成；

接收所述主站装置每隔预设时间间隔发送的第二命令报文，存储所述第二命令报文；所述第二命令报文由所述主站装置使用私钥对所述第一命令报文进行签名生成，包括所述第一命令报文和签名信息；

从所述第二命令报文获取所述签名信息和所述第一命令报文，并对所述签名信息使用公钥进行签名验证；

按照预设的命令报文帧数，若每次签名验证都通过，且每次接收到的所述第二命令报文中的第一命令报文内容与所述第一命令报文相同，则执行所述第一命令报文的动作命令。