[发明专利]基于验证分离的PLC防护系统、方法及介质

权利要求书

1.基于验证分离的PLC防护方法，其特征在于，包括：

通过监视器获取待传输到PLC的命令和代码；

通过监控站对所述命令和所述代码进行合法性分析；

根据所述合法性分析的结果，将合法的命令和代码发送至PLC；

所述方法还包括：基于独立通道添加用户身份，该步骤包括：

通过监控站获取需要添加的用户身份信息，所述用户身份信息包括用户标识和密钥信息；

根据所述监控站的私有密钥，将用户添加命令、用户标识、密钥信息、管理员信息和时间戳进行加密得到消息，通过高速无线网络将所述消息发送给所述监视器；

所述监视器通过私有密钥解密所述消息，获取所述用户添加命令，并通过对比所述时间戳，确定所述用户添加命令对应的用户为新用户，并将所述用户标识、所述密钥信息、所述时间戳和所述管理员信息存储到监视器的用户信息表中；

所述监视器通过私有密钥加密存储用户身份信息的索引和新生成的时间戳，并将所述索引和所述新生成的时间戳通过所述高速无线网络发送给所述监控站；

所述监控站利用私有密钥解密信息，得到所述索引和新生成的时间戳，并通过对比所述新生成的时间戳，确定所述用户添加命令对应的用户为新用户，并将所述索引、所述用户标识和所述密钥信息存储到监控站的用户信息表中。

2.根据权利要求1所述的基于验证分离的PLC防护方法，其特征在于，所述方法还包括：向监视器中删除合法用户，该步骤包括：

通过所述监控站获取用户身份信息，所述用户身份信息包括用户标识和密钥信息；

通过所述监控站获取用户信息表中对应于监视器的索引，并删除所述用户信息表中对应的用户信息；

所述监控站通过私有密钥对删除命令、索引、用户标识以及时间戳加密成消息，并通过所述高速无线网络将该消息发送给监视器；

所述监视器对所述消息进行解密后，获取所述删除命令、索引以及时间戳，通过所述索引获取监视器中用户信息表中的用户标识，根据所述用户标识删除对应的用户身份信息；

向所述监控站反馈删除成功的信息。

3.根据权利要求1所述的基于验证分离的PLC防护方法，其特征在于，所述方法还包括：验证命令的合法性，该步骤包括：

通过所述监视器获取HMI发送的命令，该命令包括写入命令、停机命令或重启命令；

通过私有密钥将所述命令的哈希值、监视器的MAC地址以及时间戳进行加密，将加密结果和命令内容发送至所述监控站；

所述监控站获取加密结果后，用私有密钥进行解密，用解密得到的时间戳进行防重放验证，得到HMI发送的命令；用解密得到的哈希值进行防篡改验证；

在审核通过后，由监控站通过NFC获取用户身份信息，以查询用户信息表；

所述监视器在获取到索引之后，从所述用户信息表中获取用户标识和密钥信息，通过密钥信息解密得到所述用户标识、所述命令和所述时间戳，并将所述用户标识、命令和时间戳存储到命令信息表中；

若所述命令为接受命令，则将所述接受命令发送给PLC；所述PLC反馈接收到命令的消息给所述监控站。

4.根据权利要求1所述的基于验证分离的PLC防护方法，其特征在于，所述方法还包括：基于物理隔离和二重验证进行代码验证，该步骤包括：

所述监控站通过物理隔离装置获取工程师站中的PLC代码源程序；

所述监控站打开该PLC代码源程序，获取该PLC代码源程序的第一哈希值；

对所述PLC代码源程序进行编译，并将编译结果发送到监视器；

所述监视器将本地的第二哈希值、监视器的MAC地址以及时间戳加密后发送至监控站，并启动时间监控；

所述监控站解密得到第二哈希值，并将所述第二哈希值与所述第一哈希值进行对比，生成警告信息；

所述监控站通过NFC获取用户标识，并根据用户标识查询用户信息表，获取索引并对用户标识、命令以及时间戳进行加密，将加密结果发送给监视器；

所述监视器获取到索引之后，从用户信息表中找到相关用户标识以及私有密钥，通过该私有密钥将所述加密结果解密得到用户标识、时间戳和命令；通过比对所述用户标识和所述时间戳，将合法的用户标识、时间戳和命令存储到命令信息表中；

若所述命令为接受命令，则将所述接受命令发送给PLC；所述PLC反馈接收到命令的消息给所述监控站。