[发明专利]一种Modbus TCP协议的安全加固方法

权利要求书

1.一种Modbus TCP协议的安全加固方法，其特征在于，包括如下步骤：

S1：Modbus TCP客户端和服务器进行密钥协商，客户端和服务器分别生成公钥和私钥K_cpub、K_cpri、K_spub、K_spri，并交换公钥。客户端生成对称密钥key，加密后发送给服务器，以便实现对数据包的加/解密；

S2：通过实时获取Modbus TCP客户端中的时钟信息得到时间戳信息TS_ci，在客户端发出的请求信息M_req前添加该字段，形成带时间戳的请求信息TS_ci|M_req。其中c表示客户端client，i表示客户端和服务器之间的第i次通信，i的取值为正整数；

S3：使用哈希算法对S2中生成的带时间戳的请求信息TS_ci|M_req进行计算，生成特定长度的摘要信息Digest_ci＝(TS_ci|M_req)_hash；

S4：使用客户端私钥K_cpri加密摘要信息，生成签名[Digest_ci]_Kcpri，将生成的签名字段添加在带时间戳的请求信息后，形成带时间戳和数字签名的请求信息M_ci＝TS_ci|M_req|[Digest_ci]_Kcpri；

S5：使用对称密钥key加密带时间戳和数字签名的请求信息，形成完整的Modbus TCP请求信息M_reqfinal＝{M_ci}_key，将请求信息发送给服务器。

S6：服务器接受到请求消息后，用对称密钥key将请求信息解密为TS_ci|M_req|[Digest_ci]_Kcpri；

S7：将[Digest_ci]_Kcpri用客户端公钥K_cpub进行解密，还原带时间戳请求消息的摘要信息Digest_ci＝(TS_ci|M_req)_hash；

S8：利用请求消息中前半部分带时间戳的请求数据TS_ci|M_req通过哈希算法进行计算，计算出摘要信息Digest_si＝(TS_ci|M_req)_hash，并将Digest_ci与还原的Digest_si进行比较，若相同则进行步骤S9，不相同则丢弃数据包，并向客户端返回错误信息；

S9：将请求数据包中的时间戳信息TS_ci与当前系统时钟信息相比，若时间间隔小于一定的消息传输时间间隔阈值，则进行步骤S10；否则，说明该数据包可能受到攻击，丢弃数据包，并向客户端返回错误信息；

S10：依次检测请求消息M_req中IP地址、设备ID、功能码、数据地址是否处于白名单中，若在白名单中则检测通过，服务器对请求消息进行处理，若不符合则丢弃数据包并向客户端返回错误信息；

S11：服务器对请求消息进行处理并生成响应数据包后，返回给客户端，实现ModbusTCP协议的安全通信。