[发明专利]一种面向工控系统组态工程文件的保护方法及套件

说明书

本发明公开了网络安全技术领域的一种面向工控系统组态工程文件的保护方法及套件，方法包括：对编写好的工控系统组态工程文件进行加解密，获得第一工控系统组态工程文件和加解密密钥，加解密密钥包括密码和salt值；对密码进行再次加解密，并保存在第一工控系统组态工程文件中，生成第二工控系统组态工程文件；收到忘记密码的用户发送的第二工控系统组态工程文件的厂商通过私钥解密出密码。本发明提高了组态工程文件的加密强度，可以防止常规的暴力破解攻击，降低了组态工程的泄密风险。

技术领域

本发明属于网络安全技术领域，具体涉及一种面向工控系统组态工程文件的保护方法及套件。

背景技术

目前在工业控制系统中，各大厂家都拥有自己的组态软件，通过组态软件对组态工程文件进行程序编写。正常的，通过组态软件打开组态工程文件时要求输入密码，由于组态软件的设计问题，导致组态工程的加解密存在被绕过的风险。一旦工控系统被攻破，绕过组态工程的加解密并对组态工程进行加解密，预制后门程序即可对工控系统运行统造成破坏。由于工业控制系统较高的实时性和较低的cpu运算能力，决定了其无法使用强加解密技术。厂商在设计加解密算法之初，会考虑到用户忘记密码这个需求，部分厂家通过留有的后门的方式，将解密好的组态工程文件发送给用户，这种留有后门的方式一旦内部泄露，给运行中的工业控制系统引入巨大的风险。

组态软件运行在上位机，组态工程文件运行在plc等下位机中。目前工业控制系统攻防已经深入到下位机中，因此对组态工程文件进行保护，即可以保护工控系统中下位机稳定运行。

发明内容

本发明的目的在于提供一种面向工控系统组态工程文件的保护方法及套件，以解决现有技术中工控系统难以使用强加解密技术，组态工程存在泄密风险的技术问题。

为达到上述目的，本发明所采用的技术方案是：

第一方面，提供一种面向工控系统组态工程文件的保护方法，包括：对编写好的工控系统组态工程文件进行加解密，获得第一工控系统组态工程文件和加解密密钥，加解密密钥包括密码和salt值；对密码进行再次加解密，并保存在第一工控系统组态工程文件中，生成第二工控系统组态工程文件；收到忘记密码的用户发送的第二工控系统组态工程文件的厂商通过私钥解密出密码。

进一步地，采用DES对称加解密方式对编写好的工控系统组态工程文件进行加解密，DES对称加解密方式包括但不限于aes对称加解密算法和des对称加解密算法。

进一步地，采用openssl加解密组件对密码进行再次加解密，生成公钥和私钥。

进一步地，所述salt值是预置的或通过随机算法生成的大于8位的值。

第二方面，提供一种面向工控系统组态工程文件的保护套件，包括：配置在组态软件中的第一加解密模块，用于对编写好的工控系统组态工程文件进行加解密，获得第一工控系统组态工程文件和加解密密钥，加解密密钥包括密码和salt值；配置在组态软件中的第二加解密模块，用于对密码进行再次加解密，并保存在第一工控系统组态工程文件中，生成第二工控系统组态工程文件；收到忘记密码的用户发送的第二工控系统组态工程文件的厂商通过私钥解密出密码。

进一步地，所述第一加解密模块采用DES对称加解密方式对编写好的工控系统组态工程文件进行加解密，DES对称加解密方式包括但不限于aes对称加解密算法和des对称加解密算法。

进一步地，所述第二加解密模块采用openssl加解密组件对密码进行再次加解密，生成公钥和私钥。

进一步地，所述salt值是预置的或通过随机算法生成的大于8位的值。

进一步地，所述组态软件中配置有DPAPI接口函数和gcry_malloc_secure接口函数。

与现有技术相比，本发明所达到的有益效果：