[发明专利]基于国密算法的安全通信方法及装置

说明书

本申请实施例提供一种基于国密算法的安全通信方法及装置，属于DCS实时通信安全领域。对于发送端，所述方法包括：使用第一国密算法对待发送通信数据的第一标识字段进行计算，获得第一标识字段摘要值；将第一标识字段摘要值填充到验证字段，获得验证数据；使用第二国密算法的第一设定工作模式对待发送通信数据进行第一加密运算处理，获得第一密文；使用第二国密算法的第二设定工作模式对所述第一标识字段、所述验证数据和所述第一密文进行第二加密运算处理，获得第二密文；将第二密文发送给接收端。本申请通过在DCS自定义协议中增加安全验证字段以及采用国产密码算法对通信数据进行双重加密，从而保障了工业控制系统可用性、完整性、机密性。

技术领域

本申请涉及DCS实时通信安全领域，具体涉及一种基于国密算法的安全通信方法、一种基于国密算法的安全通信装置、一种处理器及一种机器可读存储介质。

背景技术

工业控制系统(Industrial control system,ICS)包括集散控制系统(Distributed Control Systems,DCS)，监控和数据采集系统(Supervisory Control andData Acquisition，SCADA)等，是工业控制领域的关键一环，ICS的安全、稳定运行是正常生产活动的前提。ICS广泛应用于火电、水电、核电、新能源等关键基础设施中。随着工业化和信息化的推进，有许多新技术已经应用到了工业控制系统中，在提高了生产效率的同时，也不可避免的增加了系统的复杂度，引入了更多的网络安全问题。ICS系统的安全、稳定运行关乎正常的生产活动，一旦ICS系统遭到攻击或入侵，极易引起重大的生产安全事故，带来巨大人员、财产损失。

DCS是ICS系统中一种常用于火电的工业控制系统，DCS通信协议工作在TCP/IP的应用层，主要应用于封闭的局域网络中，协议设计之初以实时性和稳定性为首要目标，对信息安全问题考虑较少。DCS各站间相互通信时使用明文传输数据，不进行身份认证，也不会对数据的完整性进行检测。从协议可以分析出其存在以下缺陷：1、易形成重放攻击：攻击者可重复发送监听到的数据包给接收端，从而影响运行稳定性。2.易泄露：数据包无加密机制，攻击者可直接获取DCS系统通信数据。3.易被篡改、伪造：攻击者通过监听获取到的数据包，分析伪造数据包或将其数据部分篡改，然后发送到DCS网络中，扰乱正常数据，实现攻击目的。现有的DCS系统多采用明文通信安全性差，且加密方案实时性差不能满足DCS毫秒级的要求。

发明内容

本申请实施例的目的是提供一种基于国密算法的安全通信方法及装置，对DCS通信协议进行安全防护，在对通信速度影响不大的前提下，能够从协议的源头防止协议数据被伪造及窃取。

为了实现上述目的，本申请第一方面提供一种基于国密算法的安全通信方法，应用于发送端，所述方法在自定义协议的头部增加验证字段，所述方法包括：

获取待发送通信数据和所述待发送通信数据的第一标识字段；

使用第一国密算法对待发送通信数据的第一标识字段进行计算，获得第一标识字段摘要值；

将所述第一标识字段摘要值填充到验证字段，获得验证数据；

使用第二国密算法的第一设定工作模式对所述待发送通信数据进行第一加密运算处理，获得第一密文；

使用第二国密算法的第二设定工作模式对所述第一标识字段、所述验证数据和所述第一密文进行第二加密运算处理，获得第二密文；

将第二密文发送给接收端。

在本申请实施例中，所述方法还包括：

若在设定时间内未收到接收端返回的应答包，则将第二密文重新发送给接收端；

若重新发送第二密文的次数超过设定次数但仍未收到接收端返回的应答包，则转入异常处理流程。