CN110460566B - 基于令牌的工业网络数据防篡改方法和系统 - Google Patents

基于令牌的工业网络数据防篡改方法和系统 Download PDF

Info

Publication number
CN110460566B
CN110460566B CN201910559775.5A CN201910559775A CN110460566B CN 110460566 B CN110460566 B CN 110460566B CN 201910559775 A CN201910559775 A CN 201910559775A CN 110460566 B CN110460566 B CN 110460566B
Authority
CN
China
Prior art keywords
file
token
token set
real
time server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910559775.5A
Other languages
English (en)
Other versions
CN110460566A (zh
Inventor
彭立
张春雷
马建新
任保华
董晓峰
刘松
马腾飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China General Nuclear Power Corp
China Techenergy Co Ltd
Original Assignee
China General Nuclear Power Corp
China Techenergy Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China General Nuclear Power Corp, China Techenergy Co Ltd filed Critical China General Nuclear Power Corp
Priority to CN201910559775.5A priority Critical patent/CN110460566B/zh
Publication of CN110460566A publication Critical patent/CN110460566A/zh
Application granted granted Critical
Publication of CN110460566B publication Critical patent/CN110460566B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于信息安全控制的技术领域,为了解决现有技术中DCS系统管理网中存在数据传输不安全的技术问题,提供一种基于令牌的工业网络数据防篡改方法和系统;所述方法包括:S1、将文件编译之后,通过加密算法形成令牌集合F1后,再将令牌集合F1上传至实时服务器;S2、实时服务器接收令牌集合F1,并判断令牌集合F1是否满足预定要求;当令牌集合F1满足要求后,将令牌集合F1保存到自身集合清单中,并通知工程师站令牌集合F1接收完毕;S3、工程师站将文件及该文件的令牌集合以数据包的形式发送给实时服务器,实时服务器接收文件及文件的令牌集合;S4、实时服务器判断文件及文件的令牌集合是否满足预定要求,如果满足,才会继续后续的文件保存。

Description

基于令牌的工业网络数据防篡改方法和系统
技术领域
本发明涉及信息安全控制的技术领域,尤其涉及核电DCS系统中数据传输的安全控制的技术领域;更具体地,涉及一种基于令牌的工业网络数据防篡改方法和系统。
背景技术
在工业控制领域,尤其是核电DCS系统(DistributedControlSystem,分布式控制系统)的管理网络中,通常设置有工程师站、操作员站、网关、实时服务器、历史服务器等多个设备节点;具体地,如图1所示。
发明人在实现本发明的过程中发现:现有技术中的DCS系统中,每个设备节点实现文件数据收发是基本功能之一,为实现此功能,在每台设备中安装远程文件服务,该服务通常采用的UDP协议,发送端只负责发送数据,接收端只负责接收数据。以工程师站将数据发送给实时服务器为例,在DCS管理网中的各个节点在相互发送数据时很可能面临以下问题:
1、工程师站将文件发送给实时服务器,文件被劫持后,不断被复制,然后重复发送,导致实时服务器多次执行重复请求。
2、工程师站将文件发送给实时服务器过程中,文件被修改,然后再发送给实时服务器,修改后的文件被接收保存。
3、攻击者可模拟工程师站发送文件服务,发送任意文件给实时服务器,实时服务器未能丢弃不可信传输数据,导致攻击者可上传任何文件。
发明内容
为了解决现有技术中DCS系统管理网中存在数据传输不安全的技术问题,本发明提供一种基于令牌的工业网络数据防篡改方法和系统,使得数据在传输过程中加密处理,提高DCS系统管理网的安全性。
为了实现上述目的,本发明提供的技术方案包括:
本发明一方面提供一种基于令牌的工业网络数据防篡改方法,其特征在于,包括:
S1、工程师站将文件编译之后,通过加密算法形成令牌集合F1后,再将所述令牌集合F1上传至实时服务器;
S2、所述实时服务器接收所述令牌集合F1,并判断所述令牌集合F1是否满足预定要求;当所述令牌集合F1满足要求后,将所述令牌集合F1保存到自身集合清单中,并通知所述工程师站令牌集合F1接收完毕;
S3、工程师站将文件及该文件的令牌集合以数据包的形式发送给实时服务器,所述实时服务器接收所述文件及所述文件的令牌集合;
S4、实时服务器判断所述文件及所述文件的令牌集合是否满足预定要求,如果满足,才会继续后续的文件保存。
本发明实施例优选地,所述步骤S4还包括:当所述实时服务器判断所述文件及所述文件的令牌集合满足预定要求,则继续判断实时服务器自身集合清单中是否有和所述文件的令牌一致的信息;如果有,才保存所述文件。
本发明实施例优选地,所述步骤S1中工程师站每完成一个文件的编译之后,将所述文件通过哈希算法A1生成文件令牌M1,所有文件编译完成后,工程师站将每一个文件的令牌M1和文件路径经由哈希算法A2存放在令牌集F1中,全部编译完成后,混淆令牌集F1,混淆后使用算法M1对令牌集F1生成令牌M2,并将M2追加到令牌集F1的末尾中。
本发明实施例进一步优选地,所述步骤S2和步骤S4中,实时服务器接收令牌集后,利用哈希算法进行校验令牌集合是否正确。
本发明实施例优选地,所述方法还包括:
当所述步骤S2中如果判定令牌集合不符合要求,则丢弃令牌集合;或者
当所述步骤S4中判断所述文件及所述文件的令牌集合不满足预定要求,则丢弃所述文件;或者
当所述步骤S4中判断所述文件及所述文件的令牌集合满足预定要求,但是实时服务器自身集合清单中没有和所述文件的令牌一致的信息,则丢弃所述文件。
本发明了另一方面还提供一种基于令牌的工业网络数据防篡改系统,其特征在于,包括:
用于发送编译文件的工程师站和用于接收编译文件的实时服务器;
其中,所述工程师站设置成将文件编译之后,通过加密算法形成令牌集合F1后,再将所述令牌集合F1上传至实时服务器;
所述实时服务器接收所述令牌集合F1,并判断所述令牌集合F1是否满足预定要求;当所述令牌集合F1满足要求后,将所述令牌集合F1保存到自身集合清单中,并通知所述工程师站令牌集合F1接收完毕;
所述工程师站还设置成将文件及该文件的令牌集合以数据包的形式发送给实时服务器,所述实时服务器接收所述文件及所述文件的令牌集合;
所述实时服务器还设置成判断所述文件及所述文件的令牌集合是否满足预定要求,如果满足,才会继续后续的文件保存。
本发明实施例优选地,所述实时服务器还设置成当判断所述文件及所述文件的令牌集合满足预定要求,则继续判断实时服务器自身集合清单中是否有和所述文件的令牌一致的信息;如果有,才保存所述文件。
本发明实施例进一步优选地,所述工程师站设置成每完成一个文件的编译之后,将所述文件通过哈希算法A1生成文件令牌M1,所有文件编译完成后,工程师站将每一个文件的令牌M1和文件路径经由哈希算法A2存放在令牌集F1中,全部编译完成后,混淆令牌集F1,混淆后使用算法M1对令牌集F1生成令牌M2,并将M2追加到令牌集F1的末尾中。
本发明实施例优选地,所述实时服务器设置成接收令牌集后,利用哈希算法进行校验令牌集合是否正确。
本发明实施例优选地,所述实时服务器设置成:
如果判定令牌集合F1不符合要求,则丢弃令牌集合;或者
如果判断所述文件及所述文件的令牌集合不满足预定要求,则丢弃所述文件;或者
当判断所述文件及所述文件的令牌集合满足预定要求,但是实时服务器自身集合清单中没有和所述文件的令牌一致的信息,则丢弃所述文件。
采用本申请提供的上述技术方案,可以至少获得以下有益效果中的一种:
1、现有核电DCS的管理网络架构的基础上,提供生成令牌的方式与令牌校验;通过简单的、防篡改的令牌格式,构建了令牌生成的安全环境,通过令牌使网络数据在传输时实现数据内容校验、防止关键数据窃取与篡改,实现了数据安全发送。
2、提供一种进一步优选的方案,需要继续判断实时服务器自身集合清单中是否有和所述文件的令牌一致的信息;如果有,才保存所述文件;这样可以保证令牌双重验证,抵制重放攻击,进一步确保数据的安全性。
3、利用已知的哈希算法结合核电DCS的管理网络架构的特点来生成令牌和验证令牌是否符合要求,可以加速整体技术方案的研发周期。
发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书变得显而易见,或者通过实施本发明的技术方案而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构和/或流程来实现和获得。
附图说明
图1为现有技术中一种核电DCS系统的管理网络架构的框图。
图2为本发明一实施例提供的一种基于令牌的工业网络数据防篡改方法的流程图。
图3为本发明另一实施例提供的一种基于令牌的工业网络数据防篡改方法的流程图。
图4为本发明一实施例提供的一种基于令牌的工业网络数据防篡改方法令牌生成的流程图。
图5为本发明再一实施例提供的一种基于令牌的工业网络数据防篡改方法的流程图。
图6为本发明一实施例提供的一种基于令牌的工业网络数据防篡改系统的框图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,这些具体的说明只是让本领域普通技术人员更加容易、清晰理解本发明,而非对本发明的限定性解释;并且只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
另外,在附图的流程图示出的步骤可以在诸如一组控制器可执行指令的控制系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
下面通过附图和具体实施例,对本发明的技术方案进行详细描述:
实施例
本实施例提供一种基于令牌的工业管理网通讯数据防篡改的方法,该方法包括:当工程师站向管理网节点发送通讯数据前,提取发送数据的关键信息,并编码生成文本;使用内置哈希算法对文本进行加密生成签名;把文本与签名组成令牌,并与通讯数据一同发送;服务器接收后,使用内置哈希算法与令牌中文本生成验证文本;校验验证文本与令牌中签名是否匹配,匹配后提取接收信息的关键数据与令牌中文本进行校验,通过验证后证明通讯数据未被篡改。
其中,令牌指描述发送信息的数据包,并且该数据包经过安全加密。管理网是连接数据处理系统和数据显示系统的网络。节点指与一个有独立地址和具有传送或接收数据功能的网络相连的电脑或其他设备。
具体地,如图2所示,本实施例提供一种基于令牌的工业网络数据防篡改方法,该方法包括:
S1、工程师站将文件编译之后,通过加密算法形成令牌集合F1后,再将令牌集合F1上传至实时服务器;
其中加密算法可以是自定义的加密方式,也可以是标准的加密方式,例如哈希算法或者国米算法等。
S2、实时服务器接收令牌集合F1,并判断令牌集合F1是否满足预定要求;当令牌集合F1满足要求后,将令牌集合F1保存到自身集合清单中,并通知工程师站令牌集合F1接收完毕;
本实施例可以在图1的架构模式中,在工程师站增加加密算法功能,在实时服务器增加解密算法功能;这样就可以对使用解密算法与令牌中文本生成验证文本,校验验证文本与令牌中签名是否匹配;其中解密算法的密钥可以是通过工程师站单独发送的,也可以是直接提前预置在实时服务器中。
当然还可以设置成,实时服务器首先发送一个密钥给工程师站,工程师站基于实时服务器发送的密钥将编译文件进行加密,然后将加密后的文本与密钥组成令牌发送至实时服务器,实时服务器基于之前给出的密钥来解密,这样每次交互可以生成一个动态的密钥,文件传输更加安全;这些替换的技术方案都属于本实施例的保护范围。
S3、工程师站将文件及该文件的令牌集合以数据包的形式发送给实时服务器,实时服务器接收文件及文件的令牌集合;
S4、实时服务器判断文件及文件的令牌集合是否满足预定要求,如果满足,才会继续后续的文件保存。
因此,上述技术方案在现有核电DCS的管理网络架构的基础上,提供生成令牌的方式与令牌校验;通过简单的、防篡改的令牌格式,构建了令牌生成的安全环境,通过令牌使网络数据在传输时实现数据内容校验、防止关键数据窃取与篡改,抵制重放攻击,实现了数据安全发送。
如图3所示,本发明另一优选的实施例中,步骤S3之后,执行S4:实时服务器判断文件及文件的令牌集合是否满足预定要求,当实时服务器判断文件及文件的令牌集合满足预定要求,则继续判断实时服务器自身集合清单中是否有和文件的令牌一致的信息;如果有,才保存文件。即步骤S4在图2基础上还包括:当实时服务器判断文件及文件的令牌集合满足预定要求,则继续判断实时服务器自身集合清单中是否有和文件的令牌一致的信息;如果有,才保存文件。因此,由于需要继续判断实时服务器自身集合清单中是否有和所述文件的令牌一致的信息;如果有,才保存所述文件;这样可以保证令牌双重验证,进一步确保数据的安全性。
本实施例优选地,步骤S1中工程师站每完成一个文件的编译之后,将文件通过哈希算法A1生成文件令牌M1,所有文件编译完成后,工程师站将每一个文件的令牌M1和文件路径经由哈希算法A2存放在令牌集F1中,全部编译完成后,混淆令牌集F1,混淆后使用算法M1对令牌集F1生成令牌M2,并将M2追加到令牌集F1的末尾中。进一步优选地,步骤S2和步骤S4中,实时服务器接收令牌集后,也利用哈希算法进行校验令牌集合是否正确。
具体地,如图4所示,本实施例提供的令牌生成过程包括:
S100、开始编译,即对文件进行编译操作;
S102、编译生成文件,即工程师站完成一个或者多个文件的编译;
S104、使用哈希算法A1生成文件令牌M1;
其中,哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值;哈希值是一段数据唯一且极其紧凑的数值表示形式;如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值;找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完整性;通过将单向数学函数(有时称为“哈希算法”)应用到任意数量的数据所得到的固定大小的结果;如果输入数据中有变化,则哈希也会发生变化;哈希可用于许多操作,包括身份验证和数字签名。也称为“消息摘要”;简单解释:哈希(Hash)算法,即散列函数,它是一种单向密码体制,即它是一个从明文到密文的不可逆的映射,只有加密过程,没有解密过程。同时,哈希函数可以将任意长度的输入经过变化以后得到固定长度的输出;哈希函数的这种单向特征和输出数据长度固定的特征使得它可以生成消息或者数据。
S106、将文件路径与令牌添加到令牌集,工程师站将每一个文件的令牌M1和文件路径经由哈希算法A2存放在令牌集F1中;
S108、判断是否全部文件的编译完成,如果是,执行步骤S110,否则,返回至步骤S110;
S110、全部编译完成后,混淆令牌集F1;
S112、混淆后使用算法M1对令牌集F1生成令牌M2,并将M2追加到令牌集F1的末尾中;
S114、编译结束。
本实施例优选地,上述方法还包括:
当步骤S2中如果判定令牌集合不符合要求,则丢弃令牌集合;或者
当步骤S4中判断文件及文件的令牌集合不满足预定要求,则丢弃文件;或者
当步骤S4中判断文件及文件的令牌集合满足预定要求,但是实时服务器自身集合清单中没有和文件的令牌一致的信息,则丢弃文件。
具体地,如图5所示,本申请再一优选的实施例提供的一种基于令牌的工业网络数据防篡改方法,该方法包括:
S200、工程师站按照图4或者上述任意一种所述的方法,完成对于文件的编译,生成令牌集;
S202、工程师站下装令牌集,即工程师站编译生成令牌集合之后,将令牌集合进行下装给实时服务器;
S204、实时服务器接收令牌集后,并对令牌集进行校正;
S206、判断校验结果是否通过?优选地,加密和解密算法采用哈希算法,所以需要利用哈希算法进行校验令牌集合是否正确?如果是,则执行步骤S208,否则,执行步骤S210;
S208、实时服务器将接收的令牌集合保存到自身集合清单(List)中;
S210、丢弃令牌集合;S212、通知工程师站令牌集合接收完毕;
S214、工程师站将下装文件(编译加密后的待发送文件)及该文件的令牌以数据包的形式发送给实时服务器;
S216、实时服务器接收文件及该文件的令牌;
S218、校验文件与令牌是否一致?优选地,利用哈希算法判断文件与该令牌是否一致?如果是,执行步骤S222,否则,执行步骤S220;
S222、判断令牌是否存清单(步骤S208中的集合清单)中?如果是,执行步骤S224,否则,执行步骤S220;
S224、保存文件。
本实施例还可以在图5的基础上,将工程师站和实时服务器站的绝对进行对调,这样通过实时服务器向工程师站传输加密文件。
如图6所示,本申请实施例还提供一种基于令牌的工业网络数据防篡改系统,该系统包括:
用于发送编译文件的工程师站和用于接收编译文件的实时服务器;
工程师站包括第一处理器和第一网络端口,实时服务器包括第二处理器和第二网络端口;第一网络端口和第二网络端口通过有线或者无线网络的形式连接交换数据和/或指令;第一处理器和第二处理器用于加载特定的程序,实现图2-图5中对应的流程;具体地:
其中,工程师站中第一处理器设置成将文件编译之后,通过加密算法形成令牌集合F1后,再将令牌集合F1通过第一网络端口上传至实时服务器;
实时服务器中第二处理器设置成通过第二网络端口接收到令牌集合F1,并判断令牌集合F1是否满足预定要求;当令牌集合F1满足要求后,将令牌集合F1保存到自身集合清单中,并通知工程师站令牌集合F1接收完毕;
工程师站中第一处理器还设置成将文件及该文件的令牌集合以数据包的形式发送给实时服务器,实时服务器接收文件及文件的令牌集合;
实时服务器中第二处理器还设置成判断文件及文件的令牌集合是否满足预定要求,如果满足,才会继续后续的文件保存。
本发明实施例优选地,实时服务器还设置成当判断文件及文件的令牌集合满足预定要求,则继续判断实时服务器自身集合清单中是否有和文件的令牌一致的信息;如果有,才保存文件。
本实施例进一步优选地,工程师站中第一处理器设置成每完成一个文件的编译之后,将文件通过哈希算法A1生成文件令牌M1,所有文件编译完成后,工程师站将每一个文件的令牌M1和文件路径经由哈希算法A2存放在令牌集F1中,全部编译完成后,混淆令牌集F1,混淆后使用算法M1对令牌集F1生成令牌M2,并将M2追加到令牌集F1的末尾中。进一步优选地,实时服务器设置成接收令牌集后,利用哈希算法进行校验令牌集合是否正确。
本申请实施例优选地,实时服务器中第二处理器设置成:
如果判定令牌集合F1不符合要求,则丢弃令牌集合;或者
如果判断文件及文件的令牌集合不满足预定要求,则丢弃文件;或者
当判断文件及文件的令牌集合满足预定要求,但是实时服务器自身集合清单中没有和文件的令牌一致的信息,则丢弃文件。
采用本申请提供的上述技术方案,可以至少获得以下有益效果中的一种:
1、现有核电DCS的管理网络架构的基础上,提供生成令牌的方式与令牌校验;通过简单的、防篡改的令牌格式,构建了令牌生成的安全环境,通过令牌使网络数据在传输时实现数据内容校验、防止关键数据窃取与篡改,抵制重放攻击,实现了数据安全发送。
2、提供一种进一步优选的方案,需要继续判断实时服务器自身集合清单中是否有和文件的令牌一致的信息;如果有,才保存该文件;这样可以保证令牌双重验证,进一步确保数据的安全性。
3、利用已知的哈希算法结合核电DCS的管理网络架构的特点来生成令牌和验证令牌是否符合要求,可以加速整体技术方案的研发周期。
4、提供了触发报警机制,这样当文件传输过程中如果出现安全隐患,能够及时反馈提醒核电DCS系统的操作者;便于后续及时对网络攻击进行处理。
最后需要说明的是,上述说明仅是本发明的最佳实施例而已,并非对本发明做任何形式上的限制。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围内,都可利用上述揭示的做法和技术内容对本发明技术方案做出许多可能的变动和简单的替换等,这些都属于本发明技术方案保护的范围。

Claims (8)

1.一种基于令牌的工业网络数据防篡改方法,其特征在于,包括:
S1、工程师站将文件编译之后,通过加密算法形成令牌集合F1后,再将所述令牌集合F1上传至实时服务器;其中,所述加密算法采用哈希算法;
S2、所述实时服务器接收所述令牌集合F1,并判断所述令牌集合F1是否满足预定要求;当所述令牌集合F1满足要求后,将所述令牌集合F1保存到自身集合清单中,并通知所述工程师站令牌集合F1接收完毕;其中,判断所述令牌集合F1是否满足预定要求包括利用哈希算法进行校验令牌集合是否正确;
S3、工程师站将文件及该文件的令牌集合以数据包的形式发送给实时服务器,所述实时服务器接收所述文件及所述文件的令牌集合;
S4、实时服务器判断所述文件及所述文件的令牌集合是否满足预定要求,如果满足,才会继续后续的文件保存;其中,判断令牌集合是否满足预定要求包括判断令牌是否存在所述集合清单。
2.根据权利要求1所述的方法,其特征在于,所述步骤S4还包括:当所述实时服务器判断所述文件及所述文件的令牌集合满足预定要求,则继续判断实时服务器自身集合清单中是否有和所述文件的令牌一致的信息;如果有,才保存所述文件。
3.根据权利要求1或2述的方法,其特征在于,所述步骤S1中工程师站每完成一个文件的编译之后,将所述文件通过哈希算法A1生成文件令牌M1,所有文件编译完成后,工程师站将每一个文件的令牌M1和文件路径经由哈希算法A2存放在令牌集F1中,全部编译完成后,混淆令牌集F1,混淆后使用算法M1对令牌集F1生成令牌M2,并将M2追加到令牌集F1的末尾中。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
当所述步骤S2中如果判定令牌集合不符合要求,则丢弃令牌集合;或者
当所述步骤S4中判断所述文件及所述文件的令牌集合不满足预定要求,则丢弃所述文件;或者
当所述步骤S4中判断所述文件及所述文件的令牌集合满足预定要求,但是实时服务器自身集合清单中没有和所述文件的令牌一致的信息,则丢弃所述文件。
5.一种基于令牌的工业网络数据防篡改系统,其特征在于,包括:
用于发送编译文件的工程师站和用于接收编译文件的实时服务器;
其中,所述工程师站设置成将文件编译之后,通过加密算法形成令牌集合F1后,再将所述令牌集合F1上传至实时服务器;其中,所述加密算法采用哈希算法;
所述实时服务器接收所述令牌集合F1,并判断所述令牌集合F1是否满足预定要求;当所述令牌集合F1满足要求后,将所述令牌集合F1保存到自身集合清单中,并通知所述工程师站令牌集合F1接收完毕;其中,判断所述令牌集合F1是否满足预定要求包括利用哈希算法进行校验令牌集合是否正确;
所述工程师站还设置成将文件及该文件的令牌集合以数据包的形式发送给实时服务器,所述实时服务器接收所述文件及所述文件的令牌集合;
所述实时服务器还设置成判断所述文件及所述文件的令牌集合是否满足预定要求,如果满足,才会继续后续的文件保存;其中,判断令牌集合是否满足预定要求包括判断令牌是否存在所述集合清单。
6.根据权利要求5所述的系统,其特征在于,所述实时服务器还设置成当判断所述文件及所述文件的令牌集合满足预定要求,则继续判断实时服务器自身集合清单中是否有和所述文件的令牌一致的信息;如果有,才保存所述文件。
7.根据权利要求5或6所述的系统,其特征在于,所述工程师站设置成每完成一个文件的编译之后,将所述文件通过哈希算法A1生成文件令牌M1,所有文件编译完成后,工程师站将每一个文件的令牌M1和文件路径经由哈希算法A2存放在令牌集F1中,全部编译完成后,混淆令牌集F1,混淆后使用算法M1对令牌集F1生成令牌M2,并将M2追加到令牌集F1的末尾中。
8.根据权利要求5所述的系统,其特征在于,所述实时服务器设置成:
如果判定令牌集合F1不符合要求,则丢弃令牌集合;或者
如果判断所述文件及所述文件的令牌集合不满足预定要求,则丢弃所述文件;或者
当判断所述文件及所述文件的令牌集合满足预定要求,但是实时服务器自身集合清单中没有和所述文件的令牌一致的信息,则丢弃所述文件。
CN201910559775.5A 2019-06-26 2019-06-26 基于令牌的工业网络数据防篡改方法和系统 Active CN110460566B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910559775.5A CN110460566B (zh) 2019-06-26 2019-06-26 基于令牌的工业网络数据防篡改方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910559775.5A CN110460566B (zh) 2019-06-26 2019-06-26 基于令牌的工业网络数据防篡改方法和系统

Publications (2)

Publication Number Publication Date
CN110460566A CN110460566A (zh) 2019-11-15
CN110460566B true CN110460566B (zh) 2023-03-14

Family

ID=68481129

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910559775.5A Active CN110460566B (zh) 2019-06-26 2019-06-26 基于令牌的工业网络数据防篡改方法和系统

Country Status (1)

Country Link
CN (1) CN110460566B (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171306B2 (en) * 2008-11-05 2012-05-01 Microsoft Corporation Universal secure token for obfuscation and tamper resistance
KR102468390B1 (ko) * 2017-05-31 2022-11-18 삼성에스디에스 주식회사 토큰 관리 방법 및 이를 수행하기 위한 서버
CN108600160A (zh) * 2018-03-09 2018-09-28 黄飞飞 一种工业控制中通信协议安全管理系统

Also Published As

Publication number Publication date
CN110460566A (zh) 2019-11-15

Similar Documents

Publication Publication Date Title
CN109688098B (zh) 数据的安全通信方法、装置、设备及计算机可读存储介质
CN102780698A (zh) 物联网平台中用户终端安全通信的方法
US20230198765A1 (en) Multi-directional zero-knowledge attestation systems and methods
US11303453B2 (en) Method for securing communication without management of states
CN110061967A (zh) 业务数据提供方法、装置、设备及计算机可读存储介质
Sadhu et al. A Comparative Analysis of Lightweight Cryptographic Protocols for Enhanced Communication Security in Resource-Constrained Internet of Things (IoT) Environments
CN113872940B (zh) 基于NC-Link的访问控制方法、装置及设备
CN116419217B (zh) Ota数据升级方法、系统、设备及存储介质
CN107026729B (zh) 用于传输软件的方法和装置
CN111262837B (zh) 一种数据加密方法、数据解密方法、系统、设备和介质
CN110460566B (zh) 基于令牌的工业网络数据防篡改方法和系统
CN111835519A (zh) 一种基于公有区块链的隐蔽通信方法
CN113672955B (zh) 一种数据处理方法、系统及装置
CN113158218B (zh) 数据加密方法、装置及数据解密方法、装置
CN115348081A (zh) 一种安全传输校验方法、装置、系统、设备及介质
CN114143098A (zh) 数据存储方法和数据存储装置
US20220035924A1 (en) Service trust status
CN111586344B (zh) 一种网络摄像机的消息发送方法及装置
Qin et al. Research on secured communication of intelligent connected vehicle based on digital certificate
CN111478948B (zh) 区块链接入方法、物联网设备及存储介质
CN116070250B (zh) 一种安卓系统应用程序的密码算法测评方法及装置
CN114531284B (zh) 数据加密方法、装置、电子设备及存储介质
CN115242389B (zh) 基于多级节点网络的数据混淆传输方法和系统
CN116127478A (zh) 日志的脱敏方法、装置、电子设备和存储介质
CN117909961A (zh) 基于金融软件供应链的程序发布方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant