CN112731897A - 一种基于隧道加解密的工业控制系统通信方法及系统 - Google Patents
一种基于隧道加解密的工业控制系统通信方法及系统 Download PDFInfo
- Publication number
- CN112731897A CN112731897A CN202110365552.2A CN202110365552A CN112731897A CN 112731897 A CN112731897 A CN 112731897A CN 202110365552 A CN202110365552 A CN 202110365552A CN 112731897 A CN112731897 A CN 112731897A
- Authority
- CN
- China
- Prior art keywords
- encryption
- key
- tunnel
- decryption
- national
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 228
- 238000004891 communication Methods 0.000 title claims abstract description 224
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000006243 chemical reaction Methods 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 abstract description 20
- 238000010586 diagram Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33139—Design of industrial communication system with expert system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供的一种基于隧道加解密的工业控制系统通信方法及系统,通过对客户端设备透明的国密加解密隧道,使用处于有效期之内的第一通讯密钥和国密算法完成客户端设备和目标控制设备之间的加密通信,其中,第一通讯密钥由国密加解密隧道与目标控制设备通过身份识别和密钥协商确定。本公开基于透明的国密加解密隧道完成客户端设备与目标控制设备的加密通信,以代理服务的形式完成对客户端设备发送和接收的数据的加密解密的过程,规避了需要对客户端设备中的相关工控软件进行适应性改造的兼容性问题,容易在多样化的工业控制系统之间实现安全的通信。
Description
技术领域
本发明涉及系统安全技术领域,尤其涉及一种基于隧道加解密的工业控制系统通信方法及系统。
背景技术
随着工业4.0与数字工厂进程的不断推进,对工业控制系统中的通信安全防护不容忽视。现有工业控制系统由于缺乏有效的安全传输手段,通信数据容易被劫持与伪造,存在巨大的安全风险。
同时,由于不同的工业控制系统在实际生产应用中的通信内容和实现机制存在差异,因此,如何在多样化的工业控制系统之间实现通信过程的安全,成为本领域技术人员急需解决的技术问题。
发明内容
鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的一种基于隧道加解密的工业控制系统通信方法及系统,技术方案如下:
一种基于隧道加解密的工业控制系统通信方法,包括:
在客户端设备与目标控制设备之间通过国密加解密隧道进行通信的起始阶段,所述国密加解密隧道获得所述客户端设备发送的请求数据包,其中,所述请求数据包携带有所述目标控制设备的设备标识和目标工控协议,所述国密加解密隧道对所述客户端设备透明;
所述国密加解密隧道根据所述设备标识和所述目标工控协议,确定与所述请求数据包匹配的隧道加密策略;
所述国密加解密隧道根据所述隧道加密策略,在加密通讯数据库中查询与所述目标控制设备匹配的目标密钥信息;
所述国密加解密隧道确定所述目标密钥信息中是否存在处于有效期之内的第一通讯密钥,其中,该第一通讯密钥由所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定;
所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,根据该第一通讯密钥和国密算法对所述请求数据包进行加密获得第一加密数据包;
所述国密加解密隧道将所述第一加密数据包发送至所述目标控制设备;
所述目标控制设备根据该第一通讯密钥对所述第一加密数据包进行解密获得所述请求数据包;
所述目标控制设备对所述请求数据包作出响应,获得响应数据包;
所述目标控制设备根据该第一通讯密钥和所述国密算法对所述响应数据包进行加密获得第二加密数据包;
所述目标控制设备将所述第二加密数据包发送至所述国密加解密隧道;
所述国密加解密隧道根据该第一通讯密钥对所述第二加密数据包进行解密,获得所述响应数据包并将所述响应数据包发送至所述客户端设备。
可选的,所述方法还包括:
所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,将所述请求数据包中的目的信息与所述隧道加密策略中的协议转换策略进行匹配,若匹配成功,则所述国密加解密隧道根据所述协议转换策略对所述请求数据包进行协议转换操作。
可选的,所述方法还包括:
在所述目标密钥信息中不存在有效期之内的通讯密钥,或,所述目标密钥信息中处于有效期之内的第一通讯密钥的剩余有效期小于第一预设时长的情况下,所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定第二通讯密钥;
所述国密加解密隧道将所述第二通讯密钥添加至所述目标密钥信息中。
可选的,所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定第二通讯密钥可以包括:
所述国密加解密隧道将第一数字证书和经第一私钥加密后的第一随机数发送至所述目标控制设备;
所述目标控制设备根据CA服务器的根证书,对所述第一数字证书进行有效性验证;若验证通过,所述目标控制设备使用所述第一数字证书携带的第一公钥对经第一私钥加密后的所述第一随机数进行解密;
所述目标控制设备生成获得第二随机数,并根据解密后的所述第一随机数和所述第二随机数生成第二通讯密钥并存储所述第二通讯密钥;
所述目标控制设备将第二数字证书、解密后的所述第一随机数以及经第二私钥加密后的所述第二随机数发送至所述国密加解密隧道;
所述国密加解密隧道根据所述CA服务器的根证书,对所述第二数字证书和解密后的所述第一随机数进行有效性验证,若验证通过,则使用所述第二数字证书携带的第二公钥对第二私钥加密后的所述第二随机数进行解密;
所述国密加解密隧道根据所述第一随机数和解密后的所述第二随机数生成所述第二通讯密钥并存储所述第二通讯密钥;
所述国密加解密隧道使用所述第二通讯密钥对解密后的所述第二随机数进行加密,并将经所述第二通讯密钥加密后的第二随机数发送至所述目标控制设备;
所述目标控制设备使用所述第二通讯密钥对经所述第二通讯密钥加密后的所述第二随机数进行解密,并对解密后的所述第二随机数进行有效性验证,若验证通过,则所述目标控制设备向国密加解密隧道发送可使用所述第二通讯密钥进行加密通信的通知。
可选的,所述第一数字证书由所述CA服务器向所述国密加解密隧道签发,所述第二数字证书由所述CA服务器向所述目标控制设备签发。
可选的,所述方法还包括:
所述国密加解密隧道按照预设周期对所述加密通讯数据库中与各控制设备匹配的密钥信息进行检测,当检测出满足预设密钥协商条件的密钥信息的情况下,所述国密加解密隧道与该密钥信息对应的控制设备通过身份识别和密钥协商确定通讯密钥。
可选的,所述预设密钥协商条件包括:
密钥信息中不存在处于有效期内的通讯密钥;
和/或,密钥信息中存在处于有效期内的通讯密钥且该通讯密钥的剩余有效期小于第二预设时长;
和/或,密钥信息中记录的控制设备与所述国密加解密隧道通过身份识别和密钥协商确定通讯密钥的协商失败次数在预设协商次数以内。
可选的,所述国密算法包括国密非对称加密算法、国密对称加密算法和国密密码杂凑算法。
可选的,所述国密非对称加密算法为椭圆曲线加密算法,和/或,所述国密对称加密算法为分组密码算法。
一种基于隧道加解密的工业控制系统通信系统,包括:客户端设备、目标控制设备以及国密加解密隧道,
所述国密加解密隧道,用于在所述客户端设备与所述目标控制设备之间通过所述国密加解密隧道进行通信的起始阶段,获得所述客户端设备发送的请求数据包,其中,所述请求数据包携带有所述目标控制设备的设备标识和目标工控协议,所述国密加解密隧道对所述客户端设备透明;
所述国密加解密隧道,还用于根据所述设备标识和所述目标工控协议,确定与所述请求数据包匹配的隧道加密策略;
所述国密加解密隧道,还用于根据所述隧道加密策略,在加密通讯数据库中查询与所述目标控制设备匹配的目标密钥信息;
所述国密加解密隧道,还用于确定所述目标密钥信息中是否存在处于有效期之内的第一通讯密钥,其中,该第一通讯密钥由所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定;
所述国密加解密隧道,还用于在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,根据该第一通讯密钥和国密算法对所述请求数据包进行加密获得第一加密数据包;
所述国密加解密隧道,还用于将所述第一加密数据包发送至所述目标控制设备;
所述目标控制设备,用于根据该第一通讯密钥对所述第一加密数据包进行解密获得所述请求数据包;
所述目标控制设备,还用于对所述请求数据包作出响应,获得响应数据包;
所述目标控制设备,还用于根据该第一通讯密钥和所述国密算法对所述响应数据包进行加密获得第二加密数据包;
所述目标控制设备,还用于将所述第二加密数据包发送至所述国密加解密隧道;
所述国密加解密隧道,还用于根据该第一通讯密钥对所述第二加密数据包进行解密,获得所述响应数据包并将所述响应数据包发送至所述客户端设备。
借由上述技术方案,本公开提供的一种基于隧道加解密的工业控制系统通信方法及系统,通过对客户端设备透明的国密加解密隧道,使用处于有效期之内的第一通讯密钥和国密算法完成客户端设备和目标控制设备之间的加密通信,其中,第一通讯密钥由国密加解密隧道与目标控制设备通过身份识别和密钥协商确定。本公开基于透明的国密加解密隧道完成客户端设备与目标控制设备的加密通信,以代理服务的形式完成对客户端设备发送和接收的数据的加密解密的过程,规避了需要对客户端设备中的相关工控软件进行适应性改造的兼容性问题,容易在多样化的工业控制系统之间实现安全的通信。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本公开实施例提供的基于隧道加解密的工业控制系统通信方法的一种实施方式的示意图;
图2示出了本公开实施例提供的国密加解密隧道与目标控制设备通过身份标识和密钥协商确定第二通讯密钥的过程示意图;
图3示出了本公开实施例提供的基于隧道加解密的工业控制系统通信系统的一种结构示意图;
图4示出了本公开实施例提供的基于隧道加解密的工业控制系统通信系统的另一种结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1所示,本公开实施例提供的基于隧道加解密的工业控制系统通信方法的一种实施方式的示意图,该基于隧道加解密的工业控制系统通信方法可以包括:
A001、在客户端设备与目标控制设备之间通过国密加解密隧道进行通信的起始阶段,国密加解密隧道获得客户端设备发送的请求数据包,其中,请求数据包携带有目标控制设备的设备标识和目标工控协议,国密加解密隧道对客户端设备透明。
其中,客户端设备可以包括工程师站(ES站)以及操作员站(OS站)。目标控制设备可以包括操作员站(OS站)以及控制器。工程师站可以是安装了编程组态软件以及监控操作组态软件的计算机设备。操作员站可以是安装监控操作组态软件以及相应的授权许可证(License Keys)的计算机设备。其中,目标控制设备内置有国密算法加解密模块,可支持国密加密通信。
其中,国密加解密隧道为应用国密加解密算法的透明代理式数据加解密隧道。请求数据包可以包括目标控制设备的设备标识、目标工控协议、请求内容信息、地址信息、端口信息、服务信息以及协议内容信息。
在本领域中,国密加解密隧道对客户端设备透明,指的是国密加解密隧道对客户端设备不可见。
可选的,国密加解密隧道可以内置在客户端设备中。
需要注意的是,国密加解密隧道与目标控制设备内置的国密算法加解密模块都可以根据相关通讯密钥和国密算法进行数据加解密,但是无论国密加解密隧道是否内置在客户端设备中,国密加解密隧道对客户端设备都是透明的。可以理解为客户端设备不知道国密加解密隧道的存在,相当于国密加解密隧道为客户端设备代理实现数据的加解密。对于客户端设备而言,发送和接收的数据都是以明文形式存在。而国密算法加解密模块对目标控制设备是可见的。目标控制设备是主动调用国密算法加解密模块进行数据的加解密过程。
A002、国密加解密隧道根据设备标识和目标工控协议,确定与请求数据包匹配的隧道加密策略。
其中,国密加解密隧道集成有分别与各个工控协议匹配的隧道加密策略。本公开实施例可以通过请求数据包中的设备标识和目标工控协议,查找出与该请求数据包匹配的隧道加密策略。可选的,当未查找出与该请求数据包匹配的隧道加密策略的情况下,直接将请求数据包发送至目标控制设备。
A003、国密加解密隧道根据隧道加密策略,在加密通讯数据库中查询与目标控制设备匹配的目标密钥信息。
可以理解的是,隧道加密策略包括实现在加密通讯数据库中查询与目标控制设备匹配的目标密钥信息的规则集合。国密加解密隧道可以依照隧道加密策略中要求的规则匹配项,使用与该规则匹配项对应的信息按照规则在加密通讯数据库中进行查询,以查询到与目标控制设备匹配的目标密钥信息。例如:规则匹配项可以是设备标识和目标工控协议。
其中,目标密钥信息可以包括目标控制设备的通讯地址、当前通讯密钥、历史通讯密钥、下一次通讯密钥以及目标控制设备的相关证书等信息。
其中,当前通讯密钥可以为处于有效期之内的通讯密钥。历史通讯密钥可以为曾经使用过且已过期的通讯密钥。下一次通讯密钥可以是未到有效期且在下一次通信时使用的通讯密钥。
具体的,本公开实施例可以使用隧道加密策略,依据请求数据包中包括的设备标识在加密通讯数据库中检索查询与目标控制设备匹配的目标密钥信息。
A004、国密加解密隧道确定目标密钥信息中是否存在处于有效期之内的第一通讯密钥,其中,该第一通讯密钥由国密加解密隧道与目标控制设备通过身份识别和密钥协商确定。
可选的,在目标密钥信息中不存在有效期之内的通讯密钥,或,目标密钥信息中处于有效期之内的第一通讯密钥的剩余有效期小于第一预设时长的情况下,国密加解密隧道与目标控制设备通过身份识别和密钥协商确定第二通讯密钥。国密加解密隧道将第二通讯密钥添加至目标密钥信息中。
可选的,如图2所示,本公开实施例提供的国密加解密隧道与目标控制设备通过身份标识和密钥协商确定第二通讯密钥的过程示意图,国密加解密隧道与目标控制设备通过身份标识和密钥协商确定第二通讯密钥的过程可以具体包括:
B001、国密加解密隧道将第一数字证书和经第一私钥加密后的第一随机数发送至目标控制设备。
B002、目标控制设备根据CA服务器的根证书,对第一数字证书进行有效性验证;若验证通过,则执行步骤B003。
其中,CA(Certification Authority)服务器是认证机构的服务器,可以对数字证书的申请者发放、管理、取消数字证书。CA服务器的作用是检查数字证书持有者身份的合法性,并签发数字证书(用数学方法在证书上签字),以防数字证书被伪造或篡改。
B003、目标控制设备使用第一数字证书携带的第一公钥对经第一私钥加密后的第一随机数进行解密。
B004、目标控制设备生成第二随机数,并根据解密后的第一随机数和第二随机数生成第二通讯密钥并存储第二通讯密钥。
B005、目标控制设备将第二数字证书、解密后的第一随机数以及经第二私钥加密后的第二随机数发送至国密加解密隧道。
B006、国密加解密隧道根据CA服务器的根证书,对第二数字证书和解密后的第一随机数进行有效性验证,若验证通过,则执行步骤B007。
可选的,若验证失败,则丢弃报文,连接重置。其中连接重置用于指示国密加解密隧道重新与目标控制设备建立连接。
B007、国密加解密隧道使用第二数字证书携带的第二公钥对第二私钥加密后的第二随机数进行解密。
B008、国密加解密隧道根据第一随机数和解密后的第二随机数生成第二通讯密钥并存储第二通讯密钥。
B009、国密加解密隧道使用第二通讯密钥对解密后的第二随机数进行加密,并将经第二通讯密钥加密后的第二随机数发送至目标控制设备。
B010、目标控制设备使用第二通讯密钥对经第二通讯密钥加密后的第二随机数进行解密,并对解密后的第二随机数进行有效性验证,若验证通过,则执行步骤B011。
可选的,若验证失败,则丢弃报文,连接重置。其中连接重置用于指示国密加解密隧道重新与目标控制设备建立连接。
B011、目标控制设备向国密加解密隧道发送可使用第二通讯密钥进行加密通信的通知。
可选的,第一数字证书由CA服务器向国密加解密隧道签发,第二数字证书由CA服务器向目标控制设备签发。
为了便于理解CA服务器签发数字证书的具体过程,此处特举CA服务器向国密加解密隧道签发第一数字证书的过程的例子进行说明:国密加解密隧道发送连接请求和隧道信息Info至CA服务器。CA服务器在接收到该连接请求之后,对该隧道信息Info进行验证并记录。在验证通过后,CA服务器发送CA证书Cer1至国密加解密隧道。国密加解密隧道通过根证书验证CA证书Cer1的有效性。在验证通过之后,国密加解密隧道生成隧道密钥对SK和证书签发请求。国密加解密隧道将该证书签发请求和隧道密钥对SK中的公钥信息PK发送至CA服务器。CA服务器根据该证书签发请求和公钥信息PK生成第一数字证书并记录。CA服务器将该第一数字证书发送至国密加解密隧道。国密加解密隧道通过隧道密钥对SK和根证书验证第一数字证书的有效性。在验证通过之后,国密加解密隧道存储该第一数字证书。
可以理解的是,CA服务器向目标控制设备签发第二数字证书的过程可参照上述CA服务器向国密加解密隧道签发第一数字证书的过程的例子,此处不再赘述。
需要注意的是,隧道密钥对SK即为国密加解密隧道与目标控制设备通过密钥协商获得的通讯密钥。
A005、国密加解密隧道在目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,根据该第一通讯密钥和国密算法对请求数据包进行加密获得第一加密数据包。
可选的,国密算法包括国密非对称加密算法、国密对称加密算法和国密密码杂凑算法。
可选的,国密非对称加密算法为椭圆曲线加密算法,和/或,国密对称加密算法为分组密码算法。
本公开实施例将国密算法应用到工业控制系统的通信中,实现了基于国密算法的工业控制系统加密通信。使得加密通信过程密钥均不相同且不可伪造,极大保证了通信过程的安全有效。
A006、国密加解密隧道将第一加密数据包发送至目标控制设备。
A007、目标控制设备根据该第一通讯密钥对第一加密数据包进行解密获得请求数据包。
A008、目标控制设备对请求数据包作出响应,获得响应数据包。
A009、目标控制设备根据该第一通讯密钥和国密算法对响应数据包进行加密获得第二加密数据包。
A010、目标控制设备将第二加密数据包发送至国密加解密隧道。
S011、国密加解密隧道根据该第一通讯密钥对第二加密数据包进行解密,获得响应数据包并将响应数据包发送至客户端设备。
本公开实施例通过基于透明式的国密加解密隧道,在不对工业控制系统软件进行二次开发与兼容性调整的情况下,在客户端设备数据出口的阶段就对数据进行识别,并通过密钥协商、维护以及管理,凭借通讯密钥最为整体加密通信凭证进行加解密处理。客户端设备上软件处理的都是解密完成或未加密的原始数据,使得对数据进行加解密不会影响软件的正常业务处理。本公开通过国密加解密隧道,能够实现在多种类、多功能、多供应商类型的工业控制系统的条件下,有效规避软件兼容性问题,保证通信过程安全、有效。
国密加解密隧道结合了国密算法与数字证书的特点,实现了对客户端设备以及目标控制设备之间的通信加解密以及身份认证。国密加解密隧道有效利用了数字证书的不可抵赖以及不可伪造的特点,限制非授权操作行为,保证设备间通信身份认证的安全性。国密加解密隧道以国密算法为基础,充分利用国密算法抗攻击性强、加密速度快、系统资源占用低、安全性强的特点,提升了工业控制系统之间的通信安全性能。
本公开提供的一种基于隧道加解密的工业控制系统通信方法,通过对客户端设备透明的国密加解密隧道,使用处于有效期之内的第一通讯密钥和国密算法完成客户端设备和目标控制设备之间的加密通信,其中,第一通讯密钥由国密加解密隧道与目标控制设备通过身份识别和密钥协商确定。本公开基于透明的国密加解密隧道完成客户端设备与目标控制设备的加密通信,以代理服务的形式完成对客户端设备发送和接收的数据的加密解密的过程,规避了需要对客户端设备中的相关工控软件进行适应性改造的兼容性问题,容易在多样化的工业控制系统之间实现安全的通信。
可选的,国密加解密隧道还可以支持协议转换。协议转换的目的是将请求数据包原有安全性较差的协议转换为安全性较高的协议进行传输。例如:将原有的UDP协议转换为TCP协议。
可选的,国密加解密隧道协议转换的具体条件和过程可以为:国密加解密隧道在目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,将请求数据包中的目的信息与隧道加密策略中的协议转换策略进行匹配,若匹配成功,则国密加解密隧道根据协议转换策略对请求数据包进行协议转换操作。
为了便于理解协议转换操作,此处通过举例进行说明:工程师站通过国密加解密隧道向操作员站发送请求数据包,在隧道加密策略匹配成功以及在加密通讯数据库中查询到工程师站匹配的目标密钥信息的情况下,国密加解密隧道可以根据该请求数据包中目标工控协议、端口信息以及地址信息与隧道加密策略中的协议转换策略进行对比匹配。协议转换策略的内容可以包括:目标转换端口信息,目标转换工控协议,原始端口信息、原始工控协议以及操作员站地址信息。若匹配成功,则根据协议转换策略进行协议转换。例如:以目标转换端口信息Port2,目标转换工控协议TCP,原始端口信息Port以及原始工控协议UDP为例,国密加解密隧道可以根据工程师站地址信息主动发起对操作员站目标转换端口的TCP连接请求。国密加解密隧道根据目标转换工控协议中的配置信息,开启对目标转换端口的监听。当操作员站接收到工程师站发起对目标转换端口的TCP请求时,将与工程师站建立TCP连接。在该TCP连接建立成功的情况下,工程师站和操作员站之间的国密加解密隧道基于该TCP连接进行加密通信以及密钥协商。需要注意的是,在密钥协商结束后,国密加解密隧道可以根据隧道密钥对SK对原始工控协议UDP下的请求数据包进行整体加密,并复制到TCP的数据区,以此基于TCP连接进行发送。操作员站在接收到工程师站通过国密加解密隧道发送的基于TCP的加密数据包,使用隧道密钥对SK对加密数据包进行解密,并根据协议转换策略,将加密后的基于UDP的请求数据包中的数据交由操作员站中的软件进行处理。可以理解的是,若工程师站和操作员站在一定时间内不进行通讯或者隧道密钥对SK超出有效期,则基于TCP连接将会释放,下一次通讯时,需要重新建立TCP连接,即重新执行国密加解密隧道根据目标转换工控协议中的配置信息,开启对目标转换端口的监听的步骤。
可选的,国密加解密隧道还可以对加密通讯数据库中保存的各密钥信息进行管理。具体的,国密加解密隧道可以按照预设周期对加密通讯数据库中与各控制设备匹配的密钥信息进行检测,当检测出满足预设密钥协商条件的密钥信息的情况下,国密加解密隧道与该密钥信息对应的控制设备通过身份识别和密钥协商确定通讯密钥。
可以理解的是,国密加解密隧道与该密钥信息对应的控制设备确定通讯密钥的过程可以参考图2所示的国密加解密隧道与目标控制设备通过身份标识和密钥协商确定第二通讯密钥的过程,此处不再赘述。
可选的,预设密钥协商条件可以包括:密钥信息中不存在处于有效期内的通讯密钥;和/或,密钥信息中存在处于有效期内的通讯密钥且该通讯密钥的剩余有效期小于第二预设时长;和/或,密钥信息中记录的控制设备与国密加解密隧道通过身份识别和密钥协商确定通讯密钥的协商失败次数在预设协商次数以内。
可以理解的是,对于重新密钥协商已完成且当前通讯密钥即将超出有效期的通讯,将从当前通讯密钥无缝切换至该重新密钥协商后的通讯密钥进行通讯。具体的,可以将该重新密钥协商后的通讯密钥设置为下一次通讯密钥。在下一次通讯时,将该当前通讯密钥设置为历史通讯密钥,将该下一次通讯密钥设置为当前通讯密钥。可选的,当重新密钥协商失败,则等待该当前通讯密钥超出有效期后再重新进行密钥协商。
可选的,国密加解密隧道对于密钥协商失败次数超过预设协商次数的控制设备,可以将该控制设备标记为离线状态,暂停定期与该控制设备进行密钥协商。可选的,对于密钥协商失败次数未超过预设协商次数的控制设备,国密加解密隧道随着密钥协商失败次数的增加,逐渐降低与该控制设备进行密钥协商的频率。
与上述方法实施例相对应,如图3所示,本公开实施例提供的基于隧道加解密的工业控制系统通信系统的一种结构示意图,该基于隧道加解密的工业控制系统通信系统可以包括:客户端设备100、目标控制设备200以及国密加解密隧道300。
国密加解密隧道300,用于在客户端设备100与目标控制设备200之间通过国密加解密隧道300进行通信的起始阶段,获得客户端设备100发送的请求数据包,其中,请求数据包携带有目标控制设备200的设备标识和目标工控协议,所述国密加解密隧道300对所述客户端设备100透明。
国密加解密隧道300,还用于根据设备标识和目标工控协议,确定与请求数据包匹配的隧道加密策略。
国密加解密隧道300,还用于根据隧道加密策略,在加密通讯数据库中查询与目标控制设备200匹配的目标密钥信息。
国密加解密隧道300,还用于确定目标密钥信息中是否存在处于有效期之内的第一通讯密钥,其中,该第一通讯密钥由国密加解密隧道300与目标控制设备200通过身份识别和密钥协商确定。
国密加解密隧道300,还用于在目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,根据该第一通讯密钥和国密算法对请求数据包进行加密获得第一加密数据包。
国密加解密隧道300,还用于将第一加密数据包发送至目标控制设备200。
目标控制设备200,用于根据该第一通讯密钥对第一加密数据包进行解密获得请求数据包。
目标控制设备200,还用于对请求数据包作出响应,获得响应数据包。
目标控制设备200,还用于根据该第一通讯密钥和国密算法对响应数据包进行加密获得第二加密数据包。
目标控制设备200,还用于将第二加密数据包发送至国密加解密隧道300。
国密加解密隧道300,还用于根据该第一通讯密钥对第二加密数据包进行解密,获得响应数据包并将响应数据包发送至客户端设备100。
可以理解的是,在国密加解密隧道300内置在客户端设备100中的情况下,本公开实施例提供的基于隧道加解密的工业控制系统通信系统的结构还可以如图4所示。
可选的,国密加解密隧道300,还用于在目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,将请求数据包中的目的信息与隧道加密策略中的协议转换策略进行匹配,若匹配成功,则国密加解密隧道300根据协议转换策略对请求数据包进行协议转换操作。
可选的,在目标密钥信息中不存在有效期之内的通讯密钥,或,目标密钥信息中处于有效期之内的第一通讯密钥的剩余有效期小于第一预设时长的情况下,国密加解密隧道300,还用于与目标控制设备200通过身份识别和密钥协商确定第二通讯密钥,将第二通讯密钥添加至目标密钥信息中。
可选的,国密加解密隧道300,还用于将第一数字证书和经第一私钥加密后的第一随机数发送至目标控制设备200。
目标控制设备200,还用于根据CA服务器的根证书,对第一数字证书进行有效性验证;若验证通过,目标控制设备200使用第一数字证书携带的第一公钥对经第一私钥加密后的第一随机数进行解密。
目标控制设备200生成第二随机数,并根据解密后的第一随机数和第二随机数生成第二通讯密钥并存储第二通讯密钥。
目标控制设备200,还用于将第二数字证书、解密后的第一随机数以及经第二私钥加密后的第二随机数发送至国密加解密隧道300。
国密加解密隧道300,还用于根据CA服务器的根证书,对第二数字证书和解密后的第一随机数进行有效性验证,若验证通过,则使用第二数字证书携带的第二公钥对第二私钥加密后的第二随机数进行解密。
国密加解密隧道300,还用于根据第一随机数和解密后的第二随机数生成第二通讯密钥并存储第二通讯密钥。
国密加解密隧道300,还用于使用第二通讯密钥对解密后的第二随机数进行加密,并将经第二通讯密钥加密后的第二随机数发送至目标控制设备200。
目标控制设备200,还用于使用第二通讯密钥对经第二通讯密钥加密后的第二随机数进行解密,并对解密后的第二随机数进行有效性验证,若验证通过,则目标控制设备200向国密加解密隧道300发送可使用第二通讯密钥进行加密通信的通知。
可选的,第一数字证书由CA服务器向国密加解密隧道300签发,第二数字证书由CA服务器向目标控制设备200签发。
可选的,国密加解密隧道300,还用于按照预设周期对加密通讯数据库中与各控制设备匹配的密钥信息进行检测,当检测出满足预设密钥协商条件的密钥信息的情况下,国密加解密隧道300与该密钥信息对应的控制设备通过身份识别和密钥协商确定通讯密钥。
可选的,预设密钥协商条件包括:密钥信息中不存在处于有效期内的通讯密钥;和/或,密钥信息中存在处于有效期内的通讯密钥且该通讯密钥的剩余有效期小于第二预设时长;和/或,密钥信息中记录的控制设备与国密加解密隧道300通过身份识别和密钥协商确定通讯密钥的协商失败次数在预设协商次数以内。
可选的,国密算法包括国密非对称加密算法、国密对称加密算法和国密密码杂凑算法。
可选的,国密非对称加密算法为椭圆曲线加密算法,和/或,国密对称加密算法为分组密码算法。
本公开提供的一种基于隧道加解密的工业控制系统通信系统,通过对客户端设备100透明的国密加解密隧道300,使用处于有效期之内的第一通讯密钥和国密算法完成客户端设备100和目标控制设备200之间的加密通信,其中,第一通讯密钥由国密加解密隧道300与目标控制设备200通过身份识别和密钥协商确定。本公开基于透明的国密加解密隧道300完成客户端设备100与目标控制设备200的加密通信,以代理服务的形式完成对客户端设备100发送和接收的数据的加密解密的过程,规避了需要对客户端设备100中的相关工控软件进行适应性改造的兼容性问题,容易在多样化的工业控制系统之间实现安全的通信。
关于上述实施例中的系统,其中各个设备和国密加解密隧道执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种基于隧道加解密的工业控制系统通信方法,其特征在于,包括:
在客户端设备与目标控制设备之间通过国密加解密隧道进行通信的起始阶段,所述国密加解密隧道获得所述客户端设备发送的请求数据包,其中,所述请求数据包携带有所述目标控制设备的设备标识和目标工控协议,所述国密加解密隧道对所述客户端设备透明;
所述国密加解密隧道根据所述设备标识和所述目标工控协议,确定与所述请求数据包匹配的隧道加密策略;
所述国密加解密隧道根据所述隧道加密策略,在加密通讯数据库中查询与所述目标控制设备匹配的目标密钥信息;
所述国密加解密隧道确定所述目标密钥信息中是否存在处于有效期之内的第一通讯密钥,其中,该第一通讯密钥由所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定;
所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,根据该第一通讯密钥和国密算法对所述请求数据包进行加密获得第一加密数据包;
所述国密加解密隧道将所述第一加密数据包发送至所述目标控制设备;
所述目标控制设备根据该第一通讯密钥对所述第一加密数据包进行解密获得所述请求数据包;
所述目标控制设备对所述请求数据包作出响应,获得响应数据包;
所述目标控制设备根据该第一通讯密钥和所述国密算法对所述响应数据包进行加密获得第二加密数据包;
所述目标控制设备将所述第二加密数据包发送至所述国密加解密隧道;
所述国密加解密隧道根据该第一通讯密钥对所述第二加密数据包进行解密,获得所述响应数据包并将所述响应数据包发送至所述客户端设备。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述国密加解密隧道在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,将所述请求数据包中的目的信息与所述隧道加密策略中的协议转换策略进行匹配,若匹配成功,则所述国密加解密隧道根据所述协议转换策略对所述请求数据包进行协议转换操作。
3.根据权利要求1所述的方法,其特征在于,还包括:
在所述目标密钥信息中不存在有效期之内的通讯密钥,或,所述目标密钥信息中处于有效期之内的第一通讯密钥的剩余有效期小于第一预设时长的情况下,所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定第二通讯密钥;
所述国密加解密隧道将所述第二通讯密钥添加至所述目标密钥信息中。
4.根据权利要求3所述的方法,其特征在于,所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定第二通讯密钥可以包括:
所述国密加解密隧道将第一数字证书和经第一私钥加密后的第一随机数发送至所述目标控制设备;
所述目标控制设备根据CA服务器的根证书,对所述第一数字证书进行有效性验证;若验证通过,所述目标控制设备使用所述第一数字证书携带的第一公钥对经第一私钥加密后的所述第一随机数进行解密;
所述目标控制设备生成第二随机数,并根据解密后的所述第一随机数和所述第二随机数生成第二通讯密钥并存储所述第二通讯密钥;
所述目标控制设备将第二数字证书、解密后的所述第一随机数以及经第二私钥加密后的所述第二随机数发送至所述国密加解密隧道;
所述国密加解密隧道根据所述CA服务器的根证书,对所述第二数字证书和解密后的所述第一随机数进行有效性验证,若验证通过,则使用所述第二数字证书携带的第二公钥对第二私钥加密后的所述第二随机数进行解密;
所述国密加解密隧道根据所述第一随机数和解密后的所述第二随机数生成所述第二通讯密钥并存储所述第二通讯密钥;
所述国密加解密隧道使用所述第二通讯密钥对解密后的所述第二随机数进行加密,并将经所述第二通讯密钥加密后的所述第二随机数发送至所述目标控制设备;
所述目标控制设备使用所述第二通讯密钥对经所述第二通讯密钥加密后的所述第二随机数进行解密,并对解密后的所述第二随机数进行有效性验证,若验证通过,则所述目标控制设备向国密加解密隧道发送可使用所述第二通讯密钥进行加密通信的通知。
5.根据权利要求4所述的方法,其特征在于,所述第一数字证书由所述CA服务器向所述国密加解密隧道签发,所述第二数字证书由所述CA服务器向所述目标控制设备签发。
6.根据权利要求1所述的方法,其特征在于,还包括:
所述国密加解密隧道按照预设周期对所述加密通讯数据库中与各控制设备匹配的密钥信息进行检测,当检测出满足预设密钥协商条件的密钥信息的情况下,所述国密加解密隧道与该密钥信息对应的控制设备通过身份识别和密钥协商确定通讯密钥。
7.根据权利要求6所述的方法,其特征在于,所述预设密钥协商条件包括:
密钥信息中不存在处于有效期内的通讯密钥;
和/或,密钥信息中存在处于有效期内的通讯密钥且该通讯密钥的剩余有效期小于第二预设时长;
和/或,密钥信息中记录的控制设备与所述国密加解密隧道通过身份识别和密钥协商确定通讯密钥的协商失败次数在预设协商次数以内。
8.根据权利要求1至7所述的任一项所述的方法,其特征在于,所述国密算法包括国密非对称加密算法、国密对称加密算法和国密密码杂凑算法。
9.根据权利要求8所述的方法,其特征在于,所述国密非对称加密算法为椭圆曲线加密算法,和/或,所述国密对称加密算法为分组密码算法。
10.一种基于隧道加解密的工业控制系统通信系统,其特征在于,包括:客户端设备、目标控制设备以及国密加解密隧道,
所述国密加解密隧道,用于在所述客户端设备与所述目标控制设备之间通过所述国密加解密隧道进行通信的起始阶段,获得所述客户端设备发送的请求数据包,其中,所述请求数据包携带有所述目标控制设备的设备标识和目标工控协议,所述国密加解密隧道对所述客户端设备透明;
所述国密加解密隧道,还用于根据所述设备标识和所述目标工控协议,确定与所述请求数据包匹配的隧道加密策略;
所述国密加解密隧道,还用于根据所述隧道加密策略,在加密通讯数据库中查询与所述目标控制设备匹配的目标密钥信息;
所述国密加解密隧道,还用于确定所述目标密钥信息中是否存在处于有效期之内的第一通讯密钥,其中,该第一通讯密钥由所述国密加解密隧道与所述目标控制设备通过身份识别和密钥协商确定;
所述国密加解密隧道,还用于在所述目标密钥信息中存在处于有效期之内的第一通讯密钥的情况下,根据该第一通讯密钥和国密算法对所述请求数据包进行加密获得第一加密数据包;
所述国密加解密隧道,还用于将所述第一加密数据包发送至所述目标控制设备;
所述目标控制设备,用于根据该第一通讯密钥对所述第一加密数据包进行解密获得所述请求数据包;
所述目标控制设备,还用于对所述请求数据包作出响应,获得响应数据包;
所述目标控制设备,还用于根据该第一通讯密钥和所述国密算法对所述响应数据包进行加密获得第二加密数据包;
所述目标控制设备,还用于将所述第二加密数据包发送至所述国密加解密隧道;
所述国密加解密隧道,还用于根据该第一通讯密钥对所述第二加密数据包进行解密,获得所述响应数据包并将所述响应数据包发送至所述客户端设备。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110365552.2A CN112731897B (zh) | 2021-04-06 | 2021-04-06 | 一种基于隧道加解密的工业控制系统通信方法及系统 |
| PCT/CN2021/116128 WO2022213535A1 (zh) | 2021-04-06 | 2021-09-02 | 一种基于隧道加解密的工业控制系统通信方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110365552.2A CN112731897B (zh) | 2021-04-06 | 2021-04-06 | 一种基于隧道加解密的工业控制系统通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112731897A true CN112731897A (zh) | 2021-04-30 |
| CN112731897B CN112731897B (zh) | 2021-06-22 |
Family
ID=75596506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110365552.2A Active CN112731897B (zh) | 2021-04-06 | 2021-04-06 | 一种基于隧道加解密的工业控制系统通信方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112731897B (zh) |
| WO (1) | WO2022213535A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024780A (zh) * | 2022-01-06 | 2022-02-08 | 北京交研智慧科技有限公司 | 一种基于物联网设备的节点信息处理方法及装置 |
| WO2022213535A1 (zh) * | 2021-04-06 | 2022-10-13 | 浙江中控技术股份有限公司 | 一种基于隧道加解密的工业控制系统通信方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098317A (zh) * | 2011-03-22 | 2011-06-15 | 浙江中控技术股份有限公司 | 一种应用于云系统的数据传输方法及系统 |
| CN102932141A (zh) * | 2012-09-27 | 2013-02-13 | 汉柏科技有限公司 | 多加解密芯片并行处理报文加解密的保序方法及系统 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| US20160085972A1 (en) * | 2014-09-23 | 2016-03-24 | Accenture Global Services Limited | Industrial security agent platform |
| CN106100836A (zh) * | 2016-08-09 | 2016-11-09 | 中京天裕科技(北京)有限公司 | 一种工业用户身份认证和加密的方法及系统 |
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
| CN112350826A (zh) * | 2021-01-08 | 2021-02-09 | 浙江中控技术股份有限公司 | 一种工业控制系统数字证书签发管理方法和加密通信方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3248359A4 (en) * | 2015-01-22 | 2018-09-05 | Visa International Service Association | Method and system for establishing a secure communication tunnel |
| CN110401532A (zh) * | 2019-08-08 | 2019-11-01 | 昆高新芯微电子(江苏)有限公司 | 一种基于国密算法的以太网数据加解密处理方法 |
| CN112731897B (zh) * | 2021-04-06 | 2021-06-22 | 浙江中控技术股份有限公司 | 一种基于隧道加解密的工业控制系统通信方法及系统 |
-
2021
- 2021-04-06 CN CN202110365552.2A patent/CN112731897B/zh active Active
- 2021-09-02 WO PCT/CN2021/116128 patent/WO2022213535A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098317A (zh) * | 2011-03-22 | 2011-06-15 | 浙江中控技术股份有限公司 | 一种应用于云系统的数据传输方法及系统 |
| CN102932141A (zh) * | 2012-09-27 | 2013-02-13 | 汉柏科技有限公司 | 多加解密芯片并行处理报文加解密的保序方法及系统 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| US20160085972A1 (en) * | 2014-09-23 | 2016-03-24 | Accenture Global Services Limited | Industrial security agent platform |
| CN106100836A (zh) * | 2016-08-09 | 2016-11-09 | 中京天裕科技(北京)有限公司 | 一种工业用户身份认证和加密的方法及系统 |
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
| CN112350826A (zh) * | 2021-01-08 | 2021-02-09 | 浙江中控技术股份有限公司 | 一种工业控制系统数字证书签发管理方法和加密通信方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022213535A1 (zh) * | 2021-04-06 | 2022-10-13 | 浙江中控技术股份有限公司 | 一种基于隧道加解密的工业控制系统通信方法及系统 |
| CN114024780A (zh) * | 2022-01-06 | 2022-02-08 | 北京交研智慧科技有限公司 | 一种基于物联网设备的节点信息处理方法及装置 |
| CN114024780B (zh) * | 2022-01-06 | 2022-03-18 | 北京交研智慧科技有限公司 | 一种基于物联网设备的节点信息处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022213535A1 (zh) | 2022-10-13 |
| CN112731897B (zh) | 2021-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076078B (zh) | 用以建立和更新用于安全的车载网络通信的密钥的方法 | |
| US10237077B2 (en) | Method for protected communication of a vehicle | |
| JP2022504420A (ja) | デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム | |
| CN112731897B (zh) | 一种基于隧道加解密的工业控制系统通信方法及系统 | |
| CN112350826A (zh) | 一种工业控制系统数字证书签发管理方法和加密通信方法 | |
| CN101170413B (zh) | 一种数字证书及其私钥的获得、分发方法及设备 | |
| CN115396121B (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
| EP1517514B1 (en) | Method for installing and updating certificates used for device authentication. | |
| KR102501522B1 (ko) | 전기차 충전기용 양방향 보안통신장치 | |
| CN112053477B (zh) | 智能门锁的控制系统、方法、装置及可读存储介质 | |
| CN112019566A (zh) | 数据的传输方法、服务器、客户端及计算机存储介质 | |
| CN114866245A (zh) | 一种基于区块链的电力数据采集方法及系统 | |
| CN110120866B (zh) | 现场设备的用户管理方法 | |
| CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| KR100559958B1 (ko) | 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법 | |
| CN111935258A (zh) | 一种对电动汽车车载终端进行参数操作的方法和系统 | |
| CN112199704B (zh) | 一种基于服务端对web数据进行动态加解密处理的方法 | |
| CN116915480A (zh) | 一种电力物联网安全管理方法及系统 | |
| KR20180041840A (ko) | 암호화 통신 시스템 및 방법, 이를 위한 가드 시스템 및 사용자 단말기 | |
| CN114124578B (zh) | 一种通信方法、装置、车辆及存储介质 | |
| CN112083940B (zh) | 基于国密算法的电力采集终端远程升级方法 | |
| CN112995140A (zh) | 安全管理系统及方法 | |
| CN108712399B (zh) | 配网主站及其通讯方法、通讯转换装置及其通讯方法 | |
| CN100583743C (zh) | 传输密钥的分发方法 | |
| JP4657643B2 (ja) | 通信装置、通信システム、通信方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No. 309 Liuhe Road, Binjiang District, Hangzhou City, Zhejiang Province (High tech Zone) Patentee after: Zhongkong Technology Co.,Ltd. Country or region after: China Address before: No. six, No. 309, Binjiang District Road, Hangzhou, Zhejiang Patentee before: ZHEJIANG SUPCON TECHNOLOGY Co.,Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address |