CN114363024A - 数据加密传输方法、装置、终端设备以及存储介质 - Google Patents
数据加密传输方法、装置、终端设备以及存储介质 Download PDFInfo
- Publication number
- CN114363024A CN114363024A CN202111593802.4A CN202111593802A CN114363024A CN 114363024 A CN114363024 A CN 114363024A CN 202111593802 A CN202111593802 A CN 202111593802A CN 114363024 A CN114363024 A CN 114363024A
- Authority
- CN
- China
- Prior art keywords
- data
- message
- network
- remote
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 167
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 238000009776 industrial production Methods 0.000 claims abstract description 18
- 238000006243 chemical reaction Methods 0.000 claims description 11
- 238000004891 communication Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据加密传输方法、装置、终端设备以及存储介质,所述数据加密传输方法应用于工业生产系统中的远程系统,所述工业生产系统中还包括总部系统,通过获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。本发明解决了远程数据传输设备与控制中心之间数据传输的安全问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种数据加密传输方法、装置、终端设备以及存储介质。
背景技术
在智能油气田、智能电网、环境检测等工业环境中,数以万计的远程控制系统(Remote Terminal Unit,RTU)得到应用,而这些RTU与控制中心的通信则依靠了一种名为远程数据传输设备(Data Transfer unit,DTU)的装置。DTU的主要功能是将远程控制系统的串口数据转换成IP(Internet Protocol,网际互连协议)报文,通过无线的方式同控制中心进行通信,达成控制中心对远程控制系统的监测、控制。在互联网日益发展的今天,DTU的使用也越来越广泛。它为各行业以及各行业之间的信息、产业融合提供了帮助。
当前市场上的DTU产品和控制中心的通信均是以明文方式进行,导致控制中心下发给RTU的指令、RTU上报给控制中心的数据全部暴露在互联网中,一旦攻击者对这些数据进行劫持并对其进行修改,就会出现远程控制系统执行了错误或异常的指令,或是控制中心获取了错误的远程控制系统数据,将会直接影响到工业生产系统的安全。
因此,有必要提出一种解决数据传输设备与控制中心之间的数据传输安全问题的方案。
发明内容
本发明的主要目的在于提供一种数据加密传输方法、装置、终端设备以及存储介质,旨在解决远程数据传输设备与控制中心之间数据传输的安全问题。
为实现上述目的,本发明提供一种数据加密传输方法,所述数据加密传输方法应用于工业生产系统中的远程系统,所述工业生产系统中还包括总部系统,所述数据加密传输方法包括:
获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;
通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;
将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。
可选地,所述数据加密传输方法还包括:
接收由所述控制中心发出并经过所述安全网关加密的加密指令;
通过所述数据安全传输模块对所述加密指令进行解密,得到网络报文;
将所述网络报文转换为终端指令,并将所述终端指令发送至所述远程控制系统。
可选地,所述获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文的步骤之前还包括:
通过所述数据安全传输模块与所述安全网关进行协商,得到协商内容;
根据所述协商内容建立安全加密隧道,以通过所述安全加密隧道对所述网络明文报文进行加密传输。
可选地,所述将所述解密指令转换为串口指令,并将所述串口指令发送至所述远程控制系统的步骤包括:
将所述网络报文的链路层、网络层以及传输层进行剥离,得到所述终端指令;
通过串行接口将所述终端指令发送至所述远程控制系统。
可选地,所述将所述加密报文发送至所述总部系统的步骤包括:
将所述加密报文发送到无线网卡;
通过所述无线网卡将所述加密报文经由所述安全加密隧道发送至所述总部系统。
此外,为实现上述目的,本发明还提供一种数据加密传输方法,所述数据加密传输方法应用于工业生产系统中的总部系统,所述工业生产系统中还包括远程系统,所述数据加密传输方法包括:
接收所述远程系统发送的加密报文;
通过所述总部系统中的安全网关对所述加密报文进行解密,得到网络明文报文;
将所述网络明文报文发送至所述总部系统中的控制中心。
可选地,所述数据加密传输方法还包括:
通过所述控制中心发送网络报文至所述安全网关;
通过所述安全网关对所述网络报文进行加密,得到加密指令;
将所述加密指令经由加密隧道发送至所述远程系统,以供所述远程系统中的数据安全传输模块将所述加密指令进行解密,得到网络报文,并将所述网络报文转换为终端指令发送至所述远程系统中的远程控制系统。
此外,为实现上述目的,本发明还提供一种数据加密传输装置,所述数据加密传输装置包括:
转换模块,用于获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;
加密模块,用于通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;
发送模块,用于将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。
此外,为实现上述目的,本发明还提供一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据加密传输程序,所述数据加密传输程序被所述处理器执行时实现如上所述的数据加密传输方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有数据加密传输程序,所述数据加密传输程序被处理器执行时实现如上所述的数据加密传输方法的步骤。
本发明实施例提出的一种数据加密传输方法、装置、终端设备以及存储介质,通过获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。通过对网络明文报文数据进行加密,可以有效保护传输的数据信息,将加密报文发送至总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密并发送至控制中心,实现了远程控制系统与控制中心之间数据的安全传输。
附图说明
图1为本发明数据加密传输装置所属终端设备的功能模块示意图;
图2为本发明数据加密传输方法一示例性实施例的流程示意图;
图3为本发明数据加密传输方法另一示例性实施例的流程示意图;
图4为本发明实施例中数据加密传输方法的原理示意图;
图5为本发明实施例中远程数据传输装置与远程控制系统连接的实物图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:通过获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。通过对网络明文报文数据进行加密,可以有效保护传输的数据信息,将加密报文发送至总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密并发送至控制中心,实现了远程控制系统与控制中心之间数据的安全传输。
本发明实施例涉及的技术术语:
远程控制系统(Remote Terminal Unit,RTU):一种针对通信距离较长和工业现场环境恶劣而设计的具有模块化结构的、特殊的计算机测控单元;
远程数据传输设备(Data Transfer unit,DTU):是专门用于将串口数据转换为IP数据或将IP数据转换为串口数据通过无线通信网络进行传送的无线终端设备。DTU广泛应用于气象、水文水利、地质等行业;
IP(Internet Protocol,网际互连协议):是整个TCP/IP协议族的核心,也是构成互联网的基础。IP位于TCP/IP模型的网络层,它可以向传输层提供各种协议的信息;
IPsec VPN(Internet Protocol Security Virtual Private Network,安全网关)是一种安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全,在两个公共网关间提供私密数据封包服务;
UDP(User Datagram Protocol,用户数据包协议):Internet协议集支持的一个无连接的传输协议;
TCP(Transmission Control Protocol,传输控制协议):是一种面向连接的、可靠的、基于字节流的传输层通信协议;
HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议):是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
目前远程控制系统(Remote Terminal Unit,RTU)在工业生产中具有广泛的应用,而这些RTU与控制中心的通信则需依靠远程数据传输设备(Data Transfer unit,DTU)。但当前市场上的DTU产品和控制中心的通信均是以明文方式进行,导致控制中心下发给RTU的指令以及RTU上报的数据全部暴露在互联网中,存在较大的安全隐患,一旦攻击者将这些数据进行劫持并对其进行修改,就会出现RTU执行了错误或异常的指令,或是控制中心获取了错误的远程控制系统数据,将会直接影响到工业生产系统的安全。此外,由于是明文传输,控制中心和远程控制系统之间联系的重要数据也存在被泄露的可能性,进一步可能造成企业技术机密的泄露。
本发明提供一种解决方案,在控制中心和远程控制系统之间会建立一条IPSECVPN的隧道,这样所有控制中心和远程控制系统中间传输数据在发送到互联网之前都会经过私有加密,无论工业远程数据传输装置发出的数据,还是接收来自控制中心的数据,均被加密,使数据受到了保护。即使不法分子攻击截获了这些数据,也不能对其进行解密,无法实现对数据的篡改,更无法对数据进行窃取。从而屏蔽了由于数据篡改而导致的非法操作指令、异常数据下发到RTU中,对RTU设备进行保护,避免其遭受攻击、损坏;同时,也避免了虚假RTU数据上报给控制中心,对工业系统的稳定运行起到保障作用。此外,由于当前企业均在网络出口装有防火墙,而大多数防火墙都具备安全加密功能,因此本装置的部署不会影响企业本部控制中心的大规模改动,只需要替换原有DTU设备即可,本装置在DTU的基础上加入了兼容性较强的加密隧道功能,形成一种新的具有内生安全能力的工业数据传输装置,在实现数据安全传输的同时,不会给企业造成较大改造成本负担。
具体地,参照图1,图1为本发明数据加密传输装置所属终端设备的功能模块示意图。该数据加密传输装置可以为独立于终端设备的、能够进行数据加密传输的装置,其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等具有数据处理功能的智能移动终端,还可以为具有数据处理功能的固定终端设备或服务器等。
在本实施例中,该数据加密传输装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及数据加密传输程序,数据加密传输装置可以将获取的所述远程系统中的远程控制系统内的数据、将所述数据转换成的网络明文报文、通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到的加密报文、将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到的所述网络明文报文等信息存储于该存储器130中;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的数据加密传输程序被处理器执行时实现以下步骤:
获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;
通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;
将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。
进一步地,存储器130中的数据加密传输程序被处理器执行时还实现以下步骤:
接收由所述控制中心发出并经过所述安全网关加密的加密指令;
通过所述数据安全传输模块对所述加密指令进行解密,得到网络报文;
将所述网络报文转换为终端指令,并将所述终端指令发送至所述远程控制系统。
进一步地,存储器130中的数据加密传输程序被处理器执行时还实现以下步骤:
通过所述数据安全传输模块与所述安全网关进行协商,得到协商内容;
根据所述协商内容建立安全加密隧道,以通过所述安全加密隧道对所述网络明文报文进行加密传输。
进一步地,存储器130中的数据加密传输程序被处理器执行时还实现以下步骤:
将所述网络报文的链路层、网络层以及传输层进行剥离,得到所述终端指令;
通过串行接口将所述终端指令发送至所述远程控制系统。
进一步地,存储器130中的数据加密传输程序被处理器执行时还实现以下步骤:
将所述加密报文发送到无线网卡;
通过所述无线网卡将所述加密报文经由所述安全加密隧道发送至所述总部系统。
进一步地,存储器130中的数据加密传输程序被处理器执行时还实现以下步骤:
接收所述远程系统发送的加密报文;
通过所述总部系统中的安全网关对所述加密报文进行解密,得到网络明文报文;
将所述网络明文报文发送至所述总部系统中的控制中心。
进一步地,存储器130中的数据加密传输程序被处理器执行时还实现以下步骤:
通过所述控制中心发送网络报文至所述安全网关;
通过所述安全网关对所述网络报文进行加密,得到加密指令;
将所述加密指令经由加密隧道发送至所述远程系统,以供所述远程系统中的数据安全传输模块将所述加密指令进行解密,得到网络报文,并将所述网络报文转换为终端指令发送至所述远程系统中的远程控制系统。
本实施例通过上述方案,具体通过获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。通过对网络明文报文数据进行加密,可以有效保护传输的数据信息,将加密报文发送至总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密并发送至控制中心,实现了远程控制系统与控制中心之间数据的安全传输。
基于上述终端设备架构但不限于上述架构,提出本发明方法实施例。
本实施例方法的执行主体可以为一种数据加密传输装置或终端设备等,本实施例以数据加密传输装置进行举例。
参照图2,图2为本发明数据加密传输方法一示例性实施例的流程示意图。所述数据加密传输方法应用于工业生产系统中的远程系统,所述工业生产系统中还包括总部系统,所述数据加密传输方法包括:
步骤S10,获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;
在智能油气田、智能电网、环境检测等工业生产系统中,远端数据采集、操控是系统运行中不可或缺的环节,通过传感器等采集装置对工业数据进行采集,例如油气井性能数据、钻后操作数据、电力数据、空气质量检测数据、水质检测数据等,将采集到的数据传送至远程系统中的RTU远程控制系统,由远程系统中的DTU远程数据传输设备装置通过串行接口对RTU中的数据进行读取,在串口通信中,常用的协议包括RS-232、RS-422和RS-485,本发明实施例中DTU读取的RTU数据为RS-485串行数据。在所述DTU装置中,包括数据转换模块与数据安全传输模块,由数据转换模块根据读取到的数据构造目的为企业控制中心的明文网络数据报文,传输协议为UDP或TCP,其中RTU数据作为传输协议的负载,此后该报文会被送至数据安全传输模块。
步骤S20,通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;
在工业远程数据传输装置配置完成后,装置中的数据安全传输模块先与总部系统中的安全网关对数据加密算法、超时时间、认证方法等内容进行协商,协商成功后,本装置和控制中心之间的安全加密隧道则建立完成。当数据转换模块将读取的RTU的数据转换为网络明文报文后,将所述网络明文报文发送至数据安全传输模块,该数据安全传输模块则根据协商的安全加密隧道信息对这个报文进行封装处理,使其成为能够通过安全加密隧道传输的加密报文。
步骤S30,将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。
当数据安全传输模块将网络明文报文进行加密得到加密报文后,将该加密报文发送至无线网卡,由无线网卡将加密报文经由安全加密隧道传输至总部系统,总部系统收到该加密报文后,先由安全网关根据协商的隧道信息对其进行解密,解密后的报文为目的地址是控制中心的明文,控制中心则可在网络中接收到该网络明文报文,并获取到报文中RTU上送的数据,最终实现了RTU数据经过加密上报至控制中心的过程。
同样,当控制中心给RTU下发网络报文时,由DTU装置接收由所述控制中心发出并经过所述安全网关加密的加密指令,然后通过DTU中的数据安全传输模块根据协商的安全加密隧道信息对所述加密指令进行解密,得到网络报文,然后通过数据转换模块将所述网络报文的链路层、网络层以及传输层进行剥离,得到可以被RTU识别的终端指令,并将所述终端指令通过串行接口下发至RTU,实现了控制中心对RTU下发数据的过程。
在本实施例中,通过获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。通过对网络明文报文数据进行加密,可以有效保护传输的数据信息,将加密报文发送至总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密并发送至控制中心,实现了远程控制系统与控制中心之间数据的安全传输,保障了工业系统的稳定运行。
参照图3,图3为本发明数据加密传输方法另一示例性实施例的流程示意图。基于上述图2所示的实施例,本发明实施例提供的一种数据加密传输方法,应用于工业生产系统中的总部系统,所述工业生产系统中还包括远程系统,所述数据加密传输方法包括:
步骤A10,接收所述远程系统发送的加密报文;
在工业生产系统中的远程系统将采集的数据转化为网络明文报文并进行加密后,将得到的加密报文通过无线网卡发送至总部系统,总部系统对所述加密报文进行接收,之后由总部系统中的安全网关对加密报文进行处理。
步骤A20,通过所述总部系统中的安全网关对所述加密报文进行解密,得到网络明文报文;
总部系统接收到的加密报文首先进入安全网关,由安全网关根据预先协商的安全加密隧道对所述加密报文进行解密,解密后的报文为目的地址是控制中心的网络明文报文。
步骤A30,将所述网络明文报文发送至所述总部系统中的控制中心。
由安全网关对加密报文进行解密后,将解密后的网络明文报文通过总部系统的网络发送至控制中心,由控制中心获取到报文中RTU上送的数据,最终实现了RTU数据经过加密上报至控制中心的过程。
同样地,当控制中心给RTU下发数据时,由控制中心发出网络报文至安全网关,由安全网关根据协商的安全加密隧道信息对网络报文进行封装处理,使其成为能够通过安全加密隧道传输的加密指令,然后再将所述加密指令发送到所述远程系统,以供所述远程系统中的数据安全传输模块将所述加密指令进行解密,得到网络报文,并将所述网络报文转换为终端指令后发送至所述远程系统中的RTU远程控制系统,从而完成控制中心对RTU下发数据的加密保护。
本实施例通过上述方案,具体通过接收所述远程系统发送的加密报文;通过所述总部系统中的安全网关对所述加密报文进行解密,得到网络明文报文;将所述网络明文报文发送至所述总部系统中的控制中心,实现了RTU数据经过加密上报至控制中心。此外,通过将控制中心发出的网络报文进行加密并传输至远程系统,并由其中的数据安全传输模块将加密指令解密后转换为终端指令发送至RTU,以完成控制中心对RTU下发数据的加密保护,实现了控制中心与RTU之间数据的安全传输。
参照图4,图4为本发明实施例中数据加密传输方法的原理示意图,如图4所示,本发明实施例在传统的DTU装置的基础上增加了IPsec VPN数据安全传输模块,构成具备防数据篡改、泄漏功能的工业远程数据传输装置。参照图5,图5为本发明实施例中远程数据传输装置与远程控制系统连接的实物图。在本装置上线配置完成后,装置中的数据安全传输模块首先与企业总部的安全网关对数据加密算法、超时时间、认证方法等内容进行协商,协商成功后,本装置和控制中心之间安全加密隧道建立完成。
在本发明实施例中,RTU侧串口的配置波特率为9600,DTU配置则是用装置自身的一些配置,其中DTU名称、身份识别码是用于标识自身的信息,绑定通道则是在传输数据时所选用的通道,重连周期则是用于在设备和DTU断联时重连的周期设置。安全传输模块的配置同传统的VPN方式相同。在通道配置中,DSC IP地址、端口为企业控制中心的IP地址及端口,本地绑定端口为本地发送报文时的源端口,这部分内容主要是用于构造和企业控制中心传输报文使用的数据。
本装置正式开始工作后,其给控制中心上传数据过程如下:当装置通过串口读取到RTU的数据后,数据首先会进入数据转换模块。数据转换模块将构造目的为企业控制中心的明文网络数据报文,传输协议为UDP或TCP,其中RTU数据作为传输协议的负载。此后该报文会被送至数据安全传输模块,模块会根据协商的安全加密隧道信息对这个报文进行封装处理,使其成为能够通过隧道传输加密报文,加密后的报文最终通过无线网卡将数据发送给企业总部。企业总部收到该数据后,首先进入企业安全网关,安全网关根据协商的隧道信息对其进行解密。解密后的报文为目的地址是控制中心的明文,控制中心则可在网络中接收到该报文,并获取到报文中RTU上送的数据,最终实现了RTU数据经过加密上报至控制中心的过程。
同样,当控制中心给RTU下发数据时,控制中心发出的为明文网络报文,当该报文到达企业安全网关后,安全网关会根据协商的安全加密隧道信息对报文进行封装处理,使其成为能够通过隧道传输加密报文,然后再发送到工业远程数据传输装置。工业远程数据传输装置收到该报文后,首先会进入数据安全传输模块,该模块对根据协商的隧道信息对其进行解密,系统会将解密后的网络报文交给装置的数据转换模块。数据转换模块则会将网络报文的链路层、网络层、传输层剥离,使其转换为被RTU识别指令,最后装置通过串口下发给RTU,以完成控制中心对RTU下发数据的加密保护。
对于传统DTU使用HTTPS方式和控制中心通讯的替代方案,对旧系统的改造动作比较大,不仅仅是DTU的升级改造,还需要对控制中心进行升级改造。而控制中心的升级改造则会同时关联到所有RTU的断联,会大面积影响生产,同时改造成本较高。但本发明实施例方案的设备则只需要对DTU进行改造,在控制中心侧则利用原企业防火墙VPN功能即可,每次只影响一个RTU的单点,改造影响小,成本低。
对于使用有线DTU+无线VPN网关的替代方案,其使用了两个装置,实施成本增加,并且设备占用空间增大,实施难度增加,设备增多,故障点增多。
在本实施例中,通过在传统的DTU装置的基础上增加了IPsec VPN数据安全传输模块,构成具备防数据篡改、泄漏功能的工业远程数据传输装置,将DTU与RTU进行连接,通过DTU中的数据安全传输模块与企业总部的安全网关对数据进行加密、解密,提高了RTU与控制中心之间数据传输的安全性,并且改造影响小,易于实现,可以有效保障工业控制系统中远程控制系统的安全防护。
此外,本发明实施例还提出一种数据加密传输装置,所述数据加密传输装置包括:
转换模块,用于获取远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;
加密模块,用于通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;
发送模块,用于将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。
本实施例实现数据加密传输的原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本发明实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据加密传输程序,所述数据加密传输程序被所述处理器执行时实现如上所述的数据加密传输方法的步骤。
由于本数据加密传输程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有数据加密传输程序,所述数据加密传输程序被处理器执行时实现如上所述的数据加密传输方法的步骤。
由于本数据加密传输程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
相比现有技术,本发明实施例提出的数据加密传输方法、装置、终端设备以及存储介质,通过获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。通过对网络明文报文数据进行加密,可以有效保护传输的数据信息,将加密报文发送至总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密并发送至控制中心,实现了远程控制系统与控制中心之间数据的安全传输。所有控制中心和远程控制系统中间传输的数据在发送到互联网之前都经过私有加密,使数据受到了保护,从而屏蔽了由于数据篡改而导致的非法操作指令、异常数据下发到RTU中,对RTU设备进行保护,避免其遭受攻击导致损坏;同时,也避免了虚假RTU数据上报给控制中心,对工业系统的稳定运行起到保障作用。此外,由于当前企业均在网络出口装有防火墙,而大多数防火墙都具备安全加密功能,因此本装置的部署不会影响企业本部控制中心的大规模改动,只需要替换原有DTU设备即可,本装置在DTU的基础上加入了兼容性较强的加密隧道功能,形成一种新的具有内生安全能力的工业数据传输装置,在实现数据安全传输的同时,不会给企业造成较大改造成本负担。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种数据加密传输方法,其特征在于,所述数据加密传输方法应用于工业生产系统中的远程系统,所述工业生产系统中还包括总部系统,所述数据加密传输方法包括:
获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;
通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;
将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。
2.如权利要求1所述的数据加密传输方法,其特征在于,所述数据加密传输方法还包括:
接收由所述控制中心发出并经过所述安全网关加密的加密指令;
通过所述数据安全传输模块对所述加密指令进行解密,得到网络报文;
将所述网络报文转换为终端指令,并将所述终端指令发送至所述远程控制系统。
3.如权利要求1所述的数据加密传输方法,其特征在于,所述获取所述远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文的步骤之前还包括:
通过所述数据安全传输模块与所述安全网关进行协商,得到协商内容;
根据所述协商内容建立安全加密隧道,以通过所述安全加密隧道对所述网络明文报文进行加密传输。
4.如权利要求2所述的数据加密传输方法,其特征在于,所述将所述网络报文转换为终端指令,并将所述终端指令发送至所述远程控制系统的步骤包括:
将所述网络报文的链路层、网络层以及传输层进行剥离,得到所述终端指令;
通过串行接口将所述终端指令发送至所述远程控制系统。
5.如权利要求3所述的数据加密传输方法,其特征在于,所述将所述加密报文发送至所述总部系统的步骤包括:
将所述加密报文发送到无线网卡;
通过所述无线网卡将所述加密报文经由所述安全加密隧道发送至所述总部系统。
6.一种数据加密传输方法,其特征在于,所述数据加密传输方法应用于工业生产系统中的总部系统,所述工业生产系统中还包括远程系统,所述数据加密传输方法包括:
接收所述远程系统发送的加密报文;
通过所述总部系统中的安全网关对所述加密报文进行解密,得到网络明文报文;
将所述网络明文报文发送至所述总部系统中的控制中心。
7.如权利要求6所述的数据加密传输方法,其特征在于,所述数据加密传输方法还包括:
通过所述控制中心发送网络报文至所述安全网关;
通过所述安全网关对所述网络报文进行加密,得到加密指令;
将所述加密指令经由加密隧道发送至所述远程系统,以供所述远程系统中的数据安全传输模块将所述加密指令进行解密,得到网络报文,并将所述网络报文转换为终端指令发送至所述远程系统中的远程控制系统。
8.一种数据加密传输装置,其特征在于,所述数据加密传输装置包括:
转换模块,用于获取远程系统中的远程控制系统内的数据,并将所述数据转换为网络明文报文;
加密模块,用于通过所述远程系统中的数据安全传输模块对所述网络明文报文进行加密,得到加密报文;
发送模块,用于将所述加密报文发送至所述总部系统,以供所述总部系统中的安全网关对所述加密报文进行解密,得到所述网络明文报文,并将所述网络明文报文发送至所述总部系统中的控制中心。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据加密传输程序,所述数据加密传输程序被所述处理器执行时实现如权利要求1-7中任一项所述的数据加密传输方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有数据加密传输程序,所述数据加密传输程序被处理器执行时实现如权利要求1-7中任一项所述的数据加密传输方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111593802.4A CN114363024A (zh) | 2021-12-22 | 2021-12-22 | 数据加密传输方法、装置、终端设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111593802.4A CN114363024A (zh) | 2021-12-22 | 2021-12-22 | 数据加密传输方法、装置、终端设备以及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114363024A true CN114363024A (zh) | 2022-04-15 |
Family
ID=81101705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111593802.4A Pending CN114363024A (zh) | 2021-12-22 | 2021-12-22 | 数据加密传输方法、装置、终端设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114363024A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114944957A (zh) * | 2022-06-06 | 2022-08-26 | 山东云天安全技术有限公司 | 一种异常数据检测方法、装置、计算机设备及存储介质 |
CN115473729A (zh) * | 2022-09-09 | 2022-12-13 | 中国联合网络通信集团有限公司 | 数据传输方法、网关、sdn控制器及存储介质 |
CN115473729B (zh) * | 2022-09-09 | 2024-05-28 | 中国联合网络通信集团有限公司 | 数据传输方法、网关、sdn控制器及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721490A (zh) * | 2015-07-01 | 2016-06-29 | 北京东润环能科技股份有限公司 | 智能采集终端、主站系统及其数据处理方法 |
CN111371798A (zh) * | 2020-02-24 | 2020-07-03 | 迈普通信技术股份有限公司 | 数据安全传输方法、系统、装置及存储介质 |
CN113572766A (zh) * | 2021-07-23 | 2021-10-29 | 南方电网数字电网研究院有限公司 | 电力数据传输方法和系统 |
-
2021
- 2021-12-22 CN CN202111593802.4A patent/CN114363024A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721490A (zh) * | 2015-07-01 | 2016-06-29 | 北京东润环能科技股份有限公司 | 智能采集终端、主站系统及其数据处理方法 |
CN111371798A (zh) * | 2020-02-24 | 2020-07-03 | 迈普通信技术股份有限公司 | 数据安全传输方法、系统、装置及存储介质 |
CN113572766A (zh) * | 2021-07-23 | 2021-10-29 | 南方电网数字电网研究院有限公司 | 电力数据传输方法和系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114944957A (zh) * | 2022-06-06 | 2022-08-26 | 山东云天安全技术有限公司 | 一种异常数据检测方法、装置、计算机设备及存储介质 |
CN114944957B (zh) * | 2022-06-06 | 2023-01-24 | 山东云天安全技术有限公司 | 一种异常数据检测方法、装置、计算机设备及存储介质 |
CN115473729A (zh) * | 2022-09-09 | 2022-12-13 | 中国联合网络通信集团有限公司 | 数据传输方法、网关、sdn控制器及存储介质 |
CN115473729B (zh) * | 2022-09-09 | 2024-05-28 | 中国联合网络通信集团有限公司 | 数据传输方法、网关、sdn控制器及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7321971B2 (en) | System and method for secure remote access | |
US20100119069A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
EP3432523A1 (en) | Method and system for connecting virtual private network by terminal, and related device | |
CN101138218A (zh) | 不兼容传输的安全性协议 | |
CN109845214A (zh) | 一种传输数据的方法、装置和系统 | |
CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
CN105119894A (zh) | 基于硬件安全模块的通信系统及通信方法 | |
KR101023708B1 (ko) | Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치 | |
CN108966217B (zh) | 一种保密通信方法、移动终端及保密网关 | |
CN114363024A (zh) | 数据加密传输方法、装置、终端设备以及存储介质 | |
KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
CN102932359A (zh) | 流媒体服务请求方法、装置和系统 | |
JPH1141280A (ja) | 通信システム、vpn中継装置、記録媒体 | |
CN107995086A (zh) | 一种基于vpdn和ipsec的智能制造物联中业务数据加密传输的方法 | |
CN111934995B (zh) | 一种物联网网关系统 | |
JP2008182649A (ja) | 暗号化パケット通信システム | |
US20220021663A1 (en) | Communication module | |
WO2005057842A1 (en) | A wireless lan system | |
CN111770099B (zh) | 数据传输的方法和装置、电子设备、计算机可读介质 | |
CN111865565B (zh) | 秘钥管理方法、智能设备、服务器和移动终端 | |
KR100521405B1 (ko) | 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격보안 서비스 방법 | |
KR101628094B1 (ko) | 보안 장비 및 그것의 접근 허용 방법 | |
KR20190134914A (ko) | 로라 통신 디바이스의 통신 보안 방법 및 이를 위한 장치 | |
CN113691519B (zh) | 一种云服务统一管理访问权限的离网设备集控方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220415 |
|
RJ01 | Rejection of invention patent application after publication |