CN115277056B

CN115277056B - 一种基于流量自适应工作模式的方法及加解密装置

Info

Publication number: CN115277056B
Application number: CN202210650675.5A
Authority: CN
Inventors: 周奇波; 张锡波; 杜晓雷
Original assignee: Ningbo Xinsheng Medium Voltage Electrical Co ltd
Current assignee: Ningbo Xinsheng Medium Voltage Electrical Co ltd
Priority date: 2022-06-09
Filing date: 2022-06-09
Publication date: 2024-02-20
Anticipated expiration: 2042-06-09
Also published as: CN115277056A

Abstract

本发明公开了一种基于流量自适应工作模式的方法及加解密装置，其技术方案要点包括流量采集模块，其被配置为根据报文信息采集目标协议流量；流量分析模块，其被配置为根据流量报文信息将流量分为加密流量和非加密流量；加解密模块，其设置有两个模式，分别为代理模式和透明模式；代理模式下，对主站与子站之间业务流量进行加密与解密处理；透明模式下，仅做数据透传；模式切换模块，其被配置为根据流量分析结果，选择匹配的加解密模块模式；加密流量匹配代理模式，非加密流量匹配透明模式。本发明能根据主站输出的业务流量类型自动切换加解密模块的模式，无需工程师到现场手动切换加解密模块工作模式。

Description

一种基于流量自适应工作模式的方法及加解密装置

技术领域

本发明涉及数据通信技术领域，更具体的说，它涉及一种基于流量自适应工作模式的方法及加解密装置。

背景技术

随着两化融合走向深入，工业数字化、网络化、智能化快速发展，关系国计民生的关键信息基础设施(电力、交通、制造业等)成为黑客攻击的主要目标，网络攻击事件频发。针对电力的工业控制系统的安全建设与保障关系到国计民生与社会稳定，在新形势下针对电力的工控系统的安全防护建设已刻不容缓。国家电网公司根据上述情况，结合调度业务系统与机构分布情况，建立了完善的调度数字证书认证体系，并通过电力专用纵向加密认证装置，建立起以商用密码为基础的安全保障体系。

当前电力配电网络的主站与各个子站的RTU(Remote Teminal Unit，即远程终端控制单元)之间会部署有专用的纵向加密网络，可对主站与各个RTU之间通信的流量进行加密。

中国专利CN202856452U公开了一种配电网系统，其基本结构如图1所示，主站侧设置加解密服务器，RTU侧设置终端加解密装置。主站切换到不加密的工作模式时，其输出的流量无需通过加解密服务器加密，其接收的流量也无需通过加解密服务器解密；这种情况下，终端加解密装置工作在透明模式，终端加解密装置在主站与RTU之间仅起到数据透传作用。主站切换到加密工作模式时，其输出的流量通过加解密服务器加密，其接收的流量需要通过加解密服务器解密；这种情况下，终端加解密装置工作在代理模式，对来自主站的流量需要进行解密并将解密后的流量输出至RTU，对来自RTU的流量需要进行加密并将加密后的流量输出至主站。主站处于加密模式时，主站与终端加解密装置进行的是加密协议连接，同时终端加解密装置与RTU进行的是未加密的协议连接；终端加解密装置起到反向代理作用，使得RTU对于流量的加密无感，而主站与终端加解密装置的会话中，流量仍是安全加密的。需要说明的是，终端加解密装置一般与RTU安装在同一个机柜中，即便是不加密进行通信也可以保证通信链路的安全。

由此可见，终端加解密装置的工作模式与终端加解密装置和主站之间的协议连接是否加密有着直接的联系。目前终端加解密装置在进行工作模式切换的时候，通常需要工程师到子站通过串口管理的方式手动修改终端加解密装置工作模式。但根据前述场景，主站与RTU之间的通信是否需要加密，往往由主站侧决定，而工程师到达子站进行终端加解密装置工作模式的修改则需要较长的时间。也就是说现有的终端加解密装置，不能根据接收到的流量自主切换工作模式，灵活度受限。

因此如何使终端加解密装置根据加密流量或非加密流量自主切换匹配的工作模式，即如何提高终端加解密装置工作模式切换的灵活性是本领域技术人员亟待解决的问题。

发明内容

针对现有技术存在的不足，本发明的目的在于提供一种基于流量自适应工作模式的方法及加解密装置，其根据流量的报文内容进行业务流量的采集与分类，并根据主站输出的业务流量类型自动切换加解密模块的模式，无需工程师到现场手动切换加解密模块工作模式，提高了RTU侧加解密模块模式切换的灵活性。

为实现上述目的，本发明提供了如下技术方案：一种加解密装置，包括流量采集模块，其被配置为采集流量，并根据流量的报文信息提取采用目标通信协议的流量作为业务流量；

流量分析模块，其被配置为根据业务流量的报文信息将业务流量分为加密流量和非加密流量；

加解密模块，其设置有两个模式，分别为代理模式和透明模式；代理模式下，对主站与子站之间业务流量进行加密与解密处理；透明模式下，仅做数据透传；

以及，模式切换模块，其被配置为根据流量分析模块的分析结果，选择匹配的加解密模块模式；加密流量匹配代理模式，非加密流量匹配透明模式。

通过采用上述技术方案，本发明根据流量的报文内容进行业务流量的采集与分类，并根据主站输出的业务流量类型自动切换加解密模块的模式，无需工程师到现场手动切换加解密模块工作模式，提高了RTU侧加解密模块模式切换的灵活性。

本发明进一步设置为：所述模式切换模块内设置用于显示当前流量环境的环境状态机。

通过采用上述技术方案，环境状态机用于显示当前流量环境为加密流量状态或非加密流量状态。

上述加解密装置中使用的一种基于流量自适应工作模式的方法：所述加解密装置中，加解密模块默认采用代理模式；

S1：流量采集模块采集业务流量；

S2：流量分析模块将业务流量分成加密流量与非加密流量；

S3：判断当前流量环境：流量分析模块当前识别的业务流量为加密流量，则当前流量环境为加密流量环境；流量分析模块当前识别的业务流量为非加密流量，则当前流量环境为非加密流量环境；

S4：模式切换模块判断流量环境与加解密模块模式是否匹配：

当前为非加密流量环境，且加解密模块为代理模式时，进行S5；

当前为加密流量环境，且加解密模块为透明模式时，进行S6；

当前为非加密流量环境，且加解密模块为透明模式时，进行S7

当前为加密流量环境，且加解密模块为代理模式时，进行S8；

S5：模式切换模块将加解密模块从代理模式切换为透明模式，进行S7；

S6：模式切换模块将加解密模块从透明模式切换为代理模式，进行S8；

S7：加解密模块对流量仅进行透传处理；

S8：加解密模块将主站的加密流量解密，将RTU的非加密流量加密。

本发明进一步设置为：所述流量采集模块内设置业务流量缓存池，所述S1中的业务流量存入业务流量缓存池中；所述流量分析模块从业务流量缓存池中提取业务流量进行S2。

通过采用上述技术方案，流量采集模块采集业务流量后可以直接将其送入业务流量缓存池，不用等流量分析模块分析完再采集流量，提高了流量采集的效率。

本发明进一步设置为：所述流量分析模块内设置加密流量缓存池和非加密流量缓存池，所述S2中的加密流量存入加密流量缓存池，非加密流量存入非加密流量缓存池中；加解密模块从加密流量缓存池和非加密流量缓存池中提取流量进行S7或S8。

通过采用上述技术方案，流量分析后的加密流量和非加密流量可以分别存入加密流量缓存池和非加密流量缓存池，无需等待加解密模块，提高了流量分析的效率。

本发明进一步设置为：所述S5中，通过如下步骤将加解密模块从代理模式切换成透明模式：

S51：保持加解密模块在代理模式下，优先处理加密流量缓存池中的加密流量，直至加密流量缓存池清空；

S52：加解密装置主动断开与主站和RTU的通信连接；当加解密模块从代理模式切换成透明模式后，加解密装置重新建立与主站和RTU的通信连接。

通过采用上述技术方案，当前网络环境由加密流量环境转变为非加密流量环境时，加解密模块会优先处理现有的所有加密流量，随后加解密装置会中断与子站和主站之间的流量传输，待加解密模块模式切换至透明模式后，加解密装置再恢复与子站和主站之间的流量传输，以免主站下发的非加密流量被加密，并以加密状态发送至RTU。

本发明进一步设置为：所述S6中，通过如下步骤将加解密模块从透明模式切换成代理模式：

S61：保持加解密模块在透明模式下，优先处理非加密流量缓存池中的非加密流量，直至非加密流量缓存池清空；

S62：加解密装置主动断开与主站和RTU的通信连接；当加解密模块从透明模式切换成代理模式后，加解密装置重新建立与主站和RTU的通信连接。

通过采用上述技术方案，当前网络环境由非加密流量环境转变为加密流量环境时，加解密模块会优先处理现有的所有非加密流量，随后加解密装置会中断与子站和主站之间的流量传输，待加解密模块模式切换至代理模式后，加解密装置再恢复与子站和主站之间的流量传输，以保证主站下发的加密流量都会经过解密后再发送至RTU。

本发明进一步设置为：所述S2中，通过如下步骤将业务流量分成加密流量与非加密流量：

S21：根据加密流量报文生成加密流量模式匹配机；

S22：将业务流量的报文与加密流量模式匹配机进行匹配，若匹配上，则业务流量为加密流量；若未匹配上，则业务流量为非加密流量。

本发明进一步设置为：所述S21中，加密流量模式匹配机采用Aho-Corasick算法生成：取加密流量应用层报文的第一起始字节、第二起始字节、报文类型字节和应用类型字节组合形成所有可枚举的字符串，将所有可枚举的字符串作为Aho-Corasick算法的模式串，生成加密流量模式匹配机。

通过采用上述技术方案，本发明借助了Aho-Corasick算法的时间复杂度与AC模式串的数目无关的特性，以使加密流量模式匹配机的算法即使需要对多种流量报文进行匹配也不会过多的增加时间复杂度。

本发明进一步设置为：所述S8中加密或解密时使用的算法为国密SM1、SM2、SM3、SM4算法中的任一算法。

综上所述，本发明相比于现有技术具有以下有益效果：

1、本发明能根据流量的报文内容进行业务流量的采集与分类，并根据主站输出的业务流量类型自动切换加解密模块的模式，无需工程师到现场手动切换加解密模块工作模式，提高了RTU侧加解密模块模式切换的灵活性。

2、本发明还可用于一般的工控网络环境中，进行RTU侧的加解密操作。

3、本发明在加解密模块进行模式切换期间，加解密装置与子站和主站之间的流量传输是中断的，保证了RTU接收到的流量都是非加密流量，以便于RTU解析主站下发的流量，做出相应的响应。

附图说明

图1为背景技术中配电网系统的结构示意图。

图2为实施例中一种加解密装置的结构示意图；

图中：1、流量采集模块；2、流量分析模块；3、加解密模块；4、模式切换模块；5、网卡一；6、网卡二。

具体实施方式

下面将结合附图说明对本发明的技术方案进行清楚的描述，显然，所描述的实施例并不是本发明的全部实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于发明的保护范围。

需要说明的是，术语“中心”、“上”、“下”、“水平”、“左”、“右”、“前”、“后”、“横向”、“纵向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，并不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

如图2所示，为本发明较佳实施例中，一种加解密装置的基本结构示意图，其与主站和RTU均建立通信连接，其包括流量采集模块1，被配置为采集流量和输出流量；采集流量时，其根据流量的报文信息提取采用目标通信协议的流量作为业务流量；流量分析模块2，被配置为根据业务流量的报文信息将业务流量分为加密流量和非加密流量；加解密模块3，其设置有两个模式，一个为代理模式，一个为透明模式；代理模式下，对主站与子站之间业务流量进行加密与解密处理；透明模式下，仅做数据透传，将流量传回流量采集模块1；以及模式切换模块4，被配置为根据流量分析模块2的分析结果，选择匹配的加解密模块3模式；加密流量匹配代理模式，非加密流量匹配透明模式。

具体的，流量采集模块1采用Aho-Corasick算法根据采用目标通信协议的流量的报文信息生成业务流量模式匹配机，若流量的报文信息与业务流量模式匹配机匹配，则采集该流量作为业务流量，若不匹配则不采集该流量。

其中，流量分析模块2采用Aho-Corasick算法根据加密流量报文信息生成加密流量模式匹配机，若业务流量报文信息与加密流量模式匹配机匹配，则业务流量为加密流量，若不匹配，则业务流量为非加密流量。

具体的，所述模式切换模块4内设置有环境状态机，环境状态机用于显示当前流量环境为加密流量状态或非加密流量状态。

具体的，所述加解密装置还包括两个网卡，一个为网卡一5，被配置为与主站建立TCP连接；另一个为网卡二6，被配置为与RTU建立TCP连接。网卡一5和网卡二6均与流量采集模块1连接，流量采集模块1通过网卡一5和网卡二6采集主站和RTU的流量，也通过网卡一5和网卡二6向主站和RTU输出流量。

如图所示，为上述加解密装置中使用的一种基于流量自适应工作模式的方法，该方法具体步骤如下：

S1：流量采集模块1采集业务流量：将上述加解密装置接入配电网络系统中，所述加解密模块3默认采用代理模式。在检测到网卡一5和网卡二6使能后，流量采集模块1开始抓取网卡一5和网卡二6中的流量报文，并根据电力协议规范对流量报文进行协议识别，识别出采用目标通信协议的流量，作为业务流量。业务流量存入流量采集模块1内预先设置的业务流量缓存池中。流量采集模块1采集业务流量后可以直接将其送入业务流量缓存池，不用等流量分析模块2分析完再采集流量，提高了流量采集的效率。

本实施例中目标通信协议为与业务相关IEC101协议或IEC104协议。

S2：流量分析模块2将业务流量分成加密流量与非加密流量：

S21：根据加密流量报文生成加密流量模式匹配机。

S22：将业务流量的报文与加密流量模式匹配机进行匹配，若匹配上，则业务流量为加密流量；若未匹配上，则业务流量为非加密流量。加密流量存入流量分析模块2内预先设置的加密流量缓存池中；非加密流量存入流量分析模块2内预先设置的非加密流量缓存池中。

流量分析后的加密流量和非加密流量可以分别存入加密流量缓存池和非加密流量缓存池，无需等待加解密模块3，提高了流量分析的效率。

S3：判断当前流量环境：流量分析模块2当前识别的业务流量为加密流量，则当前流量环境为加密流量环境；流量分析模块2当前识别的业务流量为非加密流量，则当前流量环境为非加密流量环境。

S4：模式切换模块4判断流量环境与加解密模块3模式是否匹配：

当前为非加密流量环境，且加解密模块3为代理模式时，触发环境状态机从非加密流量状态切换为加密流量状态，进行S5；

当前为加密流量环境，且加解密模块3为透明模式时，触发环境状态机从加密流量状态切换为非加密流量状态，进行S6；

当前为非加密流量环境，且加解密模块3为透明模式时，进行S7

当前为加密流量环境，且加解密模块3为代理模式时，进行S8；

S5：模式切换模块4将加解密模块3从代理模式切换为透明模式，进行S7。

所述S5中，根据环境状态机的改变判断当前网络环境已经改变，由加密流量环境转变为非加密流量环境，即通过如下步骤将加解密模块3从代理模式切换成透明模式：

S51：保持加解密模块3在代理模式下，优先处理加密流量缓存池中的加密流量，直至加密流量缓存池清空，进行S52。

S52：网卡一5主动断开与主站的TCP连接，网卡二6主动断开与RTU的TCP连接，暂停与主站和RTU之间的流量传输；当加解密模块3从代理模式切换成透明模式后，网卡一5重新建立与主站的TCP连接，网卡二6重新建立与RTU的TCP连接，恢复与主站和RTU之间的流量传输，以免主站下发的非加密流量被加密，并以加密状态发送至RTU。

S6：模式切换模块4将加解密模块3从透明模式切换为代理模式，进行S8。

所述S6中，根据环境状态机的改变判断当前网络环境已经改变，由非加密流量环境转变为加密流量环境，即通过如下步骤将加解密模块3从透明模式切换成代理模式：

S61：保持加解密模块3在透明模式下，优先处理非加密流量缓存池中的非加密流量，直至非加密流量缓存池清空，进行S62。

S62：网卡一5主动断开与主站的TCP连接，网卡二6主动断开与RTU的TCP连接，暂停与主站和RTU之间的流量传输；当加解密模块3从透明模式切换成代理模式后，网卡一5重新建立与主站的TCP连接，网卡二6重新建立与RTU的TCP连接，恢复与主站和RTU之间的流量传输，以保证主站下发的加密流量都会经过解密后再发送至RTU。

RTU无法解析加密流量，步骤S5和S6的操作能够保证RTU接收到的流量都是非加密流量，以便于RTU解析主站下发的流量，做出相应的响应。

S7：加解密模块3对流量仅进行透传处理；加解密装置通过网卡一5将RTU的非加密流量送至主站，加解密装置通过网卡二6将主站的非加密流量送至RTU。

S8：加解密模块3对主站的加密流量解密，解密后的流量通过网卡二6送至RTU；加解密模块3将RTU的非加密流量加密，加密后的流量通过网卡一5送至主站。

根据电科院的电力IEC101、IEC104协议规约文档，协议控制报文、身份认证报文、证书更新版本升级等协议格式都是统一的，具体格式如表1：

表1：协议格式

其中报文类型2字节主要用于标识连接双方和是否加密：高8位(D15～D8)全部为0，备用；低八位有固定的定义，定义如表2：

表2：报文类型低八位含义

也就是说，报文类型这2字节是可以枚举穷尽的，举例如表3：

高8位(2进制)	低8位(2进制)	16进制表示2字节
			00000000	00000001	0x0001
00000000	00000010	0x0002
			00000000	00000000	0x0000
00000000	00001001	0x0009
			00000000	00001010	0x000a
00000000	00001000	0x0008
			……	……	……

表3：报文类型字节

应用类型的1字节则是用于标识操作内容的，例如IEC104报文、密钥管理、终端操作等。其中IEC104报文的应用类型为0x00-0x1f，其他例如密钥管理、终端操作等类型也均可枚举。

步骤S1中，流量采集模块1内设置业务流量模式匹配机，业务流量模式匹配机采用Aho-Corasick算法生成，取业务流量应用层报文的第一起始字节和第二起始字节组合形成所有可枚举的字符串，将所有可枚举的字符串作为Aho-Corasick算法的模式串(又称AC模式串)，生成业务流量模式匹配机。

网络中的流量报文与业务流量模式匹配机进行匹配的具体操作为：流量采集模块1通过网卡一5和网卡二6提取网络中的流量，对流量的报文应用层中的第一起始字节和第二起始字节(即应用层第1、4字节)进行提取，将提取出的字节与业务流量模式匹配机中的AC模式串进行匹配。若提取出的字节与任一一串AC模式串一致，则匹配成功，该流量为业务流量，流量采集模块1需进行采集；若提取出的字节与所有AC模式串均不相同，则匹配失败，该流量不是业务流量，流量采集模块1无需采集。

步骤S21中，加密流量模式匹配机采用Aho-Corasick算法生成，取加密流量应用层报文的第一起始字节、第二起始字节、报文类型字节和应用类型字节组合形成所有可枚举的字符串，将所有可枚举的字符串作为AC模式串，生成加密流量模式匹配机。

其中AC模式串举例如表4：

第一起始字节	第二起始字节	报文类型字节	应用类型字节	AC模式串
					0xEB	0xEB	0x0001	0x00	0xEBEB000100
0xEB	0xEB	0x0002	0x00	0xEBEB000200
					0xEB	0xEB	0x0000	0x01	0xEBEB000001
0xEB	0xEB	0x0009	0x02	0xEBEB000902
					0xEB	0xEB	0x0008	0x03	0xEBEB000803
……	……	……	……	……

表4：AC模式串

由于Aho-Corasick算法的时间复杂度与AC模式串的数目无关，因此非常适合本实施例中需要枚举较多模式串的场景。

步骤S22中，业务流量的报文与加密流量模式匹配机进行匹配的具体操作为：提取业务流量缓存池中的业务流量，对业务流量的报文应用层中的第一起始字节、第二起始字节、报文类型字节和应用类型字节(即应用层第1、4、5、6、7字节)进行提取，将提取出的字节与加密流量模式匹配机中的AC模式串进行匹配。若提取出的字节与任一一串AC模式串一致，则匹配成功，该业务流量为加密流量；若提取出的字节与所有AC模式串均不相同，则匹配失败，该业务流量为非加密流量。

本实施例中采用加密流量模式匹配机分析流量报文信息并根据分析结果切换加解密模块3模式的操作，也可以用在一般的工控网络环境中。也就是说，可以根据一般工控网络环境中所采用的通信协议(如modbus协议、s7comm协议等)中的特定报文信息枚举出所需的AC模式串，生成加密流量模式匹配机，进行流量的分析，以便于根据流量分析结果进行加解密模块3的模式切换。

具体的，步骤S8中加密或解密时使用的算法为国密SM1、SM2、SM3、SM4算法中的任一算法。本实施例中采用SM4算法，SM4算法是一种分组密码算法。其分组长度为128bit，密钥长度也为128bit。加密算法与密钥扩展算法均采用32轮非线性迭代结构，以字(32位)为单位进行加密运算，每一次迭代运算均为一轮变换函数F。SM4算法加/解密算法的结构相同，只是使用轮密钥相反，其中解密轮密钥是加密轮密钥的逆序。

综上所述，本实施例能根据流量的报文内容进行业务流量的采集与分类，并根据主站输出的业务流量类型自动切换加解密模块3的模式，无需工程师到现场手动切换加解密模块3工作模式，提高了RTU侧加解密模块3模式切换的灵活性。而且本实施例还可用于一般的工控网络环境中，进行RTU侧的加解密操作。最后由于本实施例中在加解密模块3进行模式切换期间，加解密装置与子站和主站之间的流量传输是中断的，保证了RTU接收到的流量都是非加密流量，以便于RTU解析主站下发的流量，做出相应的响应。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种加解密装置，其与主站和RTU均建立通信连接，其特征在于：包括：

流量采集模块(1)，其被配置为采集流量，并根据流量的报文信息提取采用目标通信协议的流量作为业务流量；

流量分析模块(2)，其被配置为根据业务流量的报文信息将业务流量分为加密流量和非加密流量：采用Aho-Corasick算法根据加密流量报文信息生成加密流量模式匹配机，若业务流量报文信息与加密流量模式匹配机匹配，则业务流量为加密流量，若不匹配，则业务流量为非加密流量；

加解密模块(3)，其设置有两个模式，分别为代理模式和透明模式；代理模式下，对主站与子站之间业务流量进行加密与解密处理；透明模式下，仅做数据透传；

以及，模式切换模块(4)，其被配置为根据流量分析模块(2)的分析结果，选择匹配的加解密模块(3)模式；加密流量匹配代理模式，非加密流量匹配透明模式。

2.根据权利要求1所述的一种加解密装置，其特征在于：所述模式切换模块(4)内设置用于显示当前流量环境的环境状态机。

3.一种基于流量自适应工作模式的方法，其特征在于：应用于如权利要求1-2任一中所述的加解密装置，所述加解密装置中，加解密模块(3)默认采用代理模式；

S1：流量采集模块(1)采集业务流量；

S2：流量分析模块(2)将业务流量分成加密流量与非加密流量：

S21：根据加密流量报文生成加密流量模式匹配机；加密流量模式匹配机采用Aho-Corasick算法生成；

S22：将业务流量的报文与加密流量模式匹配机进行匹配，若匹配上，则业务流量为加密流量；若未匹配上，则业务流量为非加密流量；

S3：判断当前流量环境：流量分析模块(2)当前识别的业务流量为加密流量，则当前流量环境为加密流量环境；流量分析模块(2)当前识别的业务流量为非加密流量，则当前流量环境为非加密流量环境；

S4：模式切换模块(4)判断流量环境与加解密模块(3)模式是否匹配：

当前为非加密流量环境，且加解密模块(3)为代理模式时，进行S5；

当前为加密流量环境，且加解密模块(3)为透明模式时，进行S6；

当前为非加密流量环境，且加解密模块(3)为透明模式时，进行S7

当前为加密流量环境，且加解密模块(3)为代理模式时，进行S8；

S5：模式切换模块(4)将加解密模块(3)从代理模式切换为透明模式，进行S7；

S6：模式切换模块(4)将加解密模块(3)从透明模式切换为代理模式，进行S8；

S7：加解密模块(3)对流量仅进行透传处理；

S8：加解密模块(3)将主站的加密流量解密，将RTU的非加密流量加密。

4.根据权利要求3所述的一种基于流量自适应工作模式的方法，其特征在于：所述流量采集模块(1)内设置业务流量缓存池，所述S1中的业务流量存入业务流量缓存池中；所述流量分析模块(2)从业务流量缓存池中提取业务流量进行S2。

5.根据权利要求4所述的一种基于流量自适应工作模式的方法，其特征在于：所述流量分析模块(2)内设置加密流量缓存池和非加密流量缓存池，所述S2中的加密流量存入加密流量缓存池，非加密流量存入非加密流量缓存池中；加解密模块(3)从加密流量缓存池和非加密流量缓存池中提取流量进行S7或S8。

6.根据权利要求5所述的一种基于流量自适应工作模式的方法，其特征在于：所述S5中，通过如下步骤将加解密模块(3)从代理模式切换成透明模式：

S51：保持加解密模块(3)在代理模式下，优先处理加密流量缓存池中的加密流量，直至加密流量缓存池清空；

S52：加解密装置主动断开与主站和RTU的通信连接；当加解密模块(3)从代理模式切换成透明模式后，加解密装置重新建立与主站和RTU的通信连接。

7.根据权利要求5所述的一种基于流量自适应工作模式的方法，其特征在于：所述S6中，通过如下步骤将加解密模块(3)从透明模式切换成代理模式：

S61：保持加解密模块(3)在透明模式下，优先处理非加密流量缓存池中的非加密流量，直至非加密流量缓存池清空；

S62：加解密装置主动断开与主站和RTU的通信连接；当加解密模块(3)从透明模式切换成代理模式后，加解密装置重新建立与主站和RTU的通信连接。

8.根据权利要求3所述的一种基于流量自适应工作模式的方法，其特征在于：所述S21中，取加密流量应用层报文的第一起始字节、第二起始字节、报文类型字节和应用类型字节组合形成所有可枚举的字符串，将所有可枚举的字符串作为Aho-Corasick算法的模式串，生成加密流量模式匹配机。

9.根据权利要求3所述的一种基于流量自适应工作模式的方法，其特征在于：所述S8中加密或解密时使用的算法为国密SM1、SM2、SM3、SM4算法中的任一算法。