CN117278276A

CN117278276A - 基于tpcm的控制器数据防护方法、装置、存储介质和设备

Info

Publication number: CN117278276A
Application number: CN202311217976.XA
Authority: CN
Inventors: 范兆红; 姜运涛; 黄晓波; 韩宝林; 王建民; 楚兵; 尹俊杰
Original assignee: Beijing Hollysys Co Ltd
Current assignee: Beijing Hollysys Co Ltd
Priority date: 2023-09-20
Filing date: 2023-09-20
Publication date: 2023-12-22

Abstract

本发明属于工业控制技术领域，其公开了基于TPCM的控制器数据防护方法、装置、存储介质和设备。方法包括：处理器接收工程信息，工程信息包括：工程身份标识和工程数据；基于工程身份标识和控制器标识，向TPCM进行注册；响应于注册成功，与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥；根据协商密钥和轻量级加密算法对工程数据进行加密，得到加密数据；接收TPCM发送的协商密钥标记，协商密钥标记用于使TPCM向处理器发送与协商密钥标记对应的协商密钥。装置包括：工程信息接收模块、注册模块、密钥协商模块、工程数据加密模块和密钥标记接收模块。通过上述技术方案实现了提高工程数据的安全防护能力。

Description

基于TPCM的控制器数据防护方法、装置、存储介质和设备

技术领域

本发明属于工业控制技术领域，特别涉及一种基于TPCM的控制器数据防护方法、装置、存储介质和设备。

背景技术

随着工业现场总线以及物联网技术的不断发展，工业控制系统中的控制器越来越容易受到攻击。获取控制器的数据，尤其是核心工艺参数信息是攻击者的重要价值目标。

控制器作为自动化系统的大脑，其控制代码和控制数据凝聚着大量高价值的工艺信息，属于工业或工程知识的结晶。因此，如何提高控制器的安全防护能力是本领域技术人员亟待解决的一大技术问题。

发明内容

为了至少解决现有技术中存在的问题，本发明一方面提供了一种基于TPCM的控制器数据防护方法，所述控制器具有处理器，其包括：

所述处理器接收工程信息，所述工程信息包括：工程身份标识和工程数据；基于所述工程身份标识和控制器标识，向所述TPCM进行注册；响应于注册成功，与所述TPCM通过轻量级密钥协商算法进行协商，得到协商密钥；根据所述协商密钥和轻量级加密算法对所述工程数据进行加密，得到加密数据；接收所述TPCM发送的协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

本发明另一方面提供了一种基于TPCM的控制器数据防护装置，应用于所述处理器侧，所述控制器具有处理器，所述基于TPCM的控制器数据防护装置包括：

工程信息接收模块，用于接收工程信息，所述工程信息包括：工程身份标识和工程数据；注册模块，用于基于所述工程身份标识和控制器标识，向所述TPCM进行注册；密钥协商模块，用于响应于注册成功，与所述TPCM通过轻量级密钥协商算法进行协商，得到协商密钥；工程数据加密模块，用于根据所述协商密钥和轻量级加密算法对所述工程数据进行加密，得到加密数据；密钥标记接收模块，用于接收所述TPCM发送的协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

本发明又一方面提供了一种基于TPCM的控制器数据防护方法，所述控制器具有处理器，所述基于TPCM的控制器数据防护方法包括：

所述TPCM接收白名单信息，所述白名单信息包括：控制器身份标识和和工程族身份标识；接收注册请求，所述注册请求由所述处理器发送；响应于所述处理器向所述TPCM注册成功，与所述处理器通过轻量级密钥协商算法进行协商，得到协商密钥；基于所述协商密钥生成协商密钥标记；向所述处理器发送协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

本发明再一方面提供了一种基于TPCM的控制器数据防护装置，应用于TPCM侧，所述控制器具有处理器，所述基于TPCM的控制器数据防护装置包括：

白名单信息接收模块，用于所述TPCM接收白名单信息，所述白名单信息包括：控制器身份标识和和工程族身份标识；注册请求接收模块，用于接收注册请求，所述注册请求由所述处理器发送；协商密钥得到模块，用于响应于所述处理器向所述TPCM注册成功，与所述处理器通过轻量级密钥协商算法进行协商，得到协商密钥，所述协商密钥用于使所述处理器对接收到的工程数据进行加密；密钥标记生成模块，用于基于所述协商密钥生成协商密钥标记；密钥标记发送模块，用于向所述处理器发送协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

本发明再又一方面提供了一种电子设备，其包括：处理器和用于存储所述处理器的可执行指令的存储器；其中，所述处理器被配置为执行上述的基于TPCM的控制器数据防护方法。

本发明再另一方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述的基于TPCM的控制器数据防护方法。

本发明实施例提供的技术方案带来的有益效果是：

通过处理器接收工程信息，工程信息包括：工程身份标识和工程数据；基于工程身份标识和控制器标识，向TPCM进行注册；响应于注册成功，与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥；根据协商密钥和轻量级加密算法对工程数据进行加密，得到加密数据；接收TPCM发送的协商密钥标记，协商密钥标记用于使TPCM向处理器发送与协商密钥标记对应的协商密钥，使得控制器对工程数据的加密保护密钥不需要提前配置，其加密密钥源于动态协商机制，具备随机性，很难被窃取。还使得处理器的非易失存储空间不保留任何密钥信息，内存区间也不需要保存密钥，有且仅在加解密时实时获取密钥，极大的降低了密钥被破解的风险。同时采用标记能够提高密钥传递的时间延迟，避免了TPCM对非易失存储空间的存储风险和授权限制，密钥的生命周期短暂，生成和销毁开销小。

附图说明

图1为本发明一实施例提供的一种基于TPCM的控制器数据防护方法的流程示意图；

图2为本发明另一实施例提供的一种基于TPCM的控制器数据防护方法的流程示意图；

图3为本发明一实施例提供的一种基于TPCM的控制器数据防护装置的结构示意图；

图4为本发明另一实施例提供的一种基于TPCM的控制器数据防护装置的结构示意图；

图5为本发明另一实施例提供的一种基于TPCM的控制器数据防护系统的结构示意图。

具体实施方式

下面将参考附图并结合实施例来详细说明本发明。

在工业控制系统中，工程师在工程师站进行工程编程，将编程后的程序打包完毕后下装到控制器中，程序内含有控制代码和控制数据。控制器会对程序进行保存和运行，为了提高控制器的安全防护能力，本发明一实施例提供了一种基于TPCM的控制器数据防护方法，应用于处理器侧，参见图1，本实施例提供的方法流程具体如下：

步骤101，处理器接收工程信息，工程信息包括：工程身份标识和工程数据。

在工程师站完成工程编程后，会将工程下发到控制器中的处理器，该处理器为控制器的处理器，即主CPU。该工程含有工程信息，工程信息可以包括：工程身份标识(或称工程ID)和工程数据，其中，工程数据中含有：工艺参数和关键数据。关键数据可以包括：系统配置参数、控制指令、组态工程等数据。控制器通常为PLC(Programmable LogicController，可编程逻辑控制器)。

步骤102，基于工程身份标识和控制器标识，向TPCM进行注册。

处理器接收到工程信息之后，将控制器身份标识(控制器ID或称设备ID)和工程ID，发送至控制器的TPCM(Trusted Platform Control Module，可信平台控制模块)，以向TPCM进行注册。由于控制器含有TPCM，因此可以将该控制器称为安全可信可控制器。

在注册之前，TPCM已获取白名单信息，该白名单信息由TPCM管理平台下发至TPCM中，TPCM将其进行保存，保存值非易失存储器(Non-Volatile Memory，NVM)中。白名单信息包括：控制器身份标识和工程族身份标识(或称工程族ID)，工程族ID中含有若干个工程ID。

步骤103，响应于注册成功，与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥。

具体地，该步骤的实现方式包括：响应于注册成功，接收TPCM发送的令牌标记(或称token标记)；根据令牌标记和轻量级密钥协商算法与TPCM进行协商，得到协商密钥。

当处理器在TPCM侧注册成功后，TPCM向处理器颁发令牌标记，然后可以是：处理器与TPCM通过轻量级密钥协商算法进行双向认证协商，协商出加密密钥(或称协商密钥)；还可以是：处理器与TPCM将令牌标记作为参数通过轻量级密钥协商算法进行双向认证协商，协商出加密密钥。轻量级密钥协商算法为现有技术，本实施例对其的具体内容不做详细说明。应用时，可以是将现有的轻量级密钥协商算法中的A、B、T一起看作token标记，T是一个随机数(或称随机因子)；B可以作为把秘密K加密后的信息，用来传输秘密K；A可以作为用来加密r和解密得到r的密钥。token标记包括多个组成部分，A、B和T可以相应地跟组成部分对应。由于轻量级密钥协商算法仅通过二进制与或操作进行，使得控制器的资源开销小，对工业控制系统实时性影响小，不影响正常控制运行。轻量级密钥协商算法通常包含三个参与方：CA(Certificate Authority，证书颁发机构)、处理器、TPCM，两个阶段：注册(Registration)阶段和身份认证(Authentication)阶段。由于TPCM内嵌可信根密钥，其可作为可信第三方充当CA角色，因此可简化流程到两端协商。

通过如此设置，使得控制器对工程数据的加密保护密钥不需要提前配置，其加密密钥源于动态协商机制，具备随机性，很难被窃取。

步骤104，根据协商密钥和轻量级加密算法对工程数据进行加密，得到加密数据。

处理器将下装工程在载入内存时会对工程数据按照类型分别保存到相应地存储分区，例如控制I区、控制M区、全局变量区、关键参数区等分区。协商出密钥后，采用轻量级加密算法对分区进行加密处理，得到加密数据。加密处理完之后，并不对该密钥进行保存。

步骤105，接收TPCM发送的协商密钥标记，协商密钥标记用于使TPCM向处理器发送与协商密钥标记对应的协商密钥。

协商出密钥后，TPCM会将该密钥保存，例如保存在RAM(随机存取存储器，RandomAccess Memory)中，具体地在片内RAM中，并做标记(或称协商密钥标记)，然后将该标记发送至处理器。

当处理器需要对前述得到的加密数据进行访问时，本方法还包括以下步骤：处理器向TPCM发送协商密钥标记；获取来自于TPCM的与协商密钥标记对应的协商密钥；基于协商密钥和轻量级解密算法对加密数据进行解密，得到解密数据。

通过如此设置，使得处理器的非易失存储空间不保留任何密钥信息，内存区间也不需要保存密钥，有且仅在加解密时实时获取密钥，极大的降低了密钥被破解的风险。同时采用标记能够提高密钥传递的时间延迟，避免了TPCM对非易失存储空间的存储风险和授权限制，密钥的生命周期短暂，生成和销毁开销小。由于密钥存于内部RAM，采用私有标记获取，可不受TPCM的NV(非易失性存储)授权机制约束。

为了有效验证处理器身份，处理器接收工程信息之前，本方法还包括以下步骤：

处理器透传来自于TPCM管理平台的白名单信息，白名单信息用于使TPCM对处理器进行身份认证，包括：处理器身份标识和工程族身份标识。

TPCM管理平台向控制器下发包含控制器的唯一ID及工程族ID的白名单信息给TPCM模块，是由处理器透传TPCM管理平台指令，然后发送到TPCM模块，TPCM接收指令后，写入到预设的NV(非易失性存储)区域，该区域由SMK(Storage Master Key，存储主密钥)保护。

为了进一步降低工程数据泄露风险，工程信息还包括：时间信息；本方法在接收TPCM发送的协商密钥标记之后，还包括以下步骤：

若当前时间与时间信息相同，跳转至步骤：与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥，也就是说，通过定时触发的形式，更新密钥。定时触发的频次可以根据实际情况进行设定，本实施例对此不进行限定。

通过如此设置，使得密钥可根据时间动态更新，即使攻击者获取到密钥，也能够极大的降低存储重要参数泄露的风险。

在其他的实施例中，工程信息还包括：控制器上电次数，本方法在接收TPCM发送的协商密钥标记之后，还包括以下步骤：若当前上电次数不为1时，跳转至步骤：与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥，即开始进行密钥协商步骤。当第1次上电时，不执行，当第N次上电时，执行，N≥2。实际应用中，有的控制器可能在受到攻击时，会断电进行防护，那么再次上电时，之前的密钥会丢失掉，因此再次执行密钥协商步骤以获得协商密钥。

通过如此设置，使得控制器对工程数据的加密保护密钥不需要提前配置，其加密密钥源于动态协商机制，具备随机性，很难被窃取。还使得处理器的非易失存储空间不保留任何密钥信息，内存区间也不需要保存密钥，有且仅在加解密时实时获取密钥，极大的降低了密钥被破解的风险。同时采用标记能够提高密钥传递的时间延迟，避免了TPCM对非易失存储空间的存储风险和授权限制，密钥的生命周期短暂，生成和销毁开销小。

参见图2，本发明一实施例提供了一种基于TPCM的控制器数据防护装置，该装置用于执行上述实施例所提供的基于TPCM的控制器数据防护方法，应用于处理器侧，控制器具有处理器，该装置包括：工程信息接收模块201、注册模块202、密钥协商模块203、工程数据加密模块204和密钥标记接收模块205。

其中，工程信息接收模块201用于接收工程信息，工程信息包括：工程身份标识和工程数据。注册模块202用于基于工程身份标识和控制器标识，向TPCM进行注册。密钥协商模块203用于响应于注册成功，与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥。工程数据加密模块204用于根据协商密钥和轻量级加密算法对工程数据进行加密，得到加密数据。密钥标记接收模块205用于接收TPCM发送的协商密钥标记，协商密钥标记用于使TPCM向处理器发送与协商密钥标记对应的协商密钥。

可选地，本装置在接收TPCM发送的协商密钥标记之后，还包括：访问模块，用于向TPCM发送协商密钥标记；获取来自于TPCM的与协商密钥标记对应的协商密钥；基于协商密钥和轻量级解密算法对加密数据进行解密，得到解密数据。

可选地，本装置在接收工程信息之前，还包括：透传模块，用于透传来自于TPCM管理平台的白名单信息，白名单信息用于使TPCM对处理器进行身份认证，包括：处理器身份标识和工程族身份标识。

可选地，工程信息还包括：时间信息，相应地，本装置在接收TPCM发送的协商密钥标记之后，还包括：定时触发模块，用于若当前时间与时间信息相同，跳转至步骤与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥。

可选地，密钥协商模块203具体用于响应于注册成功，接收TPCM发送的令牌标记；根据令牌标记和轻量级密钥协商算法与TPCM进行协商，得到协商密钥。

需要说明的是：上述实施例提供的基于TPCM的控制器数据防护装置在处理数据时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的基于TPCM的控制器数据防护装置与基于TPCM的控制器数据防护方法实施例属于同一构思，其具体实现过程详见方法实施例，此处不再一一赘述。

本发明一实施例提供了一种基于TPCM的控制器数据防护方法，应用于TPCM侧，参见图3，本实施例提供的方法流程具体如下：

步骤301，TPCM接收白名单信息，白名单信息包括：控制器身份标识和和工程族身份标识。

TPCM管理平台配置白名单信息，然后将其下发至控制器，由控制器的处理器透传给TPCM，TPCM收到后，写入到预设的NV(非易失性存储)区域。

步骤302，接收注册请求，注册请求由处理器发送。

工程师站会下发工程至控制器的处理器，处理器接收到工程后，会向TPCM进行注册，即向TPCM发送注册请求，该请求中携带有工程身份标识和本控制器身份标识，然后TPCM会对其进行验证，验证通过，则表明注册成功。

步骤303，响应于处理器向TPCM注册成功，与处理器通过轻量级密钥协商算法进行协商，得到协商密钥。

具体地，该步骤的实现方式包括：响应于处理器向TPCM注册成功，向处理器发送令牌标记(或称token标记)；根据令牌标记和轻量级密钥协商算法与处理器进行协商，得到协商密钥。处理器使用该协商密钥加密工程数据。

注册成功后，TPCM向处理器颁发令牌标记，然后可以是：TPCM与处理器通过轻量级密钥协商算法进行双向认证协商，协商出加密密钥(或称协商密钥)；还可以是：TPCM与处理器将令牌标记作为参数通过轻量级密钥协商算法进行双向认证协商，协商出加密密钥。轻量级密钥协商算法为现有技术，本实施例对其的具体内容不做详细说明。该步骤的具体内容还可以参见上述实施例中的相关内容。

步骤304，基于协商密钥生成协商密钥标记。

协商出密钥后，TPCM会将该密钥保存，例如保存在RAM(随机存取存储器，RandomAccess Memory)中，具体地在片内RAM中，并做标记(或称协商密钥标记)。

步骤305，向处理器发送协商密钥标记，协商密钥标记用于使TPCM向处理器发送与协商密钥标记对应的协商密钥。

协商密钥标记生成后，将其发送至处理器。当处理器需要对前述得到的加密数据进行访问时，具体执行如下步骤：

接收处理器发送的协商密钥标记，将与协商密钥标记对应的协商密钥发送至处理器，以使处理器根据该协商密钥对加密数据进行解密得到解密数据。

若当前时间与时间信息相同，跳转至：步骤与处理器通过轻量级密钥协商算法进行协商，得到协商密钥，也就是说，通过定时触发的形式，更新密钥。定时触发的频次可以根据实际情况进行设定，本实施例对此不进行限定。

在其他的实施例中，工程信息还包括：控制器上电次数，本方法在向处理器发送协商密钥标记之后，还包括以下步骤：若当前上电次数不为1时，跳转至步骤：与处理器通过轻量级密钥协商算法进行协商，得到协商密钥，即开始进行密钥协商步骤。当第1次上电时，不执行，当第N次上电时，执行，N≥2。实际应用中，有的控制器可能在受到攻击时，会断电进行防护，那么再次上电时，之前的密钥会丢失掉，因此再次执行密钥协商步骤以获得协商密钥。

参见图4，本发明一实施例提供了一种基于TPCM的控制器数据防护装置，该装置用于执行上述实施例所提供的基于TPCM的控制器数据防护方法，应用于TPCM侧，控制器具有处理器，该装置包括：白名单接收模块401、注册请求接收模块402、协商密钥得到模块403、密钥标记生成模块404和密钥标记发送模块405。

其中，白名单接收模块401用于TPCM接收白名单信息，白名单信息包括：控制器身份标识和和工程族身份标识。注册请求接收模块402用于接收注册请求，注册请求由处理器发送。协商密钥得到模块403用于响应于处理器向TPCM注册成功，与处理器通过轻量级密钥协商算法进行协商，得到协商密钥，协商密钥用于使处理器对接收到的工程数据进行加密。密钥标记生成模块404用于基于协商密钥生成协商密钥标记。密钥标记发送模块405用于向处理器发送协商密钥标记，协商密钥标记用于使TPCM向处理器发送与协商密钥标记对应的协商密钥。

可选地，协商密钥得到模块403具体用于响应于处理器向TPCM注册成功，向处理器发送令牌标记；根据令牌标记和轻量级密钥协商算法与处理器进行协商，得到协商密钥。

可选地，工程信息还包括：时间信息，相应地，本装置在向处理器发送协商密钥标记之后，还包括：定时触发模块，用于若当前时间与时间信息相同，跳转至步骤与TPCM通过轻量级密钥协商算法进行协商，得到协商密钥。

本发明一实施例提供了一种电子设备，其包括：存储器和处理器。处理器与存储器连接，被配置为基于存储在存储器中的指令，执行上述基于TPCM的控制器数据防护方法。处理器的数量可以为一个或多个，处理器可以是单核或多核。存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。存储器可以是下述的计算机可读介质的示例。

本发明一实施例提供了一种计算机可读存储介质，其上存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述基于TPCM的控制器数据防护方法。计算机可读存储介质包括：永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于：相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘-只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

本发明一实施例提供了一种基于TPCM的控制器数据防护系统，基于上述一实施例的基于TPCM的控制器数据防护装置，参见图5，该系统包括：工程师站、TPCM管理平台和控制器，三者通过交换机连接。图5中示意出了两个控制器。

其中，工程师站由工程师控制，是控制工程师进行组态编程的工作环境，包含IEC组态、现场总线组态、变量组态，编译以及生成可执行程序，对控制器下发命令、数据、文件功能，通讯日志的写入读出，在线调试等。TPCM管理平台由安全管理员控制，对可信PLC中的TPCM模块进行管理，包括证书导入，密钥配置，NV读写，可移动密钥导出，可信报告导出等功能。控制器为安全可信PLC，通过SPI/USB总线连接TPCM模块，具备静态启动可信，运行时动态度量可信的功能。实际应用中，控制器可以以龙芯国产化CPU为核心处理器，满足可信3.0标准的双体系架构设计。控制器包括处理器和TPCM，其中，处理器为上述实施例中的处理器，TPCM为上述实施例中的TPCM。

由技术常识可知，本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此，上述公开的实施方案，就各方面而言，都只是举例说明，并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。

Claims

1.一种基于TPCM的控制器数据防护方法，所述控制器具有处理器，其特征在于，所述基于TPCM的控制器数据防护方法包括：

所述处理器接收工程信息，所述工程信息包括：工程身份标识和工程数据；

基于所述工程身份标识和控制器标识，向所述TPCM进行注册；

响应于注册成功，与所述TPCM通过轻量级密钥协商算法进行协商，得到协商密钥；

根据所述协商密钥和轻量级加密算法对所述工程数据进行加密，得到加密数据；

接收所述TPCM发送的协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

2.根据权利要求1所述的方法，其特征在于，所述接收所述TPCM发送的协商密钥标记之后，还包括：

向所述TPCM发送所述协商密钥标记；

获取来自于TPCM的与所述协商密钥标记对应的协商密钥；

基于所述协商密钥和轻量级解密算法对所述加密数据进行解密，得到解密数据。

3.根据权利要求1所述的方法，其特征在于，所述处理器接收工程信息之前，还包括：

所述处理器透传来自于TPCM管理平台的白名单信息，所述白名单信息用于使所述TPCM对所述处理器进行身份认证，包括：处理器身份标识和工程族身份标识。

4.根据权利要求1所述的方法，其特征在于，所述工程信息还包括：时间信息；

所述接收所述TPCM发送的协商密钥标记之后，还包括：

若当前时间与所述时间信息相同，跳转至步骤所述与所述TPCM通过轻量级密钥协商算法进行协商，得到协商密钥。

5.根据权利要求1所述的方法，其特征在于，所述响应于注册成功，与所述TPCM通过轻量级密钥协商算法进行协商，得到协商密钥，包括：

响应于注册成功，接收所述TPCM发送的令牌标记；

根据所述令牌标记和所述轻量级密钥协商算法与所述TPCM进行协商，得到协商密钥。

6.一种基于TPCM的控制器数据防护装置，应用于所述处理器侧，所述控制器具有处理器，其特征在于，所述基于TPCM的控制器数据防护装置包括：

工程信息接收模块，用于接收工程信息，所述工程信息包括：工程身份标识和工程数据；

注册模块，用于基于所述工程身份标识和控制器标识，向所述TPCM进行注册；

密钥协商模块，用于响应于注册成功，与所述TPCM通过轻量级密钥协商算法进行协商，得到协商密钥；

工程数据加密模块，用于根据所述协商密钥和轻量级加密算法对所述工程数据进行加密，得到加密数据；

密钥标记接收模块，用于接收所述TPCM发送的协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

7.一种基于TPCM的控制器数据防护方法，所述控制器具有处理器，其特征在于，所述基于TPCM的控制器数据防护方法包括：

所述TPCM接收白名单信息，所述白名单信息包括：控制器身份标识和和工程族身份标识；

接收注册请求，所述注册请求由所述处理器发送；

响应于所述处理器向所述TPCM注册成功，与所述处理器通过轻量级密钥协商算法进行协商，得到协商密钥；

基于所述协商密钥生成协商密钥标记；

向所述处理器发送协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

8.一种基于TPCM的控制器数据防护装置，应用于TPCM侧，所述控制器具有处理器，其特征在于，所述基于TPCM的控制器数据防护装置包括：

白名单接收模块，用于所述TPCM接收白名单信息，所述白名单信息包括：控制器身份标识和和工程族身份标识；

注册请求接收模块，用于接收注册请求，所述注册请求由所述处理器发送；

协商密钥得到模块，用于响应于所述处理器向所述TPCM注册成功，与所述处理器通过轻量级密钥协商算法进行协商，得到协商密钥，所述协商密钥用于使所述处理器对接收到的工程数据进行加密；

密钥标记生成模块，用于基于所述协商密钥生成协商密钥标记；

密钥标记发送模块，用于向所述处理器发送协商密钥标记，所述协商密钥标记用于使所述TPCM向所述处理器发送与所述协商密钥标记对应的所述协商密钥。

9.一种电子设备，其特征在于，所述电子设备包括：处理器和用于存储所述处理器的可执行指令的存储器；

其中，所述处理器被配置为执行权利要求1-5中任一项所述的基于TPCM的控制器数据防护方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现权利要求1-5中任一项所述的基于TPCM的控制器数据防护方法。