专利汇可以提供一种水利自动化控制系统中现场总线信道加密方法专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种 水 利自动化控制系统中 现场总线 信道加密方法,通过在自动化控制设备与现场总线之间部署 硬件 加密网关,实现协议数据单元的透明加密。在硬件加密网关中,通过国产对称加密 算法 与非对称加密算法结合的混合加密方案,实现自动化控制设备身份验证、现场总线通信数据保密、协议分组完整性校验功能,有效 预防 未经授权的非法设备在现场总线的信道上监听、拦截、篡改数据监测及控制信息,对于中间人攻击具有较高的抵抗能 力 ,降低在水利自动化控制系统中因现场总线信道受到侵入而产生的安全 风 险。所述硬件加密网关能够无缝接入目前现有的水利自动化控制系统现场总线,具有较高的设备兼容性和通用性。,下面是一种水利自动化控制系统中现场总线信道加密方法专利的具体信息内容。
1.一种用于现场总线信道加密的硬件加密网关,其特征在于:该网关由两个串口通信模块、加密模块、密钥存储模块、供电模块组成;两个串口通信模块分别连接自动化控制设备和现场总线的网络物理接口;两个串口通信模块分别通过高速串行数据总线接口与加密模块连接;加密模块为一个单片机系统(SOC),通过其数据总线与地址总线接口连接密钥存储模块,通过其电源线接口连接供电模块;密钥存储模块为一个快速擦写只读存储器,通过其数据总线与地址总线接口与加密模块连接;供电模块为一个直流电源,通过二芯(VCC,GND)电源线接口与加密模块连接。
2.根据权利要求1所述的一种用于现场总线信道加密的硬件加密网关,其特征在于:所述串口通信模块使用的网络物理接口包括但不限于符合RS485/232标准的电气接口,串口通信模块使用的高速串行数据总线接口包括但不限于符合UART、I2C、SPI标准的总线接口;
所述密钥存储模块的数据总线与地址总线接口包括但不限于符合eMMC、UFS标准的扩展总线接口。
3.根据权利要求1所述的一种用于现场总线信道加密的硬件加密网关,其特征在于:所述加密模块通过内置寄存器的软件代码或算术逻辑单元硬件设备实现非对称加密算法、对称加密算法、散列算法、随机密钥生成算法;其中,非对称加密算法包括但不限于SM2、ECC、RSA算法,对称加密算法包括但不限于SM1、RC4、AES算法,散列算法包括但不限于SM3、MD5、SHA-1算法。
4.根据权利要求1所述的一种用于现场总线信道加密的硬件加密网关,其特征在于:每个串口通信模块都由一个串行通信芯片组成,芯片型号为ADM485,分别通过UART总线接口连接加密模块,使用RS485接口连接外部设备;加密模块由一个基于ACH512芯片的单片机系统组成;密钥存储模块由一块Flashrom芯片组成,通过NAND Flash接口连接加密模块。
5.根据权利要求1-4任一所述的硬件加密网关实现的一种水利自动化控制系统中现场总线信道加密方法,其特征在于:该方法包括以下步骤:
S1:在连接至现场总线的每一台自动化控制设备与现场总线的网络物理接口之间,分别连接一台硬件加密网关,并在硬件加密网关的密钥存储模块中预先写入对应的密钥和目的地址编码;
S2:硬件加密网关的供电模块开始工作后,硬件加密网关启动,对硬件加密网关的密钥存储模块执行初始化;若初始化过程完成,进入步骤S3;若初始化过程终止,不执行后继操作;
S3:对硬件加密网关的密钥存储模块初始化完成后,开始执行监听过程;
S4:硬件加密网关开始执行监听过程之后,当且仅当供电模块停止供电时,监听过程终止;否则,始终执行监听过程;供电模块停止供电后,当且仅当再次进行供电时,硬件加密网关重新执行步骤S2所述初始化过程,以及步骤S3所述监听过程。
6.根据权利要求5所述的一种水利自动化控制系统中现场总线信道加密方法,其特征在于:步骤S2所述初始化过程如下:
(2-1)查找密钥存储模块中所有已存储的目的地址编码,以及与之相对应的公钥、私钥记录;
(2-2)判断私钥记录数是否唯一,若私钥记录数唯一,进入步骤(2-3);否则,初始化过程终止,不执行后继操作;
(2-3)判断公钥记录数是否大于或等于1,若公钥记录数大于或等于1,初始化过程完成;否则,初始化过程终止,不执行后继操作。
7.根据权利要求5所述的一种水利自动化控制系统中现场总线信道加密方法,其特征在于:步骤S3所述监听过程包括两部分:其一,在连接现场总线端的串口通信模块上对于所有传入硬件加密网关的串口通信应用数据单元ADU进行监听;其二,在连接设备端的串口通信模块上对于所有传入硬件加密网关的串口通信应用数据单元ADU进行监听。
8.根据权利要求7所述的一种水利自动化控制系统中现场总线信道加密方法,其特征在于:在连接现场总线端的串口通信模块上对于所有传入硬件加密网关的串口通信应用数据单元ADU进行监听;步骤如下:
(3-1-1)当硬件加密网关连接现场总线端的串口通信模块收到传入的串口通信应用数据单元ADU时,向加密模块发送中断请求;加密模块响应中断,进入中断处理过程,使用应用数据单元ADU尾部的校验码CRC对于该单元中除CRC以外剩余部分的数据进行校验,校验算法使用加密模块中内部预置的散列算法;
(3-1-2)若校验失败,加密模块中断返回,对于应用数据单元ADU不进行响应;若校验成功,加密模块通过应用数据单元ADU首部的目的地址编码ADDR,在密钥管理模块中查找与目的地址编码ADDR对应的私钥PRK或公钥PUK;ADDR为大于或等于1个字节的十六进制(HEX)数据;
(3-1-3)若私钥PRK或公钥PUK不存在,加密模块中断返回,对于应用数据单元ADU不进行响应;若私钥PRK或公钥PUK存在,使用私钥PRK或公钥PUK,通过加密模块中内置的非对称加密算法,解密位于应用数据单元ADU中协议数据单元(Protocol Data Unit,PDU)首部的对称密钥密文CK,获得对称密钥RK;
(3-1-4)使用对称密钥RK,通过加密模块中内置的对称加密算法,解密协议数据单元PDU中除首部以外部分的封装数据载荷密文EC,获得封装数据载荷EP;封装数据载荷EP由其首部的数据明文PD与其尾部的散列数据DH组成;
(3-1-5)加密模块使用EP首部的数据明文PD,通过内置的散列算法计算明文散列值PH,并与EP尾部的散列数据DH进行比较;
(3-1-6)若明文散列值PH与散列数据DH不同,加密模块中断返回,将应用数据单元ADU舍弃,不进行响应;若明文散列值PH与散列数据DH相同,将数据明文PD作为新的协议数据单元PDU2;将目的地址编码ADDR附加到PDU2首部,计算PDU2的校验码CRC2并附加到PDU2尾部,作为新的应用数据单元ADU2;校验算法使用加密模块中内部预置的散列算法;
(3-1-7)将ADU2通过设备端的串口通信模块进行发送。
9.根据权利要求7所述的一种水利自动化控制系统中现场总线信道加密方法,其特征在于:在连接设备端的串口通信模块上对于所有传入硬件加密网关的串口通信应用数据单元ADU进行监听;步骤如下:
(3-2-1)当该网关连接设备端的串口通信模块收到传入的串口通信应用数据单元ADU时,向加密模块发送中断请求;加密模块响应中断,进入中断处理过程,使用应用数据单元ADU尾部的校验码CRC对于该单元中除CRC以外剩余部分的数据进行校验,校验算法使用加密模块中内部预置的散列算法;
(3-2-2)若校验失败,加密模块中断返回,对于应用数据单元ADU不进行响应;若校验成功,加密模块通过应用数据单元ADU首部的目的地址编码ADDR,在密钥管理模块中查找与该目的地址编码ADDR对应的公钥PUK或私钥PRK;其中ADDR为大于或等于1个字节的十六进制(HEX)数据;
(3-2-3)若公钥PUK或私钥PRK不存在,加密模块中断返回,对于该应用数据单元ADU不进行响应;若公钥PUK或私钥PRK存在,使用应用数据单元ADU中的协议数据单元PDU作为数据明文PD,通过内置的散列算法计算明文散列值PH,并将PH附加到数据明文PD尾部,形成封装数据载荷EP;
(3-2-4)通过内置的随机密钥生成算法,生成一个随机对称密钥RK,使用RK通过内置的对称加密算法,加密封装数据载荷EP,获得封装数据载荷密文EC;
(3-2-5)使用公钥PUK或私钥PRK,通过内置的非对称加密算法加密随机对称密钥RK,获得对称密钥密文CK;
(3-2-6)将对称密钥密文CK附加到封装数据载荷密文EC首部,作为新的协议数据单元PDU2;将目的地址编码ADDR附加到PDU2首部,计算PDU2的校验码CRC2并附加到PDU2尾部,作为新的应用数据单元ADU2,校验算法使用加密模块中内部预置的散列算法;
(3-2-7)将ADU2通过现场总线端的串口通信模块进行发送。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
基于现场可编程门阵列的处理器内核及其运行方法 | 2020-05-11 | 943 |
算术逻辑单元、数据处理系统、方法和模块 | 2020-05-08 | 487 |
访问多维张量中的数据 | 2020-05-13 | 401 |
用于处理器的功率效率的向量掩码驱动时钟门控 | 2020-05-14 | 410 |
高带宽低轮廓多管芯封装 | 2020-05-13 | 296 |
在处理器中配置功率管理功能 | 2020-05-14 | 271 |
利用管线寄存器作为中间存储器的方法、处理单元及计算机可读存储媒体 | 2020-05-13 | 679 |
用于超声应用的基于网格的数字微波束成形 | 2020-05-11 | 73 |
可扩展可编程逻辑单元及可编程逻辑块结构 | 2020-05-14 | 742 |
比较并交换异动 | 2020-05-12 | 555 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。