一种基于工业以太网的数据安全传输方法、系统及装置制造方法

一种基于工业以太网的数据安全传输方法、系统及装置制造方法
【专利摘要】本发明公开了一种基于工业以太网的数据安全传输方法、系统及装置，解决现有工业以太网中进行数据传输时，接收端不能对发送端的身份进行认证，无法保证数据传输安全性的问题。在该方法中当发送端发送数据信息时，还发送其数字签名以及待验证信息，交换设备根据待验证信息包含的时间戳信息和密钥信息完成对发送端身份的一次验证，根据数字签名完成对发送端身份的二次验证，当发送端的身份验证通过后，根据该数据信息的工业协议信息检验该数据信息的安全性。由于本发明实现了对发送端和数据信息的全面检测，既达到了对发送端身份验证的目的，又实现了对数据信息的安全性检验，因此，提高了在工业以太网中进行数据传输的安全性。
【专利说明】—种基于工业以太网的数据安全传输方法、系统及装置
【技术领域】
[0001]本发明涉及工业以太网【技术领域】，尤其涉及一种基于工业以太网的数据安全传输方法、系统及装置。
【背景技术】
[0002]随着通讯技术的迅速发展，信息网络已经成为社会发展的重要保证。由于网络的组网规模的扩大和组网模式的多元化，对于网络系统处理能力和连接能力的要求也在不断地提高。但在连接能力、信息流通能力提高的同时，基于网络连接的安全问题也日益突出。
[0003]工业以太网是应用于工业控制领域的以太网技术，它以其适用性强、高实时性、高可互操作性、高可靠性和抗干扰性等突出特点，满足了工业现场对安全性和可靠性的更高要求。随着两化融合和物联网的快速发展，工业控制系统面临的安全问题日益严重，如何保证工业以太网的数据传输安全，将是未来工业领域急需解决的重要问题。
[0004]在工业以太网中进行数据传输时，往往采用明文的形式进行传输，以数据白名单的下发为例:在进行数据白名单的传输时，一般通过网络对对端的交换机等设备进行远程的监控管理，第一交换机设备登陆第二交换机设备时，通过属于管理者的用户名和密码对该作为管理者的第一交换机设备进行验证，当验证通过时，第一交换机设备可以任意向第二交换机设备下发策略等数据白名单信息。
[0005]一般在现有技术中第二交换机设备不对第一交换机设备的身份进行验证，只要该第一交换机设备能够输入正确的用户名和密码，即可通过网络对第二交换机设备进行数据白名单传输的操作，但该方法中接收数据白名单的第二交换机设备，不能确定是否为相应的管理者对其发送的相应数据白名单，并且即使完成对第一交换机设备的身份验证，也无法确定该数据白名单本身的安全性问题。
[0006]因此，在现有的工业以太网中进行数据传输时，因为无法对发送端的身份进行验证，所以不能确定接收到的数据是否可靠，从而将导致严重的安全隐患，并且即使发送端的身份通过验证，对该发送端发送的数据信息也缺乏进一步的检验手段，因此，无法保证工业以太网中数据传输的安全性。

【发明内容】

[0007]本发明实施例提供一种基于工业以太网的数据安全传输方法、系统及装置，用以解决现有技术在工业以太网的交换设备中进行数据传输时，接收端不能对发送端的身份进行认证，无法保证数据安全性的问题。
[0008]本发明实施例提供了一种基于工业以太网的数据安全传输方法，该方法包括:
[0009]交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；
[0010]提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；[0011]当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；
[0012]将该数据信息的哈希值与解密后获得的哈希值进行比较；
[0013]当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；
[0014]将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；
[0015]当匹配成功时，处理该数据信息。
[0016]本发明实施例提供了一种基于工业以太网的数据安全传输系统，该系统包括:
[0017]其他设备，用于向交换设备发送报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；
[0018]交换设备，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。
[0019]本发明实施例提供了一种基于工业以太网的数据安全传输装置，该装置包括:
[0020]接收模块，用于接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；
[0021]验证模块，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；
[0022]处理模块，用于当匹配成功时，处理该数据信息。
[0023]本发明实施例提供了一种基于工业以太网的数据安全传输方法、系统及装置，该方法中交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。由于在本发明实施例中交换设备根据自身保存的验证信息对接收到的数据信息进行信息验证，并通过工业协议信息的匹配识别对该数据信息进行二次验证，从而达到对报文数据信息的安全性进行验证的目的，因此，该方法提高了工业网络中数据传输的安全性。
【专利附图】

【附图说明】[0024]图1为本发明实施例提供的一种基于工业以太网的数据安全传输过程示意图；
[0025]图2为本发明实施例提供的一种基于工业以太网的数据安全传输的一个详细实施过程示意图；
[0026]图3为本发明实施例提供的一种基于工业以太网的数据安全传输的另一详细实施过程示意图；
[0027]图4为本发明实施例提供的一种基于工业以太网的数据安全传输系统结构示意图；
[0028]图5为本发明实施例提供的一种基于工业以太网的数据安全传输装置的结构示意图；
[0029]图6为本发明实施例提供的一种基于工业以太网的数据安全传输装置的结构示意图。
【具体实施方式】
[0030]本发明为了在工业以太网中提高数据传输的可靠性，本发明实施例提供了一种基于工业以太网的数据安全传输方法、系统及装置。
[0031 ] 下面结合说明书附图，对本发明进行详细说明。
[0032]图1为本发明实施例提供的一种基于工业以太网的数据安全传输过程示意图，该过程包括以下步骤:
[0033]SlOl:交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息。
[0034]在本发明实施例中为了保证在工业以太网中报文传输的安全性，当其他设备向交换设备发送报文时，根据该报文的数据信息确定其数字签名，确定该报文的发送时间，将该发送时间对应的时间戳信息、数字签名、密钥信息及数据信息一并发送给作为接收端的交换设备。其中，所述其他设备可以为终端和传感器等节点设备，也可以为交换机等交换设备。
[0035]S102:提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证，判断是否验证通过，当验证通过时，进行步骤S103，否则，将接收的数据丢弃。
[0036]当交换设备接收到其他设备发送的报文后，提取该报文的时间戳信息和密钥信息对该报文进行验证，主要是实现对发送端身份的验证，在本发明实施例中作为接收端的交换设备在对该发送设备进行身份验证时，可以先通过时间戳信息进行验证然后再进行密钥信息验证，或者，先通过密钥信息进行验证然后再进行时间戳信息验证。
[0037]S103:根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值。
[0038]当通过时间戳信息和密钥信息对该发送端的身份进行验证后，为了进一步增加数据白名单传输的安全性，在本发明实施例中该数字签名根据该报文的数据信息生成，因此根据该数据签名还可以进一步对作为发送端的其他设备进行验证。
[0039]具体的该数字签名在生成时，作为发送端的其他设备根据哈希算法及该数据信息，确定该数据信息的哈希值；根据确定的该数据信息的哈希值，及保存的私钥对该数据信息的哈希值进行加密生成数字签名。发送端可以将包含生成的该数字签名与数据信息的报文，发送给作为接收端的交换设备。
[0040]S104:将该数据信息的哈希值与解密后获得的哈希值进行比较，判断该数据信息的哈希值与解密后获得的哈希值是否一致，当判断结果为是时，进行步骤S105，否则，确定该数据不安全，将该报文丢弃。
[0041]根据上述数字签名的生成过程可知，该数字签名根据哈希算法、及作为发送端的其他设备保存的私钥生成，因此接收端在根据该数字签名对发送端的身份进行验证时，作为接收端的第二交换设备在包含该数据信息及其数字签名的报文中识别出数字签名，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，之后对该数据信息进行哈希运算，确定该数字白名单的哈希值。
[0042]将数据信息的哈希值及解密后获得的哈希值进行比较，判断两者是否一致，当判断两者一致时，确认该发送端具有相应的数据发送身份，完成数据发送端的身份验证。
[0043]S105:当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息。
[0044]在工业以太网中通过上述流程对发送端的身份验证通过后，需要对该发送端发送的报文中包含数据信息的安全性进行进一步的验证，交换设备提取该数据信息的工业协议信息，对该工业协议信息进行验证。其中，所述工业协议信息包括:工业协议类型特征码和工业协议关键字。
[0045]S106:将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配，当匹配成功时，进行步骤S107，否则，确定该数据信息不安全，将该报文丢弃。
[0046]作为接收端的交换设备从作为发送端的其他设备发送的报文数据信息中获取该数据信息的工业协议信息，在自身保存的各工业协议信息中进行匹配，鉴于工业以太网的组网模式，在工业以太网中只有交换设备支持的工业协议类型才能识别并进行处理，当该数据信息的工业协议信息在交换设备中未匹配成功时，说明该数据信息为非法的，存在安全隐患，因此，将该报文丢弃。
[0047]S107:处理该报文的数据信息。
[0048]由于在本发明实施例中接收到其他设备发送的报文的第二交换设备，通过时间戳信息和密钥信息对该报文的数据信息进行验证，并根据自身保存的公钥及哈希算法对该数据信息进行验证，从而达到对发送端身份验证的目的，因为如果发送端的身份有问题，该数据白名单将无法验证通过；当发送端的身份验证通过后，本发明通过对提取的该报文数据信息的工业协议信息进行验证，进一步验证数据的安全性，只有与自身保存的各工业协议信息匹配成功的数据才能进行后续处理，因此该方法提高了数据传输的安全性。
[0049]在本发明实施中为了增加数据传输的安全性，并且可以使作为接收端的交换设备可以对作为发送端的设备的身份进行认证，在本发明实施例中，当作为发送端的其他设备向作为接收端的交换设备发送数据时，该发送端的其他设备对该数据进行处理后，再进行发送。
[0050]具体的，作为发送端的该其他换设备根据该待发送的数据信息，及自身保存的哈希算法，对该数据信息进行哈希运算，确定该数据信息的哈希值。之后根据确定的该数据信息的哈希值，及自身保存的私钥，对该数据信息的哈希值进行加密，生成数字签名，之后将该数字签名附加在该数据信息之后。
[0051]另外，在本发明实施例中为了进一步增加数据传输的安全性，可以使接收端能够对发送端的身份进行验证，作为发送端的节点设备或者交换设备在发送该数据信息及其数字签名时，还发送密钥信息和与该报文的发送时间对应的时间戳信息。
[0052]由于本发明实施例提供的该数据安全传输方法适用于工业以太网中，在工业以太网中主设备和从设备之间通过1588协议进行精确的对时，因此可以保证每台设备之间保持非常高时钟同步精度。当该待验证的信息为时间戳信息时，作为发送端的其他设备根据自身当前发送该报文的时间，将该当前时间的时间戳信息携带在待发送的报文中，与该数据信息及该数据信息的数字签名一并发送到作为接收端的交换设备。
[0053]当作为接收端的交换设备接收到其他设备发送的时间戳信息、数据信息及其数字签名时，对其进行验证，只有验证通过时，才能保证该发送端的身份是安全的。具体的当所述待验证信息为时间戳信息时，所述提取所述报文中的时间戳信息，对该报文进行验证包括:
[0054]交换设备根据所述报文获取该报文的源地址信息，其中该源地址信息包括源IP信息或源MAC信息；
[0055]根据所述源地址信息及自身的地址信息，确定设备之间的链路延时；
[0056]根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证。
[0057]具体的，所述根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证包括:
[0058]根据所述链路延时，提取的所述时间戳信息，确定接收所述报文的理论时间；
[0059]判断所述理论时间，及当前的接收时间信息差的绝对值是否小于所述时间阈值信
肩、O
[0060]当交换设备接收到其他设备发送的报文时，提取该报文包含的时间戳信息，并记录接收到其他设备发送的所述报文的时间(即该时间戳的接收时间，也是数字信息及其数字签名的接收时间)，获取该报文的源地址信息，其中该源地址信息包括源IP信息或源MAC信息，根据该报文的源IP信息或源MAC信息及自身的地址信息，确定发送端的其他设备到交换机的物理链路，根据精密时钟协议计算交换设备到发送端的链路延时。
[0061]交换设备根据计算的该链路延时及提取的所述时间戳信息，确定出理论上接收该报文的时间，交换设备根据理论接收时间信息与记录接收该报文的时间差的绝对值，可以对作为发送端的其他设备的身份进行认证，如果该信息是攻击设备非法获取的，则该理论接收时间信息与记录接收该报文的时间差的绝对值一定不小于设定的阈值，相反如果该其他设备具有发送该报文的权限，则该理论接收时间信息与记录接收该报文的时间差的绝对值小于设定的阈值。
[0062]或者，交换设备根据计算的该链路延时及记录的接收所述报文的时间，确定出理论上其他设备发送该报文的时间，交换设备根据该报文的理论发送时间信息与提取的该时间戳信息差的绝对值，也可以对作为发送端的其他设备的身份进行认证，如果该信息是攻击设备非法获取的，则该报文的理论发送时间信息与提取的该时间戳信息差的绝对值一定不小于设定的阈值，相反如果该其他设备具有发送该报文的权限，则报文的理论发送时间信息与提取的该时间戳信息差的绝对值小于设定的阈值。
[0063]图2为本发明实施例提供的一种基于工业以太网的数据安全传输的一个详细实施过程示意图，该过程包括以下步骤:
[0064]S201:交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名和时间戳信息。
[0065]具体的，其他设备根据待发送的数据信息，及自身保存的哈希算法，对该数据信息进行哈希运算，确定该数据信息的哈希值，根据确定的该数据信息的哈希值，及自身保存的私钥，对该数据信息的哈希值进行加密，生成数字签名，之后将该数字签名附加在该数据信息之后，根据自身当前发送该数据的时间，将该当前时间的时间戳信息携带在待发送的报文中，与该数据信息及该数据信息的数字签名一并发送到作为接收端的交换设备。
[0066]S202:交换设备根据所述报文获取该报文的源地址信息，其中该源地址信息包括源IP信息或源MAC信息。
[0067]S203:交换设备根据所述源地址信息及自身的地址信息，确定设备之间的链路延时。
[0068]S204:根据所述链路延时，提取的所述时间戳信息，确定接收所述报文的理论时间。
[0069]S205:判断该理论时间与当前的接收时间信息差的绝对值是否小于设定的阈值，当判断结果为是时，进行步骤S206，否则，确定该数报文不安全，将该报文丢弃。
[0070]S206:根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值。
[0071]S207:将该数据信息的哈希值与解密后获得的哈希值进行比较，判断该数据信息的哈希值与解密后获得的哈希值是否一致，当判断结果为是时，进行步骤S208，否则，确定该报文不安全，将该报文丢弃。
[0072]S208:提取所述数据信息中的工业协议信息，将提取的该工业协议信息与自身保存的各工业协议信息进行匹配，当匹配成功时，进行步骤S209，否则，确定该数据信息不安全，将该报文丢弃。
[0073]S209:处理该报文的数据信息。
[0074]另外，在本发明实施例中该其他设备向交换设备发送的数据中携带的待验证信息还可以包括密钥信息。具体的，该作为发送端的其他设备根据该待发送的数据信息，及自身保存的哈希算法，对该数据信息进行哈希运算，确定该数据信息的哈希值。之后根据确定的该数据信息的哈希值，及自身保存的私钥，对该数据信息的哈希值进行加密，生成数字签名，之后将该数字签名附加在该数据信息之后。
[0075]作为发送端的其他设备为了增加数据传输的安全性，根据自身保存的非对称(AES)密钥，对该数据信息及其数字签名进行加密。在本发明实施例中该密钥信息即该非对称密钥。其他设备发送的密钥信息、数据信息及该数据信息的数字签名，可以以明文的形式传输，而为了数据传输的安全性，上述信息也可以采用公钥对上述信息进行加密后传输。即其他设备将加密后的数据信息及其数字签名及该非对称密钥采用自身保存的公钥进行加密后，发送到交换设备。
[0076]当该待验证信息为密钥信息时，所述根据自身保存的验证信息，交换设备对该待验证信息进行验证包括:
[0077]所述交换设备根据自身保存的私钥，对接收到的报文进行解密；
[0078]识别解密后的该报文中的密钥信息；
[0079]判断该密钥信息是否能够对该数据信息及其数字签名进行解密。
[0080]为了增加工业以太网中数据传输的安全性，并能够对发送端的身份进行验证，在本发明实施例中发送端还可以在进行数据发送时，将待验证的密钥信息携带在数据中，与该数据信息及数据信息的数字签名一并发送到作为接收端的交换设备。
[0081]当交换设备接收到上述信息后，如果上述信息以加密方式传输，则交换设备首先根据自身保存的私钥，对上述信息进行解密，解密后获得该密钥信息、数据信息及该数据信息的数字签名。
[0082]交换设备在解密后的信息中识别密钥信息，对该密钥信息进行验证，该交换设备首先判断该密钥信息是否能够对加密后的数据信息及其数字签名进行解密，当该密钥信息能够对该数据信息及其数字签名进行验证时，则确定该发送端的身份认证通过。
[0083]另外，在本发明实施例中为了进一步增加数据传输的可靠性，交换设备还进一步根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数字信息的哈希值；将数字信息的哈希值及解密后获得的哈希值进行比较；当数字信息的哈希值及解密后获得的哈希值一致时，则对发送端的身份验证通过，否贝U，确定发送该报文的其他设备不安全，将该报文丢弃。
[0084]图3为本发明实施例提供的一种基于工业以太网的数据安全传输的另一详细实施过程示意图，该过程包括以下步骤:
[0085]S301:交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名和密钥信息。
[0086]具体的，其他设备根据待发送的数据信息，及自身保存的哈希算法，对该数据信息进行哈希运算，确定该数据信息的哈希值，根据确定的该数据信息的哈希值，及自身保存的私钥，对该数据信息的哈希值进行加密，生成数字签名，之后将该数字签名附加在该数据信息之后，根据自身保存的非对称AES密钥，对该数据信息及其数字签名进行加密，采用自身保存的私钥，对该非对称AES密钥及加密后的数据信息及其数字签名进行加密，并将加密后的信息发送到交换设备。
[0087]S302:交换设备根据自身保存的公钥，对接收到的加密后的数据进行解密，获得非对称AES密钥，及加密后的数据信息及其数字签名。
[0088]S303:采用该非对称AES密钥对加密后的数据信息及其数字签名信息进行解密，判断非对称AES密钥是否能够对该数据信息及其数字签名进行解密，当能够解密时，进行步骤S304，否则，确定该数据信息不安全，将该报文丢弃。
[0089]S304:根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值。
[0090]S305:将数据信息的哈希值及解密后获得的哈希值进行比较，判断数据信息的哈希值及解密后获得的哈希值是否一致，当判断结果为是时，进行步骤S306，否则，确定该数据信息不安全，将该报文丢弃。
[0091]S306:提取所述数据信息中的工业协议信息。[0092]S307:将提取的该工业协议信息与自身保存的各工业协议信息进行匹配，当匹配成功时，进行步骤S308，否则，确定该数据信息不安全，将该报文丢弃
[0093]S308:处理该报文的数据信息。
[0094]在本发明实施中为了进一步增加数据传输的安全性，降低数据明文传输存在的风险，其他设备在确定了数据信息的数字签名后，根据自身保存的非对称AES密钥，对该数据信息及其数字签名进行加密，采用自身保存的公钥，对该非对称AES密钥及加密后的数据信息及其数字签名进行加密，之后，根据自身当前发送该报文的时间，将该当前时间的时间戳信息携带在待发送的报文中，将该时间戳信息一并发送到交换设备。
[0095]当交换设备接收到该一并发送到的报文后，识别该报文中的时间戳信息，根据接收该报文的时间，及与作为发送端的其他设备之间的链路延时，确定该其他设备的理论发送时间信息，根据确定的该理论发送时间信息及该时间戳信息，对该发送端的身份进行验证，当验证通过时，根据自身保存的私钥，对接收到的加密后的信息进行解密，获得非对称AES密钥，及加密后的数据信息及其数字签名信息。采用该非对称AES密钥对加密后的数据信息及其数字签名信息进行解密，根据是否能够解密成功进一步对该发送端的身份进行验证，从而提高数据传输的安全性。
[0096]当验证通过时，该交换设备还可以根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数字信息的哈希值；将数字信息的哈希值及解密后获得的哈希值进行比较；判断数字信息的哈希值及解密后获得的哈希值是否一致，来再一次的对该报文发送端身份的安全性进行验证，进一步提高了数据传输的安全性。
[0097]另外，为了进一步提高在工业以太网中数据传输的安全性，结合工业以太网组网模式的特点，对发送端的身份验证通过后，本发明还通过数据信息的工业协议信息对数据信息的安全性进行验证，所述工业协议信息包括:工业协议类型特征码和工业协议关键字；
[0098]所述将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配包括:
[0099]提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配；当匹配成功时，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配；或，
[0100]提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配，当匹配成功时，提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配。
[0101]具体的，交换设备在通过密钥信息和时间戳信息对发送所述报文的其他设备的身份进行第一次验证，和通过对解密后的数据信息进行哈希运算并与该报文包含的哈希值进行比较完成的第二次身份验证之后，提取该数据信息的工业协议类型特征码和工业协议关键字，在在自身保存的工业协议类型特征码库和工业协议关键字库中分别进行匹配。其中，所述工业协议类型特征码包括EtherCAT、Powerlink, IEC61850G00SE、IEC61850SV、PROFinet, Modbus TCP 和 IEC61850MMS 等。
[0102]图4为本发明实施例提供的一种基于工业以太网的数据安全传输系统结构示意图，该系统包括:
[0103]其他设备41，用于向交换设备发送报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；
[0104]交换设备42，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。
[0105]图5为本发明实施例提供的一种基于工业以太网的数据安全传输装置的结构示意图，该装置包括:
[0106]接收模块51，用于接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；
[0107]验证模块52，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；
[0108]处理模块53，用于当匹配成功时，处理该数据信息。
[0109]所述验证模块52，具体用于根据所述报文获取该报文的源地址信息，其中该源地址信息包括源IP信息或源MAC信息；根据所述源地址信息及自身的地址信息，确定设备之间的链路延时；根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证。
[0110]所述验证模块52，具体用于根据所述链路延时，提取的所述时间戳信息，确定接收所述报文的理论时间；判断所述理论时间，及当前的接收时间信息差的绝对值是否小于所述时间阈值信息。
[0111]所述验证模块52，具体用于提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配；当匹配成功时，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配；或，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配，当匹配成功时，提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配。
[0112]该装置位于接收端设备中。
[0113]图6为本发明实施例提供的一种基于工业以太网的数据安全传输装置的结构示意图，该装置包括:
[0114]第一加密模块61，用于根据待发送的数据信息，及保存的哈希算法，确定该数据白名单的哈希值；[0115]第二加密模块62，用于根据确定的该数据信息的哈希值及自身保存的私钥，确定该数据信息的数字签名；
[0116]发送模块63，用于根据当前的发送时间信息，将当前的时间戳携带在数据中，与该数据信息及其数字签名一起发送给其它装置；或根据该数据信息及确定的该数据信息的数字签名，采用保存的非对称密钥对该数据信息及其数字签名加密，将加密后的数据信息及其数字签名连同该非对称密钥加密后发送给其它装置。
[0117]该装置位于发送端设备中。
[0118]本发明实施例提供了一种基于工业以太网的数据安全传输方法、系统及装置，该方法中交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息；提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。由于在本发明实施例中交换设备根据自身保存的验证信息对接收到的数据信息进行信息验证，并通过工业协议信息的匹配识别对该数据信息进行二次验证，从而达到对报文数据信息的安全性进行验证的目的，因此，该方法提高了工业网络中数据传输的安全性。
[0119]本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0120]本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0121]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0122]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0123]尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
[0124] 显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。
【权利要求】
1.一种基于工业以太网的数据安全传输方法，其特征在于，所述方法包括: 交换设备接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息； 提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证； 当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值； 将该数据信息的哈希值与解密后获得的哈希值进行比较； 当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息； 将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配； 当匹配成功时，处理该数据信息。
2.如权利要求1所述的方法，其特征在于，所述提取所述报文中的时间戳信息，对该报文进行验证包括: 交换设备根据所述报文获取该报文的源地址信息，其中该源地址信息包括源IP信息或源MAC信息； 根据所述源地址信息及自身的地址信息，确定设备之间的链路延时； 根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证。
3.如权利要求2所述的方法，其特征在于，所述根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证包括: 根据所述链路延时，提取的所述时间戳信息，确定接收所述报文的理论时间； 判断所述理论时间，及当前的接收时间信息差的绝对值是否小于所述时间阈值信息。
4.如权利要求1所述的方法，其特征在于，所述根据保存的密钥信息，对该报文进行验证包括: 所述交换设备根据自身保存的私钥，对接收到的报文进行解密； 识别解密后的该报文中的密钥信息； 判断该密钥信息是否能够对该数据信息及其数字签名进行解密。
5.如权利要求1所述的方法，其特征在于，所述工业协议信息包括:工业协议类型特征码和工业协议关键字； 所述将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配包括: 提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配；当匹配成功时，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配；或， 提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配，当匹配成功时，提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配。
6.一种基于工业以太网的数据安全传输系统，其特征在于，所述系统包括:其他设备，用于向交换设备发送报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息 ； 交换设备，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配；当匹配成功时，处理该数据信息。
7.一种基于工业以太网的数据安全传输装置，其特征在于，所述装置包括: 接收模块，用于接收其他设备发送的报文，其中所述报文中包括数据信息、其数字签名、时间戳信息和密钥信息； 验证模块，用于提取所述报文中的时间戳信息，对该报文进行验证，并根据保存的密钥信息，对该报文进行验证；当验证通过时，根据自身保存的公钥对该数字签名进行解密，获得其对应的哈希值，并对该数据信息进行哈希运算，确定该数据信息的哈希值；将该数据信息的哈希值与解密后获得的哈希值进行比较；当判断该数据信息的哈希值与解密后获得的哈希值一致时，提取所述数据信息中的工业协议信息；将提取的所述工业协议信息与自身保存的各工业协议信息进行匹配； 处理模块，用于当匹配成功时，处理该数据信息。
8.如权利要求7所述的装置，其特征在于，所述验证模块，具体用于根据所述报文获取该报文的源地址信息，其中该源地址信息包括源IP信息或源MAC信息；根据所述源地址信息及自身的地址信息，确定设备之间的链路延时；根据所述链路延时、提取的所述时间戳信息、当前的接收时间信息及保存的时间阈值信息，对该报文进行验证。
9.如权利要求7所述的装置，其特征在于，所述验证模块，具体用于根据所述链路延时，提取的所述时间戳信息，确定接收所述报文的理论时间；判断所述理论时间，及当前的接收时间信息差的绝对值是否小于所述时间阈值信息。
10.如权利要求7所述的装置，其特征在于，所述工业协议信息包括:工业协议类型特征码和工业协议关键字；所述验证模块，具体用于提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配；当匹配成功时，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配；或，提取所述数据信息中的工业协议关键字；将提取的所述工业协议关键字与自身保存的各工业协议关键字进行匹配，当匹配成功时，提取所述数据信息中的工业协议类型特征码，将提取的所述工业协议类型特征码，与自身保存的各工业协议类型特征码进行匹配。
【文档编号】H04L29/06GK103581173SQ201310412456
【公开日】2014年2月12日 申请日期:2013年9月11日 优先权日:2013年9月11日
【发明者】丁杰, 孔勇, 马化一, 仁参考, 李硕, 张俭锋, 薛百华 申请人:北京东土科技股份有限公司