1.一种工业控制安全通信系统,包括云端、与云端通过5g网络相连接的至少两个控制端;其中云端还包括证书服务器、云端安全模块以及分别与证书服务器和云端安全模块相连接的工业控制服务器;所述控制端包括5g通信模块、控制端安全模块以及分别与5g通信模块和控制端安全模块相连接的工业控制模块;其特征在于:
所述云端的工业控制服务器通过5g网络与所述控制端的5g通信模块通信连接,以实现云端与控制端之间的双向通信;
各个控制端之间通过现场总线通信连接,以实现相互通信;
所述云端安全模块和控制端安全模块用于提供密码服务功能和安全存储功能;所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算;
所述工业控制服务器调用由云端安全模块提供的相应密码服务功能;所述工业控制模块调用由控制端安全模块提供的相应密码服务功能和安全存储功能;
所述证书服务器为云端生成并保存相应的公钥证书,通过离线方式将云端的公钥证书中的公钥写入所述控制端的控制端安全模块内;所述云端安全模块保存与其相应公钥证书中的公钥相对应的私钥。
2.根据权利要求1所述的一种工业控制安全通信系统,其特征在于:所述各个控制端之间通过现场总线通信连接具体是指所述控制端的工业控制模块通过现场总线通信连接,工业控制模块分别通过现场总线的通信连接实现相互通信。
3.根据权利要求1所述的一种工业控制安全通信系统,其特征在于:所述控制端安全模块和所述云端安全模块均为安全智能芯片,所述安全智能芯片支持的商用密码算法包括sm1、sm2和sm3中的至少一种,支持的国际常用密码算法包括3des、aes、rsa、sha-1和sha-256中的至少一种;所述安全智能芯片支持存储数字证书;所述安全智能芯片提供安全存储区域,支持重要信息的安全存储;所述安全智能芯片支持随机数的生成;所述证书服务器维护证书撤销列表,提供证书撤销列表查询功能。
4.一种利用权利要求1-3之一所述工业控制安全通信系统进行工业控制安全通信的方法,其特征在于:所述工业控制安全通信方法包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段;
步骤1)、准备阶段具体包括如下步骤:
至少为两个的所述控制端均作为安全通信组会话密钥协商的成员,统一用cei表示,其中i=1,2,…,n;n为大于1的自然数;在所述控制端的控制端安全模块内设置控制端组会话密钥安全存储区;所述控制端组会话密钥安全存储区统一用kzi表示,其中i=1,2,…,n;n为大于1的自然数;k为待协商的组会话密钥;
所述云端的工业控制服务器生成以下系统参数:g1与g2分别是阶均为q的循环加法群与循环乘法群,双线性映射dl:g1×g1→g2,p∈g1,随机选取
每个cei随机选取
步骤2)、组会话密钥协商阶段具体包括下列步骤:
步骤21)、每个cei各自生成ei=ciqi和vi=sip,然后分别将三元组<idi,vi,ei>发送给每个cej,其中i=1,2,…,n;j=1,2,…,n,j≠i,n为大于1的自然数;
步骤22)、cej收到cei发来的三元组<idi,vi,ei>后,从所述工业控制服务器处获取与idi相对应的di,然后分别计算dl(vi,ei)和dl(qip,di)并比较两者的值以对cei进行验证,如果值不相同,则验证失败,所述cej向每个cei和所述工业控制服务器发送验证失败标识verfail,组会话密钥协商过程终止;若该两值相同,则表示验证通过,继续下一步;
步骤23)、cei计算mi=cip,然后分别发送给每个cej,其中i=1,2,…,n;j=1,2,…,n,j≠i,n为大于1的自然数;
步骤24)、cej收到cei发来的mi后,计算nji=gjmi,然后将nji发送给cei;
步骤25)、cei收到cej发来的nji后,计算
步骤3)、组安全加密通信阶段具体包括如下步骤:
成功协商建立组会话密钥k后,各个cei之间,其中i=1,2,…,n;n为大于1的自然数,就可以使用所述组会话密钥k进行组安全加密通信。