一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法����、系統(tǒng)及裝置制造方法
【專利摘要】本發(fā)明公開了一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法、系統(tǒng)及裝置�����,解決現(xiàn)有工業(yè)以太網(wǎng)中進行數(shù)據(jù)傳輸時,接收端不能對發(fā)送端的身份進行認證�����,無法保證數(shù)據(jù)傳輸安全性的問題�。在該方法中當(dāng)發(fā)送端發(fā)送數(shù)據(jù)信息時,還發(fā)送其數(shù)字簽名以及待驗證信息���,交換設(shè)備根據(jù)待驗證信息包含的時間戳信息和密鑰信息完成對發(fā)送端身份的一次驗證,根據(jù)數(shù)字簽名完成對發(fā)送端身份的二次驗證��,當(dāng)發(fā)送端的身份驗證通過后�����,根據(jù)該數(shù)據(jù)信息的工業(yè)協(xié)議信息檢驗該數(shù)據(jù)信息的安全性����。由于本發(fā)明實現(xiàn)了對發(fā)送端和數(shù)據(jù)信息的全面檢測,既達到了對發(fā)送端身份驗證的目的���,又實現(xiàn)了對數(shù)據(jù)信息的安全性檢驗���,因此�,提高了在工業(yè)以太網(wǎng)中進行數(shù)據(jù)傳輸?shù)陌踩浴?br>
【專利說明】—種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法��、系統(tǒng)及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及工業(yè)以太網(wǎng)【技術(shù)領(lǐng)域】���,尤其涉及一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法�、系統(tǒng)及裝置�。
【背景技術(shù)】
[0002]隨著通訊技術(shù)的迅速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證�。由于網(wǎng)絡(luò)的組網(wǎng)規(guī)模的擴大和組網(wǎng)模式的多元化,對于網(wǎng)絡(luò)系統(tǒng)處理能力和連接能力的要求也在不斷地提高����。但在連接能力、信息流通能力提高的同時�,基于網(wǎng)絡(luò)連接的安全問題也日益突出。
[0003]工業(yè)以太網(wǎng)是應(yīng)用于工業(yè)控制領(lǐng)域的以太網(wǎng)技術(shù)���,它以其適用性強��、高實時性��、高可互操作性�����、高可靠性和抗干擾性等突出特點�,滿足了工業(yè)現(xiàn)場對安全性和可靠性的更高要求。隨著兩化融合和物聯(lián)網(wǎng)的快速發(fā)展�,工業(yè)控制系統(tǒng)面臨的安全問題日益嚴重,如何保證工業(yè)以太網(wǎng)的數(shù)據(jù)傳輸安全����,將是未來工業(yè)領(lǐng)域急需解決的重要問題。
[0004]在工業(yè)以太網(wǎng)中進行數(shù)據(jù)傳輸時�,往往采用明文的形式進行傳輸,以數(shù)據(jù)白名單的下發(fā)為例:在進行數(shù)據(jù)白名單的傳輸時�����,一般通過網(wǎng)絡(luò)對對端的交換機等設(shè)備進行遠程的監(jiān)控管理��,第一交換機設(shè)備登陸第二交換機設(shè)備時�,通過屬于管理者的用戶名和密碼對該作為管理者的第一交換機設(shè)備進行驗證��,當(dāng)驗證通過時����,第一交換機設(shè)備可以任意向第二交換機設(shè)備下發(fā)策略等數(shù)據(jù)白名單信息。
[0005]一般在現(xiàn)有技術(shù)中第二交換機設(shè)備不對第一交換機設(shè)備的身份進行驗證��,只要該第一交換機設(shè)備能夠輸入正確的用戶名和密碼,即可通過網(wǎng)絡(luò)對第二交換機設(shè)備進行數(shù)據(jù)白名單傳輸?shù)牟僮?����,但該方法中接收?shù)據(jù)白名單的第二交換機設(shè)備����,不能確定是否為相應(yīng)的管理者對其發(fā)送的相應(yīng)數(shù)據(jù)白名單,并且即使完成對第一交換機設(shè)備的身份驗證�,也無法確定該數(shù)據(jù)白名單本身的安全性問題。
[0006]因此���,在現(xiàn)有的工業(yè)以太網(wǎng)中進行數(shù)據(jù)傳輸時���,因為無法對發(fā)送端的身份進行驗證,所以不能確定接收到的數(shù)據(jù)是否可靠���,從而將導(dǎo)致嚴重的安全隱患���,并且即使發(fā)送端的身份通過驗證,對該發(fā)送端發(fā)送的數(shù)據(jù)信息也缺乏進一步的檢驗手段���,因此����,無法保證工業(yè)以太網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩浴?br>
【發(fā)明內(nèi)容】
[0007]本發(fā)明實施例提供一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法、系統(tǒng)及裝置�����,用以解決現(xiàn)有技術(shù)在工業(yè)以太網(wǎng)的交換設(shè)備中進行數(shù)據(jù)傳輸時���,接收端不能對發(fā)送端的身份進行認證�����,無法保證數(shù)據(jù)安全性的問題�。
[0008]本發(fā)明實施例提供了一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法���,該方法包括:
[0009]交換設(shè)備接收其他設(shè)備發(fā)送的報文���,其中所述報文中包括數(shù)據(jù)信息����、其數(shù)字簽名、時間戳信息和密鑰信息���;
[0010]提取所述報文中的時間戳信息�����,對該報文進行驗證����,并根據(jù)保存的密鑰信息,對該報文進行驗證��;[0011]當(dāng)驗證通過時�����,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密�����,獲得其對應(yīng)的哈希值����,并對該數(shù)據(jù)信息進行哈希運算,確定該數(shù)據(jù)信息的哈希值���;
[0012]將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較����;
[0013]當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息��;
[0014]將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配�;
[0015]當(dāng)匹配成功時,處理該數(shù)據(jù)信息�����。
[0016]本發(fā)明實施例提供了一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸系統(tǒng)��,該系統(tǒng)包括:
[0017]其他設(shè)備��,用于向交換設(shè)備發(fā)送報文��,其中所述報文中包括數(shù)據(jù)信息�、其數(shù)字簽名、時間戳信息和密鑰信息�����;
[0018]交換設(shè)備��,用于提取所述報文中的時間戳信息�����,對該報文進行驗證����,并根據(jù)保存的密鑰信息,對該報文進行驗證�;當(dāng)驗證通過時,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密����,獲得其對應(yīng)的哈希值,并對該數(shù)據(jù)信息進行哈希運算���,確定該數(shù)據(jù)信息的哈希值����;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較����;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息�;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配����;當(dāng)匹配成功時�����,處理該數(shù)據(jù)信息�����。
[0019]本發(fā)明實施例提供了一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸裝置��,該裝置包括:
[0020]接收模塊�,用于接收其他設(shè)備發(fā)送的報文,其中所述報文中包括數(shù)據(jù)信息����、其數(shù)字簽名、時間戳信息和密鑰信息�����;
[0021]驗證模塊�,用于提取所述報文中的時間戳信息,對該報文進行驗證��,并根據(jù)保存的密鑰信息,對該報文進行驗證���;當(dāng)驗證通過時,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密����,獲得其對應(yīng)的哈希值,并對該數(shù)據(jù)信息進行哈希運算�,確定該數(shù)據(jù)信息的哈希值;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較����;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息��;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配�����;
[0022]處理模塊�����,用于當(dāng)匹配成功時���,處理該數(shù)據(jù)信息�。
[0023]本發(fā)明實施例提供了一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法、系統(tǒng)及裝置���,該方法中交換設(shè)備接收其他設(shè)備發(fā)送的報文�,其中所述報文中包括數(shù)據(jù)信息�、其數(shù)字簽名、時間戳信息和密鑰信息�����;提取所述報文中的時間戳信息��,對該報文進行驗證���,并根據(jù)保存的密鑰信息�,對該報文進行驗證�;當(dāng)驗證通過時,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密�����,獲得其對應(yīng)的哈希值�,并對該數(shù)據(jù)信息進行哈希運算����,確定該數(shù)據(jù)信息的哈希值����;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較�����;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時��,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息�����;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配���;當(dāng)匹配成功時��,處理該數(shù)據(jù)信息����。由于在本發(fā)明實施例中交換設(shè)備根據(jù)自身保存的驗證信息對接收到的數(shù)據(jù)信息進行信息驗證�,并通過工業(yè)協(xié)議信息的匹配識別對該數(shù)據(jù)信息進行二次驗證��,從而達到對報文數(shù)據(jù)信息的安全性進行驗證的目的����,因此�,該方法提高了工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩浴?br>
【專利附圖】
【附圖說明】[0024]圖1為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸過程示意圖;
[0025]圖2為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸?shù)囊粋€詳細實施過程示意圖����;
[0026]圖3為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸?shù)牧硪辉敿殞嵤┻^程示意圖;
[0027]圖4為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸系統(tǒng)結(jié)構(gòu)示意圖�;
[0028]圖5為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸裝置的結(jié)構(gòu)示意圖;
[0029]圖6為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸裝置的結(jié)構(gòu)示意圖���。
【具體實施方式】
[0030]本發(fā)明為了在工業(yè)以太網(wǎng)中提高數(shù)據(jù)傳輸?shù)目煽啃?����,本發(fā)明實施例提供了一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法���、系統(tǒng)及裝置。
[0031 ] 下面結(jié)合說明書附圖�,對本發(fā)明進行詳細說明。
[0032]圖1為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸過程示意圖,該過程包括以下步驟:
[0033]SlOl:交換設(shè)備接收其他設(shè)備發(fā)送的報文�,其中所述報文中包括數(shù)據(jù)信息、其數(shù)字簽名���、時間戳信息和密鑰信息���。
[0034]在本發(fā)明實施例中為了保證在工業(yè)以太網(wǎng)中報文傳輸?shù)陌踩裕?dāng)其他設(shè)備向交換設(shè)備發(fā)送報文時��,根據(jù)該報文的數(shù)據(jù)信息確定其數(shù)字簽名����,確定該報文的發(fā)送時間���,將該發(fā)送時間對應(yīng)的時間戳信息��、數(shù)字簽名��、密鑰信息及數(shù)據(jù)信息一并發(fā)送給作為接收端的交換設(shè)備���。其中,所述其他設(shè)備可以為終端和傳感器等節(jié)點設(shè)備��,也可以為交換機等交換設(shè)備�。
[0035]S102:提取所述報文中的時間戳信息�,對該報文進行驗證���,并根據(jù)保存的密鑰信息�,對該報文進行驗證�,判斷是否驗證通過,當(dāng)驗證通過時�����,進行步驟S103��,否則���,將接收的數(shù)據(jù)丟棄���。
[0036]當(dāng)交換設(shè)備接收到其他設(shè)備發(fā)送的報文后,提取該報文的時間戳信息和密鑰信息對該報文進行驗證���,主要是實現(xiàn)對發(fā)送端身份的驗證��,在本發(fā)明實施例中作為接收端的交換設(shè)備在對該發(fā)送設(shè)備進行身份驗證時��,可以先通過時間戳信息進行驗證然后再進行密鑰信息驗證��,或者��,先通過密鑰信息進行驗證然后再進行時間戳信息驗證���。
[0037]S103:根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密�����,獲得其對應(yīng)的哈希值��,并對該數(shù)據(jù)信息進行哈希運算�,確定該數(shù)據(jù)信息的哈希值��。
[0038]當(dāng)通過時間戳信息和密鑰信息對該發(fā)送端的身份進行驗證后���,為了進一步增加數(shù)據(jù)白名單傳輸?shù)陌踩裕诒景l(fā)明實施例中該數(shù)字簽名根據(jù)該報文的數(shù)據(jù)信息生成�����,因此根據(jù)該數(shù)據(jù)簽名還可以進一步對作為發(fā)送端的其他設(shè)備進行驗證����。
[0039]具體的該數(shù)字簽名在生成時���,作為發(fā)送端的其他設(shè)備根據(jù)哈希算法及該數(shù)據(jù)信息,確定該數(shù)據(jù)信息的哈希值���;根據(jù)確定的該數(shù)據(jù)信息的哈希值���,及保存的私鑰對該數(shù)據(jù)信息的哈希值進行加密生成數(shù)字簽名。發(fā)送端可以將包含生成的該數(shù)字簽名與數(shù)據(jù)信息的報文�����,發(fā)送給作為接收端的交換設(shè)備��。
[0040]S104:將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較����,判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值是否一致,當(dāng)判斷結(jié)果為是時��,進行步驟S105���,否則�����,確定該數(shù)據(jù)不安全�����,將該報文丟棄�。
[0041]根據(jù)上述數(shù)字簽名的生成過程可知,該數(shù)字簽名根據(jù)哈希算法�、及作為發(fā)送端的其他設(shè)備保存的私鑰生成,因此接收端在根據(jù)該數(shù)字簽名對發(fā)送端的身份進行驗證時�����,作為接收端的第二交換設(shè)備在包含該數(shù)據(jù)信息及其數(shù)字簽名的報文中識別出數(shù)字簽名��,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密���,獲得其對應(yīng)的哈希值�,之后對該數(shù)據(jù)信息進行哈希運算�����,確定該數(shù)字白名單的哈希值���。
[0042]將數(shù)據(jù)信息的哈希值及解密后獲得的哈希值進行比較����,判斷兩者是否一致�����,當(dāng)判斷兩者一致時�,確認該發(fā)送端具有相應(yīng)的數(shù)據(jù)發(fā)送身份,完成數(shù)據(jù)發(fā)送端的身份驗證����。
[0043]S105:當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息��。
[0044]在工業(yè)以太網(wǎng)中通過上述流程對發(fā)送端的身份驗證通過后���,需要對該發(fā)送端發(fā)送的報文中包含數(shù)據(jù)信息的安全性進行進一步的驗證�,交換設(shè)備提取該數(shù)據(jù)信息的工業(yè)協(xié)議信息�,對該工業(yè)協(xié)議信息進行驗證。其中����,所述工業(yè)協(xié)議信息包括:工業(yè)協(xié)議類型特征碼和工業(yè)協(xié)議關(guān)鍵字��。
[0045]S106:將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配�����,當(dāng)匹配成功時���,進行步驟S107,否則����,確定該數(shù)據(jù)信息不安全,將該報文丟棄�����。
[0046]作為接收端的交換設(shè)備從作為發(fā)送端的其他設(shè)備發(fā)送的報文數(shù)據(jù)信息中獲取該數(shù)據(jù)信息的工業(yè)協(xié)議信息�����,在自身保存的各工業(yè)協(xié)議信息中進行匹配�����,鑒于工業(yè)以太網(wǎng)的組網(wǎng)模式���,在工業(yè)以太網(wǎng)中只有交換設(shè)備支持的工業(yè)協(xié)議類型才能識別并進行處理�����,當(dāng)該數(shù)據(jù)信息的工業(yè)協(xié)議信息在交換設(shè)備中未匹配成功時����,說明該數(shù)據(jù)信息為非法的����,存在安全隱患,因此����,將該報文丟棄。
[0047]S107:處理該報文的數(shù)據(jù)信息�。
[0048]由于在本發(fā)明實施例中接收到其他設(shè)備發(fā)送的報文的第二交換設(shè)備,通過時間戳信息和密鑰信息對該報文的數(shù)據(jù)信息進行驗證�,并根據(jù)自身保存的公鑰及哈希算法對該數(shù)據(jù)信息進行驗證,從而達到對發(fā)送端身份驗證的目的�,因為如果發(fā)送端的身份有問題,該數(shù)據(jù)白名單將無法驗證通過�;當(dāng)發(fā)送端的身份驗證通過后,本發(fā)明通過對提取的該報文數(shù)據(jù)信息的工業(yè)協(xié)議信息進行驗證��,進一步驗證數(shù)據(jù)的安全性,只有與自身保存的各工業(yè)協(xié)議信息匹配成功的數(shù)據(jù)才能進行后續(xù)處理����,因此該方法提高了數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0049]在本發(fā)明實施中為了增加數(shù)據(jù)傳輸?shù)陌踩裕⑶铱梢允棺鳛榻邮斩说慕粨Q設(shè)備可以對作為發(fā)送端的設(shè)備的身份進行認證��,在本發(fā)明實施例中����,當(dāng)作為發(fā)送端的其他設(shè)備向作為接收端的交換設(shè)備發(fā)送數(shù)據(jù)時,該發(fā)送端的其他設(shè)備對該數(shù)據(jù)進行處理后�����,再進行發(fā)送�。
[0050]具體的,作為發(fā)送端的該其他換設(shè)備根據(jù)該待發(fā)送的數(shù)據(jù)信息�,及自身保存的哈希算法,對該數(shù)據(jù)信息進行哈希運算�����,確定該數(shù)據(jù)信息的哈希值�����。之后根據(jù)確定的該數(shù)據(jù)信息的哈希值,及自身保存的私鑰�,對該數(shù)據(jù)信息的哈希值進行加密�����,生成數(shù)字簽名�����,之后將該數(shù)字簽名附加在該數(shù)據(jù)信息之后���。
[0051]另外�����,在本發(fā)明實施例中為了進一步增加數(shù)據(jù)傳輸?shù)陌踩?,可以使接收端能夠?qū)Πl(fā)送端的身份進行驗證�����,作為發(fā)送端的節(jié)點設(shè)備或者交換設(shè)備在發(fā)送該數(shù)據(jù)信息及其數(shù)字簽名時�����,還發(fā)送密鑰信息和與該報文的發(fā)送時間對應(yīng)的時間戳信息。
[0052]由于本發(fā)明實施例提供的該數(shù)據(jù)安全傳輸方法適用于工業(yè)以太網(wǎng)中�����,在工業(yè)以太網(wǎng)中主設(shè)備和從設(shè)備之間通過1588協(xié)議進行精確的對時��,因此可以保證每臺設(shè)備之間保持非常高時鐘同步精度�。當(dāng)該待驗證的信息為時間戳信息時,作為發(fā)送端的其他設(shè)備根據(jù)自身當(dāng)前發(fā)送該報文的時間�,將該當(dāng)前時間的時間戳信息攜帶在待發(fā)送的報文中,與該數(shù)據(jù)信息及該數(shù)據(jù)信息的數(shù)字簽名一并發(fā)送到作為接收端的交換設(shè)備��。
[0053]當(dāng)作為接收端的交換設(shè)備接收到其他設(shè)備發(fā)送的時間戳信息�、數(shù)據(jù)信息及其數(shù)字簽名時,對其進行驗證���,只有驗證通過時��,才能保證該發(fā)送端的身份是安全的����。具體的當(dāng)所述待驗證信息為時間戳信息時�,所述提取所述報文中的時間戳信息�����,對該報文進行驗證包括:
[0054]交換設(shè)備根據(jù)所述報文獲取該報文的源地址信息��,其中該源地址信息包括源IP信息或源MAC信息����;
[0055]根據(jù)所述源地址信息及自身的地址信息��,確定設(shè)備之間的鏈路延時�����;
[0056]根據(jù)所述鏈路延時���、提取的所述時間戳信息、當(dāng)前的接收時間信息及保存的時間閾值信息�����,對該報文進行驗證�。
[0057]具體的,所述根據(jù)所述鏈路延時���、提取的所述時間戳信息���、當(dāng)前的接收時間信息及保存的時間閾值信息���,對該報文進行驗證包括:
[0058]根據(jù)所述鏈路延時,提取的所述時間戳信息����,確定接收所述報文的理論時間;
[0059]判斷所述理論時間����,及當(dāng)前的接收時間信息差的絕對值是否小于所述時間閾值信
肩、O
[0060]當(dāng)交換設(shè)備接收到其他設(shè)備發(fā)送的報文時���,提取該報文包含的時間戳信息��,并記錄接收到其他設(shè)備發(fā)送的所述報文的時間(即該時間戳的接收時間�����,也是數(shù)字信息及其數(shù)字簽名的接收時間)�,獲取該報文的源地址信息����,其中該源地址信息包括源IP信息或源MAC信息�����,根據(jù)該報文的源IP信息或源MAC信息及自身的地址信息�,確定發(fā)送端的其他設(shè)備到交換機的物理鏈路����,根據(jù)精密時鐘協(xié)議計算交換設(shè)備到發(fā)送端的鏈路延時。
[0061]交換設(shè)備根據(jù)計算的該鏈路延時及提取的所述時間戳信息����,確定出理論上接收該報文的時間�����,交換設(shè)備根據(jù)理論接收時間信息與記錄接收該報文的時間差的絕對值��,可以對作為發(fā)送端的其他設(shè)備的身份進行認證����,如果該信息是攻擊設(shè)備非法獲取的,則該理論接收時間信息與記錄接收該報文的時間差的絕對值一定不小于設(shè)定的閾值��,相反如果該其他設(shè)備具有發(fā)送該報文的權(quán)限,則該理論接收時間信息與記錄接收該報文的時間差的絕對值小于設(shè)定的閾值��。
[0062]或者��,交換設(shè)備根據(jù)計算的該鏈路延時及記錄的接收所述報文的時間�����,確定出理論上其他設(shè)備發(fā)送該報文的時間�����,交換設(shè)備根據(jù)該報文的理論發(fā)送時間信息與提取的該時間戳信息差的絕對值����,也可以對作為發(fā)送端的其他設(shè)備的身份進行認證,如果該信息是攻擊設(shè)備非法獲取的�����,則該報文的理論發(fā)送時間信息與提取的該時間戳信息差的絕對值一定不小于設(shè)定的閾值����,相反如果該其他設(shè)備具有發(fā)送該報文的權(quán)限,則報文的理論發(fā)送時間信息與提取的該時間戳信息差的絕對值小于設(shè)定的閾值����。
[0063]圖2為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸?shù)囊粋€詳細實施過程示意圖�����,該過程包括以下步驟:
[0064]S201:交換設(shè)備接收其他設(shè)備發(fā)送的報文�,其中所述報文中包括數(shù)據(jù)信息����、其數(shù)字簽名和時間戳信息。
[0065]具體的�����,其他設(shè)備根據(jù)待發(fā)送的數(shù)據(jù)信息�,及自身保存的哈希算法,對該數(shù)據(jù)信息進行哈希運算��,確定該數(shù)據(jù)信息的哈希值���,根據(jù)確定的該數(shù)據(jù)信息的哈希值,及自身保存的私鑰���,對該數(shù)據(jù)信息的哈希值進行加密��,生成數(shù)字簽名�����,之后將該數(shù)字簽名附加在該數(shù)據(jù)信息之后��,根據(jù)自身當(dāng)前發(fā)送該數(shù)據(jù)的時間��,將該當(dāng)前時間的時間戳信息攜帶在待發(fā)送的報文中�����,與該數(shù)據(jù)信息及該數(shù)據(jù)信息的數(shù)字簽名一并發(fā)送到作為接收端的交換設(shè)備����。
[0066]S202:交換設(shè)備根據(jù)所述報文獲取該報文的源地址信息,其中該源地址信息包括源IP信息或源MAC信息���。
[0067]S203:交換設(shè)備根據(jù)所述源地址信息及自身的地址信息���,確定設(shè)備之間的鏈路延時。
[0068]S204:根據(jù)所述鏈路延時�,提取的所述時間戳信息,確定接收所述報文的理論時間����。
[0069]S205:判斷該理論時間與當(dāng)前的接收時間信息差的絕對值是否小于設(shè)定的閾值����,當(dāng)判斷結(jié)果為是時�����,進行步驟S206��,否則��,確定該數(shù)報文不安全�����,將該報文丟棄��。
[0070]S206:根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密���,獲得其對應(yīng)的哈希值,并對該數(shù)據(jù)信息進行哈希運算�,確定該數(shù)據(jù)信息的哈希值。
[0071]S207:將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較��,判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值是否一致,當(dāng)判斷結(jié)果為是時��,進行步驟S208��,否則���,確定該報文不安全�����,將該報文丟棄�����。
[0072]S208:提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息��,將提取的該工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配���,當(dāng)匹配成功時,進行步驟S209���,否則�,確定該數(shù)據(jù)信息不安全,將該報文丟棄���。
[0073]S209:處理該報文的數(shù)據(jù)信息����。
[0074]另外�,在本發(fā)明實施例中該其他設(shè)備向交換設(shè)備發(fā)送的數(shù)據(jù)中攜帶的待驗證信息還可以包括密鑰信息。具體的��,該作為發(fā)送端的其他設(shè)備根據(jù)該待發(fā)送的數(shù)據(jù)信息�����,及自身保存的哈希算法�����,對該數(shù)據(jù)信息進行哈希運算�����,確定該數(shù)據(jù)信息的哈希值�。之后根據(jù)確定的該數(shù)據(jù)信息的哈希值,及自身保存的私鑰�,對該數(shù)據(jù)信息的哈希值進行加密�����,生成數(shù)字簽名,之后將該數(shù)字簽名附加在該數(shù)據(jù)信息之后���。
[0075]作為發(fā)送端的其他設(shè)備為了增加數(shù)據(jù)傳輸?shù)陌踩?��,根?jù)自身保存的非對稱(AES)密鑰,對該數(shù)據(jù)信息及其數(shù)字簽名進行加密�。在本發(fā)明實施例中該密鑰信息即該非對稱密鑰。其他設(shè)備發(fā)送的密鑰信息�����、數(shù)據(jù)信息及該數(shù)據(jù)信息的數(shù)字簽名�����,可以以明文的形式傳輸�,而為了數(shù)據(jù)傳輸?shù)陌踩裕鲜鲂畔⒁部梢圆捎霉€對上述信息進行加密后傳輸��。即其他設(shè)備將加密后的數(shù)據(jù)信息及其數(shù)字簽名及該非對稱密鑰采用自身保存的公鑰進行加密后����,發(fā)送到交換設(shè)備�。
[0076]當(dāng)該待驗證信息為密鑰信息時�,所述根據(jù)自身保存的驗證信息,交換設(shè)備對該待驗證信息進行驗證包括:
[0077]所述交換設(shè)備根據(jù)自身保存的私鑰����,對接收到的報文進行解密;
[0078]識別解密后的該報文中的密鑰信息�;
[0079]判斷該密鑰信息是否能夠?qū)υ摂?shù)據(jù)信息及其數(shù)字簽名進行解密。
[0080]為了增加工業(yè)以太網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩?,并能夠?qū)Πl(fā)送端的身份進行驗證,在本發(fā)明實施例中發(fā)送端還可以在進行數(shù)據(jù)發(fā)送時���,將待驗證的密鑰信息攜帶在數(shù)據(jù)中����,與該數(shù)據(jù)信息及數(shù)據(jù)信息的數(shù)字簽名一并發(fā)送到作為接收端的交換設(shè)備���。
[0081]當(dāng)交換設(shè)備接收到上述信息后�����,如果上述信息以加密方式傳輸�����,則交換設(shè)備首先根據(jù)自身保存的私鑰�,對上述信息進行解密,解密后獲得該密鑰信息��、數(shù)據(jù)信息及該數(shù)據(jù)信息的數(shù)字簽名����。
[0082]交換設(shè)備在解密后的信息中識別密鑰信息��,對該密鑰信息進行驗證���,該交換設(shè)備首先判斷該密鑰信息是否能夠?qū)用芎蟮臄?shù)據(jù)信息及其數(shù)字簽名進行解密�����,當(dāng)該密鑰信息能夠?qū)υ摂?shù)據(jù)信息及其數(shù)字簽名進行驗證時�����,則確定該發(fā)送端的身份認證通過����。
[0083]另外,在本發(fā)明實施例中為了進一步增加數(shù)據(jù)傳輸?shù)目煽啃?���,交換設(shè)備還進一步根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密,獲得其對應(yīng)的哈希值��,并對該數(shù)據(jù)信息進行哈希運算�,確定該數(shù)字信息的哈希值;將數(shù)字信息的哈希值及解密后獲得的哈希值進行比較��;當(dāng)數(shù)字信息的哈希值及解密后獲得的哈希值一致時��,則對發(fā)送端的身份驗證通過��,否貝U����,確定發(fā)送該報文的其他設(shè)備不安全,將該報文丟棄���。
[0084]圖3為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸?shù)牧硪辉敿殞嵤┻^程示意圖��,該過程包括以下步驟:
[0085]S301:交換設(shè)備接收其他設(shè)備發(fā)送的報文�,其中所述報文中包括數(shù)據(jù)信息��、其數(shù)字簽名和密鑰信息。
[0086]具體的�,其他設(shè)備根據(jù)待發(fā)送的數(shù)據(jù)信息,及自身保存的哈希算法�����,對該數(shù)據(jù)信息進行哈希運算�,確定該數(shù)據(jù)信息的哈希值,根據(jù)確定的該數(shù)據(jù)信息的哈希值�,及自身保存的私鑰�,對該數(shù)據(jù)信息的哈希值進行加密,生成數(shù)字簽名�,之后將該數(shù)字簽名附加在該數(shù)據(jù)信息之后,根據(jù)自身保存的非對稱AES密鑰���,對該數(shù)據(jù)信息及其數(shù)字簽名進行加密���,采用自身保存的私鑰,對該非對稱AES密鑰及加密后的數(shù)據(jù)信息及其數(shù)字簽名進行加密��,并將加密后的信息發(fā)送到交換設(shè)備�����。
[0087]S302:交換設(shè)備根據(jù)自身保存的公鑰,對接收到的加密后的數(shù)據(jù)進行解密����,獲得非對稱AES密鑰,及加密后的數(shù)據(jù)信息及其數(shù)字簽名�����。
[0088]S303:采用該非對稱AES密鑰對加密后的數(shù)據(jù)信息及其數(shù)字簽名信息進行解密�����,判斷非對稱AES密鑰是否能夠?qū)υ摂?shù)據(jù)信息及其數(shù)字簽名進行解密����,當(dāng)能夠解密時,進行步驟S304�����,否則����,確定該數(shù)據(jù)信息不安全,將該報文丟棄。
[0089]S304:根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密�����,獲得其對應(yīng)的哈希值����,并對該數(shù)據(jù)信息進行哈希運算,確定該數(shù)據(jù)信息的哈希值��。
[0090]S305:將數(shù)據(jù)信息的哈希值及解密后獲得的哈希值進行比較��,判斷數(shù)據(jù)信息的哈希值及解密后獲得的哈希值是否一致����,當(dāng)判斷結(jié)果為是時���,進行步驟S306����,否則�,確定該數(shù)據(jù)信息不安全,將該報文丟棄����。
[0091]S306:提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息��。[0092]S307:將提取的該工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配�����,當(dāng)匹配成功時�����,進行步驟S308�,否則���,確定該數(shù)據(jù)信息不安全��,將該報文丟棄
[0093]S308:處理該報文的數(shù)據(jù)信息����。
[0094]在本發(fā)明實施中為了進一步增加數(shù)據(jù)傳輸?shù)陌踩?���,降低?shù)據(jù)明文傳輸存在的風(fēng)險,其他設(shè)備在確定了數(shù)據(jù)信息的數(shù)字簽名后����,根據(jù)自身保存的非對稱AES密鑰����,對該數(shù)據(jù)信息及其數(shù)字簽名進行加密����,采用自身保存的公鑰,對該非對稱AES密鑰及加密后的數(shù)據(jù)信息及其數(shù)字簽名進行加密����,之后,根據(jù)自身當(dāng)前發(fā)送該報文的時間��,將該當(dāng)前時間的時間戳信息攜帶在待發(fā)送的報文中��,將該時間戳信息一并發(fā)送到交換設(shè)備�����。
[0095]當(dāng)交換設(shè)備接收到該一并發(fā)送到的報文后����,識別該報文中的時間戳信息��,根據(jù)接收該報文的時間,及與作為發(fā)送端的其他設(shè)備之間的鏈路延時����,確定該其他設(shè)備的理論發(fā)送時間信息,根據(jù)確定的該理論發(fā)送時間信息及該時間戳信息�����,對該發(fā)送端的身份進行驗證�,當(dāng)驗證通過時,根據(jù)自身保存的私鑰��,對接收到的加密后的信息進行解密����,獲得非對稱AES密鑰,及加密后的數(shù)據(jù)信息及其數(shù)字簽名信息����。采用該非對稱AES密鑰對加密后的數(shù)據(jù)信息及其數(shù)字簽名信息進行解密,根據(jù)是否能夠解密成功進一步對該發(fā)送端的身份進行驗證���,從而提高數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0096]當(dāng)驗證通過時�,該交換設(shè)備還可以根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密�,獲得其對應(yīng)的哈希值���,并對該數(shù)據(jù)信息進行哈希運算,確定該數(shù)字信息的哈希值����;將數(shù)字信息的哈希值及解密后獲得的哈希值進行比較;判斷數(shù)字信息的哈希值及解密后獲得的哈希值是否一致�����,來再一次的對該報文發(fā)送端身份的安全性進行驗證�����,進一步提高了數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0097]另外�����,為了進一步提高在工業(yè)以太網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩?����,結(jié)合工業(yè)以太網(wǎng)組網(wǎng)模式的特點��,對發(fā)送端的身份驗證通過后����,本發(fā)明還通過數(shù)據(jù)信息的工業(yè)協(xié)議信息對數(shù)據(jù)信息的安全性進行驗證,所述工業(yè)協(xié)議信息包括:工業(yè)協(xié)議類型特征碼和工業(yè)協(xié)議關(guān)鍵字�����;
[0098]所述將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配包括:
[0099]提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼���,將提取的所述工業(yè)協(xié)議類型特征碼�����,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配�;當(dāng)匹配成功時���,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字��;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配����;或���,
[0100]提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字��;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配��,當(dāng)匹配成功時�,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼,將提取的所述工業(yè)協(xié)議類型特征碼����,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配。
[0101]具體的���,交換設(shè)備在通過密鑰信息和時間戳信息對發(fā)送所述報文的其他設(shè)備的身份進行第一次驗證��,和通過對解密后的數(shù)據(jù)信息進行哈希運算并與該報文包含的哈希值進行比較完成的第二次身份驗證之后����,提取該數(shù)據(jù)信息的工業(yè)協(xié)議類型特征碼和工業(yè)協(xié)議關(guān)鍵字�����,在在自身保存的工業(yè)協(xié)議類型特征碼庫和工業(yè)協(xié)議關(guān)鍵字庫中分別進行匹配�。其中,所述工業(yè)協(xié)議類型特征碼包括EtherCAT��、Powerlink, IEC61850G00SE�、IEC61850SV�、PROFinet, Modbus TCP 和 IEC61850MMS 等����。
[0102]圖4為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸系統(tǒng)結(jié)構(gòu)示意圖��,該系統(tǒng)包括:
[0103]其他設(shè)備41���,用于向交換設(shè)備發(fā)送報文���,其中所述報文中包括數(shù)據(jù)信息、其數(shù)字簽名����、時間戳信息和密鑰信息;
[0104]交換設(shè)備42���,用于提取所述報文中的時間戳信息��,對該報文進行驗證���,并根據(jù)保存的密鑰信息,對該報文進行驗證����;當(dāng)驗證通過時���,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密,獲得其對應(yīng)的哈希值�����,并對該數(shù)據(jù)信息進行哈希運算�����,確定該數(shù)據(jù)信息的哈希值�����;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較���;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時���,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配����;當(dāng)匹配成功時�,處理該數(shù)據(jù)信息���。
[0105]圖5為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸裝置的結(jié)構(gòu)示意圖�,該裝置包括:
[0106]接收模塊51�,用于接收其他設(shè)備發(fā)送的報文��,其中所述報文中包括數(shù)據(jù)信息���、其數(shù)字簽名��、時間戳信息和密鑰信息�;
[0107]驗證模塊52��,用于提取所述報文中的時間戳信息����,對該報文進行驗證,并根據(jù)保存的密鑰信息�����,對該報文進行驗證;當(dāng)驗證通過時�,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密,獲得其對應(yīng)的哈希值����,并對該數(shù)據(jù)信息進行哈希運算,確定該數(shù)據(jù)信息的哈希值���;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較�����;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時�,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息���;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配����;
[0108]處理模塊53��,用于當(dāng)匹配成功時��,處理該數(shù)據(jù)信息�。
[0109]所述驗證模塊52,具體用于根據(jù)所述報文獲取該報文的源地址信息,其中該源地址信息包括源IP信息或源MAC信息���;根據(jù)所述源地址信息及自身的地址信息�����,確定設(shè)備之間的鏈路延時�����;根據(jù)所述鏈路延時��、提取的所述時間戳信息、當(dāng)前的接收時間信息及保存的時間閾值信息�,對該報文進行驗證。
[0110]所述驗證模塊52���,具體用于根據(jù)所述鏈路延時�,提取的所述時間戳信息����,確定接收所述報文的理論時間;判斷所述理論時間����,及當(dāng)前的接收時間信息差的絕對值是否小于所述時間閾值信息��。
[0111]所述驗證模塊52����,具體用于提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼���,將提取的所述工業(yè)協(xié)議類型特征碼��,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配���;當(dāng)匹配成功時,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字����;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配;或���,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字��;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配����,當(dāng)匹配成功時,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼���,將提取的所述工業(yè)協(xié)議類型特征碼�����,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配�。
[0112]該裝置位于接收端設(shè)備中����。
[0113]圖6為本發(fā)明實施例提供的一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸裝置的結(jié)構(gòu)示意圖,該裝置包括:
[0114]第一加密模塊61���,用于根據(jù)待發(fā)送的數(shù)據(jù)信息�,及保存的哈希算法��,確定該數(shù)據(jù)白名單的哈希值�����;[0115]第二加密模塊62�,用于根據(jù)確定的該數(shù)據(jù)信息的哈希值及自身保存的私鑰�����,確定該數(shù)據(jù)信息的數(shù)字簽名;
[0116]發(fā)送模塊63���,用于根據(jù)當(dāng)前的發(fā)送時間信息���,將當(dāng)前的時間戳攜帶在數(shù)據(jù)中,與該數(shù)據(jù)信息及其數(shù)字簽名一起發(fā)送給其它裝置�����;或根據(jù)該數(shù)據(jù)信息及確定的該數(shù)據(jù)信息的數(shù)字簽名����,采用保存的非對稱密鑰對該數(shù)據(jù)信息及其數(shù)字簽名加密,將加密后的數(shù)據(jù)信息及其數(shù)字簽名連同該非對稱密鑰加密后發(fā)送給其它裝置�����。
[0117]該裝置位于發(fā)送端設(shè)備中�。
[0118]本發(fā)明實施例提供了一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法、系統(tǒng)及裝置����,該方法中交換設(shè)備接收其他設(shè)備發(fā)送的報文��,其中所述報文中包括數(shù)據(jù)信息��、其數(shù)字簽名����、時間戳信息和密鑰信息���;提取所述報文中的時間戳信息��,對該報文進行驗證�����,并根據(jù)保存的密鑰信息�����,對該報文進行驗證����;當(dāng)驗證通過時��,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密���,獲得其對應(yīng)的哈希值�����,并對該數(shù)據(jù)信息進行哈希運算�,確定該數(shù)據(jù)信息的哈希值�����;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較��;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時�����,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息��;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配�����;當(dāng)匹配成功時�,處理該數(shù)據(jù)信息。由于在本發(fā)明實施例中交換設(shè)備根據(jù)自身保存的驗證信息對接收到的數(shù)據(jù)信息進行信息驗證�,并通過工業(yè)協(xié)議信息的匹配識別對該數(shù)據(jù)信息進行二次驗證����,從而達到對報文數(shù)據(jù)信息的安全性進行驗證的目的��,因此�����,該方法提高了工業(yè)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩浴?br>
[0119]本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白���,本申請的實施例可提供為方法��、系統(tǒng)�����、或計算機程序產(chǎn)品��。因此��,本申請可采用完全硬件實施例���、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式����。而且,本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器��、CD-ROM���、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式��。
[0120]本申請是參照根據(jù)本申請實施例的方法����、設(shè)備(系統(tǒng))�����、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的��。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框�����、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合���?���?商峁┻@些計算機程序指令到通用計算機、專用計算機�����、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器���,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置����。
[0121]這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中���,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品���,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0122]這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上����,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟��。
[0123]盡管已描述了本申請的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念��,則可對這些實施例做出另外的變更和修改��。所以��,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本申請范圍的所有變更和修改�。
[0124] 顯然����,本領(lǐng)域的技術(shù)人員可以對本申請進行各種改動和變型而不脫離本申請的精神和范圍。這樣���,倘若本申請的這些修改和變型屬于本申請權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�����,則本申請也意圖包含這些改動和變型在內(nèi)���。
【權(quán)利要求】
1.一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸方法,其特征在于��,所述方法包括: 交換設(shè)備接收其他設(shè)備發(fā)送的報文��,其中所述報文中包括數(shù)據(jù)信息、其數(shù)字簽名�、時間戳信息和密鑰信息; 提取所述報文中的時間戳信息����,對該報文進行驗證,并根據(jù)保存的密鑰信息��,對該報文進行驗證��; 當(dāng)驗證通過時��,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密�,獲得其對應(yīng)的哈希值,并對該數(shù)據(jù)信息進行哈希運算�����,確定該數(shù)據(jù)信息的哈希值��; 將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較�����; 當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時��,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息; 將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配�; 當(dāng)匹配成功時,處理該數(shù)據(jù)信息�����。
2.如權(quán)利要求1所述的方法�,其特征在于�,所述提取所述報文中的時間戳信息,對該報文進行驗證包括: 交換設(shè)備根據(jù)所述報文獲取該報文的源地址信息�,其中該源地址信息包括源IP信息或源MAC信息; 根據(jù)所述源地址信息及自身的地址信息�����,確定設(shè)備之間的鏈路延時���; 根據(jù)所述鏈路延時���、提取的所述時間戳信息、當(dāng)前的接收時間信息及保存的時間閾值信息��,對該報文進行驗證��。
3.如權(quán)利要求2所述的方法,其特征在于�,所述根據(jù)所述鏈路延時、提取的所述時間戳信息����、當(dāng)前的接收時間信息及保存的時間閾值信息,對該報文進行驗證包括: 根據(jù)所述鏈路延時���,提取的所述時間戳信息�,確定接收所述報文的理論時間����; 判斷所述理論時間,及當(dāng)前的接收時間信息差的絕對值是否小于所述時間閾值信息����。
4.如權(quán)利要求1所述的方法,其特征在于�����,所述根據(jù)保存的密鑰信息�,對該報文進行驗證包括: 所述交換設(shè)備根據(jù)自身保存的私鑰,對接收到的報文進行解密��; 識別解密后的該報文中的密鑰信息; 判斷該密鑰信息是否能夠?qū)υ摂?shù)據(jù)信息及其數(shù)字簽名進行解密����。
5.如權(quán)利要求1所述的方法,其特征在于����,所述工業(yè)協(xié)議信息包括:工業(yè)協(xié)議類型特征碼和工業(yè)協(xié)議關(guān)鍵字; 所述將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配包括: 提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼����,將提取的所述工業(yè)協(xié)議類型特征碼,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配�����;當(dāng)匹配成功時���,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配����;或, 提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字��;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配,當(dāng)匹配成功時����,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼,將提取的所述工業(yè)協(xié)議類型特征碼�����,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配����。
6.一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸系統(tǒng),其特征在于�,所述系統(tǒng)包括:其他設(shè)備,用于向交換設(shè)備發(fā)送報文�,其中所述報文中包括數(shù)據(jù)信息、其數(shù)字簽名�、時間戳信息和密鑰信息 ; 交換設(shè)備�����,用于提取所述報文中的時間戳信息�����,對該報文進行驗證,并根據(jù)保存的密鑰信息�,對該報文進行驗證;當(dāng)驗證通過時���,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密����,獲得其對應(yīng)的哈希值�,并對該數(shù)據(jù)信息進行哈希運算,確定該數(shù)據(jù)信息的哈希值����;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時�,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配;當(dāng)匹配成功時,處理該數(shù)據(jù)信息���。
7.一種基于工業(yè)以太網(wǎng)的數(shù)據(jù)安全傳輸裝置�����,其特征在于����,所述裝置包括: 接收模塊,用于接收其他設(shè)備發(fā)送的報文�,其中所述報文中包括數(shù)據(jù)信息、其數(shù)字簽名��、時間戳信息和密鑰信息����; 驗證模塊,用于提取所述報文中的時間戳信息����,對該報文進行驗證,并根據(jù)保存的密鑰信息���,對該報文進行驗證��;當(dāng)驗證通過時�,根據(jù)自身保存的公鑰對該數(shù)字簽名進行解密�����,獲得其對應(yīng)的哈希值,并對該數(shù)據(jù)信息進行哈希運算��,確定該數(shù)據(jù)信息的哈希值�;將該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值進行比較;當(dāng)判斷該數(shù)據(jù)信息的哈希值與解密后獲得的哈希值一致時���,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議信息�����;將提取的所述工業(yè)協(xié)議信息與自身保存的各工業(yè)協(xié)議信息進行匹配��; 處理模塊����,用于當(dāng)匹配成功時�,處理該數(shù)據(jù)信息。
8.如權(quán)利要求7所述的裝置����,其特征在于,所述驗證模塊�����,具體用于根據(jù)所述報文獲取該報文的源地址信息��,其中該源地址信息包括源IP信息或源MAC信息��;根據(jù)所述源地址信息及自身的地址信息�����,確定設(shè)備之間的鏈路延時���;根據(jù)所述鏈路延時�、提取的所述時間戳信息����、當(dāng)前的接收時間信息及保存的時間閾值信息,對該報文進行驗證�����。
9.如權(quán)利要求7所述的裝置����,其特征在于,所述驗證模塊���,具體用于根據(jù)所述鏈路延時���,提取的所述時間戳信息���,確定接收所述報文的理論時間;判斷所述理論時間�,及當(dāng)前的接收時間信息差的絕對值是否小于所述時間閾值信息。
10.如權(quán)利要求7所述的裝置���,其特征在于���,所述工業(yè)協(xié)議信息包括:工業(yè)協(xié)議類型特征碼和工業(yè)協(xié)議關(guān)鍵字;所述驗證模塊��,具體用于提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼�,將提取的所述工業(yè)協(xié)議類型特征碼,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配�����;當(dāng)匹配成功時�����,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配���;或,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議關(guān)鍵字��;將提取的所述工業(yè)協(xié)議關(guān)鍵字與自身保存的各工業(yè)協(xié)議關(guān)鍵字進行匹配�,當(dāng)匹配成功時,提取所述數(shù)據(jù)信息中的工業(yè)協(xié)議類型特征碼�,將提取的所述工業(yè)協(xié)議類型特征碼,與自身保存的各工業(yè)協(xié)議類型特征碼進行匹配���。
【文檔編號】H04L29/06GK103581173SQ201310412456
【公開日】2014年2月12日 申請日期:2013年9月11日 優(yōu)先權(quán)日:2013年9月11日
【發(fā)明者】丁杰, 孔勇, 馬化一, 仁參考, 李碩, 張儉鋒, 薛百華 申請人:北京東土科技股份有限公司