本發(fā)明屬于分散控制系統(tǒng)(distributed?control?system，dcs)領(lǐng)域，涉及可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法及相關(guān)裝置。

背景技術(shù)：

1、dcs系統(tǒng)是用于監(jiān)控和控制工業(yè)過(guò)程的自動(dòng)化系統(tǒng)。dcs系統(tǒng)由多個(gè)分布在不同位置的dcs上位機(jī)組成，這些dcs上位機(jī)通過(guò)網(wǎng)絡(luò)連接以實(shí)現(xiàn)信息的交流和協(xié)調(diào)。每個(gè)dcs上位機(jī)負(fù)責(zé)一部分設(shè)備或控制回路的控制，這種分布式架構(gòu)使得dcs系統(tǒng)具有良好的可擴(kuò)展性和靈活性。

2、隨著移動(dòng)介質(zhì)在數(shù)據(jù)傳輸中的廣泛應(yīng)用，移動(dòng)介質(zhì)與dcs上位機(jī)之間的數(shù)據(jù)傳輸也越來(lái)越頻繁，移動(dòng)介質(zhì)與dcs上位機(jī)之間數(shù)據(jù)傳輸?shù)陌踩杂葹橹匾绻麅烧咴跀?shù)據(jù)傳輸過(guò)程中數(shù)據(jù)被篡改，可能會(huì)導(dǎo)致dcs上位機(jī)出現(xiàn)故障，甚至影響整個(gè)dcs系統(tǒng)的正常運(yùn)行。

3、當(dāng)前，dcs上位機(jī)與移動(dòng)介質(zhì)的傳輸控制方案基于三級(jí)安全架構(gòu)進(jìn)行防護(hù)，通過(guò)唯一識(shí)別id、動(dòng)態(tài)加解密以及日志審計(jì)等方式實(shí)現(xiàn)，但此方法無(wú)法保證傳輸數(shù)據(jù)的準(zhǔn)確性和完整性。因此迫切需要一種可靠的安全傳輸方法來(lái)保護(hù)數(shù)據(jù)的完整性和準(zhǔn)確性。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的是提供一種可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法及相關(guān)裝置，以解決現(xiàn)有技術(shù)中移動(dòng)介質(zhì)與可信dcs上位機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)存在的數(shù)據(jù)被篡改和丟失的問(wèn)題。

2、本發(fā)明通過(guò)以下技術(shù)方案實(shí)現(xiàn)：

3、本發(fā)明提供一種可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，包括：

4、s1，當(dāng)監(jiān)測(cè)到有移動(dòng)介質(zhì)插入可信dcs上位機(jī)時(shí)，計(jì)算移動(dòng)介質(zhì)中待傳輸?shù)哪繕?biāo)文件的sm3(國(guó)密3)值并將得到的sm3值作為目標(biāo)文件初始sm3值；將所述目標(biāo)文件進(jìn)行分割，形成多個(gè)片段；計(jì)算每個(gè)片段的sm3值并將得到的sm3值作為對(duì)應(yīng)片段的片段初始sm3值，將片段初始sm3值附加到對(duì)應(yīng)片段的末尾；

5、s2，對(duì)每個(gè)片段進(jìn)行加密，加密后進(jìn)行簽名，將所有簽名后的片段傳輸至可信dcs上位機(jī)并進(jìn)行驗(yàn)簽，如果驗(yàn)簽失敗，則結(jié)束數(shù)據(jù)傳輸并產(chǎn)生告警，否則對(duì)片段進(jìn)行解密并執(zhí)行s3；

6、s3，計(jì)算每個(gè)解密后的片段的數(shù)據(jù)部分的sm3值并作為對(duì)應(yīng)片段的片段傳輸后sm3值；從片段的末尾取出片段初始sm3值，驗(yàn)證每個(gè)片段對(duì)應(yīng)的片段初始sm3值與片段傳輸后sm3值是否一致，如果存在不一致的片段初始sm3值和片段傳輸后sm3值，則結(jié)束數(shù)據(jù)傳輸并產(chǎn)生告警；否則將所有解密后的片段拼接得到傳輸后的目標(biāo)文件，計(jì)算傳輸后的目標(biāo)文件的sm3值并作為目標(biāo)文件傳輸后sm3值，驗(yàn)證目標(biāo)文件初始sm3值與目標(biāo)文件傳輸后sm3值是否一致，如果一致，則傳輸成功，否則產(chǎn)生告警。

7、優(yōu)選的，s1之前還包括：

8、s0，當(dāng)監(jiān)測(cè)到有移動(dòng)介質(zhì)插入可信dcs上位機(jī)時(shí)，將移動(dòng)介質(zhì)生成的設(shè)備文件掛載到專(zhuān)用文件路徑下，形成與設(shè)備文件對(duì)應(yīng)的文件夾；所述目標(biāo)文件為所述文件夾中的文件。

9、進(jìn)一步的，s0還包括：將所述文件夾使用root權(quán)限，對(duì)所述文件夾中的所有文件取消執(zhí)行權(quán)限。

10、進(jìn)一步的，s0還包括：使用訪問(wèn)控制列表對(duì)所述文件夾的訪問(wèn)進(jìn)行限制；

11、其中，所述訪問(wèn)控制列表中記錄有對(duì)所述移動(dòng)介質(zhì)具有訪問(wèn)權(quán)限的控制用戶的信息。

12、進(jìn)一步的，s0還包括：

13、對(duì)管理人員的管理身份進(jìn)行驗(yàn)證，如果驗(yàn)證成功，執(zhí)行s1，否則結(jié)束數(shù)據(jù)傳輸。

14、優(yōu)選的，在s1、s2和s3中，均獲取所述可信dcs上位機(jī)的可信狀態(tài)，如果所述可信dcs上位機(jī)的可信狀態(tài)由可信變?yōu)椴豢尚?，則結(jié)束數(shù)據(jù)傳輸。

15、優(yōu)選的，s2中，所述可信dcs上位機(jī)為s1中所述的可信dcs上位機(jī)或者s1中所述可信dcs上位機(jī)所屬的可信dcs系統(tǒng)中其他的可信dcs上位機(jī)。

16、本發(fā)明還提供一種可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸系統(tǒng)，包括：

17、數(shù)據(jù)處理模塊，用于當(dāng)監(jiān)測(cè)到有移動(dòng)介質(zhì)插入可信dcs上位機(jī)時(shí)，計(jì)算移動(dòng)介質(zhì)中待傳輸?shù)哪繕?biāo)文件的sm3值并將得到的sm3值作為目標(biāo)文件初始sm3值；將所述目標(biāo)文件進(jìn)行分割，形成多個(gè)片段；計(jì)算每個(gè)片段的sm3值并將得到的sm3值作為對(duì)應(yīng)片段的片段初始sm3值，將片段初始sm3值附加到對(duì)應(yīng)片段的末尾；

18、數(shù)據(jù)傳輸模塊，對(duì)每個(gè)片段進(jìn)行加密，加密后進(jìn)行簽名，將所有簽名后的片段傳輸至可信dcs上位機(jī)并進(jìn)行驗(yàn)簽，如果驗(yàn)簽失敗，則結(jié)束數(shù)據(jù)傳輸并產(chǎn)生告警，否則對(duì)片段進(jìn)行解密；

19、驗(yàn)證模塊，用于計(jì)算每個(gè)解密后的片段的數(shù)據(jù)部分的sm3值并作為對(duì)應(yīng)片段的片段傳輸后sm3值；從片段的末尾取出片段初始sm3值，驗(yàn)證每個(gè)片段對(duì)應(yīng)的片段初始sm3值與片段傳輸后sm3值是否一致，如果存在不一致的片段初始sm3值和片段傳輸后sm3值，則結(jié)束數(shù)據(jù)傳輸并產(chǎn)生告警；否則將所有解密后的片段拼接得到傳輸后的目標(biāo)文件，計(jì)算傳輸后的目標(biāo)文件的sm3值并作為目標(biāo)文件傳輸后sm3值，驗(yàn)證目標(biāo)文件初始sm3值與目標(biāo)文件傳輸后sm3值是否一致，如果一致，則傳輸成功，否則產(chǎn)生告警。

20、本發(fā)明還提供一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器中并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如上所述可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法的步驟。

21、本發(fā)明還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上所述可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法的步驟。

22、與現(xiàn)有技術(shù)相比，本發(fā)明具有如下的有益效果：

23、本發(fā)明提出了一種可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，在該方法中，對(duì)需要傳輸?shù)哪繕?biāo)文件先進(jìn)行分割并加密和簽名，然后再進(jìn)行傳輸，通過(guò)加密技術(shù)保障數(shù)據(jù)的保密性，防止數(shù)據(jù)在傳輸中被竊??；同時(shí)，對(duì)目標(biāo)文件及分割后的片段進(jìn)行sm3值驗(yàn)證，可以確保數(shù)據(jù)在傳輸過(guò)程中保持完整，防止數(shù)據(jù)被篡改或損壞，從而提高數(shù)據(jù)的完整性、準(zhǔn)確性和可靠性。因此，本發(fā)明實(shí)現(xiàn)了移動(dòng)介質(zhì)數(shù)據(jù)的安全傳輸，可以有效防范各類(lèi)安全威脅，具有重要的理論和實(shí)際意義。

24、進(jìn)一步的，本發(fā)明將與設(shè)備文件對(duì)應(yīng)的文件夾使用root權(quán)限，對(duì)所述文件夾中的所有文件取消執(zhí)行權(quán)限，可以防止其中的未知應(yīng)用程序自動(dòng)啟動(dòng)，以免對(duì)可信dcs上位機(jī)產(chǎn)生不可預(yù)知的威脅。

25、進(jìn)一步的，本發(fā)明使用訪問(wèn)控制列表對(duì)與設(shè)備文件對(duì)應(yīng)的文件夾的訪問(wèn)進(jìn)行限制，通過(guò)嚴(yán)格的訪問(wèn)控制，只有經(jīng)過(guò)授權(quán)的控制用戶才能訪問(wèn)和傳輸數(shù)據(jù)，有效防止數(shù)據(jù)被非法訪問(wèn)或?yàn)E用。

26、進(jìn)一步的，本發(fā)明在數(shù)據(jù)傳輸過(guò)程中，實(shí)時(shí)獲取可信dcs上位機(jī)的可信狀態(tài)，確保傳輸環(huán)境的安全性，當(dāng)發(fā)現(xiàn)可信dcs上位機(jī)的可信狀態(tài)由可信變?yōu)椴豢尚艜r(shí)，結(jié)束數(shù)據(jù)傳輸，以免傳輸?shù)臄?shù)據(jù)被惡意程序獲取。

27、進(jìn)一步的，本發(fā)明不但可以將移動(dòng)介質(zhì)的數(shù)據(jù)傳輸至本地的可信dcs上位機(jī)，還可以選擇將數(shù)據(jù)傳輸至可信dcs系統(tǒng)中其他的可信dcs上位機(jī)，實(shí)現(xiàn)數(shù)據(jù)共享，避免數(shù)據(jù)單獨(dú)傳輸造成的時(shí)間消耗，提高數(shù)據(jù)傳輸?shù)男省?/p>

技術(shù)特征：

1.一種可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，其特征在于，s1之前還包括：

3.根據(jù)權(quán)利要求2所述的可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，其特征在于，s0還包括：將所述文件夾使用root權(quán)限，對(duì)所述文件夾中的所有文件取消執(zhí)行權(quán)限。

4.根據(jù)權(quán)利要求2所述的可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，其特征在于，s0還包括：使用訪問(wèn)控制列表對(duì)所述文件夾的訪問(wèn)進(jìn)行限制；

5.根據(jù)權(quán)利要求2所述的可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，其特征在于，s0還包括：

6.根據(jù)權(quán)利要求1所述的可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，其特征在于，在s1、s2和s3中，均獲取所述可信dcs上位機(jī)的可信狀態(tài)，如果所述可信dcs上位機(jī)的可信狀態(tài)由可信變?yōu)椴豢尚?，則結(jié)束數(shù)據(jù)傳輸。

7.根據(jù)權(quán)利要求1所述的可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法，其特征在于，s2中，所述可信dcs上位機(jī)為s1中所述的可信dcs上位機(jī)或者s1中所述可信dcs上位機(jī)所屬的可信dcs系統(tǒng)中其他的可信dcs上位機(jī)。

8.一種可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸系統(tǒng)，其特征在于，包括：

9.一種計(jì)算機(jī)設(shè)備，其特征在于，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器中并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如權(quán)利要求1至7任意一項(xiàng)所述可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法的步驟。

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至7任意一項(xiàng)所述可信dcs上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法的步驟。

技術(shù)總結(jié)
本發(fā)明屬于分散控制系統(tǒng)領(lǐng)域，提供一種可信DCS上位機(jī)上移動(dòng)介質(zhì)數(shù)據(jù)傳輸方法及相關(guān)裝置，在本發(fā)明方法中，對(duì)需要傳輸?shù)哪繕?biāo)文件先進(jìn)行分割并加密和簽名，加密后再進(jìn)行傳輸，通過(guò)加密技術(shù)保障數(shù)據(jù)的保密性，防止數(shù)據(jù)在傳輸中被竊?。煌瑫r(shí)，對(duì)目標(biāo)文件及分割后的片段進(jìn)行SM3值驗(yàn)證，可以確保數(shù)據(jù)在傳輸過(guò)程中保持完整，防止數(shù)據(jù)被篡改或損壞，從而提高數(shù)據(jù)的完整性、準(zhǔn)確性和可靠性。因此，本發(fā)明實(shí)現(xiàn)了移動(dòng)介質(zhì)數(shù)據(jù)的安全傳輸，可以有效防范各類(lèi)安全威脅，具有重要的理論和實(shí)際意義。

技術(shù)研發(fā)人員：李卓,張昇,楊柳,趙陽(yáng),王鑫,李亞都,湯福,賈澤冰,曾亮,陳帆,張軍,柳曦,曹樺松,李博洋,項(xiàng)濤
受保護(hù)的技術(shù)使用者：西安熱工研究院有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/26