一种实现PLC数据安全传输的即插即用控制方法及系统

技术领域

本发明涉及一种实现PLC数据安全传输的即插即用控制方法及系统，属于PLC数据通讯技术领域。

背景技术

PLC是一种具有微处理器的用于自动化控制的数字运算控制器，由CPU、指令及数据内存、输入/输出接口、电源、数字模拟转换等功能单元组成。随着工业物联网技术的应用与发展，PLC通信联网功能正在被广泛使用。工业物联网应用中，PLC设备之间、PLC与上位机或者其他设备之间进行数据交换，实现各种远程控制应用。这些通过PLC实现交互的数据都是重要的工业控制数据，需要对数据实现安全防御，保障数据传输的安全可靠。

中国专利(公开号CN205389215U)公开了一种基于双网口的PLC数据采集及加解密系统，能够保障电机运行数据的安全传输。所述系统包括：与加密模块成对定制的解密模块、上位机、双网口数据采集加密模块、PLC模块以及接入PLC模块的电机，其中，所述双网口数据采集加密模块包括：加密模块；所述PLC模块，用于获取电机的运行数据；所述双网口数据采集加密模块，用于采集所述PLC模块获取到的电机运行数据并通过加密模块对电机运行数据进行加密，同时将加密后的电机运行数据上传至所述上位机；所述上位机，用于接收加密后的电机运行数据，并结合解密模块对加密后的电机运行数据进行解密并显示。

但上述方案没有公开具体的加密和解密方法，导致PLC数据的加解密无法实现，影响PLC数据传输的安全。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种采用IPK标识公钥技术及IPK密钥管理系统，对PLC数据进行加解密，方案详尽，切实可行，进而实现PLC数据安全传输的即插即用控制方法及系统。

为实现上述目的，本发明的技术方案为：

一种实现PLC数据安全传输的即插即用控制方法，

采用IPK标识公钥技术及IPK密钥管理系统，对PLC数据进行加解密；

其包括：

步骤一，构建PLC模块，用于与PLC设备即插即用连接，并能够获取PLC设备采集的数据；

步骤二，建立控制中心系统，用于与PLC模块通讯；

步骤三，对PLC模块与控制中心系统分别签发标识私钥ipvkA与私钥ipvkB，且分别存储于PLC模块、控制中心系统中；

步骤四，基于IPK标识公钥技术，PLC模块向控制中心系统发送数据，实现双向认证，密钥协商，建立数据传输的安全通道；

步骤五，PLC数据将在建立的安全通道中进行安全交互，实现PLC数据的加解密。

本发明经过不断探索以及试验，采用IPK标识公钥技术及IPK密钥管理系统，对PLC数据进行加解密，进而实现PLC数据安全传输，方案详尽，切实可行。

进一步，本发明采用了IPK标识公钥技术，与传统的PKI证书认证方式不同，IPK直接将标识作为密钥计算因子，在本地完成公钥计算，无须依赖中心，即可高效、快速实现点对点加密。通过IPK密钥管理系统，可对远程站点的PLC模块与控制中心系统签发标识私钥ipvkA和ipvkB，远程站点的PLC模块与控制中心系统接入IPK SDK后，可基于各自标识，在本地计算生成标识公钥ipukA与ipukB，安全可靠。

更一步，本发明的控制方法可以与PLC设备进行快速部署，即插即用，无需对现有设备进行更改，即可实现数据的安全传输，方便快捷，利于推广使用。

作为优选技术措施：

PLC模块向控制中心系统发送数据的具体流程如下：

第一步，PLC模块发送连接请求给控制中心系统；

第二步，控制中心系统将自己的标识idB，以及其他相关信息发送PLC模块；

第三步，PLC模块使用标识idb本地计算获得控制中心系统的标识公钥ipukB，同时产生随机数r，制作数字信封β；

第四步，PLC模块使用标识私钥ipvkA制作时间戳tA，并将随机数r、PLC模块的标识idA、时间戳tA、数字信封β以及其他参数发送控制中心系统；

第五步，控制中心系统接收PLC模块发送的相关信息，使用idA计算获得PLC模块的标识公钥ipukA，并验证时间戳tA，验证通过，则进行下一步；验证不通过，停止；

第六步，控制中心系统使用标识私钥ipvkB解开数字信封β，获得随机数R，R与r比较，若R＝r，则进行下一步，否则停止；

第七步，控制中心系统发送连接请求给PLC模块；

第八步，PLC模块将自己的标识idA，以及其他相关信息发送控制中心系统；

第九步，控制中心系统使用标识idA本地计算获得PLC模块的标识公钥ipukA，同时产生随机数r′，制作数字信封β′；

第十步，控制中心系统使用标识私钥ipvkB制作时间戳tB，并将随机数r′、控制中心系统的标识idB、时间戳tB、数字信封β′以及其他参数发送远程站点PLC安全模块PLC模块；

第十一步，PLC模块接收到控制中心系统发送的相关信息，使用idB计算获得控制中心系统的标识公钥ipukB，验证时间戳tB，验证通过，则进行下一步；验证不通过，停止；

第十二步，PLC模块使用标识私钥ipvkA解开数字信封β′，获得随机数R′，R′与r′比较，若R′＝r′，则PLC模块与控制中心系统之间建立安全通道，否则停止；；

第十三步，PLC模块将随机数r作为加密密钥，将发送至控制中心系统的数据进行加密，将密文数据EA(data)发送至控制中心系统；

第十四步，控制中心系统收到密文数据EA(data)，使用随机数r解密后使用；

第十五步，控制中心系统将随机数r′作为加密密钥，将发送至A的数据进行加密，将密文数据EB(data)发送至PLC模块；

第十六步，PLC模块收到密文数据EB(data)，使用随机数r′解密后使用。

本发明方案详尽，切实可行，利于编程实现。

作为优选技术措施：

所述即插即用连接的方式为：

将PLC模块的485接口与PLC设备的485接口连接，同时，选择PLC模块的LAN1或LAN2口通过网线与控制中心系统连接，通过PLC模块将PLC设备采集的数据进行安全传输。

作为优选技术措施：

所述即插即用连接的方式为：

将PLC模块的LAN1口与PLC设备的LAN口连接，同时，将PLC模块的LAN2口通过网线与控制中心系统连接，通过PLC模块将PLC设备采集的数据进行安全传输。

作为优选技术措施：

还包括对接入PLC设备的MAC进行判断：

PLC模块事先绑定PLC设备的MAC信息，在接入前对接入PLC设备的MAC进行验证判断，MAC验证通过后，PLC设备才允许接入PLC模块进行安全通讯，否则禁止通讯。

应用上述的一种实现PLC数据安全传输的即插即用控制方法的系统：

一种实现PLC数据安全传输的即插即用控制系统，

包括能够获取PLC待传输数据的PLC模块，

所述PLC模块为软件形态产品或硬件形态产品；

所述软件形态产品通过对PLC进行内嵌式开发定制，从而实现PLC自带安全加密功能；

所述硬件形态产品是独立于PLC的单独的安全模块。

本发明的PLC模块，采用IPK标识公钥技术及IPK密钥管理系统，对PLC数据进行加解密，进而实现PLC数据安全传输，切实可行。

进一步，本发明的PLC模块可以与PLC设备进行快速部署，即插即用，无需对现有设备进行更改，即可实现数据的安全传输，方便快捷，利于推广使用。

作为优选技术措施：

所述安全模块包括处理器MCU、存储器、安全芯片，

所述安全芯片为支持国密算法SM2的专用密码芯片。

作为优选技术措施：

所述安全模块设有485接口、至少两个LAN口、USB接口与电源接口。

作为优选技术措施：所述安全模块设置扩展通信接口，能够支持4G\5G\WAN的通讯模块扩展。

作为优选技术措施：所述安全模块为工业级产品，其工作温度为-20-85℃，环境湿度温度为5-95％，防护等级IP40。

与现有技术相比，本发明具有以下有益效果：

本发明经过不断探索以及试验，采用IPK标识公钥技术及IPK密钥管理系统，对PLC数据进行加解密，进而实现PLC数据安全传输，方案详尽，切实可行。

进一步，本发明采用了IPK标识公钥技术，与传统的PKI证书认证方式不同，IPK直接将标识作为密钥计算因子，在本地完成公钥计算，无须依赖中心，即可高效、快速实现点对点加密。通过IPK密钥管理系统，可对远程站点的PLC模块与控制中心系统签发标识私钥ipvkA和ipvkB，远程站点的PLC模块与控制中心系统接入IPK SDK后，可基于各自标识，在本地计算生成标识公钥ipukA与ipukB，安全可靠。

更一步，本发明的控制方法可以与PLC设备进行快速部署，即插即用，实现数据的安全传输，方便快捷。

附图说明

图1为本发明PLC模块向控制中心系统发送数据的具体流程图；

图2为本发明PLC模块与PLC设备485接口集成方式示意图；

图3为本发明PLC模块与PLC设备LAN口串联方式示意图；

图4为本发明安全模块产品结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

相反，本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步，为了使公众对本发明有更好的了解，在下文对本发明的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。

一种实现PLC数据安全传输的即插即用控制方法，

采用IPK标识公钥技术及IPK密钥管理系统，对PLC数据进行加解密；

其包括：

步骤一，构建PLC模块，用于与PLC设备的即插即用连接，并获取PLC设备采集的数据；

步骤二，建立控制中心系统，用于与PLC模块通讯；

步骤三，对PLC模块与控制中心系统分别签发标识私钥ipvkA与私钥ipvkB，且分别存储于PLC模块、控制中心系统的安全模块中；

步骤四，基于IPK标识公钥技术，PLC模块向控制中心系统发送数据，实现双向认证，密钥协商，建立数据传输的安全通道；

步骤五，PLC数据将在建立的安全通道中进行安全交互，实现PLC数据的加解密。

本发明经过不断探索以及试验，采用IPK标识公钥技术及IPK密钥管理系统，对PLC数据进行加解密，进而实现PLC数据安全传输，方案详尽，切实可行。

进一步，本发明采用了IPK标识公钥技术，与传统的PKI证书认证方式不同，IPK直接将标识作为密钥计算因子，在本地完成公钥计算，无须依赖中心，即可高效、快速实现点对点加密。通过IPK密钥管理系统，可对远程站点的PLC模块与控制中心系统签发标识私钥ipvkA和ipvkB，远程站点的PLC模块与控制中心系统接入IPK SDK后，可基于各自标识，在本地计算生成标识公钥ipukA与ipukB，安全可靠。

更一步，本发明的控制方法可以与PLC设备进行快速部署，即插即用，实现数据的安全传输，方便快捷。

如图1所示，本发明发送数据的一种具体实施例：

远程站点的PLC模块A向控制中心系统B发送数据的具体流程如下：

第一步，A发送连接请求给B；

第二步，B将自己的标识id

第三步，A使用标识id

第四步，A使用标识私钥ipvk

第五步，B接收A发送的相关信息，使用id

第六步，B使用标识私钥ipvk

第七步，B发送连接请求给A；

第八步，A将自己的标识id

第九步，B使用标识id

第十步，B使用标识私钥ipvk

第十一步，A接收到B发送的相关信息，使用id

第十二步，A使用标识私钥ipvk

第十三步，A将随机数r作为加密密钥，将发送至B的数据进行加密，将密文数据EA(data)发送至B；

第十四步，B收到密文数据EA(data)，使用随机数r解密后使用；

第十五步，B将随机数r′作为加密密钥，将发送至A的数据进行加密，将密文数据E

第十六步，A收到密文数据E

如图2所示，本发明即插即用连接的一种具体实施例：

所述即插即用连接的方式为：

将PLC模块的485接口与PLC设备的485接口连接，同时，选择PLC模块的LAN1或LAN2口通过网线与控制中心系统连接，通过PLC模块将PLC设备采集的数据进行安全传输。

如图3所示，本发明即插即用连接的另一种具体实施例：

所述即插即用连接的方式为：

将PLC模块的LAN1口与PLC设备的LAN口连接，同时，将PLC模块的LAN2口通过网线与控制中心系统连接，通过PLC模块将PLC设备采集的数据进行安全传输。

本发明增设MAC判断的一种具体实施例：

还包括对接入PLC设备的MAC进行判断：

PLC模块事先绑定PLC设备的MAC信息，在接入前对接入PLC设备的MAC进行验证判断，MAC验证通过后，PLC设备才允许接入PLC模块进行安全通讯，否则禁止通讯。

本发明应用上述的一种实现PLC数据安全传输的即插即用控制方法的一种实施例：

一种实现PLC数据安全传输的即插即用控制系统，

包括能够获取PLC待传输数据的PLC模块，

所述PLC模块为软件形态产品或硬件形态产品；

所述软件形态产品通过对PLC进行内嵌式开发定制，从而实现PLC自带安全加密功能；

所述硬件形态产品是独立于PLC的单独的安全模块。

如图4所示，本发明安全模块的一种具体实施例：

所述安全模块包括处理器MCU、存储器、安全芯片，

所述安全芯片为支持国密算法SM2的专用密码芯片。

所述安全模块设有485接口、至少两个LAN口、USB接口与电源接口。

所述安全模块设置扩展通信接口，能够支持4G\5G\WAN的通讯模块扩展。

所述安全模块为工业级产品，其工作温度为-20-85℃，环境湿度温度为5-95％，防护等级IP40。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。