支持工控协议的传输加密装置、系统及解密装置的制作方法

本实用新型涉及工控数据加密技术领域，尤其是涉及一种支持工控协议的传输加密装置、系统及解密装置。

背景技术：

目前，超过80％的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。

工业控制系统中的终端和服务器之间或者终端和现场设备之间的工控数据一般都是明文传输的，攻击者可以通过嗅探或者中间人等攻击手段获取到传输的工控数据，进而对工控数据进行篡改，因此，导致了传输工控数据的安全性低的问题。

技术实现要素：

有鉴于此，本实用新型的目的在于提供一种支持工控协议的传输加密装置、系统及解密装置，以缓解现有技术中存在的传输工控数据的安全性低的的技术问题。

第一方面，本实用新型实施例提供了一种支持工控协议的传输加密装置，所述支持工控协议的传输加密装置和发送终端连接，包括：处理器、通讯模块、网络模块、算法模块和存储模块；

所述网络模块和所述处理器连接，用于为所述支持工控协议的传输加密装置提供网络环境；

所述通讯模块和所述处理器连接，用于为所述处理器获取原始数据和发送加密数据；

所述算法模块和所述处理器连接，用于当接收到所述处理器发送的加密算法后，为所述处理器提供与所述加密算法对应的随机数；

所述处理器，用于利用所述随机数，对所述原始数据进行加密，得到所述加密数据；

所述存储模块和所述处理器连接，用于存储所述支持工控协议的传输加密装置所支持的所述加密算法。

结合第一方面，本实用新型实施例提供了第一方面的第一种可能的实施方式，其中，所述通讯模块包括：网络层通讯模块和数据链路层通讯模块；

所述网络层通讯模块和所述处理器连接，用于从所述发送终端的网络层中获取网络层原始数据，以及将网络层加密数据发送给所述发送终端的网络层，所述网络层加密数据是对所述网络层原始数据加密得到的；

所述数据链路层通讯模块和所述处理器连接，用于从所述发送终端的数据链路层中获取数据链路层原始数据，以及将数据链路层加密数据发送给所述发送终端的数据链路层，所述数据链路层加密数据是对所述数据链路层原始数据加密得到的。

结合第一方面，本实用新型实施例提供了第一方面的第二种可能的实施方式，其中，所述原始数据包括：网络层原始数据和数据链路层原始数据；

所述处理器，用于利用所述随机数，对所述网络层原始数据进行加密，得到网络层加密数据，以及利用所述随机数，对所述数据链路层原始数据进行加密，得到数据链路层加密数据。

结合第一方面，本实用新型实施例提供了第一方面的第三种可能的实施方式，其中，还包括：电源模块、IC接口、USB接口、串行接口和销毁控制器；

所述电源模块和所述处理器连接，用于为所述处理器供电；

所述IC接口、所述USB接口、所述串行接口和所述销毁控制器分别与所述处理器连接。

结合第一方面，本实用新型实施例提供了第一方面的第四种可能的实施方式，其中，所述支持工控协议的传输加密装置设置于外壳的内部，所述外壳的侧壁上设置有电源开关、IC插口、USB插口、串行插口和销毁开关；

所述电源开关和所述电源模块连接，所述IC插口和所述IC接口连接，所述USB插口和所述USB接口连接，所述串行插口和所述串行接口连接，所述销毁开关和所述销毁控制器连接。

结合第一方面，本实用新型实施例提供了第一方面的第五种可能的实施方式，其中，所述加密算法包括以下至少之一：AES加密算法、3DES加密算法、CAST5加密算法和国密SM4加密算法。

第二方面，本实用新型实施例还提供一种支持工控协议的传输解密装置，所述支持工控协议的传输解密装置和数据接收端连接，包括：处理器、通讯模块、网络模块、算法模块和存储模块；

所述网络模块和所述处理器连接，用于为所述支持工控协议的传输加密装置提供网络环境；

所述通讯模块和所述处理器连接，用于为所述处理器获取加密数据和发送原始数据；

所述算法模块和所述处理器连接，用于当接收到所述处理器发送的加密算法后，为所述处理器提供与所述加密算法对应的随机数；

所述处理器，用于利用所述随机数，对所述加密数据进行解密，得到所述原始数据；

所述存储模块和所述处理器连接，用于存储所述支持工控协议的传输加密装置所支持的所述加密算法。

结合第二方面，本实用新型实施例提供了第二方面的第一种可能的实施方式，其中，所述通讯模块包括：第一通讯模块和第二通讯模块；

所述第一通讯模块和所述处理器连接，用于从所述数据接收端的数据链路层中获取数据链路层加密数据，以及将数据链路层原始数据发送给所述数据接收端的数据链路层，所述数据链路层原始数据是对所述数据链路层加密数据进行解密得到的；

所述第二通讯模块和所述处理器连接，用于从所述数据接收端的网络层中获取网络层加密数据，以及将网络层原始数据发送给所述数据接收端的网络层，所述网络层原始数据是对所述网络层加密数据进行解密得到的。

结合第二方面，本实用新型实施例提供了第二方面的第二种可能的实施方式，其中，所述加密数据包括：数据链路层加密数据和网络层加密数据；

所述处理器，用于利用所述随机数，对所述数据链路层加密数据进行解密，得到数据链路层原始数据，以及利用所述随机数，对所述网络层加密数据进行解密，得到网络层原始数据。

第三方面，本实用新型实施例还提供一种支持工控协议的传输加密系统，包括：如第一方面任一所述的支持工控协议的传输加密装置和如第二方面任一所述的支持工控协议的传输解密装置。

本实用新型实施例带来了以下有益效果：本实用新型实施例提供的所述支持工控协议的传输加密装置和发送终端连接，加密装置包括：处理器、通讯模块、网络模块、算法模块和存储模块；所述网络模块和所述处理器连接，用于为所述支持工控协议的传输加密装置提供网络环境；所述通讯模块和所述处理器连接，用于为所述处理器获取原始数据和发送加密数据；所述算法模块和所述处理器连接，用于当接收到所述处理器发送的加密算法后，为所述处理器提供与所述加密算法对应的随机数；所述处理器，用于利用所述随机数，对所述原始数据进行加密，得到所述加密数据；所述存储模块和所述处理器连接，用于存储所述支持工控协议的传输加密装置所支持的所述加密算法，所以，在工控数据从发送终端发送到数据接收端的过程中，当工控数据从发送终端发送出去时，所述通讯模块和所述处理器连接，用于为所述处理器获取原始数据；所述算法模块和所述处理器连接，用于当接收到所述处理器发送的加密算法后，为所述处理器提供与所述加密算法对应的随机数；所述处理器，用于利用所述随机数，对所述原始数据进行加密，得到所述加密数据；所述通讯模块和所述处理器连接，用于为所述处理器发送加密数据，所述发送终端将所述加密数据进行封装以后就可以发送给数据接收端了，由于支持工控协议的传输加密装置将从发送终端获取的工控数据进行了加密，所以攻击者无法进行伪装，无法通过嗅探或者中间人等攻击手段获取到传输工控数据，无法对传输的工控数据进行篡改，增强工控协议的认证和加密传输功能，保证工控数据的完整性和保密性，进而提高传输工控数据的安全性，因此，缓解了现有技术中存在的传输工控数据的安全性低的问题，达到了提高传输工控数据的安全性的技术效果。

本实用新型的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本实用新型而了解。本实用新型的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本实用新型的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本实用新型具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本实用新型的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本实用新型实施例提供的支持工控协议的传输加密装置的第一种结构示意图；

图2为本实用新型实施例提供的支持工控协议的传输加密装置的第二种结构示意图；

图3为本实用新型实施例提供的支持工控协议的传输解密装置的结构示意图；

图4为本实用新型实施例提供的支持工控协议的传输加密系统的应用场景图。

具体实施方式

为使本实用新型实施例的目的、技术方案和优点更加清楚，下面将结合附图对本实用新型的技术方案进行清楚、完整地描述，显然，所描述的实施例是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

目前，超过80％的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。

工业控制系统中的终端和服务器之间或者终端和现场设备之间的工控数据一般都是明文传输的，攻击者可以通过嗅探或者中间人等攻击手段获取到传输的工控数据，进而对工控数据进行篡改，因此，导致了传输工控数据的安全性低的问题，基于此，本实用新型实施例提供的一种支持工控协议的传输加密装置、系统及解密装置，可以缓解现有技术中存在的传输工控数据的安全性低的的技术问题，达到了提高传输工控数据的安全性的技术效果。

为便于对本实施例进行理解，首先对本实用新型实施例所公开的一种支持工控协议的传输加密装置进行详细介绍，所述支持工控协议的传输加密装置和发送终端连接，如图1所示，所述支持工控协议的传输加密装置包括：处理器11、通讯模块13、网络模块12、算法模块15和存储模块14。

示例性的，所述支持工控协议的传输加密装置可以是工控加密机，所述工控加密机的系统型号可以是RS-GKJM-G-100、RS-GKJM-G-200或者是RS-GKJM-F-1000。系统型号为RS-GKJM-G-100的工控加密机包括：4个10/100Mbps以太网接口、2个USB和1个VGA接口。系统型号为RS-GKJM-G-200的工控加密机包括：3个10/100Mbps以太网接口、4个USB、2个CONSOLE口和1个VGA接口。系统型号为RS-GKJM-F-1000的工控加密机包括：6个10/100/1000Mbps以太网接口、2对BYPASS接口、2个USB、1个CONSOLE口和1个VGA接口。

所述网络模块12和所述处理器11连接，用于为所述支持工控协议的传输加密装置提供网络环境。

所述通讯模块13和所述处理器11连接，用于为所述处理器11获取原始数据和发送加密数据。

示例性的，所述原始数据可以包括：网络层原始数据和数据链路层原始数据。

示例性的，如图2所示，所述通讯模块13可以包括：网络层通讯模块21和数据链路层通讯模块22。所述网络层通讯模块21和所述处理器11连接，用于从所述发送终端的网络层中获取网络层原始数据，以及将网络层加密数据发送给所述发送终端的网络层，所述网络层加密数据是对所述网络层原始数据加密得到的。

所述数据链路层通讯模块22和所述处理器11连接，用于从所述发送终端的数据链路层中获取数据链路层原始数据，以及将数据链路层加密数据发送给所述发送终端的数据链路层，所述数据链路层加密数据是对所述数据链路层原始数据加密得到的。

所述算法模块15和所述处理器11连接，用于当接收到所述处理器11发送的加密算法后，为所述处理器11提供与所述加密算法对应的随机数。

示例性的，所述加密算法可以包括以下至少之一：AES加密算法、3DES加密算法、CAST5加密算法和国密SM4加密算法。

所述处理器11，用于利用所述随机数，对所述原始数据进行加密，得到所述加密数据。

示例性的，所述处理器11，用于利用所述随机数，对所述网络层原始数据进行加密，得到网络层加密数据，以及利用所述随机数，对所述数据链路层原始数据进行加密，得到数据链路层加密数据。

所述存储模块14和所述处理器11连接，用于存储所述支持工控协议的传输加密装置所支持的所述加密算法。

本实用新型实施例中，所述支持工控协议的传输加密装置和发送终端连接，加密装置包括：处理器11、通讯模块13、网络模块12、算法模块15和存储模块14；所述网络模块12和所述处理器11连接，用于为所述支持工控协议的传输加密装置提供网络环境；所述通讯模块13和所述处理器11连接，用于为所述处理器11获取原始数据和发送加密数据；所述算法模块15和所述处理器11连接，用于当接收到所述处理器11发送的加密算法后，为所述处理器11提供与所述加密算法对应的随机数；所述处理器11，用于利用所述随机数，对所述原始数据进行加密，得到所述加密数据；所述存储模块14和所述处理器11连接，用于存储所述支持工控协议的传输加密装置所支持的所述加密算法，所以，在数据从发送终端发送到数据接收端的过程中，当数据从发送终端发送出去时，所述通讯模块13为所述处理器11获取原始数据；所述算法模块15当接收到所述处理器11发送的加密算法后，为所述处理器11提供与所述加密算法对应的随机数；所述处理器，用于利用所述随机数，对所述原始数据进行加密，得到所述加密数据；所述通讯模块13为所述处理器发送加密数据，所述发送终端将所述加密数据进行封装以后就可以发送给数据接收端了，由于支持工控协议的传输加密装置将从发送终端获取的工控数据进行了加密，所以攻击者无法进行伪装，无法通过嗅探或者中间人等攻击手段获取到传输工控数据，无法对传输的工控数据进行篡改，增强工控协议的认证和加密传输功能，保证工控数据的完整性和保密性，进而提高传输工控数据的安全性，因此，缓解了现有技术中存在的传输工控数据的安全性低的问题，达到了提高传输工控数据的安全性的技术效果。

在本实用新型的又一实施例中，所述支持工控协议的传输加密装置还包括：电源模块、IC接口、USB接口、串行接口和销毁控制器。

所述电源模块和所述处理器连接，用于为所述处理器供电。

所述IC接口、所述USB接口、所述串行接口和所述销毁控制器分别与所述处理器连接。

在本实用新型的又一实施例中，所述支持工控协议的传输加密装置设置于外壳的内部，所述外壳的侧壁上设置有电源开关、IC插口、USB插口、串行插口和销毁开关。

所述电源开关和所述电源模块连接，所述IC插口和所述IC接口连接，所述USB插口和所述USB接口连接，所述串行插口和所述串行接口连接，所述销毁开关和所述销毁控制器连接。

在本实用新型的又一实施例中，对本实用新型实施例所公开的一种支持工控协议的传输解密装置进行详细介绍，所述支持工控协议的传输解密装置和数据接收端连接，如图3所示，所述支持工控协议的传输解密装置包括：处理器31、通讯模块33、网络模块32、算法模块35和存储模块34。

示例性的，所述数据接收端可以为服务器，或者可以为工控设备。所述工控设备可以为PLC。

所述网络模块32和所述处理器31连接，用于为所述支持工控协议的传输加密装置提供网络环境。

所述通讯模块33和所述处理器31连接，用于为所述处理器31获取加密数据和发送原始数据。

示例性的，所述加密数据可以包括：数据链路层加密数据和网络层加密数据。

示例性的，所述通讯模块33可以包括：第一通讯模块和第二通讯模块。所述第一通讯模块和所述处理器31连接，用于从所述数据接收端的数据链路层中获取数据链路层加密数据，以及将数据链路层原始数据发送给所述数据接收端的数据链路层，所述数据链路层原始数据是对所述数据链路层加密数据进行解密得到的。

所述第二通讯模块和所述处理器31连接，用于从所述数据接收端的网络层中获取网络层加密数据，以及将网络层原始数据发送给所述数据接收端的网络层，所述网络层原始数据是对所述网络层加密数据进行解密得到的。

所述算法模块35和所述处理器31连接，用于当接收到所述处理器31发送的加密算法后，为所述处理器31提供与所述加密算法对应的随机数。

示例性的，所述加密算法可以包括以下至少之一：AES加密算法、3DES加密算法、CAST5加密算法和国密SM4加密算法。

所述处理器31，用于利用所述随机数，对所述加密数据进行解密，得到所述原始数据。

示例性的，所述处理器31，用于利用所述随机数，对所述数据链路层加密数据进行解密，得到数据链路层原始数据，以及利用所述随机数，对所述网络层加密数据进行解密，得到网络层原始数据。

所述存储模块34和所述处理器31连接，用于存储所述支持工控协议的传输加密装置所支持的所述加密算法。

在本实用新型的又一实施例中，对本实用新型实施例所公开的一种支持工控协议的传输加密系统进行详细介绍，包括：如上述实施例任一所述的支持工控协议的传输加密装置和如上述实施例任一所述的支持工控协议的传输解密装置。

示例性的，支持工控协议的传输加密装置和支持工控协议的传输解密装置是配合使用的，所述支持工控协议的传输加密装置用于对传输工控数据进行加密，所述支持工控协议的传输解密装置用于对经过加密的传输工控数据进行解密，从而保证传输工控数据的安全性。所述支持工控协议的传输加密系统支持透明接入，不必改变原有网络结构和配置。所述支持工控协议的传输加密系统可以在不改变原有网络拓扑结构的情况下，根据具体需要实现1对1、N对1和N对N的加密方式，N为正整数。

以N对1的加密方式为例进行说明。当N为2时，就是2对1的加密方式。2对1的加密方式，意味着，所述支持工控协议的传输加密系统包括2个所述支持工控协议的传输加密装置和1个所述支持工控协议的传输解密装置。如图4所示，所述支持工控协议的传输加密系统包括2个所述支持工控协议的传输加密装置和1个所述支持工控协议的传输解密装置，2个所述支持工控协议的传输加密装置分别为第一支持工控协议的传输加密装置42和第二支持工控协议的传输加密装置44，1个所述支持工控协议的传输解密装置为支持工控协议的传输解密装置45。第一支持工控协议的传输加密装置42和第一发送终端41连接，第二支持工控协议的传输加密装置44和第二发送终端43连接，支持工控协议的传输解密装置45和数据接收端46连接。

示例性的，所述支持工控协议的传输加密系统对工控协议做到了实时和精准识别，为解决针对工控网络的安全问题提供了技术基础保障。所述支持工控协议的传输加密系统支持DCE/RPC/OPC、FTP和Oracle动态端口功能。端口动态开启，连接结束后自动关闭，保证运行安全。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本实用新型的范围。

本实用新型实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本实用新型的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本实用新型实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本实用新型中的具体含义。

在本实用新型的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本实用新型和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本实用新型的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本实用新型各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本实用新型的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本实用新型各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本实用新型的具体实施方式，用以说明本实用新型的技术方案，而非对其限制，本实用新型的保护范围并不局限于此，尽管参照前述实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本实用新型实施例技术方案的精神和范围，都应涵盖在本实用新型的保护范围之内。因此，本实用新型的保护范围应所述以权利要求的保护范围为准。