一种Modbus规约通信设备的加密通信方法、系统与流程

本发明涉及加密通信，特别涉及一种modbus规约通信设备的加密通信方法、系统。

背景技术：

1、modbus规约中的主流通信协议为modbustcp协议。然而，采用modbustcp协议进行通信时，需要接入互联网，采用modbustcp协议进行通信又是明文传输，若在通信过程中受到攻击，可能会造成不可逆损失。因此，需要进行加密通信。

2、一般的，进行加密通信时，需要发送端的用户从待通信数据人工选择重要性较高的需加密数据，单独对需加密数据进行加密。但是，待通信数据的数据量往往较大，人工选择需加密数据不仅人工成本大、效率低，还特别容易出现遗漏。

3、因此，亟需一种解决办法。

技术实现思路

1、本发明提供一种modbus规约通信设备的加密通信方法、系统，系统自动识别待通信数据中的需加密数据，无需发送端的用户从待通信数据人工选择重要性较高的需加密数据，降低了人力成本，提升了加密通信效率，提升了加密通信的全面性，特别适用于数据量较大的待通信数据的加密通信场景。

2、本发明提供一种modbus规约通信设备的加密通信方法，modbus规约通信设备包括：采用modbus规约进行数据通信的发送端和接收端，包括：

3、获取发送端的待通信数据；

4、识别待通信数据中的需加密数据，并标记第一剩余数据；

5、对需加密数据进行加密，获得加密数据；

6、对加密数据、第一剩余数据进行打包，获得数据包；

7、将数据包发送至接收端。

8、优选的，识别待通信数据中的需加密数据，包括：

9、从待通信数据中确定第一目标数据，并标记第二剩余数据；第一目标数据符合第一加密条件；

10、从第二剩余数据中确定第二目标数据；第二目标数据符合第二加密条件；

11、将第二目标数据、第一目标数据作为需加密数据；

12、其中，第一加密条件包括：

13、第一目标数据具备加密需求标识，且/或第一目标数据符合发送端对应的预设的第一加密偏好，且/或第二目标数据符合发送端的业务类型对应的预设的第二加密偏好；

14、其中，第二加密条件包括：

15、第二目标数据不加密的代价值大于等于预设的代价阈值。

16、优选的，第二目标数据不加密的代价值的获取步骤包括：

17、分别解析第一目标数据的第一数据类型、第二目标数据的第二数据类型；

18、从预设的关联关系库中确定第一数据类型与第二数据类型之间的第一关联关系；

19、将第一关联关系与预设的触发关系库中的第二关联关系进行匹配；

20、当均不匹配符合时，第二目标数据不加密的代价值以预设的第一数值计；否则，获取发送端的用户在最近预设的时间内对待通信数据进行操作产生的操作序列；

21、从操作序列中确定目标局部操作序列；目标局部操作序列符合局部操作序列条件；

22、统计目标局部操作序列的序列数目；

23、当序列数目大于等于预设的第一数目阈值时，第二目标数据不加密的代价值计为第一数值；否则，对序列数目、目标局部操作序列以及第一关联关系进行特征描述，获得第一特征描述向量；

24、从预设的第一数值库中确定第一特征描述向量对应的第二数值；

25、第二目标数据不加密的代价值计为第二数值；

26、其中，局部操作序列条件包括：

27、目标局部操作序列内的首尾两个操作的操作对象均为第一目标数据，且首尾两个操作的操作对象各自的第一数据类型之间在关联关系库中对应有第三关联关系，且目标局部操作序列内的中间至少一个操作的操作对象为第二目标数据；

28、其中，第一数值小于代价阈值。

29、优选的，代价阈值与发送端和接收端之间进行数据通信的容灾值呈预设的比例关系。

30、优选的，发送端和接收端之间进行数据通信的容灾值的获取步骤包括：

31、获取发送端和接收端之间进行数据通信的通信信息；

32、对通信信息和数据包进行特征描述，获得第二特征描述向量；

33、从预设的查询约束条件库中确定第二特征描述向量对应的查询约束条件；

34、基于查询约束条件，从预设的通信异常图谱中查询出异常子树集；

35、确定异常子树集是否符合集合条件；

36、当符合时，发送端和接收端之间进行数据通信的容灾值计为预设的第三数值；否则，对异常子树集进行特征描述，获得第三特征描述向量；

37、从预设的第二数值库中确定第三特征描述向量对应的第四数值；

38、发送端和接收端之间进行数据通信的容灾值计为第四数值；

39、其中，集合条件包括：

40、异常子树集中至少有预设的第二数目阈值个异常子树符合子树条件；子树条件包括：

41、异常子树中包含为预设的节点类型的树节点，且/或，异常子树具备与异常子树集中其他异常子树相同类型的主节点。

42、本发明提供一种modbus规约通信设备的加密通信系统，modbus规约通信设备包括：采用modbus规约进行数据通信的发送端和接收端，包括：

43、获取模块，用于获取发送端的待通信数据；

44、识别模块，用于识别待通信数据中的需加密数据，并标记第一剩余数据；

45、加密模块，用于对需加密数据进行加密，获得加密数据；

46、打包模块，用于对加密数据、第一剩余数据进行打包，获得数据包；

47、发送模块，用于将数据包发送至接收端。

48、优选的，识别模块识别待通信数据中的需加密数据，包括：

49、从待通信数据中确定第一目标数据，并标记第二剩余数据；第一目标数据符合第一加密条件；

50、从第二剩余数据中确定第二目标数据；第二目标数据符合第二加密条件；

51、将第二目标数据、第一目标数据作为需加密数据；

52、其中，第一加密条件包括：

53、第一目标数据具备加密需求标识，且/或第一目标数据符合发送端对应的预设的第一加密偏好，且/或第二目标数据符合发送端的业务类型对应的预设的第二加密偏好；

54、其中，第二加密条件包括：

55、第二目标数据不加密的代价值大于等于预设的代价阈值。

56、优选的，第二目标数据不加密的代价值的获取步骤包括：

57、分别解析第一目标数据的第一数据类型、第二目标数据的第二数据类型；

58、从预设的关联关系库中确定第一数据类型与第二数据类型之间的第一关联关系；

59、将第一关联关系与预设的触发关系库中的第二关联关系进行匹配；

60、当均不匹配符合时，第二目标数据不加密的代价值以预设的第一数值计；否则，获取发送端的用户在最近预设的时间内对待通信数据进行操作产生的操作序列；

61、从操作序列中确定目标局部操作序列；目标局部操作序列符合局部操作序列条件；

62、统计目标局部操作序列的序列数目；

63、当序列数目大于等于预设的第一数目阈值时，第二目标数据不加密的代价值计为第一数值；否则，对序列数目、目标局部操作序列以及第一关联关系进行特征描述，获得第一特征描述向量；

64、从预设的第一数值库中确定第一特征描述向量对应的第二数值；

65、第二目标数据不加密的代价值计为第二数值；

66、其中，局部操作序列条件包括：

67、目标局部操作序列内的首尾两个操作的操作对象均为第一目标数据，且首尾两个操作的操作对象各自的第一数据类型之间在关联关系库中对应有第三关联关系，且目标局部操作序列内的中间至少一个操作的操作对象为第二目标数据；

68、其中，第一数值小于代价阈值。

69、优选的，代价阈值与发送端和接收端之间进行数据通信的容灾值呈预设的比例关系。

70、优选的，发送端和接收端之间进行数据通信的容灾值的获取步骤包括：

71、获取发送端和接收端之间进行数据通信的通信信息；

72、对通信信息和数据包进行特征描述，获得第二特征描述向量；

73、从预设的查询约束条件库中确定第二特征描述向量对应的查询约束条件；

74、基于查询约束条件，从预设的通信异常图谱中查询出异常子树集；

75、确定异常子树集是否符合集合条件；

76、当符合时，发送端和接收端之间进行数据通信的容灾值计为预设的第三数值；否则，对异常子树集进行特征描述，获得第三特征描述向量；

77、从预设的第二数值库中确定第三特征描述向量对应的第四数值；

78、发送端和接收端之间进行数据通信的容灾值计为第四数值；

79、其中，集合条件包括：

80、异常子树集中至少有预设的第二数目阈值个异常子树符合子树条件；子树条件包括：

81、异常子树中包含为预设的节点类型的树节点，且/或，异常子树具备与异常子树集中其他异常子树相同类型的主节点。

82、本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

83、下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。