本發明屬于工業級控制系統技術領域，具體涉及一種基于FPGA的維護信息安全方法。本發明技術方案基于FPGA的維護信息安全方法，從而能加強對分布式控制系統(DCS)和工程師站的數據安全，對通信進行加密和簽名，保證在控制系統收到惡意攻擊時，還能正常可靠的運行。

技術領域

本發明屬于工業級控制系統技術領域，具體涉及一種基于FPGA的維護信息安全方法。

背景技術

隨著計算機系統和其他數字設備在工業領域的廣泛應用，特別是信息化與工業化深度融合以及物聯網的快速發展，電力監控系統產品的網絡化，信息化和智能化水平進一步提升。隨著計算機和網絡技術的發展，電力監控系統產品以互聯網+等公共網絡連接病毒，木馬等威脅正在向電氣系統擴散，電力行業系統的安全事件明顯增多，系統安全漏洞數量不斷增長。核電站作為電力系統的重要組成部分，具有機組容量大，進口設備多且涉及核安全等特點，因而其在信息安全問題上也比普通電廠要求更高。

電力行業信息安全與傳統信息安全存在較大差別，且核電安全技術水平和防護能力，當前還處于起步階段，造成核電站電氣監控系統面臨著較以往更大的信息安全風險，安全形勢嚴峻，目前在役和在建的核電站中，對全生命周期中的電氣系統，信息安全缺乏有效的防護措施，信息安全防護能力薄弱。

核電站DCS控制站和工程師站之間的通信采用SM4加密算法，上位機對配置信息進行加密，下位機模塊基于FPGA技術對加密信息進行解密，可以保證核電站的DCS系統信息的真實與完整，不受偶然或者惡意的網絡攻擊使信息遭到破壞、篡改、泄露，保護平臺中的硬件、軟件及其系統中的數據，保證系統連續可靠的正常運行。

傳統的技術方案由于面臨上述不足，因此亟需研制一種基于FPGA的維護信息安全方法，從而解決上述問題。

發明內容

本發明要解決的技術問題是提供一種基于FPGA的維護信息安全方法，從而能加強對分布式控制系統(DCS)和工程師站的數據安全，對通信進行加密和簽名，保證在控制系統收到惡意攻擊時，還能正常可靠的運行。

為了實現這一目的，本發明采取的技術方案是：

一種基于FPGA的維護信息安全方法，應用于核電站的控制系統，工程師站通過網絡與多個控制站通信；包括以下步驟：

(1)工程師向控制站下發數據

(1.1)工程師站下發數據格式

工程師站準備好所有發送的數據后，對DATA字段以16字節補零對齊；

(1.2)對填補后的數據進行數字簽名，簽名后DATA字段長度為160字節；

(1.3)對簽名后的數據進行加密；

工程師站將經過步驟(1.2)數字簽名和步驟(1.1)補零后的數據包拼接，然后對拼接后的數據包進行加密；

(1.4)工程師站對包頭、加密后的160字節計算CRC，發送給控制站；

(1.5)控制站收到數據后，首先CRC進行校驗正確，再檢查目的地址是否與本站匹配，查看包頭是否正確，通過后對160字節的數據進行解密；

解密算法與步驟(1.3)中加密算法的結構相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序；

(1.6)解密后的數據使用數字簽名算法校驗簽名，簽名認證通過后采用；

數字簽名算法為以下算法中的一種：128bitRSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir、Des/DSA、橢圓曲線數字簽名算法、有限自動機數字簽名算法；

(2)控制站向工程師站回復數據