本發明涉及一種組態存檔加密及解密方法、裝置存儲介質及設備，其包括硬件授權控制器、加密模塊和解密驗證模塊；所述硬件授權控制器，部署在計算機上，過USB/或并口與計算機進行連接，用于生成公私密鑰對；所述加密模塊，根據所述硬件授權控制器生成的公私密鑰對對原始組態存檔數據進行加密、簽名，生成加密組態存檔數據；所述解密驗證模塊，利用私鑰對所述加密組態存檔數據進行存檔解密，解密成功，表明組態存檔數據可靠；再使用簽名時公開的公鑰進行驗證，驗證通過后，表明組態存檔數據可信。本發明能實現工程組態配置數據的安全可靠、抵抗非法篡改，保證數據的完整、一致性。

技術領域

本發明涉及一種數據信息安全技術領域，特別是關于一種組態存檔加密及解密方法、裝置存儲介質及設備。

背景技術

隨著信息化與工業化深度融合的快速發展，越來越多的IT技術應用到工業控制系統行業，工業控制系統的信息安全問題日益突出。當前最突出的前三位安全威脅是：惡意代碼攻擊、信息非法竊取、數據和系統非法破壞，其中以用戶私密信息以及數據為目標的惡意代碼攻擊超過傳統病毒成為最大安全威脅。在工業控制場景中，控制組態存檔包括了控制系統關鍵的參數配置信息，涉及到現場工藝、控制策略、產品質量、人員考核等一些列敏感數據。為保證存檔數據的安全性，即防止無效篡改、無效訪問，業內普遍的做法是對其進行加密存儲、解密訪問。

工業控制系統運行過程中數據復雜且相對封閉，配置信息數據在存儲過程中需要可靠的數據加密認證機制。數據加密作為一項基本技術是所有通信安全的基礎，在多數情況下，數據加密是保證數據機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密算法多達數百種，可以分對稱密鑰加密和非對稱密鑰加密。

對稱加密技術的優點：算法效率高，較高的保密強度；缺點：加解密的密鑰要么必須通過安全途徑傳送，或者固化在軟件內部，不但不便于軟件更新，而且一旦被逆向、破解，將導致信息泄露、數據篡改等嚴重的信息安全事故。

非對稱加密技術的優點：安全性高。算法使用一對完全匹配的秘鑰，一個用來加密，一個用來解密，而且公鑰是公開的，秘鑰是自己保存的，不需要像對稱加密那樣在通信之前要先同步秘鑰。因此非對稱加密算法更安全，密鑰越長，它就越難破解。缺點是加密和解密花費時間長、速度慢。

常見三種加密、解密實現方法如下：

方法一：采用存檔原始數據；生成指定長度的隨機內容，并將生成的所述隨機內容添加至所述原始數據中，以形成新數據；基于所述新數據的長度以及所述預設冗余數據，生成所述新數據的加密密鑰；利用所述加密密鑰對所述新數據進行加密。對應解密方法是識別加密后的數據的長度，并基于識別出的所述長度以及所述預設冗余數據，生成所述加密后的數據所使用的加密密鑰；利用所述加密密鑰對所述加密后的數據進行解密，得到解密后的數據；從所述解密后的數據中去除所述數據加密裝置添加的具備指定長度的隨機內容，得到原始數據。該方法的缺點是對等加密的密鑰以及預設冗余數據均為軟件內置，可能被非法獲取。同時它們是固化在軟件產品內部，一旦被獲取會造成大規模的數據泄密事件發生。

方法二：接收存儲設備發送的密鑰信息；其中，所述密鑰信息中攜帶有標識以及第一加密信息，所述標識用于表示出所述唯一第二加密設備；利用所述標識判斷本端是否與所述存儲設備匹配；當與所述存儲設備匹配時，提取所述第一加密信息；基于所述第一加密信息對所述待加密數據進行加密，以得到加密數據。通過對帶有標識的數據信息進行匹配加密，保證了數據從存儲設備到本端的數據安全性，進而能夠保證在使用生產智能設備進行遠程控制時的安全性問題。該方法雖然增加了可信驗證的環節，但是其傳輸的標識信息仍是明文，存在被截獲、篡改的可能性。同時針對組態存檔的多樣性應用要求，設計不合理的可信驗證的環節會增加加密、解密的復雜度，導致效率下降。