本發明公開了一種維護方法及設備，屬于工業終端主機技術領域，具體涉及一種工業終端主機維護方法及設備，本發明通過在維護工作中，進行建立傳輸通道與安全通道兩個通道，并對安全通道進行通過協商初始化過程中的密鑰協商協議，實現簽名密鑰自動分發、會話密鑰協商生成、協議可證安全；通過數據交互過程，確保隧道轉發報文的真實性、完整性和機密性，同時設置匹配轉發和安全處理兩個模塊可以為數據報文提供安全服務和實現傳輸通道的報文匹配轉發和安全通道的驗證報文、報文解密工作，從而本發明有效實現了數據傳輸中的加解密和簽名驗證，確保了傳輸數據報文的真實性、完整性、機密性，解決傳統通道的配置復雜、效率低下等問題。

技術領域

本發明公開了一種維護方法及設備，屬于工業終端主機技術領域，具體涉及一種工業終端主機維護方法及設備。

背景技術

工程師站、操作員站等工業終端主機是工業控制系統重要組成部分。工業終端主機的安全關乎整個工業控制系統的安全級。如果工控主機感染病毒或惡意程序，將對工業控制系統形成嚴重的安全威脅，一旦受到攻擊，將會導致直接的經濟損失，甚至釀成重大的生產安全事故。大量已發生的席卷全球的工控網絡安全事件也表明，工控主機是一個脆弱的、極易被利用的攻擊入口。

現有技術中為保護工業終端主機，需要進行工業終端主機的日常維護，通常由上位機和控制器組合進行工業終端主機的數據指令的收發工作，但現有技術中上位機和控制器、終端主機采用一個通道進行數據傳送，且上位機和控制器不止控制一個終端主機，這樣會大大增加工作的載荷，同時會出現數據錯亂，同時由于數據多雜亂，導致數據的解析需要很長的時間，同時由于單通道傳傳輸，傳輸的安全性極低，非常會被攔截入侵以及盜取。

發明內容

發明目的：提供一種工業終端主機維護方法及設備，解決上述提到的問題。

技術方案：一種工業終端主機維護方法，包括：

建立傳輸層中的傳輸通道與安全通道；將終端主機和上位機分別與其匹配的轉發設備建立獨立的傳輸通道、并建立屬于終端主機轉發設備和上位機轉發設備的獨立安全通道；

控制層中控制器對所述安全通道進行協商初始化；利用轉發設備中的網關通過通道協商請求、應答報文，應用密鑰協商協議生成會話密鑰，實現終端主機和上位機轉發設備中的網關之間共享會話密鑰，為數據收發過程提供安全支撐；在協議開始前，終端主機和上位機各自選取隨機數生成終端主機和上位機的臨時公開協商密鑰、，生成過程如下：

其中，、表示終端主機和上位機各自選取隨機數，是基于選定的公開大素數，是有限域中的本原元，表示通道協商初始化過程中密鑰協商協議的發起端即終端主機的轉發設備，表示為通道協商初始化過程中密鑰協商協議的接收端即上位機的轉發設備；

進行傳輸通道與安全通道中的數據交互；所述數據交互包括：

傳輸通道數據傳輸，實現終端主機和上位機與其匹配的轉發設備形成的傳輸通道中的數據的收發工作；

安全通道數據傳輸，即數據在安全通道中的交互工作，實現通道報文的封裝和解封；

所述傳輸通道數據傳輸包括：

匹配轉發，包括傳輸通道和安全通道兩種工作；傳輸通道匹配轉發根據收到的控制器下發的流規則匹配密碼標識中的網關標識字段，從而實現基于通道網關標識的報文匹配轉發，安全通道匹配轉發對來自終端主機的數據報文經安全處理模塊報文加密、生成報文驗證字段后，添加密碼標識轉發給安全通道；對來自安全通道的數據報文經安全處理模塊驗證報文、報文解密后，去除密碼標識轉發給上位機；

安全處理，為數據報文提供安全服務，對數據報文進行加解密處理和簽名認證，驗證數據真實性和完整性，同時實現數據機密性保護，確保轉發數據安全。