本發明涉及一種基于國密算法的工控編程平臺安全通信方法，設計IDE編程軟件與控制器中安全RTE之間的程序安全加載方法，經工程師身份認證、雙向身份認證、以及控制程序可信驗證，執行控制程序到控制器中安全RTE的下載與更新；設計IDE組態監控軟件與安全RTE之間的安全數據通信方法，經雙向身份認證，執行彼此間通信過程中的數據安全保護；進一步相應系統，通過對工程師站、操作員站、控制器分別進行模塊化設計，提高模塊間的通信效率，進而高效執行安全通信方法，進一步提高對控制器運行過程監控的安全性；整個方案在實際應用中，能夠覆蓋工控系統研發、部署、運行、更新等各環節，可實現工控系統全生命周期的安全通信保護。

技術領域

本發明涉及一種基于國密算法的工控編程平臺安全通信方法及系統，屬于工控平臺安全加密通信控制技術領域。

背景技術

目前，工控系統已在我國電力、燃氣、供熱、交通、制造等涉及國計民生的關鍵領域廣泛應用。工控編程平臺是工控系統的核心組件，包括上位機組態與編程環境IDE和下位機運行時環境RTE；IDE包括編程軟件和組態監控軟件，編程軟件部署于工程師站，組態監控軟件部署于操作員站，RTE部署于PLC、DCS等工業控制器。

工控編程平臺的通信分為兩類：一類是IDE編程軟件與控制器間的通信，工程師使用編程軟件編寫控制程序、配置運行參數，下裝或更新到控制器的RTE中，控制器按照控制程序的邏輯，周期性地通過輸入口采集現場設備的運行數據，并通過輸出口發送給操作員站的組態監控軟件。另一類是IDE組件監控軟件與控制器間的通信，操作員通過組態監控軟件，根據現場設備的類型和連接方式，在軟件上畫出和現場設備執行順序一直的界面，形象地實時監控現場設備的運行狀況，并可根據需要向控制器發送控制指令調整現場設備的運行。可見，IDE功能強大，權限很高，控制IDE就可以對控制器植入病毒、木馬、后門等惡意代碼，任意控制現場設備的運行，甚至對工控系統造成毀滅性的破壞。因此，確保IDE與RTE間的安全通信至關重要。

IDE與RTE間主要采用底層基于TCP/IP協議的客戶端/服務器網絡通信方式，IDE為客戶端，主動向控制器RTE發起連接請求。編程軟件與控制器間上層通常采用各廠商自定義的私有協議，組態監控軟件與控制器間采用標準的工業以太網協議，典型的如Profinet、Ethernet/IP、Modbus等。由于以前工控系統運行環境相對封閉，且對可用性、實時性的要求強于安全性，因此各廠商在設計協議時基本未考慮安全通信機制，普遍存在以下問題：

（1）IDE編程軟件向控制器下裝或更新控制程序時未對工程師進行身份認證，且與RTE通信時也未進行相互的身份認證，攻擊者可以冒充合法的IDE與RTE通信，隨意訪問控制器并植入惡意代碼。

（2）IDE組件監控軟件與控制器RTE采用明文通信，對傳輸的數據未采用加密、完整性等保護機制，數據易被篡改、偽造。

由于IDE編程軟件與控制器間的通信屬于短連接通信（稱為第一類通信），編程軟件下裝或更新完控制器程序即斷開連接，而IDE組態監控軟件一直與控制器RTE間保持長連接通信（稱為第二類通信）。因此，現有的解決方案主要針對第二類通信協議進行改進，增加簡易挑戰/應答認證機制或基于密碼學的安全通信機制，其中，簡易挑戰/應答認證機制是指用戶在訪問系統時，系統隨機產生一個消息作為挑戰值發送給用戶，用戶在對挑戰值進行簡單的運算處理后，將計算結果作為登錄口令返回給系統，如果系統收到正確的應答，則驗證通過。基于密碼學的安全通信機制則采用對稱、非對稱、HASH等密碼算法實現身份認證、數據加密、數據完整性保護等，實現通信安全。

現有技術雖然在一定程度上提高了IDE和RTE通信的安全性，但是仍存在如下不足：

（1）未對第一類通信進行安全保護，工程師操作IDE向RTE下裝程序時未對用戶身份和程序完整性進行校驗，無法保證當前用戶為合法用戶，也無法保證程序沒有被植入惡意代碼；

（2）第二類通信采用的簡易挑戰/應答認證機制只進行了身份認證，且安全強度較弱，極易破解，無法保證數據不被篡改或偽造；