(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210538445.X (22)申请日 2022.05.18 (71)申请人 浙江木链 物联网科技有限公司 地址 310000 浙江省杭州市余杭区五常街 道联创街18 8号4幢10楼 (72)发明人 吴伟　章渠丰　杨杰　刘润新　 马远洋　崔旭中　文昱博　朱奕辉　 向昶宇　 (74)专利代理 机构 杭州华知专利事务所(普通 合伙) 33235 专利代理师 张德宝 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01)H04L 67/141(2022.01) (54)发明名称 一种基于数字证书的工控协议安全摆渡方 法、 装置、 系统和存 储介质 (57)摘要 本申请提供了一种基于数字证书的工控协 议安全摆渡 方法、 装置、 系统和存储介质。 通过连 通与上位机的数字证书传输通道， 与上位机建立 基于数字证书的双向身份认证通道， 并建立与上 位机的加密传输链路， 再接收来自上位机的请求 报文， 生成响应报文并对响应报文进行加密， 将 响应报文发回至上位机。 针对外部入侵者容易利 用工控协议传输且对于身份验证较为宽松的特 点， 极大提高了攻击终端设备(PLC)的难度， 提高 了终端设备(PLC)的安全性。 同时， 还 解决了外部 入侵者利用工控协议明文传输的特点， 通过非法 监听获取生产数据的技术问题， 在不改变工控协 议请求数据包的前提下， 实现了安全摆渡且工控 通信协议的适用范围广。 权利要求书2页 说明书9页 附图3页 CN 114928486 A 2022.08.19 CN 114928486 A 1.一种基于数字证书的工控协议 安全摆渡方法， 其特 征在于， 包括： 连通与上位机的数字证书传输通道； 与上位机建立基于数字证书的双 向身份认证通道， 若身份认证不通过， 则中断与上位 机的数字证书传输通道； 若 身份认证通过， 则建立与上位机的加密 传输链路； 接收来自上位机的请求报文， 生成响应报文并对响应报文加密后发回至上位机 。 2.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法， 其特征在于， 与 上位 机建立基于数字证书的双向身份认证通道具体为： 接收来自上位机的数字证书并对数字证书 进行校验判断是否合法； 若校验不 合法则发出警告信息， 若校验合法则配置数字证书发送至上位机； 接收来自上位机的加密信息并进行解密， 获取对称密钥； 采用对称密钥建立与上位机的加密 传输链路。 3.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法， 其特征在于， 所述数 字证书的内容包括公钥、 身份信息以及CA数字签名。 4.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法， 其特征在于， 接收来 自上位机的请求报文， 生成响应报文并对响应报文加密后发回至上位机具体为： 将请求报文转发至 工业控制系统内的终端设备； 终端设备根据请求报文生成响应报文并将响应报文原路 返回； 接收来自终端设备的响应报文并进行加密后返回给 上位机。 5.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法， 其特征在于， 接收来 自上位机的请求报文， 生成响应报文并对响应报文加密后发回至上位机具体为: 采集并缓存终端设备 数据； 若请求报文是请求数据， 则根据缓存的终端设备 数据生成响应报文； 对响应报文加密并发送至上位机 。 6.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法， 其特征在于， 接收来 自上位机的请求报文之后， 对响应报文加密后发回至上位机之前， 还进行： 对请求报文 进行语义级解析， 判断是否存在篡改数据； 若判断存在篡改数据， 则对请求报文进行拦截； 若判断不存在篡改数据， 则与终端设备 建立数据连接 。 7.根据权利要求6所述的基于数字证书的工控协议安全摆渡方法， 其特征在于， 对请求 报文进行语义级解析， 判断是否存在篡改数据之后， 还进行： 若判断请求报文存在篡改数据， 则发送 异常提醒信息 至上位机 。 8.一种基于数字证书的工控协议 安全摆渡装置， 其特 征在于， 包括： 通信模块： 用于连通与上位机的数字证书传输通道； 认证模块： 用于与上位机建立基于数字证书的双向身份认证通道， 若身份认证不通过， 则中断与上位机的数字证书传输通道； 若 身份认证通过， 则建立与上位机的加密 传输链路； 加密模块： 用于接收来自上位机的请求报文， 生成响应报文并对响应报文加密后发回 至上位机 。 9.一种基于数字证书的工控协议安全摆渡系统， 其特征在于， 包括存储器和处理器， 所 述存储器中包括基于数字证书的工控协议安全摆渡程序， 所述程序被所述处理器执行时，权　利　要　求　书 1/2 页 2 CN 114928486 A 2实现如权利要求1～7任一项所述基于数字证书的工控协议 安全摆渡方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中包括基于数字 证书的工控协议安全摆渡程序， 所述程序被处理器执行时， 实现如权利要求1～7任一项所 述基于数字证书的工控协议 安全摆渡方法的步骤。权　利　要　求　书 2/2 页 3 CN 114928486 A 3