[发明专利]一种ModbusTCP协议安全增强方法及系统

权利要求书

1.一种ModbusTCP协议安全增强方法，其特征在于，包括步骤如下：

(1)生成原始ModbusTCP协议的数据包即原始通信数据包M；ModbusTCP协议的数据格式包括MBAP字段、Encryptdata字段、Maccode字段、Timestamp字段及Nonce字段；

Encryptdata字段为加密数据字段；Maccode字段为认证及完整性验证字段；Timestamp字段和Nonce字段为防重放攻击字段，Timestamp是时间戳，Nonce字段为随机数，与时间戳结合更细粒度的防止重放攻击；

(2)生成时间戳S₁和随机数N₁，将S₁和N₁分别写入Timestamp字段以及Nonce字段中，和原始通信数据包M组合，构造出新的通信数据包M₁；

(3)主站或从站将通信数据包M₁和SM4对称密钥K作为SM3散列函数的输入，生成一个定长的消息摘要S，将S写入Maccode字段；

(4)将原始通信数据包M中的有效数据和预置的SM4对称密钥K输入到SM4分组密码算法中进行加密生成加密数据D，如式(Ⅲ)所示：

D＝SM4_encryption(M(Fuctioncode,Data),K) (Ⅲ)

式(Ⅲ)中，SM4_encryption()是指SM4算法中的加密函数、M()是指M中的有效数据、Fuctioncode是ModbusTCP数据包中的功能码、Data是指功能码后面的数据；

将D写入Encryptdata字段；

(5)构造含有S₁、N₁、S、D的通信数据包M₂并发送；

(6)接收方接收通信数据包M₂，并依次进行解析、时间戳比对及随机数比对，如果时间戳在规定时间t1内并且随机数不在随机数集合表中，则接收通信数据包M₂，否则,丢弃通信数据包M₂；

(7)接收方使用预置的SM4对称密钥K对加密数据D进行解密，并构造出通信数据包M₁；

(8)将通信数据包M₁和SM4对称密钥K作为SM3散列函数的输入，计算出消息摘要S₁，将S₁和S进行对比；两者一致，则接收通信数据包M₁，进入步骤(9)，否则，丢弃通信数据包M₁；

(9)将随机数存储在随机数集合表中，在通信间隙对随机数集合表进行维护。

2.根据权利要求1所述的一种ModbusTCP协议安全增强方法，其特征在于，步骤(6)中，接收方接收通信数据包M₂，并依次进行解析、时间戳比对及随机数比对，包括步骤如下：

a、接收方接收到通信数据包M₂之后，对通信数据包M₂进行解析，获取D、S₁、N₁、S的值；

b、进行防重放攻击的验证：规定一个时间t1，提取时间戳S₁与时间t1作对比，是否超过t1，如果超过t1，则认定该通信数据包M₂为重放攻击，自动丢弃该通信数据包M₂；否则，进入步骤c；

c、继续判断随机数N₁是否在随机数集合表中，如果随机数N₁在随机数集合表中，则判断该通信数据包M₂为重放攻击，自动丢弃该通信数据包M₂；否则，接收该通信数据包M₂。