工业以太网是专门为工业应用环境设计的标准以太网，它在技术上与商用 以太网兼容。工业以太网将企业传统的三层网络系统，即信息管理系统、过程 监控系统和现场设备合成一体，使数据的传输速率更快，实时性更高，并且与 因特网无缝集成，以此实现数据的共享，提高了工厂的整体运作效率。由此可 见，工业以太网要达到工业现场的需求，就需要提高工业以太网的适应性、可 靠性以及安全性等性能。
在应用工业以太网的控制系统中，现场设备之间使用以太网进行连接，同 时现场设备通过以太网连接到外部网络，终端用户可以通过工业以太网访问现 场设备。但是，这种访问方式的存在也会导致恶意破坏系统的人使用成熟的以 太网技术对网络进行破坏，使得控制系统中的现场设备和整个控制系统面临巨 大的安全风险和威胁，难以保证工业以太网的安全性能。工业以太网控制系统 在安全性能上主要存在以下问题：
在工业以太网现场控制网络中，如果破坏者接入一台恶意设备，那么他可 以使用该设备拦截变送器的数据，对系统中的采样数据或控制数据进行篡改， 并将篡改后的数据发送到执行器当中，当执行器对该恶意数据进行响应，将会 导致工业以太网系统产生危险；在工业以太网监控网络中，如果破坏者接入一 台移动计算机或手操器，用来伪装成控制系统中的一台工程师站或者操作员 站，并恶意修改现场控制设备的组态信息，将会导致整个控制系统处于混乱的 状态；由于工业控制系统的设备以及辅助设备在设计上不够合理，同时由于工 业现场对这些设备的干扰等影响，工业数据在通信过程中还面临着数据破坏、 数据重发、数据丢失、数据乱序、数据延时、寻址错误和未经授权的访问等问 题。
基于以上存在的安全问题，工业以太网控制系统可以采用对控制数据进行 加密解密的方法来提高整个系统的安全性能；但是，现有以太网络中常用的加 密解密方法计算时间长，附加的数据长度大，将现有的加密解密方法应用在工 业控制系统运行中时，由于现场控制网络中的数据多数为实时控制数据，因此 实时性要求很高，并且由于现场控制网络层的控制设备受到本安、防暴、硬件 运算速度等因素的影响，要求现场控制网络层的加密解密算法不能过于复杂， 否则会占用很长的程序运行时间，因此在现有的工业以太网控制系统中应用现 有加密解密方法将降低整个控制系统的运行效率。

本发明的目的在于提供一种工业控制数据的加密解密方法，以解决现有工 业以太网中网络设备传输的数据容易受到恶意破坏的问题，同时也解决了应用 现有方法对网络中的数据进行加密解密影响了网络数据的实时性，且降低了整 个控制系统运行效率的问题。
为解决上述技术问题，本发明提供如下技术方案：
一种工业控制数据的加密解密方法，包括步骤：
A、密钥管理服务器将生成的长度至少为一字节的伪随机密钥发送到网络 设备；
B、源网络设备生成源完整安全数据单元，所述源完整安全数据单元包含 发送数据明文，伪随机密钥和伪随机密钥的版本号；源网络设备对所述源完整 安全数据单元进行校验生成校验码，并且根据保存的伪随机密钥对所述发送数 据明文进行加密生成发送数据密文；源网络设备发送生成的安全数据单元到目 的网络设备，所述安全数据单元包含发送数据密文、伪随机密钥的版本号和校 验码；
C、目的网络设备从接收到的安全数据单元中读取伪随机密钥的版本号和 校验码；当所述读取的伪随机密钥的版本号和目的网络设备中当前伪随机密钥 的版本号一致时，该目的网络设备根据所述伪随机密钥对安全数据单元中的发 送数据密文解密后生成接收数据明文；所述目的网络设备生成目的完整安全数 据单元，所述目的完整安全数据单元包含接收数据明文、伪随机密钥和伪随机 密钥的版本号；目的网络设备对所述目的完整安全数据单元进行校验生成校验 码，并判断生成的校验码与所述读取的校验码一致时，保存所述目的完整安全 数据单元，否则，该目的网络设备丢弃所述目的完整安全数据单元。
所述步骤A包括：
A1、密钥管理服务器保存所述生成的长度至少为一字节的伪随机密钥并将 所述伪随机密钥发送到网络设备；
A2、网络设备保存所述接收到的伪随机密钥并设置该伪随机密钥的版本 号；
A3、网络设备返回伪随机密钥分配响应到密钥管理服务器，所述分配响应 中包含接收到的伪随机密钥；
A4、密钥管理服务器在响应时间内查询到网络设备已返回分配响应，且该 分配响应中的伪随机密钥与所述生成的伪随机密钥不一致，则密钥管理服务器 重新发送伪随机密钥到所述网络设备，直至所述分配响应中的伪随机密钥与所 述密钥管理器生成的伪随机密钥一致。
所述步骤A4中当密钥管理服务器重新发送伪随机密钥到网络设备的次数 超过设定值时，
所述密钥管理服务器停止发送伪随机密钥，并且发送网络设备出错信息到 工程师站。
所述步骤C还包括：
当所述读取的伪随机密钥的版本号小于目的网络设备中当前伪随机密钥 的版本号且差值与设定值一致时，所述目的网络设备根据保存的前一周期的伪 随机密钥对安全数据单元中的发送数据密文解密后生成接收数据明文；
当所述读取的伪随机密钥的版本号小于目的网络设备中当前伪随机密钥 的版本号且差值与设定值不一致时，所述目的网络设备丢弃接收到的安全数据 单元。
所述步骤C还包括：
当所述读取的伪随机密钥的版本号大于目的网络设备中当前伪随机密钥 的版本号时，所述目的网络设备缓存接收到的安全数据单元，直到该目的网络 设备接收到新的伪随机密钥；
该目的网络设备根据接收到的新的伪随机密钥对所述缓存的安全数据单 元中的发送数据密文解密后生成接收数据明文。
所述生成的源完整安全数据单元、安全数据单元和目的完整安全数据单元 中还包含序列号。
所述目的网络设备判断接收到的安全数据单元中源网络设备的序列号与 目的完整安全数据单元中目的网络设备的序列号一致，所述目的网络设备提交 目的完整安全数据单元。
网络中接收服务为证实服务时，
所述目的网络设备判断接收到的安全数据单元中源网络设备的序列号与 目的完整安全数据单元中目的网络设备的序列号不一致，该目的网络设备丢弃 目的完整安全数据单元，并返回序列号不匹配的信息到源网络设备。
网络中接收服务为非证实服务时，
所述目的网络设备判断接收到的安全数据单元中源网络设备的序列号大 于目的完整安全数据单元中目的网络设备的序列号，该目的网络设备丢弃所述 目的完整安全数据单元。
网络中接收服务为非证实服务时，
所述目的网络设备判断接收到的安全数据单元中源网络设备的序列号小 于目的完整安全数据单元中目的网络设备的序列号，且差值大于预设值，该目 的网络设备丢弃所述目的完整安全数据单元；
所述目的网络设备判断接收到的安全数据单元中源网络设备的序列号小 于目的完整安全数据单元中目的网络设备的序列号，且差值不大于预设值，所 述目的网络设备提交目的完整安全数据单元。
所述步骤A和B之间还包括：
密钥管理服务器周期性发送密钥管理命令到网络设备，更新所述网络设备 中的伪随机密钥。
所述密钥管理服务器周期性发送密钥管理命令到网络设备，更新所述网络 设备中的伪随机密钥包括：
S1、密钥管理服务器发送周期性随机生成的密钥管理命令到网络设备；
S2、当网络设备接收到的密钥管理命令版本号与该网络设备中保存的密钥 管理命令版本号不一致时，所述网络设备保存前一周期的伪随机密钥，更新伪 随机密钥、伪随机密钥的版本号以及密钥管理命令的版本号，并向密钥管理服 务器返回响应报文；
S3、密钥管理服务器在响应时间内查询到网络设备未返回响应报文，密钥 管理服务器重新发送密钥管理命令到所述网络设备；
S4、重复步骤S2和S3，直到所述密钥管理服务器在响应时间内查询到网 络设备已返回响应报文。
所述更新伪随机密钥具体为根据接收到的密钥管理命令对所述伪随机密 钥进行密钥循环左移、密钥循环右移、密钥左移、密钥右移、密钥位设置或密 钥位清除中的至少一项；
所述更新伪随机密钥的版本号具体为将该伪随机密钥的版本号进行累加；
所述更新密钥管理命令版本号具体为保存接收到的密钥管理命令版本号。
所述步骤S2还包括：
当网络设备接收到的密钥管理命令版本号与该网络设备中保存的密钥管 理命令版本号一致时，所述网络设备向密钥管理服务器返回响应报文。
所述步骤S3还包括：当密钥管理服务器重新发送密钥管理命令到所述网 络设备的次数超过设定值时，
所述密钥管理服务器停止发送密钥管理命令，并且发送网络设备出错信 息。
所述密钥管理服务器连接到监控网络，包括工作状态的密钥管理服务器和 备份状态密钥管理服务器；所述工作状态的密钥管理服务器无法正常工作时， 备份状态的密钥管理服务器切换为工作状态的密钥管理服务器。
由以上本发明提供的技术方案可见，本发明具有如下特点和优点：
应用本发明的加密解密方法，使无论在工业以太网现场控制网络中还是工 业以太网监控网络中，网络破坏者都无法对加密过的数据进行篡改，并应用篡 改后的数据对网络设备进行控制，有效的保证了工业以太网的网络安全，使整 个控制系统能够稳定运行；
本发明的加密解密方法计算时间短，附加数据小，应用在工业控制系统的 网络中时，占用极少的程序运行时间，极大的增强了整个网络传输数据的实时 性，提高了整个控制系统的运行效率。

图1为基于工业以太网的控制系统结构图；
图2为本发明优选实施例的流程图；
图3为本发明密钥管理服务器向网络设备发送伪随机密钥的流程图；
图4为本发明密钥管理服务器向网络设备发送密钥管理命令的流程图；
图5为本发明密钥管理命令的结构图；
图6为本发明源网络设备发送安全协议数据单元的流程图；
图7为本发明源完整安全数据单元的结构图；
图8为本发明安全数据单元的结构图；
图9为本发明目的网络设备接收安全数据单元的流程图；
图10为本发明目的网络设备中序列号匹配的判断流程图。

本发明的核心是提供一种工业控制数据的加密解密方法，密钥管理服务器 将生成的长度至少为一字节的伪随机密钥发送到网络设备后，源网络设备根据 伪随机密钥对发送数据明文进行加密，并发送包含加密数据的安全数据单元到 目的网络设备，目的网络设备根据伪随机密钥对接收到的安全数据单元中的加 密数据进行解密。
为了使本技术领域的人员更好地理解本发明方案，下面结合附图和实施方 式对本发明作进一步的详细说明。
本发明基于工业以太网的控制系统结构如图1所示：
在图1中，工作状态的密钥管理服务器102、备份状态的密钥管理服务器 103、监控站104、操作员站105、工程师站106以及连接现场控制网络108 的网桥107分别连接到监控网络101中，工业以太网控制系统的现场设备109 分别连接到现场控制网络108上。
其中，密钥管理服务器为冗余配置，它们采用硬接线的方式进行数据通信 和数据监测；工作状态的密钥管理服务器负责向网络设备分配和更新伪随机密 钥，在网络初始化时，该服务器向网络设备统一分配伪随机密钥，在工业以太 网控制系统运行过程中周期性更新网络设备的伪随机密钥；当工作状态的密钥 管理服务器无法正常工作时，备份状态的密钥管理服务器首先中断该工作状态 的密钥管理服务器的工作，同时将自身切换到工作状态，继续执行密钥管理服 务器的工作。监控站对工业以太网控制系统中的异常情况进行监控，操作员站 根据需要对网络设备进行操作和设置。
连接到现场控制网络的各个现场设备之间根据接收到的密钥管理服务器 发送的伪随机密钥，对通信数据进行加密和解密，提高了工业以太网络中各个 网络设备之间数据传输的安全性和实时性。当网络设备之间的数据传输通信出 现故障时，网络设备发送数据传输的错误信息到工程师站。
本发明优选实施例的流程如图2所示：
步骤201：密钥管理服务器发送伪随机密钥到网络设备。
密钥管理服务器保存生成的长度至少为一字节的伪随机密钥并将该伪随 机密钥发送到网络设备，网络设备保存接收到的伪随机密钥并设置该伪随机密 钥的版本号，网络设备返回包含伪随机密钥的分配响应到密钥管理服务器；密 钥管理服务器在响应时间内查询到网络设备已经返回分配响应，则密钥管理服 务器判断分配响应中的伪随机密钥与生成的伪随机密钥是否一致，若不一致则 重新发送伪随机密钥到网络设备中，直到分配响应中的伪随机密钥与所述密钥 管理服务器生成的伪随机密钥一致。
步骤202：密钥管理服务器周期性发送密钥管理命令到网络设备。
密钥管理服务器发送周期性随机生成的密钥管理命令到网络设备；当网络 设备接收到的密钥管理命令的版本号与该网络设备中保存的密钥管理命令版 本号不一致时，该网络设备保存前一周期的伪随机密钥，并更新伪随机密钥， 伪随机密钥的版本号以及密钥管理命令的版本号，同时向密钥管理服务器返回 响应报文；密钥管理服务器在响应时间内查询到网络设备未返回响应报文，则 密钥管理服务器重新发送密钥管理命令到该网络设备，直到密钥管理服务器在 响应时间内查询到该网络设备已返回响应报文。
步骤203：源网络设备将包含加密密文和序列号的数据单元发送到目的网 络设备。
源网络设备生成源完整安全数据单元，源网络设备对该源完整安全数据单 元进行校验生成校验码，并根据保存的伪随机密钥对源完整安全数据单元中包 含的发送数据明文进行加密生成发送数据密文，源网络设备发送包含该发送数 据密文的安全数据单元到目的网络设备。
步骤204：目的网络设备对接收到的数据单元中的密文进行解密生成数据 明文。
目的网络设备从接收到的安全数据单元中读取伪随机密钥的版本号、校验 码以及序列号；目的网络设备判断当读取的伪随机密钥的版本号与该设备中当 前伪随机密钥的版本号一致时，该目的网络设备根据伪随机密钥对安全数据单 元中的发送数据密文解密生成接收数据明文。
目的网络设备生成目的完整安全数据单元后，对该目的完整安全数据单元 进行校验生成校验码，校验的方式可以为奇/偶校验、CRC(循环冗余)校验、 和校验、数字签名等，在同一工业以太网控制系统中，必需使用同一种校验方 法；校验码生成后该目的网络设备判断当该校验码与读取的校验码一致时，保 存生成的目的完整安全数据单元，否则将该目的完整安全数据单元丢弃。
本发明密钥管理服务器向网络设备发送伪随机密钥的流程如图3所示：
步骤301：密钥管理服务器生成长度为四个字节的伪随机密钥并保存该伪 随机密钥。
步骤302：密钥管理服务器将生成的伪随机密钥发送到网络设备。
这些网络设备包括连接到监控网络上的工程师站、操作员站、监控站以及 连接到现场控制网络上的所有现场设备。
步骤303：网络设备保存接收的伪随机密钥并向密钥管理服务器返回分配 响应，该分配响应中包含接收到的伪随机密钥。
步骤304：密钥管理服务器查询1秒的响应时间内网络设备是否返回分配 响应，若否，则执行步骤305；若是，则执行步骤308。
步骤305：密钥管理服务器查询重新发送伪随机密钥的次数是否超过设定 值3次，若是，则执行步骤306；否则，执行步骤307。
步骤306：密钥管理服务器停止发送伪随机密钥并向工程师站返回网络设 备出错信息，结束流程。
步骤307：密钥管理服务器重新发送伪随机密钥到相应的网络设备，然后 执行步骤303。
步骤308：密钥管理服务器判断分配响应中的伪随机密钥是否与自身保存 的伪随机密钥一致，若否，则返回步骤305；否则，结束流程。
本发明密钥管理服务器向网络设备发送密钥管理命令的流程如图4所示：
步骤401：密钥管理服务器周期发送随机生成的密钥管理命令到所有网络 设备。
密钥管理服务器发送的密钥管理命令结构如图5所示，密钥管理命令由密 钥管理操作指令501和密钥管理命令版本号502组成。密钥管理操作指令包括 密钥循环左移、密钥循环右移、密钥左移、密钥右移、密钥位设置以及密钥位 清除。
步骤402：网络设备接收密钥管理命令，并保存该密钥管理命令。
步骤403：网络设备判断接收到的密钥管理命令版本号与自身保存的密钥 管理命令版本号是否一致，若是，则执行步骤404；否则，执行步骤408。
步骤404：网络设备向密钥管理服务器返回响应报文。
步骤405：密钥管理服务器在响应时间1秒内查询网络设备是否返回响应 报文，若否，则执行步骤406，否则，结束流程。
步骤406：密钥管理服务器判断重新向网络设备发送密钥管理命令的次数 是否超过设定值3次，若是，则执行步骤407；否则，执行步骤409。
步骤407：密钥管理服务器停止向网络设备发送密钥管理命令，并向工程 师站返回出错信息，然后结束流程。
步骤408：网络设备更新伪随机密钥，伪随机密钥的版本号，以及密钥管 理命令的版本号，然后返回步骤404。
其中，更新伪随机密钥是将上一周期的伪随机密钥按照密钥管理命令中的 操作指令进行相应操作，包括密钥循环左移、密钥循环右移、密钥左移、密钥 右移、密钥位置设置以及密钥位清除；更新伪随机密钥版本号是将原来的伪随 机密钥的版本号进行累加；更新密钥管理命令的版本号是保存接收到的密钥管 理命令的版本号。
步骤409：密钥管理服务器重新发送密钥管理命令到相应的网络设备，然 后返回步骤402。
本发明源网络设备发送安全协议数据单元的流程如图6所示：
步骤601：源网络设备生成源完整安全数据单元。
源网络设备生成的源完整安全数据单元的结构如图7所示，图7中的源完 整安全数据单元由发送数据明文701，伪随机密钥702，伪随机密钥的版本号 703，以及序列号704(可缺省)组成。
步骤602：源网络设备对源完整安全数据单元进行CRC(循环冗余)校验 生成校验码。
步骤603：源网络设备根据保存的伪随机密钥对发送数据的明文进行加密 处理生成发送数据密文。
步骤604：源网络设备生成安全数据单元。
源网络设备生成的安全数据单元的结构如图8所示，图8中的安全数据单 元由发送数据密文801，循环冗余校验码802，伪随机密钥的版本号703，以 及序列号704(可缺省)组成。
步骤605：源网络设备发送安全数据单元到目的网络设备。
本发明目的网络设备接收安全数据单元的流程如图9所示：
步骤901：目的网络设备从接收的安全数据单元中读取伪随机密钥的版本 号和CRC校验码。
步骤902：目的网络设备比较安全数据单元中的伪随机密钥的版本号与本 设备中的伪随机密钥的版本号，若读取的伪随机密钥的版本号小于本设备中的 伪随机密钥的版本号，执行步骤903；若读取的伪随机密钥的版本号等于本设 备中的伪随机密钥的版本号，执行步骤905；若读取的伪随机密钥的版本号大 于本设备中的伪随机密钥的版本号，执行步骤906。
步骤903：目的网络设备判断读取的伪随机密钥的版本号与本设备中的伪 随机密钥的版本号差值是否为1，若是，则执行步骤904；否则，执行步骤911。
步骤904：目的网络设备根据上一周期的伪随机密钥解密数据密文，然后 执行步骤908。
步骤905：目的网络设备根据保存的伪随机密钥解密数据密文，然后执行 步骤908。
步骤906：目的网络设备缓存安全数据单元，直到接收到新的伪随机密钥 的版本号与本设备中的伪随机密钥的版本号一致。
步骤907：目的网络设备根据新的伪随机密钥解密数据密文。
步骤908：目的网络设备生成目的完整安全数据单元。
其中，目的完整安全数据单元的结构与源完整安全数据单元的结构相似， 由接收数据明文，伪随机密钥，伪随机密钥的版本号，以及序列号(可缺省) 组成。
步骤909：目的网络设备对目的完整安全数据单元进行CRC校验，生成CRC 校验码。
步骤910：目的网络设备判断校验生成的CRC校验码与该设备读取的CRC 校验码是否一致，若否，则执行步骤911；否则，结束流程。
步骤911：目的网络设备丢弃完整安全数据单元。
本发明目的网络设备中序列号匹配的判断流程如图10所示：
步骤1001：目的网络设备判断读取的序列号与该设备中预期存在的序列 号是否一致，若否，则执行步骤1002；否则，执行步骤1006。
在安全数据单元校验后进行序列号匹配判断，通过将接收数据的序列号和 安全协议数据单元接收的预期序列号进行比较，用于判断安全协议数据单元在 传输过程中是否发生数据丢失、数据重发、数据乱序和延迟通信等故障。
步骤1002：目的网络设备判断接收服务是证实服务还是非证实服务，若 是非证实服务，则执行步骤1003；若是证实服务，执行步骤1005。
步骤1003：目的网络设备判断读取的序列号是否大于该设备中预期存在 的序列号，若否，则执行步骤1004；否则，执行步骤1005。
步骤1004：目的网络设备判断读取的序列号与该设备中预期存在的序列 号差值是否大于设定值2，若是，则执行步骤1005；否则，执行步骤1006。
步骤1005：目的网络设备丢弃目的完整安全数据单元并向服务发起方返 回错误信息。
步骤1006：目的网络设备提交目的完整安全数据单元。
虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多 变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化 而不脱离本发明的精神。