(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210549817.9 (22)申请日 2022.05.20 (71)申请人 南京南瑞信息通信科技有限公司 地址 210003 江苏省南京市 鼓楼区南瑞路8 号 (72)发明人 郑强　杨维永　刘寅　罗黎明　 朱世顺　魏兴慎　齐敬　郭于鹏　 李宽合　陈忱　栾国强　丁晓玉　 徐杰　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 邵斌 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 一种面向工控系统组态工程文件的保护方 法及套件 (57)摘要 本发明公开了网络安全技术领域的一种面 向工控系统组态工程文件的保护方法及套件， 方 法包括： 对编写好的工控系统组态工程文件进行 加解密， 获得第一工控系统组态工程文件和加解 密密钥， 加解密密钥包括密码和salt值； 对密码 进行再次加解密， 并保存在第一工控系统组态工 程文件中， 生成第二工控系统组态工程文件； 收 到忘记密码的用户发送的第二工控系统组态工 程文件的厂商通过私钥解密出密码 。 本发明提高 了组态工程文件的加密强度， 可以防止常规的暴 力破解攻击， 降低了组态工程的泄密风险。 权利要求书1页 说明书4页 附图2页 CN 114741716 A 2022.07.12 CN 114741716 A 1.一种面向工控系统 组态工程文件的保护方法， 其特 征在于， 包括： 对编写好的工控系统组态工程文件进行加解密， 获得第 一工控系统组态工程文件和加 解密密钥， 加解密 密钥包括密码和salt值； 对密码进行再次加解密， 并保存在第一工控系统组态工程文件中， 生成第二工控系统 组态工程文件； 收到忘记密码的用户发送的第二工控系统组态工程文件的厂商通过私钥解 密出密码。 2.根据权利要求1所述的面向工控系统组态工程文件的保护方法， 其特征在于， 采用 DES对称加解密方式对编写好的工控系统组态工程文件进 行加解密， D ES对称加解密方式包 括但不限于aes对称加解密算法和des对称加解密算法。 3.根据权利要求1所述的面向工控系统组态工程文件的保护方法， 其特征在于， 采用 openssl加解密组件 对密码进行 再次加解密， 生成公钥和私钥。 4.根据权利要求1所述的面向工控系统组态工程文件的保护方法， 其特征在于， 所述 salt值是 预置的或通过随机算法生成的大于8位的值。 5.一种面向工控系统 组态工程文件的保护套件， 其特 征在于， 包括： 配置在组态软件中的第 一加解密模块， 用于对编写好的工控系统组态工程文件进行加 解密， 获得第一工控系统 组态工程文件和 加解密密钥， 加解密 密钥包括密码和salt值； 配置在组态软件中的第二加解密模块， 用于对密码进行再次加解密， 并保存在第一工 控系统组态工程文件中， 生成第二工控系统组态工程文件； 收到忘记密码的用户发送的第 二工控系统 组态工程文件的厂 商通过私钥解密出密码。 6.根据权利要求5所述的面向工控系统组态工程文件的保护套件， 其特征在于， 所述第 一加解密 模块采用D ES对称加解密方式对编写好的工控系统组态工程文件进 行加解密， D ES 对称加解密方式包括但不限于aes对称加解密算法和des对称加解密算法。 7.根据权利要求5所述的面向工控系统组态工程文件的保护套件， 其特征在于， 所述第 二加解密模块采用opens sl加解密组件 对密码进行 再次加解密， 生成公钥和私钥。 8.根据权利要求5所述的面向工控系统组态工程文件的保护套件， 其特征在于， 所述 salt值是 预置的或通过随机算法生成的大于8位的值。 9.根据权利要求5所述的面向工控系统组态工程文件的保护套件， 其特征在于， 所述组 态软件中配置有D PAPI接口函数和gcry_mal loc_secure接口函数。权　利　要　求　书 1/1 页 2 CN 114741716 A 2一种面向工控系统组态 工程文件的保护方 法及套件 技术领域 [0001]本发明属于网络安全技术领域， 具体涉及 一种面向工控系统组态工程文件的保护 方法及套件。 背景技术 [0002]目前在工业控制系统中， 各大厂家都拥有自己的组态软件， 通过组态软件对组态 工程文件进 行程序编写。 正常的， 通过 组态软件打开组态工程文件时要求输入密码， 由于组 态软件的设计问题， 导致组态工程的加解密 存在被绕过的风险。 一旦工控系统被攻破， 绕过 组态工程的加解密并对组态工程进行加解密， 预制后门程序即可对工控系统运行 统造成破 坏。 由于工业控制系统较高的实时性和较低的cpu运算能力， 决定了其无法使用强加解密技 术。 厂商在设计加解密算法之初， 会考虑到用户忘记密码这个需求， 部 分厂家通过留有的后 门的方式， 将解密好的组态工程文件发送给用户， 这种留有后门的方式一旦内部泄露， 给运 行中的工业控制系统引入巨大的风险。 [0003]组态软件运行在上位机， 组态工程文件运行在plc等下位机中。 目前工业控制系统 攻防已经深入到下位机中， 因此对组态工程文件进行保护， 即可以保护工控系统中下位机 稳定运行。 发明内容 [0004]本发明的目的在于提供一种面向工控系统组态工程文件的保护方法及套件， 以解 决现有技 术中工控系统难以使用强加解密技 术， 组态工程存在泄密风险的技 术问题。 [0005]为达到上述目的， 本发明所采用的技 术方案是： 第一方面， 提供一种面向工控系统组态工程文件的保护方法， 包括： 对编写好的工 控系统组态工程文件进行加 解密， 获得第一工控系统组态工程文件和加 解密密钥， 加 解密 密钥包括密码和salt 值； 对密码进行再次加解密， 并保存在第一工控系统组态工程文件中， 生成第二工控系统组态工程文件； 收到忘记密码的用户发送的第二工控系统组态工程文件 的厂商通过私钥解密出密码。 [0006]进一步地， 采用DES对称加解密方式对编写好的工控系统组态工程文件进行加解 密， DES对称加解密方式包括但不限于aes对称加解密算法和des对称加解密算法。 [0007]进一步地， 采用opens sl加解密组件 对密码进行 再次加解密， 生成公钥和私钥。 [0008]进一步地， 所述salt值是 预置的或通过随机算法生成的大于8位的值。 [0009]第二方面， 提供一种面向工控系统组态工程文件的保护套件， 包括： 配置在组态软 件中的第一加 解密模块， 用于对编写好的工控系统组态工程文件进行加 解密， 获得第一工 控系统组态工程文件和加解密密钥， 加解密密钥包括密码和salt值； 配置在组态软件中的 第二加解密模块， 用于对密码进 行再次加解密， 并保存在第一工控系统组态工程文件中， 生 成第二工控系统组态工程文件； 收到忘记密码的用户发送的第二工控系统组态工程文件的 厂商通过私钥解密出密码。说　明　书 1/4 页 3 CN 114741716 A 3