(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210901404.2 (22)申请日 2022.07.28 (71)申请人 北京计算机技 术及应用研究所 地址 100854 北京市海淀区永定路51号 (72)发明人 吴桐　贾娟　 (74)专利代理 机构 北京慕达星云知识产权代理 事务所 (特殊普通合伙) 11465 专利代理师 符继超 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 69/163(2022.01) (54)发明名称 一种面向工控网络的明密文混合多链路数 据安全传输方法 (57)摘要 本发明公开了一种面向工控网络的明密文 混合多链路数据安全传输方法， 包括： 客户端向 存储服务器发起身份验证与秘钥协商， 之后向存 储服务器发起远程传输数据包请求； 存储服务器 对获取到的数据包进行第一协议解析， 根据解析 后的协议类型对数据包进行加密处理或非加密 处理， 之后存储服务器将处理后的数据包发送至 数据发送池， 经过传输通道后， 通过MP TCP协议进 行多链路分配， 并通过处理程序多链路发送至接 收端代理系统； 接收端代理系统对接收到的数据 包进行预处理和第二协议解析， 并将解析后的数 据包发送至客户端； 该方法可以将 工业控制网络 中多种数据进行明密文分流和多链路传输， 增强 远距离数据传输安全能力， 提升数据传输效率。 权利要求书2页 说明书5页 附图5页 CN 115150082 A 2022.10.04 CN 115150082 A 1.一种面向工控网络的明密文混合多链路数据安全传输方法， 其特 征在于， 包括： S1、 客户端向存 储服务器发起身份验证与秘钥协商； S2、 所述客户端向所述存储服务器发起远程传输数据包请求； 所述存储服务器获取请 求方的数据包， 并对所述数据包进行第一协议解析； 所述存储服务器对解析后的协议类型 进行判断， 并根据所述协议类型对所述数据包进行加密处 理或非加密处 理； S3、 所述存储服务器将处理后的数据包发送至数据发送池， 经过传输通道后， 通过 MPTCP协议进行多链路分配， 并通过处 理程序多链路发送至 接收端代理系统； S4、 所述接收端代理系统对接收到的数据包进行预处理和第二协议解析， 并将解析后 的数据包发送至所述 客户端。 2.如权利要求1所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其 特征在于， 所述S1具体包括； 客户端连接存 储服务器端； 所述存储服务器端发送CA证书给客户端； 所述客户端验证所述CA证书的可靠性， 并在验证通过后从所述CA证书中取 出公钥； 所述客户端生成一个秘钥， 并通过 所述公钥对所述秘钥进行加密处 理， 得到加密秘钥； 所述客户端将所述加密秘钥发送给所述存储服务器端； 由存储服务器端通过自身的私 钥对所述加密秘钥进行解密， 获得 所述秘钥。 3.如权利要求2所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其 特征在于， 在所述S1中， 利用非对称算法进 行私钥签名和公钥加密， 实现认证和密钥因素的 交换。 4.如权利要求1所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其 特征在于， 在所述S2中， 所述第一协议 解析包括： 解析IP报文， 获取IP信息； 解析传输层报文， 获取端口信息； 识别获取对应的协议信息， 如果无法通过端口识别协议信息， 则进一步解析应用 层报 文， 通过特征识别应用层协议类型。 5.如权利要求1所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其 特征在于， 在所述S2中， 按照预设规则判断解析后的协 议类型进 行判断， 若 所述数据包不需 要加密， 则直接通过； 若所述数据包需要加密， 则选用SM4加密算法对需要加密的数据包进 行加密。 6.如权利要求1所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其 特征在于， 在所述S3中， 构建基于MPTCP协议的多链路传输模 型； 所述MPTCP协议的基本功能 包括路径管 理、 数据包调度、 子流接口和拥塞控制； 所述MPTCP协 议向上为应用层提供TCP套 接字， 向下采用标准TCP协议进行子流的数据传输 。 7.如权利要求1所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其 特征在于， 在所述S3中， 所述通过MPTCP协议进 行多链路分配具体包括： 通过基于MPTCP协议 的ECF算法从设备终端拥有的多块网卡中选取最优的一块或若干块作为载体发送出去， 利 用多条链路信息， 根据子流的拥塞窗口和往返时延进行 数据包的调度。 8.如权利要求1所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其权　利　要　求　书 1/2 页 2 CN 115150082 A 2特征在于， 在所述S4中， 所述预 处理包括： 所述接收端代理系统对接收到的数据包进 行聚合 处理。 9.如权利要求8所述的一种面向工控网络的明密文混合多链路数据安全传输方法， 其 特征在于， 所述接 收端代理系统根据接 收到的数据包本身的连接信息， 获得该数据包对应 的发送端网卡的网络地址和端口； 基于此， 所述接 收端代理系统用于给所述网络地址和端 口回馈相应的信息； 经同一发送端上多块网卡发送的多个数据包， 在经聚合处理后， 对应的回馈信息被相 应地同时发送到该发送端的不同网卡上， 然后被多链路聚合传输代理系统截获。 10.如权利要求1所述的一种面向工控 网络的明密文混合多链路数据安全传输方法， 其 特征在于， 在所述S4中， 所述第二 解析协议用于获取 所述数据包中是否包 含加密信息； 若含有加密信息， 则对数据包进行解密处 理， 并将解密后的数据包发送至客户端； 若未含有加密信息， 则直接将数据包发送至客户端。权　利　要　求　书 2/2 页 3 CN 115150082 A 3