一种基于时间同步网络的数据传输方法及相关设备

摘要

本发明涉及一种基于时间同步网络的数据传输方法及相关设备，该方法通过时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；所述第一通信节点基于协商的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；所述第一通信节点向所述第二通信节点发送所述数据报文，实现提高数据传输过程中的数据安全性，避免数据泄露，且提高加解密效率以满足数据传输实时性的技术效果。

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种基于时间同步网络的数据传输方法及相关设备。

背景技术

工业互联网是驱动制造业数字化转型的关键力量，是助力经济高质量发展的新引擎。工业互联网对实时性通信有着迫切需求，通常希望在最快的时间内接收到最重要的数据，从而迅速地对工业环境中出现的问题做出反应。所以，工业互联网对高精度的时间同步网络有着较高需求。

另外，数据安全问题对工业互联网的健康发展是一个极大的挑战，数据的泄密会给国家的安全稳定和个人的工作生活带来极大的隐患，因此数据在传输等过程中的安全保密性显得尤为重要。

然而，如何在高精度时间同步网络下，提高数据的传输安全性和实时性，成为工业互联网发展过程中必须面对和解决的问题。

发明内容

本发明的目的在于提出一种基于时间同步网络的数据传输方法及相关设备，实现提高数据传输过程中的数据安全性，避免数据泄露，且提高加解密效率以满足数据传输实时性的技术效果。

为实现上述目的，本申请第一方面提供了一种基于时间同步网络的数据传输方法，包括：

时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；

所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；

所述第一通信节点向所述第二通信节点发送所述数据报文。

进一步地，所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理，包括：

所述第一通信节点在发送数据报文时，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息；

所述第一通信节点使用确定的加密信息对所述数据报文进行加密处理。

进一步地，第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息之前，包括：

所述第一通信节点将所述指定时间段划分为多个时间片；

为每个时间片生成对应的加密信息，所述加密信息包括密钥和加密算法；

每个时间片与该时间片对应的密钥和加密算法组成所述加密三元组信息。

进一步地，在所述第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息之后，还包括：

在当前的指定时间段内的批量加密三元组信息用尽前，所述第一通信节点与第二通信节点协商出用于下一指定时间段内的批量加密三元组信息。

进一步地，所述第一通信节点与第二通信节点协商出用于下一指定时间段内的批量加密三元组信息包括：

所述第一通信节点与第二通信节点协商出用于下一指定时间段内的新的批量加密三元组信息；

或者，所述第一通信节点与第二通信节点进行关于对当前指定时间段内的批量加密三元组信息中的加密信息可用于下一指定时间段的复用协商。

进一步地，所述第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，包括：

所述第一通信节点使用非对称加密方式，向所述第二通信节点发送携带所述加密三元组信息的密钥协商报文；

所述第一通信节点接收第二通信节点对所述密钥协商报文的反馈报文，以完成批量密钥协商。

进一步地，所述第一通信节点使用确定的加密信息对所述数据报文进行加密，包括：

确定报文发送时间落在时间片切换前后时，生成所述数据报文的摘要信息，以及使用确定的加密信息对所述数据报文进行加密，并将所述摘要信息附在所述加密后的数据报文后。

为实现上述目的，本申请第二方面提供了一种基于时间同步网络的数据传输方法，包括：

时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；

所述第二通信节点从第一通信节点接收加密后的数据报文，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息；

所述第二通信节点使用确定的加密信息对所述数据报文进行解密。

进一步地，所述第二通信节点根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息，包括：

所述第二通信节点保持与所述第一通信节点时间同步，并确定所述数据报文的接收时间；

所述第二通信节点将所述接收时间与所述数据报文的传输延时之间的差值，作为所述数据报文的发送时间；

所述第二通信节点根据所述发送时间对应时间片所属的加密三元组信息，确定加密信息。

进一步地，所述第二通信节点使用确定的加密信息对所述数据报文进行解密之后，包括：

当解密的结果为失败时，根据报文发送时间对应时间片的上一时间片所属的加密三元组信息，确定加密信息；

使用确定的上述加密信息对所述数据报文进行解密。

进一步地，所述第二通信节点使用确定的加密信息对所述数据报文进行解密，包括：

所述第二通信节点从接收的数据报文中提取摘要信息，作为第一摘要信息；

使用确定的加密信息对所述数据报文中的加密字段进行解密；

从解密后的所述数据报文中提取摘要信息，作为第二摘要信息；

当所述第一摘要信息和所述第二摘要信息相同时，确定所述数据报文解密正确。

为实现上述目的，本申请第三方面提供了一种基于时间同步网络的数据传输装置，包括：

第一协商模块，用于时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；

加密模块，用于所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；

数据报文发送模块，用于所述第一通信节点向所述第二通信节点发送所述数据报文。

为实现上述目的，本申请第四方面提供了一种基于时间同步网络的数据传输装置，包括：

第二协商模块，用于时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；

加密信息确定模块，用于所述第二通信节点从第一通信节点接收加密后的数据报文，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息；

解密模块，用于所述第二通信节点使用确定的加密信息对所述数据报文进行解密。

为实现上述目的，本申请第五方面提供了一种基于时间同步网络的数据传输设备，包括：存储器以及一个或多个处理器；

所述存储器，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如第一方面中任一所述的基于时间同步网络的数据传输方法，或者实现如第二方面中任一所述的基于时间同步网络的数据传输方法。

为实现上述目的，本申请第六方面提供了一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如第一方面中任一所述的基于时间同步网络的数据传输方法，或者实现如第二方面中任一所述的基于时间同步网络的数据传输方法。

由上可见，本申请提供的技术方案，通过时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；所述第一通信节点向所述第二通信节点发送所述数据报文。即，本申请中时间同步网络下的两个通讯设备预先协商出批量(例如，几百组/几千组)对称加密密钥/加密算法组，然后在后续报文传递过程中每个时间片更换一组加密密钥/加密算法，而报文接收端基于时间同步的特性，利用预先协商的加密信息，可精确对报文进行解密，解决了现有的工业互联网存在数据泄密的安全隐患问题，实现提高数据传输过程中的数据安全性，避免数据泄露，且提高加解密效率以满足数据传输实时性的技术效果。

附图说明

图1为本发明实施例1中提供的一种基于时间同步网络的数据传输方法的流程图；

图2为本发明实施例2中提供的一种基于时间同步网络的数据传输方法的流程图；

图3为本发明实施例3中提供的一种工业控制系统的结构示意图；

图4为本发明实施例4中提供的一种基于时间同步网络的数据传输系统的工作流程图；

图5为本发明实施例5中提供的一种基于时间同步网络的数据传输装置的结构示意图；

图6为本发明实施例6中提供的一种基于时间同步网络的数据传输装置的结构示意图；

图7为本发明实施例7中提供的一种基于时间同步网络的数据传输设备的结构示意图。

具体实施方式

以下实施例用于说明本发明，但不用来限制本发明的范围。

实施例1

图1为本发明实施例1中提供的一种基于时间同步网络的数据传输方法的流程图。本发明实施例提供一种基于时间同步网络的数据传输方法，该方法可以由基于时间同步网络的数据传输装置来执行，该数据传输装置可以通过软件和/或硬件的方式实现，并集成在基于时间同步网络的数据传输设备中。进一步的，数据传输设备可以作为通信网络中的一个通信节点。

本实施例中，第一通信节点用于向第二通信节点发送数据报文。其中，第二通信节点的数量为至少一个。进一步的，本实施例中，以该数据传输设备为第一通信节点为例进行详细说明。参照图1，该方法可以包括如下的步骤：

S110、时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片。

其中，加密三元组信息包括用于加密信息和时间片，其中，加密信息包括：对称加密的密钥、加密算法。

示例性的，加密三元组信息可以表示为(密钥

1、加密信息(密钥和加密算法)

本实施例中，加密信息中的加密算法是对称加密算法。在对称加密算法中，数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

示例性的，该加密算法可以采用DES算法，3DES算法，TDEA算法，Blowfish算法，RC5算法，IDEA算法等。

2、时间片

该加密三元组信息中的时间片为一个时间片段，用于指示在该时间片内传输的数据报文采用加密三元组信息内的密钥和加密算法进行加密处理即，主要使用时间片来管理加密三元组信息中密钥和加密算法的切换。具体的，在数据报文传递过程中，按照约定的时间片，对协商的批量密钥/加密算法进行切换，并利用切换后的密钥/加密算法进行数据加解密传输。数据接收方同步切换密钥/加密算法，实现对数据的解密。

进一步的，本实施例中，第一通信节点和第二通信节点可以是在同一同步时间网络下，并使用该同步时间网络来进行两通信节点之间的时间同步，来增加第一通信节点和第二通信节点之间确定时间片的准确度，提高密钥/加密算法切换的频率的精度。

该时间同步网络可以优选为时间敏感网络(Time-Sensitive Networking，TSN)网络，也可以选择IEEE 1588/IEC 61588等其他原理类似的时间同步网络。不同时间同步网络的差异在于密钥/加密算法切换的频率精度不同。

当然，本实施例中，第一通信节点和第二通信节点同样可以在4G/5G移动网络、卫星网络中进行时间同步，只是精度比高时间同步网络低。

进一步的，本实施例中，第一通信节点可以将指定时间段划分为多个时间片；为每个时间片生成对应的加密信息，其中，加密信息包括密钥和加密算法；每个时间片与该时间片对应的密钥和加密算法组成加密三元组信息。指定时间段内包括批量的加密三元组信息。

在一具体的实施例中，该指定时间段为未来的一时间段，可以表示为(t

需要说明的是，可以将时间片设置为定长的时间长度或者不定长的时间长度。本实施例中，以将时间片设置为定长的时间长度为例进行说明，同一指定时间段范围内，时间片的时间长度越短，则时间片的个数越多。进一步的，当时间片限定在一个数据报文的传输时间时，则可以达到每个数据报文更换一个密钥的加密效果。

进一步的，可以为每个时间片配置对应的加密信息，即密钥和加密算法，N个加密三元组信息则可以表示为：(密钥1，加密算法1，时间片T

进一步地，本实施例中，第一通信节点和第二通信节点之间传输数据报文采用的是对称的加解密方式，第一通信节点和第二通信节点需要进行密钥协商，即第二通信节点需要知道第一通信节点使用何种加密算法和何种密钥进行数据的加密。

而本实施例中，为了增加对称的加解密方式的安全性，使用的是批量密钥协商，即可以协商出用于指定时间段内的批量加密三元组信息；并进一步的，基于加密三元组信息中的时间片，对加密信息(密钥/加密算法)进行切换。

在一实施例中，第一通信节点可以使用非对称加密方式，向第二通信节点发送携带三元组信息的密钥协商报文；进一步的，第一通信节点接收第二通信节点对所述密钥协商报文的反馈报文，以确定完成批量密钥协商。

其中，非对称加密算法是一种密钥的保密方法。非对称加密算法需要两个密钥：公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

进一步的，非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将公钥公开，需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方；甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反，使用乙方的公钥对数据进行加密，同理，乙方使用自己的私钥来进行解密。

本实施例中，在批量密钥协商时，采用的是非对称加密方式，可以增加对密钥的保密程度，避免加密三元组信息的泄漏。

需要说明的是，密钥协商通常会协商一个时间范围内(预设的时间内)的加密信息，所以，可以在当前的指定时间段内的批量加密三元组信息用尽前，第一通信节点与第二通信节点协商出用于下一指定时间段内的批量加密三元组信息。

本实施例中，对下一指定时间段中加密三元组信息的确定方式不作限定。本实施例中以举例的方式进行说明。

在一实施例中，第一通信节点与第二通信节点协商出用于下一指定时间段内的新的批量加密三元组信息。

具体的，可以将指定时间段结束前的一时间点，确定为加密三元组信息的更新时间点；在更新时间点，第一通信节点可以将下一指定时间段划分为多个时间片；为每个时间片生成对应的加密信息。其中，该更新时间点可以是指定时间段结束前的一时间点，即在协商的批量密钥用尽前，根据实际情况随选择的时间点。

在又一实施例中，第一通信节点与第二通信节点进行关于对当前指定时间段内的批量加密三元组信息中的加密信息可用于下一指定时间段的复用协商。

具体的，可以对已经协商的批量密钥进行循环使用，可以在发送密钥协商报文时，携带循环使用的标识信息，并根据循环使用的次数，更新加密三元组内的时间片信息。循环使用的方式，可以是按照预设的重新排列方式，更改当前的指定时间段内所述批量加密三元组信息的顺序；所述第一通信节点将所述下一指定时间段划分为多个时间片，基于该时间片为更改顺序之后的每组加密三元组信息分配一个新的时间片，以更新每组加密三元组信息中的时间片信息，从而，得到下一指定时间段对应的批量加密三元组信息。

其中，循环使用是指，当协商出的多个密钥已经用完一遍之后，可以对已经用过的密钥和加密算法进行再次使用。

当然为了加密信息的安全性，在循环使用时，循环使用的顺序可以根据需求发生变化。例如：原来的批量加密三元组信息的序号是1,2…N，在使用的时候，可以倒着使用，即N，N-1，…1。当然，顺序不作要求，第一通信节点和第二通信节点约定好即可。需要注意的是，当重复使用时，要对三元组中的时间片进行更新，调整到与归属于下一指定时间段的时间片对应。

S120、所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理。

本实施例中，第一通信节点和第二通信节点可以工作在同一时间网络下，并可以共同基于协商出的加密三元组信息，以时间片为单位更换加密信息，实现对加密信息的同步切换。

在一实施例中，可以将步骤S120进一步细化为步骤S121-S122：

S121、所述第一通信节点在发送数据报文时，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息。

本实施例中，可以确定报文发送时间所对应的时间片，将从加密三元组信息中选取的、与该时间片相对应的密钥和加密算法，确定为该时间片对应的加密信息。

本实施例中，可以将当前时间确定为报文发送时间。进一步的，将该报文发送时间所在的时间片，确定为该报文发送时间所归属的时间片。

在一具体的实施例中，如，报文发送时间为12:01:01:13，时间片的时间范围为(12:00:01:10，12:05:01:15)，则表示报文发送时间为12:01:01:13归属于时间片(12:00:01:10，12:05:01:15)。

本实施例中，加密三元组信息包括用于对称加密的密钥、加密算法和时间片，确定了时间片，则可以从加密三元组信息中找到该时间片相对应的密钥和加密算法，以实现基于选定的时间片，对密钥/加密算法进行切换。

S122、所述第一通信节点使用确定的加密信息对所述数据报文进行加密处理。

本实施例中，加密信息中的加密算法是对称加密算法。示例性的，该加密算法可以采用DES算法，3DES算法，TDEA算法，Blowfish算法，RC5算法，IDEA算法等。

本实施例中，将对如何使用上述加密算法对数据报文进行加密处理进行举例说明。

在一实施例中，加密算法是DES算法。

DES算法可以把64位的明文输入块变为数据长度为64位的密文输出块，其中8位为奇偶校验位，另外56位作为密钥的长度。首先，DES把输入的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位，并进行前后置换，最终由L0输出左32位，R0输出右32位，根据这个法则经过16次迭代运算后，得到L16、R16，将此作为输入，进行与初始置换相反的逆置换，即得到密文输出。

DES算法具有极高的安全性，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法，而56位长密钥的穷举空间为2^56，这意味着如果一台计算机的速度是每秒种检测100万个密钥，那么它搜索完全部密钥就需要将近2285年的时间，因此DES算法是一种很可靠的加密方法。

在又一实施例中，加密算法是RC算法。

RC4算法的原理是“搅乱”，它包括初始化算法和伪随机子密码生成算法两大部分，在初始化的过程中，密钥的主要功能是将一个256字节的初始数簇进行随机搅乱，不同的数簇在经过伪随机子密码生成算法的处理后可以得到不同的子密钥序列，将得到的子密钥序列和明文进行异或运算(XOR)后，得到密文。

由于RC4算法加密采用的是异或方式，所以，一旦子密钥序列出现了重复，密文就有可能被破解，但是目前还没有发现密钥长度达到128位的RC4有重复的可能性，所以，RC4也是目前最安全的加密算法之一。

在又一实施例中，加密算是BlowFish算法。

BlowFish算法是一个64位分组及可变密钥长度的分组密码算法。

BlowFish算法使用两个“盒”：pbox和sbox，BlowFish算法有一个核心加密函数。该函数输入64位信息，运算后以64位密文的形式输出。用BlowFish算法加密信息，需要密钥预处理和信息加密两个过程。BlowFish算法的原密钥pbox和sbox是固定的，要加密一个信息，需要选择一个key，用这个key对pbox和sbox进行变换，得到下一步信息加密所用到的key_pbox和key_sbox。

BlowFish算法解密，同样也需要密钥预处理和信息解密两个过程。密钥预处理的过程和加密时完全相同。信息解密的过程就是把信息加密过程的key_pbox逆序使用即可。

S130、所述第一通信节点向所述第二通信节点发送所述数据报文。

本实施例中，第一通信节点可以向可与第一通信节点同步切换加密三元组信息的第二通信节点发送数据报文。

其中，第一通信节点和第二通信节点在同一时间同步网络下，可以进行时间的同步，而且，第一通信节点和第二通信节点协商有批量加密三元组信息，即第一通信节点和第二通信节点之间，可以基于加密三元组信息中的时间片信息，对基于时间片进行划分的加密信息进行同步切换。

进一步地，第一通信节点可以向第二通信节点发送加密后的数据报文。其中，第二通信节点可以用于使用基于时间片确定的加密信息对该数据报文进行解密。

在一实施例中，可以将报文发送时间对应的时间片携带于数据报文中，并发送至第二通信节点。

本实施例中，数据报文中携带的时间片，可以使得第二通信节点可以直接确定时间片，以快速从已经协商好的加密三元组信息中确定与该时间片匹配的密钥和加密算法，实现第一通信节点与第二通信节点基于选定的时间片进行密钥/加密算法的同步切换。

在上述技术方案的基础上，还可以确定报文发送时间落在时间片切换前后时，生成数据报文的摘要信息，以及使用确定的加密信息对数据报文进行加密，并将摘要信息附在加密后的数据报文后。

其中，当报文发送时间与时间片的开始时间或者结束时间比较接近时，可以视为报文发送时间落在时间片切换前后。

本实施例中，即使是高精度的时间同步网络，也会存在延时抖动的情况，例如在数据报文发送时，正好是时间片切换前后，为了避免延时抖动造成解密误差，因此，可以报文发送时间落在时间片切换前后时，附加摘要信息，可以用于在第二通信节点，验证解密之后的数据报文的正确性。

具体的，第二通信节点可以从接收的数据报文中提取摘要信息，作为第一摘要信息；使用确定的加密信息对数据报文中的加密字段进行解密；从解密后的数据报文中提取摘要信息，作为第二摘要信息；当第一摘要信息和第二摘要信息相同时，确定数据报文解密正确。当第一摘要信息和第二摘要信息不同时，则确定密文数据解密错误。

当解密错误时，可以进行解密失败事件记录统计，并产生事件报告，供上层应用或管理者使用进行诊断或攻击风险预防。

本实施例中，通过时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；所述第一通信节点向所述第二通信节点发送所述数据报文。即，本申请中时间同步网络下的两个通讯设备预先协商出批量(例如，几百组/几千组)对称加密密钥/加密算法组，然后在后续报文传递过程中每个时间片更换一组加密密钥/加密算法，而报文接收端基于时间同步的特性，利用预先协商的加密信息，可精确对报文进行解密，解决了现有的工业互联网存在数据泄密的安全隐患问题，实现提高数据传输过程中的数据安全性，避免数据泄露，且提高加解密效率以满足数据传输实时性的技术效果。

进一步的，在批量密钥协商时，采用非对称加密方式；在传输数据报文时，采用对称加密方式，一方面，两种加密方式的结合可以增加通信节点之间数据传输的安全性；另一方面，对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高，在传输数据报文时，采用对称加密方式，可以减少加解密的时间，从而保证数据传输的实时性。

实施例2

图2为本发明实施例2中提供的一种基于时间同步网络的数据传输方法的流程图；本申请提供一种基于时间同步网络的数据传输方法，该方法可以由基于时间同步网络的数据传输装置来执行，该数据传输装置可以通过软件和/或硬件的方式实现，并集成在可进行在基于时间同步网络的数据传输设备中。进一步的，数据传输设备可以作为通信网络中的一个通信节点。

本实施例中，第一通信节点用于向第二通信节点发送数据报文。其中，第二通信节点的数量为至少一个。进一步的，本实施例中，以该数据传输设备为第二通信节点为例进行详细说明。第二通信节点用于从第一通信节点接收数据报文，参照图3，该方法可以包括如下的步骤：

S210、时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片。

其中，加密三元组信息为第一通信节点批量生成、且包括加密信息和时间片，其中，加密信息包括用于对称加密的密钥、加密算法。

具体的，第二通信节点可以使用非对称加密方式，从第一通信节点接收携带加密三元组信息的密钥协商报文；第二通信节点从密钥协商报文中提取出加密三元组信息；第二通信节点向第一通信节点发送针对密钥协商报文的反馈报文，以确定完成批量密钥协商。

进一步的，加密三元组信息中的加密算法，采用的是对称加密算法。也就是说，可以采用该加密算法对应的逆算法对第一通信节点发送的密文数据进行解密。本实施例中，由于在对称加密算法中，加密算法和加密算法的逆算法是一一对应的，为了描述方便，直接描述为使用加密算法对第一通信节点发送的密文数据进行解密。

S220、所述第二通信节点从第一通信节点接收加密后的数据报文，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息。

其中，所述第一通信节点可与所述第二通信节点同步切换加密三元组信息。而且，数据报文经过第一通信节点加密。

具体的，第一通信节点可以在发送数据报文时，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息；第一通信节点使用确定的加密信息对数据报文进行加密后，向可与第一通信节点同步切换加密三元组信息的第二通信节点发送数据报文。

本实施例中，第二通信节点确定报文发送时间对应的时间片，可以采用两种方式。

1、第一种方式

在一实施例中，若第一通信节点在数据报文中携带有报文发送时间对应的时间片，则直接从数据报文中读取该报文发送时间对应的时间片，并根据该时间片所属的加密三元组信息，确定加密信息。

2、第二种方式

在又一实施例中，基于延时的可测特性，可以准确获取报文发送时间。

具体的，第二通信节点可以保持与第一通信节点时间同步，并确定报文数据接收时间；第二通信节点将接收时间与数据报文的传输延时之间的差值，作为数据报文的发送时间；第二通信节点将发送时间对应时间片所属的加密三元组信息，确定加密信息。其中，数据报文的传输延时可以是根据当前网络状态下，数据报文的传输时间的平均时长。

本实施例中，加密三元组信息包括用于对称加密的密钥、加密算法和时间片，确定了时间片，则可以从该加密三元组信息中找到相对应的加密信息(密钥/加密算法)，以实现基于选定的时间片，对密钥/加密算法进行同步切换。

S230、所述第二通信节点使用确定的加密信息对所述数据报文进行解密。

本实施例中，可以确定的加密信息中的密钥和加密算法对接收到的数据报文进行解密，即使用密钥和加密算法对应的逆算法对接收到的数据报文进行解密。

在一实施例中，为了判断第二通信节点是否对数据报文解密成功，可以是：第一通信节点可以确定报文发送时间落在时间片切换前后时，生成数据报文的摘要信息，以及使用确定的加密信息对数据报文进行加密，并将摘要信息附在加密后的数据报文后。

进一步的，第二通信节点可以从接收的数据报文中提取摘要信息，作为第一摘要信息；使用确定的加密信息对数据报文中的加密字段进行解密；从解密后的数据报文中提取摘要信息，作为第二摘要信息；当第一摘要信息和第二摘要信息相同时，确定数据报文解密正确。当第一摘要信息和第二摘要信息不同时，则确定数据报文解密错误。

需要注意的是，本实施例中，生成的摘要信息并不是传统的用于检测信息的完整性，而是用于判断解密的正确性。

在一实施例中，当解密失败时，可以进行解密失败事件记录统计，并产生事件报告，供上层应用或管理者使用进行诊断或攻击风险预防。

当然，即使是高精度的时间同步网络，也会存在延时抖动的情况，例如在数据报文发送时，正好是时间片切换前后，为了避免延时抖动造成解密误差，在又一实施例中，当解密的结果为失败时，根据报文发送时间对应时间片的上一时间片所属的加密三元组信息，确定加密信息；使用确定的上述加密信息对数据报文进行解密。也就是说，针对可能跨时间片的数据报文，通过时间片的切换，为解密留有空间隙的余量。

本实施例提供的技术方案，通过时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个加密三元组信息包括加密信息和时间片；第二通信节点从第一通信节点接收加密后的数据报文，其中，第一通信节点可与第二通信节点同步切换加密三元组信息；第二通信节点根据报文接收时间对应时间片所属的加密三元组信息，确定加密信息；第二通信节点使用确定的加密信息对数据报文进行解密，解决了现有的工业互联网存在数据泄密的安全隐患问题，实现提高数据传输过程中的数据安全性，避免数据泄露，且提高加解密效率以满足数据传输实时性的技术效果。

进一步的，在批量密钥协商时，采用非对称加密方式；在传输数据报文时，采用对称加密方式，一方面，两种加密方式的结合可以增加通信节点之间数据传输的安全性；另一方面，对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高，在传输数据报文时，采用对称加密方式，可以减少加解密的时间，从而保证数据传输的实时性。

进一步的，在数据报文发送时间落在时间片发生变化时，则，第二通信节点先以确定出的时间片对应的密钥进行解密，若解密不成功，再以上一时间片对应的密钥进行解密。即，针对可能跨时间片的报文，为解密留有空间隙的余量，防止因延时抖动出现解密误差的问题。

进一步的，使用数据报文的摘要信息进行比较，可以检验解密是否成功，提高了解密的正确率。

实施例3

图3为本发明实施例3中提供的一种工业控制系统的结构示意图。上述实施例中的数据传输方法可以应用于通信网络中，参照图3，本实施例中，以该通信网络是工业控制系统中的工业互联网络为例进行说明。

可选的，该数据传输设备包括但不限定于工业互联网中的终端设备或者通信设备。其中，终端设备可以包括控制器；通信设备可以包括交换机和路由器等。

具体的，上述实施例中提供的数据传输方法，可以具体用于对传输的数据进行加密。进一步的，该数据传输方法可以应用在不同的工业场景中，根据不同的场景可以进行不同层次的加密处理。例如：1、端到端加密，即可以是数据发送方到数据接收方的端到端的加密；2、网络传输加密，即，若数据发送方到以太网传输前是物理可控的，那么可以在二层交换机侧进行加密，到数据接收方对应的交换机进行解密；3、端到端加密和网络传输加密两种加密方式的双重加密。

在一具体的实施例中，以风电控制系统这一工业控制系统为例进行说明，参照图3，中心控制器通过以太网连接到各个风机侧的控制器或传感器。通过采集风机现场数据，经过运算，形成控制调整策略，然后下发到各个风机控制器进行调整。在网络中，同时承载着网络管理，监控数据，及文件传输等非调整控制类型的数据。

本实施例中，第一通信节点用于向第二通信节点发送数据报文。其中，第二通信节点的数量为至少一个。进一步的，本实施例中，将通过举例的方式，对不同层次加密处理的数据传输方法如何应用于图3所示的通信网络进行说明。

1、端对端加密

在一实施例中，若中心控制器与交换机2间为物理可控的，那么可以在中心控制器向交换机发送数据时，不进行加密处理，而是由交换机2对数据进行媒体存取控制层(MediaAccess Control Layer)加密，实现数据传输加密，而接收方交换机接收到加密的数据进行解密后发送到数据接收端。即，交换机2为第一通信节点，接收方交换机为第二通信节点。

2、网络传输加密

在又一实施例中，还可以是中心控制器对数据进行加密，交换机透传，在数据接收侧进行解密。即，中心控制器为第一通信节点，数据接收侧(如风机控制器)为第二通信节点。

3、双重加密

在又一实施例中，还可以是中心控制器对数据进行加密，交换机2对数据再进行传输加密，数据接收方对应的交换机对传输层加密数据进行解密后发送到数据接收方，数据接收方在对中心控制器的加密数据进行解密。即中心控制器为第一通信节点时，对应着，数据接收方为第二通信节点；交换机2为第一通信节点时，对应着，数据接收方对应的交换机为第二通信节点。

实施例4

图4为本发明实施例4中提供的一种基于时间同步网络的数据传输系统的工作流程图。

本实施例中，提供的一种基于时间同步网络的数据传输系统，可以是工业控制系统中负责通信的子系统，基于工业控制系统中的通信网络进行数据传输。

具体的，参照图4，该数据传输系统，可以包括第一通信节点和第二通信节点。

在S401中，时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；

在S402中，所述第一通信节点，用于基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；

在S403中，所述第一通信节点，用于向所述第二通信节点发送所述数据报文；

在S404中，所述第二通信节点，用于从第一通信节点接收加密后的数据报文，根据报文接收时间对应时间片所属的加密三元组信息，确定加密信息；

在S405中，所述第二通信节点，用于使用确定的加密信息对所述数据报文进行解密。

实施例5

图5为本发明实施例5中提供的一种基于时间同步网络的数据传输装置的结构示意图。

本实施例中，提供的一种基于时间同步网络的数据传输装置，可以通过软件和/或硬件的方式实现，并集成在数据传输设备中。进一步的，数据传输设备可以作为通信网络中的一个通信节点。

参照图5，本实施例中，以该装置工作于第一通信节点为例进行详细说明。该装置包括：第一协商模块510、加密模块520和数据报文发送模块530。

第一协商模块510，用于时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片。

加密模块520，用于所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理。

数据报文发送模块530，用于所述第一通信节点向所述第二通信节点发送所述数据报文。

本实施例中，通过时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；所述第一通信节点向所述第二通信节点发送所述数据报文。即，本申请中时间同步网络下的两个通讯设备预先协商出批量(例如，几百组/几千组)对称加密密钥/加密算法组，然后在后续报文传递过程中每个时间片更换一组加密密钥/加密算法，而报文接收端基于时间同步的特性，利用预先协商的加密信息，可精确对报文进行解密，解决了现有的工业互联网存在数据泄密的安全隐患问题，实现提高数据传输过程中的数据安全性，避免数据泄露，且提高加解密效率以满足数据传输实时性的技术效果。

在上述技术方案的基础上，加密模块520，包括：

加密信息确定单元，用于所述第一通信节点在发送数据报文时，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息。

加密处理单元，用于所述第一通信节点使用确定的加密信息对所述数据报文进行加密处理。

在上述技术方案的基础上，该装置，还包括：

时间片划分模块，用于第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息之前，所述第一通信节点将所述指定时间段划分为多个时间片。

加密信息生成模块，用于为每个时间片生成对应的加密信息，所述加密信息包括密钥和加密算法。

加密三元组信息生成模块，用于每个时间片与该时间片对应的密钥和加密算法组成所述加密三元组信息。

在上述技术方案的基础上，该装置还包括；

重新协商模块，用于在当前的指定时间段内的批量加密三元组信息用尽前，所述第一通信节点与第二通信节点协商出用于下一指定时间段内的批量加密三元组信息。

在上述技术方案的基础上，该重新协商模块，包括：

第一协商单元，用于所述第一通信节点与第二通信节点协商出用于下一指定时间段内的新的批量加密三元组信息。或者，

第二协商单元，用于所述第一通信节点与第二通信节点进行关于对当前指定时间段内的批量加密三元组信息中的加密信息可用于下一指定时间段的复用协商。

在上述技术方案的基础上，第一协商模块510，包括：

密钥协商报文发送单元，用于所述第一通信节点使用非对称加密方式，向所述第二通信节点发送携带所述加密三元组信息的密钥协商报文；

反馈报文接收单元，用于所述第一通信节点接收第二通信节点对所述密钥协商报文的反馈报文，以完成批量密钥协商。

在上述技术方案的基础上，该加密模块，还包括：

摘要信息生成单元，用于确定报文发送时间落在时间片切换前后时，生成所述数据报文的摘要信息，以及使用确定的加密信息对所述数据报文进行加密，并将所述摘要信息附在所述加密后的数据报文后。

实施例6

图6为本发明实施例6中提供的一种基于时间同步网络的数据传输装置的结构示意图。

本实施例中，提供的一种基于时间同步网络的数据传输装置，可以通过软件和/或硬件的方式实现，并集成在数据传输设备中。进一步的，数据传输设备可以作为通信网络中的一个通信节点。

参照图6，本实施例中，以该装置工作于第二通信节点为例进行详细说明。该装置包括：第二协商模块610、数据报文接收模块620和解密模块630。

第二协商模块610，用于时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片。

数据报文接收模块620，用于所述第二通信节点从第一通信节点接收加密后的数据报文，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息。

解密模块630，用于所述第二通信节点使用确定的加密信息对所述数据报文进行解密。

本实施例提供的技术方案，通过时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个加密三元组信息包括加密信息和时间片；第二通信节点从第一通信节点接收加密后的数据报文，根据报文接收时间对应时间片所属的加密三元组信息，确定加密信息；第二通信节点使用确定的加密信息对数据报文进行解密，解决了现有的工业互联网存在数据泄密的安全隐患问题，实现提高数据传输过程中的数据安全性，避免数据泄露，且提高加解密效率以满足数据传输实时性的技术效果。

在一实施例中，数据报文接收模块620，包括：

接收时间确定单元，用于所述第二通信节点保持与所述第一通信节点时间同步，并确定所述数据报文的接收时间。

发送时间确定单元，用于所述第二通信节点将所述接收时间与所述数据报文的传输延时之间的差值，作为所述数据报文的发送时间。

加密信息确定单元，用于所述第二通信节点根据所述发送时间对应时间片所属的加密三元组信息，确定加密信息。

在上述技术方案的基础上，该装置还包括：

时间片切换模块，用于在所述第二通信节点使用确定的加密信息对所述数据报文进行解密之后，当解密的结果为失败时，根据报文发送时间对应时间片的上一时间片所属的加密三元组信息，确定加密信息；

报文解密模块，用于使用确定的上述加密信息对所述数据报文进行解密。

在上述技术方案的基础上，该装置还包括：

摘要接收模块，用于所述第二通信节点还从第一通信节点接收未加密的数据报文的摘要信息，作为第一摘要信息。

在上述技术方案的基础上，该解密模块630，还包括：

第一摘要提取单元，用于所述第二通信节点从接收的数据报文中提取摘要信息，作为第一摘要信息。

解密单元，用于使用确定的加密信息对所述数据报文中的加密字段进行解密。

第二摘要提取单元，用于从解密后的所述数据报文中提取摘要信息，作为第二摘要信息。

解密状态确定模，用于当所述第一摘要信息和所述第二摘要信息相同时，确定所述数据报文解密正确。

实施例7

图7为本发明实施例7中提供的一种基于时间同步网络的数据传输设备的结构示意图。如图7所示，该数据传输设备包括：处理器70、存储器71、输入装置72以及输出装置73。该数据传输设备中处理器70的数量可以是一个或者多个，图7中以一个处理器70为例。该数据传输设备中存储器71的数量可以是一个或者多个，图7中以一个存储器71为例。该数据传输设备的处理器70、存储器71、输入装置72以及输出装置73可以通过总线或者其他方式连接，图7中以通过总线连接为例。该数据传输设备可以是电脑和服务器等。本实施例中，以该通信网络是工业控制系统中的工业互联网络为例进行说明。可选的，该数据传输设备包括但不限定于工业互联网中的终端设备或者通信设备。其中终端设备可以包括控制器。通信设备可以包括交换机和路由器等。

存储器71作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明任意实施例所述的数据传输方法对应的程序指令/模块(例如，数据传输装置中的第一协商模块510、加密模块520和数据报文发送模块530；又例如，数据传输装置中的第二协商模块610、数据报文接收模块620和解密模块630)。存储器71可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据设备的使用所创建的数据等。此外，存储器71可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器71可进一步包括相对于处理器70远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置72可用于接收输入的数字或者字符信息，以及产生与数据传输设备的观众用户设置以及功能控制有关的键信号输入，还可以是用于获取图像的摄像头以及获取音频数据的拾音设备。输出装置73可以包括扬声器等音频设备。需要说明的是，输入装置72和输出装置73的具体组成可以根据实际情况设定。

处理器70通过运行存储在存储器71中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的数据传输方法。

实施例8

本发明实施例8还提供一种包含计算机可执行指令的存储介质。所述计算机可执行指令在由计算机处理器执行时用于执行一种基于时间同步网络的数据传输方法。

在一实施例中，该方法包括：

时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；

所述第一通信节点基于协商出的加密三元组信息，以时间片为单位更换加密信息，并对各时间片内发送的数据报文进行加密处理；

所述第一通信节点向所述第二通信节点发送所述数据报文。

在又一实施例中，该方法包括：

时间同步网络下的第一通信节点与第二通信节点协商出用于指定时间段内的批量加密三元组信息，每个所述加密三元组信息包括加密信息和时间片；

所述第二通信节点从第一通信节点接收加密后的数据报文，根据报文发送时间对应时间片所属的加密三元组信息，确定加密信息；

所述第二通信节点使用确定的加密信息对所述数据报文进行解密。

当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的数据传输方法操作,还可以执行本发明任意实施例所提供的数据传输方法中的相关操作，且具备相应的功能和有益效果。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是机器人，个人计算机，服务器，或者网络设备等)执行本发明任意实施例所述的数据传输方法。

虽然，上文中已经用一般性说明、具体实施方式及试验，对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。