CN103475478B - 终端安全防护方法和设备 - Google Patents
终端安全防护方法和设备 Download PDFInfo
- Publication number
- CN103475478B CN103475478B CN201310395485.4A CN201310395485A CN103475478B CN 103475478 B CN103475478 B CN 103475478B CN 201310395485 A CN201310395485 A CN 201310395485A CN 103475478 B CN103475478 B CN 103475478B
- Authority
- CN
- China
- Prior art keywords
- terminal
- data
- stipulations
- module
- control command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种终端安全防护方法和设备,包括步骤:采用中断模式接收终端传输的工业过程数据;对终端传输的工业过程数据进行规约检查;根据IPSEC VPN安全策略对规约检查后的工业过程数据加密、签名;将加密、签名后的工业过程数据通过VPN通道发送到主站;根据IPSEC VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;对解密、验签、完整性校验后的数据或控制命令进行规约检查;将规约检查后的数据或控制命令发送到终端。上述终端安全防护方法和设备,通过对终端和主站传输的数据进行规约检查、加解密、完整性校验,提高了工业控制系统的安全性。
Description
技术领域
本发明涉及信息安全密码技术领域,特别是涉及一种终端安全防护方法和设备。
背景技术
工业控制系统是对SCADA(数据采集与监视控制系统)、DCS(分散控制系统)、PCS(个人通讯服务)、PLC(可编程逻辑控制器)等多种控制系统的总称,广泛运用于电力、石油化工、水利、工业制造、市政等行业。工业控制系统由主站、网络和终端组成,其原理是终端采集工业过程数据,通过网络将数据送至主站,主站分析后通过网络向终端发送控制命令,终端执行命令并向主站返回结果。
随着计算机和网络技术的发展,特别是信息化工业化深度融合以及互联网的快速发展,工业控制系统产品越来越多的采用通用协议、通用硬件、通用软件,以各种方式与互联网等公共网络连接,但是传统的工业控制系统在设计上基本没有考虑互连互通所必须的通信安全问题,几乎没有隔离功能,如果工业控制系统的任一点受到网络攻击,都有可能造成极大损失,因此工业控制系统的安全问题急需解决。
发明内容
基于此,有必要针对上述工业控制系统的安全问题,提供一种终端安全防护方法和设备。
一种终端安全防护方法,包括步骤:
采用中断模式接收终端传输的工业过程数据;
对终端传输的工业过程数据进行规约检查;
根据IPSEC VPN安全策略对规约检查后的工业过程数据加密、签名;
将加密、签名后的工业过程数据通过VPN通道发送到主站;
根据IPSEC VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;
对解密、验签、完整性校验后的数据或控制命令进行规约检查;
将规约检查后的数据或控制命令发送到终端。
上述终端安全防护方法,通过对终端传输的工业过程数据进行规约检查、加密、签名,通过VPN通道发送到主站;通过对主站通过VPN通道传输的控制命令解密、验签、完整性校验、规约检查,确保了终端和主站之间数据传输的安全性,使传输的数据防窃取、防篡改、抗重放等,提高了工业控制系统的安全性。
一种终端安全防护设备,其中所述终端安全防化设备与终端相连,在终端与主站之间进行数据处理和传输,包括:
与终端相连的串行控制模块,所述串行控制模块采用中断模式接收终端传输的工业过程数据或将规约检查后的数据或控制命令发送到终端;
与所述串行控制模块相连的规约检查模块,所述规约检查模块对终端传输的工业过程数据进行规约检查或对解密、验签、完整性校验后的数据或控制命令进行规约检查;
与所述规约检查模块相连的数据处理模块,所述数据处理模块根据IPSECVPN安全策略,对规约检查后的工业过程数据加密、签名或对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验。
上述终端安全防护设备,通过规约检查模块和数据处理模块对终端与主站之间传输的数据进行规约检查、加解密、完整性校验,确保了终端和主站之间数据传输的安全性,使传输的数据防窃取、防篡改、抗重放等,提高了工业控制系统的安全性。
附图说明
图1为本发明方法实施例一的流程示意图;
图2为本发明方法实施例二的流程示意图;
图3为本发明装置实施例一的结构示意图;
图4为本发明装置实施例二的结构示意图;
图5为本发明装置实施例三的结构示意图。
具体实施方式
下面结合附图以具体实施例的方式对本发明终端安全防护方法的具体实施方式做详细描述。
实施例一
如图1所示,一种终端安全防护方法,包括步骤:
S101、采用中断模式接收终端传输的工业过程数据;
S102、对终端传输的工业过程数据进行规约检查,将不符合规约的工业过程数据丢弃;
S103、根据IPSEC(互联网协议安全性)VPN(虚拟专用网络)安全策略对规约检查后的工业过程数据加密、签名;
S104、将加密、签名后的工业过程数据通过VPN通道发送到主站;
S105、根据IPSEC VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;
S106、对解密、验签、完整性校验后的数据或控制命令进行规约检查;
S107、将规约检查后的数据或控制命令发送到终端。
上述终端安全防护方法,通过对终端传输的工业过程数据进行规约检查、加密、签名,通过VPN通道发送到主站;通过对主站通过VPN通道传输的控制命令解密、验签、完整性校验、规约检查,确保了终端和主站之间数据传输的安全性,使传输的数据防窃取、防篡改、抗重放等,提高了工业控制系统的安全性。
实施例二
实施例二与实施例一的区别是将规约检查后的控制命令发送到终端后,还将终端执行控制命令后的结果传输给主站。
如图2所示,一种终端安全防护方法,包括步骤:
S201、采用中断模式接收终端传输的工业过程数据;
S202、对终端传输的工业过程数据进行规约检查,将不符合规约的工业过程数据丢弃;
S203、根据IPSEC VPN安全策略对规约检查后的工业过程数据加密、签名;
S204、将加密、签名后的工业过程数据通过VPN通道发送到主站;
S205、根据IPSEC VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;
S206、对解密、验签、完整性校验后的数据或控制命令进行规约检查;
S207、将规约检查后的数据或控制命令发送到终端;
S208、采用中断模式接收终端传输的执行数据或控制命令后的结果;
S209、对终端传输的执行数据或控制命令后的结果进行规约检查;
S210、根据IPSEC VPN安全策略对规约检查后的结果加密、签名;
S211、将加密、签名后的结果通过VPN通道发送到主站。
上述终端安全防护方法,通过对终端和主站之间传输的数据进行规约检查、加解密、完整性校验,确保了终端和主站之间数据传输的安全性,提高了工业控制系统的安全性。同时将终端执行主站控制命令后的结果传输给主站,使主站了解终端执行命令的情况,实时对终端的控制命令做出调整。
下面结合附图以具体实施例的方式对本发明终端安全防护设备的具体实施方式做详细描述。
实施例一
如图3所示,一种终端安全防护设备120,其中所述终端安全防护设备120与终端110相连,在终端110与主站130之间进行数据处理和传输,包括:
与终端110相连的串行控制模块121,所述串行控制模块121采用中断模式接收终端110传输的工业过程数据或将规约检查后的数据或控制命令发送到终端110;
与所述串行控制模块121相连的规约检查模块122,所述规约检查模块122对终端110传输的工业过程数据进行规约检查或对解密、验签、完整性校验后的数据或控制命令进行规约检查;
与所述规约检查模块122相连的数据处理模块123,所述数据处理模块123根据IPSEC VPN安全策略,对规约检查后的工业过程数据加密、签名或对主站130分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验。
在一个具体实施例中,支持128比特的国密SM1对称算法主要用于工业过程数据的加解密或控制命令的加解密。支持256比特的国密SM2非对称算法主要用于工业过程数据的签名、验签或控制命令的签名、验签。支持256比特的国密SM3算法主要用于工业过程数据的完整性校验或控制命令的完整性校验。
上述终端安全防护设备,通过规约检查模块122和数据处理模块123对终端110与主站130之间传输的数据进行规约检查、加解密、完整性校验,确保了终端110和主站130之间数据传输的安全性,使传输的数据防窃取、防篡改、抗重放等,提高了工业控制系统的安全性。
实施例二
实施例二与实施例一的主要区别是终端安全防护设备还包括密钥存贮模块。
如图4所示,一种终端安全防护设备220,其中所述终端安全防护设备220与终端210相连,在终端210与主站230之间进行数据处理和传输,包括:
与终端210相连的串行控制模块221,所述串行控制模块221采用中断模式接收终端210传输的工业过程数据或将规约检查后的数据或控制命令发送到终端210;
与所述串行控制模块221相连的规约检查模块222,所述规约检查模块222对终端210传输的工业过程数据进行规约检查或对解密、验签、完整性校验后的数据或控制命令进行规约检查;
与所述规约检查模块222相连的数据处理模块223,所述数据处理模块223根据IPSEC VPN安全策略,对规约检查后的工业过程数据加密、签名或对主站230分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验。
密钥存贮模块224,所述密钥存贮模块224存储IPSEC VPN安全策略和密钥,其中所述密钥可以为设备密钥或会话密钥等,将IPSEC VPN安全策略和密钥存贮在密钥存贮模块224,有效保证了其安全性,同时也增加了工业控制系统数据传输的安全性。
在一个具体实施例中,所述串行控制模块221、所述规约检查模块222、所述数据处理模块223、所述密钥存贮模块224可以设于SOC(system on chip)芯片上,受SOC芯片保护,具有较高的安全性和经济性。
本实施例其它技术特征与实施例一相同,在此不予赘述。
实施例三
实施例三与实施例一的主要区别是终端安全防护设备还包括密钥存贮模块和拨号模块。
如图5所示,一种终端安全防护设备320,其中所述终端安全防护设备320与终端310相连,在终端310与主站330之间进行数据处理和传输,包括:
与终端310相连的串行控制模块321,所述串行控制模块321采用中断模式接收终端310传输的工业过程数据或将规约检查后的数据或控制命令发送到终端310;
与所述串行控制模块321相连的规约检查模块322,所述规约检查模块322对终端310传输的工业过程数据进行规约检查或对解密、验签、完整性校验后的数据或控制命令进行规约检查;
与所述规约检查模块322相连的数据处理模块323,所述数据处理模块323根据IPSEC VPN安全策略,对规约检查后的工业过程数据加密、签名或对主站330分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验。
密钥存贮模块324,所述密钥存贮模块324存储IPSEC VPN安全策略和密钥,其中所述密钥可以为设备密钥或会话密钥等,将IPSEC VPN安全策略和密钥存贮在密钥存贮模块324,有效保证了其安全性,增加了工业控制系统数据传输的安全性。
拨号模块325,所述拨号模块325通过VPN通道将加密、签名后的工业过程数据传输给主站330,或接收主站330分析工业过程数据后发送的数据或控制命令。终端安全防护设备320启动后,拨号模块325自动进行GPRS(通用无线分组技术)拨号,当拨号成功后,终端安全防护设备320自动将拨号成功后获得的公网IP(网络协议)设置为默认网关,使终端安全防护设备320与主站330在无线网络上连通,从而进行数据传输。
在一个具体实施例中,所述串行控制模块321、所述规约检查模块322、所述数据处理模块323、所述密钥存贮模块324可以设于SOC芯片上,受SOC芯片保护,具有较高的安全性和经济性。
本实施例其他技术特征与实施例一相同,在此不予赘述。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (3)
1.一种终端安全防护方法,其特征在于,包括步骤:
采用中断模式接收终端传输的工业过程数据;
对终端传输的工业过程数据进行规约检查;
根据IPSEC VPN安全策略对规约检查后的工业过程数据通过国密SM1对称算法进行加密、通过国密SM2非对称算法进行签名,IPSEC VPN安全策略和密钥设于SOC芯片上;
进行GPRS拨号,当拨号成功后,自动将拨号成功后获得的公网IP设置为默认网关,建立与主站的无线网络连接,将加密、签名后的工业过程数据通过VPN通道发送到主站;
根据IPSEC VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令通过国密SM1对称算法进行解密、通过国密SM2非对称算法进行验签、通过国密SM3算法进行完整性校验;
对解密、验签、完整性校验后的数据或控制命令进行规约检查;
将规约检查后的数据或控制命令发送到终端;
将规约检查后的数据或控制命令发送到终端后,还包括步骤:
采用中断模式接收终端传输的执行数据或控制命令后的结果;
对终端传输的执行数据或控制命令后的结果进行规约检查;
根据IPSEC VPN安全策略对规约检查后的结果加密、签名;
将加密、签名后的结果通过VPN通道发送到主站,使主站根据加密、签名后的结果对终端的控制命令做出调整。
2.一种终端安全防护设备,其特征在于,所述终端安全防护设备与终端相连,在终端与主站之间进行数据处理和传输,包括:
与终端相连的串行控制模块,所述串行控制模块采用中断模式接收终端传输的工业过程数据或将规约检查后的数据或控制命令发送到终端或采用中断模式接收终端传输的执行数据或控制命令后的结果;
与所述串行控制模块相连的规约检查模块,所述规约检查模块对终端传输的工业过程数据进行规约检查或对解密、验签、完整性校验后的数据或控制命令进行规约检查或对终端传输的执行数据或控制命令后的结果进行规约检查;
与所述规约检查模块相连的数据处理模块,所述数据处理模块根据IPSECVPN安全策略,对规约检查后的工业过程数据通过国密SM1对称算法进行加密、通过国密SM2非对称算法进行签名或对主站分析工业过程数据后通过VPN通道发送的数据或控制命令通过国密SM1对称算法进行解密、通过国密SM2非对称算法进行验签、通过国密SM3算法进行完整性校验,或根据IPSEC VPN安全策略对规约检查后的结果加密、签名;
终端安全防护设备还包括密钥存贮模块,所述密钥存贮模块存储IPSECVPN安全策略和密钥;所述密钥存贮模块设于SOC芯片上;
终端安全防护设备还包括拨号模块,所述拨号模块进行GPRS拨号,当拨号成功后,自动将拨号成功后获得的公网IP设置为默认网关,建立与主站的无线网络连接,通过VPN通道将加密、签名后的工业过程数据传输给主站,或接收主站分析工业过程数据后发送的数据或控制命令,或将加密、签名后的结果通过VPN通道发送到主站,使主站根据加密、签名后的结果对终端的控制命令做出调整。
3.根据权利要求2所述的终端安全防护设备,其特征在于,所述串行控制模块、所述规约检查模块、所述数据处理模块设于SOC芯片上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310395485.4A CN103475478B (zh) | 2013-09-03 | 2013-09-03 | 终端安全防护方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310395485.4A CN103475478B (zh) | 2013-09-03 | 2013-09-03 | 终端安全防护方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103475478A CN103475478A (zh) | 2013-12-25 |
| CN103475478B true CN103475478B (zh) | 2017-04-12 |
Family
ID=49800190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310395485.4A Active CN103475478B (zh) | 2013-09-03 | 2013-09-03 | 终端安全防护方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103475478B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929423B (zh) * | 2014-04-15 | 2017-08-25 | 广东电网公司电力科学研究院 | 处理电力规约的IPSec VPN安全转发方法与系统 |
| CN104539573B (zh) * | 2014-10-30 | 2018-07-27 | 北京科技大学 | 一种基于嵌入式系统的工业安全网关的通信方法及装置 |
| CN105812139B (zh) * | 2014-12-31 | 2019-10-25 | 北京华大智宝电子系统有限公司 | 一种安全认证方法及系统 |
| CN105072025B (zh) * | 2015-08-05 | 2018-03-13 | 北京科技大学 | 针对现代工业控制系统网络通信的安全防护网关及系统 |
| CN105791271A (zh) * | 2016-02-23 | 2016-07-20 | 梅照付 | 一种电网用的安全防护控制方法 |
| CN106685702B (zh) * | 2016-12-08 | 2020-05-05 | 北京立思辰新技术有限公司 | 一种基于工业控制系统安全防护设备的大数据采集方法 |
| CN106603551A (zh) * | 2016-12-28 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于安全基线的工控机安全防护系统及方法 |
| CN110636030B (zh) * | 2018-06-21 | 2023-04-21 | 全球能源互联网研究院有限公司 | 一种电力移动终端的层次化安全管控方法及系统 |
| CN108900540B (zh) * | 2018-08-10 | 2021-09-03 | 南方电网科学研究院有限责任公司 | 一种基于双重加密的配电终端的业务数据处理方法 |
| CN109981568B (zh) * | 2019-02-15 | 2022-01-04 | 中国南方电网有限责任公司 | 一种基于双通道身份认证的变电站远方操作安全防护方法 |
| CN112015111B (zh) * | 2019-05-30 | 2022-02-11 | 中国科学院沈阳自动化研究所 | 基于主动免疫机理的工业控制设备安全防护系统和方法 |
| CN112541185A (zh) * | 2020-12-12 | 2021-03-23 | 唐山市柳林自动化设备有限公司 | 一种数据安全处理终端设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137095A (zh) * | 2010-12-29 | 2011-07-27 | 中国电力科学研究院 | 工业控制系统数据交换安全保护方法、系统和装置 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制系统主站安全防护装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007038872A1 (en) * | 2005-10-05 | 2007-04-12 | Byres Security Inc. | Network security appliance |
-
2013
- 2013-09-03 CN CN201310395485.4A patent/CN103475478B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137095A (zh) * | 2010-12-29 | 2011-07-27 | 中国电力科学研究院 | 工业控制系统数据交换安全保护方法、系统和装置 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制系统主站安全防护装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103475478A (zh) | 2013-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103475478B (zh) | 终端安全防护方法和设备 | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| CN101917270B (zh) | 一种基于对称密码的弱认证和密钥协商方法 | |
| CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
| CN103491072A (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| CN101394273A (zh) | 一种多通道加密信息传输方法 | |
| CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
| CN103096302A (zh) | 一种加密方法、解密方法和相关装置 | |
| MX2007013862A (es) | Sistema y metodo para convertir datos seriales en paquetes de datos seguros, configurados para transmision inalambrica en un sistema de energia. | |
| CN101707767B (zh) | 一种数据传输方法及设备 | |
| CN112671710B (zh) | 一种基于国密算法的安全加密装置、双向认证及加密方法 | |
| CN107896223A (zh) | 一种数据处理方法及系统、数据采集系统及数据接收系统 | |
| JP2008035272A5 (zh) | ||
| CN102035845A (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| CN104243437A (zh) | 利用无线公网通讯的安全防护方法 | |
| CN102891848A (zh) | 利用IPSec安全联盟进行加密解密的方法 | |
| CN102413144B (zh) | 一种用于c/s架构业务的安全接入系统及相关接入方法 | |
| CN107896222A (zh) | 一种数据处理方法及系统 | |
| CN106161386A (zh) | 一种实现IPsec分流的方法和装置 | |
| CN102710638A (zh) | 一种采用非网络方式隔离数据的装置及其方法 | |
| CN102868523B (zh) | 一种ike协商方法 | |
| EP2965252B1 (en) | Utilizing routing for secure transactions | |
| CN103763301A (zh) | 一种采用ppp协议封装IPsec框架结构的系统及方法 | |
| CN106603499A (zh) | 一种配电终端的安全通信改造方法及系统 | |
| CN103139189A (zh) | 一种IPSec隧道共用方法、系统及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 510080 water Donggang 8, Dongfeng East Road, Yuexiu District, Guangzhou, Guangdong. Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Address before: 510080 water Donggang 8, Dongfeng East Road, Yuexiu District, Guangzhou, Guangdong. Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation |