CN107222508A - 安全访问控制方法、设备及系统 - Google Patents
安全访问控制方法、设备及系统 Download PDFInfo
- Publication number
- CN107222508A CN107222508A CN201710576856.7A CN201710576856A CN107222508A CN 107222508 A CN107222508 A CN 107222508A CN 201710576856 A CN201710576856 A CN 201710576856A CN 107222508 A CN107222508 A CN 107222508A
- Authority
- CN
- China
- Prior art keywords
- host computer
- access
- access control
- control unit
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供的安全访问控制方法、设备及系统,通过在上位机与控制单元的通信信道上设置访问控制网关,访问控制网关接收上位机发送的访问请求报文,并对访问请求报文进行解析,获取访问请求报文中的应用层信息,访问控制网关根据应用层信息,判断在安全策略库中是否查找到上位机标识与待访问的控制单元标识的对应关系以及上位机对待访问的控制单元的操作信息是否满足上位机的操作权限,若是则向待访问的控制单元发送操作信息。本发明提供的安全访问控制方法、设备及系统实现对上位机发送的访问请求报文的安全性监控,解决工业控制系统所面临的安全威胁。
Description
技术领域
本发明涉及工业控制领域,尤其涉及一种安全访问控制方法、设备及系统。
背景技术
现代工业基础设施包括电力、石油与天然气、化工、水利、工业制造及交通控制等重点行业,构成了我国国民经济、现代社会以及国家安全的重要基础。其中,工业控制系统(Industrial Control System,ICS)构成了现代工业基础设施的神经系统。传统的工业控制系统多为采用专用技术的封闭网络,对外没有互联互通,其面临的信息安全威胁不突出。相应地,各种工业控制设备、应用、系统、通信协议都主要针对专有的封闭环境而设计。由于没有现实的信息安全威胁,工业自动化控制系统在设计、实现与部署过程中,其主要指标是可用性、功能、性能、(物理)安全性、实时性等,而无须过多考虑网络攻击、信息安全等问题。
近几十年来,随着信息化与工业化的融合的推进,各种工业控制系统正快速地从传统的封闭、孤立的系统走向开放互联、通用、标准化的系统,日益广泛地采用以太网/因特网互联协议(Internet Protocol,IP)/传输控制协议(Transmission Control Protocol,TCP)网络作为通信基础设施,将工业控制协议迁移到TCP/IP协议栈的应用层;采用包括工业无线局域网(Industry Wireless Local Area Networks,IWLAN)、全球定位系统(GlobalPositioning System,GPR)等在内的各种无线网络;采用标准的Windows等商用操作系统、设备、软件、中间件以及各种通用技术等。典型的工业控制系统通常由以下三部分组成:一个或多个现场控制设备及其分布式IO组成的控制单元,部署在控制现场,用于执行各种控制操作;一台或多台上位机组成的监控层,上位机多为基于PC的工作站或服务器,用于通过网络对控制设备进行监测和控制;连接上位机与现场控制设备的工业控制网络。
目前,最大的威胁就是现有的工业控制通信协议在设计之初就没有考虑信息安全方面的需求,致使在工业控制系统中上位机通过工业控制协议对现场控制设备进行访问时缺乏安全的访问控制机制,使得窃听、篡改、重放、插入等攻击都可作用于关键工业控制网络通信,导致严重的后果。因此,工业控制系统开始面临越来越严重的安全威胁。
发明内容
本发明提供一种安全访问控制方法、设备及系统,以解决工业控制系统面临的安全威胁。
本发明的第一方面提供一种安全访问控制方法,应用于工业控制系统,所述工业控制系统包括访问控制网关、上位机、控制单元,其中,所述上位机与所述控制单元的通信通道上设置有所述访问控制网关,所述方法包括:
所述访问控制网关接收上位机发送的访问请求报文,并对所述访问请求报文进行解析,获取所述访问请求报文中的应用层信息,所述应用层信息包括所述上位机的标识、待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
所述访问控制网关根据所述应用层信息,判断在安全策略库中是否查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,其中,所述安全策略库中包括上位机的标识与待访问的控制单元的标识的对应关系,以及各所述上位机的操作权限;
若所述访问控制网关在所述安全策略库中查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,则判断所述上位机对所述待访问的控制单元的操作信息是否满足所述上位机的操作权限,若是,则向所述待访问的控制单元发送所述操作信息。
在本发明的一种具体实现方式中,若所述访问控制网关在所述安全策略库中未查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,则所述方法还包括:
所述访问控制网关向所述上位机发送认证请求;
所述访问控制网关接收所述上位机发送的用户认证信息,其中,所述用户认证信息包括所述上位机的标识和认证凭证,所述用户认证信息为用户重新输入的信息;
所述访问控制网关根据所述用户认证信息,判断所述用户认证信息是否正确,若是,则向所述上位机发送访问操作信息请求;
所述访问控制网关接收所述上位机发送的访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
所述访问控制网关根据所述用户认证信息中的上位机的标识以及所述访问操作信息,确定是否向所述待访问的控制单元发送所述操作信息。
在本发明的一种具体实现方式中,所述访问控制网关根据所述用户认证信息,判断所述用户认证信息是否正确,包括:
所述访问控制网关在所述安全策略库中查找是否存在所述用户认证信息中所包括的上位机的标识;
若是,则所述访问控制网关判断所述用户认证信息中所包括的认证凭证是否与所述安全策略库中所述上位机的标识对应的认证凭证一致,若是,则判断所述用户认证信息正确。
本发明的第二方面提供一种安全访问控制方法,应用于工业控制系统,所述工业控制系统包括访问控制网关、上位机、控制单元,其中,所述上位机与所述控制单元的通信通道上设置有所述访问控制网关,所述方法包括:
所述上位机向所述访问控制网关发送访问请求报文;
所述上位机接收所述访问控制网关发送的认证请求,所述认证请求是所述访问控制网关在根据所述访问请求报文确定所述上位机的标识为非法上位机时向所述上位机发送的认证请求;
所述上位机向所述访问控制网关发送用户认证信息,其中,所述用户认证信息是用户重新输入的所述上位机的标识和认证凭证,以使所述访问控制网关对所述用户认证信息进行认证;
所述上位机接收所述访问控制网关对所述用户认证信息认证通过后发送的访问操作信息请求;
所述上位机向所述访问控制网关发送访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息,以使所述访问控制网关向所述待访问的控制单元发送所述操作信息。
本发明的第三方面提供一种访问控制网关,包括:
接收模块,用于接收上位机发送的访问请求报文;
检测引擎,用于对所述访问请求报文进行解析,获取所述访问请求报文中的应用层信息,所述应用层信息包括所述上位机的标识、待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
判断执行模块,用于根据所述应用层信息,判断在安全策略库中是否查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,其中,所述安全策略库中包括上位机的标识与控制单元的标识的对应关系,以及各所述上位机的操作权限;
若所述判断执行模块在所述安全策略库中查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,则所述判断执行模块还用于判断所述上位机对所述待访问的控制单元的操作信息是否满足所述上位机的操作权限,若是,则向所述控制单元发送所述待访问的控制单元的操作信息。
在本发明的一种具体实现方式中,所述访问控制网关还包括:
发送模块,其中
所述发送模块,用于向所述上位机发送认证请求;
所述接收模块,还用于接收所述上位机发送的用户认证信息,其中,所述用户认证信息包括所述上位机的标识和认证凭证,所述用户认证信息为用户重新输入的信息;
所述判断执行模块,还用于根据所述用户认证信息,判断所述用户认证信息是否正确,若是,则向所述上位机发送访问操作信息请求;
所述接收模块,还用于接收所述上位机发送的访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
所述判断执行模块,还用于根据所述用户认证信息中的上位机的标识以及所述访问操作信息,确定是否向所述待访问的控制单元发送所述操作信息。
在本发明的一种具体实现方式中,所述判断执行模块,还用于在所述安全策略库中查找是否存在所述用户认证信息中所包括的上位机的标识;若是,则判断所述用户认证信息中所包括的认证凭证是否与所述安全策略库中所述上位机的标识对应的认证凭证一致,若是,则判断所述用户认证信息正确。
本发明的第四方面提供一种上位机,包括:
发送模块,用于向所述访问控制网关发送访问请求报文;
接收模块,用于接收所述访问控制网关发送的认证请求,所述认证请求是所述访问控制网关在根据所述访问请求报文确定所述上位机的标识为非法上位机时向所述上位机发送的认证请求;
所述发送模块,还用于向所述访问控制网关发送用户认证信息,其中,所述用户认证信息是用户重新输入的所述上位机的标识和认证凭证,以使所述访问控制网关对所述用户认证信息进行认证;
所述接收模块,还用于接收所述访问控制网关对所述用户认证信息认证通过后发送的访问操作信息请求;
所述发送模块,还用于向所述访问控制网关发送访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息,以使所述访问控制网关向所述待访问的控制单元发送所述操作信息。
本发明的第五方面提供一种安全访问控制系统,包括如上所述的安全访问控制网关、如上所述的上位机及控制单元。
在本发明的一种具体实现方式中,所述安全访问控制系统还包括:
远程访问控制服务器,所述远程访问控制服务器用于向所述访问控制网关同步安全策略库中的信息;
所述访问控制网关还包括:远程策略接口,所述访问控制网关通过所述远程策略接口访问所述远程访问控制服务器。
本发明提供的安全访问控制方法、设备及系统,通过在上位机与控制单元的通信信道上设置访问控制网关,访问控制网关接收上位机发送的访问请求报文,并对访问请求报文进行解析,获取访问请求报文中的应用层信息,访问控制网关根据应用层信息,判断在安全策略库中是否查找到上位机标识与待访问的控制单元标识的对应关系以及上位机对待访问的控制单元的操作信息是否满足上位机的操作权限,若是则向待访问的控制单元发送操作信息。本发明提供的安全访问控制方法、设备及系统实现对上位机发送的访问请求报文的安全性监控,解决工业控制系统所面临的安全威胁。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的工业控制系统的一种结构示意图;
图2为本发明提供的工业控制系统的另一种结构示意图;
图3为本发明提供的安全访问控制方法实施例一的流程图;
图4为本发明提供的安全访问控制方法实施例二的流程图;
图5为本发明提供的安全访问控制方法实施例一的访问控制网关的结构示意图;
图6为本发明提供的安全访问控制方法实施例二的访问控制网关的结构示意图;
图7本发明提供的安全访问控制方法实施例一的上位机的结构示意图;
图8为本发明提供的安全访问控制系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的技术方案应用于工业控制系统,图1为本发明提供的工业控制系统的一种结构示意图,如图1所示,该工业控制系统包括访问控制网关、上位机、控制单元,其中,上位机与控制单元的通信通道上设置有访问控制网关,该访问控制网关可以同时与一个或者多个控制单元连接,用于向一个或者多个控制单元发送操作信息。图2为本发明提供的安全访问控制方法的另一种应用场景示意图,如图2所示,在本实施例中,每一个访问控制网关还可以分别连接一个控制单元,每一个访问控制网关用于向与该访问控制网关对应的控制单元发送操作信息。在上述图1和图2所示的实施例中,对于访问控制网关的数量、与访问控制网关连接的控制单元的数量不作限定。
本实施例通过在工业控制系统中增加访问控制网关,实现对上位机发送的访问请求报文的安全性监控,解决工业控制系统所面临的安全威胁。下面采用详细的实施例进行详细说明。
图3为本发明提供的安全访问控制方法实施例一的流程图,如图3所示,该安全访问控制方法的具体实现步骤为:
S101、上位机向访问控制网关发送访问请求报文。
在本步骤中,上位机向访问控制网关发送访问请求报文,访问控制网关接收上位机发送的访问请求报文。
其中,相比传统的上位机,本实施例的上位机上设置有访问控制代理,访问控制代理可以为软件或者硬件,直接安装在上位机上。访问控制代理在上位机启动后,或在上位机发起对控制单元的网络访问之前,即与访问控制网关之间建立安全的通信信道,具体的实现可以是基于IPSec或基于SSL/TLS等VPN技术,在此不作限定。上位机与控制单元之间的通信将通过此安全信道进行,该安全通信信道对上位机上的工业控制应用是透明的,上位机上的工业控制应用无需做任何修改。同时,根据具体的安全需求,可以选择是否要对安全信道传输的报文进行加密。如果机密性要求不高,可以仅仅采取完整性(会话控制、防篡改)安全措施,如采用IPSec中的AH模式,而无需采用加密的ESP模式。
S102、访问控制网关对访问请求报文进行解析,获取访问请求报文中的应用层信息。
在本步骤中,访问控制网关根据接收到的访问请求报文,对访问请求报文进行解析,获取访问请求报文中的应用层信息;
其中,应用层信息包括上位机的标识、待访问的控制单元的标识及上位机对待访问的控制单元的操作信息。
具体的,访问控制网关接收上位机发送的访问请求报文之后,首先根据访问控制网关中的防火墙过滤规则,对上位机发送的访问请求报文进行初步过滤,拒绝防火墙策略中不允许的报文,将防火墙策略允许的报文进一步转发给访问控制网关中的检测引擎。
在访问控制网关中的检测引擎接收到上位机发送的上述访问请求报文之后,该检测引擎对访问请求报文进行全面解析,获取访问请求报文的应用层信息,该应用层信息包括上位机的标识、待访问的控制单元的标识以及上位机对待访问的控制单元的操作信息。
其中,上位机的标识用于指示访问控制网关接收的访问请求报文的上位机的身份信息,即操作信息的主体信息;待访问的控制单元的标识用于指示访问控制网关接收的访问请求报文的控制单元的身份信息,即操作信息的客体信息;上位机对待访问的控制单元的操作信息包括读写数据等操作指令,用于对工业控制系统中的现场设备进行本地或远程的操作控制。
另外,访问控制网关中的检测引擎是基于深度包检测技术(Deep PacketInspection,DPI)的引擎,在本实施例中,访问控制网关中的防火墙与DPI引擎可以分开实现或将基本的防火墙过滤功能实现为DPI引擎的一部分,不同的实现方式不会影响其过滤检测的功能,在此不作限定。
S103、访问控制网关根据应用层信息,确定在安全策略库中查找到上位机的标识与待访问的控制单元的标识的对应关系,确定上位机对待访问的控制单元的操作信息满足上位机的操作权限。
在本步骤中,访问控制网关根据应用层信息,判断在安全策略库中是否查找到上位机的标识与待访问的控制单元的标识的对应关系;
其中,安全策略库中包括上位机的标识与待访问的控制单元的标识的对应关系,以及各上位机的操作权限。
若访问控制网关在安全策略库中查找到上位机的标识与待访问的控制单元的标识的对应关系,则判断上位机对待访问的控制单元的操作信息是否满足上位机的操作权限。
具体的,判断上位机对待访问的控制单元的操作信息是否满足上位机的操作权限,包括但不限定于如下策略或规则:
是否允许特定的上位机访问某个控制单元;
是否允许特定的上位机(在特定的时间或场景下)向某个控制单元发送特定的指令(报文),执行特定的操作,如(但不限于)Stop/Start CPU、Reboot、Reset FactorySetting、Update Firmware等;
是否允许特定的上位机对控制设备进行组态;
是否允许特定的上位机访问控制单元中的特定的数据对象、数据块、寄存器或特定的地址空间等。
以上安全访问控制的策略或规则用于对上位机可以执行的操作进行细化,指示上位机对待访问的控制单元的操作权限,防止上位机的越权操作。
具体的,访问控制网关根据应用层信息判断在安全策略库中是否查找到上位机的标识与待访问的控制单元的标识的对应关系之前,还包括在访问控制网关在安全策略库中查找是否存在上位机的标识,若是,则进一步判断在安全策略库中是否查找到上位机的标识与带访问的控制单元的标识的对应关系。
另外,对于本实施例中的安全策略库,可以是访问控制网关中的本地安全策略库,或者,远程访问控制服务器中的远程安全策略库。其中,本地安全策略库用于在访问控制网关中保存上位机对控制单元进行安全访问控制的策略或规则;远程安全策略库用于在远程访问控制服务器中保存上位机对控制单元进行安全访问控制的策略或规则。远程访问控制服务器可以定期对安全访问控制的策略或规则进行更新,更新的内容可以包括增加、删除或者修改策略或规则,当远程访问控制服务器更新后,会将其远程安全策略库中的内容发送给各个访问控制网关的本地安全策略库中,以实现安全策略库的同步。
具体的,安全策略库的安全访问控制的策略或规则的模型可以是基于角色的访问控制(Role Based Access Control)、强制访问控制(Mandatory Access Control)、自主访问控制(Discretionary Access Control)等,在此不作限定。
S104、访问控制网关向待访问的控制单元发送操作信息。
本实施例提供的安全访问控制方法,通过在上位机与控制单元的通信信道上设置访问控制网关,访问控制网关接收上位机发送的访问请求报文,并对访问请求报文进行解析,获取访问请求报文中的应用层信息,访问控制网关根据应用层信息,判断在安全策略库中是否查找到上位机标识与待访问的控制单元标识的对应关系以及上位机对待访问的控制单元的操作信息是否满足上位机的操作权限,若是则向待访问的控制单元发送操作信息。本实施例提供的安全访问控制方法实现对上位机发送的访问请求报文的安全性监控,解决工业控制系统所面临的安全威胁。
图4为本发明提供的安全访问控制方法实施例二的流程图,如图4所示,该安全访问控制方法的具体实现步骤为:
S201、上位机向访问控制网关发送访问请求报文。
S202、访问控制网关对访问请求报文进行解析,获取访问请求报文中的应用层信息。
在本实施例中,S201和S202的具体实现过程与本发明方法实施例一中S101和S102的具体实现过程类似,此处不再赘述。
S203、访问控制网关根据应用层信息,确定在安全策略库中未查找到上位机的标识与待访问的控制单元的标识的对应关系。
在本步骤中,访问控制网关根据应用层信息,判断在安全策略库中是否查找到上位机的标识与待访问的控制单元的标识的对应关系;
其中,安全策略库中包括上位机的标识与待访问的控制单元的标识的对应关系,以及各上位机的操作权限。
若访问控制网关在安全策略库中未查找到上位机的标识与待访问的控制单元的标识的对应关系,则上位机有可能被外部设备攻击或控制,为了避免合法的上位机由于外部攻击或控制而无法正常进行访问控制,访问控制网关重新向所述上位机发送认证请求,用于再次确认上位机的身份信息。
S204、访问控制网关向上位机发送认证请求。
在本步骤中,访问控制网关向上位机发送认证请求。所述认证请求是所述访问控制网关在根据所述访问请求报文确定所述上位机的标识为非法上位机时向所述上位机发送的认证请求。所述认证请求用于再次确认上位机的身份信息,避免合法的上位机由于外部设备攻击或控制而不能正常对待访问的控制单元执行操作。
S205、上位机向访问控制网关发送用户认证信息。
在本步骤中,上位机的访问控制代理接收访问控制网关发送的认证请求之后,在上位机上提示用户提供所述上位机的用户认证信息,用于访问控制网关在确定上位机的标识为非法上位机时向所述上位机进一步确认其用户认证信息。随后,上位机的访问控制代理向访问控制网关发送用户认证信息,其中,所述用户认证信息是用户重新输入的所述上位机的标识和认证凭证,以使所述访问控制网关对所述用户认证信息进行认证。
S206、访问控制网关根据用户认证信息,确定用户认证信息正确。
在本步骤中,访问控制网关接收所述上位机发送的用户认证信息;其中,所述用户认证信息包括所述上位机的标识和认证凭证,所述用户认证信息为用户重新输入的信息。上位机的标识用于确定上位机的身份信息;上位机的认证凭证用于确定上位机的认证信息,具体可以有如下几种形式:用户名及口令、基于智能卡的安全令牌及其PIN码、公钥证书、一次性密码等,在此不作限定。
随后,所述访问控制网关根据所述用户认证信息,判断所述用户认证信息是否正确。访问控制网关判断用户认证信息是否正确,包括:所述访问控制网关在所述安全策略库中查找是否存在所述用户认证信息中所包括的上位机的标识;
若是,则所述访问控制网关判断所述用户认证信息中所包括的认证凭证是否与所述安全策略库中所述上位机的标识对应的认证凭证一致,若是,则判断所述用户认证信息正确。
需要指出的是,安全策略库中不仅包括上位机的标识与待访问的控制单元的标识的对应关系,以及各上位机的操作权限,还包括上位机的标识对应的认证凭证,认证凭证用于访问控制网关重新确认上位机的合法性,避免外部设备冒名顶替合法的上位机对待访问的控制单元执行操作。因此,访问控制网关需要确保上位机的标识和认证凭证的信息都正确,才能允许所述上位机进一步发送上位机对待访问的控制单元的操作信息。
S207、访问控制网关向上位机发送访问操作信息请求。
在本步骤中,访问控制网关向上位机发送访问操作信息请求。由于所述上位机在S203发送的访问请求报文在访问控制网关中验证失败,因此访问控制网关需要重新向所述上位机发送访问操作信息请求,用于确定已通过身份验证的上位机想要对哪一个控制单元执行何种操作。
S208、上位机向访问控制网关发送访问操作信息。
在本步骤中,上位机的访问控制代理向访问控制网关发送访问操作信息之前,还包括:所述上位机接收所述访问控制网关对所述用户认证信息认证通过后发送的访问操作信息请求。
所述上位机的访问控制代理向所述访问控制网关发送访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息,以使所述访问控制网关向所述待访问的控制单元发送所述操作信息。
在二次身份验证成功的情况下所述上位机再次发送对待访问的控制单元的访问操作信息。该访问操作信息是否满足安全策略库中的上位机的操作权限需要再作进一步的查询和判断。因此,上位机的访问控制代理向访问控制网关发送访问操作信息之后,还包括:
所述访问控制网关接收所述上位机发送的访问操作信息;所述访问控制网关根据所述用户认证信息中的上位机的标识以及所述访问操作信息,确定是否向所述待访问的控制单元发送所述操作信息。
具体的,所述访问控制网关根据所述用户认证信息中的上位机的标识以及所述访问操作信息,确定是否向所述待访问的控制单元发送所述操作信息,包括:
重新在安全策略库中判断上位机的标识与待访问的控制单元的标识的对应关系是否存在,以及上位机对待访问的控制单元的操作信息是否满足上位机的操作权限,若都满足,则访问控制网关向待访问的控制单元发送操作信息。否则拒绝上位机的访问操作信息。
本实施例提供的安全访问控制方法,访问控制网关对上位机发送的访问请求报文解析查找后,未查找到上位机的标识与待访问的控制单元的标识的对应关系,访问控制网关向上位机发送认证请求,重新确认上位机的用户认证信息,若认证成功则向上位机发送访问操作信息请求,并进一步确认上位机的访问操作信息是否被允许,若允许则向待访问的控制单元发送操作信息。该安全访问控制方法对第一次验证失败的上位机进行二次验证,避免由于外部设备攻击或控制的上位机不能正常对待访问的控制单元执行操作,提高整个工业控制系统的安全性。
图5为本发明提供的安全访问控制方法实施例一的访问控制网关的结构示意图,如图5所示,所述访问控制网关10包括:
接收模块11,用于接收上位机发送的访问请求报文;
检测引擎12,用于对所述访问请求报文进行解析,获取所述访问请求报文中的应用层信息,所述应用层信息包括所述上位机的标识、待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
判断执行模块13,用于根据所述应用层信息,判断在安全策略库中是否查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,其中,所述安全策略库中包括上位机的标识与控制单元的标识的对应关系,以及各所述上位机的操作权限;
若所述访问控制网关10在所述安全策略库中查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,则所述判断执行模块还用于判断所述上位机对所述待访问的控制单元的操作信息是否满足所述上位机的操作权限,若是,则向所述控制单元发送所述待访问的控制单元的操作信息。
本实施例提供的访问控制网关,用于执行前述任一方法实施例中访问控制网关的技术方案,其实现原理和技术效果类似,在此不再赘述。
图6为本发明提供的安全访问控制方法实施例二的访问控制网关的结构示意图,如图6所示,在上述图5实施例的基础上,所述访问控制网关10还包括:发送模块14,其中
所述发送模块14,用于向所述上位机发送认证请求;
所述接收模块11,还用于接收所述上位机发送的用户认证信息,其中,所述用户认证信息包括所述上位机的标识和认证凭证,所述用户认证信息为用户重新输入的信息;
所述判断执行模块13,还用于根据所述用户认证信息,判断所述用户认证信息是否正确,若是,则向所述上位机发送访问操作信息请求;
所述接收模块11,还用于接收所述上位机发送的访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
所述判断执行模块13,还用于根据所述用户认证信息中的上位机的标识以及所述访问操作信息,确定是否向所述待访问的控制单元发送所述操作信息。
在上述任一实施例提供的访问控制网关的基础上,所述访问控制网关10的判断执行模块13,还用于在所述安全策略库中查找是否存在所述用户认证信息中所包括的上位机的标识。
若是,则判断所述用户认证信息中所包括的认证凭证是否与所述安全策略库中所述上位机的标识对应的认证凭证一致,若是,则判断所述用户认证信息正确。
上述任一实施例提供的访问控制网关,用于执行前述任一方法实施例中访问控制网关的技术方案,其实现原理和技术效果类似,在此不再赘述。
图7本发明提供的安全访问控制方法实施例一的上位机的结构示意图,如图7所示,所述上位机20包括:
发送模块21,用于向所述访问控制网关发送访问请求报文;
接收模块22,用于接收所述访问控制网关发送的认证请求,所述认证请求是所述访问控制网关在根据所述访问请求报文确定所述上位机的标识为非法上位机时向所述上位机发送的认证请求;
所述发送模块21,还用于向所述访问控制网关发送用户认证信息,其中,所述用户认证信息是用户重新输入的所述上位机的标识和认证凭证,以使所述访问控制网关对所述用户认证信息进行认证;
所述接收模块22,还用于接收所述访问控制网关对所述用户认证信息认证通过后发送的访问操作信息请求;
所述发送模块21,还用于向所述访问控制网关发送访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息,以使所述访问控制网关向所述待访问的控制单元发送所述操作信息。
本实施例提供的上位机,可用于执行上述方法实施例,其实现原理和技术效果类似,此处不再赘述。
图8为本发明提供的安全访问控制系统的结构示意图,如图8所示,所述安全访问控制系统100包括上述任一实施例提供的访问控制网关10、上述任一实施例提供的上位机20及控制单元30。
本发明提供的安全访问控制系统应用于工业控制系统,该系统中的访问控制网关设置在上位机与控制单元的通信信道上,执行上述的各实施方式提供的安全访问控制方法,实现对上位机发送的访问请求报文的安全性监控,解决工业控制系统所面临的安全威胁。
可选的,所述安全访问控制系统100还包括:
远程访问控制服务器40,所述远程访问控制服务器40用于向所述访问控制网关同步安全策略库中的信息。
具体的,远程访问控制服务器40可以定期对安全访问控制的策略或规则进行更新,更新的内容可以包括增加、删除或者修改策略或规则,当远程访问控制服务器40更新后,会将其远程安全策略库中的内容发送给各个访问控制网关的本地安全策略库中,以实现安全策略库的同步。
根据本实施例提供的安全访问控制系统100,所述访问控制网关10还包括远程策略接口,所述访问控制网关10通过所述远程策略接口访问所述远程访问控制服务器40。
具体的,访问控制网关10将通过远程策略接口,借助于但不限于Kerberos、RADIUS、PMI、SSL/TLS等安全协议询问远程访问控制服务器40,查询相应的安全访问控制的策略或规则,确定是否允许当前的访问请求。
上述任一实施例提供的安全访问控制系统,用于执行前述任一方法实施例提供的安全访问控制方法的技术方案,其实现原理和技术效果类似,此处不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种安全访问控制方法,其特征在于,应用于工业控制系统,所述工业控制系统包括访问控制网关、上位机、控制单元,其中,所述上位机与所述控制单元的通信通道上设置有所述访问控制网关,所述方法包括:
所述访问控制网关接收上位机发送的访问请求报文,并对所述访问请求报文进行解析,获取所述访问请求报文中的应用层信息,所述应用层信息包括所述上位机的标识、待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
所述访问控制网关根据所述应用层信息,判断在安全策略库中是否查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,其中,所述安全策略库中包括上位机的标识与待访问的控制单元的标识的对应关系,以及各所述上位机的操作权限;
若所述访问控制网关在所述安全策略库中查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,则判断所述上位机对所述待访问的控制单元的操作信息是否满足所述上位机的操作权限,若是,则向所述待访问的控制单元发送所述操作信息。
2.根据权利要求1所述的方法,其特征在于,若所述访问控制网关在所述安全策略库中未查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,则所述方法还包括:
所述访问控制网关向所述上位机发送认证请求;
所述访问控制网关接收所述上位机发送的用户认证信息,其中,所述用户认证信息包括所述上位机的标识和认证凭证,所述用户认证信息为用户重新输入的信息;
所述访问控制网关根据所述用户认证信息,判断所述用户认证信息是否正确,若是,则向所述上位机发送访问操作信息请求;
所述访问控制网关接收所述上位机发送的访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
所述访问控制网关根据所述用户认证信息中的上位机的标识以及所述访问操作信息,确定是否向所述待访问的控制单元发送所述操作信息。
3.根据权利要求2所述的方法,其特征在于,所述访问控制网关根据所述用户认证信息,判断所述用户认证信息是否正确,包括:
所述访问控制网关在所述安全策略库中查找是否存在所述用户认证信息中所包括的上位机的标识;
若是,则所述访问控制网关判断所述用户认证信息中所包括的认证凭证是否与所述安全策略库中所述上位机的标识对应的认证凭证一致,若是,则判断所述用户认证信息正确。
4.一种安全访问控制方法,其特征在于,应用于工业控制系统,所述工业控制系统包括访问控制网关、上位机、控制单元,其中,所述上位机与所述控制单元的通信通道上设置有所述访问控制网关,所述方法包括:
所述上位机向所述访问控制网关发送访问请求报文;
所述上位机接收所述访问控制网关发送的认证请求,所述认证请求是所述访问控制网关在根据所述访问请求报文确定所述上位机的标识为非法上位机时向所述上位机发送的认证请求;
所述上位机向所述访问控制网关发送用户认证信息,其中,所述用户认证信息是用户重新输入的所述上位机的标识和认证凭证,以使所述访问控制网关对所述用户认证信息进行认证;
所述上位机接收所述访问控制网关对所述用户认证信息认证通过后发送的访问操作信息请求;
所述上位机向所述访问控制网关发送访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息,以使所述访问控制网关向所述待访问的控制单元发送所述操作信息。
5.一种访问控制网关,其特征在于,包括:
接收模块,用于接收上位机发送的访问请求报文;
检测引擎,用于对所述访问请求报文进行解析,获取所述访问请求报文中的应用层信息,所述应用层信息包括所述上位机的标识、待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
判断执行模块,用于根据所述应用层信息,判断在安全策略库中是否查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,其中,所述安全策略库中包括上位机的标识与控制单元的标识的对应关系,以及各所述上位机的操作权限;
若所述判断执行模块在所述安全策略库中查找到所述上位机的标识与所述待访问的控制单元的标识的对应关系,则所述判断执行模块还用于判断所述上位机对所述待访问的控制单元的操作信息是否满足所述上位机的操作权限,若是,则向所述控制单元发送所述待访问的控制单元的操作信息。
6.根据权利要求5所述的访问控制网关,其特征在于,还包括:发送模块,其中
所述发送模块,用于向所述上位机发送认证请求;
所述接收模块,还用于接收所述上位机发送的用户认证信息,其中,所述用户认证信息包括所述上位机的标识和认证凭证,所述用户认证信息为用户重新输入的信息;
所述判断执行模块,还用于根据所述用户认证信息,判断所述用户认证信息是否正确,若是,则向所述上位机发送访问操作信息请求;
所述接收模块,还用于接收所述上位机发送的访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息;
所述判断执行模块,还用于根据所述用户认证信息中的上位机的标识以及所述访问操作信息,确定是否向所述待访问的控制单元发送所述操作信息。
7.根据权利要求6所述的访问控制网关,其特征在于,
所述判断执行模块,还用于在所述安全策略库中查找是否存在所述用户认证信息中所包括的上位机的标识;若是,则判断所述用户认证信息中所包括的认证凭证是否与所述安全策略库中所述上位机的标识对应的认证凭证一致,若是,则判断所述用户认证信息正确。
8.一种上位机,其特征在于,包括:
发送模块,用于向所述访问控制网关发送访问请求报文;
接收模块,用于接收所述访问控制网关发送的认证请求,所述认证请求是所述访问控制网关在根据所述访问请求报文确定所述上位机的标识为非法上位机时向所述上位机发送的认证请求;
所述发送模块,还用于向所述访问控制网关发送用户认证信息,其中,所述用户认证信息是用户重新输入的所述上位机的标识和认证凭证,以使所述访问控制网关对所述用户认证信息进行认证;
所述接收模块,还用于接收所述访问控制网关对所述用户认证信息认证通过后发送的访问操作信息请求;
所述发送模块,还用于向所述访问控制网关发送访问操作信息,其中,所述访问操作信息包括所述待访问的控制单元的标识及所述上位机对所述待访问的控制单元的操作信息,以使所述访问控制网关向所述待访问的控制单元发送所述操作信息。
9.一种安全访问控制系统,其特征在于,包括如上权利要求5-7任一项所述的访问控制网关、如上权利要求8所述的上位机及控制单元。
10.根据权利要求9所述的安全访问控制系统,其特征在于,还包括:
远程访问控制服务器,所述远程访问控制服务器用于向所述访问控制网关同步安全策略库中的信息;
所述访问控制网关还包括:远程策略接口,所述访问控制网关通过所述远程策略接口访问所述远程访问控制服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710576856.7A CN107222508B (zh) | 2017-07-14 | 2017-07-14 | 安全访问控制方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710576856.7A CN107222508B (zh) | 2017-07-14 | 2017-07-14 | 安全访问控制方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107222508A true CN107222508A (zh) | 2017-09-29 |
| CN107222508B CN107222508B (zh) | 2020-08-25 |
Family
ID=59952169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710576856.7A Active CN107222508B (zh) | 2017-07-14 | 2017-07-14 | 安全访问控制方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107222508B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259478A (zh) * | 2017-12-29 | 2018-07-06 | 中国电力科学研究院有限公司 | 基于工控终端设备接口hook的安全防护方法 |
| CN110572415A (zh) * | 2019-10-14 | 2019-12-13 | 迈普通信技术股份有限公司 | 一种安全防护的方法、设备及系统 |
| CN111818053A (zh) * | 2020-07-09 | 2020-10-23 | 华中科技大学 | 具有身份认证和安全通信网关的数控机床安全系统及方法 |
| CN112866210A (zh) * | 2020-12-31 | 2021-05-28 | 北京珞安科技有限责任公司 | 一种工控设备访问控制方法、装置及电子设备 |
| CN113596040A (zh) * | 2021-08-02 | 2021-11-02 | 中国建设银行股份有限公司 | 安全策略部署方法、访问控制方法及装置、访问控制系统 |
| CN117675913A (zh) * | 2023-12-07 | 2024-03-08 | 上海钒锝科技有限公司 | 实验室数据传输处理方法、装置、传输处理系统及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377740A (zh) * | 2010-08-12 | 2012-03-14 | 西门子公司 | 一种工业访问控制方法及装置 |
| CN103516703A (zh) * | 2012-06-29 | 2014-01-15 | 西门子公司 | 一种数据报文检测方法和设备 |
| CN104079444A (zh) * | 2013-03-27 | 2014-10-01 | 西门子公司 | 一种用于工业以太网数据帧深度检测的方法和装置 |
| US20140379804A1 (en) * | 2013-06-21 | 2014-12-25 | Convida Wireless, Llc | Context management |
| CN205212923U (zh) * | 2015-11-02 | 2016-05-04 | 上海唐舜电信科技有限公司 | 可重构网络媒体话机终端 |
| CN108989265A (zh) * | 2017-05-31 | 2018-12-11 | 西门子公司 | 访问控制方法、装置和系统 |
-
2017
- 2017-07-14 CN CN201710576856.7A patent/CN107222508B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377740A (zh) * | 2010-08-12 | 2012-03-14 | 西门子公司 | 一种工业访问控制方法及装置 |
| CN103516703A (zh) * | 2012-06-29 | 2014-01-15 | 西门子公司 | 一种数据报文检测方法和设备 |
| CN104079444A (zh) * | 2013-03-27 | 2014-10-01 | 西门子公司 | 一种用于工业以太网数据帧深度检测的方法和装置 |
| US20140379804A1 (en) * | 2013-06-21 | 2014-12-25 | Convida Wireless, Llc | Context management |
| CN205212923U (zh) * | 2015-11-02 | 2016-05-04 | 上海唐舜电信科技有限公司 | 可重构网络媒体话机终端 |
| CN108989265A (zh) * | 2017-05-31 | 2018-12-11 | 西门子公司 | 访问控制方法、装置和系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259478A (zh) * | 2017-12-29 | 2018-07-06 | 中国电力科学研究院有限公司 | 基于工控终端设备接口hook的安全防护方法 |
| CN108259478B (zh) * | 2017-12-29 | 2021-10-01 | 中国电力科学研究院有限公司 | 基于工控终端设备接口hook的安全防护方法 |
| CN110572415A (zh) * | 2019-10-14 | 2019-12-13 | 迈普通信技术股份有限公司 | 一种安全防护的方法、设备及系统 |
| CN110572415B (zh) * | 2019-10-14 | 2022-01-21 | 迈普通信技术股份有限公司 | 一种安全防护的方法、设备及系统 |
| CN111818053A (zh) * | 2020-07-09 | 2020-10-23 | 华中科技大学 | 具有身份认证和安全通信网关的数控机床安全系统及方法 |
| CN111818053B (zh) * | 2020-07-09 | 2021-08-17 | 华中科技大学 | 具有身份认证和安全通信网关的数控机床安全系统及方法 |
| CN112866210A (zh) * | 2020-12-31 | 2021-05-28 | 北京珞安科技有限责任公司 | 一种工控设备访问控制方法、装置及电子设备 |
| CN113596040A (zh) * | 2021-08-02 | 2021-11-02 | 中国建设银行股份有限公司 | 安全策略部署方法、访问控制方法及装置、访问控制系统 |
| CN117675913A (zh) * | 2023-12-07 | 2024-03-08 | 上海钒锝科技有限公司 | 实验室数据传输处理方法、装置、传输处理系统及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107222508B (zh) | 2020-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107222508A (zh) | 安全访问控制方法、设备及系统 | |
| CN113572738B (zh) | 一种零信任网络架构及构建方法 | |
| CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
| EP1988485A1 (en) | Distributed authentication system and distributed authentication method | |
| CN101416441A (zh) | 基于分层信任的姿态报告和策略实施 | |
| KR101252787B1 (ko) | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 | |
| CN109510841B (zh) | 一种控制装置及系统的安全隔离网关 | |
| US11838319B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
| KR101969752B1 (ko) | 보안 터널을 이용하여 타겟 장치의 보안을 제어하는 방법 및 장치 | |
| CN111314381A (zh) | 安全隔离网关 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN112202706A (zh) | 一种电力系统内网的安全访问方法及装置 | |
| CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
| CN116886343A (zh) | 一种基于持续认证的用户访问控制方法及系统 | |
| CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
| Sersemis et al. | A novel cybersecurity architecture for iov communication | |
| KR20180116878A (ko) | 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템 및 그 방법 | |
| Yang | Network attack and Countermeasures Based on telnet connection in the era of Internet of Things | |
| CN102055742A (zh) | 配置防火墙的方法及其装置 | |
| CN102739613A (zh) | 跨防火墙的动态通路方法及系统 | |
| KR100939300B1 (ko) | 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법 | |
| CN118157967A (zh) | 远程访问系统及方法 | |
| Villanueva et al. | Implementation of a RADIUS server for access control through authentication in wireless networks | |
| CN116155544A (zh) | 一种船舶控制系统安全信息交互方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |