CN109379375A - 访问控制规则的获取方法、装置及网络设备 - Google Patents

Abstract

本说明书实施例提供一种访问控制规则的获取方法、装置及网络设备。本说明书实施例中，在接收到工业协议报文时，识别工业协议报文对应的目标工业协议，根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数，基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则，能够自动、智能地获取工业协议对应的访问控制规则，不需要人工手动配置，从而避免了人为因素导致的访问控制规则配置错误，提高了访问控制规则配置的准确性。

Description

访问控制规则的获取方法、装置及网络设备

技术领域

本说明书涉及网络通信技术领域，尤其涉及一种访问控制规则的获取方法、装置及网络设备。

背景技术

工业协议是一种应用于工业系统中的通信协议。工业协议自身没有加密、认证等措施，因此，工业协议报文是明文传输的，具有较大的安全隐患。

为了降低这种安全隐患，相关技术中在工业客户端和工业服务器之间设置了工业防火墙。在工业防火墙上，通过人工方式手动配置一种工业协议的访问控制规则，通过访问控制规则来过滤和转发该种工业协议的报文。这种方式中，访问控制规则需要人工手动配置，工作量大，过程繁琐，因此容易出错。

发明内容

为克服相关技术中存在的问题，本说明书提供了一种访问控制规则的获取方法、装置及网络设备。

根据本说明书实施例的第一方面，提供一种访问控制规则的获取方法，所述方法包括：

在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

根据本说明书实施例的第二方面，提供一种访问控制规则的获取装置，所述装置包括：

协议识别模块，用于在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

参数获取模块，用于根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

规则学习模块，用于基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

根据本说明书实施例的第三方面，提供一种网络设备，包括：内部总线、以及通过内部总线连接的存储器、处理器和外部接口，其中，

所述处理器，用于读取所述存储器上的机器可读指令，并执行所述指令实现如下操作：

在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

根据本说明书实施例的第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质上有若干计算机指令，所述计算机指令被执行时进行如下处理：

在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

本说明书的实施例提供的技术方案可以包括以下有益效果：

本说明书实施例中，通过在接收到工业协议报文时，识别工业协议报文对应的目标工业协议，根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数，基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则，自动、智能地获取工业协议对应的访问控制规则，不需要人工手动配置，从而避免了人为因素导致的访问控制规则配置错误，提高了访问控制规则配置的准确性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。

图1是本说明书实施例提供的访问控制规则的获取方法的流程示例图。

图2是本说明书实施例提供的访问控制规则的获取方法的应用场景示例图。

图3是本说明书实施例提供的访问控制规则的获取装置的功能方块图。

图4是本说明书实施例提供的网络设备的一个硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

接下来对本说明书实施例进行详细说明。

图1是本说明书实施例提供的访问控制规则的获取方法的流程示例图。如图1所示，该方法可以包括以下步骤：

S101，在接收到工业协议报文时，识别工业协议报文对应的工业协议，作为目标工业协议。

S102，根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数。

S103，基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则。

其中，工业协议报文对应的工业协议可以是Modbus TCP(Transmission ControlProtocol，传输控制协议)协议、S7协议、Ethernet/IP(Ethernet/Internet Protocol，以太网/因特网互联协议)协议、IEC104(International Electro technical Commission104规约，国际电工委员会104规约)协议、IEC61850/GOOSE(International Electro technicalCommission 61850/Generic Object Oriented Substation Event，国际电工委员会61850/面向通用对象的变电站事件)协议、IEC61850/SV(International Electrotechnical Commission 61850/Sampled Value，国际电工委员会61850/采样值)协议、DNP3(Distributed Network Protocol3，分布式网络协议3)协议等。

通过步骤S101，可以识别到多种工业协议的报文，从而能够为多种工业协议的自学习提供基础，支持多种工业协议同时自学习，满足多种工业协议共存的应用场景。

步骤S102中，自学习参数可以包括学习深度、学习阈值、学习时长等。

学习深度越深，对报文的解析粒度、学习到的规则的粒度越精细、系统运行时安全度越高，但是学习效率与业务运行效率越慢。最深的学习深度适用于实时性要求不高，工业网络中周期性传输的报文场景。学习深度越浅，学习效率与业务运行效率越快，但安全性越低。最浅的学习深度适用于实时性要求高，用于传送需要快速响应的突发事件的场景。因此，通过为不同工业协议配置不同的学习深度，可以控制获得的访问控制规则的粒度，进而控制工业协议所在系统的安全度和业务运行效率。

在应用中，可以为应用场景中的每种工业协议分别配置学习阈值，配置学习阈值时可以配置具体数目，也可以配置系统资源百分比。例如，学习阈值可以是学习规则数目阈值。

在应用中，还可以为应用场景中的每种工业协议分别配置学习时长。一般情况下，合理的学习时长区间范围在半小时到一周之间。

通过步骤S102，可以为每种工业协议分别设置相应的自学习参数，支持多种工业协议按照自己的自学习参数同时进行自学习。

通过步骤S103，实现了每种工业协议按照自己的自学习参数，对识别出的属于自己的工业协议报文分别进行规则自学习，从而分别得到针对多种工业协议中每一种协议的访问控制规则。

图1所示实施例，通过识别工业协议报文的所属协议，然后根据所属协议对应的自学习参数对报文进行自学习，得到协议对应的访问控制规则，自动、智能地获取工业协议对应的访问控制规则，不需要人工手动配置，从而避免了人为因素导致的访问控制规则配置错误，提高了访问控制规则配置的准确性。并且，由于不需要人工手动配置，还减少了人工工作量，节约了人力资源和人力成本。

同时，图1所示实施例还支持多种工业协议同时进行访问控制规则的自学习，满足了多工业协议的应用场景的需要。

另外，人工手动配置访问控制规则的方式在网络升级、业务修改时，需要人工修改访问控制规则并重新手动配置，维护困难，而图1所示实施例在网络升级、业务修改时可以通过重新启动自学习，自动获取到适应升级后的网络或修改后的业务的访问控制规则，因此，维护更加方便且容易。

在一个示例性的实现过程中，步骤S101可以包括：获取工业协议报文携带的TCP会话的目的端口，作为目标目的端口；根据预设的目的端口与工业协议的对应关系，查找与目标目的端口匹配的工业协议，作为工业协议报文对应的工业协议。

例如，Modbus TCP协议报文的TCP会话的目的端口为502端口，当接收到的工业协议报文的TCP会话的目的端口为502端口时，确定该报文为Modbus TCP协议报文。

在其他实施例中，用户也可以对工业协议报文的TCP会话的目的端口进行指定，此时，在目的端口与工业协议的对应关系中，将与工业协议对应的目的端口修改为指定端口即可。

在一个示例性的实现过程中，步骤S101可以包括：获取工业协议报文携带的目的MAC(Media Access Control，介质访问控制)地址和以太网类型，分别作为目标MAC地址和目标以太网类型；根据预设的MAC地址和以太网类型的组合与工业协议的对应关系，查找与目标MAC地址和目标以太网类型的组合匹配的工业协议，作为工业协议报文对应的工业协议。

例如，IEC61850/GOOSE协议报文的目的MAC地址为00-0C-CD-01-00-00到00-0C-CD-01-01-FF，且以太网类型为0x88B8。当接收到的工业协议报文的目的MAC地址为00-0C-CD-01-01-00、且以太网类型为0x88B8时，确定该报文是IEC61850/GOOSE协议报文。如果接收到的工业协议报文的目的MAC地址为00-0C-CD-01-02-00、且以太网类型为0x88B8，由于MAC地址00-0C-CD-01-02-00不在00-0C-CD-01-00-00到00-0C-CD-01-01-FF这个地址范围内，因此确定该报文不是IEC61850/GOOSE协议报文。

在一个示例性的实现过程中，自学习参数包括学习深度；步骤S103可以包括：根据目标自学习参数中的目标学习深度，解析工业协议报文，得到解析结果；根据目标学习深度，确定目标规则粒度；根据解析结果，生成目标工业协议对应的符合目标规则粒度的访问控制规则。

举例说明。以Modbus TCP协议为例，假设Modbus TCP协议的学习参数中的学习深度是：地址范围和取值范围。在接收到Modbus TCP协议报文时，从Modbus TCP协议报文的功能码字段读取功能码值，例如，功能码值为0x10Modbus TCP协议的协议说明(Protocolspecification)中规定：0x10代表“写多个寄存器的值”操作，则分析该Modbus TCP协议报文的写入地址，以及在该地址处写入的值，该写入地址和在该地址处写入的值即为对Modbus TCP协议报文的解析结果。然后，根据整个自学习过程获得的所有Modbus TCP协议报文的写入地址，确定Modbus TCP协议报文的“写多个寄存器的值”操作的地址范围；根据整个自学习过程获得的所有Modbus TCP协议报文的写入值，确定Modbus TCP协议报文的“写多个寄存器的值”操作的取值范围；该确定的具体的地址范围和取值范围即为自学习得到的Modbus TCP协议中关于“写多个寄存器的值”操作的访问控制规则。

通过本示例，可以根据每种工业协议的学习深度，控制工业协议的访问控制规则的粒度。并且，可以根据不同工业协议对系统安全度和业务运行效率的具体要求，分别合理地配置相应工业协议的学习深度。

在一个示例性的实现过程中，访问控制规则的获取方法还可以包括：在目标工业协议对应的实时性程度低于或等于指定阈值时，根据访问控制规则生成软件形式的业务运行匹配规则；在目标工业协议对应的实时性程度大于指定阈值时，根据访问控制规则生成ACL(Access Control List，访问控制列表)，并将访问控制列表下发给报文转发芯片。

其中，实时性程度反映了实时性要求的高低。实时性程度越高，实时性要求越高；实时性程度越低，实时性要求越低。

本示例对于实时性要求较低的工业协议的业务使用软件方式进行访问控制，对于实时性要求较高的工业协议的业务，利用硬件(报文转发芯片)使用ACL方式加速规则匹配，从而提高转发效率，高实时性服务的低时延要求。

图2是本说明书实施例提供的访问控制规则的获取方法的应用场景示例图。本说明书实施例的访问控制规则的获取方法可以应用于图2中的工业防火墙。如图2所示，属于不同工业协议的工业客户端向工业防火墙发送不同种类的工业协议报文，工业防火墙通过图1所示实施例的自学习，分别获得多种工业协议的访问控制规则，从而对相应的工业协议报文进行访问控制，并在通过后转发给相应的工业服务器。

基于上述的访问控制规则的获取方法实施例，本说明书实施例还提供了相应的访问控制规则的获取装置实施例。本说明书实施例的访问控制规则的获取装置可以应用于图2中的工业防火墙。

图3是本说明书实施例提供的访问控制规则的获取装置的功能方块图。如图3所示，该装置可以包括：

协议识别模块310，用于在接收到工业协议报文时，识别工业协议报文对应的工业协议，作为目标工业协议。

参数获取模块320，用于根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数。

规则学习模块330，用于基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则。

在一个示例性的实现过程中，自学习参数包括学习深度；规则学习模块330可以具体用于：根据目标自学习参数中的目标学习深度，解析工业协议报文，得到解析结果；根据目标学习深度，确定目标规则粒度；根据解析结果，生成目标工业协议对应的符合目标规则粒度的访问控制规则。

在一个示例性的实现过程中，协议识别模块310可以具体用于：获取工业协议报文携带的TCP会话的目的端口，作为目标目的端口；根据预设的目的端口与工业协议的对应关系，查找与目标目的端口匹配的工业协议，作为工业协议报文对应的工业协议。

在一个示例性的实现过程中，协议识别模块310可以具体用于：获取工业协议报文携带的目的介质访问控制MAC地址和以太网类型，分别作为目标MAC地址和目标以太网类型；根据预设的MAC地址和以太网类型的组合与工业协议的对应关系，查找与目标MAC地址和目标以太网类型的组合匹配的工业协议，作为工业协议报文对应的工业协议。

在一个示例性的实现过程中，访问控制规则的获取装置还可以包括：

第一规则运用模块，用于在目标工业协议对应的实时性程度低于或等于指定阈值时，根据访问控制规则生成软件形式的业务运行匹配规则；

第二规则运用模块，用于在目标工业协议对应的实时性程度大于指定阈值时，根据访问控制规则生成访问控制列表，并将访问控制列表下发给报文转发芯片。

与前述访问控制规则的获取方法的实施例相对应，本申请还提供了网络设备和计算机存储介质的实施例。

图4是本说明书实施例提供的网络设备的一个硬件结构图。如图4所示，网络设备包括：内部总线401，以及通过内部总线连接的存储器402，处理器403和外部接口404，其中，

所述处理器403，用于读取所述存储器402上的机器可读指令，并执行所述指令以实现如下操作：

在接收到工业协议报文时，识别工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数；

基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则。

本说明书实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有若干计算机指令，所述计算机指令被执行时进行如下处理：

在接收到工业协议报文时，识别工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数；

基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本说明书的真正范围和精神由下面的权利要求指出。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

Claims (10)

1.一种访问控制规则的获取方法，其特征在于，所述方法包括：

在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

2.根据权利要求1所述的方法，其特征在于，所述自学习参数包括学习深度；所述基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则，包括：

根据所述目标自学习参数中的目标学习深度，解析所述工业协议报文，得到解析结果；

根据所述目标学习深度，确定目标规则粒度；

根据所述解析结果，生成所述目标工业协议对应的符合所述目标规则粒度的访问控制规则。

3.根据权利要求1所述的方法，其特征在于，所述识别所述工业协议报文对应的工业协议，包括：

获取所述工业协议报文携带的传输控制协议TCP会话的目的端口，作为目标目的端口；

根据预设的目的端口与工业协议的对应关系，查找与所述目标目的端口匹配的工业协议，作为所述工业协议报文对应的工业协议。

4.根据权利要求1所述的方法，其特征在于，所述识别所述工业协议报文对应的工业协议，包括：

获取所述工业协议报文携带的目的介质访问控制MAC地址和以太网类型，分别作为目标MAC地址和目标以太网类型；

根据预设的MAC地址和以太网类型的组合与工业协议的对应关系，查找与所述目标MAC地址和所述目标以太网类型的组合匹配的工业协议，作为所述工业协议报文对应的工业协议。

5.根据权利要求1～4任一项所述的方法，其特征在于，所述方法还包括：

在所述目标工业协议对应的实时性程度低于或等于指定阈值时，根据所述访问控制规则生成软件形式的业务运行匹配规则；

在所述目标工业协议对应的实时性程度大于所述指定阈值时，根据所述访问控制规则生成访问控制列表，并将所述访问控制列表下发给报文转发芯片。

6.一种访问控制规则的获取装置，其特征在于，所述装置包括：

协议识别模块，用于在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

参数获取模块，用于根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

规则学习模块，用于基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

7.根据权利要求6所述的装置，其特征在于，所述自学习参数包括学习深度；所述规则学习模块具体用于：

根据所述目标自学习参数中的目标学习深度，解析所述工业协议报文，得到解析结果；

根据所述目标学习深度，确定目标规则粒度；

根据所述解析结果，生成所述目标工业协议对应的符合所述目标规则粒度的访问控制规则。

8.根据权利要求6或7所述的装置，其特征在于，所述装置还包括：

第一规则运用模块，用于在所述目标工业协议对应的实时性程度低于或等于指定阈值时，根据所述访问控制规则生成软件形式的业务运行匹配规则；

第二规则运用模块，用于在所述目标工业协议对应的实时性程度大于所述指定阈值时，根据所述访问控制规则生成访问控制列表，并将所述访问控制列表下发给报文转发芯片。

9.一种网络设备，其特征在于，包括：内部总线、以及通过内部总线连接的存储器、处理器和外部接口，其中，

所述处理器，用于读取所述存储器上的机器可读指令，并执行所述指令实现如下操作：

在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上有若干计算机指令，所述计算机指令被执行时进行如下处理：

在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；

根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；

基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。