CN110011968A - 一种基于工控协议通用框架的策略访问控制方法 - Google Patents
一种基于工控协议通用框架的策略访问控制方法 Download PDFInfo
- Publication number
- CN110011968A CN110011968A CN201910150650.7A CN201910150650A CN110011968A CN 110011968 A CN110011968 A CN 110011968A CN 201910150650 A CN201910150650 A CN 201910150650A CN 110011968 A CN110011968 A CN 110011968A
- Authority
- CN
- China
- Prior art keywords
- access control
- configuration file
- general framework
- parsed
- match information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于工控协议通用框架的策略访问控制方法,包括:获取新编的工业协议配置文件;对获取到的所述工业协议配置文件进行解析,以得到数据平面可解析的目标策略,并将所述目标策略下发至所述数据平面;基于所述数据平面对流经工业防火墙的报文进行解析,以得到所述报文的匹配信息,所述匹配信息包括IP地址、服务对象及配置功能项;基于多模匹配方式将所述匹配信息与所述目标策略进行匹配,并执行匹配到的策略动作。通过本发明的技术方案,可有效减少重复开发工作量,在配置上也更为灵活,提高了开发效率,降低维护成本。
Description
技术领域
本发明涉及工控网络技术领域,具体而言,涉及一种基于工控协议通用框架的策略访问控制方法。
背景技术
工业防火墙应用于工业控制系统网络环境中,起到对工控协议(例如modbus,iec104)隔离控制作用。它主要体现在两方面:一是细化出用户对工业协议可配置的功能项(例如modubs功能码、点表等),通过配置功能项形成策略; 二是对经过墙的数据解析后和策略匹配达到访问控制结果。然而,现有的工控防火墙每添加新的协议都需要开发新的模块,而且在访问控制上基于线性匹配,带来的问题主要有两点:一是固定的开发模式不能灵活的修改配置以及扩展,而且重复开发,增加了工作量; 二是线性匹配速度慢,大数据下过滤效率低。
发明内容
本发明正是基于上述技术问题至少之一,提出了一种新的基于工控协议通用框架的策略访问控制方法,可有效减少重复开发工作量,在配置上也更为灵活,提高了开发效率,降低维护成本。
有鉴于此,本发明提出了一种新的基于工控协议通用框架的策略访问控制方法,包括:获取新编的工业协议配置文件;对获取到的所述工业协议配置文件进行解析,以得到数据平面可解析的目标策略,并将所述目标策略下发至所述数据平面;基于所述数据平面对流经工业防火墙的报文进行解析,以得到所述报文的匹配信息,所述匹配信息包括IP地址、服务对象及配置功能项;基于多模匹配方式将所述匹配信息与所述目标策略进行匹配,并执行匹配到的策略动作。
在该技术方案中,通过获取并解析工业协议配置文件,将工业协议配置文件解析成数据平面可解析的目标策略,并下发到数据平面,由数据平面完成对下发目标策略的解析并对流经墙的报文进行深度解析,并在将匹配信息与目标策略进行匹配后,执行相应动作,整个过程可有效减少重复开发工作量,在配置上也更为灵活,提高了开发效率,降低维护成本。
在上述技术方案中,优选地,所述对获取到的所述工业协议配置文件进行解析的步骤,具体包括:基于通用工业协议解析框架对所述工业协议配置文件进行解析。
在上述任一项技术方案中,优选地,所述匹配到的策略动作包括记录日志、丢弃或通过。
在上述任一项技术方案中,优选地,IP地址包括源IP、目的IP及支持IP网段。
通过以上技术方案,可有效减少重复开发工作量,在配置上也更为灵活,提高了开发效率,降低维护成本。
附图说明
图1示出了根据本发明的实施例的一种基于工控协议通用框架的策略访问控制方法的流程示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的一种基于工控协议通用框架的策略访问控制方法的流程示意图。
本实施例中,工控协议通用框架包括控制平面和数据平面,其中,控制平面负责解析工控协议配置文件的内容,同时对用户配置的策略翻译成数据平面可解析的策略,并下发到数据平面;数据平面完成对下发策略的解析并对流经墙的报文深度解析,根据策略匹配后,控制匹配策略的报文动作,具体地处理流程如图1所示,包括以下步骤:
步骤102,获取新编的工业协议配置文件。
步骤104,对获取到的工业协议配置文件进行解析,以得到数据平面可解析的目标策略,并将目标策略下发至数据平面。
具体地,可基于通用工业协议解析框架对工业协议配置文件进行解析。
步骤106,基于数据平面对流经工业防火墙的报文进行解析,以得到报文的匹配信息,匹配信息包括IP地址(包括源IP、目的IP及支持IP网段)、服务对象(工控协议的名称)及配置功能项(协议配置文件中需要控制的功能)。
步骤108,基于多模匹配方式将匹配信息与目标策略进行匹配,并执行匹配到的策略动作。其中,匹配到的策略动作包括记录日志、丢弃或通过。
以上结合附图详细说明了本发明的技术方案,本发明的技术方案提出了一种新的基于工控协议通用框架的策略访问控制方法,可有效减少重复开发工作量,在配置上也更为灵活,提高了开发效率,降低维护成本。
上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于工控协议通用框架的策略访问控制方法,其特征在于,包括:
获取新编的工业协议配置文件;
对获取到的所述工业协议配置文件进行解析,以得到数据平面可解析的目标策略,并将所述目标策略下发至所述数据平面;
基于所述数据平面对流经工业防火墙的报文进行解析,以得到所述报文的匹配信息,所述匹配信息包括IP地址、服务对象及配置功能项;
基于多模匹配方式将所述匹配信息与所述目标策略进行匹配,并执行匹配到的策略动作。
2.根据权利要求1所述的基于工控协议通用框架的策略访问控制方法,其特征在于,所述对获取到的所述工业协议配置文件进行解析的步骤,具体包括:
基于通用工业协议解析框架对所述工业协议配置文件进行解析。
3.根据权利要求1或2所述的基于工控协议通用框架的策略访问控制方法,其特征在于,所述匹配到的策略动作包括记录日志、丢弃或通过。
4.根据权利要求1或2所述的基于工控协议通用框架的策略访问控制方法,其特征在于,IP地址包括源IP、目的IP及支持IP网段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910150650.7A CN110011968A (zh) | 2019-02-28 | 2019-02-28 | 一种基于工控协议通用框架的策略访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910150650.7A CN110011968A (zh) | 2019-02-28 | 2019-02-28 | 一种基于工控协议通用框架的策略访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110011968A true CN110011968A (zh) | 2019-07-12 |
Family
ID=67166272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910150650.7A Pending CN110011968A (zh) | 2019-02-28 | 2019-02-28 | 一种基于工控协议通用框架的策略访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110011968A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266735A (zh) * | 2019-07-30 | 2019-09-20 | 北京中投安能科技有限公司 | 基于时序的工业通讯协议白名单访问控制 |
| CN110868408A (zh) * | 2019-11-07 | 2020-03-06 | 广州安加互联科技有限公司 | 一种基于工业协议解析的工控设备安全检测方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780624A (zh) * | 2014-01-26 | 2014-05-07 | 北京仿真中心 | 一种面向复杂系统的通用应用层网络通信协议应用方法 |
| CN105141596A (zh) * | 2015-08-12 | 2015-12-09 | 北京威努特技术有限公司 | 一种支持可扩展协议检测的工控防火墙实现方法 |
| US20180259923A1 (en) * | 2017-03-07 | 2018-09-13 | Honeywell International Inc. | System and method for industrial process automation controller farm with flexible redundancy schema and dynamic resource management through machine learning |
| CN108540480A (zh) * | 2018-04-19 | 2018-09-14 | 中电和瑞科技有限公司 | 一种网关以及基于网关的文件访问控制方法 |
-
2019
- 2019-02-28 CN CN201910150650.7A patent/CN110011968A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780624A (zh) * | 2014-01-26 | 2014-05-07 | 北京仿真中心 | 一种面向复杂系统的通用应用层网络通信协议应用方法 |
| CN105141596A (zh) * | 2015-08-12 | 2015-12-09 | 北京威努特技术有限公司 | 一种支持可扩展协议检测的工控防火墙实现方法 |
| US20180259923A1 (en) * | 2017-03-07 | 2018-09-13 | Honeywell International Inc. | System and method for industrial process automation controller farm with flexible redundancy schema and dynamic resource management through machine learning |
| CN108540480A (zh) * | 2018-04-19 | 2018-09-14 | 中电和瑞科技有限公司 | 一种网关以及基于网关的文件访问控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杜剑峰: "基于网络处理器的防火墙系统软件框架设计", 《长沙通信职业技术学院学报》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266735A (zh) * | 2019-07-30 | 2019-09-20 | 北京中投安能科技有限公司 | 基于时序的工业通讯协议白名单访问控制 |
| CN110266735B (zh) * | 2019-07-30 | 2021-08-27 | 北京中投安能科技有限公司 | 基于时序的工业通讯协议白名单访问控制方法 |
| CN110868408A (zh) * | 2019-11-07 | 2020-03-06 | 广州安加互联科技有限公司 | 一种基于工业协议解析的工控设备安全检测方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Moran-Gilad | Whole genome sequencing (WGS) for food-borne pathogen surveillance and control–taking the pulse | |
| DE60236590D1 (de) | System und methode zur detektion und verifizierung von digitalen inhalten über ein rechnernetzwerk | |
| CN103699689B (zh) | 事件知识库的构建方法及装置 | |
| WO2007069244A3 (en) | Method for assigning one or more categorized scores to each document over a data network | |
| CN110011968A (zh) | 一种基于工控协议通用框架的策略访问控制方法 | |
| DE60214993D1 (de) | Firewall zur dynamishen Zugangsgewährung und -verweigerung auf Netzwerkressourcen | |
| CN110445815A (zh) | 一种工控协议深度解析方法 | |
| WO2002006834A3 (en) | Nested sorting and high throughput screening | |
| CN109344138A (zh) | 一种日志解析方法及系统 | |
| CN105007200B (zh) | 网络数据包的分析方法及系统 | |
| CN113609427B (zh) | 一种无接口情况下的系统数据资源提取方法及系统 | |
| CN117201631A (zh) | 一种多终端接入网关的数据管理方法和装置 | |
| Averyanov et al. | Digitising a machine tool for smart factories | |
| Halenar et al. | Communication Safety of Cybernetic Systems in a Smart Factory Environment | |
| EP1471712A3 (en) | Analysis of operations relating to network services | |
| CN109040089B (zh) | 网络策略审计方法、设备及计算机可读存储介质 | |
| Tolk et al. | Coalition battle management language | |
| Singh et al. | LSSDNF: a lightweight secure software defined network framework for future internet in 5G–6G | |
| CN102710542B (zh) | 一种声音处理的方法及系统 | |
| Cho et al. | A controller switching mechanism for resilient wireless sensor–actuator networks | |
| Yang et al. | Applying MMD Data Mining to Match Network Traffic for Stepping-Stone Intrusion Detection | |
| Siboni et al. | Aging in amorphous solids: A study of the first-passage time and persistence time distributions | |
| KR20160062840A (ko) | 데이터 가상화를 위한 공공 데이터 통합 모델링 기술 | |
| CN110213289A (zh) | 一种快速排查jt/t809协议报文问题的方法 | |
| KR100813400B1 (ko) | 가상 다중 웹 페이지 운영 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190712 |