CN112039915A - 一种基于端信息跳变的嵌入式工控网络指令传输方法 - Google Patents
一种基于端信息跳变的嵌入式工控网络指令传输方法 Download PDFInfo
- Publication number
- CN112039915A CN112039915A CN202010933967.0A CN202010933967A CN112039915A CN 112039915 A CN112039915 A CN 112039915A CN 202010933967 A CN202010933967 A CN 202010933967A CN 112039915 A CN112039915 A CN 112039915A
- Authority
- CN
- China
- Prior art keywords
- port
- server
- address
- client
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于端信息跳变的嵌入式工控网络指令传输方法,该方法采用端信息跳变进行认证,端信息跳变是网络通信双方按照一定的规律策略,同时、同步的改变网络参数。在工控网络通信中针对固定IP地址和固定Port端口的网络监听、截获和攻击问题进行研究。本方法中在系统启动前,工作人员随机选取服务器端和客户端的IP地址池和Port端口池,(IP1,IP2...IPn),(Port1,Port2...Portn)然后服务器端和客户端根据端信息跳变算法进行通信,使服务器和客户端每条指令都通过不同的IP地址和Port端口传输,最后根据工控系统通信网络各硬件之间的认证时间,设置定时跳变方案。采用本方法将端信息跳变应用到嵌入式工控网络指令传输中,经测试有效的保障了指令传输的安全性和稳定性。
Description
技术领域
本发明由路由器、服务器端的上位机软件、单片机、ESP8266无线模块和抽油机组成,涉及一种基于端信息跳变的嵌入式工控网络指令传输方法,采用TCP/IP协议进行认证连接,创新性的把计算机网络安全中端信息跳变策略引入到嵌入式工控系统中,提高了工控系统通信的安全性能。系统启动前由工作人员随机选择IP地址池和Port端口池,客户端与服务器连接成功后将指令发送到单片机,单片机根据指令协议驱动抽油机进行相应动作。ESP8266无线模块自监听服务器成功10秒后服务器和客户端会根据跳变策略同时跳变到下一个相同IP地址和Port端口,ESP8266再完成下一次对服务器的指令监听,使得服务器每次指令的发出都是通过不同的IP地址和Port端口,大大增加了针对固定IP地址和固定Port端口网络监听、截获和攻击的难度。
背景技术
网络套接字是支持TCP/IP协议的通信基本操作单元,提供了应用层进程利用网络协议交换数据的机制,是应用程序通过网络协议进行通信的接口。套接字中包含源地址、源端口号、目的地址、目的端口号以及通信协议,地址和端口号用于标识网络中某一个主机的某个服务。网络套接字将通信双方分为服务器端和客户端,由服务器端创建套接字后将所需要传输的数据写入套接字,经过通信传输后达到客户端,客户端通过读取套接字的内容来获取服务器端的数据。
端信息跳变指的是网络通信双方按照一定的规律策略,同时、并同步地改变其通信所使用的网络参数,这些网络参数主要包括:IP地址、Port端口、通信协议等。服务器端和客户端根据匹配的跳变算法和协议的规定,在通信的过程中完成IP地址和Port端口的更新,并在接下来的通信过程中完成认证链接和数据传输。
由于在嵌入式工控系统中,每次通信连接认证都需要各个硬件设备之间的协调配合,所以使得跳变速度远不如在软件系统中变换和传输快,为了适应工控系统的需求,应在保证数据安全、完整传输的前提下完成端信息跳变。通过服务器和客户端的端信息跳变,使得工控系统网络大大增加了对固定IP地址和Port端口抗监听、抗截获和抗攻击的性能。
发明内容
为了应对工控网络中针对固定IP地址和固定Port端口的网络攻击,本发明创新性的将网络安全中的端信息跳变策略引入到工控网络数据传输中,首先通过系统启动前工作人员随机选择IP地址池和Port端口池,服务器端和客户端根据端信息跳变的策略实现不同的指令通过不同的IP地址和Port端口发出,极大的提高了工控网络中数据和指令传输的安全性。其特征在于以下步骤:
(1)工作人员在系统启动前随机选取工控系统本次通信的IP地址池和Port端口池,并将其分别写入服务器端和客户端;
(2)由路由器建立本次工控系统的局域网,使得服务器端和客户端接入局域网;
(3)服务器端和客户端ESP8266无线模块接入局域网后,ESP8266无线模块开始监听服务器的IP地址和Port端口,并开始为跳变到服务器的下一个IP地址和Port端口计时;
(4)在未发生跳变的时间内,ESP8266无线模块若接收到服务器端发出的“end”指令,则会将此指令发送到单片机,通过单片机对ESP8266无线模块复位以结束本次通信,若接收到非“end”指令,也会将指令发送到单片机进行处理;
(5)单片机根据协议对指令进行判断,并驱动抽油机完成相应的动作;
(6)客户端接入局域网监听服务器10秒后,服务器端和客户端会按照跳变协议,跳变到下一个服务器的IP地址和Port端口,重新回到第(3)步重新进行认证连接,完成下一次通信。
利用通信双方定时端信息跳变通信的方式,让每条指令都通过不同的IP地址和Port端口传输,在确保工控系统能够完成指令操作的同时,实现了隐蔽通信,很好的保护了系统通信传输的内容信息,加大了针对固定IP地址和固定Port端口监听、截获和攻击的难度。
附图说明
为了更清楚的说明本发明实施例中的技术方案,下面结合附图与具体实施方案对本发明做进一步说明:
图1系统通信场景示意图。
图2基于端信息跳变的嵌入式工控网络指令传输流程图。
具体实施方式
下面结合附图对本发明作进一步详细的描述。
本发明将网络安全中的端信息跳变策略引入到嵌入式工控网络通信中,在工控网络的服务器端和客户端实现通信跳变的思想。端信息跳变是一种在网络通信中按照算法主动改变网络套接字信息以实现主动防御的手段,通过改变套接字的IP地址和Port端口实现通信过程中用多个IP地址和Port端口,实现多次数据通过多个IP地址和Port端口传输的方法。服务器端和客户端配置相同的IP地址池和Port端口池以完成每次跳变后的通信认证连接,同时根据工控系统中各硬件设备的协调性,需要根据工控系统的需求进行定时的跳变策略,使得工控系统的指令传输以更好地实现安全、稳定的传输。该发明主要包含以下几个步骤:
a.根据局域网的网段和分配情况,提前写入多个IP地址池和Port端口池,且保证不同的IP地址池和Port端口池的数量的网段都不同。(IP1,IP2...IPn),(Port1,Port2...Portn)其中IP1表示第一个IP地址,IP2表示第二个IP地址,IPn表示第n个IP地址,Port1表示第一个端口,Port2表示第二个端口,Portn表示第n个端口,n在系统启动前由工作人员随机选取,增加了系统通信IP地址和Port端口的随机性;进一步增加工控网络指令传输时跳变通信地址和端口的的不可控性。
b.路由器建立一个局域网等待服务器端和客户端接入。通过路由器建立局域网,完成工控系统的各个通信设备的连接。服务器端和客户端ESP8266无线模块通过验证局域网的名称和密码后接入局域网,进入同一网段进行数据通信。
c.客户端监听局域网内服务器发出指令的IP地址和Port端口。因为服务器端和客户端ESP8266无线模块都在同一个局域网内,ESP8266无线模块只需要按照跳变协议监听当前服务器在局域网内的的IP地址和Port端口,就能捕获到服务器发到局域网里的指令信息,进而完成一次指令传输,同时开始为下次端信息跳变开始计时。
d.ESP8266无线模块将服务器端的指令信息发送至单片机。单片机接收到来自服务器的指令后,首先判断是不是“end”指令,若是“end”指令则通过单片机对ESP8266无线模块进行复位操作,以断开系统通信,抽油机设备进入稳定运行阶段。
e.单片机判断指令非“end”,驱动抽油机完成指令的动作。单片机判断指令内容非“end”后,单片机根据指令动作的协议,驱动抽油机完成指令要求的动作设置,以完成一次指令传输。
f.客户端监听服务器端10秒后,通信双方根据协议算法进行IP地址和Port端口跳变,重新回到c步骤,期间客户端单片机会亮灯提示工作人员“跳变期间禁止发送指令”,根据服务器端和客户端配套的跳变策略,定时完成端信息跳变后重新认证连接,以此完成工控系统服务器在设置客户端的过程中,每条指令都通过不同的端信息发送至客户端,大大提高了工控系统指令传输时针对固定IP地址和Port端口的抗监听、抗截获和抗攻击性能。最后服务器端发送“end”指令,系统网络通信全部断开,抽油机设备进入稳定运转阶段,更有效避免了外部环境对抽油机工作的干扰。
本发明根据TCP/IP协议的稳定性,将计算机网络安全中的端信息跳变创新性的引入到嵌入式工控网络系统通信中,实现工控网络中服务器端向客户端发送指令的通信过程中,让每条指令信息都通过不同的IP地址和Port端口发送至客户端,极大的提高了工控网络通信系统针对固定IP地址和Port端口的抗监听、抗截获和抗攻击的能力。同时根据工控系统中各硬件通信之间的延迟时间,设置了适合工控系统定时跳变的方案,在保证了通信过程一定程度上抗网络攻击的同时,提高了服务器设置客户端的通信效率,有效的保障了工控系统中指令传输的安全性和稳定性。
Claims (4)
1.一种基于端信息跳变的嵌入式工控网络指令传输方法,其特征在于包含以下步骤:
a.首先工作人员选择服务器端和客户端本次通信的IP地址池和Port端口池,并将其写入服务器端和客户端;
b.由路由器建立局域网,实现服务器端和客户端完成认证连接;
c.服务器端和客户端ESP8266无线模块经过路由器验证后接入局域网,ESP8266无线模块开始监听服务器端发送指令的IP地址和Port,同时开始计时跳变到监听服务器的下一个IP地址和Port端口;
d.在未发生IP地址和Port端口跳变的等待时间内,ESP8266无线模块若接收到服务器端发送出“end”指令,则通过单片机给ESP8266无线模块复位,以实现通信结束,抽油机设备进入“非设置”状态,进行稳定运行阶段,若接收到非“end”指令,则将指令传到单片机进行下一步判断处理;
e.单片机通过判断来自服务器端的指令,根据内部协议对抽油机设备进行相应动作的驱动,抽油机则会完成本次的指令要求;
f.在第一次通信连接成功10秒钟后,服务器端的通信IP地址和Port端口会变为IP2,Port2,同时客户端的ESP8266无线模块也会进行跟随跳变,重新监听来自IP2和Port2的指令信息,重新返回c步骤。
2.根据权利要求1所述的一种基于端信息跳变的嵌入式工控网络指令传输方法,其特征在于:
所述步骤a中(IP1,IP2...IPn),(Port1,Port2...Portn)其中IP1表示第一个IP地址,IP2表示第二个IP地址,IPn表示第n个IP地址,Port1表示第一个端口,Port2表示第二个端口,Portn表示第n个端口,n在系统启动前由工作人员随机选取,增加了系统通信IP地址和Port端口的随机性。
3.根据权利要求1所述的一种基于端信息跳变的嵌入式工控网络指令传输方法,其特征在于:
所述步骤c中,服务器端和客户端ESP8266无线模块接入局域网后,ESP8266无线模块开始监听服务器端的IP1地址和Port1端口,等待服务器端发送指令,同时ESP8266无线模块开始计时10秒后跳到监听服务器发送指令的IP2地址和Port2端口。
4.根据权利要求1所述的一种基于端信息跳变的嵌入式工控网络指令传输方法,其特征在于:
所述步骤f中,10秒钟跳变计时结束后,客户端单片机会亮灯提示工作人员“跳变期间禁止发送指令”,且无论工作人员是否发出指令,系统都会断开上次通信连接,开始连接下次通信,服务器端和客户端都会同时变换通信的IP地址和Port端口,使得相邻两次指令的发出都是通过不同的IP地址和Port端口,且每次开始时根据工作人员选择的IP地址池和Port端口池的不同,让系统每次通信的IP地址和Port端口都完全不同,大大增加了针对固定IP地址和固定Port端口监听、截获和攻击的难度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010933967.0A CN112039915A (zh) | 2020-09-08 | 2020-09-08 | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010933967.0A CN112039915A (zh) | 2020-09-08 | 2020-09-08 | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112039915A true CN112039915A (zh) | 2020-12-04 |
Family
ID=73584913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010933967.0A Pending CN112039915A (zh) | 2020-09-08 | 2020-09-08 | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112039915A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115189955A (zh) * | 2022-07-15 | 2022-10-14 | 中国电信股份有限公司 | 数据通信方法及电子设备、存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989316A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第二十九研究所 | 一种适用于专用网络的端口跳变通信方法及系统 |
CN110099046A (zh) * | 2019-04-08 | 2019-08-06 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 超融合服务器的网络跳变方法和系统 |
CN111629082A (zh) * | 2020-05-29 | 2020-09-04 | 北京吉安金芯信息技术有限公司 | 地址跳变系统、方法、装置、存储介质及处理器 |
-
2020
- 2020-09-08 CN CN202010933967.0A patent/CN112039915A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989316A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第二十九研究所 | 一种适用于专用网络的端口跳变通信方法及系统 |
CN110099046A (zh) * | 2019-04-08 | 2019-08-06 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 超融合服务器的网络跳变方法和系统 |
CN111629082A (zh) * | 2020-05-29 | 2020-09-04 | 北京吉安金芯信息技术有限公司 | 地址跳变系统、方法、装置、存储介质及处理器 |
Non-Patent Citations (3)
Title |
---|
徐海洲等: "基于SDN的工控信息安全防护系统设计及实现", 《制造业自动化》 * |
石乐义等: "基于端信息跳变的主动网络防护研究", 《通信学报》 * |
石乐义等: "抵御DoS攻击的端信息跳变Web插件机制", 《通信学报》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115189955A (zh) * | 2022-07-15 | 2022-10-14 | 中国电信股份有限公司 | 数据通信方法及电子设备、存储介质 |
CN115189955B (zh) * | 2022-07-15 | 2024-01-30 | 中国电信股份有限公司 | 数据通信方法及电子设备、存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5068495B2 (ja) | 分散型認証機能 | |
CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
CN101247261A (zh) | 一种防止DDos攻击的方法及设备 | |
CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
CN110365658B (zh) | 一种反射攻击防护与流量清洗方法、装置、设备及介质 | |
CN102231748B (zh) | 一种客户端验证方法及装置 | |
CN114422201B (zh) | 一种网络靶场大规模用户远程接入方法和系统 | |
CN113452782B (zh) | 一种mesh组网下的升级方法与装置 | |
CN111478888B (zh) | 一种旁路阻断方法、设备及存储介质 | |
CN107094183A (zh) | 一种基于端口跳变的ftp文件可靠传输方法 | |
CN112039915A (zh) | 一种基于端信息跳变的嵌入式工控网络指令传输方法 | |
CN1538706A (zh) | 一种用于web认证的http重定向方法 | |
CN106878337A (zh) | 一种实现接入网源地址验证的Web认证方法与系统 | |
CN111431943B (zh) | 一种拟态系统及其tcp代理的方法 | |
CN102143173A (zh) | 防御分布式拒绝服务攻击的方法、系统以及网关设备 | |
EP3618396B1 (en) | Protection method and system for http flood attack | |
EP3407553B1 (en) | Pppoe message transmission method and pppoe server | |
CN1315293C (zh) | 分布式网络接入设备中握手机制的实现方法 | |
CN105306494A (zh) | 一种防止dos攻击的服务器及方法 | |
KR101432326B1 (ko) | 호스트 가장 네트워크 디바이스 및 그의 방법 | |
CN107395550A (zh) | 一种网络攻击的防御方法及服务器 | |
CN102316119A (zh) | 一种安全控制方法和设备 | |
CN112688948B (zh) | 一种对象处理方法及装置 | |
CN114244621A (zh) | 一种多层级碎片化的高安全强度通信系统 | |
CN107682326B (zh) | 一种安全网关联动防护机制、协议及模块 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201204 |