CN112580016A - 一种工控防火墙的登录权限配置方法及装置 - Google Patents
一种工控防火墙的登录权限配置方法及装置 Download PDFInfo
- Publication number
- CN112580016A CN112580016A CN202011534752.8A CN202011534752A CN112580016A CN 112580016 A CN112580016 A CN 112580016A CN 202011534752 A CN202011534752 A CN 202011534752A CN 112580016 A CN112580016 A CN 112580016A
- Authority
- CN
- China
- Prior art keywords
- target
- firewall
- industrial control
- interface
- network card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000011664 signaling Effects 0.000 claims abstract description 79
- 238000011161 development Methods 0.000 claims abstract description 22
- 238000001514 detection method Methods 0.000 claims description 29
- 230000015654 memory Effects 0.000 claims description 18
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000002427 irreversible effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工控防火墙的登录权限配置方法及装置,其中,该方法包括:根据目标接口接收到的目标信令报文,关闭主进程;获取目标网卡的PCI总线地址,继而将目标网卡从预设开发套件中解绑;根据防火墙内核以及目标网卡的PCI总线地址,将目标网卡与防火墙内核绑定,并为目标接口随机设置一地址信息;根据地址信息,通过预设安全外壳协议开放目标接口的登录权限。通过实施本发明,结合接收到的目标信令报文,将工控防火墙中的网卡与预设开发套件解绑,以及与防火墙内核相绑定,进而通过为接口设置一地址登录工控防火墙,实现了当无串口工控防火墙出现故障时,可以重新登录进而采集故障信息以及进行故障定位。
Description
技术领域
本发明涉及工控安全技术领域,具体涉及一种工控防火墙的登录权限配置方法及装置。
背景技术
随着移动互联网的快速发展,工业控制行业逐步进入互联网化的时代。随着基础工业技术与应用不断演进,联网工控设备数量有望呈现爆发式的增长。工业控制的细分领域众多,其中不乏关键制造、能源、通信等关乎国家命脉的重要行业。
工控防火墙是工控安全生态中的核心产品,各工控厂商提供了基于不同平台、不同架构的多种形态的工控防火墙产品,其中对于无串口防火墙来说,当设备出现故障且管理口也无法登录时,现有的处理方式只能是对设备系统进行格式化,进而重新烧写,导致设备故障信息被一并清除,无法采集设备故障信息,进而进行故障定位。
发明内容
有鉴于此,本发明实施例提供了一种工控防火墙的登录权限配置方法及装置,以解决相关技术中存在的工控防火墙出现故障且管理接口无法登录时,只能格式化,无法采集设备故障信息的问题。
根据第一方面,本发明实施例提供了一种工控防火墙的登录权限配置方法,包括:根据目标接口接收到的目标信令报文,关闭主进程,所述目标接口为所述工控防火墙中的任一可通信接口,所述目标信令报文用于表征所述工控防火墙的目标管理接口的状态为无法登录;获取目标网卡的PCI总线地址,根据所述目标网卡的PCI总线地址,将所述目标网卡从预设开发套件中解绑;根据防火墙内核以及所述目标网卡的PCI总线地址,将所述目标网卡与所述防火墙内核绑定,并为所述目标接口随机设置一地址信息;根据所述地址信息,通过预设安全外壳协议开放所述目标接口的登录权限。
结合第一方面,在第一方面第一实施方式中,所述目标信令报文通过以下过程生成:当检测设备监测到所述工控防火墙的目标管理接口无法登录时,生成目标信令报文,并将所述目标信令报文发送至所述工控防火墙的目标接口。
结合第一方面第一实施方式,在第一方面第二实施方式中,所述检测设备生成目标信令报文的步骤,包括:根据一随机字符以及密钥算法生成第一密钥,并将所述第一密钥存储于所述工控防火墙;根据所述第一密钥以及预设数据包处理工具,生成目标信令报文。
结合第一方面第二实施方式,在第一方面第三实施方式中,所述根据目标接口接收到的所述目标信令报文,关闭主进程,包括:根据所述目标信令报文,提取所述第一密钥及所述随机字符;根据所述随机字符以及预设密钥算法,生成标准密钥;当所述第一密钥与所述标准密钥一致时,关闭所述主进程。
结合第一方面第三实施方式,在第一方面第四实施方式中,该方法还包括,当所述第一密钥与所述标准密钥不一致时,忽略所述目标信令报文。
结合第一方面,在第一方面第五实施方式中,所述登录权限用于供检测设备通过所述目标接口登录所述工控防火墙。
根据第二方面,本发明实施例提供了一种工控防火墙的登录权限配置装置,包括:关闭模块,用于根据目标接口接收到的目标信令报文,关闭主进程,所述目标接口为所述工控防火墙中的任一可通信接口,所述目标信令报文用于表征所述工控防火墙的目标管理接口无法登录;解绑模块,用于获取目标网卡的PCI总线地址,根据所述目标网卡的PCI总线地址,将所述目标网卡从预设开发套件中解绑;绑定模块,用于根据防火墙内核以及所述目标网卡的PCI总线地址,将所述目标网卡与所述防火墙内核绑定,并为所述目标接口随机设置一地址信息;权限开放模块,用于根据所述地址信息,通过预设安全外壳协议开放所述目标接口的登录权限。
根据第三方面,本发明实施例提供了一种工业控制系统,包括检测设备及工控防火墙,其中:所述检测设备,用于当监测到所述工控防火墙的目标管理接口无法登录时,生成目标信令报文,并将所述目标信令报文发送至所述工控防火墙的目标接口;所述工控防火墙,用于执行如第一方面或第一方面任一实施方式所述的工控防火墙的登录权限配置方法,开放所述目标接口的登录权限;所述检测设备,还用于通过所述目标接口登录所述工控防火墙。
根据第四方面,本发明实施例提供了一种工控防火墙,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如第一方面或第一方面任一实施方式所述的工控防火墙的登录权限配置方法的步骤。
根据第五方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或者第一方面任一实施方式中所述的工控防火墙的登录权限配置方法的步骤。
本发明技术方案,具有如下优点:
本发明提供的一种工控防火墙的登录权限配置方法及装置,其中,该方法包括:根据目标接口接收到的目标信令报文,关闭主进程,目标接口为工控防火墙中的任一可通信接口,目标信令报文用于表征工控防火墙的目标管理接口的状态为无法登录;获取目标网卡的PCI总线地址,根据目标网卡的PCI总线地址,将目标网卡从预设开发套件中解绑;根据防火墙内核以及目标网卡的PCI总线地址,将目标网卡与防火墙内核绑定,并为目标接口随机设置一地址信息;根据地址信息,通过预设安全外壳协议开放目标接口的登录权限。
通过实施本发明,解决了相关技术中存在的当工控防火墙出现故障且管理接口无法登录时,只能格式化,无法登录采集故障信息的问题,结合接收到的目标信令报文,将工控防火墙中的网卡与预设开发套件解绑,以及与防火墙内核相绑定,进而通过为接口设置一地址登录工控防火墙,实现了当无串口工控防火墙出现故障时,可以重新登录进而采集故障信息以及进行故障定位;结合接收到的目标信令报文,工控防火墙实现与预设开发套件的解绑以及与防火墙内核的绑定,更具安全性以及效率更高。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中工控防火墙的登录一个具体示例的流程图;
图2为本发明实施例中工工业控制系统的一个具体示例的流程图;
图3为本发明实施例中工控防火墙关闭主进程的一个流程框图;
图4为本发明实施例中工控防火墙的登录权限配置方法的一个具体示例的流程框图;
图5为本发明实施例中工控防火墙的登录权限配置装置的一个具体示例的原理框图;
图6为本发明实施例中工控防火墙的一个具体示例图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着工业控制行业逐步进入互联网化的时代,为了更好的保障工控系统的安全,工控防火墙成为了工控系统中不可或缺的一部分,也就是说,工控防火墙是工控安全生态中的核心产品,尤其是无串口防火墙。但是,相关技术中存在一痛点问题:当防火墙出现故障且管理接口也无法登录时,此时只能对防火墙进行格式化烧写,导致故障信息随着格式化烧写被一并消除,无法采集防火墙的故障信息,更无法根据故障信息对故障进行定位,使得防火墙设备仍然存在发生该故障的隐患。
具体地,如图1所示,可以是防火墙在使用数据平面开发套件(Data PlaneDevelopment Kit,DPDK)的转发框架,工控防火墙系统上所有接口(例如,业务口0、业务口1)被DPDK绑定接管的情况下,安全外壳协议(Secure Shell,SSH)等管理口业务协议只能通过DPDK的内核网卡接口(Kernel NIC Interface,KNI)实现与内核通信。当防火墙发生系统故障且无法SSH登录接口时,外部设备PC将无法登录设备采集信息定位该故障。
基于上述问题,本发明实施例提供了一种工控防火墙的登录权限配置方法、装置,一种工业控制系统以及一种工控防火墙,目的是在防火墙在出现设备且管理接口无法登录的情况下,可以重新登录故障的工控防火墙,进而采集故障信息进行故障定位,避免工控防火墙再次出现此故障的隐患。
本发明实施例提供了一种工业控制系统,应用于防火墙在发生故障且管理接口无法登录的具体应用场景中,如图2所示,包括:检测设备100及工控防火墙200,其中:
检测设备100在监测到工控防火墙200的目标管理接口无法登录时,生成目标信令报文,并将目标信令报文发送至工控防火墙200的目标接口。
示例性地,检测设备100可以是工业控制系统中任意一台工控设备的上位机,可以根据安全外壳协议与防火墙进行通信;工控防火墙200的目标接口可以是工控防火墙200上具备通信能力的任一接口;具体地,当检测设备100检测到通过管理接口无法登录工控防火墙200时,检测设备100可以生成一目标信令报文,目标信令报文用于表征工控防火墙200的目标管理接口的状态为无法登录进而将此目标信令报文发送至工控防火墙200上的任一具备通信能力的接口中。在此实施例中,造成工控防火墙200无法登录的情况可能有多种,例如是工控防火墙200出现故障造成无法登录、管理接口通信受阻等。
工控防火墙200,在接收到检测设备100发送的目标信令报文后,根据目标接口接收到的目标信令报文,关闭主进程,目标接口为工控防火墙200中的任一可通信接口。
示例性地,当工控防火墙200的任一可通信接口接收到检测设备100发送的目标信令报文后,确认此时工控防火墙200的管理接口已经无法登录,此时,需要关闭工控防火墙200上正在运行的主进程。
工控防火墙200,在关闭主进程后,会获取目标网卡的PCI总线地址,根据目标网卡的PCI总线地址,将目标网卡从预设开发套件中解绑;
示例性地,目标网卡可以是目标接口对应的网卡,也就是接收到目标系信令报文的接口对应的网卡;PCI(Peripheral Component Interconnect)总线地址可以是接收到目标信令报文的接口对应网卡的外设部件互连标准总线地址;具体地,可以通过预设脚本的第一格式获取网卡的PCI总线地址,例如,可以通过“python dpdk-devbind.py--status”脚本获取接口i对应网卡的PCI总线地址,获取到接口i对应网卡的总线地址可以是0000:0d:00.0。也可以通过“python/root/TEG/bin/dpdk-devbind.py-u 0000:0d:00.0”,从DPDK解绑接口eth0。
示例性地,预设开发套件可以是数据平面开发套件(Data Plane DevelopmentKit,DPDK),防火墙在使用DPDK转发框架时,工控防火墙200系统上所有接口都会被DPDK绑定,此时工控防火墙200需要根据获取到目标接口对应网卡的PCI总线地址,将目标网卡从DPDK解除绑定。具体地,可以通过预设脚本的第二格式以及获取到的目标接口对应网卡的PCI总线地址,将目标接口与DPDK解除绑定,例如,可以根据“python dpdk-devbind.py-u0000:0d:00.0”解除的目标接口的DPDK绑定,其中,python dpdk-devbind.py–u为预设脚本的第二格式。
工控防火墙200,在将目标网卡与DPDK解绑后,会根据防火墙内核以及目标网卡的PCI总线地址,将目标网卡与防火墙内核绑定,并为目标接口随机设置一地址信息。
示例性地,防火墙内核可以是工控防火墙200设备中操作系统的内核;可以通过预设脚本的第三格式、防火墙内核以及获取到的目标接口对应网卡的PCI总线地址,将目标网卡与防火墙内核绑定,实际上,是将目标网卡与防火墙设备的操作系统的内核中的网卡驱动所绑定,例如,可以根据“python dpdk-devbind.py-b igb 0000:0d:00.0”将目标网卡与防火墙内核中的网卡驱动相绑定,其中,python dpdk-devbind.py-b为预设脚本的第三格式;igb表示防火墙设备的操作系统的内核中的网卡驱动。还可以根据“python/root/TEG/bin/dpdk-devbind.py-b igb 0000:0d:00.0”将防火墙设备的操作系统的内核中的网卡驱动与目标接口绑定。具体地,防火墙内核包括显卡驱动、usb驱动、网卡驱动等,本发明实施例中所述的将网卡与防火墙内核相绑定,表示的含义为将目标网卡与防火墙设备中操作系统的内核中的网卡驱动相绑定。
示例性地,在将防火墙内核与目标接口对应网卡绑定后,可以为目标接口随机设置一IP地址,具体地,可以通过“ifconfig eth0 up 192.168.8.8”,将目标接口的IP地址设置为“192.168.8.8”。
工控防火墙200,根据为目标接口设置的IP地址,可以通过预设安全外壳协议开放目标接口的登录权限。示例性地,预设安全外壳协议可以是安全外壳协议(Secure Shell,SSH)等管理口业务通信协议;登录权限用于供检测设备100通过目标接口登录工控防火墙200,检测设备100登录工控防火墙200后,可获取工控防火墙200的故障信息,根据故障信息确定故障的位置。
当检测到工控防火墙200已经开放登录权限后,检测设备100可通过目标接口登录工控防火墙200,并获取工控防火墙200的故障信息,根据故障信息确定故障的位置。示例性地,检测设备100可以通过安全外壳协议与目标接口建立通信,也就是根据随机设置的IP地址登录工控防火墙200,获取工控防火墙200中存在的故障信息,根据上述故障信息定位所述故障,避免此故障再次出现;例如,可以通过“sshroot@192.168.8.8”登录目标接口;故障信息包括工控防火墙200的运行状态信息以及设备检测信息等。
本发明实施例所提供的工业控制系统,包括:检测设备100及工控防火墙200通过实施本发明,结合检测设备100检测工控防火墙200是否故障以及管理接口是否能够正常登录,生成相应报文,以及结合工控防火墙200当接收到目标信令报文后,将工控防火墙200中的网卡与预设开发套件解绑,以及与防火墙内核相绑定,进而通过为接口设置一地址登录工控防火墙200,实现了当无串口工控防火墙200出现故障时,可以重新登录进而采集故障信息以及进行故障定位,实现了与预设开发套件的解绑以及与防火墙内核的绑定,更具安全性以及效率更高。
在一可选实施例中,检测设备100生成目标信令报文的步骤,可以包括以下过程:
首先,根据一随机字符以及密钥算法生成第一密钥,并将第一密钥存储于工控防火墙200;示例性地,随机字符可以是任意一个字符串,可以是工控防火墙200的ID,也可以是工控防火墙200的ID信息以及一随机位数字符;密钥算法可以是单向不可逆的MD5算法;具体地,根据预先设置的随机字符串以及单向不可逆的MD5算法,计算生成随机字符串的MD5密钥值,并将计算出的MD5密钥值存储于工控防火墙200中。
其次,根据第一密钥以及预设数据包处理工具,生成目标信令报文。示例性地,预设数据包处理工具可以是报文构建工具,例如,scapy工具;具体地,根据随机字符串的MD5密钥值以及scapy工具,生成带有工控防火墙200密钥值的信令报文。
在一可选实施例中,如图3所示,工控防火墙200根据目标接口接收到的目标信令报文,关闭主进程,包括:
步骤S21:根据目标信令报文,提取第一密钥及随机字符;在本实施例中,当工控防火墙200上的目标接口接收到检测设备100发送的目标信令报文后,提取上述目标信令报文中存储的第一密钥以及随机字符。
步骤S22:根据随机字符以及预设密钥算法,生成标准密钥;在本实施例中,根据提取出的随机字符以及密钥算法,再次计算随机字符的密钥值,即为标准密钥。
步骤S23:当第一密钥与标准密钥一致时,关闭主进程。在本实施例中,当在目标信令报文中的第一密钥值与工控防火墙200再次计算出的标准密钥值一致时,工控防火墙200确定此时接收到的目标信令报文为正确的、可以信任的报文,也就是确定此时工控防火墙200的目标管理接口已经无法登录,继而可以直接关闭工控防火墙200中的主进程,为后续步骤中的目标网卡与DPDK解绑,与防火墙内核绑定做准备。
在一可选实施例中,工业控制系统中的工控防火墙200还用于,当第一密钥与标准密钥不一致时,忽略目标信令报文。在本实施例中,当工控防火墙200从目标信令报文中提取的第一密钥值与,再次计算出的标准密钥值不相同时,确定此时接收到的目标信令报文不可信,此时,忽略所述目标信令报文。
本发明实施例还提供了一种工控防火墙的登录权限配置方法,可以例如是应用于上述实施例所述的工控防火墙200,如图4所示,该方法包括:
步骤S11:根据目标接口接收到的目标信令报文,关闭主进程,目标接口为工控防火墙中的任一可通信接口,目标信令报文用于表征工控防火墙的目标管理接口的状态为无法登录;示例性地,当工控防火墙的任一可通信接口接收到检测设备发送的目标信令报文后,确认此时工控防火墙的管理接口已经无法登录,此时,需要关闭工控防火墙上正在运行的主进程。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
步骤S12:获取目标网卡的PCI总线地址,根据目标网卡的PCI总线地址,将目标网卡从预设开发套件中解绑;示例性地,目标网卡可以是目标接口对应的网卡,也就是接收到目标系信令报文的接口对应的网卡;通过预设脚本的第一格式获取网卡的PCI总线地址,根据获取到目标接口对应网卡的PCI总线地址,将目标网卡从DPDK解除绑定。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
步骤S13:根据防火墙内核以及目标网卡的PCI总线地址,将目标网卡与防火墙内核绑定,并为目标接口随机设置一地址信息;通过预设脚本的第三格式、防火墙内核以及获取到的目标接口对应网卡的PCI总线地址,将目标网卡与防火墙内核绑定,在将防火墙内核与目标接口对应网卡绑定后,可以为目标接口随机设置一IP地址。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
步骤S14:根据地址信息,通过预设安全外壳协议开放目标接口的登录权限。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
本发明提供的一种工控防火墙的登录权限配置方法,包括:根据目标接口接收到的目标信令报文,关闭主进程,目标接口为工控防火墙中的任一可通信接口,目标信令报文用于表征工控防火墙的目标管理接口的状态为无法登录;获取目标网卡的PCI总线地址,根据目标网卡的PCI总线地址,将目标网卡从预设开发套件中解绑;根据防火墙内核以及目标网卡的PCI总线地址,将目标网卡与防火墙内核绑定,并为目标接口随机设置一地址信息;根据地址信息,通过预设安全外壳协议开放目标接口的登录权限。
通过实施本发明,解决了相关技术中存在的当工控防火墙出现故障且管理接口无法登录时,只能格式化,无法登录采集故障信息的问题,结合接收到的目标信令报文,将工控防火墙中的网卡与预设开发套件解绑,以及与防火墙内核相绑定,进而通过为接口设置一地址登录工控防火墙,实现了当无串口工控防火墙出现故障时,可以重新登录进而采集故障信息以及进行故障定位;结合接收到的目标信令报文,工控防火墙实现与预设开发套件的解绑以及与防火墙内核的绑定,更具安全性以及效率更高。
作为本发明的一个可选实施方式,目标信令报文通过以下过程生成:
当检测设备监测到工控防火墙的目标管理接口无法登录时,生成目标信令报文,并将目标信令报文发送至工控防火墙的目标接口。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
作为本发明的一个可选实施方式,检测设备生成目标信令报文的步骤,包括:
首先,根据一随机字符以及密钥算法生成第一密钥,并将第一密钥存储于工控防火墙;具体实现方式见上述实施例中对应的步骤,在此不再赘述。
其次,根据第一密钥以及预设数据包处理工具,生成目标信令报文。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
作为本发明的一个可选实施方式,如图3所示,上述步骤S11,根据目标接口接收到的目标信令报文,关闭主进程,包括:
步骤S21:根据目标信令报文,提取第一密钥及随机字符;具体实现方式见上述实施例中对应的步骤,在此不再赘述。
步骤S22根据随机字符以及预设密钥算法,生成标准密钥;具体实现方式见上述实施例中对应的步骤,在此不再赘述。
步骤S23当第一密钥与标准密钥一致时,关闭主进程。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
作为本发明的一个可选实施方式,该方法还包括:当第一密钥与标准密钥不一致时,忽略目标信令报文。在本实施例中,当工控防火墙从目标信令报文中提取的第一密钥值与,再次计算出的标准密钥值不相同时,确定此时接收到的目标信令报文不可信,此时,忽略所述目标信令报文。
作为本发明的一个可选实施方式,上述步骤S14中的登录权限用于供检测设备通过目标接口登录工控防火墙,以及获取工控防火墙的故障信息,根据故障信息确定故障的位置。
本发明实施例还提供了一种工控防火墙的登录权限配置装置,如图5所示,包括:
关闭模块31,用于根据目标接口接收到的目标信令报文,关闭主进程,目标接口为工控防火墙中的任一可通信接口,目标信令报文用于表征工控防火墙的目标管理接口无法登录;具体实现方式见上述实施例中对应的步骤,在此不再赘述。
解绑模块32,用于获取目标网卡的PCI总线地址,根据目标网卡的PCI总线地址,将目标网卡从预设开发套件中解绑;具体实现方式见上述实施例中对应的步骤,在此不再赘述。
绑定模块33,用于根据防火墙内核以及目标网卡的PCI总线地址,将目标网卡与防火墙内核绑定,并为目标接口随机设置一地址信息;具体实现方式见上述实施例中对应的步骤,在此不再赘述。
权限开放模块34,用于根据地址信息,通过预设安全外壳协议开放目标接口的登录权限。具体实现方式见上述实施例中对应的步骤,在此不再赘述。
本发明提供的一种工控防火墙的登录权限配置装置,解决了相关技术中存在的当工控防火墙出现故障且管理接口无法登录时,只能格式化,无法登录采集故障信息的问题,结合接收到的目标信令报文,将工控防火墙中的网卡与预设开发套件解绑,以及与防火墙内核相绑定,进而通过为接口设置一地址登录工控防火墙,实现了当无串口工控防火墙出现故障时,可以重新登录进而采集故障信息以及进行故障定位;结合接收到的目标信令报文,工控防火墙实现与预设开发套件的解绑以及与防火墙内核的绑定,更具安全性以及效率更高。
本发明实施例还提供了一种工控防火墙,如图6所示,该工控防火墙可以包括处理器41和存储器42,其中处理器41和存储器42可以通过总线40或者其他方式连接,图4中以通过总线40连接为例。
处理器41可以为中央处理器(Central Processing Unit,CPU)。处理器41还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器42作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的工控防火墙的登录权限配置方法对应的程序指令/模块。处理器41通过运行存储在存储器42中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的工控防火墙的登录权限配置方法。
存储器42可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器41所创建的数据等。此外,存储器42可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器42可选包括相对于处理器41远程设置的存储器,这些远程存储器可以通过网络连接至处理器41。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器42中,当被所述处理器41执行时,执行如图3以及图4所示实施例中的工控防火墙的登录权限配置方法。
上述工控防火墙具体细节可以对应参阅图3以及图4所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本发明实施例还提供了一种非暂态计算机可读介质,非暂态计算机可读存储介质存储计算机指令,计算机指令用于使计算机执行如上述实施例中任意一项描述的工控防火墙的登录权限配置方法,其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(FlashMemory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种工控防火墙的登录权限配置方法,其特征在于,包括:
根据目标接口接收到的目标信令报文,关闭主进程,所述目标接口为所述工控防火墙中的任一可通信接口,所述目标信令报文用于表征所述工控防火墙的目标管理接口的状态为无法登录;
获取目标网卡的PCI总线地址,根据所述目标网卡的PCI总线地址,将所述目标网卡从预设开发套件中解绑;
根据防火墙内核以及所述目标网卡的PCI总线地址,将所述目标网卡与所述防火墙内核绑定,并为所述目标接口随机设置一地址信息;
根据所述地址信息,通过预设安全外壳协议开放所述目标接口的登录权限。
2.根据权利要求1所述的方法,其特征在于,所述目标信令报文通过以下过程生成:
当检测设备监测到所述工控防火墙的目标管理接口无法登录时,生成目标信令报文,并将所述目标信令报文发送至所述工控防火墙的目标接口。
3.根据权利要求2所述的方法,其特征在于,所述检测设备生成目标信令报文的步骤,包括:
根据一随机字符以及密钥算法生成第一密钥,并将所述第一密钥存储于所述工控防火墙;
根据所述第一密钥以及预设数据包处理工具,生成目标信令报文。
4.根据权利要求3所述的方法,其特征在于,所述根据目标接口接收到的所述目标信令报文,关闭主进程,包括:
根据所述目标信令报文,提取所述第一密钥及所述随机字符;
根据所述随机字符以及预设密钥算法,生成标准密钥;
当所述第一密钥与所述标准密钥一致时,关闭所述主进程。
5.根据权利要求4所述的方法,其特征在于,还包括:
当所述第一密钥与所述标准密钥不一致时,忽略所述目标信令报文。
6.根据权利要求1所述的方法,其特征在于,所述登录权限用于供检测设备通过所述目标接口登录所述工控防火墙。
7.一种工控防火墙的登录权限配置装置,其特征在于,包括:
关闭模块,用于根据目标接口接收到的目标信令报文,关闭主进程,所述目标接口为所述工控防火墙中的任一可通信接口,所述目标信令报文用于表征所述工控防火墙的目标管理接口无法登录;
解绑模块,用于获取目标网卡的PCI总线地址,根据所述目标网卡的PCI总线地址,将所述目标网卡从预设开发套件中解绑;
绑定模块,用于根据防火墙内核以及所述目标网卡的PCI总线地址,将所述目标网卡与所述防火墙内核绑定,并为所述目标接口随机设置一地址信息;
权限开放模块,用于根据所述地址信息,通过预设安全外壳协议开放所述目标接口的登录权限。
8.一种工业控制系统,其特征在于,包括检测设备及工控防火墙,其中:
所述检测设备,用于当监测到所述工控防火墙的目标管理接口无法登录时,生成目标信令报文,并将所述目标信令报文发送至所述工控防火墙的目标接口;
所述工控防火墙,用于执行如权利要求1-6中任一项所述的工控防火墙的登录权限配置方法,开放所述目标接口的登录权限;
所述检测设备,还用于通过所述目标接口登录所述工控防火墙。
9.一种工控防火墙,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1-6中任一项所述的工控防火墙的登录权限配置方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的工控防火墙的登录权限配置方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011534752.8A CN112580016B (zh) | 2020-12-22 | 2020-12-22 | 一种工控防火墙的登录权限配置方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011534752.8A CN112580016B (zh) | 2020-12-22 | 2020-12-22 | 一种工控防火墙的登录权限配置方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112580016A true CN112580016A (zh) | 2021-03-30 |
CN112580016B CN112580016B (zh) | 2024-03-26 |
Family
ID=75139446
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011534752.8A Active CN112580016B (zh) | 2020-12-22 | 2020-12-22 | 一种工控防火墙的登录权限配置方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112580016B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938297A (zh) * | 2021-10-09 | 2022-01-14 | 北京天地和兴科技有限公司 | 一种能动态扩展业务口的防火墙装置及其运行方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
US20100138534A1 (en) * | 2008-11-25 | 2010-06-03 | Rishi Mutnuru | Systems and methods for monitor an access gateway |
CN206460464U (zh) * | 2016-08-20 | 2017-09-01 | 刘冰洁 | 新型计算机互联网信息安全控制装置 |
JP6474926B1 (ja) * | 2017-10-16 | 2019-02-27 | カイランド テクノロジー カンパニー リミテッド | クラウドサーバーに基づくフィールドデバイスの管理方法及び装置 |
US20200067962A1 (en) * | 2018-08-24 | 2020-02-27 | California Institute Of Technology | Model based methodology for translating high-level cyber threat descriptions into system-specific actionable defense tactics |
-
2020
- 2020-12-22 CN CN202011534752.8A patent/CN112580016B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100138534A1 (en) * | 2008-11-25 | 2010-06-03 | Rishi Mutnuru | Systems and methods for monitor an access gateway |
CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
CN206460464U (zh) * | 2016-08-20 | 2017-09-01 | 刘冰洁 | 新型计算机互联网信息安全控制装置 |
JP6474926B1 (ja) * | 2017-10-16 | 2019-02-27 | カイランド テクノロジー カンパニー リミテッド | クラウドサーバーに基づくフィールドデバイスの管理方法及び装置 |
US20200067962A1 (en) * | 2018-08-24 | 2020-02-27 | California Institute Of Technology | Model based methodology for translating high-level cyber threat descriptions into system-specific actionable defense tactics |
Non-Patent Citations (2)
Title |
---|
C.PAYNE;T.MARKHAM: "Architecture and applications for a distributed embedded firewall", SEVENTEENTH ANNUAL COMPUTER SECURITY APPLICATIONS CONFERENCE, 14 December 2001 (2001-12-14), pages 329 - 336, XP010584915 * |
陈亮: "网络安全中安全审计与监控系统的设计与实现", 信息科技, no. 3, 15 September 2004 (2004-09-15), pages 15 - 30 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938297A (zh) * | 2021-10-09 | 2022-01-14 | 北京天地和兴科技有限公司 | 一种能动态扩展业务口的防火墙装置及其运行方法 |
CN113938297B (zh) * | 2021-10-09 | 2023-12-19 | 北京天地和兴科技有限公司 | 一种能动态扩展业务口的防火墙装置及其运行方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112580016B (zh) | 2024-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108965203B (zh) | 一种资源访问方法及服务器 | |
JP6441957B2 (ja) | 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 | |
CN107995068B (zh) | 网口测试方法、设备及计算机可读存储介质 | |
CN109766694B (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
Yau et al. | PLC forensics based on control program logic change detection | |
CN108337266B (zh) | 一种高效的协议客户端漏洞发掘方法与系统 | |
CN113381876B (zh) | 基于智能网关的总线日志采集方法及智能网关 | |
CN109218407B (zh) | 基于日志监控技术的代码管控方法及终端设备 | |
CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
CN104348578B (zh) | 数据处理的方法及装置 | |
CN113660265B (zh) | 一种网络攻击测试方法、装置、电子设备及存储介质 | |
CN112580016B (zh) | 一种工控防火墙的登录权限配置方法及装置 | |
CN110912898A (zh) | 伪装设备资产的方法、装置、电子设备及存储介质 | |
CN104486292A (zh) | 一种企业资源安全访问的控制方法、装置及系统 | |
CN112565232B (zh) | 一种基于模板和流量状态的日志解析方法及系统 | |
CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
CN112528296A (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
CN112399446A (zh) | 边缘网关通信方法、装置、计算机设备和存储介质 | |
CN108363922B (zh) | 一种自动化恶意代码仿真检测方法及系统 | |
CN112152854B (zh) | 一种信息处理方法及装置 | |
CN115174245A (zh) | 一种基于DoIP协议检测的测试方法及系统 | |
CN115225531A (zh) | 数据库防火墙测试方法、装置、电子设备及介质 | |
US20110270970A1 (en) | Network device testing system and method | |
CN113412603B (zh) | 隐私合规检测方法及相关产品 | |
CN111786826A (zh) | 工控设备运维审计系统、工控设备运维方法、计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |