CN112995508A - 智能相机 - Google Patents
智能相机 Download PDFInfo
- Publication number
- CN112995508A CN112995508A CN202110204038.0A CN202110204038A CN112995508A CN 112995508 A CN112995508 A CN 112995508A CN 202110204038 A CN202110204038 A CN 202110204038A CN 112995508 A CN112995508 A CN 112995508A
- Authority
- CN
- China
- Prior art keywords
- rccmd
- remote client
- cdsssd
- camera device
- detection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N23/00—Cameras or camera modules comprising electronic image sensors; Control thereof
- H04N23/60—Control of cameras or camera modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及智能相机通信协议安全技术领域,且公开了一种智能相机,包括:运行有深度包检测系统服务端软件且作为Modbus从设备的相机设备CDsssd,该相机设备CDsssd通过工业以太网并采用Modbus/TCP协议与远程客户端RCcmd进行通信连接,在该远程客户端RCcmd上运行有深度包检测系统用户端软件、并且远程客户端RCcmd作为Modbus主设备;深度包检测系统包括:身份合法性检测模块、协议完整性检测模块、功能码使用安全性检测模块;相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证。本发明解决了在Modbus/TCP通信过程中,由于缺乏相应的身份认证机制,所以存在攻击者会假冒作为Modbus主设备的远程客户端RCcmd对作为Modbus从设备的相机设备CDsssd进行恶意访问的技术问题。
Description
技术领域
本发明涉及智能相机通信协议安全技术领域,具体为一种智能相机。
背景技术
智能相机是一种高度集成化的嵌入式机器视觉系统,它集图像采集、处理及通信功能于一体。智能相机很少作为孤立的系统,而是以整个机器视觉系统的有机组成部分之一出现,其输出结果需要被用来驱动执行机构以分类产品或剔除不良品,与PLC等设备通信以实现更高性能的闭环控制。目前智能相机应用比较成熟,且这些视觉产品大都提供了丰富的通信接口。如目前的智能相机除了提供常用的RS232串口外,还提供了以太网通信接口,并支持多种现场总线通信协议,可以与现有工业控制系统轻松集成。
智能相机通过以太网并采用Modbus/TCP协议与PC机、PLC及智能终端等设备相连便构成了智能相机系统,智能相机在系统中作为服务器端(也作为Modbus从设备),其他设备均为客户端(也作为Modbus主设备),并且智能相机可以同时和多个客户端通信,接受来自客户端的访问请求。
其中,Modbus/TCP通过以太网通信,其实质是把Modbus通用帧封装到TCP帧中,Modbus通用帧由三部分组成,分别是附加地址、协议数据单元(PDU)和差错校验,其中附加地址用于表示从设备的地址,PDU用来指定应用层的相关操作,由功能码和数据共同组成;Modbus/TCP帧结构由报文头和协议数据单元(PDU)组成,一方面去除了通用帧中的附加地址和校验,另一方面增加了报文头。主设备只在应用层将Modbus协议进行修改并封装到TCP协议中形成Modbus/TCP数据包,然后从设备收到该数据包,解封后获得Modbus原始数据并解析,最后将需要回传的Modbus数据重新封装进TCP协议中并发送到主设备。
在传统的信息系统中,身份认证技术得到了广泛应用,为用户访问系统资源提供了可靠的安全保障。但在工控系统中,在Modbus/TCP通信过程中,工程师站或者操作员站仅通过IP地址和Modbus功能码就能建立一个Modbus会话,由于缺乏相应的身份认证机制,Modbus主设备对Modbus从设备的恶意访问成为安全隐患。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供一种智能相机,以解决在Modbus/TCP通信过程中,由于缺乏相应的身份认证机制,所以存在攻击者会假冒作为Modbus主设备的远程客户端RCcmd对作为Modbus从设备的相机设备CDsssd进行恶意访问的技术问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种智能相机,包括:安装并运行有深度包检测系统服务端软件且作为Modbus从设备的相机设备CDsssd,该相机设备CDsssd通过工业以太网并采用Modbus/TCP协议与远程客户端RCcmd进行相互之间的通信连接,在该远程客户端RCcmd上安装并运行有深度包检测系统用户端软件、并且远程客户端RCcmd作为Modbus主设备;
上述深度包检测系统包括:身份合法性检测模块、协议完整性检测模块、功能码使用安全性检测模块,该身份合法性检测模块与协议完整性检测模块进行通信连接,协议完整性检测模块与功能码使用安全性检测模块进行通信连接;
相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证,只有远程客户端RCcmd具有合法的通信权限,才允许远程客户端RCcmd与相机设备CDsssd进行相互之间的数据交互。
进一步的,所述远程客户端RCcmd通过深度包检测系统用户端与运行在相机设备CDsssd上的深度包检测系统服务端进行相互之间的数据交互。
进一步的,所述相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证的方法如下:
步骤1,远程客户端RCcmd在身份合法性检测模块选取素数x,y,计算合数Z=x*y,之后将合数Z向相机设备CDsssd公开,同时秘密保存素数x,y;
步骤2,相机设备CDsssd产生随机数r,要求r-1=modZ,并且使r为模A的平方剩余,之后将r为公钥向远程客户端RCcmd公开;
步骤3,远程客户端RCcmd计算密钥k=r-1/2(modZ);
步骤4,远程客户端RCcmd首先向相机设备CDsssd发送认证请求;然后远程客户端RCcmd取随机数b(b<A),计算g=(b2)modZ,将g发送给相机设备CDsssd;
步骤5,相机设备CDsssd发送一个挑战信息e=1,给远程客户端RCcmd;
步骤6,远程客户端RCcmd接受挑战,计算出h=bkemodZ作为应答发送给相机设备CDsssd;
步骤7,相机设备CDsssd验证等式h2=gremodZ是否相等;
如果不相等,认证协议失败,则认证过程终止;
如果相等,则继续执行下一步;
步骤8,步骤4~步骤6为一次验证过程,将步骤(1)~(4)重复t(t≥3)次之后,验证等式h2=gremodZ是否相等;
如果相等,则说明远程客户端RCcmd具有合法的通信权限。
进一步的,所述协议完整性检测模块主要包括端口检测、协议标识符检测和超长数据报文检测。
进一步的,所述端口检测通过解析数据报文的源端口和目的端口是否为502识别Modbus/TCP报文。
进一步的,所述协议标识符检测则通过解析协议标识符是否为0X0000判断Modbus/TCP数据。
进一步的,所述功能码使用安全性检测模块基于白名单的工作机制,以限制非授权远程客户端RCcmd对相机设备CDsssd的访问。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
本发明当远程客户端RCcmd请求与相机设备CDsssd进行相互之间的数据交互时,相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证,只有远程客户端RCcmd具有合法的通信权限,才允许远程客户端RCcmd与相机设备CDsssd进行相互之间的数据交互;
并且如果远程客户端RCcmd不知道密钥k,在执行一次交互协议时,相机设备CDsssd受骗概率为1/2,要连续执行t次,则可使受骗的概率降为2-t,即攻击者无法假冒远程客户端RCcmd通过相机设备CDsssd对其身份的认证;
从而解决了在Modbus/TCP通信过程中,由于缺乏相应的身份认证机制,所以存在攻击者会假冒作为Modbus主设备的远程客户端RCcmd对作为Modbus从设备的相机设备CDsssd进行恶意访问的技术问题。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种智能相机,包括:安装并运行有深度包检测系统服务端软件且作为Modbus从设备的相机设备CDsssd,该相机设备CDsssd通过工业以太网并采用Modbus/TCP协议与远程客户端RCcmd进行相互之间的通信连接,在该远程客户端RCcmd上安装并运行有深度包检测系统用户端软件、并且远程客户端RCcmd作为Modbus主设备;
进一步的,远程客户端RCcmd通过深度包检测系统用户端与运行在相机设备CDsssd上的深度包检测系统服务端进行相互之间的数据交互;
其中,深度包检测系统包括:身份合法性检测模块、协议完整性检测模块、功能码使用安全性检测模块,该身份合法性检测模块与协议完整性检测模块进行相互之间的通信连接,协议完整性检测模块与功能码使用安全性检测模块进行相互之间的通信连接;
为了解决在Modbus/TCP通信过程中,由于缺乏相应的身份认证机制,所以存在攻击者会假冒作为Modbus主设备的远程客户端RCcmd对作为Modbus从设备的相机设备CDsssd进行恶意访问的技术问题,当远程客户端RCcmd请求与相机设备CDsssd进行相互之间的数据交互时,相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证;
进一步的,只有远程客户端RCcmd具有合法的通信权限,才允许远程客户端RCcmd与相机设备CDsssd进行相互之间的数据交互;
所述相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证的方法如下:
步骤1,远程客户端RCcmd在身份合法性检测模块选取素数x,y,计算合数Z=x*y,之后将合数Z向相机设备CDsssd公开,同时秘密保存素数x,y;
步骤2,相机设备CDsssd产生随机数r,要求r-1=modZ,并且使r为模A的平方剩余,之后将r为公钥向远程客户端RCcmd公开;
步骤3,远程客户端RCcmd计算密钥k=r-1/2(modZ);
步骤4,远程客户端RCcmd首先向相机设备CDsssd发送认证请求;然后远程客户端RCcmd取随机数b(b<A),计算g=(b2)modZ,将g发送给相机设备CDsssd;
步骤5,相机设备CDsssd发送一个挑战信息e=1,给远程客户端RCcmd;
步骤6,远程客户端RCcmd接受挑战,计算出h=bkemodZ作为应答发送给相机设备CDsssd;
步骤7,相机设备CDsssd验证等式h2=gremodZ是否相等;
也即验证等式h2=(bke)2modZ=(b2k2e)modZ=b2(k2)emodZ=gremodZ是否相等;
如果不相等,认证协议失败,则认证过程终止;如果相等,则继续执行下一步;
步骤8,步骤4~步骤6为一次验证过程,将步骤(1)~(4)重复t(t≥3)次之后,验证等式h2=gremodZ是否相等;
如果相等,证明远程客户端RCcmd知道密钥k,则说明远程客户端RCcmd具有合法的通信权限;
在上述认证协议中,如果远程客户端RCcmd不知道密钥k,在执行一次交互协议时,相机设备CDsssd受骗概率为1/2,要连续执行t次,则可使受骗的概率降为2-t,即攻击者无法假冒远程客户端RCcmd通过相机设备CDsssd对其身份的认证;
协议完整性检测模块主要包括端口检测、协议标识符检测和超长数据报文检测,端口检测通过解析数据报文的源端口和目的端口是否为502识别Modbus/TCP报文,协议标识符检测则通过解析协议标识符是否为0X0000判断Modbus/TCP数据,同时对数据报文的长度进行检测,若数据载荷过长则判断报文为恶意构造的数据包;
在功能码使用安全性检测模块中,可以设置访问控制规则,允许符合规则的Modbus/TCP数据报文通过,不符合的数据报文则丢弃,其内容应包括功能码、地址范围、阈值范围,并且是基于白名单的工作机制,以限制非授权远程客户端RCcmd对相机设备CDsssd的访问。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (7)
1.一种智能相机,其特征在于,包括:安装并运行有深度包检测系统服务端软件且作为Modbus从设备的相机设备CDsssd,该相机设备CDsssd通过工业以太网并采用Modbus/TCP协议与远程客户端RCcmd进行相互之间的通信连接,在该远程客户端RCcmd上安装并运行有深度包检测系统用户端软件、并且远程客户端RCcmd作为Modbus主设备;
上述深度包检测系统包括:身份合法性检测模块、协议完整性检测模块、功能码使用安全性检测模块,该身份合法性检测模块与协议完整性检测模块进行通信连接,协议完整性检测模块与功能码使用安全性检测模块进行通信连接;
相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证,只有远程客户端RCcmd具有合法的通信权限,才允许远程客户端RCcmd与相机设备CDsssd进行相互之间的数据交互。
2.根据权利要求1所述的智能相机,其特征在于,所述远程客户端RCcmd通过深度包检测系统用户端与运行在相机设备CDsssd上的深度包检测系统服务端进行相互之间的数据交互。
3.根据权利要求2所述的智能相机,其特征在于,所述相机设备CDsssd通过身份合法性检测模块对远程客户端RCcmd的通信权限是否合法进行认证的方法如下:
步骤1,远程客户端RCcmd在身份合法性检测模块选取素数x,y,计算合数Z=x*y,之后将合数Z向相机设备CDsssd公开,同时秘密保存素数x,y;
步骤2,相机设备CDsssd产生随机数r,要求r-1=modZ,并且使r为模A的平方剩余,之后将r为公钥向远程客户端RCcmd公开;
步骤3,远程客户端RCcmd计算密钥k=r-1/2(modZ);
步骤4,远程客户端RCcmd首先向相机设备CDsssd发送认证请求;然后远程客户端RCcmd取随机数b(b<A),计算g=(b2)modZ,将g发送给相机设备CDsssd;
步骤5,相机设备CDsssd发送一个挑战信息e=1,给远程客户端RCcmd;
步骤6,远程客户端RCcmd接受挑战,计算出h=bkemodZ作为应答发送给相机设备CDsssd;
步骤7,相机设备CDsssd验证等式h2=gremodZ是否相等;
如果不相等,认证协议失败,则认证过程终止;
如果相等,则继续执行下一步;
步骤8,步骤4~步骤6为一次验证过程,将步骤(1)~(4)重复t(t≥3)次之后,验证等式h2=gremodZ是否相等;
如果相等,则说明远程客户端RCcmd具有合法的通信权限。
4.根据权利要求3所述的智能相机,其特征在于,所述协议完整性检测模块主要包括端口检测、协议标识符检测和超长数据报文检测。
5.根据权利要求4所述的智能相机,其特征在于,所述端口检测通过解析数据报文的源端口和目的端口是否为502识别Modbus/TCP报文。
6.根据权利要求5所述的智能相机,其特征在于,所述协议标识符检测则通过解析协议标识符是否为0X0000判断Modbus/TCP数据。
7.根据权利要求6所述的智能相机,其特征在于,所述功能码使用安全性检测模块基于白名单的工作机制,以限制非授权远程客户端RCcmd对相机设备CDsssd的访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110204038.0A CN112995508A (zh) | 2021-02-24 | 2021-02-24 | 智能相机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110204038.0A CN112995508A (zh) | 2021-02-24 | 2021-02-24 | 智能相机 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112995508A true CN112995508A (zh) | 2021-06-18 |
Family
ID=76349893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110204038.0A Withdrawn CN112995508A (zh) | 2021-02-24 | 2021-02-24 | 智能相机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995508A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992437A (zh) * | 2021-12-27 | 2022-01-28 | 广州得一物联科技有限公司 | 一种Modbus设备的访问控制管理方法、装置及系统 |
-
2021
- 2021-02-24 CN CN202110204038.0A patent/CN112995508A/zh not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992437A (zh) * | 2021-12-27 | 2022-01-28 | 广州得一物联科技有限公司 | 一种Modbus设备的访问控制管理方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10104094B2 (en) | On-vehicle communication system | |
| US20200137108A1 (en) | Network device and network system | |
| CN100539501C (zh) | 基于域名的统一身份标识和认证方法 | |
| CN108965215B (zh) | 一种多融合联动响应的动态安全方法与系统 | |
| CN100459563C (zh) | 认证网关及其数据处理方法 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| EP2981022B1 (en) | Method and system for transmitting and receiving data, method and device for processing message | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| CN102231748A (zh) | 一种客户端验证方法及装置 | |
| CN110691097A (zh) | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN102984031A (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN112995508A (zh) | 智能相机 | |
| KR101639930B1 (ko) | 통신 장치 및 통신 방법 | |
| CN114827150A (zh) | 一种物联网终端数据上链适配方法、系统及存储介质 | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
| CN101399814A (zh) | 验证数据链路层地址与其发送方关系的方法、系统及装置 | |
| CN107040507B (zh) | 网络封锁方法及设备 | |
| JP5715030B2 (ja) | アクセス回線特定・認証システム | |
| US20230327907A1 (en) | Relay device, communication network system, and communication control method | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| CN101115055A (zh) | 通信网络中报告隧道数据包中各级错误的装置及方法 | |
| KR102638986B1 (ko) | 이더넷 스위치 및 그 제어 방법 | |
| KR101389646B1 (ko) | 통신 장치 및 통신 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210618 |
|
| WW01 | Invention patent application withdrawn after publication |