CN113162885A - 一种工业控制系统的安全防护方法及装置 - Google Patents
一种工业控制系统的安全防护方法及装置 Download PDFInfo
- Publication number
- CN113162885A CN113162885A CN202010013996.5A CN202010013996A CN113162885A CN 113162885 A CN113162885 A CN 113162885A CN 202010013996 A CN202010013996 A CN 202010013996A CN 113162885 A CN113162885 A CN 113162885A
- Authority
- CN
- China
- Prior art keywords
- data packet
- target data
- address
- source
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开实施例提供了一种工业控制系统的安全防护方法,通过当确认所述目标数据包接入认证成功时,判断所述目标数据包是否需要加密;当确认所述目标数据包需要加密时,对所述目标数据包进行加密,得到加密后的目标数据包;发送所述加密后的目标数据包,本公开实施例中,在目标数据包接入认证成功和加密后,才发送加密的目标数据包,提高工业控制过程中数据传输的安全性。
Description
技术领域
本公开涉及工业控制安全领域,特别涉及一种工业控制系统的安全防护方法及装置。
背景技术
随着工业控制技术的迅速发展,工业控制系统被广泛的应用到工业领域,通过工业控制系统实现工业现场和远程的数据控制中心之间的数据传输。
现有技术中,工业现场和远程的数据控制中心之间数据传输时一般采用Modbus协议进行数据传输,该Modbus协议采用简单的主从应答的明文传输方式。
发明人发现相关技术中至少存在以下问题:
在数据传输时采用主从应答的明文传输方式,容易造成数据传输的泄露。
发明内容
本公开实施例提供了一种工业控制系统的安全防护方法及装置,可以提高工业控制过程中数据传输的安全性。所述技术方案如下:
本申请提供了一种工业控制系统的安全防护方法,所述方法包括:
获取目标数据包;
对所述目标数据包进行接入认证;
当接入认证的结果为成功时,判断所述目标数据包是否需要加密;
当确认所述目标数据包需要加密时,对所述目标数据包进行加密,得到加密后的目标数据包;
发送所述加密后的目标数据包。
可选地,所述对所述目标数据包进行接入认证之前,所述方法还包括:
判断所述终端所防护的网络中的设备是否被攻击;
当所述终端所防护的网络中的设备未被攻击时,执行所述对所述目标数据包进行接入认证的步骤;
当所述终端所防护的网络中的设备被攻击时,丢弃所述目标数据包。
可选地,所述判断所述终端所防护的网络中的设备是否被攻击,包括:
在预设时间内,判断接收的同一类型的数据包的数量是否在预设的范围内,所述预设范围是根据数据包的类型所确定的;
若是,则所述终端所防护的网络中的设备未被攻击;
若否,则所述终端所防护的网络中的设备被攻击。
可选地,所述对所述目标数据包进行接入认证包括:
对所述目标数据包解析,得到所述目标数据包对应的源IP地址、目的IP地址、源MAC地址和目的MAC地址;
在认证池中查找与所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象,所述认证池中存储有源IP地址、目的IP地址、源MAC地址和目的MAC地址与第一匹配对象的对应关系;
当所述第一匹配对象表示通过认证时,确认所述目标数据包接入认证成功;
当所述第一匹配对象表示未通过认证或未查找到所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象时,确认所述目标数据包接入认证失败。
可选地,所述判断所述目标数据包是否需要加密,包括:
获取所述目标数据包的所述源IP地址、所述目的IP地址和应用层协议信息;
在加密池中查找与所述目标数据包的所述源IP地址、所述目的IP地址和所述应用层协议信息匹配的第二匹配对象,所述加密池中存储有源IP地址、目的IP地址和应用层协议信息与第二匹配对象的对应关系;
当所述第二匹配对象表示需要加密时,确认所述目标数据包需要加密;
当所述第二匹配对象表示不需要加密时,确认所述目标数据包不需要加密。
可选地,所述应用层协议信息通过下列方式获取:
获取所述目标数据包的所述源IP地址、所述目的IP地址、源端口号和目标端口号、传输层协议类型;
判断在目标端口号与应用层协议信息的对应关系中是否存在与所述目标端口号匹配的应用层协议信息;
若存在时,建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述应用层协议信息的对应关系并存储在所述连接池中;
若不存在时,在所述连接池中建立所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型的对应关系;
对所述目标数据包的应用层解析,得到所述目标数据包的应用层数据;
根据所述目标数据包的应用层数据,对所述目标数据包的进行校验;
当所述目标数据包校验成功时,根据所述应用层数据,确定与所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型匹配的应用层协议信息;
建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述协议信息的对应关系并存储在所述连接池中。
可选地,所述方法还包括:
当所述目标数据包未校验成功时,丢弃所述目标数据包。
可选地,所述对所述目标数据包进行加密,得到加密后的目标数据包,包括:
根据预设的加密密钥,对所述目标数据包进行加密,得到初步设定的目标数据包;
对所述初步设定的目标数据包重新封装协议头信息,得到加密后的目标数据包。
本申请实施例提供的一种工业控制系统的安全防护装置,该装置包括:
获取模块,用于获取目标数据包;
认证模块,用于对所述目标数据包进行接入认证;
判断模块,用于当所述目标数据包接入认证的结果为成功时,判断所述目标数据包是否需要加密;
加密模块,用于当确认所述目标数据包需要加密时,对所述目标数据包进行加密,得到加密后的目标数据包;
发送模块,用于发送所述加密后的目标数据包。
可选地,所述装置还用于:
判断所述装置所防护的网络中的设备是否被攻击;
当所述装置所防护的网络中的设备未被攻击时,执行所述对所述目标数据包进行接入认证的步骤;
当所述装置所防护的网络中的设备被攻击时,丢弃所述目标数据包。
可选地,所述装置还用于:
在预设时间内,判断接收的同一类型的数据包的数量是否在预设的范围内,所述预设范围是根据数据包的类型所确定的;
若是,则所述装置所防护的网络中的设备未被攻击;
若否,则所述装置所防护的网络中的设备被攻击。
可选地,所述认证模块,用于:
对所述目标数据包解析,得到所述目标数据包对应的源IP地址、目的IP地址、源MAC地址和目的MAC地址;
在认证池中查找与所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象,所述认证池中存储有源IP地址、目的IP地址、源MAC地址和目的MAC地址与第一匹配对象的对应关系;
当所述第一匹配对象表示通过认证时,确认所述目标数据包接入认证成功;
当所述第一匹配对象表示未通过认证或未查找到所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象时,确认所述目标数据包接入认证失败。
可选地,所述判断模块,用于:
获取所述目标数据包的所述源IP地址、所述目的IP地址和应用层协议信息;
在加密池中查找与所述目标数据包的所述源IP地址、所述目的IP地址和所述应用层协议信息匹配的第二匹配对象,所述加密池中存储有源IP地址、目的IP地址和应用层协议信息与第二匹配对象的对应关系;
当所述第二匹配对象表示需要加密时,确认所述目标数据包需要加密;
当所述第二匹配对象表示不需要加密时,确认所述目标数据包不需要加密。
可选地,所述应用层协议信息通过下列方式获取:
获取所述目标数据包的所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型;
判断在目标端口号与应用层协议信息的对应关系中是否存在与所述目标端口号匹配的应用层协议信息;
若存在时,建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述应用层协议信息的对应关系并存储在所述连接池中;
若不存在时,在所述连接池中建立所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型的对应关系;
对所述目标数据包的应用层解析,得到所述目标数据包的应用层数据;
根据所述目标数据包的应用层数据,对所述目标数据包的进行校验;
当所述目标数据包校验成功时,根据所述应用层数据,确定与所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型匹配的应用层协议信息;
建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述协议信息的对应关系并存储在所述连接池中。
可选地,所述装置还用于:
当所述目标数据包未校验成功时,丢弃所述目标数据包。
可选地,所述加密模块,用于:
根据预设的加密密钥,对所述目标数据包进行加密,得到初步设定的目标数据包;
对所述初步设定的目标数据包重新封装协议头信息,得到加密后的目标数据包。
本公开实施例提供的技术方案至少包括以下有益效果:
本公开实施例提供了一种工业控制系统的安全防护方法,通过当确认所述目标数据包接入认证成功时,判断所述目标数据包是否需要加密;当确认所述目标数据包需要加密时,对所述目标数据包进行加密,得到加密后的目标数据包;发送所述加密后的目标数据包,本公开实施例中,在目标数据包接入认证成功和加密后,才发送加密的目标数据包,提高工业控制过程中数据传输的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种工业控制系统的安全防护方法的流程图;
图2是本发明实施例提供的另一种工业控制系统的安全防护方法的流程图;
图3是本发明实施例提供的目标数据包进行接入认证的流程图;
图4是本发明实施例提供的判断目标数据包是否需要加密的流程图;
图5是本发明实施例提供的应用层协议信息获取的流程图;
图6是本发明实施例提供的一种工业控制系统的安全防护装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
请参考图1,其示出了本申请实施例提供的一种工业控制系统的安全防护方法的流程图,该方法可以应用于终端。参见图1,可以包括如下步骤:
步骤101、获取目标数据包。
步骤102、对目标数据包进行接入认证。
步骤103、当接入认证的结果为成功时,判断目标数据包是否需要加密。
步骤104、当确认目标数据包需要加密时,对目标数据包进行加密,得到加密后的目标数据包。
步骤105、发送加密后的目标数据包。
本公开实施例提供了一种工业控制系统的安全防护方法,,在目标数据包接入认证成功和加密后,才发送加密的目标数据包,提高工业控制过程中数据传输的安全性。
请参考图2,其示出了本申请实施例提供的一种工业控制系统的安全防护方法的流程图,该方法可以应用于终端。参见图2,可以包括如下步骤:
步骤201、获取目标数据包。
步骤202、判断终端所防护的网络中的设备是否被攻击,当终端所防护的网络中的设备被攻击时,执行步骤203,当终端所防护的网络中的设备未被攻击时,执行步骤204。
需要说明的是,终端所防护的网络中的设备所接收的数据包,都会先经过该终端,再分发至终端所防护的网络中的设备,这样,终端可以通过接收的数据包来判断终端所防护的网络中的设备是否被攻击。
203、丢弃目标数据包。
其中,判断终端所防护的网络中的设备是否被攻击,包括:在预设时间内,判断接收的同一类型的数据包的数量是否在预设的范围内,预设范围是根据数据包的类型所确定的;若是,则终端所防护的网络中的设备未被攻击;若否,则终端所防护的网络中的设备被攻击。
需要说明的是,判断是否为同一类型的数据包可以通过数据包的网络层所携带的用于指示传输层协议类型的协议类型进行判断,当数据包的协议类型相同,则为同一类型的数据包。
判断终端是否存在攻击时,预设范围是根据数据包的类型所确定的,例如:不同类型的数据包对应的预设的范围可以相同也可以不同。
步骤204、对目标数据包进行接入认证;
步骤205、判断目标数据包是否认证成功,当接入认证的结果为成功时,执行步骤206,当接入认证的结果为失败,执行步骤203。
如图3所示,对目标数据包进行接入认证的方式可以包括步骤2041-步骤2044:
步骤2041、对目标数据包解析,得到目标数据包对应的源IP地址、目的IP地址、源MAC地址和目的MAC地址。
需要说明的是,目标数据包可以包括:源IP地址、目的IP地址、源MAC地址、目的MAC地址、传输层协议类型、源端口号、目标端口号和数据。因此对数据包进行解析,可以得到数据包中信息,例如源IP地址、目的IP地址、源MAC地址和目的MAC地址。
步骤2042、在认证池中查找与源IP地址、目的IP地址、源MAC地址和目的MAC地址匹配的第一匹配对象,该认证池中存储有源IP地址、目的IP地址、源MAC地址和目的MAC地址与第一匹配对象的对应关系。
其中,第一匹配对象表示认证结果,该认证结果可以为通过认证或认证失败。
步骤2043、当第一匹配对象表示通过认证时,确认目标数据包接入认证成功。
步骤2044、当第一匹配对象表示未通过认证或未查找到源IP地址、目的IP地址、源MAC地址和目的MAC地址匹配的第一匹配对象时,确认目标数据包接入认证失败。
需要说明的是,在认证池中可能没有存储有对应的源IP地址、目的IP地址、源MAC地址和目的MAC地址,那么就会查找不到所匹配的第一对象,则认为数据包的认证失败。
在本申请中,为了减少对同一数据流中的不同数据包的认证,可以建立数据包的认证结果与该数据包的源IP地址、目的IP地址、源端口号、目标端口号和传输层协议类型对应关系并存储在连接池中,当接收到下一个数据包时,获取该数据包所对应的源IP地址、目的IP地址、源端口号、目标端口号和传输层协议类型,在连接池中查找是否存在与该数据包的源IP地址、目的IP地址、源端口号、目标端口号和传输层协议类型相匹配的源IP地址、目的IP地址、源端口号、目标端口号和传输层协议类型,当存在时,获取源IP地址、目的IP地址、源端口号、目标端口号和传输层协议类型对应的认证结果作为该数据包的认证结果,无需再次通过步骤2041-步骤2044对数据包进行认证;当不存在时,可以通过步骤2041-步骤2044对数据包进行认证。
步骤206、判断目标数据包是否需要加密,当确认目标数据包需要加密时,执行步骤207,当确认目标数据包不需要加密时,执行步骤209。
如图4所示,判断目标数据包是否需要加密的方式可以包括步骤2051-步骤2054:
步骤2051、获取目标数据包的源IP地址、目的IP地址和应用层协议信息。
如图5所示,该应用层协议信息可以通过步骤20511-步骤20519获取:
步骤20511、获取目标数据包的源IP地址、目的IP地址、源端口号和目标端口号、传输层协议类型。
在本申请中,在获取到目标数据包后,对目标数据包进行解析,可以得到目标数据包的源IP地址、目的IP地址、源端口号和目标端口号、传输层协议类型。
其中,源IP地址为数据发送方的IP地址,目的IP地址为数据接收方的IP地址,源端口号为数据发送方的端口号,目标端口号为数据接收方的端口号,传输层协议类型用于表示传输层的协议类型。
步骤20512、判断在目标端口号与应用层协议信息的对应关系中是否存在与目标端口号匹配的应用层协议信息;若存在时,执行步骤20519,当不存在时,执行步骤20513。
需要说明的是,终端中会预先存储有目标端口号与应用层协议信息的对应关系,当获取到目标数据包的目标端口号后,就可以在目标端口号与应用层协议信息的对应关系中查找目标端口号对应的应用层协议信息,当通过目标端口号查找不到对应的应用层协议信息时,需要通过应用层数据确定应用层协议信息。
步骤20513、在连接池中建立源IP地址、目的IP地址、源端口号和目标端口号、传输层协议类型的对应关系。
为了处理通过目标端口号查找不到对应的应用层协议信息的情况,需要在连接池中建立源IP地址、目的IP地址、源端口号和目标端口号、传输层协议类型的对应关系,并通过应用层数据确定上述对应关系所对应的应用层协议信息,可以参见步骤20581,其中,应用层数据是对目标数据包解析得到。
步骤20514、对目标数据包的应用层解析,得到目标数据包的应用层数据。
步骤20515、根据目标数据包的应用层数据,对目标数据包的进行校验。
需要说明的是,对目标数据包校验是为了判断该目标数据包是否完整或被篡改,当目标数据包不完整或被篡改后,就将该目标数据包丢弃,当该目标数据包完整且未被篡改时,才对该目标数据包的解析,获取应用层数据。
20516、判断目标数据包是否校验成功,当目标数据包未校验成功时,执行步骤20517;当目标数据包校验成功时,执行步骤20518。
步骤20517、丢弃目标数据包。
其中,为了对该目标数据包进行校验,发送目标数据包时,需要在目标数据包的应用层数据中添加第一校验码,该第一校验码可以是根据CRC算法对应用层数据进行计算得到的,当获取到应用层数据后,对应用层数据中的原始数据进行CRC计算,得到第二校验码。并将第一校验码与第二校验码进行匹配验证,若第一校验码与第二校验码不一致,则确定目标数据包校验失败,若第一校验码与第二校验码一致,则确定目标数据包校验成功。
步骤20518、根据应用层数据,确定与源IP地址、目的IP地址、源端口号和目标端口号、传输层协议类型匹配的应用层协议信息。
应用层数据中一般会定义一些固定的字段用于表示应用层协议信息,在该固定字段中提取数据信息,将数据信息与样本数据进行匹配,得到对应的应用层协议信息,其中,样本数据包括:应用层协议信息以及对应的数据信息。
步骤20519、建立源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型与协议信息的对应关系并存储在连接池中。
在本申请中,在连接池中存储有源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型与应用层协议信息的对应关系,终端再接收到与该数据包同一数据流的下一数据包后,可以对该下一数据包进行解析,得到下一数据包的源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型,通过源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型在连接池中查找到对应的应用层协议信息,无需通过目标端口号或应用层数据确定数据包所对应的应用层协议信息。
需要说明的是,对于同一个数据流的数据包,当对该数据流的一个数据包或多个数据包进行获取应用层协议的过程后,连接池中就会存储有该源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型与应用层协议信息的对应关系,当该数据流的其他数据包需要获取应用层协议时,就可以在连接池中,通过数据包的源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型查到到对应的应用层协议信息,
步骤2052、加密池中查找与目标数据包的源IP地址、目的IP地址和应用层协议信息匹配的第二匹配对象,加密池中存储有源IP地址、目的IP地址和应用层协议信息与第二匹配对象的对应关系。
在本申请中,第二匹配对象用于表示是否需要加密。
步骤2053、当第二匹配对象表示需要加密时,确认目标数据包需要加密。
步骤2054、当第二匹配对象表示不需要加密时,确认目标数据包不需要加密。
步骤207、根据预设的加密密钥,对目标数据包进行加密,得到初步设定的目标数据包。
本申请中,通过预先设定的加密密钥对目标数据包进行加密。
需要说明是,在确定出该目标数据包需要加密后,可以建立该目标数据包的源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型与第二匹配对象建立对应关系并存储在连接池中,用于表示目标数据包书否需要加密,以便与该目标数据包为同一数据流的其他数据包,在对其他数据包解析得到其他数据包所对应的源IP地址、目的IP地址、源端口号、目标端口号、传输层协议类型后,可以在连接池中查找到其他数据包是否需要加密的结果,并不需要通过与加密池匹配的方式确定其他数据包是否需要加密。
步骤208、对初步设定的目标数据包重新封装协议头信息,得到加密后的目标数据包。
在本申请中,协议头信息可以包括:IP协议头信息、ESP协议头信息和MAC协议头信息,其中,IP协议头信息用于表示源IP地址和目的IP地址;
MAC协议头信息用于表示源MAC地址和目的MAC地址;ESP协议头信息用于表示该目标数据包是否加密。
步骤209、发送加密后的目标数据包。
本公开实施例提供了一种工业控制系统的安全防护方法,通过当确认目标数据包接入认证成功时,判断目标数据包是否需要加密;当确认目标数据包需要加密时,对目标数据包进行加密,得到加密后的目标数据包;发送加密后的目标数据包,本公开实施例中,在目标数据包接入认证成功和加密后,才发送加密的目标数据包,提高工业控制过程中数据传输的安全性。
图6是本申请实施例提供的一种工业控制系统的安全防护装置,该装置集成于终端中,如图6所示,该装置包括:
获取模块601,用于获取目标数据包;
认证模块602,用于对所述目标数据包进行接入认证;
判断模块603,用于当所述目标数据包接入认证的结果为成功时,判断所述目标数据包是否需要加密;
加密模块604,用于当确认所述目标数据包需要加密时,对所述目标数据包进行加密,得到加密后的目标数据包;
发送模块605,用于发送所述加密后的目标数据包。
可选地,所述装置还用于:
判断装置所防护的网络中的设备是否被攻击;
当装置所防护的网络中的设备未被攻击时,执行对所述目标数据包进行接入认证的步骤;
当装置所防护的网络中的设备被攻击时,丢弃目标数据包。
可选地,所述装置还用于:
在预设时间内,判断接收的同一类型的数据包的数量是否在预设的范围内,预设范围是根据数据包的类型所确定的;
若是,则装置所防护的网络中的设备未被攻击;
若否,则装置所防护的网络中的设备被攻击。
可选地,所述认证模块602,用于:
对所述目标数据包解析,得到所述目标数据包对应的源IP地址、目的IP地址、源MAC地址和目的MAC地址;
在认证池中查找与所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象,所述认证池中存储有源IP地址、目的IP地址、源MAC地址和目的MAC地址与第一匹配对象的对应关系;
当所述第一匹配对象表示通过认证时,确认所述目标数据包接入认证成功;
当所述第一匹配对象表示未通过认证或未查找到所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象时,确认所述目标数据包接入认证失败。
可选地,所述判断模块603,用于:
获取所述目标数据包的所述源IP地址、所述目的IP地址和应用层协议信息;
在加密池中查找与所述目标数据包的所述源IP地址、所述目的IP地址和所述应用层协议信息匹配的第二匹配对象,所述加密池中存储有源IP地址、目的IP地址和应用层协议信息与第二匹配对象的对应关系;
当所述第二匹配对象表示需要加密时,确认所述目标数据包需要加密;
当所述第二匹配对象表示不需要加密时,确认所述目标数据包不需要加密。
可选地,所述应用层协议信息通过下列方式获取:
获取所述目标数据包的所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型;
判断在目标端口号与应用层协议信息的对应关系中是否存在与所述目标端口号匹配的应用层协议信息;
若存在时,建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述应用层协议信息的对应关系并存储在所述连接池中;
若不存在时,在所述连接池中建立所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型的对应关系;
对所述目标数据包的应用层解析,得到所述目标数据包的应用层数据;
根据所述目标数据包的应用层数据,对所述目标数据包的进行校验;
当所述目标数据包校验成功时,根据所述应用层数据,确定与所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型匹配的应用层协议信息;
建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述协议信息的对应关系并存储在所述连接池中。
可选地,所述装置还用于:
当所述目标数据包未校验成功时,丢弃所述目标数据包。
可选地,所述加密模块604,用于:
根据预设的加密密钥,对所述目标数据包进行加密,得到初步设定的目标数据包;
对所述初步设定的目标数据包重新封装协议头信息,得到加密后的目标数据包。
本公开实施例提供了一种工业控制系统的安全防护方法,通过当确认目标数据包接入认证成功时,判断目标数据包是否需要加密;当确认目标数据包需要加密时,对目标数据包进行加密,得到加密后的目标数据包;发送加密后的目标数据包,本公开实施例中,在目标数据包接入认证成功和加密后,才发送加密的目标数据包,提高工业控制过程中数据传输的安全性。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,计算机可读存储介质可以是只读存储器,磁盘或光盘等。例如本发明的工业控制系统的安全防护方法可以由计算机设备执行,本发明的工业控制系统的安全防护装置也可以一种计算机设备。
以上所述仅为本发明的较佳实施例,并不用以限制本发明的保护范围,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种工业控制系统的安全防护方法,其特征在于,应用于终端,所述方法包括:
获取目标数据包;
对所述目标数据包进行接入认证;
当接入认证的结果为成功时,判断所述目标数据包是否需要加密;
当确认所述目标数据包需要加密时,对所述目标数据包进行加密,得到加密后的目标数据包;
发送所述加密后的目标数据包。
2.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行接入认证之前,所述方法还包括:
判断所述终端所防护的网络中的设备是否被攻击;
当所述终端所防护的网络中的设备未被攻击时,执行所述对所述目标数据包进行接入认证的步骤;
当所述终端所防护的网络中的设备被攻击时,丢弃所述目标数据包。
3.根据权利要求2所述的方法,其特征在于,所述判断所述终端所防护的网络中的设备是否被攻击,包括:
在预设时间内,判断接收的同一类型的数据包的数量是否在预设的范围内,所述预设范围是根据数据包的类型所确定的;
若是,则所述终端所防护的网络中的设备未被攻击;
若否,则所述终端所防护的网络中的设备被攻击。
4.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行接入认证包括:
对所述目标数据包解析,得到所述目标数据包对应的源IP地址、目的IP地址、源MAC地址和目的MAC地址;
在认证池中查找与所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象,所述认证池中存储有源IP地址、目的IP地址、源MAC地址和目的MAC地址与第一匹配对象的对应关系;
当所述第一匹配对象表示通过认证时,确认所述目标数据包接入认证成功;
当所述第一匹配对象表示未通过认证或未查找到所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象时,确认所述目标数据包接入认证失败。
5.根据权利要求1所述的方法,其特征在于,所述判断所述目标数据包是否需要加密,包括:
获取所述目标数据包的所述源IP地址、所述目的IP地址和应用层协议信息;
在加密池中查找与所述目标数据包的所述源IP地址、所述目的IP地址和所述应用层协议信息匹配的第二匹配对象,所述加密池中存储有源IP地址、目的IP地址和应用层协议信息与第二匹配对象的对应关系;
当所述第二匹配对象表示需要加密时,确认所述目标数据包需要加密;
当所述第二匹配对象表示不需要加密时,确认所述目标数据包不需要加密。
6.根据权利要求5所述的方法,其特征在于,所述应用层协议信息通过下列方式获取:
获取所述目标数据包的所述源IP地址、所述目的IP地址、源端口号和目标端口号、传输层协议类型;
判断在目标端口号与应用层协议信息的对应关系中是否存在与所述目标端口号匹配的应用层协议信息;
若存在时,建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述应用层协议信息的对应关系并存储在连接池中;
若不存在时,在所述连接池中建立所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型的对应关系;
对所述目标数据包的应用层解析,得到所述目标数据包的应用层数据;
根据所述目标数据包的应用层数据,对所述目标数据包的进行校验;
当所述目标数据包校验成功时,根据所述应用层数据,确定与所述源IP地址、所述目的IP地址、所述源端口号和所述目标端口号、所述传输层协议类型匹配的应用层协议信息;
建立所述源IP地址、所述目的IP地址、所述源端口号、所述目标端口号、所述传输层协议类型与所述协议信息的对应关系并存储在所述连接池中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当所述目标数据包未校验成功时,丢弃所述目标数据包。
8.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行加密,得到加密后的目标数据包,包括:
根据预设的加密密钥,对所述目标数据包进行加密,得到初步设定的目标数据包;
对所述初步设定的目标数据包重新封装协议头信息,得到加密后的目标数据包。
9.一种工业控制系统的安全防护装置,其特征在于,所述装置包括:
获取模块,用于获取目标数据包;
认证模块,用于对所述目标数据包进行接入认证;
判断模块,用于当所述目标数据包接入认证的结果为成功时,判断所述目标数据包是否需要加密;
加密模块,用于当确认所述目标数据包需要加密时,对所述目标数据包进行加密,得到加密后的目标数据包;
发送模块,用于发送所述加密后的目标数据包。
10.根据权利要求9所述的装置,其特征在于,所述装置还用于:
判断所述装置所防护的网络中的设备是否被攻击;
当所述装置所防护的网络中的设备未被攻击时,执行所述对所述目标数据包进行接入认证的步骤;
当所述装置所防护的网络中的设备被攻击时,丢弃所述目标数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010013996.5A CN113162885B (zh) | 2020-01-07 | 2020-01-07 | 一种工业控制系统的安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010013996.5A CN113162885B (zh) | 2020-01-07 | 2020-01-07 | 一种工业控制系统的安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113162885A true CN113162885A (zh) | 2021-07-23 |
| CN113162885B CN113162885B (zh) | 2022-11-01 |
Family
ID=76881361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010013996.5A Active CN113162885B (zh) | 2020-01-07 | 2020-01-07 | 一种工业控制系统的安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113162885B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114401139A (zh) * | 2022-01-14 | 2022-04-26 | 京东方科技集团股份有限公司 | 用于在边缘计算设备处处理数据采样的方法及装置 |
| CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120144187A1 (en) * | 2010-12-06 | 2012-06-07 | Siemens Corporation | Application Layer Security Proxy for Automation and Control System Networks |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN105072025A (zh) * | 2015-08-05 | 2015-11-18 | 北京科技大学 | 针对现代工业控制系统网络通信的安全防护网关及系统 |
| EP3525414A1 (de) * | 2018-02-12 | 2019-08-14 | Siemens Aktiengesellschaft | Verfahren zur verschlüsselten übertragung von daten auf einer kryptographisch geschützten, unverschlüsselten kommunikationsverbindung |
-
2020
- 2020-01-07 CN CN202010013996.5A patent/CN113162885B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120144187A1 (en) * | 2010-12-06 | 2012-06-07 | Siemens Corporation | Application Layer Security Proxy for Automation and Control System Networks |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN105072025A (zh) * | 2015-08-05 | 2015-11-18 | 北京科技大学 | 针对现代工业控制系统网络通信的安全防护网关及系统 |
| EP3525414A1 (de) * | 2018-02-12 | 2019-08-14 | Siemens Aktiengesellschaft | Verfahren zur verschlüsselten übertragung von daten auf einer kryptographisch geschützten, unverschlüsselten kommunikationsverbindung |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114401139A (zh) * | 2022-01-14 | 2022-04-26 | 京东方科技集团股份有限公司 | 用于在边缘计算设备处处理数据采样的方法及装置 |
| CN116866055A (zh) * | 2023-07-26 | 2023-10-10 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
| CN116866055B (zh) * | 2023-07-26 | 2024-02-27 | 中科驭数(北京)科技有限公司 | 数据泛洪攻击的防御方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113162885B (zh) | 2022-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309685B (zh) | 信息传输方法和装置 | |
| CN113179240B (zh) | 密钥保护方法、装置、设备及存储介质 | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| CN113162885B (zh) | 一种工业控制系统的安全防护方法及装置 | |
| CN113872770A (zh) | 一种安全性验证方法、系统、电子设备及存储介质 | |
| CN111756716A (zh) | 流量检测方法、装置及计算机可读存储介质 | |
| CN109698806A (zh) | 一种用户数据校验方法及系统 | |
| CN113438225B (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 | |
| EP3076584B1 (en) | Hashed data retrieval method | |
| CN106453430A (zh) | 验证加密数据传输路径的方法及装置 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| KR101342423B1 (ko) | 통신 네트워크에서 터널 데이터 패킷의 각각의 레벨의 에러를 보고하는 장치 및 방법 | |
| CN114640541B (zh) | 一种分布式架构中微服务之间认证的方法 | |
| CN114389895B (zh) | 以太网帧安全传输方法、装置和系统 | |
| CN113992387B (zh) | 资源管理方法、装置、系统、电子设备和可读存储介质 | |
| CN110198202B (zh) | 一种afdx总线消息数据源的校验方法及装置 | |
| CN109120608B (zh) | 一种防重放安全通讯处理方法及装置 | |
| CN112822217A (zh) | 一种服务器访问方法、装置、设备和存储介质 | |
| WO2019200690A1 (zh) | 数据保护方法、服务器及计算机可读存储介质 | |
| CN114884736B (zh) | 一种防爆破攻击的安全防护方法及装置 | |
| CN116074455B (zh) | 基于1400协议的安全传输方法、视图库平台和系统 | |
| CN114501442B (zh) | 报文篡改检测方法、辅助方法、装置、介质和终端 | |
| CN111432408B (zh) | 一种基于Wi-Fi流量分析的双因子认证方法及电子装置 | |
| JP2006140881A (ja) | 認証情報付きネットワーク識別子生成装置および機器認証装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |