CN113726760B - 一种基于负载均衡的工业控制通信加密系统及方法 - Google Patents

一种基于负载均衡的工业控制通信加密系统及方法 Download PDF

Info

Publication number
CN113726760B
CN113726760B CN202110991553.8A CN202110991553A CN113726760B CN 113726760 B CN113726760 B CN 113726760B CN 202110991553 A CN202110991553 A CN 202110991553A CN 113726760 B CN113726760 B CN 113726760B
Authority
CN
China
Prior art keywords
encryption
server
load balancing
communication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110991553.8A
Other languages
English (en)
Other versions
CN113726760A (zh
Inventor
刘智勇
蒋劲松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Hongrui Information Technology Co Ltd
Original Assignee
Zhuhai Hongrui Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Hongrui Information Technology Co Ltd filed Critical Zhuhai Hongrui Information Technology Co Ltd
Priority to CN202110991553.8A priority Critical patent/CN113726760B/zh
Publication of CN113726760A publication Critical patent/CN113726760A/zh
Application granted granted Critical
Publication of CN113726760B publication Critical patent/CN113726760B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于负载均衡的工业控制通信加密系统及方法,包括:配置信息采集模块、数据处理中心、攻击防误判模块、相关设备定位模块、传输方向分析模块和加密均衡调度模块,通过配置信息采集模块统计当前已有的加密方式及其加密强度等级数据,采集加入负载均衡服务器时设置的初始化数据刷新时间,通过攻击防误判模块在加密过程中标记因负载均衡而使流量增长的正常变化区间,通过加密均衡调度模块依据数据传输方向比对预测当前采用的服务器是普通负载均衡服务器或反向代理服务器,依据对应采用的服务器类型和加密强度等级分配合适的加密方式,避免了对通信受攻击现象进行误判,保证了负载均衡的同时使得数据通信安全性也得到均衡。

Description

一种基于负载均衡的工业控制通信加密系统及方法
技术领域
本发明涉及通信技术领域,具体为一种基于负载均衡的工业控制通信加密系统及方法。
背景技术
负载均衡指的是将任务分配到多个操作单元上进行执行,由多个服务器之间交互共同完成工作任务,能够有效扩展设备和服务器的带宽、增加吞吐量,从而提高网络数据处理能力,在工业控制通信过程中,虽然加入了负载均衡服务器,为了保证设备间通信的安全性,需要对通信过程进行加密,然而,随着网络科技的发展,出现的通信加密方式及算法越来越多样,单单只是依据通信过程和协议选择合适的加密方式,使得各数据通信的安全指数不一、防攻击能力达不到均衡,增加了通信加密成本,由于加入了不同类型的负载均衡服务器,而有些负载均衡服务器(如:反向代理服务器)加入后使得数据通信的安全性得到了一定的提高,在加入方向代理服务器后并不需要强度过大的加密方式,依据加密方式的强度等级和采用的负载均衡服务器类型分配合适的加密方式,有利于在保证负载得到均衡的同时使得数据通信安全性也得到均衡;其次,在加入负载均衡服务器时,由于服务器之间需要及时交互,保证数据及时更新,使地址能够随机分配,需要设置较小的数据刷新时间,会使流量大增,出现通信受攻击假象,可能会造成误判,在加密时标记流量正常变化区间能够避免造成误判。
所以,人们需要一种基于负载均衡的工业控制通信加密系统及方法来解决上述问题。
发明内容
本发明的目的在于提供一种基于负载均衡的工业控制通信加密系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于负载均衡的工业控制通信加密系统,其特征在于:所述系统包括:配置信息采集模块、数据处理中心、攻击防误判模块、相关设备定位模块、传输方向分析模块和加密均衡调度模块;
所述配置信息采集模块用于统计当前已有的加密方式及其加密强度等级数据,采集加入负载均衡服务器时设置的初始化数据刷新时间,采集需要数据传输的客户端数量,将所有采集到的数据传输到所述数据处理中心中;所述数据处理中心用于将初始化数据刷新时间提供给所述攻击防误判模块,将设备数据及加密强度等级数据提供给所述相关设备定位模块;所述攻击防误判模块用于分析比较将正常流量变化与监测到的受攻击时流量变化,并在加密过程中标记因负载均衡而使流量增长的正常变化区间;所述相关设备定位模块用于依据客户端、被访问服务器和负载均衡服务器所在IP地址确认其位置;所述传输方向分析模块用于预先分别确认加入普通负载均衡服务器和反向代理服务器时数据的传输方向,在设备间通信连接时监测当前数据传输方向,并与预先确认传输方向进行比对,将比对结果传输到所述加密均衡调度模块中;所述加密均衡调度模块用于依据比对结果预测当前采用的负载均衡服务器是普通负载均衡服务器或反向代理服务器,依据对应采用的服务器类型和加密强度等级分配合适的加密方式。
进一步的,所述配置信息采集模块包括加密方式统计单元、加密等级采集单元、刷新时间采集单元、设备数量统计单元,所述加密方式统计单元用于统计当前已有的加密方式或算法;所述加密等级采集单元用于采集对应加密方式或算法的加密强度等级数据;所述刷新时间采集单元用于采集加入负载均衡服务器时设置的初始化数据刷新时间;所述设备数量统计单元用于统计当前需要数据传输的客户端数量,将采集到的所有数据传输到所述数据处理中心中。
进一步的,所述攻击防误判模块包括通信流量监测单元、流量增幅分析单元和通信加密标记单元,所述通信流量监测单元用于监测通信流量变化情况;所述流量增幅分析单元用于依据初始化刷新时间分析加入负载均衡服务器时流量增长量,与监测到的受攻击时流量变化值进行比对,判断因负载均衡使流量增长的正常变化区间;所述通信加密标记单元用于在加密过程中标记因负载均衡而使流量增长的正常变化区间。
进一步的,所述相关设备定位模块包括客户端定位单元、被访问服务器定位单元和负载均衡服务器定位单元,所述客户端定位单元用于依据客户端所在IP地址确认其位置;所述被访问服务器定位单元用于依据各被访问服务器所在IP地址确认对应位置;所述负载均衡服务器定位单元用于依据负载均衡服务器所在IP地址确认其位置;所述传输方向分析模块包括传输方向预确认单元、通信连接监测单元和传输方向匹配单元,所述传输方向预确认单元用于依据各相关设备位置预先确认加入普通负载均衡服务器和反向代理服务器时数据传输方向;所述通信连接监测单元用于在设备间通信时监测当前各设备的数据传输方向;所述传输方向匹配单元用于比对监测到的方向和预先确认的方向,将数据传输方向比对结果传输到所述加密均衡调度模块中。
进一步的,所述加密均衡调度模块用于负载均衡方式预测单元和加密方式调节单元,所述负载均衡方式预测单元用于依据比对结果预测当前通信过程采用的均衡服务器是普通负载均衡服务器或反向代理服务器;所述加密方式调节单元用于依据服务器类型为不同通信过程分配不同等级的加密方式或算法。
一种基于负载均衡的工业控制通信加密方法,包括以下步骤:
S11:采集加入负载均衡服务器时设置的初始化数据刷新时间,分析加入负载均衡服务器时的正常流量变化;
S12:将正常流量变化与监测到的流量变化比对,分析流量变化正常区间,在加密时标记;
S13:采集加密方式及其加密等级;
S14:依据通信相关设备IP地址定位其位置:依据客户端、被访问服务器和负载均衡服务器位置,预确认客户端请求访问所有被访问服务器时的数据传输方向;
S15:比对当前监测到的数据传输方向,依据比对结果判断不同通信过程采用的服务器类型,分配合适等级的加密方式。
进一步的,在步骤S11-S12中:利用刷新时间采集单元采集到加入负载均衡服务器时设置的初始化数据刷新时间为t,每次刷新数据增长的流量集合为B={B1,B2,...,Bn},其中,n表示数据刷新次数,利用通信流量监测单元监测到通信受到攻击时增长的流量集合为B’={B1’,B2’,...,Bm’},其中,m表示一个通信过程中受到的攻击次数,根据下列公式分别计算负载均衡时流量变化系数w和受到攻击时流量变化系数W:
Figure BDA0003232521480000031
Figure BDA0003232521480000032
其中,Bi和Bi’分别表示随机一次刷新数据增长的流量和监测到的通信受到攻击时增长的流量,
Figure BDA0003232521480000033
判断因负载均衡使流量变化系数的范围为(0,w],利用通信加密单元在加密过程中标记因负载均衡使流量增长的正常变化区间为(0,w],加入负载均衡服务器后,由于服务器间需要及时交互,设置了较小的数据刷新时间,使得流量大增,容易造成攻击误判,通过计算方差的方式计算流量变化系数的目的在于确认负载均衡刷新数据产生的流量变化区间、即流量变化稳定性,有利于在加密过程中进行标记,避免后续对通信受攻击现象进行误判。
进一步的,在步骤S13中:利用加密方式统计单元统计到当前已有的加密方式集合为A={A1,A2,...,AI},其中,I表示统计的加密方式总数,利用加密等级采集单元采集到对应加密方式的强度集合为2k={2k1,2k2,...,2kI},根据下列公式计算加密强度基准值M:
Figure BDA0003232521480000041
其中,2kj表示随机一个加密方式的强度,比较2kj和M:若2kj>M,说明加密强度超过基准值,将对应的加密方式归为加密等级高的一类;若2kj≤M,说明加密强度未超过基准值,将对应的加密方式归为加密等级低的一类,计算加密强度基准值的目的在于将加密方式按照等级高低进行分类,有利于依据采用的负载均衡服务器的类型为通信过程分配合适的加密方式。
进一步的,在步骤S14中:客户端定位单元依据IP地址定位随机一个客户端的位置,以客户端位置为原点对通信环境进行建模,负载均衡服务器的位置坐标为(x,y),被访问服务器的坐标集合为(X,Y)={(X1,Y1),(X2,Y2),...,(XJ,YJ)},根据下列公式计算客户端请求访问随机一个被访问服务器时数据传输向量与水平正方向的夹角αi
Figure BDA0003232521480000042
其中,Xi和Yi分别表示对应被访问服务器的横、纵坐标,J表示被访问服务器的数量,预确认客户端请求访问所有被访问服务器时数据传输向量与水平正方向的夹角集合为α={α1,α2,...,αJ},与普通负载均衡服务器不同的是,在采用反向代理服务器时,客户端与被访问服务器之间时不直接进行通信的,预确认客户端请求访问被访问服务器时数据传输向量夹角的目的在于在数据传输监测过程中加快判断采用的负载均衡服务器类型,以为通信过程分配合适等级的加密方式。
进一步的,在步骤S15中:利用通信连接监测单元对数据通信进行实时监测:若监测到数据传输向量与水平正方向的夹角中存在一个夹角与预确认夹角集合中的任意一个夹角相同,判断采用的是普通负载均衡服务器,分配加密等级高的加密方式对通信过程进行加密;若监测到数据传输向量与水平正方向的夹角与预确认夹角集合中所有夹角都不同,判断采用的是反向代理服务器,分配加密等级低的加密方式对通信过程进行加密,由于采用反向代理服务器时通信本身提高了一定的安全性,依据采用的负载均衡服务器类型分配合适等级的加密方式,有利于在保证负载得到均衡的同时使得数据通信安全性也得到均衡。
与现有技术相比,本发明所达到的有益效果是:
1.本发明通过采集在加入负载均衡服务器后设置的数据刷新时间及流量,与通信过程中受到攻击产生的流量变化稳定性进行比对,在加密时预先标记流量正常变化区间,在加入负载均衡服务器时,由于服务器之间需要及时交互,保证数据及时更新,使地址能够随机分配,需要设置较小的数据刷新时间,会使流量大增,出现通信受攻击假象,可能会造成误判,在加密时标记流量正常变化区间避免了对通信受攻击现象进行误判;
2.本发明通过采集已有加密方式及其等级强度,将其分为两类:加密等级高为一类,加密等级低为另一类,通过预确认采用普通负载均衡服务器和采用反向代理服务器时数据传输方向,与监测到的数据传输方向进行比对,判断当前通信过程中采用的负载均衡服务器类型,与普通负载均衡服务器不同的是,在采用反向代理服务器时,客户端与被访问服务器之间时不直接进行通信的,并且通信本身提高了一定的安全性,分配合适等级的加密方式,保证了负载得到均衡的同时使得数据通信安全性也得到均衡。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明一种基于负载均衡的工业控制通信加密系统的结构图;
图2是本发明一种基于负载均衡的工业控制通信加密方法的流程图;
图3是采用普通负载均衡服务器的数据传输方向示意图;
图4是采用反向代理服务器的数据传输方向示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
请参阅图1-4,本发明提供技术方案:一种基于负载均衡的工业控制通信加密系统,其特征在于:系统包括:配置信息采集模块S1、数据处理中心S2、攻击防误判模块S3、相关设备定位模块S4、传输方向分析模块S5和加密均衡调度模块S6;
配置信息采集模块S1用于统计当前已有的加密方式及其加密强度等级数据,采集加入负载均衡服务器时设置的初始化数据刷新时间,采集需要数据传输的客户端数量,将所有采集到的数据传输到数据处理中心S2中;数据处理中心S2用于将初始化数据刷新时间提供给攻击防误判模块S3,将设备数据及加密强度等级数据提供给相关设备定位模块S4;攻击防误判模块S3用于分析比较将正常流量变化与监测到的受攻击时流量变化,并在加密过程中标记因负载均衡而使流量增长的正常变化区间;相关设备定位模块S4用于依据客户端、被访问服务器和负载均衡服务器所在IP地址确认其位置;传输方向分析模块S5用于预先分别确认加入普通负载均衡服务器和反向代理服务器时数据的传输方向,在设备间通信连接时监测当前数据传输方向,并与预先确认传输方向进行比对,将比对结果传输到加密均衡调度模块S6中;加密均衡调度模块S6用于依据比对结果预测当前采用的负载均衡服务器是普通负载均衡服务器或反向代理服务器,依据对应采用的服务器类型和加密强度等级分配合适的加密方式。
配置信息采集模块S1包括加密方式统计单元、加密等级采集单元、刷新时间采集单元、设备数量统计单元,加密方式统计单元用于统计当前已有的加密方式或算法;加密等级采集单元用于采集对应加密方式或算法的加密强度等级数据;刷新时间采集单元用于采集加入负载均衡服务器时设置的初始化数据刷新时间;设备数量统计单元用于统计当前需要数据传输的客户端数量,将采集到的所有数据传输到数据处理中心S2中。
攻击防误判模块S3包括通信流量监测单元、流量增幅分析单元和通信加密标记单元,通信流量监测单元用于监测通信流量变化情况;流量增幅分析单元用于依据初始化刷新时间分析加入负载均衡服务器时流量增长量,与监测到的受攻击时流量变化值进行比对,判断因负载均衡使流量增长的正常变化区间;通信加密标记单元用于在加密过程中标记因负载均衡而使流量增长的正常变化区间。
相关设备定位模块S4包括客户端定位单元、被访问服务器定位单元和负载均衡服务器定位单元,客户端定位单元用于依据客户端所在IP地址确认其位置;被访问服务器定位单元用于依据各被访问服务器所在IP地址确认对应位置;负载均衡服务器定位单元用于依据负载均衡服务器所在IP地址确认其位置;传输方向分析模块S5包括传输方向预确认单元、通信连接监测单元和传输方向匹配单元,传输方向预确认单元用于依据各相关设备位置预先确认加入普通负载均衡服务器和反向代理服务器时数据传输方向;通信连接监测单元用于在设备间通信时监测当前各设备的数据传输方向;传输方向匹配单元用于比对监测到的方向和预先确认的方向,将数据传输方向比对结果传输到加密均衡调度模块S6中。
加密均衡调度模块S6用于负载均衡方式预测单元和加密方式调节单元,负载均衡方式预测单元用于依据比对结果预测当前通信过程采用的均衡服务器是普通负载均衡服务器或反向代理服务器;加密方式调节单元用于依据服务器类型为不同通信过程分配不同等级的加密方式或算法。
一种基于负载均衡的工业控制通信加密方法,包括以下步骤:
S11:采集加入负载均衡服务器时设置的初始化数据刷新时间,分析加入负载均衡服务器时的正常流量变化;
S12:将正常流量变化与监测到的流量变化比对,分析流量变化正常区间,在加密时标记;
S13:采集加密方式及其加密等级;
S14:依据通信相关设备IP地址定位其位置:依据客户端、被访问服务器和负载均衡服务器位置,预确认客户端请求访问所有被访问服务器时的数据传输方向;
S15:比对当前监测到的数据传输方向,依据比对结果判断不同通信过程采用的服务器类型,分配合适等级的加密方式。
在步骤S11-S12中:利用刷新时间采集单元采集到加入负载均衡服务器时设置的初始化数据刷新时间为t,每次刷新数据增长的流量集合为B={B1,B2,...,Bn},其中,n表示数据刷新次数,利用通信流量监测单元监测到通信受到攻击时增长的流量集合为B’={B1’,B2’,...,Bm’},其中,m表示一个通信过程中受到的攻击次数,根据下列公式分别计算负载均衡时流量变化系数w和受到攻击时流量变化系数W:
Figure BDA0003232521480000071
Figure BDA0003232521480000072
其中,Bi和Bi’分别表示随机一次刷新数据增长的流量和监测到的通信受到攻击时增长的流量,
Figure BDA0003232521480000081
判断因负载均衡使流量变化系数的范围为(0,w],利用通信加密单元在加密过程中标记因负载均衡使流量增长的正常变化区间为(0,w],加入负载均衡服务器后,由于服务器间需要及时交互,设置了较小的数据刷新时间,使得流量大增,容易造成攻击误判,通过计算方差的方式计算流量变化系数的目的在于确认负载均衡刷新数据产生的流量变化区间、即流量变化稳定性,便于在加密过程中进行标记,避免后续对通信受攻击现象进行误判。
在步骤S13中:利用加密方式统计单元统计到当前已有的加密方式集合为A={A1,A2,...,AI},其中,I表示统计的加密方式总数,利用加密等级采集单元采集到对应加密方式的强度集合为2k={2k1,2k2,...,2kI},根据下列公式计算加密强度基准值M:
Figure BDA0003232521480000082
其中,2kj表示随机一个加密方式的强度,比较2kj和M:若2kj>M,说明加密强度超过基准值,将对应的加密方式归为加密等级高的一类;若2kj≤M,说明加密强度未超过基准值,将对应的加密方式归为加密等级低的一类,计算加密强度基准值的目的在于将加密方式按照等级高低进行分类,便于依据采用的负载均衡服务器的类型为通信过程分配合适的加密方式。
在步骤S14中:客户端定位单元依据IP地址定位随机一个客户端的位置,以客户端位置为原点对通信环境进行建模,负载均衡服务器的位置坐标为(x,y),被访问服务器的坐标集合为(X,Y)={(X1,Y1),(X2,Y2),...,(XJ,YJ)},根据下列公式计算客户端请求访问随机一个被访问服务器时数据传输向量与水平正方向的夹角αi
Figure BDA0003232521480000083
其中,Xi和Yi分别表示对应被访问服务器的横、纵坐标,J表示被访问服务器的数量,预确认客户端请求访问所有被访问服务器时数据传输向量与水平正方向的夹角集合为α={α1,α2,...,αJ},与普通负载均衡服务器不同的是,在采用反向代理服务器时,客户端与被访问服务器之间时不直接进行通信的,预确认客户端请求访问被访问服务器时数据传输向量夹角的目的在于在数据传输监测过程中加快判断采用的负载均衡服务器类型,为通信过程分配了合适等级的加密方式。
在步骤S15中:利用通信连接监测单元对数据通信进行实时监测:若监测到数据传输向量与水平正方向的夹角中存在一个夹角与预确认夹角集合中的任意一个夹角相同,判断采用的是普通负载均衡服务器,分配加密等级高的加密方式对通信过程进行加密;若监测到数据传输向量与水平正方向的夹角与预确认夹角集合中所有夹角都不同,判断采用的是反向代理服务器,分配加密等级低的加密方式对通信过程进行加密,由于采用反向代理服务器时通信本身提高了一定的安全性,依据采用的负载均衡服务器类型分配合适等级的加密方式,在保证了负载得到均衡的同时使得数据通信安全性也得到均衡。
实施例一:利用加密方式统计单元统计到当前已有的加密方式集合为A={A1,A2,A3,A4,A5},利用加密等级采集单元采集到对应加密方式的强度集合为2k={2k1,2k2,2k3,2k4,2k5}={128,256,64,32,64},根据公式
Figure BDA0003232521480000091
计算加密强度基准值M=108,比较2kj和M:2k1>M,2k2>M,将加密方式A1和A2归为加密等级高的一类,其余加密方式归为加密等级低的一类,客户端定位单元依据IP地址定位随机一个客户端的位置,以客户端位置为原点对通信环境进行建模,负载均衡服务器的位置坐标为(x,y)=(2,2),被访问服务器的坐标集合为(X,Y)={(X1,Y1),(X2,Y2),(X3,Y3)}={(3,4),(3,5),(3,6)},根据公式
Figure BDA0003232521480000092
预确认客户端请求访问所有被访问服务器时数据传输向量与水平正方向的夹角集合为α={α1,α2,α3}={53°,59°,63°},利用通信连接监测单元对数据通信进行实时监测:若监测到数据传输向量与水平正方向的夹角中存在一个夹角与预确认夹角集合中的任意一个夹角相同,判断采用的是普通负载均衡服务器,选择加密方式A1或A2对通信过程进行加密;若监测到数据传输向量与水平正方向的夹角与预确认夹角集合中所有夹角都不同,判断采用的是反向代理服务器,选择加密方式A3、A4、A5中的一个对通信过程进行加密。
最后应说明的是:以上所述仅为本发明的优选实例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于负载均衡的工业控制通信加密系统,其特征在于:所述系统包括:配置信息采集模块(S1)、数据处理中心(S2)、攻击防误判模块(S3)、相关设备定位模块(S4)、传输方向分析模块(S5)和加密均衡调度模块(S6);
所述配置信息采集模块(S1)用于统计当前已有的加密方式及其加密强度等级数据,采集加入负载均衡服务器时设置的初始化数据刷新时间,采集需要数据传输的客户端数量,将所有采集到的数据传输到所述数据处理中心(S2)中;所述数据处理中心(S2)用于将初始化数据刷新时间提供给所述攻击防误判模块(S3),将设备数据及加密强度等级数据提供给所述相关设备定位模块(S4);所述攻击防误判模块(S3)用于分析比较将正常流量变化与监测到的受攻击时流量变化,并在加密过程中标记因负载均衡而使流量增长的正常变化区间;所述相关设备定位模块(S4)用于依据客户端、被访问服务器和负载均衡服务器所在IP地址确认其位置;所述传输方向分析模块(S5)用于预先分别确认加入普通负载均衡服务器和反向代理服务器时数据的传输方向,在设备间通信连接时监测当前数据传输方向,并与预先确认传输方向进行比对,将比对结果传输到所述加密均衡调度模块(S6)中;所述加密均衡调度模块(S6)用于依据比对结果预测当前采用的负载均衡服务器是普通负载均衡服务器或反向代理服务器,依据对应采用的服务器类型和加密强度等级分配合适的加密方式;
若监测到数据传输向量与水平正方向的夹角中存在一个夹角与预确认夹角集合中的任意一个夹角相同,判断采用的是普通负载均衡服务器,分配加密等级高的加密方式对通信过程进行加密;若监测到数据传输向量与水平正方向的夹角与预确认夹角集合中所有夹角都不同,判断采用的是反向代理服务器,分配加密等级低的加密方式对通信过程进行加密。
2.根据权利要求1所述的一种基于负载均衡的工业控制通信加密系统,其特征在于:所述配置信息采集模块(S1)包括加密方式统计单元、加密等级采集单元、刷新时间采集单元、设备数量统计单元,所述加密方式统计单元用于统计当前已有的加密方式或算法;所述加密等级采集单元用于采集对应加密方式或算法的加密强度等级数据;所述刷新时间采集单元用于采集加入负载均衡服务器时设置的初始化数据刷新时间;所述设备数量统计单元用于统计当前需要数据传输的客户端数量,将采集到的所有数据传输到所述数据处理中心(S2)中。
3.根据权利要求1所述的一种基于负载均衡的工业控制通信加密系统,其特征在于:所述攻击防误判模块(S3)包括通信流量监测单元、流量增幅分析单元和通信加密标记单元,所述通信流量监测单元用于监测通信流量变化情况;所述流量增幅分析单元用于依据初始化刷新时间分析加入负载均衡服务器时流量增长量,与监测到的受攻击时流量变化值进行比对,判断因负载均衡使流量增长的正常变化区间;所述通信加密标记单元用于在加密过程中标记因负载均衡而使流量增长的正常变化区间。
4.根据权利要求1所述的一种基于负载均衡的工业控制通信加密系统,其特征在于:所述相关设备定位模块(S4)包括客户端定位单元、被访问服务器定位单元和负载均衡服务器定位单元,所述客户端定位单元用于依据客户端所在IP地址确认其位置;所述被访问服务器定位单元用于依据各被访问服务器所在IP地址确认对应位置;所述负载均衡服务器定位单元用于依据负载均衡服务器所在IP地址确认其位置;所述传输方向分析模块(S5)包括传输方向预确认单元、通信连接监测单元和传输方向匹配单元,所述传输方向预确认单元用于依据各相关设备位置预先确认加入普通负载均衡服务器和反向代理服务器时数据传输方向;所述通信连接监测单元用于在设备间通信时监测当前各设备的数据传输方向;所述传输方向匹配单元用于比对监测到的方向和预先确认的方向,将数据传输方向比对结果传输到所述加密均衡调度模块(S6)中。
5.根据权利要求1所述的一种基于负载均衡的工业控制通信加密系统,其特征在于:所述加密均衡调度模块(S6)用于负载均衡方式预测单元和加密方式调节单元,所述负载均衡方式预测单元用于依据比对结果预测当前通信过程采用的均衡服务器是普通负载均衡服务器或反向代理服务器;所述加密方式调节单元用于依据服务器类型为不同通信过程分配不同等级的加密方式或算法。
6.一种基于负载均衡的工业控制通信加密方法,其特征在于:包括以下步骤:
S11:采集加入负载均衡服务器时设置的初始化数据刷新时间,分析加入负载均衡服务器时的正常流量变化;
S12:将正常流量变化与监测到的受攻击时流量变化比对,分析流量变化正常区间,在加密时标记;
S13:采集加密方式及其加密等级;
S14:依据通信相关设备IP地址定位其位置:依据客户端、被访问服务器和负载均衡服务器位置,预确认客户端请求访问所有被访问服务器时的数据传输方向;
S15:比对当前监测到的数据传输方向,依据比对结果判断不同通信过程采用的服务器类型,分配合适等级的加密方式;
在步骤S15中:利用通信连接监测单元对数据通信进行实时监测:若监测到数据传输向量与水平正方向的夹角中存在一个夹角与预确认夹角集合中的任意一个夹角相同,判断采用的是普通负载均衡服务器,分配加密等级高的加密方式对通信过程进行加密;若监测到数据传输向量与水平正方向的夹角与预确认夹角集合中所有夹角都不同,判断采用的是反向代理服务器,分配加密等级低的加密方式对通信过程进行加密。
7.根据权利要求6所述的一种基于负载均衡的工业控制通信加密方法,其特征在于:在步骤S11-S12中:利用刷新时间采集单元采集到加入负载均衡服务器时设置的初始化数据刷新时间为t,每次刷新数据增长的流量集合为B={B1,B2,...,Bn},其中,n表示数据刷新次数,利用通信流量监测单元监测到通信受到攻击时增长的流量集合为B’={B1’,B2’,...,Bm’},其中,m表示一个通信过程中受到的攻击次数,根据下列公式分别计算负载均衡时流量变化系数w和受到攻击时流量变化系数W:
Figure FDA0003504603060000031
Figure FDA0003504603060000041
其中,Bi和Bi’分别表示随机一次刷新数据增长的流量和监测到的通信受到攻击时增长的流量,
Figure FDA0003504603060000042
判断因负载均衡使流量变化系数的范围为(0,w],利用通信加密单元在加密过程中标记因负载均衡使流量增长的正常变化区间为(0,w]。
8.根据权利要求6所述的一种基于负载均衡的工业控制通信加密方法,其特征在于:在步骤S13中:利用加密方式统计单元统计到当前已有的加密方式集合为A={A1,A2,...,AI},其中,I表示统计的加密方式总数,利用加密等级采集单元采集到对应加密方式的强度集合为2k={2k1,2k2,...,2kI},根据下列公式计算加密强度基准值M:
Figure FDA0003504603060000043
其中,2kj表示随机一个加密方式的强度,比较2kj和M:若2kj>M,说明加密强度超过基准值,将对应的加密方式归为加密等级高的一类;若2kj≤M,说明加密强度未超过基准值,将对应的加密方式归为加密等级低的一类。
9.根据权利要求8所述的一种基于负载均衡的工业控制通信加密方法,其特征在于:在步骤S14中:客户端定位单元依据IP地址定位随机一个客户端的位置,以客户端位置为原点对通信环境进行建模,负载均衡服务器的位置坐标为(x,y),被访问服务器的坐标集合为(X,Y)={(X1,Y1),(X2,Y2),...,(XJ,YJ)},根据下列公式计算客户端请求访问随机一个被访问服务器时数据传输向量与水平正方向的夹角αi
Figure FDA0003504603060000044
其中,Xi和Yi分别表示对应被访问服务器的横、纵坐标,J表示被访问服务器的数量,预确认客户端请求访问所有被访问服务器时数据传输向量与水平正方向的夹角集合为α={α1,α2,...,αJ}。
CN202110991553.8A 2021-08-27 2021-08-27 一种基于负载均衡的工业控制通信加密系统及方法 Active CN113726760B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110991553.8A CN113726760B (zh) 2021-08-27 2021-08-27 一种基于负载均衡的工业控制通信加密系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110991553.8A CN113726760B (zh) 2021-08-27 2021-08-27 一种基于负载均衡的工业控制通信加密系统及方法

Publications (2)

Publication Number Publication Date
CN113726760A CN113726760A (zh) 2021-11-30
CN113726760B true CN113726760B (zh) 2022-04-01

Family

ID=78678301

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110991553.8A Active CN113726760B (zh) 2021-08-27 2021-08-27 一种基于负载均衡的工业控制通信加密系统及方法

Country Status (1)

Country Link
CN (1) CN113726760B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114244400B (zh) * 2021-12-14 2022-09-02 珠海市鸿瑞信息技术股份有限公司 一种配网加密状态下的信息传输控制系统及方法
CN114640549B (zh) * 2022-05-19 2022-08-09 江西神舟信息安全评估中心有限公司 一种工业控制系统的防护方法及工业控制系统
CN116074078B (zh) * 2023-01-10 2023-07-14 广东浩传管理服务有限公司 一种基于数据加密的网络通信安全监测系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111049910A (zh) * 2019-12-16 2020-04-21 瑞斯康达科技发展股份有限公司 一种处理报文的方法、装置、设备及介质
CN111771366A (zh) * 2018-01-10 2020-10-13 思杰系统有限公司 具有可协商和自适应的加密级别的用于加密数据流的方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7657940B2 (en) * 2004-10-28 2010-02-02 Cisco Technology, Inc. System for SSL re-encryption after load balance
CN1777274A (zh) * 2005-11-29 2006-05-24 中国科学技术大学 基于运动音视频标准文件格式的流媒体内容保护方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111771366A (zh) * 2018-01-10 2020-10-13 思杰系统有限公司 具有可协商和自适应的加密级别的用于加密数据流的方法
CN111049910A (zh) * 2019-12-16 2020-04-21 瑞斯康达科技发展股份有限公司 一种处理报文的方法、装置、设备及介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种面向多类型服务的动态负载均衡算法;李国等;《现代电子技术》;20170615(第12期);全文 *
基于内容关联密钥技术的密钥管理服务器的涉及与实现;哀建宇;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20190615;全文 *

Also Published As

Publication number Publication date
CN113726760A (zh) 2021-11-30

Similar Documents

Publication Publication Date Title
CN113726760B (zh) 一种基于负载均衡的工业控制通信加密系统及方法
US10945166B2 (en) Distributed processing for determining network paths
EP3092569B1 (en) Cyber security adaptive analytics threat monitoring system and method
US20220174008A1 (en) System and method for identifying devices behind network address translators
CN105579990B (zh) 应用感知网络管理方法和系统
US20150058473A1 (en) Network address mapping to nearby location identification
CN1311660C (zh) 服务器设备,通信系统和给网络分配安全性策略的方法
CN107087008B (zh) 一种医疗网络的安全监控方法和系统
KR101831604B1 (ko) 데이터 전송 방법, 인증 방법 및 이를 수행하기 위한 서버
US20210006583A1 (en) System and method of secure communication with internet of things devices
JP2021166401A (ja) 電子機器のパスワード更新方法、装置、機器及び記憶媒体
TW201931167A (zh) 確定資料異常的方法及裝置
CN110572383B (zh) 一种大数据监测方法
CN111597250A (zh) 一种区块链系统的可视化方法
US8806634B2 (en) System for finding potential origins of spoofed internet protocol attack traffic
CN104270350A (zh) 一种密钥信息的传输方法和设备
CN104113510A (zh) 虚拟桌面系统及其消息数据的传输方法
CN111490991B (zh) 一种基于通信设备的多个服务器请求连接系统及方法
CN115065519B (zh) 分布式边端协同的DDoS攻击实时监测方法
CN108462681B (zh) 一种异构网络的通信方法、设备及系统
TWI739635B (zh) 多階分佈式網路系統之可靠度評估方法
US20140101053A1 (en) Aggregation and Billing for Metering
US11729187B2 (en) Encrypted overlay network for physical attack resiliency
CN109951450B (zh) 一种基于服务器的信息安全收集与交互方法及系统
CN114553880A (zh) 分布式任务的异常处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant