CN113992363B - 一种基于iec104规约通信的方法、装置 - Google Patents
一种基于iec104规约通信的方法、装置 Download PDFInfo
- Publication number
- CN113992363B CN113992363B CN202111182545.5A CN202111182545A CN113992363B CN 113992363 B CN113992363 B CN 113992363B CN 202111182545 A CN202111182545 A CN 202111182545A CN 113992363 B CN113992363 B CN 113992363B
- Authority
- CN
- China
- Prior art keywords
- message
- iec104
- terminal equipment
- harmless
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 120
- 238000004891 communication Methods 0.000 title claims abstract description 118
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书提供一种基于IEC104规约通信的方法、装置,所述方法包括:在IEC104业务系统启动后,获取所述IEC104业务系统发出的符合IEC104规约的报文,判断所述报文是否符合通行策略;若所述报文不符合通行策略,获取所述报文的地址信息和计数信息,并重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文发送至对端设备,由所述对端设备将所述无害报文转发至其IEC104业务系统。应用本申请所提供的技术方案,可有效拦截伪装成符合IEC104规约的攻击报文,并且,会重新构建一个无害报文替换原攻击报文发送至对端设备,避免因丢弃IEC104报文导致两端设备计数器值不一致造成的会话中断的情况。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种基于IEC104规约通信的方法、装置。
背景技术
IEC(International Electrotechnical Commission,国际电工委员会)是一个由所有国家电工委员会(IEC国家委员会)组成的国际性标准化组织,国际电工委员会(IEC)的目的是为了推进在与电气和电子领域标准化有关的问题上促进国际间合作,为了这个目的及其它活动,国际电工委员会(IEC)发布国际标准。
随着科技的发展,越来越多的工业控制系统接入互联网,许多工业控制系统遵守国际电工委员会(IEC)发布的国际标准进行通信,但是工业控制系统面临的安全形势也越来越严重。因为当前互联网上存在着大量的攻击,这会直接影响工业控制系统的安全。
例如,由国际电工委员会第57技术委员会:电力系统控制以及通信委员会编制的国际电工委员会IEC 61850-5-104国际标准(简称IEC104规约),广泛应用于电力、城市轨道交通等行业。显然,这些行业都关乎着民生以及国防安全,其对应的系统的安全性倍受重视。
发明内容
有鉴于此,本申请提供了一种基于IEC104规约通信的方法、装置。
根据本申请的第一方面,提供一种基于IEC104规约通信的方法,应用于终端设备,所述终端设备装载有国际电工委员会IEC104业务系统和保护系统,所述方法由所述保护系统执行,包括:
在IEC104业务系统启动后,获取所述IEC104业务系统发出的符合IEC104规约的报文,判断所述报文是否符合通行策略;
若所述报文不符合通行策略,获取所述报文的地址信息和计数信息;
基于所述地址信息及所述计数信息,重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文并将所述无害报文发送至对端设备,由所述对端设备将所述无害报文发送至其IEC104业务系统。
可选的,所述将所述无害报文发送至对端设备,包括:
确定是否已与对端设备建立通信隧道;
若已建立通信隧道,则通过通信隧道将所述无害报文传输至对端设备;
若未建立通信隧道,则对所述无害报文加密,并将加密后的无害报文发送至对端设备,以供对端设备对所述无害报文成功解密后,与本端设备建立通信隧道。
可选的,所述对所述无害报文加密,并将加密后的无害报文发送至对端设备,包括:
获取保护系统中内置的第一密钥;
生成第二密钥;
采用所述第一密钥和所述第二密钥对所述无害报文中的负载字段进行联合加密,得到加密后的无害报文;
将所述第二密钥与加密后的无害报文发送至对端设备,以供对端设备查找其保护系统中内置的第一密钥,并在采用所述第二密钥和查找到的第一密钥对所述无害报文成功解密后,与本端设备建立通信隧道
可选的,在基于IEC104规约通信之前,可对终端设备进行认证,所述方法还包括:
本设备启动后,获取本设备的指纹信息;
当保护系统中存储有合法设备的指纹信息时,判断本设备的指纹信息是否与所述合法设备的指纹信息一致,若一致,启动IEC104业务系统;
当保护系统中未存储合法设备的指纹信息时,则对管理员身份进行认证,若认证通过,将本设备的指纹信息作为合法设备的指纹信息存储于保护系统,启动IEC104业务系统。
根据本申请的第二方面,提供另一种基于IEC104规约通信的方法,应用于终端设备,所述终端设备装载有IEC104业务系统和保护系统,所述方法由所述保护系统执行,包括:
接收对端设备发送的符合IEC104规约的报文;
判断所述报文是否符合通行策略;
若所述报文不符合通行策略,则重新构建无害报文以替换不符合通行策略的报文,并将所述无害报文转发至本端设备的IEC104业务系统。
可选的,所述方法还包括:
在接收到对端设备发送的符合IEC104规约的报文后,确定所述报文的传输方式;
若所述报文未通过通信隧道传输,则对所述报文进行解密;
若解密成功,则与对端设备建立通信隧道。
可选的,所述对所述报文解密,包括:
查找保护系统中内置的第一密钥;
接收对端设备发送的第二密钥;
采用所述第一密钥与所述第二密钥对所述报文进行解密。
可选的,在基于IEC104规约通信之前,可对终端设备进行认证,所述方法还包括:
本设备启动后,获取本设备的指纹信息;
当保护系统中存储有合法设备的指纹信息时,判断本设备的指纹信息是否与所述合法设备的指纹信息一致,若一致,启动IEC104业务系统;
当保护系统中未存储合法设备的指纹信息时,则对管理员身份进行认证,若认证通过,将本设备的指纹信息作为合法设备的指纹信息存储于保护系统,启动IEC104业务系统。
根据本申请的第三方面,提供一种基于IEC104规约通信的装置,应用于终端设备,所述终端设备装载有IEC104业务系统和保护系统,所述装置位于所述保护系统中,包括:
第一判断模块,用于在IEC104业务系统启动后,获取所述IEC104业务系统发出的符合IEC104规约的报文,判断所述报文是否符合通行策略;
信息获取模块,用于若所述报文不符合通行策略,获取所述报文的地址信息和计数信息;
第一重构模块,用于基于所述地址信息及所述计数信息,重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文并将所述无害报文发送至对端设备,由所述对端设备将所述无害报文发送至其IEC104业务系统。
根据本申请的第四方面,提供另一种基于IEC104规约通信的装置,应用于终端设备,所述终端设备装载有IEC104业务系统和保护系统,所述装置位于所述保护系统中,包括:
报文接收模块,用于接收对端设备发送的符合IEC104规约的报文;
第二判断模块,用于判断所述报文是否符合通行策略;
第二重构模块,用于若所述报文不符合通信策略,则重新构建无害报文以替换不符合通行策略的报文并转发至本端设备的IEC104业务系统。
本申请提供的技术方案,针对基于IEC104规约通信的应用场景,在IEC104业务系统发送符合IEC104规约的报文之前,可判断所述报文是否符合通行策略,若不符合,则重新构建一个无害报文替换所述不符合通行策略的报文并进行发送;在这个过程中,在发送报文至对端设备之前对报文进行筛选,只放行符合通行策略的报文,可有效拦截伪装成符合IEC104规约的攻击报文,并且,攻击报文被拦截后,会重新构建一个无害报文替换原攻击报文发送至对端设备,以确保本端设备的发送计数器值与对端设备的接收计数器值一致,从而避免因丢弃IEC104报文导致两端设备计数器值不一致造成的会话中断的情况。因此,采用本申请技术方案,可以实现对IEC104规约层面的保护,提高网络通信的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请示出的一种基于IEC104规约通信的方法的流程示意图;
图2是本申请示出的一种应用本申请基于IEC104规约通信的方法的终端设备的结构图;
图3是本申请示出的另一种基于IEC104规约通信的方法的流程示意图;
图4是本申请示出的报文传输方法的流程示意图;
图5是本申请示出的终端设备认证的方法的流程示意图;
图6是本申请示出的基于IEC104规约通信的装置所在计算机设备的一种硬件结构图;
图7是本申请示出的一种基于IEC104规约通信的装置的框图;
图8是本申请示出的另一种基于IEC104规约通信的装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了增强工业控制系统的安全性,常用的解决方案为在控制系统中增加安全设备,所述安全设备可以对通信报文进行加密,但是如果所述通信报文是由有害报文伪装的符合通信协议的报文,所述安全设备并不能进行有效的检测,因此系统仍然存在安全性问题。
例如,在电力系统中,主要的安全设备为纵向加密装置,在增加纵向加密装置后可以对主从站终端设备通信过程中的IEC104通信报文进行加密,从而能够很好地控制和规避传输过程中的报文篡改及重放等攻击。然而在实际应用中,如果攻击方直接将有害报文伪装成IEC104报文与端进行通信,则纵向加密装置在此场景中无法起到防护作用。
有鉴于此,本申请提出了一种基于IEC104规约通信的方法,所述方法应用于装载有IEC104业务系统的终端,在将IEC104业务系统发出的符合IEC104规约的报文发送至对端设备之前,对报文进行检测,筛选出有害报文,实现了对IEC104规约层面进行保护及防护,从而进一步提高了工控系统的安全性。
请参见图1,图1是本申请示出的一种基于IEC104规约通信的方法的流程示意图,所述方法应用于终端设备,如图2所示,所述终端设备装载有IEC104业务系统和保护系统;所述方法由保护系统执行,包括以下步骤:
步骤S101,在IEC104业务系统启动后,获取所述IEC104业务系统发出的符合IEC104规约的报文,判断所述报文是否符合通行策略;
在目前已有的安全机制中,增加了安全设备,其主要作用为对传输中的通信报文进行加密,但是若攻击方直接利用IEC104规约,即将攻击报文伪装成符合IEC104规约的报文,与对端进行通信,则安全设备在此场景中无法识别出伪装后的攻击报文,仍然会将伪装后的攻击报文进行加密然后发送到对端,也就无法起到防护作用。
为了避免伪装后的攻击报文到达对端设备的IEC104业务系统,本申请提供的一种基于IEC104规约通信方案中,将本端设备的IEC104业务系统发出的报文进行筛选,只将符合通行策略的报文发送至对端设备。
IEC104规约规定,报文中可以包含类型标识字段,也可以包含ASDU公共地址字段与信息对象地址字段等,根据报文中的字段可以完成对报文的筛选,所述通行策略,可以是提前预设的类型标识的集合,也可以是提前预设的报文地址的集合,还可以是提前预设的报文中其他字段的集合。其中,提前预设的类型标识的集合可以如{1,3,9,102},类型标识1表示单点信息、类型标识3表示双点信息、类型标识9表示测量值与归一化值,以及类型标识102表示读命令,在本说明书中不对通行策略的具体内容作具体限定。
例如,预先设置了一个类型标识的集合作为通行策略,在该通行策略中,包含类型标识1、类型标识3、类型标识9、以及类型标识102。
当获取到符合IEC104规约的报文的类型标识是9时,确定该报文符合通行策略;
当获取到符合IEC104规约的报文的类型标识是46时,确定该报文不符合通行策略。
步骤S103,若所述报文不符合通行策略,获取所述报文的地址信息和计数信息;
若报文符合通行策略,则可以确定该报文为正常报文,直接将该报文发送至对端设备;若报文不符合通行策略,则可以确定该报文为攻击报文,需要丢弃,但如果将不符合通行策略的报文直接丢弃,可能存在因本端设备的发送计数器值与对端设备的接收计数器值不一致,从而导致会话中断的情况。
其中,发送计数器用于记录设备发送报文的数量,发送计数器值即为已发送的报文数量,接收计数器用于记录设备接收报文的数量,接收计数器值即为已接收的报文数量,同时,IEC104规约规定,若本端设备发送的报文数量与对端设备接收的报文数量的差值达到预设的阈值时,断开当前连接,重新建立连接。
为避免这种情况,本申请提供的一种基于IEC104规约通信方案中,会获取不符合通行策略的报文的地址信息与计数信息,以供后续步骤S105使用,再将不符合通行策略的报文丢弃。
接着以上示例继续举例,类型标识是9的符合IEC104规约的报文符合通行策略,则将所述类型标识是9的符合IEC104规约的报文发送至对端设备;类型标识是46的符合IEC104规约的报文不符合通行策略,则获取所述类型标识是46的符合IEC104规约的报文的地址信息和计数信息;其中,地址信息从报文中ASDU公共地址字段与信息对象地址字段获取,计数信息从报文中控制域字段获取。
步骤S105,基于所述地址信息及所述计数信息,重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文并将所述无害报文发送至对端设备,由所述对端设备将所述无害报文发送至其IEC104业务系统。
如前述所说,将不符合通行策略的报文丢弃后,对端设备则无法接收到所述不符合通行策略的报文,从而对端设备的接收计数器值与本端设备的发送计数器值必然不相等,因此,本申请提供的一种基于IEC104规约通信的方法中,基于步骤S103获取的不符合通行策略的报文的地址信息和计数信息,重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文并将所述无害报文发送至对端设备;其中,无害报文不会对对端设备造成有害影响,不具有破坏性,可以符合通行策略,也可以不符合通行策略。可预先设置包含一个或多个无害类型标识的集合,重构报文时从所述无害类型标识的集合中选择一个无害类型标识;其中,所述无害类型标识表示的含义使其报文不会对实际业务产生影响,如读命令102就是一个无害类型标识。
接着以上示例继续举例,根据IEC104规约规范,将上一步骤获取的地址信息和计数信息与无害类型标识102重新构建一个符合IEC104规约的无害报文发送至对端设备。
可见,在本申请提供的基于IEC104规约通信方案中,在将符合IEC104规约的报文发送至对端设备之前,对报文进行筛选,放行符合通行策略的报文,重新构建无害报文替换不符合通行策略的报文,可以拦截伪装成符合IEC104规约的攻击报文,同时用无害报文替换攻击报文发送至对端设备,可以确保本端设备的发送计数器值与对端设备的接收计数器值一致,从而维持会话。采用此技术方案,可以实现对IEC104规约层面的保护,提高网络通信的安全性。
请参见图3,图3是本申请示出的另一种基于IEC104规约通信的方法的流程示意图,所述方法应用于终端设备,所述终端设备装载有IEC104业务系统和保护系统;所述方法由保护系统执行,包括以下步骤:
步骤S303,接收对端设备发送的符合IEC104规约的报文;
步骤S305,判断所述报文是否符合通行策略;
为避免伪装后的攻击报文到达本端设备的IEC104业务系统,本申请提供的另一种基于IEC104规约通信方案中,将本端设备接收到的符合IEC104规约的报文进行筛选,只将符合通行策略的报文转发至本端设备的IEC104业务系统;其中,所述通行策略,可以是提前预设的类型标识的集合,也可以是提前预设的报文地址的集合,在本说明书中不作具体限定,对通行策略的详细介绍可参见前述一种基于IEC104规约通信的方法中对应的步骤S101部分,在此不再赘述。
步骤S307,若所述报文不符合通行策略,则重新构建无害报文以替换不符合通行策略的报文,并将所述无害报文转发至本端设备的IEC104业务系统。
可确定不符合通行策略的报文为攻击报文,攻击报文需要被丢弃,为避免因本端设备的接收计数器值与对端设备的发送计数器值不一致而造成会话中断,重新构建无害报文以替换不符合通行策略的报文并转发至本端设备的IEC104业务系统,以保持本端设备的接收计数器值与对端设备的发送计数器值一致,从而维持会话。
其中,所述重新构建无害报文的具体实现方式可参见前述一种基于IEC104规约通信的方法中对应的步骤S105部分,在此不再赘述。
可见,在本申请提供的另一种基于IEC104规约通信方案中,在本端设备接收到对端设备发送的报文后,将报文转发至本端设备IEC104业务系统之前,对报文进行筛选,放行符合通行策略的报文,重新构建无害报文替换不符合通行策略的报文,可以拦截伪装成符合IEC104规约的攻击报文,同时用无害报文替换攻击报文转发至本端设备IEC104业务系统,可以确保本端设备的发送计数器值与对端设备的接收计数器值一致,从而维持会话。采用此技术方案,可以实现对IEC104规约层面的保护,提高网络通信的安全性。
在基于IEC104规约通信过程中,为防止伪装成符合IEC104规约的攻击报文到达IEC104业务系统,可以选择本申请提供的一种基于IEC104规约通信方案,在本端设备发送报文之前,通过通行策略筛选出不符合通行策略的报文,并重构无害报文替换不符合通行策略的报文发送至对端设备;也可以选择本申请提供的另一种基于IEC104规约通信方案,在本端设备接收到对端设备发送的报文后,通过通行策略筛选出不符合通行策略的报文,并重构无害报文替换攻击报文转发至本端设备的IEC104业务系统;还可以结合本申请提供的两种方案,在报文发送之前,通过通行策略筛选出不符合通行策略的报文,并重构无害报文替换攻击报文,在报文到达后再次检测报文是否符合通行策略,若不符合重构无害报文替换不符合通行策略的报文转发至IEC104业务系统。
另外,在本申请中,可以通过通信隧道传输符合IEC104规约的报文,完成设备之间的通信。例如,在图1示出的实施例中,本端设备可通过通信隧道传输符合IEC104规约的报文至对端设备。
请参见图4,图4是本申请示出的报文传输方法的流程示意图,包括以下步骤:
步骤S404,发送侧设备确定两端设备之间是否已建立通信隧道;
其中,所述的两端设备中一端作为发送侧设备,另一端作为接收侧设备,此外,两端设备均可以发送报文与接收报文,也就是说,此次会话中作为发送侧的设备在下一次会话中可以作为发送侧设备,也可以作为接收侧设备;此次会话中作为接收侧的设备在下一次会话中可以作为接收侧设备,也可以作为发送侧设备。
在本申请提供的基于IEC104规约通信方案中,通信隧道会在确定会话安全时建立,若两端设备之间已建立通信隧道,则执行步骤S406;若两端设备之间还未建立通信隧道,则执行步骤S408。
步骤S406,若已建立通信隧道,则发送侧设备通过通信隧道将符合IEC104规约的报文传输至接收侧设备;
步骤S408,若未建立通信隧道,则由发送侧设备对符合IEC104规约的报文加密,并将加密后的报文发送至接收侧设备。
通信隧道还未建立,说明还未确定该会话的安全性,为保障网络通信的安全,在本申请中,发送侧设备在发送报文至接收侧设备之前,对符合IEC104规约的报文加密,并将加密后的报文发送至接收侧设备。
步骤S410,接收侧设备接收到发送侧发送的符合IEC104规约的报文后,确定所述报文的传输方式;
在本申请提供的基于IEC104规约通信方案中,不同的传输方式有不同的处理过程,若报文未通过通信隧道传输,则执行步骤S412;若报文通过通信隧道传输,则执行步骤S414;
步骤S412,若所述报文未通过通信隧道传输,接收侧设备对所述报文进行解密,在解密成功后与发送侧设备建立通信隧道,执行步骤S414;
步骤S414,接收侧设备对报文进行处理。
例如,接收侧设备为图1所示出的实施例中的对端设备,所述对报文进行处理包括:接收侧设备将报文转发至本身的IEC104业务系统;接收侧设备为图3所示出的实施例中的本端设备,所述对报文进行处理包括:接收侧设备判断报文是否符合通行策略。本说明书对此并不进行限定。
可选的,上述的报文传输过程中对报文加解密的方法包括:单次加解密或联合加解密;其中,所述单次加解密可以是第一密钥加解密,所述第一密钥为保护系统在编码阶段预制于系统内部的一串数值,是保护系统本身具有的属性值,两侧设备具有相同的第一密钥;也可以是第二密钥加解密,所述第二密钥由发送侧设备随机生成;所述联合加解密是第一密钥和第二密钥联合加解密。
示例性的,当上述对报文加解密为第一密钥加解密时,包括:发送侧设备查找本地保护系统中的第一密钥;使用所述第一密钥对所述报文进行加密;将加密后的报文发送至接收侧设备;接收侧设备接收到加密后的报文后,查找本地保护系统中的第一密钥;使用所述第一密钥对所述加密后的报文进行解密,若解密成功,与发送侧设备建立通信隧道;若解密失败,将所述加密后的报文丢弃。
示例性的,当上述对报文加解密为第二密钥加解密时,包括:发送侧设备随机生成第二密钥;使用所述第二密钥对所述报文进行加密;将加密后的报文与所述第二密钥发送至接收侧设备;接收侧设备接收发送侧传输的第二密钥与加密后的报文后;使用所述第二密钥对所述加密后的报文进行解密,若解密成功,与发送侧设备建立通信隧道;若解密失败,将所述报文丢弃。其中,发送侧可以将第二密钥与加密后的报文一起发送,也可将第二密钥与加密后的报文分开发送。
示例性的,当上述对报文加解密为联合加解密时,包括:发送侧设备查找本地保护系统中的第一密钥,并随机生成第二密钥;使用所述第一密钥和第二密钥对所述报文进行加密;将加密后的报文与所述第二密钥发送至接收侧设备;接收侧设备接收发送侧传输的第二密钥与加密后的报文,并查找本地保护系统中的第一密钥;使用所述第一密钥和所述第二密钥对所述加密后的报文进行解密,若解密成功,与发送侧设备建立通信隧道;若解密失败,将所述报文丢弃。其中,发送侧可以将第二密钥与加密后的报文一起发送,也可将第二密钥与加密后的报文分开发送。若联合加密过程为先使用第一密钥加密再使用第二密钥加密,则对应的联合解密过程为先使用第二密钥解密再使用第一密钥解密;若联合加密过程为先使用第二密钥加密再使用第一密钥加密,则对应的联合解密过程为先使用第一密钥解密再使用第二密钥解密,本说明书对此并不进行限定。
使用联合加解密能够保证每一次加密都是唯一的,避免外界对报文内容进行分析,并使用流量镜像或报文回放等方法找出其中的加密或解密规律,然后利用找出的加密或解密规律。
需要说明的是,此方法中,发送侧设备对报文加密以及接收侧设备对报文解密,与纵向加密装置对传输过程中的报文加解密相互独立,互不干扰。
采用此方法,若通信隧道已建立,可确定该会话安全,通过通信隧道传输报文可以提高报文的传输效率;若通信隧道还未建立,在报文解密成功后,可确定该会话安全,为提高报文的传输效率,可在两端设备之间建立通信隧道,用于传输报文。也就是说,在保障通信安全的情况下,建立通信隧道用于传输报文,可以进一步提高报文传输效率。
此外,在本申请中,为确保终端设备的安全性,可在终端设备启动后,对终端设备进行认证,请参见图5,图5是本申请示出的终端认证的方法的流程示意图,包括以下步骤:
步骤S505,本设备启动后,获取本设备的指纹信息;
其中,所述指纹信息包括但不限于IP地址,全网卡信息(如MAC地址),开放端口信息,系统版本等。
步骤S507,当保护系统中存储有合法设备的指纹信息时,判断本设备的指纹信息是否与所述合法设备的指纹信息一致,若一致,启动IEC104业务系统;
其中,所述合法设备的指纹信息可在设备启动后存储在设备系统中,例如,可在管理员身份信息认证通过,以及确认本设备系统中还未存储合法设备的指纹信息后,存储所述指纹信息作为合法设备的指纹信息。
若保护系统中存储有合法设备的指纹信息,比较步骤S404获取的指纹信息与已存储的指纹信息,如果两者一致,则确定本设备为合法终端,在管理员身份认证通过后可以启动IEC104业务系统。
在设备系统中存储有合法设备的指纹信息时,本说明书对设备的合法性判断与管理员身份信息认证的先后顺序并不进行限定,即可以先完成设备的合法性判断,也可以先完成管理员身份信息的认证。
另外,在获取设备的指纹信息后,可基于所述指纹信息生成唯一标识符,例如,将获取的指纹信息合并为字符串,对所述字符串加密得到唯一标识符,例如可采用MD5加密(Message-Digest Algorithm,信息摘要算法);当设备装载的保护系统中未存储合法设备的唯一标识符时,若管理员身份认证通过,将本设备的唯一标识符存储于保护系统,作为合法设备的唯一标识符,可以启动IEC104业务系统;当设备装载的保护系统中已存储合法设备的唯一标识符时,比较本设备的唯一标识符与已存储的唯一标识符是否一致,若一致,且管理员身份认证通过,可以启动IEC104业务系统。
步骤S509,当保护系统中未存储合法设备的指纹信息时,对管理员身份进行认证,若认证通过,将本设备的指纹信息作为合法设备的指纹信息存储于保护系统,启动IEC104业务系统。
若未存储有合法设备的指纹信息,则对管理员身份进行认证,若认证通过,可以开启IEC104业务系统,并将步骤S505获取的本设备的指纹信息作为合法设备的指纹信息存储,用于判断下次是否可以启动本设备装载的IEC104业务系统。
例如,本设备首次启动后,获取本设备的指纹信息;对管理员身份进行认证;认证通过后启动IEC104业务系统,并将本设备的指纹信息作为合法设备的指纹信息存储于保护系统;
如果本设备出现异常需要重启,在本设备重启后,获取本设备的指纹信息,因已存储有合法设备的指纹信息,判断获取的指纹信息与已存储的合法设备的指纹信息是否一致;因IEC104业务系统仍装载于原设备上,获取的指纹信息与存储的指纹信息一致,在管理员认证通过后可以启动IEC104业务系统。
如果本设备装载的系统被拷贝至其他终端设备,在其他终端设备启动后,获取所述其他终端设备的指纹信息,因已存储有合法设备的指纹信息,判断获取的指纹信息与已存储的合法设备的指纹信息是否一致;因IEC104业务系统已装载于其他终端设备上,而不是原设备,获取的指纹信息与存储的指纹信息不一致,即使管理员身份认证通过了也不能启动IEC104业务系统。
可见,采用此方法,只有在终端设备合法,管理员有权的情况下,才能启动IEC104业务系统,有效避免了不合法设备启动后发送攻击报文或者接收正常报文,以及无权管理员执行非法操作,从而对网络通信产生危害。
在本申请中,所述终端设备还可装载有日志系统;所述日志系统用于接收基于IEC104规约通信过程中以及终端认证过程中的所有日志信息,并将所述日志信息分为正常日志以及异常日志,将分类完成后的日志信息上报至本设备的日志中心,或者通过配置其他平台的地址将分类完成后的日志信息上报至第三方平台。
其中,所述日志信息包括但不限于IP,MAC,终端指纹信息,报文具体内容等;所述正常日志包括但不限于通信隧道建立成功的日志信息、加密报文解密成功的日志信息或终端设备认定合法的日志信息等;异常日志包括但不限于终端设备认定不合法的日志信息、加密报文解密失败的日志信息或包含不符合通行策略的报文的日志信息等。
例如,在图1所示出的实施例中的步骤S103中,在获取不符合通行策略的报文的地址信息与计数信息后,生成包含所述不符合通行策略的报文的日志信息,并将所述日志信息发送至日志系统;在图3所示出的实施例中的步骤307中,生成包含所述不符合通行策略的报文的日志信息,并将所述日志信息发送至日志系统;在图4所示出的实施例中的步骤S412中,若通信隧道建立成功,生成通信隧道建立成功的日志信息,并将所述日志信息发送至日志系统;在图5所示出的实施例的步骤S507中,若获取的指纹信息与已存储的指纹信息一致,生成终端设备认定合法的日志信息,并将所述日志信息发送至日志系统。
可见,通过日志系统收集日志信息,并将所述日志信息分类后上传至本地日志中心或者第三方日志平台,可以更加方便日志信息的统一管理及拓展,进而实现及时对可疑行为进行跟踪及溯源。
与前述一种基于IEC104规约通信的方法的实施例相对应,本说明书还提供了一种基于IEC104规约通信的装置及其所应用的终端的实施例。
本说明书文件处理装置的实施例可以应用在计算机设备上,例如终端设备,嵌入式设备等。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在文件处理的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,请参见图6,图6为本申请基于IEC104规约通信的装置所在计算机设备的一种硬件结构图,除了图6所示的处理器610、内存630、网络接口620、以及非易失性存储器640之外,实施例中装置631所在的电子设备,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参见图7,图7是本申请示出的一种基于IEC104规约通信的装置的框图,所述装置包括:
第一判断模块710,在IEC104业务系统启动后,获取所述IEC104业务系统发出的符合IEC104规约的报文,判断所述报文是否符合通行策略;
信息获取模块720,若所述报文不符合通行策略,获取所述报文的地址信息和计数信息;
第一重构模块730,基于所述地址信息及所述计数信息,重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文并将所述无害报文发送至对端设备,由所述对端设备将所述无害报文发送至其IEC104业务系统。
在本实施例中,所述报文发送模块730进一步用于:
确定报文发送方式,若本端设备与对端设备已建立通信隧道,则将报文通过通信隧道传输至对端设备;若本端设备与对端设备未建立通信隧道,则对报文加密,并将加密后的报文发送至对端设备;
可选的,上述的对报文加密包括:第一密钥加密和/或第二密钥加密。
此外,在本实施例中,为确保终端设备的安全性,可在终端设备启动后,对终端设备进行认证,所述装置还包括:
终端认证模块740(图7中并未示出),本设备启动后,获取本设备的指纹信息;当保护系统中存储有合法设备的指纹信息时,判断本设备的指纹信息是否与所述合法设备的指纹信息一致,若一致,启动IEC104业务系统;当保护系统中未存储合法设备的指纹信息时,对管理员身份进行认证,若认证通过,将本设备的指纹信息作为合法设备的指纹信息存储于保护系统,并启动IEC104业务系统。
在本实施例中,为实现及时对可疑行为进行跟踪及溯源,所述装置还包括:
日志处理模块750(图7中并未示出),接收其他模块发送的日志信息,并将所述日志信息分为正常日志以及异常日志;将分类完成后的日志信息上报至本设备的日志中心,或者通过配置其他平台的地址将分类完成后的日志信息上报至第三方平台。
请参见图8,图8是本申请示出的另一种基于IEC104规约通信的装置的框图,所述装置包括:
报文接收模块810,接收对端设备发送的符合IEC104规约的报文;
在本实施例中,所述报文接收模块810进一步用于:
在接收到对端设备发送的符合IEC104规约的报文后,确定所述报文的传输方式;若所述报文通过通信隧道传输,则将所述报文转发至第二判断模块820;若所述报文未通过通信隧道传输,则对所述报文解密,在解密成功后将所述报文转发至第二判断模块820,并与对端设备建立通信隧道,以提高报文传输的效率。
可选的,上述的对报文解密包括:第一密钥解密和/或第二密钥解密。重要的是,本端设备的解密方式要与对端设备的加密方式对应。
第二判断模块820,判断所述报文是否符合通行策略;
第二重构模块830,若所述报文不符合通行策略,则重新构建无害报文以替换不符合通信策略的报文并转发至本端设备的IEC104业务系统。
此外,在本实施例中,为确保终端设备的安全性,可在终端设备启动后,对终端设备进行认证,所述装置还包括:
终端认证模块840(图8中并未示出),本设备启动后,获取本设备的指纹信息;当保护系统中存储有合法设备的指纹信息时,判断本设备的指纹信息是否与所述合法设备的指纹信息一致,若一致,启动IEC104业务系统;当保护系统中未存储合法设备的指纹信息时,对管理员身份进行认证,若认证通过,将本设备的指纹信息作为合法设备的指纹信息存储于保护系统,并启动IEC104业务系统。
在本实施例中,为实现及时对可疑行为进行跟踪及溯源,所述装置还包括:
日志处理模块850(图8中并未示出),接收其他模块发送的日志信息,并将所述日志信息分为正常日志以及异常日志;将分类完成后的日志信息上报至本设备的日志中心,或者通过配置其他平台的地址将分类完成后的日志信息上报至第三方平台。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (6)
1.一种基于IEC104规约通信的方法,其特征在于,应用于终端设备,所述终端设备装载有国际电工委员会IEC104业务系统和保护系统,所述方法由所述保护系统执行,包括:
在IEC104业务系统启动后,获取所述IEC104业务系统发出的符合IEC104规约的报文,判断所述报文是否符合通行策略;
若所述报文不符合通行策略,获取所述报文的地址信息和计数信息;
基于所述地址信息及所述计数信息,重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文并将所述无害报文发送至对端设备,由所述对端设备将所述无害报文发送至其IEC104业务系统;
所述将所述无害报文发送至对端设备,包括:
确定是否已与对端设备建立通信隧道;
若已建立通信隧道,则通过通信隧道将所述无害报文传输至对端设备;
若未建立通信隧道,则对所述无害报文加密,并将加密后的无害报文发送至对端设备,以供对端设备对所述无害报文成功解密后,与本端设备建立通信隧道;
所述对所述无害报文加密,并将加密后的无害报文发送至对端设备,包括:
获取保护系统中内置的第一密钥;
生成第二密钥;
采用所述第一密钥和所述第二密钥对所述无害报文中的负载字段进行联合加密,得到加密后的无害报文;
将所述第二密钥与加密后的无害报文发送至对端设备,以供对端设备查找其保护系统中内置的第一密钥,并在采用所述第二密钥和查找到的第一密钥对所述无害报文成功解密后,与本端设备建立通信隧道。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
本设备启动后,获取本设备的指纹信息;
当保护系统中存储有合法设备的指纹信息时,判断本设备的指纹信息是否与所述合法设备的指纹信息一致,若一致,启动IEC104业务系统;
当保护系统中未存储合法设备的指纹信息时,则对管理员身份进行认证,若认证通过,将本设备的指纹信息作为合法设备的指纹信息存储于保护系统,并启动IEC104业务系统。
3.一种基于IEC104规约通信的方法,其特征在于,应用于终端设备,所述终端设备装载有IEC104业务系统和保护系统,所述方法由所述保护系统执行,包括:
接收对端设备发送的符合IEC104规约的报文;
判断所述报文是否符合通行策略;
若所述报文不符合通行策略,则重新构建无害报文以替换不符合通行策略的报文,并将所述无害报文转发至本端设备的IEC104业务系统;
在接收到对端设备发送的符合IEC104规约的报文后,确定所述报文的传输方式;
若所述报文未通过通信隧道传输,则对所述报文进行解密;
若解密成功,则与对端设备建立通信隧道;
所述对所述报文解密,包括:
查找保护系统中内置的第一密钥;
接收对端设备发送的第二密钥;
采用所述第一密钥与所述第二密钥对所述报文进行解密;
所述第一密钥为保护系统在编码阶段预制于系统内部的一串数值;
所述第二密钥由发送侧设备随机生成。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
本设备启动后,获取本设备的指纹信息;
当保护系统中存储有合法设备的指纹信息时,判断本设备的指纹信息是否与所述合法设备的指纹信息一致,若一致,启动IEC104业务系统;
当保护系统中未存储合法设备的指纹信息时,则对管理员身份进行认证,若认证通过,将本设备的指纹信息作为合法设备的指纹信息存储于保护系统中,并启动IEC104业务系统。
5.一种基于IEC104规约通信的装置,其特征在于,应用于终端设备,所述终端设备装载有IEC104业务系统和保护系统,所述装置位于所述保护系统中,包括:
第一判断模块,用于在IEC104业务系统启动后,获取所述IEC104业务系统发出的符合IEC104规约的报文,判断所述报文是否符合通行策略;
信息获取模块,用于若所述报文不符合通行策略,获取所述报文的地址信息和计数信息;
第一重构模块,用于基于所述地址信息及所述计数信息,重新构建符合IEC104规约的无害报文以替换不符合通行策略的报文并将所述无害报文发送至对端设备,由所述对端设备将所述无害报文发送至其IEC104业务系统;所述将所述无害报文发送至对端设备,包括:
确定是否已与对端设备建立通信隧道;
若已建立通信隧道,则通过通信隧道将所述无害报文传输至对端设备;
若未建立通信隧道,则对所述无害报文加密,并将加密后的无害报文发送至对端设备,以供对端设备对所述无害报文成功解密后,与本端设备建立通信隧道;
所述对所述无害报文加密,并将加密后的无害报文发送至对端设备,包括:
获取保护系统中内置的第一密钥;
生成第二密钥;
采用所述第一密钥和所述第二密钥对所述无害报文中的负载字段进行联合加密,得到加密后的无害报文;
将所述第二密钥与加密后的无害报文发送至对端设备,以供对端设备查找其保护系统中内置的第一密钥,并在采用所述第二密钥和查找到的第一密钥对所述无害报文成功解密后,与本端设备建立通信隧道。
6.一种基于IEC104规约通信的装置,其特征在于,应用于终端设备,所述终端设备装载有IEC104业务系统和保护系统,所述装置位于所述保护系统中,包括:
报文接收模块,用于接收对端设备发送的符合IEC104规约的报文;
第二判断模块,用于判断所述报文是否符合通行策略;
第二重构模块,用于若所述报文不符合通行策略,则重新构建无害报文以替换不符合通信策略的报文并转发至本端设备的IEC104业务系统;在接收到对端设备发送的符合IEC104规约的报文后,确定所述报文的传输方式;若所述报文未通过通信隧道传输,则对所述报文进行解密;若解密成功,则与对端设备建立通信隧道;所述对所述报文解密,包括:查找保护系统中内置的第一密钥;接收对端设备发送的第二密钥;采用所述第一密钥与所述第二密钥对所述报文进行解密;所述第一密钥为保护系统在编码阶段预制于系统内部的一串数值;所述第二密钥由发送侧设备随机生成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111182545.5A CN113992363B (zh) | 2021-10-11 | 2021-10-11 | 一种基于iec104规约通信的方法、装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111182545.5A CN113992363B (zh) | 2021-10-11 | 2021-10-11 | 一种基于iec104规约通信的方法、装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113992363A CN113992363A (zh) | 2022-01-28 |
CN113992363B true CN113992363B (zh) | 2024-02-27 |
Family
ID=79738067
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111182545.5A Active CN113992363B (zh) | 2021-10-11 | 2021-10-11 | 一种基于iec104规约通信的方法、装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113992363B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6473425B1 (en) * | 1997-10-02 | 2002-10-29 | Sun Microsystems, Inc. | Mechanism for dispatching packets via a telecommunications network |
CN102148674A (zh) * | 2011-01-12 | 2011-08-10 | 华为数字技术有限公司 | 一种抑制重传的方法及装置 |
CN102685116A (zh) * | 2012-04-25 | 2012-09-19 | 中兴通讯股份有限公司 | 一种记账中间报文的处理方法及装置 |
CN103095563A (zh) * | 2011-11-01 | 2013-05-08 | 中兴通讯股份有限公司 | 一种报文处理方法及系统 |
CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
CN105743695A (zh) * | 2016-01-25 | 2016-07-06 | 云南电网有限责任公司电力科学研究院 | 一种基于iec104 规约的监听方法及系统 |
JP2016219951A (ja) * | 2015-05-18 | 2016-12-22 | 株式会社日立製作所 | 構成方法、サーバ、及び、端末 |
CN106302485A (zh) * | 2016-08-19 | 2017-01-04 | 长园深瑞继保自动化有限公司 | Opc标准与电力远动协议的双向转换系统 |
CN107069968A (zh) * | 2017-05-05 | 2017-08-18 | 国家电网公司 | 一种远程修改定值的方法、主站、稳控装置及系统 |
CN108833203A (zh) * | 2018-05-23 | 2018-11-16 | 新华三信息安全技术有限公司 | 一种报文统计方法及装置 |
CN109561111A (zh) * | 2019-01-24 | 2019-04-02 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
CN111817927A (zh) * | 2020-09-11 | 2020-10-23 | 南京嘉环科技股份有限公司 | 用于检测端到端数据传输质量的方法与系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030065919A1 (en) * | 2001-04-18 | 2003-04-03 | Albert Roy David | Method and system for identifying a replay attack by an access device to a computer system |
-
2021
- 2021-10-11 CN CN202111182545.5A patent/CN113992363B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6473425B1 (en) * | 1997-10-02 | 2002-10-29 | Sun Microsystems, Inc. | Mechanism for dispatching packets via a telecommunications network |
CN102148674A (zh) * | 2011-01-12 | 2011-08-10 | 华为数字技术有限公司 | 一种抑制重传的方法及装置 |
CN103095563A (zh) * | 2011-11-01 | 2013-05-08 | 中兴通讯股份有限公司 | 一种报文处理方法及系统 |
CN102685116A (zh) * | 2012-04-25 | 2012-09-19 | 中兴通讯股份有限公司 | 一种记账中间报文的处理方法及装置 |
JP2016219951A (ja) * | 2015-05-18 | 2016-12-22 | 株式会社日立製作所 | 構成方法、サーバ、及び、端末 |
CN105743695A (zh) * | 2016-01-25 | 2016-07-06 | 云南电网有限责任公司电力科学研究院 | 一种基于iec104 规约的监听方法及系统 |
CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
CN106302485A (zh) * | 2016-08-19 | 2017-01-04 | 长园深瑞继保自动化有限公司 | Opc标准与电力远动协议的双向转换系统 |
CN107069968A (zh) * | 2017-05-05 | 2017-08-18 | 国家电网公司 | 一种远程修改定值的方法、主站、稳控装置及系统 |
CN108833203A (zh) * | 2018-05-23 | 2018-11-16 | 新华三信息安全技术有限公司 | 一种报文统计方法及装置 |
CN109561111A (zh) * | 2019-01-24 | 2019-04-02 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
CN111817927A (zh) * | 2020-09-11 | 2020-10-23 | 南京嘉环科技股份有限公司 | 用于检测端到端数据传输质量的方法与系统 |
Non-Patent Citations (1)
Title |
---|
基于网络监听的IEC60870-5-104通信规约测试方法研究;汪正江;《上海交通大学硕士毕业论文》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113992363A (zh) | 2022-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3688830B2 (ja) | パケット転送方法及びパケット処理装置 | |
WO2019184736A1 (zh) | 接入认证方法、装置及服务器 | |
CN110192381B (zh) | 密钥的传输方法及设备 | |
CN105553951A (zh) | 数据传输方法和装置 | |
CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
CN110958142A (zh) | 设备维护方法、维护设备、存储介质及计算机程序产品 | |
CN110336788B (zh) | 一种物联网设备与移动终端的数据安全交互方法 | |
CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
KR100563611B1 (ko) | 안전한 패킷 무선통신망 | |
CN104243452B (zh) | 一种云计算访问控制方法及系统 | |
CN111614621A (zh) | 物联网通信方法和系统 | |
KR101281099B1 (ko) | 스마트폰 분실 및 도난의 피해 방지를 위한 인증방법 | |
CN108259460A (zh) | 设备控制方法和装置 | |
US11716367B2 (en) | Apparatus for monitoring multicast group | |
CN110086806B (zh) | 一种厂站设备系统漏洞的扫描系统 | |
CN110166410B (zh) | 一种安全传输数据的方法、终端及多模通信终端 | |
KR101979157B1 (ko) | 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템 | |
CN113992363B (zh) | 一种基于iec104规约通信的方法、装置 | |
CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
CN108400967B (zh) | 一种鉴权方法及鉴权系统 | |
JP3749679B2 (ja) | 無線マルチホップネットワークの不正パケット防止方法及び防止装置 | |
CN111836260A (zh) | 一种认证信息处理方法、终端和网络设备 | |
CN106034130A (zh) | 数据访问方法及装置 | |
CN114466353A (zh) | App用户ID信息保护的装置、方法、电子设备及存储介质 | |
JP2007074761A (ja) | データ暗号化方法、データ復号化方法、不正アクセス防止機能を有するlan制御装置、及び情報処理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |