CN113992437A - 一种Modbus设备的访问控制管理方法、装置及系统 - Google Patents
一种Modbus设备的访问控制管理方法、装置及系统 Download PDFInfo
- Publication number
- CN113992437A CN113992437A CN202111607654.7A CN202111607654A CN113992437A CN 113992437 A CN113992437 A CN 113992437A CN 202111607654 A CN202111607654 A CN 202111607654A CN 113992437 A CN113992437 A CN 113992437A
- Authority
- CN
- China
- Prior art keywords
- access
- modbus
- user
- equipment
- control management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40228—Modbus
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种Modbus设备的访问控制管理方法、装置及系统。该访问控制管理装置包括请求接收单元、查询判定单元以及转换访问单元。该访问控制管理系统包括访问控制模块、数据存储模块以及若干个Modbus设备。通过在接收到用户输入的第一访问请求时,根据预设的设备访问权限数据库进行权限验证,并仅在判断该用户具有第一访问请求对应权限时允许其对第一访问请求对应的Modbus设备进行相应的访问操作,该访问控制管理方法、装置及系统提升了Modbus设备的安全性。
Description
技术领域
本发明涉及Modbus设备的访问控制管理领域,具体涉及一种Modbus设备的访问控制管理方法、装置及系统。
背景技术
随着计算机技术、网络技术的蓬勃发展,工业控制体系也发生了变革,开始往网络化、开放性方向发展。现场总线技术作为工业数据通信网络的基础,建立了设备与设备之间的桥梁。Modbus作为工业电子设备的常用连接方式,其简单可靠的机制是它长久以来焕发着生命力的原因。被广泛应用在许多工业设备,如智能仪表、PLC、DCS等。同时,也因为其简单的机制,在Modbus协议的数据结构上无法实现用户的权限校验功能,存在恶意发送请求攻击Modbus设备的潜在问题,影响工业流水线的自动化生产。在工业环境中,上位机设备通过Modbus协议对下位机设备发起通信,这个过程中是不受任何的限制,只要通过Modbus的客户端,则可对Modbus下位机发起通信。
在现有技术中,通过设置防火墙,将工业网络与互联网进行隔离,形成工业生产的局域网,只有在局域网内才能访问同网络下的Modbus设备。
但是,现有技术仍然存在下述缺陷:入侵者攻破防火墙进入内网可以无任何限制的控制内网设备,特别在多台Modbus设备串行连接同一总线的情况下,容易遭到非法用户发送广播,实现Dos攻击,导致总线上的设备拒绝服务,无法有效进行远程操控,造成极大的安全隐患。
因此,当前需要一种Modbus设备的访问控制管理方法、装置及系统,从而克服现有技术存在的上述缺陷。
发明内容
针对现存的上述技术问题,本发明的目的在于提供一种Modbus设备的访问控制管理方法、装置及系统,从而提升Modbus设备的安全性。
本发明提供了一种Modbus设备的访问控制管理方法,所述访问控制管理包括:接收并解析用户输入的第一访问请求以获得访问信息;所述访问信息包括所述用户的身份信息、所述用户请求访问的Modbus设备以及设备点位;根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法;当判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问;所述第二访问请求对应于所述第一访问请求。
在一个实施例中,在接收并解析用户输入的第一访问请求以获得访问信息之前,所述访问控制管理方法还包括:从预设的用户数据库中,获取所述用户数据库中存储的所有用户的身份信息,并从预设的设备数据库中,获取所述设备数据库中存储的所有Modbus设备;根据预设的资源路径生成方法,针对各个Modbus设备的测点分别生成不同的访问路径,并根据预设的用户角色配置方法,将各个用户的身份信息挂载到对应的访问路径下;将挂载有对应的用户的访问路径作为设备访问权限数据库进行存储。
在一个实施例中,根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定所述访问操作是否合法,具体包括:根据所述Modbus设备以及所述设备点位生成对应的访问路径,在预设的设备访问权限数据库中,查询所述访问路径对应的权限配置限定信息;根据所述权限配置限定信息以及所述身份信息,判断所述访问是否合法。
在一个实施例中,在接收并解析用户输入的第一访问请求以获得访问信息之后,所述访问控制管理方法还包括:根据预设的数据校验方法,校验所述第一访问请求是否合规,并在所述第一访问请求不合规时,向所述用户发送不合规提示信息。
在一个实施例中,在根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定所述访问操作是否合法之后,所述访问控制管理方法还包括:当判断认为所述访问不合法时,向所述用户发送无权访问提示信息。
本发明还提供了一种Modbus设备的访问控制管理装置,所述访问控制管理装置包括请求接收单元、查询判定单元以及转换访问单元,其中,所述请求接收单元用于接收并解析用户输入的第一访问请求以获得访问信息;所述访问信息包括所述用户的身份信息、所述用户请求访问的Modbus设备、设备点位以及访问操作;所述查询判定单元用于根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法;所述转换访问单元用于当判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问;所述第二访问请求对应于所述第一访问请求。
在一个实施例中,所述访问控制管理还包括合规校验单元,所述合规校验单元用于根据预设的数据校验方法,校验所述第一访问请求是否合规,并在所述第一访问请求不合规时,向所述用户发送不合规提示信息。
在一个实施例中,所述访问控制管理装置还包括警报提示单元,所述警报提示单元用于当判断认为所述访问不合法时,向所述用户发送无权访问提示信息。
本发明还提供了一种Modbus设备的访问控制管理系统,所述访问控制管理系统包括访问控制模块、数据存储模块以及若干个Modbus设备,所述访问控制模块与所述数据存储模块通信连接,所述访问控制模块分别与若干个Modbus设备通信连接,其中,所述数据存储模块用于存储所有数据;所述访问控制模块用于根据所述数据存储模块中存储的数据,执行如前所述的方法,从而实现对若干个Modbus设备的访问控制。
在一个实施例中,所述访问控制管理系统还包括用户交互模块,所述用户交互模块包括触摸/不可触摸显示屏、输入键盘、虚拟键盘、指示灯、麦克风或扬声器。
相比于现有技术,本发明实施例具有如下有益效果:
本发明提供了一种Modbus设备的访问控制管理方法、装置及系统,通过在接收到用户输入的第一访问请求时,根据预设的设备访问权限数据库进行权限验证,并仅在判断该用户具有第一访问请求对应权限时允许其对第一访问请求对应的Modbus设备进行相应的访问操作,从而提升了Modbus设备的安全性。
进一步地,本发明提供的一种Modbus设备的访问控制管理方法、装置及系统还通过针对各个Modbus设备的测点分别生成不同的访问路径,并根据预设的用户角色配置方法,将各个用户的身份信息挂载到对应的访问路径下,从而进一步细化权限管理粒度,从而进一步提升了Modbus设备的安全性。
附图说明
下文将结合说明书附图对本发明进行进一步的描述说明,其中:
图1示出了根据本发明的一种Modbus设备的访问控制管理方法的一个实施例的流程图;
图2示出了根据本发明的一种Modbus设备的访问控制管理方法的另一实施例的流程图;
图3示出了根据本发明的一种Modbus设备的访问控制管理装置的另一实施例的结构图;
图4示出了根据本发明的一种Modbus设备的访问控制管理系统的另一实施例的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实施例一
本发明实施例首先描述了一种Modbus设备的访问控制管理方法。图1示出了根据本发明的一种Modbus设备的访问控制管理方法的一个实施例的流程图。如图1所示,该方法包括如下步骤:
S1:接收并解析用户输入的第一访问请求以获得访问信息。
在实际应用中,往往会通过在外部设置防火墙来隔离外部的非法访问。但是,对于防火墙内的局域网内部的访问者,则无法对Modbus设备进行访问控制管理,存在内部用户越权访问的风险。对此,本发明实施例提出一种将访问者以及Modbus设备进行隔离的方法,在用户(访问者)期望访问某个或某些Modbus设备,并对其进行操作时,首先对该用户的第一访问请求进行分析,在分析确定该用户具备第一访问请求对应的权限时,才允许用户访问对应的Modbus设备并执行对应操作。
为了实现上述过程,本发明实施例首先接收用户输入的第一访问请求,随后,对该第一访问请求进行解析,从而分析判断该用户的身份信息、该用户期望访问的Modbus设备、该用户期望访问的Modbus设备的设备点位以及该用户期望对该Modbus设备进行的第一操作,是否与该用户的权限相匹配。
在一个实施例中,访问信息包括所述用户的身份信息、所述用户请求访问的Modbus设备、设备点位以及访问操作。
S2:根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法。
为了能够判断用户的第一访问请求是否与该用户的权限相匹配,本发明实施例首先根据该第一访问请求中的所述Modbus设备、所述设备点位,确定用户期望访问的哪个或哪些Modbus设备的哪个设备点位;随后,根据确定结果生成相应的访问路径,其中,为了实现快速便利的查询判定,本发明实施例预设有一个设备访问权限数据库,该设备访问权限数据库中存储了访问各个设备的各个设备点位对应的访问路径,以及可以通过该访问路径对应访问的权限配置限定信息;在获得访问路径后,即可根据该访问路径,在前述预设的设备访问权限数据库中查询获得对应权限配置限定信息,从而确定哪些用户具有对应的访问权限;最后,将具有对应访问权限的用户的身份信息与第一访问请求对应的身份信息进行对比,从而判定输入第一访问请求的用户是否具有相应权限,进而判定本次接收到的第一访问请求是否合法。
具体地,在一个实施例中,本步骤包括:根据所述Modbus设备以及所述设备点位生成对应的访问路径,在预设的设备访问权限数据库中,查询所述访问路径对应的权限配置限定信息;根据所述权限配置限定信息以及所述身份信息,判断所述访问是否合法。
S3:当判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问。
在一个实施例中,第二访问请求对应于所述第一访问请求。
当判断认为本次访问合法时,即可进行相应访问,但是由于第一访问请求不是直接面向Modbus设备的指令,因此,在确认可以进行相应访问后,还需要将第一访问请求转换为Modbus协议数据格式(将第一访问请求转换为第二访问请求),再将第二访问请求发送给对应的Modbus设备以进行访问。
本发明实施例描述了一种Modbus设备的访问控制管理方法,通过在接收到用户输入的第一访问请求时,根据预设的设备访问权限数据库进行权限验证,并仅在判断该用户具有第一访问请求对应权限时允许其对第一访问请求对应的Modbus设备进行相应的访问操作,从而提升了Modbus设备的安全性。
具体实施例二
更进一步地,本发明实施例还描述了一种Modbus设备的访问控制管理方法。图2示出了根据本发明的一种Modbus设备的访问控制管理方法的另一实施例的流程图。如图2所示,该方法包括如下步骤:
A1: 从预设的用户数据库中,获取所述用户数据库中存储的所有用户的身份信息,并从预设的设备数据库中,获取所述设备数据库中存储的所有Modbus设备。
为了后续能够实现快速便捷地查询判定,本发明实施例需要设置一个设备访问权限数据库以供后续步骤中权限的参考判定。
对此,首先需要获取当前局域网中所有用户的身份信息以及所有Modbus设备的设备信息,从而确定当前可调用的所有Modbus设备资源以及被允许使用这些中的一个、多个或全部的用户。
在一个实施例中,设备信息包括设备名称以及设备点位。
A2:根据预设的资源路径生成方法,针对各个Modbus设备的测点分别生成不同的访问路径,并根据预设的用户角色配置方法,将各个用户的身份信息挂载到对应的访问路径下。
在确定了当前可调用的所有Modbus设备资源以及被允许使用这些中的一个、多个或全部的用户之后,即可根据预设的用户角色配置方法,设定各个用户的用户角色以对不同的用户进行不同粒度的权限管制。其中,为了能够实现不同粒度的权限管制,需要对根据Modbus设备以及各个设备的设备点位,生成各个设备的各个设备点位对应的访问路径;在此基础上,再根据预设的用户角色配置方法,分配各个访问路径的访问权限,并将具有相应访问权限的用户的身份信息挂载到对应的访问路径下。
在上述过程中,将会生成两类访问路径,分别是权限配置资源路径和点位操作资源路径(对于一个modbus设备的点位而言,modbus协议并没有提供相应的访问控制功能),因此,需要为每个设备及其点位生成了对应的权限配置路径,用来配置访问用户的读写权限。
其中,预设的用户角色配置方法可从用户、用户组以及角色三个层面进行配置;其中,当从用户的层面进行配置时,即从用户的维度为每个用户配置设备访问路径的访问权限;当从用户组的层面进行配置时,即从用户组的维度进行访问权限的配置,被分配到该用户组下的用户会拥有该用户组所有的访问路径访问权限;当从角色的层面进行配置时,即从角色的维度进行访问权限的配置,被分配到该角色的用户将该角色下的设备访问路径访问权限。
A3:将挂载有对应的用户的访问路径作为设备访问权限数据库进行存储。
A4:接收并解析用户输入的第一访问请求以获得访问信息。
在实际应用中,往往会通过在外部设置防火墙来隔离外部的非法访问。但是,对于防火墙内的局域网内部的访问者,则无法对Modbus设备进行访问控制管理,存在内部用户越权访问的风险。对此,本发明实施例提出一种将访问者以及Modbus设备进行隔离的方法,在用户(访问者)期望访问某个或某些Modbus设备,并对其进行操作时,首先对该用户的第一访问请求进行分析,在分析确定该用户具备第一访问请求对应的权限时,才允许用户访问对应的Modbus设备并执行对应操作。
为了实现上述过程,本发明实施例首先接收用户输入的第一访问请求,随后,对该第一访问请求进行解析,从而分析判断该用户的身份信息、该用户期望访问的Modbus设备、该用户期望访问的Modbus设备的设备点位以及该用户期望对该Modbus设备进行的第一操作,是否与该用户的权限相匹配。
在一个实施例中,访问信息包括所述用户的身份信息、所述用户请求访问的Modbus设备、设备点位以及访问操作。
A5:根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法。
为了能够判断用户的第一访问请求是否与该用户的权限相匹配,本发明实施例首先根据该第一访问请求中的所述Modbus设备、所述设备点位,确定用户期望访问的哪个或哪些Modbus设备的哪个设备点位;随后,根据确定结果生成相应的访问路径,其中,为了实现快速便利的查询判定,本发明实施例预设有一个设备访问权限数据库,该设备访问权限数据库中存储了访问各个设备的各个设备点位对应的访问路径,以及可以通过该访问路径对应访问的权限配置限定信息;在获得访问路径后,即可根据该访问路径,在前述预设的设备访问权限数据库中查询获得对应权限配置限定信息,从而确定哪些用户具有对应的访问权限;最后,将具有对应访问权限的用户的身份信息与第一访问请求对应的身份信息进行对比,从而判定输入第一访问请求的用户是否具有相应权限,进而判定本次接收到的第一访问请求是否合法。
具体地,在一个实施例中,本步骤包括:根据所述Modbus设备以及所述设备点位生成对应的访问路径,在预设的设备访问权限数据库中,查询所述访问路径对应的权限配置限定信息;根据所述权限配置限定信息以及所述身份信息,判断所述访问是否合法。
A61:当判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问。
在一个实施例中,第二访问请求对应于所述第一访问请求。
当判断认为本次访问合法时,即可进行相应访问,但是由于第一访问请求不是直接面向Modbus设备的指令,因此,在确认可以进行相应访问后,还需要将第一访问请求转换为Modbus协议数据格式(将第一访问请求转换为第二访问请求),再将第二访问请求发送给对应的Modbus设备以进行访问。
A62:当判断认为所述访问不合法时,向所述用户发送无权访问提示信息。
当判断认为访问不合法时,有可能是局域网内的用户产生了越权访问(这也是本发明旨在解决的安全隐患),因此,此时会拒绝该用户的访问,并向用户发送无权访问提示信息。
在一个实施例中,为了进一步提升安全性,当判断认为所述访问不合法时,还会向管理用户发送越权访问提示信息。
在一个实施例中,由于要保证数据的基本安全,在接收并解析用户输入的第一访问请求以获得访问信息之后,所述访问控制管理方法还包括:根据预设的数据校验方法,校验所述第一访问请求是否合规,并在所述第一访问请求不合规时,向所述用户发送不合规提示信息。其中,合规与否的判定取决于该第一访问请求的数据格式是否符合预先定义的接口规范。
本发明实施例描述了一种Modbus设备的访问控制管理方法,通过在接收到用户输入的第一访问请求时,根据预设的设备访问权限数据库进行权限验证,并仅在判断该用户具有第一访问请求对应权限时允许其对第一访问请求对应的Modbus设备进行相应的访问操作,从而提升了Modbus设备的安全性;进一步地,本发明实施例描述的一种Modbus设备的访问控制管理方法还通过针对各个Modbus设备的测点分别生成不同的访问路径,并根据预设的用户角色配置方法,将各个用户的身份信息挂载到对应的访问路径下,从而进一步细化权限管理粒度,进一步提升了Modbus设备的安全性。
具体实施例三
除上述方法外,本发明实施例还描述了一种Modbus设备的访问控制管理装置。图3示出了根据本发明的一种Modbus设备的访问控制管理装置的另一实施例的结构图。
如图所示,该访问控制管理装置包括请求接收单元11、查询判定单元12以及转换访问单元13。
请求接收单元11用于接收并解析用户输入的第一访问请求以获得访问信息。所述访问信息包括所述用户的身份信息、所述用户请求访问的Modbus设备、设备点位以及访问操作。
查询判定单元12用于根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法。
转换访问单元13用于当判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问。所述第二访问请求对应于所述第一访问请求。
当需要进行Modbus设备的访问控制管理时,首先通过请求接收单元11接收并解析用户输入的第一访问请求以获得访问信息;随后,通过查询判定单元12根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法;最后,通过转换访问单元13,在判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问。
在一个实施例中,访问控制管理还包括合规校验单元,所述合规校验单元用于根据预设的数据校验方法,校验所述第一访问请求是否合规,并在所述第一访问请求不合规时,向所述用户发送不合规提示信息。
在一个实施例中,访问控制管理装置还包括警报提示单元,所述警报提示单元用于当判断认为所述访问不合法时,向所述用户发送无权访问提示信息。
本发明实施例描述了一种Modbus设备的访问控制管理装置,通过在接收到用户输入的第一访问请求时,根据预设的设备访问权限数据库进行权限验证,并仅在判断该用户具有第一访问请求对应权限时允许其对第一访问请求对应的Modbus设备进行相应的访问操作,从而提升了Modbus设备的安全性;进一步地,本发明实施例描述的一种Modbus设备的访问控制管理装置还通过针对各个Modbus设备的测点分别生成不同的访问路径,并根据预设的用户角色配置方法,将各个用户的身份信息挂载到对应的访问路径下,从而进一步细化权限管理粒度,进一步提升了Modbus设备的安全性。
具体实施例四
除上述方法和装置外,本发明还描述了一种Modbus设备的访问控制管理系统。图4示出了根据本发明的一种Modbus设备的访问控制管理系统的另一实施例的结构图。
如图4所示,该访问控制管理系统包括访问控制模块1、数据存储模块2以及若干个Modbus设备3,该访问控制模块1与该数据存储模块2通信连接,该访问控制模块1分别与若干个Modbus设备3通信连接。在一个实施例中,该访问控制模块1分别与若干个Modbus设备3有线连接或无线连接。
其中,数据存储模块2用于存储所有数据,访问控制模块1用于根据所述数据存储模块2中存储的数据,执行如前所述的方法,从而实现对若干个Modbus设备3的访问控制。
在一个实施例中,所述访问控制管理系统还包括用户交互模块,所述用户交互模块包括触摸/不可触摸显示屏、输入键盘、虚拟键盘、指示灯、麦克风、扬声器以及前述一种或多种的组合。
本发明实施例描述了一种Modbus设备的访问控制管理系统,通过在接收到用户输入的第一访问请求时,根据预设的设备访问权限数据库进行权限验证,并仅在判断该用户具有第一访问请求对应权限时允许其对第一访问请求对应的Modbus设备进行相应的访问操作,从而提升了Modbus设备的安全性;进一步地,本发明实施例描述的一种Modbus设备的访问控制管理系统还通过针对各个Modbus设备的测点分别生成不同的访问路径,并根据预设的用户角色配置方法,将各个用户的身份信息挂载到对应的访问路径下,从而进一步细化权限管理粒度,进一步提升了Modbus设备的安全性。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种Modbus设备的访问控制管理方法,其特征在于,所述访问控制管理包括:
接收并解析用户输入的第一访问请求以获得访问信息;所述访问信息包括所述用户的身份信息、所述用户请求访问的Modbus设备以及设备点位;
根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法;
当判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问;所述第二访问请求对应于所述第一访问请求。
2.根据权利要求1所述的Modbus设备的访问控制管理方法,其特征在于,在接收并解析用户输入的第一访问请求以获得访问信息之前,所述访问控制管理方法还包括:
从预设的用户数据库中,获取所述用户数据库中存储的所有用户的身份信息,并从预设的设备数据库中,获取所述设备数据库中存储的所有Modbus设备;
根据预设的资源路径生成方法,针对各个Modbus设备的测点分别生成不同的访问路径,并根据预设的用户角色配置方法,将各个用户的身份信息挂载到对应的访问路径下;
将挂载有对应的用户的访问路径作为设备访问权限数据库进行存储。
3.根据权利要求2所述的Modbus设备的访问控制管理方法,其特征在于,根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法,具体包括:
根据所述Modbus设备以及所述设备点位生成对应的访问路径,在预设的设备访问权限数据库中,查询所述访问路径对应的权限配置限定信息;
根据所述权限配置限定信息以及所述身份信息,判断所述访问是否合法。
4.根据权利要求3所述的Modbus设备的访问控制管理方法,其特征在于,在接收并解析用户输入的第一访问请求以获得访问信息之后,所述访问控制管理方法还包括:
根据预设的数据校验方法,校验所述第一访问请求是否合规,并在所述第一访问请求不合规时,向所述用户发送不合规提示信息。
5.根据权利要求4所述的Modbus设备的访问控制管理方法,其特征在于,在根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法之后,所述访问控制管理方法还包括:
当判断认为所述访问不合法时,向所述用户发送无权访问提示信息。
6.一种Modbus设备的访问控制管理装置,其特征在于,所述访问控制管理装置包括请求接收单元、查询判定单元以及转换访问单元,其中,
所述请求接收单元用于接收并解析用户输入的第一访问请求以获得访问信息;所述访问信息包括所述用户的身份信息、所述用户请求访问的Modbus设备、设备点位以及访问操作;
所述查询判定单元用于根据所述身份信息、所述Modbus设备、所述设备点位、预设的设备访问权限数据库以及预设的查询预判定方法,查询判定访问是否合法;
所述转换访问单元用于当判断认为所述访问合法时,向所述Modbus设备发送第二访问请求以进行访问;所述第二访问请求对应于所述第一访问请求。
7.根据权利要求6所述的Modbus设备的访问控制管理装置,其特征在于,所述访问控制管理还包括合规校验单元,所述合规校验单元用于根据预设的数据校验方法,校验所述第一访问请求是否合规,并在所述第一访问请求不合规时,向所述用户发送不合规提示信息。
8.根据权利要求7所述的Modbus设备的访问控制管理装置,其特征在于,所述访问控制管理装置还包括警报提示单元,所述警报提示单元用于当判断认为所述访问不合法时,向所述用户发送无权访问提示信息。
9.一种Modbus设备的访问控制管理系统,其特征在于,所述访问控制管理系统包括访问控制模块、数据存储模块以及若干个Modbus设备,所述访问控制模块与所述数据存储模块通信连接,所述访问控制模块分别与若干个Modbus设备通信连接,其中,所述数据存储模块用于存储所有数据;所述访问控制模块用于根据所述数据存储模块中存储的数据,执行如权利要求1-5任一项所述的方法,从而实现对若干个Modbus设备的访问控制。
10.根据权利要求9所述的Modbus设备的访问控制管理系统,其特征在于,所述访问控制管理系统还包括用户交互模块,所述用户交互模块包括触摸/不可触摸显示屏、输入键盘、虚拟键盘、指示灯、麦克风或扬声器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111607654.7A CN113992437B (zh) | 2021-12-27 | 2021-12-27 | 一种Modbus设备的访问控制管理方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111607654.7A CN113992437B (zh) | 2021-12-27 | 2021-12-27 | 一种Modbus设备的访问控制管理方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113992437A true CN113992437A (zh) | 2022-01-28 |
CN113992437B CN113992437B (zh) | 2022-04-19 |
Family
ID=79734352
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111607654.7A Active CN113992437B (zh) | 2021-12-27 | 2021-12-27 | 一种Modbus设备的访问控制管理方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113992437B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115225401A (zh) * | 2022-07-25 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
CN107040459A (zh) * | 2017-03-27 | 2017-08-11 | 高岩 | 一种智能工业安全云网关设备系统和方法 |
CN109067618A (zh) * | 2018-09-06 | 2018-12-21 | 北京奥技异科技发展有限公司 | 分布式实时数据iot采集系统及方法 |
CN109561091A (zh) * | 2018-11-30 | 2019-04-02 | 冶金自动化研究设计院 | 一种用于人防工程的网络安全防护系统 |
CN111669354A (zh) * | 2019-03-08 | 2020-09-15 | 天津大学 | 基于机器学习的威胁情报工业防火墙 |
CN112866210A (zh) * | 2020-12-31 | 2021-05-28 | 北京珞安科技有限责任公司 | 一种工控设备访问控制方法、装置及电子设备 |
CN112995508A (zh) * | 2021-02-24 | 2021-06-18 | 杭州铭光精密机械科技有限公司 | 智能相机 |
-
2021
- 2021-12-27 CN CN202111607654.7A patent/CN113992437B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
CN107040459A (zh) * | 2017-03-27 | 2017-08-11 | 高岩 | 一种智能工业安全云网关设备系统和方法 |
CN109067618A (zh) * | 2018-09-06 | 2018-12-21 | 北京奥技异科技发展有限公司 | 分布式实时数据iot采集系统及方法 |
CN109561091A (zh) * | 2018-11-30 | 2019-04-02 | 冶金自动化研究设计院 | 一种用于人防工程的网络安全防护系统 |
CN111669354A (zh) * | 2019-03-08 | 2020-09-15 | 天津大学 | 基于机器学习的威胁情报工业防火墙 |
CN112866210A (zh) * | 2020-12-31 | 2021-05-28 | 北京珞安科技有限责任公司 | 一种工控设备访问控制方法、装置及电子设备 |
CN112995508A (zh) * | 2021-02-24 | 2021-06-18 | 杭州铭光精密机械科技有限公司 | 智能相机 |
Non-Patent Citations (1)
Title |
---|
刘明星等: "核电厂安全级DCS网关网络信息安全设计研究", 《核动力工程》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115225401A (zh) * | 2022-07-25 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113992437B (zh) | 2022-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935169B (zh) | 一种业务数据访问方法、装置、设备及存储介质 | |
CN110213215B (zh) | 一种资源访问方法、装置、终端和存储介质 | |
CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
CN109040119B (zh) | 一种智能楼宇网络的漏洞检测方法和装置 | |
KR20150051652A (ko) | 보안 로그인 시스템, 방법 및 장치 | |
CN109660563A (zh) | 一种应用访问控制方法、系统和介质 | |
CN107040518A (zh) | 一种私有云服务器登录方法及系统 | |
CN114124476B (zh) | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 | |
CN112738100A (zh) | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 | |
CN112615858B (zh) | 物联网设备监控方法、装置与系统 | |
CN113992437B (zh) | 一种Modbus设备的访问控制管理方法、装置及系统 | |
WO2010017737A1 (zh) | 报表归一化处理方法、装置和系统 | |
Mahmood et al. | Systematic threat assessment and security testing of automotive over-the-air (OTA) updates | |
CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
CN114372254B (zh) | 大数据环境下的多认证授权方法 | |
CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
CN117768236A (zh) | 一种基于api网关的安全管控和数据脱敏平台及方法 | |
CN113067802A (zh) | 一种用户标识方法、装置、设备及计算机可读存储介质 | |
CN101867579A (zh) | 一种用户网络访问权限切换方法及其装置 | |
CN114866247B (zh) | 一种通信方法、装置、系统、终端及服务器 | |
CN110177096A (zh) | 客户端认证方法、装置、介质和计算设备 | |
CN110430213A (zh) | 业务请求处理方法、装置及系统 | |
CN116170199A (zh) | 一种基于物联网网关的设备接入验证系统 | |
CN114006735B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
CN113364725B (zh) | 一种非法探测事件检测方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 510000 room 4f003, 4 / F, No. 5, Taozhuang Road, Tianhe District, Guangzhou City, Guangdong Province Patentee after: Guangzhou Deyi Information Technology Co.,Ltd. Address before: 510000 room 4f003, 4 / F, No. 5, Taozhuang Road, Tianhe District, Guangzhou City, Guangdong Province Patentee before: Guangzhou Deyi Wulian Technology Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder |