CN115150205A - 一种非入侵式指令安全防护方法、装置、介质及设备 - Google Patents
一种非入侵式指令安全防护方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN115150205A CN115150205A CN202211079568.8A CN202211079568A CN115150205A CN 115150205 A CN115150205 A CN 115150205A CN 202211079568 A CN202211079568 A CN 202211079568A CN 115150205 A CN115150205 A CN 115150205A
- Authority
- CN
- China
- Prior art keywords
- data message
- instruction data
- control instruction
- application layer
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种非入侵式指令安全防护方法、装置、介质及设备,应用于集控服务器和场站接口机;所述集控服务器包括:应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由;所述场站接口机包括:应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由。优点:通过内核代理与应用代理的协同作用,内核代理修改数据包的特征信息,内核代理强制将数据包导流至应用层代理进行指令的商密算法保护,从而在业务系统不进行任何修改的情况下实现控制指令的安全保护;使业务系统不需要进行额外的改造即可实现指令内生安全防护;不影响原有业务系统程序正常运行;降低业务系统商用密码改造的难度。
Description
技术领域
本发明涉及一种非入侵式指令安全防护方法、装置、介质及设备,属于信息安全技术领域。
背景技术
随着新能源发电企业加大新能源场站的投资力度及建设规模。广阔的地域使新能源场站在运行维护管理上,极其不便,面临着种种的困难。新能源发电企业通过不断的筹建电场群远程集中监控中心,在满足电力系统稳定等安全约束条件下,实现了电场及升压站“无人值班、少人值守”的压力,实现了远程集中监视控制、科学调度和管理、远程维护,实现全网络化信息交换,以适应各新能源场站减员增效的发展需要,保障了利益的最大化。
电场群远程集中监控中心(简称“集控中心”)与风场之间是星状网络结构,集控中心与各风电场之间使用运营商专线进行网络通信。根据GB/T 36572-2018《电力监控系统网络安全防护导则》要求,集控中心与风场之间的边界网络使用电力系统专用纵向加密认证装置(简称“纵向加密装置”)解决网络边界安全及数据的网络层安全性传输,但在集控中心服务器与集控纵向加密装置之间、场站接口机与场站纵向加密装置之间为明文传输。集控中心到风电场之间的控制指令,发起方为集控服务器,接收方为场站接口机,通常采用TCP协议进行数据传输。
常规技术采用对服务器、接口机的业务系统进行改造的方法,业务系统源码层面通过调用第三方(如加密卡、软件密码模块或服务器密码机等)密码服务接口,在指令封装时进行加密、签名保护,进而发送到对端业务系统。
在安全封装原始控制指令的过程中存在以下问题:
1)改造技术要求高。业务系统的开发人员,往往只对业务处理流程、业务逻辑比较熟悉,而缺少密码方面的知识储备。有些业务系统的开发人员甚至没有听说过商用密码算法,更别提什么时候调用、如何调用第三方的商用密码算法的服务器接口。
2)改造难度大。很大一部分业务系统的程序调用第三方功能插件实现指令封装等核心功能的,但业务系统开发者无法获取到第三方功能插件的源码,也就无法在指令封装过程中嵌入密码算法实施指令保护工作。
3)改造周期长。业务系统商用密码技术改造要求高,加上业务系统改造难度大,导致了改造周期长的问题。
4)影响原程序的正常运行。现有改动破坏了原有程序的稳定运行,新增的密码接口调用存在不停的测试、调试、试运行的才能使程序状态稳定的情况。
综上所述,如何在业务系统不改造的情况下无感实现指令数据的加密、签名及安全封装是当前亟待解决的问题。
发明内容
本发明所要解决的技术问题是克服现有技术的缺陷,提供一种非入侵式指令安全防护方法、装置、介质及设备,能够对指令进行保护以提高指令传输的安全性。
为解决上述技术问题,本发明提供一种非入侵式指令安全防护方法,其特征在于,应用于集控服务器和场站接口机;所述集控服务器包括:应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由;所述场站接口机包括:应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由;
所述方法包括:
获取应用层客户端准备的原始控制指令数据报文,发送给第一内核层路由,并由第一内核层路由转发;
控制第一内层核代理截获原始控制指令数据报文,利用第一内核层代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改,构造新的控制指令数据报文,并提交应用层客户端代理处理;
通过应用层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用密码算法进行保护操作,得到安全指令数据报文;
通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务端代理,将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由;
通过第三内核层路由将安全指令数据报文转发至应用层服务端代理;
通过应用层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码算法进行解保护操作,得到解码控制指令数据报文;
通过应用层服务端代理将所述解码控制指令数据报文交由第二内核代理处理,将所述解码控制指令数据报文还原为原始控制指令数据报文;
通过第四内核层路由将并原始控制指令数据报文传输至应用层服务端处理。
进一步的,所述构造新的控制指令数据报文,包括:
步骤11,判断所述原始控制指令数据报文是否满足预设条件,所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤14;若满足预设条件,则执行步骤12;所述原始控制指令数据报文包括源地址、源端口、目的地址、目的端口和TCP载荷;
步骤12,判断所述原始控制指令数据报文对应的目的端口是否为应用层服务端的端口且目的IP地址不为127.0.0.1,若否,则执行步骤14,若是,则执行步骤13;
步骤13,新增254类型TCP选项字段,在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口,所述原始控制指令数据报文的源地址为集控服务器的IP地址,所述原始控制指令数据报文的源端口为应用层客户端的端口,所述原始控制指令数据报文的目的地址为场站接口机的IP地址,所述原始控制指令数据报文的目的端口为应用层服务端的端口;记录后,将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口;根据新增254类型TCP选项字段更改TCP首部长度,根据修改后的目的端口及TCP首部长度计算TCP首部校验和,根据修改后的目的地址计算IP头校验和,根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文;
步骤14,直接放行原始控制指令数据报文。
进一步的,在所述还原为原始控制指令数据报文之前,包括:
根据解码控制指令数据报文构造新的数据报文,包括:
将解码控制指令数据报文中的源地址、源端口、目的地址、目的端口分别修改为场站接口机的IP地址、应用层客户端的端口、127.0.0.1、应用层服务端的端口,得到新的数据报文。
进一步的,所述还原为原始控制指令数据报文,包括:
步骤21,判断所述新的数据报文是否满足预设条件,所述预设条件为所述新的数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤24;若满足预设条件,则执行步骤22;
步骤22,判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP为127.0.0.1,若否,则执行步骤24,若是则执行步骤23;
步骤23,记录254类型TCP选项字段中的源地址,并删除254类型TCP选项字段,修改TCP首部长度;修改源地址为集控服务器的IP地址;根据修改后的TCP首部长度计算TCP首部校验和,根据修改后的目的IP地址计算IP头校验和,得到还原后的原始控制指令数据报文;
步骤24,直接放行原始控制指令数据报文。
进一步的,所述保护操作为加密、签名或哈希中的一种或者多种的保护操作;
所述解保护操作为与所述保护操作相对应的解密、验签或哈希中的一种或者多种的解保护操作。
一种非入侵式指令安全防护装置,其特征在于,应用于集控服务器和场站接口机;所述集控服务器包括:应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由;所述场站接口机包括:应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由;
所述装置包括:
报文获取模块,用于获取应用层客户端准备的原始控制指令数据报文,发送给第一内核层路由,并由第一内核层路由转发;
报文修改模块,用于控制第一内层核代理截获原始控制指令数据报文,利用第一内层核代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改,构造新的控制指令数据报文,并提交应用层客户端代理处理;
保护模块,用于通过应用层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用密码算法进行保护操作,得到安全指令数据报文;
发送模块,用于通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务端代理,将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由;通过第三内核层路由将安全指令数据报文转发至应用层服务端代理;
解保护模块,用于通过应用层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码算法进行解保护操作,得到解码控制指令数据报文;
报文还原模块,用于通过应用层服务端代理将所述解码控制指令数据报文交由第二内核代理处理,将所述解码控制指令数据报文还原为原始控制指令数据报文;通过第四内核层路由将并原始控制指令数据报文传输至应用层服务端处理。
进一步的,所述报文修改模块,用于执行以下步骤:
步骤11,判断所述原始控制指令数据报文是否满足预设条件,所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤14;若满足预设条件,则执行步骤12;所述原始控制指令数据报文包括源地址、源端口、目的地址、目的端口和TCP载荷;
步骤12,判断所述原始控制指令数据报文对应的目的端口是否为应用层服务端的端口且目的IP地址不为127.0.0.1,若否,则执行步骤14,若是,则执行步骤13;
步骤13,新增254类型TCP选项字段,在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口,所述原始控制指令数据报文的源地址为集控服务器的IP地址,所述原始控制指令数据报文的源端口为应用层客户端的端口,所述原始控制指令数据报文的目的地址为场站接口机的IP地址,所述原始控制指令数据报文的目的端口为应用层服务端的端口;记录后,将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口;根据新增254类型TCP选项字段更改TCP首部长度,根据修改后的目的端口及TCP首部长度计算TCP首部校验和,根据修改后的目的地址计算IP头校验和,根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文;
步骤14,直接放行原始控制指令数据报文。
进一步的,在所述还原为原始控制指令数据报文之前,包括:
根据解码控制指令数据报文构造新的数据报文,包括:
将解码控制指令数据报文中的源地址、源端口、目的地址、目的端口分别修改为场站接口机的IP地址、应用层客户端的端口、127.0.0.1、应用层服务端的端口,得到新的数据报文。
进一步的,所述报文还原模块,用于执行以下步骤:
步骤21,判断所述新的数据报文是否满足预设条件,所述预设条件为所述新的数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤24;若满足预设条件,则执行步骤22;
步骤22,判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP为127.0.0.1,若否,则执行步骤24,若是则执行步骤23;
步骤23,记录254类型TCP选项字段中的源地址,并删除254类型TCP选项字段,修改TCP首部长度;修改源地址为集控服务器的IP地址;根据修改后的TCP首部长度计算TCP首部校验和,根据修改后的目的IP地址计算IP头校验和,得到还原后的原始控制指令数据报文;
步骤24,直接放行原始控制指令数据报文。
进一步的,所述保护操作为加密、签名或哈希中的一种或者多种的保护操作;
所述解保护操作为与所述保护操作相对应的解密、验签或哈希中的一种或者多种的解保护操作。
一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述的方法中的任一方法。
一种计算设备,其特征在于,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述的方法中的任一方法的指令。
本发明所达到的有益效果:
通过内核代理与应用代理的协同作用,内核代理修改数据包的特征信息,内核代理强制将数据包导流至应用层代理进行指令的商密算法保护,从而在业务系统不进行任何修改的情况下实现控制指令的安全保护;使业务系统不需要进行额外的改造即可实现指令内生安全防护。本发明应用过程中不影响原有业务系统程序正常运行,对业务系统而言整个密码应用过程是无感的。本发明可降低业务系统商用密码改造的难度,提高业务系统应用密码技术的速度和主动程度。
附图说明
图1是本发明的数据处理示意图;
图2是构造新的控制指令数据报文的示意图;
图3是还原为原始控制指令数据报文的示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,本发明提出一种非入侵式指令安全防护方法,应用于集控服务器和场站接口机;所述集控服务器包括:应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由;所述场站接口机包括:应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由,所述方法包括:
S1、应用层客户端准备原始控制指令数据报文;
S2、原始控制指令数据报文经第一内核层路由转发;
S3、第一内核层代理截获控制指令数据报文,修改报文得到新的控制指令数据报文,提交集控服务器的应用层客户代理(Clinet Agent)处理;
S4、应用层客户端代理调用第三方密码服务接口对控制指令使用商用密码算法进行加密、签名、哈希等保护,得到安全指令数据报文。从而使原始控制指令数据报文具有机密性、完整性、不可抵赖性的特征。
S5、应用层客户端代理将安全指令数据报文目的地设置为场站接口机的应用层服务端代理,并由第二内核层路由转发;
S6、场站接口机的网卡收到安全指令数据报文后,通过第三内核层路由转发;
S7、场站接口机的应用层服务端代理(Server Agent)接收安全指令数据包,调用第三方密码服务接口对安全指令使用商用密码算法进行验签、解密、哈希等解保护,得到解码控制指令数据报文;
S8、应用层服务端代理将解码控制指令数据报文交由第二内核层代理处理,还原为应用层客户端(Client)准备的原始控制指令数据报文,并交由场站接口机的应用层服务端(Server)处理,完成指令传输过程中的非入侵式指令安全防护。
记:IPc表示集控服务器的IP地址,PORTc表示应用层客户端的端口,PORTca表示应用层客户端代理的端口,IPs表示场站接口机的IP地址,PORTs表示应用层服务端的端口,PORTsa表示应用层服务端代理的端口。{XXX}表示TCP的选项字段,[XXX]表示TCP载荷,APDU表示MODBUS控制指令,SAPDU表示安全MODBUS控制指令,具体的数据包的处理过程如下:
步骤1,集控服务器与场站接口机之间的原始控制指令数据报文:
IPc:PORTc —> IPs:PORTs[APDU];
—> 表示数据包方向,该控制指令数据报文的—>左边是源地址和源端口,右边是目的地址、目的端口和TCP载荷,||表示连接关系。
步骤2,构造新的控制指令数据报文:
IPc:PORTc —> 127.0.0.1:PORTca{254||12||IPc||PORTc|| IPs||PORTs }[APDU];
步骤3,使用商用密码算法对控制指令进行保护:
APDU —> SAPDU;
步骤4,集控服务器与场站接口机的之间构造新的数据报文:
IPc:PORTca —> IPs:PORTsa{254||4||PORTc||PORTs }[SAPDU];
步骤5,使用商用密码算法对控制指令进行验证、解保护:
SAPDU —> APDU;
步骤6,构造新的数据报文:
IPs:PORTc —>127.0.0.1:PORTs{ 254||4||IPc } [APDU];
步骤7,还原集控服务器与场站接口机之间的原始控制指令数据报文:
IPc:PORTc —> IPs:PORTs[APDU]。
如图2所示,通过对TCP首部和IP首部进行改造,完成前述步骤2的功能,其具体处理过程如下:
步骤21,判断所述原始控制指令数据报文是否满足预设条件,所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤24;若满足预设条件,则执行步骤22;
步骤22,判断所述原始控制指令数据报文对应的目的端口是否为场站接口机的服务端的端口且目的IP不为127.0.0.1,若否,则执行步骤24,若是则执行步骤23;
步骤23,新增254类型TCP选项字段,在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口,所述原始控制指令数据报文的源地址为集控服务器的IP地址,所述原始控制指令数据报文的源端口为应用层客户端的端口,所述原始控制指令数据报文的目的地址为场站接口机的IP地址,所述原始控制指令数据报文的目的端口为应用层服务端的端口;记录后,将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口;根据新增254类型TCP选项字段更改TCP首部长度,根据修改后的目的端口及TCP首部长度计算TCP首部校验和,根据修改后的目的地址计算IP头校验和,根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文;调用ip_recv函数,使数据包再次进入协议栈,用于使修改后的数据包很自然的上行到应用层;修改IP目的为127.0.0.1和目的端口的目的是改变数据包的目的由PLC到应用层代理。
步骤24,直接放行原始控制指令数据报文。
如图3所示,通过对TCP首部和IP首部进行改造,完成前述步骤7的功能,其具体处理过程如下:
步骤71,判断所述解码控制指令数据报文是否满足预设条件,所述预设条件为所述控制指令数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤74;若满足预设条件,则执行步骤72;
步骤72,判断所述解码控制指令数据报文对应的目的端口是否为场站接口机的服务端的端口且目的IP为127.0.0.1,若否,则执行步骤74,若是则执行步骤73;
步骤73,记录254类型TCP选项字段中的源地址,并删除254类型TCP选项字段,修改TCP首部长度;修改源地址为集控服务器的IP地址;根据修改后的TCP首部长度计算TCP首部校验和,根据修改后的目的IP地址计算IP头校验和,得到还原后的原始控制指令数据报文;调用ip_recv函数,使数据包再次进入协议栈;
步骤74,直接放行原始控制指令数据报文。
相应的本发明还提供一种非入侵式指令安全防护装置,其特征在于,应用于集控服务器和场站接口机;所述集控服务器包括:应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由;所述场站接口机包括:应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由;
所述装置包括:
报文获取模块,用于获取应用层客户端准备的原始控制指令数据报文,发送给第一内核层路由,并由第一内核层路由转发;
报文修改模块,用于控制第一内层核代理截获原始控制指令数据报文,利用第一内层核代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改,构造新的控制指令数据报文,并提交应用层客户端代理处理;
保护模块,用于通过应用层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用密码算法进行保护操作,得到安全指令数据报文;
发送模块,用于通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务端代理,将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由;通过第三内核层路由将安全指令数据报文转发至应用层服务端代理;
解保护模块,用于通过应用层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码算法进行解保护操作,得到解码控制指令数据报文;
报文还原模块,用于通过应用层服务端代理将所述解码控制指令数据报文交由第二内核代理处理,将所述解码控制指令数据报文还原为原始控制指令数据报文;通过第四内核层路由将并原始控制指令数据报文传输至应用层服务端处理。
进一步的,所述报文修改模块,用于执行以下步骤:
步骤11,判断所述原始控制指令数据报文是否满足预设条件,所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤14;若满足预设条件,则执行步骤12;所述原始控制指令数据报文包括源地址、源端口、目的地址、目的端口和TCP载荷;
步骤12,判断所述原始控制指令数据报文对应的目的端口是否为应用层服务端的端口且目的IP地址不为127.0.0.1,若否,则执行步骤14,若是,则执行步骤13;
步骤13,新增254类型TCP选项字段,在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口,所述原始控制指令数据报文的源地址为集控服务器的IP地址,所述原始控制指令数据报文的源端口为应用层客户端的端口,所述原始控制指令数据报文的目的地址为场站接口机的IP地址,所述原始控制指令数据报文的目的端口为应用层服务端的端口;记录后,将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口;根据新增254类型TCP选项字段更改TCP首部长度,根据修改后的目的端口及TCP首部长度计算TCP首部校验和,根据修改后的目的地址计算IP头校验和,根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文;
步骤14,直接放行原始控制指令数据报文。
进一步的,在所述还原为原始控制指令数据报文之前,包括:
根据解码控制指令数据报文构造新的数据报文,包括:
将解码控制指令数据报文中的源地址、源端口、目的地址、目的端口分别修改为场站接口机的IP地址、应用层客户端的端口、127.0.0.1、应用层服务端的端口,得到新的数据报文;
进一步的,所述报文还原模块,用于执行以下步骤:
步骤21,判断所述新的数据报文是否满足预设条件,所述预设条件为所述新的数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤24;若满足预设条件,则执行步骤22;
步骤22,判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP为127.0.0.1,若否,则执行步骤24,若是则执行步骤23;
步骤23,记录254类型TCP选项字段中的源地址,并删除254类型TCP选项字段,修改TCP首部长度;修改源地址为集控服务器的IP地址;根据修改后的TCP首部长度计算TCP首部校验和,根据修改后的目的IP地址计算IP头校验和,得到还原后的原始控制指令数据报文;
步骤24,直接放行原始控制指令数据报文。
进一步的,所述保护操作为加密、签名或哈希中的一种或者多种的保护操作;
所述解保护操作为与所述保护操作相对应的解密、验签或哈希中的一种或者多种的解保护操作。
相应的本发明还提供一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述的方法中的任一方法。
相应的本发明还提供一种计算设备,其特征在于,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述的方法中的任一方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (12)
1.一种非入侵式指令安全防护方法,其特征在于,应用于集控服务器和场站接口机;所述集控服务器包括:应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由;所述场站接口机包括:应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由;
所述方法包括:
获取应用层客户端准备的原始控制指令数据报文,发送给第一内核层路由,并由第一内核层路由转发;
控制第一内层核代理截获原始控制指令数据报文,利用第一内核层代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改,构造新的控制指令数据报文,并提交应用层客户端代理处理;
通过应用层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用密码算法进行保护操作,得到安全指令数据报文;
通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务端代理,将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由;
通过第三内核层路由将安全指令数据报文转发至应用层服务端代理;
通过应用层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码算法进行解保护操作,得到解码控制指令数据报文;
通过应用层服务端代理将所述解码控制指令数据报文交由第二内核代理处理,将所述解码控制指令数据报文还原为原始控制指令数据报文;
通过第四内核层路由将并原始控制指令数据报文传输至应用层服务端处理。
2.根据权利要求1所述的非入侵式指令安全防护方法,其特征在于,所述构造新的控制指令数据报文,包括:
步骤11,判断所述原始控制指令数据报文是否满足预设条件,所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤14;若满足预设条件,则执行步骤12;所述原始控制指令数据报文包括源地址、源端口、目的地址、目的端口和TCP载荷;
步骤12,判断所述原始控制指令数据报文对应的目的端口是否为应用层服务端的端口且目的IP地址不为127.0.0.1,若否,则执行步骤14,若是,则执行步骤13;
步骤13,新增254类型TCP选项字段,在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口,所述原始控制指令数据报文的源地址为集控服务器的IP地址,所述原始控制指令数据报文的源端口为应用层客户端的端口,所述原始控制指令数据报文的目的地址为场站接口机的IP地址,所述原始控制指令数据报文的目的端口为应用层服务端的端口;记录后,将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口;根据新增254类型TCP选项字段更改TCP首部长度,根据修改后的目的端口及TCP首部长度计算TCP首部校验和,根据修改后的目的地址计算IP头校验和,根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文;
步骤14,直接放行原始控制指令数据报文。
3.根据权利要求1所述的非入侵式指令安全防护方法,其特征在于,在所述还原为原始控制指令数据报文之前,包括:
根据解码控制指令数据报文构造新的数据报文,包括:
将解码控制指令数据报文中的源地址、源端口、目的地址、目的端口分别修改为场站接口机的IP地址、应用层客户端的端口、127.0.0.1、应用层服务端的端口,得到新的数据报文。
4.根据权利要求3所述的非入侵式指令安全防护方法,其特征在于,所述还原为原始控制指令数据报文,包括:
步骤21,判断所述新的数据报文是否满足预设条件,所述预设条件为所述新的数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤24;若满足预设条件,则执行步骤22;
步骤22,判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP为127.0.0.1,若否,则执行步骤24,若是则执行步骤23;
步骤23,记录254类型TCP选项字段中的源地址,并删除254类型TCP选项字段,修改TCP首部长度;修改源地址为集控服务器的IP地址;根据修改后的TCP首部长度计算TCP首部校验和,根据修改后的目的IP地址计算IP头校验和,得到还原后的原始控制指令数据报文;
步骤24,直接放行原始控制指令数据报文。
5.根据权利要求1所述的非入侵式指令安全防护方法,其特征在于,
所述保护操作为加密、签名或哈希中的一种或者多种的保护操作;
所述解保护操作为与所述保护操作相对应的解密、验签或哈希中的一种或者多种的解保护操作。
6.一种非入侵式指令安全防护装置,其特征在于,应用于集控服务器和场站接口机;所述集控服务器包括:应用层客户端、第一内核层路由、第一内核层代理、应用层客户端代理和第二内核层路由;所述场站接口机包括:应用层服务端、第三内核层路由、第二内核层代理、应用层服务端代理和第四内核层路由;
所述装置包括:
报文获取模块,用于获取应用层客户端准备的原始控制指令数据报文,发送给第一内核层路由,并由第一内核层路由转发;
报文修改模块,用于控制第一内层核代理截获原始控制指令数据报文,利用第一内层核代理对原始控制指令数据报文中的目的地址及TCP选项字段进行修改,构造新的控制指令数据报文,并提交应用层客户端代理处理;
保护模块,用于通过应用层客户端代理调用第三方密码服务接口对新的控制指令数据报文使用商用密码算法进行保护操作,得到安全指令数据报文;
发送模块,用于通过应用层客户端代理将安全指令数据报文的目的地设置为场站接口机的应用服务端代理,将安全指令数据报文通过网卡由第二内核层路由转发至第三内核层路由;通过第三内核层路由将安全指令数据报文转发至应用层服务端代理;
解保护模块,用于通过应用层服务端代理调用第三方密码服务接口对安全指令数据报文使用商用密码算法进行解保护操作,得到解码控制指令数据报文;
报文还原模块,用于通过应用层服务端代理将所述解码控制指令数据报文交由第二内核代理处理,将所述解码控制指令数据报文还原为原始控制指令数据报文;通过第四内核层路由将并原始控制指令数据报文传输至应用层服务端处理。
7.根据权利要求6所述的非入侵式指令安全防护装置,其特征在于,所述报文修改模块,用于执行以下步骤:
步骤11,判断所述原始控制指令数据报文是否满足预设条件,所述预设条件为所述原始控制指令数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤14;若满足预设条件,则执行步骤12;所述原始控制指令数据报文包括源地址、源端口、目的地址、目的端口和TCP载荷;
步骤12,判断所述原始控制指令数据报文对应的目的端口是否为应用层服务端的端口且目的IP地址不为127.0.0.1,若否,则执行步骤14,若是,则执行步骤13;
步骤13,新增254类型TCP选项字段,在254类型TCP选项字段中记录原始控制指令数据报文的源地址、源端口、目的地址、目的端口,所述原始控制指令数据报文的源地址为集控服务器的IP地址,所述原始控制指令数据报文的源端口为应用层客户端的端口,所述原始控制指令数据报文的目的地址为场站接口机的IP地址,所述原始控制指令数据报文的目的端口为应用层服务端的端口;记录后,将新增254类型TCP选项字段后的控制指令数据报文的目的地址和目的端口分别修改为127.0.0.1和应用层客户端代理的端口;根据新增254类型TCP选项字段更改TCP首部长度,根据修改后的目的端口及TCP首部长度计算TCP首部校验和,根据修改后的目的地址计算IP头校验和,根据TCP首部校验和、IP头校验和以及TCP载荷构造新的控制指令数据报文;
步骤14,直接放行原始控制指令数据报文。
8.根据权利要求6所述的非入侵式指令安全防护装置,其特征在于,在所述还原为原始控制指令数据报文之前,包括:
根据解码控制指令数据报文构造新的数据报文,包括:
将解码控制指令数据报文中的源地址、源端口、目的地址、目的端口分别修改为场站接口机的IP地址、应用层客户端的端口、127.0.0.1、应用层服务端的端口,得到新的数据报文。
9.根据权利要求6所述的非入侵式指令安全防护装置,其特征在于,所述报文还原模块,用于执行以下步骤:
步骤21,判断所述新的数据报文是否满足预设条件,所述预设条件为所述新的数据报文为IPV4报文且是TCP报文;若不满足预设条件,则执行步骤24;若满足预设条件,则执行步骤22;
步骤22,判断所述新的数据报文对应的目的端口是否为应用层服务端的端口且目的IP为127.0.0.1,若否,则执行步骤24,若是则执行步骤23;
步骤23,记录254类型TCP选项字段中的源地址,并删除254类型TCP选项字段,修改TCP首部长度;修改源地址为集控服务器的IP地址;根据修改后的TCP首部长度计算TCP首部校验和,根据修改后的目的IP地址计算IP头校验和,得到还原后的原始控制指令数据报文;
步骤24,直接放行原始控制指令数据报文。
10.根据权利要求6所述的非入侵式指令安全防护装置,其特征在于,
所述保护操作为加密、签名或哈希中的一种或者多种的保护操作;
所述解保护操作为与所述保护操作相对应的解密、验签或哈希中的一种或者多种的解保护操作。
11.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至5所述的方法中的任一方法。
12.一种计算设备,其特征在于,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至5所述的方法中的任一方法的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211079568.8A CN115150205B (zh) | 2022-09-05 | 2022-09-05 | 一种非入侵式指令安全防护方法、装置、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211079568.8A CN115150205B (zh) | 2022-09-05 | 2022-09-05 | 一种非入侵式指令安全防护方法、装置、介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115150205A true CN115150205A (zh) | 2022-10-04 |
| CN115150205B CN115150205B (zh) | 2023-01-10 |
Family
ID=83415711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211079568.8A Active CN115150205B (zh) | 2022-09-05 | 2022-09-05 | 一种非入侵式指令安全防护方法、装置、介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150205B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185073A1 (en) * | 2009-11-25 | 2011-07-28 | Ashok Kumar Jagadeeswaran | Systems and methods for client ip address insertion via tcp options |
| CN108924138A (zh) * | 2018-07-05 | 2018-11-30 | 成都安恒信息技术有限公司 | 一种实现tcp代理完全透明的方法 |
-
2022
- 2022-09-05 CN CN202211079568.8A patent/CN115150205B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185073A1 (en) * | 2009-11-25 | 2011-07-28 | Ashok Kumar Jagadeeswaran | Systems and methods for client ip address insertion via tcp options |
| CN102714657A (zh) * | 2009-11-25 | 2012-10-03 | 思杰系统有限公司 | 用于经由tcp选项插入客户机ip地址的系统和方法 |
| CN108924138A (zh) * | 2018-07-05 | 2018-11-30 | 成都安恒信息技术有限公司 | 一种实现tcp代理完全透明的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115150205B (zh) | 2023-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111371549B (zh) | 一种报文数据传输方法、装置及系统 | |
| US20210099286A1 (en) | Cryptographic operation method, working key creation method, cryptographic service platform, and cryptographic service device | |
| CN105704149A (zh) | 一种电力移动应用安全防护方法 | |
| WO2024093426A1 (zh) | 基于联邦机器学习的模型训练方法和装置 | |
| CN114448624B (zh) | 基于白盒密码服务的透明化物联网安全传输方法及装置 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN113722683B (zh) | 模型保护方法、装置、设备、系统以及存储介质 | |
| CN112689014A (zh) | 一种双全工通信方法、装置、计算机设备和存储介质 | |
| CN116132043A (zh) | 会话密钥协商方法、装置及设备 | |
| CN115567209A (zh) | 采用透明代理和量子密钥预充注实现VoIP加解密方法 | |
| CN116567624A (zh) | 一种5g馈线终端通信安全防护方法、装置及存储介质 | |
| CN106656484B (zh) | 一种pci密码卡驱动系统及其实现方法 | |
| CN113542212B (zh) | 一种虚拟电厂调峰指令安全认证方法 | |
| CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
| CN115150205B (zh) | 一种非入侵式指令安全防护方法、装置、介质及设备 | |
| CN113923273A (zh) | 一种数据包控制方法及相关装置 | |
| CN116663075B (zh) | 一种基于国密算法的工控编程平台安全通信方法及系统 | |
| CN117768156A (zh) | 数据通信方法、系统、介质及相关设备 | |
| CN111245604A (zh) | 一种服务器数据安全交互系统及方法 | |
| CN115378627A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN115102739A (zh) | 基于计算加密的pytorch深度学习网络模型保护方法 | |
| CN112714439B (zh) | 通信数据的安全传输方法、装置、设备及存储介质 | |
| CN113676446A (zh) | 通信网络安全防误控制方法、系统、电子设备及介质 | |
| CN113407931A (zh) | 一种密码管理方法、装置和输入终端 | |
| CN116781421B (zh) | 一种基于dtls的网络认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No. 38, New Model Road, Gulou District, Nanjing City, Jiangsu Province, 210000 Patentee after: Nanjing Nanzi Huadun Digital Technology Co.,Ltd. Patentee after: CHENGDU WESTONE INFORMATION INDUSTRY Inc. Address before: No.39 Shuige Road, Jiangning District, Nanjing City, Jiangsu Province, 211100 Patentee before: NANJING HUADUN POWER INFORMATION SECURITY EVALUATION CO.,LTD. Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
| CP03 | Change of name, title or address |