WO2017084535A1

WO2017084535A1 - 可信协议转换方法和系统

Info

Publication number: WO2017084535A1
Application number: PCT/CN2016/105419
Authority: WO
Inventors: 陈惠欣
Original assignee: 英赛克科技（北京）有限公司
Priority date: 2015-11-20
Filing date: 2016-11-11
Publication date: 2017-05-26
Also published as: CN105337986B; CN105337986A

Abstract

本发明提供一种可信协议转换方法及系统，用于第一工控系统和第二工控系统之间的协议转换，其中，所述方法包括：接收待发送至第一工控系统的外部访问请求；根据预设白名单判断外部访问请求的合法性，并判断外部访问请求的访问类型，所述类型包括数据查询请求和控制操作请求；当外部访问请求为数据查询请求时，将自第一工控系统查询到的状态数据按照第二工控系统的协议进行组包，并发送至第二工控系统；当外部访问请求为控制操作请求时，按照第一工控系统的协议对控制操作请求进行组包，并发送给第一工控系统；相应的本发明还提供一种可信协议转换系统；本发明减少了工控系统间通信的延时，并提升了工控系统间通信的可靠性。

Description

可信协议转换方法和系统

本发明要求在2015年11月20日提交中国专利局、申请号为201510809808.9、发明名称为“可信协议转换方法和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及工业信息技术领域，特别涉及一种可信协议转换方法和系统。

背景技术

随着工业自动化控制的迅速发展，愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备(Intelligent Electric Device，简称“IED”)互联在一起，形成生产控制系统网络。

各类工业控制网络协议都是基于ISO/OSI开放式系统互联模型。OSI参考模型共分为7层，工业控制网络通信协议则根据自身的特征加以简化，采用了物理层、数据链路层和网络层，同时考虑到现场装置的控制功能和具体运用又增加了应用层。实现异构网络之间的通信需要在不同的协议之间进行转换，这可通过网关来完成。网关又被称作网间协议转换器，用于连接采用不同通信协议的网络，实现网络之间的数据传输。协议转换器在具体实现技术上与它所互联的两个具体网络的协议有关，支持不同网络协议之间转换的协议转换器是不同的。由于各种工业控制网络协议在物理层、数据链路层、网络层和应用层上的定义基本都是不同的，因此针对工业控制协议的协议转换器宜采用协议网关的方式，在协议的上层实现协议转换。

协议转换就是一种协议A映射到另一种协议B的过程。在协议转换的过程中，协议转换网关根据协议A的定义，分析出该协议数据包的内容，包括数据包中的传输控制部分和数据部分。再根据数据部分的信息分析出数据所包含的特定含义，通过数据映射定义表，将协议A数据包中的数据转换成协议B网络所支持数据内容。然后将数据封装入支持网络协议B 的数据包，并通过协议B网络传送到指定的网络设备。在协议转换的过程中，协议的转换主要在网络层和应用层进行。

由于工控系统管控一体化趋势逐渐加强，使得工控系统与信息管理系统与互联网相连通。同时工控系统日益复杂化，已经开始大量采用通用软件、通用硬件及通用协议。这使传统封闭的工控系统逐步暴露出来，直接面对来自外界网络的种种威胁，增加了工控系统的安全隐患。工控系统通常是从简单独立的系统发展成为复杂的网络系统，各个子系统之间设计缺乏保护措施，从而导致一个区域出现问题，很快就会传染到整个工控系统网络。

传统的实现工业信息安全的方法是在工控系统网络中相互连接的子工控系统之间增设工业防火墙。虽然这种方式在一定程度上解决了安全隐患，但是这种情况下两个工控系统之间通信既要通过工业防火墙对请求信息进行“审核”，又要经过协议转换器的转换，从而导致了工控系统间通信时间延长、可靠性低的问题。此外，还存在由于普通工业防火墙针对应用层协议，在链路层分包传输后无法有效实施应用层白名单访问控制导致的安全风险的技术问题。

发明内容

本发明的实施方式提供一种可信协议转换方法和系统，以用于解决现有工控系统间通信时延长、可靠性低的问题。

根据本发明的一个方面，提供了一种可信协议转换方法，用于第一工控系统和第二工控系统之间的协议转换，所述方法包括：

接收待发送至第一工控系统的外部访问请求；

根据预设白名单判断所述外部访问请求的合法性，并判断所述外部访问请求的访问类型，所述访问类型包括数据查询请求和控制操作请求；

当所述外部访问请求为数据查询请求时，将自所述第一工控系统查询到的状态数据按照第二工控系统的协议进行组包，并发送至所述第二工控系统；

当所述外部访问请求为控制操作请求时，按照第一工控系统的协议对所述控制操作请求进行组包，并发送给所述第一工控系统。

根据本发明的另一个方面，还提供了一种可信协议转换系统，包括

访问请求接收端口，接收待发送至第一工控系统的外部访问请求；

访问合法性/访问类型判定模块，配置以根据预设白名单判断所述外部访问请求的合法性，并判断所述外部访问请求的访问类型，所述类型包括数据查询请求和控制操作请求；

状态数据获取模块，配置以当所述外部访问请求是数据查询请求时，将自所述第一工控系统查询到的状态数据按照第二工控系统的协议进行组包，并发送至所述第二工控系统；

数据组包模块，配置以当所述外部访问请求为控制操作请求时，按照第一工控系统的协议对所述控制操作请求进行组包，并发送给所述第一工控系统。

根据第四方面，本发明实施例提供一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述任一实施例所述的可信协议转换方法。

根据第五方面，本发明实施例提供一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行上述任一实施例所述的可信协议转换方法。

根据第六方面，本发明实施例提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一实施例所述的可信协议转换方法。

本发明的实施方式的可信协议转换方法和系统通过将防火墙技术与工业协议转换技术进行融合，实现了工控系统的边界安全，通过提升工业协议转换器的边界安全防护能力，增强了工业协议转换器的自身安全防护功能，将协议转换过程与基于白名单的访问控制策略相结合，可通过一套装置、一次协议分析，实现使用不同应用层协议的两个或多个工控系统间的应用层协议转换、通信数据包过滤和阻断、入侵检测和病毒防护等工控系统信息安全防护功能，降低传统工控系统协议转换和信息安全防护需要同时部署协议转换器和工业防火墙两套装置导致的系统延时长、可靠性低等问题。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的可信协议转换方法一实施方式的流程图；

图2为本发明的可信协议转换方法另一实施方式的流程图；

图3为本发明的可信协议转换方法又一实施方式的流程图；

图4为本发明的可信协议转换方法再一实施方式的流程图；

图5为本发明的可信协议转换系统一实施方式的原理图；

图6为本发明的可信协议转换系统另一实施方式的原理图；

图7为本发明的可信协议转换系统再一实施方式的原理图；

图8为本发明的电子设备的一实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明的实施方式及实施方式中的特征可以相互组合。

还需要说明的是，在本文中，诸如第一和第二等之类的术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

如图1所示，本发明的一实施方式的可信协议转换方法，用于第一工控系统和第二工控系统之间的协议转换，本发明实施例所述的方法可以由一种电子设备来执行，所述方法包括：

S11、接收待发送至第一工控系统的外部访问请求；

S12、根据预设白名单判断外部访问请求的合法性，并判断外部访问请求的访问类型，访问类型包括数据查询请求和控制操作请求；

S13、当外部访问请求为数据查询请求时，将自第一工控系统查询到的状态数据按照第二工控系统的协议进行组包，并发送至所述第二工控系统；

S14、当外部访问请求为控制操作请求时，按照第一工控系统的协议对控制操作请求进行组包，并发送给第一工控系统。

白名单技术可以抵御零日恶意软件(Zero-day Malware)和有针对性的攻击。因为在默认情况下，任何未经批准的软件、工具和进程都不能在端点上运行。如果恶意软件试图在启用了白名单的端点安装，白名单技术会确定这不是可信进程，并否定其运行权限。

本实施方式的可信协议转换方法通过将防火墙技术与工业协议转换技术进行融合，实现了工控系统的边界安全。通过提升工业协议转换器的边界安全防护能力，增强了工业协议转换器的自身安全防护功能。将协议转换过程与基于白名单的访问控制策略相结合，可通过一套装置、一次协议分析，实现使用不同应用层协议的两个或多个工控系统间的应用层协议转换、通信数据包过滤和阻断、入侵检测和病毒防护等工控系统信息安全防护功能。并且解决了传统工控系统协议转换和信息安全防护需要同时部署协议转换器和工业防火墙两套装置导致的系统延时长、可靠性低等技术问题。

如图2所示，在一些实施方式中，根据所述预设白名单判断所述外部访问请求的合法性和访问类型包括：

S21、在网络层解析所述外部访问请求，确定所述外部访问请求的第一特征参数；

S22、根据所述网络层白名单和所述第一特征参数判断所述外部访问请求的合法性；如果不合法则阻断所述外部访问请求，如果合法则判断所述外部访问请求的访问类型。

本实施方式通过在网络层设置白名单，实现对外部请求的过滤，保证了工控系统之间通信的安全性与可靠性。

此外，还可以预设针对应用层的白名单，在应用层实现对外部请求的过滤。

如图3所示，在一些实施方式中，白名单包括网络层白名单和应用层白名单；根据所述白名单判断所述外部访问请求是否合法包括：

根据预设白名单判断外部访问请求的合法性包括：

S31、在网络层解析外部访问请求，确定外部访问请求的第一特征参数；

S32、根据网络层白名单和所述第一特征参数判断外部访问请求的合法性；如果不合法则阻断外部访问请求，如果合法则将外部访问请求进行应用层组包，得到应用层数据包，并将应用层数据包发送至应用层；

S33、在应用层解析应用层数据包，确定外部访问请求的第二特征参数；

S34、根据应用层白名单和第二特征参数判断外部访问请求是否合法，如果不合法则阻断所述外部访问请求，如果合法则判断所述外部访问请求的访问类型。

本实施方式中通过将白名单分为网络层白名单和应用层白名单，并且分别在网络层和应用层对访问请求进行白名单过滤，更加保证了整个工控系统网络的安全性与可靠性。此外只需对外部访问请求包进行一次的解析就完成了两个层面的基于白名单的安全认证，在提升了安全性能，消除了安全隐患的情况下，还减少了多次解析所带来的延时，从而保证了工控系统间通信的实时性与有效性。

在一些实施方式中，网络层白名单至少包含第一工控系统的各通信端口所容许的协议类型、端口号、MAC地址和IP地址中的一种。但网络层白名单并不限于上述所列内容，网络层白名单内容可以根据需求进行更改。例如当通信端口为专用于某一单独服务时则可以减少网络层白名单所包含的内容，从而减少过滤过程所消耗的时间，提升工控系统间通信的实时性。当通信端口为多功能的复用端口时(例如，用户多种协议的转换)，则可以根据需求进一步的扩充白名单的范围。

应用层白名单至少包含第一工控系统的各通信端口所容许的通讯请求原语、容许读写的数据地址范围、容许更改数据的值范围和容许更改数据的更改频率中的一种。但应用层白名单并不限于上述所列内容，应用层白名单内容可以根据需求进行更改。

在一些实施方式中，根据不同的通讯协议，预定义不同的数据点关联规则，并可对每个数据点建立原码值与实际值之间的转换关系。

在一些实施方式中，在阻断所述外部访问请求后，生成系统日志记录和告警输出信号。

如图4所示，本发明的可信协议转换方法的又一具体实施方式包含以下步骤：

S101、接收来自工控系统A(第二工控系统)的所有外部访问请求。

S102、通过网络层协议分析，提取网络层协议参数(第一特征参数)，并与网络层白名单进行匹配，生成网络层过滤结果。

S103、根据网络层过滤结果判断是否满足阻断条件。

如果满足网络层阻断条件，则阻断该外部访问请求，不做任何形式的应答，并执行至步骤S109，否则执行步骤S104。

S104、按外部访问请求进行应用层组包(外部请求协议的应用层数据可能分散在多个传输层报文中。因此此处的应用层组包主要是指从多个外部请求传输层报文中提取出应用层数据，并组合形成一个完整的应用层报文)，形成完整应用包后，进行应用层协议分析，提取应用层协议参数(第二特征参数)，并与应用层白名单进行匹配，生成应用层过滤结果。

S105、根据应用层过滤结果判断是否满足阻断条件。

如果满足应用层阻断条件，则阻断该外部访问请求，不做任何形式的应答，并执行至步骤S109，否则执行步骤S106。

S109、生成日志记录和告警输出信号，并结束该外部访问请求。

S106、检测该外部访问请求的类型。

S107、如果为控制操作请求，根据控制操作请求，将所述外部访问请求按工控系统B的协议进行重新组包(是指对控制操作请求按工控系统B的协议格式进行组包，形成工控系统B的协议格式报文)，并发送到工控系统B，等待应答。如果没收到来自工控系统B的应答，则结束该外部访问请求。如果收到来自工控系统B的应答，则作为访问结果，并执行步骤S303。

S302、如果为数据查询请求，则按预设关联规则从状态数据库中获取状态数据作为访问结果，并执行步骤S303。

S303、按工控系统A的协议对访问结果进行组包，并发送至工控系统A。

在上述事实方式中还包括：

S201、按照预先定义的数据查询规则(即，预设规则)建立与工控系统B的通信。

S202、按照预设规则从工控系统B实时获取状态数据。

S203、将实时获取的状态数据存储为实时数据库。

在上述实施方式之前还需要：

1.1、预先定义一个白名单库，保存对应端口的网络层白名单和应用层白名单。

1.2、预先定义循环获取工控系统B(第一工控系统)状态数据的预设规则。此处预设规则主要是指从工控系统B获取数据的数据查询规则。包括数据查询报文和查询结果解包写入实时数据库的规则。

1.3、预先建立工控系统A(第二工控系统)的通讯协议与实时数据库点的预设关联规则。此处的关联规则主要是指建立第二工控系统通讯协议的数据地址与实时数据库标签点间对应规则以及数据格式转换规则。

上述步骤1.1中，网络层白名单包含装置各通信口容许的协议类型或端口号、MAC地址或IP地址。应用层白名单分包含三个部分，容许的通讯请求原语、容许读写的数据地址范围，容许更改数据的值范围和更改频率。

上述步骤1.2中，可根据不同的通讯协议，定义不同的数据点关联规则，并可对每个数据点建立原码值与实际值之间的转换关系。

上述实施方式中，针对同一个端口可根据应用需要，容许多种通讯协议的接入，并同时对容许的通讯协议分别配置白名单以及通讯协议与实时数据库的关联规则。

上述实施方式中，在检测到不满足白名单要求的通讯请求，并实施通讯阻断后，将产生系统日志记录和告警输出。告警输出方法包括：通过装置指示灯以及连接的后台监控软件。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作合并，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

如图5所示，本发明另一个方面，还提供了一种可信协议转换系统，包括：

访问合法性/访问类型判定模块，配置以根据预设白名单判断外部访问请求的合法性，并判断外部访问请求的访问类型，访问类型包括数据查询请求和控制操作请求；

状态数据获取模块，配置以当外部访问请求是数据查询请求时，将自第一工控系统查询到的状态数据按照第二工控系统的协议进行组包，并发送至第二工控系统；

数据组包模块，配置以当外部访问请求为控制操作请求时，按照第一工控系统的协议对控制操作请求进行组包，并发送给第一工控系统。

在一些实施方式中，白名单包括网络层白名单和应用层白名单。

本实施方式的可信协议转换器通过将防火墙技术与工业协议转换技术进行融合，实现了工控系统的边界安全。通过提升工业协议转换器的边界安全防护能力，增强了工业协议转换器的自身安全防护功能。将协议转换过程与基于白名单的访问控制策略相结合，可通过一套装置、一次协议分析，实现使用不同应用层协议的两个或多个工控系统间的应用层协议转换、通信数据包过滤和阻断、入侵检测和病毒防护等工控系统信息安全防护功能。解决了传统工控系统协议转换和信息安全防护需要同时部署协议转换器和工业防火墙两套装置导致的系统延时长、可靠性低等问题。

如图5所示，在一些实施方式中，访问合法性/访问类型判定模块包括：

网络层解析器，配置以从所述外部访问请求中解析出所述外部访问请求的第一特征参数；

网络层合法性判定单元，配置以根据所述网络层白名单和所述第一特征参数判断所述外部访问请求的合法性；

访问类型判定单元，配置以当所述外部访问请求合法时，判断所述外部访问请求的访问类型。

此外，还可以在预设针对应用层的白名单，在应用层实现对外部请求的过滤。

如图7所示，在一些实施方式中，访问合法性/访问类型判定模块包括：

网络层解析器，配置以从外部访问请求中解析出外部访问请求的第一特征参数；

网络层合法性判定单元，配置以根据网络层白名单和第一特征参数判断外部访问请求的合法性；

网络层执行单元，配置以当外部访问请求不合法时，阻断外部访问请求，当外部访问请求合法时，将外部访问请求进行应用层组包，得到应用层数据包，并将应用层数据包发送至应用层；

应用层层解析器，配置以从应用层数据包中解析出外部访问请求的第二特征参数；

应用层合法性判定单元，配置以根据应用层白名单和第二特征参数判断外部访问请求的合法性，如果不合法则阻断所述外部访问请求，如果合法则判断所述外部访问请求的访问类型。

在一些实施方式中，网络层白名单至少包含第一工控系统的各通信端口所容许的协议类型、端口号、MAC地址和IP地址中的一种；

所述应用层白名单至少包含第一工控系统的各通信端口所容许的通讯请求原语、容许读写的数据地址范围、容许更改数据的值范围和容许更改数据的更改频率中的一种。

在一些实施方式中，包括预警模块，配置以当阻断所述外部访问请求后，生成系统日志记录和告警输出信号。

本发明实施方式提供一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器。其中所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述任一实施方式所述的可信协议转换方法。

图8是本发明实施方式又提供的执行可信协议转换方法的电子设备的硬件结构示意图，如图8所示，该设备包括：

一个或多个处理器810以及存储器820，图8中以一个处理器810为例。

执行可信协议转换方法的设备还可以包括：输入装置830和输出装置840。

处理器810、存储器820、输入装置830和输出装置840可以通过总线或者其他方式连接，图8中以通过总线连接为例。

存储器820作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本发明实施方式中的可信协议转换方法对应的程序指令/模块。处理器810通过运行存储在存储器820中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施方式的可信协议转换方法。

存储器820可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据可信协议转换装置的使用所创建的数据等。此外，存储器820可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施方式中，存储器820可选包括相对于处理器810远程设置的存储器，这些远程存储器可以通过网络连接至可信协议转换装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置830可接收输入的数字或字符信息，以及产生与可信协议转换装置的用户设置以及功能控制有关的键信号输入。输出装置840可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器820中，当被所述一个或者多个处理器810执行时，执行上述任意方法实施方式中的可信协议转换方法。

上述产品可执行本发明实施方式所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施方式中详尽描述的技术细节，可参见本发明实施方式所提供的方法。

本发明实施方式的电子设备以多种形式存在，包括但不限于协议转换器。

以上所描述的方法实施方式仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施方式方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施方式或者实施方式的某些部分所述的方法。

本领域内的技术人员应明白，本发明的实施方式可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。

本发明是参照根据本发明实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应说明的是：以上实施方式仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施方式对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施方式技术方案的精神和范围。

Claims

一种可信协议转换方法，用于第一工控系统和第二工控系统之间的协议转换，所述方法包括：

接收待发送至第一工控系统的外部访问请求；

根据预设白名单判断所述外部访问请求的合法性，并判断外部访问请求的访问类型，所述访问类型包括数据查询请求和控制操作请求；

当所述外部访问请求为数据查询请求时，将自所述第一工控系统查询到的状态数据按照第二工控系统的协议进行组包，并发送至所述第二工控系统；

当所述外部访问请求为控制操作请求时，按照第一工控系统的协议对所述控制操作请求进行组包，并发送给所述第一工控系统。
根据权利要求1所述的可信协议转换方法，其特征在于，所述根据所述预设白名单判断所述外部访问请求的合法性，并判断外部访问请求的访问类型包括：

在网络层解析所述外部访问请求，确定所述外部访问请求的第一特征参数；

根据所述网络层白名单和所述第一特征参数判断所述外部访问请求的合法性；如果不合法则阻断所述外部访问请求，如果合法则判断所述外部访问请求的访问类型。
根据权利要求1所述的可信协议转换方法，其特征在于，所述预设白名单包括网络层白名单和应用层白名单；

所述根据所述预设白名单判断所述外部访问请求的合法性，并判断外部访问请求的访问类型包括：

在网络层解析所述外部访问请求，确定所述外部访问请求的第一特征参数；

根据所述网络层白名单和所述第一特征参数判断所述外部访问请求的合法性；如果不合法则阻断所述外部访问请求，如果合法则将所述外部访问请求组包为应用层数据包，并发送至应用层；

在应用层解析所述应用层数据包，确定所述外部访问请求的第二特征参数；

根据所述应用层白名单和所述第二特征参数判断所述外部访问请求是否合法，如果不合法则阻断所述外部访问请求，如果合法则判断所述外部访问请求的访问类型。
根据权利要求3所述的可信协议转换方法，其特征在于，所述网络层白名单至少包含第一工控系统的各通信端口所容许的协议类型、端口号、MAC地址和IP地址中的一种；

所述应用层白名单至少包含第一工控系统的各通信端口所容许的通讯请求原语、容许读写的数据地址范围、容许更改数据的值范围和容许更改数据的更改频率中的一种。
根据权利要求1-4任一项所述的可信协议转换方法，其特征在于，在阻断所述外部访问请求后，生成系统日志记录和告警输出信号。
一种可信协议转换系统，包括：

访问请求接收端口，配置以接收待发送至第一工控系统的外部访问请求；

访问合法性/访问类型判定模块，配置以根据预设白名单判断所述外部访问请求的合法性，并判断外部访问请求的访问类型，所述访问类型包括数据查询请求和控制操作请求；

状态数据获取模块，配置以当所述外部访问请求是数据查询请求时，将自所述第一工控系统查询到的状态数据按照第二工控系统的协议进行组包，并发送至所述第二工控系统；

数据组包模块，配置以当所述外部访问请求为控制操作请求时，按照第一工控系统的协议对所述控制操作请求进行组包，并发送给所述第一工控系统。
根据权利要求6所述的可信协议转换系统，其特征在于，所述访问合法性/访问类型判定模块包括：

网络层解析器，配置以从所述外部访问请求中解析出所述外部访问请求的第一特征参数；

网络层合法性判定单元，配置以根据所述网络层白名单和所述第一特征参数判断所述外部访问请求的合法性；

访问类型判定单元，配置以当所述外部访问请求合法时，判断所述外部访问请求的访问类型。
根据权利要求6所述的可信协议转换系统，其特征在于，所述白名单包括网络层白名单和应用层白名单；

所述访问合法性/访问类型判定模块包括：

网络层解析器，配置以从所述外部访问请求中解析出所述外部访问请求的第一特征参数；

网络层合法性判定单元，配置以根据所述网络层白名单和所述第一特征参数判断所述外部访问请求的合法性；

网络层执行单元，配置以当所述外部访问请求不合法时，阻断所述外部访问请求，当所述外部访问请求合法时，将所述外部访问请求进行应用层组包，并发送至应用层；

应用层解析器，配置以从所述应用层数据包中解析出所述外部访问请求的第二特征参数；

应用层合法性判定单元，配置以根据所述应用层白名单和所述第二特征参数判断所述外部访问请求的合法性；

访问类型判定单元，配置以当应用层合法性判定单元判定所述外部访问请求合法时，判断所述外部访问请求的访问类型。
根据权利要求8所述的可信协议转换系统，其特征在于，所述网络层白名单至少包含第一工控系统的各通信端口所容许的协议类型、端口号、MAC地址和IP地址中的一种；

所述应用层白名单至少包含第一工控系统的各通信端口所容许的通讯请求原语、容许读写的数据地址范围、容许更改数据的值范围和容许更改数据的更改频率中的一种。
根据权利要求6-9任一项所述的可信协议转换系统，其特征在于，还包括预警模块，配置以当阻断所述外部访问请求后，生成系统日志记录和告警输出信号。
一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-5任一项所述的可信协议转换方法。
一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行权利要求1-5任一项所述的可信协议转换方法。
一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行权利要求1-5任一项所述的可信协议转换方法。