System.ArgumentOutOfRangeException: 索引和長度必須引用該字符串內的位置。 參數名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 无码视频在线观看,亚洲国产精品无码久久九九大片 ,日韩网红少妇无码视频香港 
  • 

  • 
<ul id="o6k0g"></ul>
    <ul id="o6k0g"></ul>
    

    

    
    
      
    
          
          
    
            
    
                
    
                    
    
                        
    
                            
    一種工業控制設備安全訪問控制與加密轉發方法和裝置制造方法及圖紙
    
                            
    技術編號:44120031 閱讀:6 留言:0更新日期:2025-01-24 22:41
    
                        
    
                        
    
                            
                            本發明專利技術公開了一種工業控制設備安全訪問控制與加密轉發方法和裝置。裝置包含至少2個網口,裝置上電后后首先通過與上位機之間進行認證,認證通過的裝置使用與工業控制自動化設備連接的網口接收工控報文,解析常規字段;通過常規字段繼續解析工控報文內的指令碼、設備信息、應用程序、工藝參數、訪問權限、工控數據、工控報文通信關系等信息;解析結果與配置的協議解析辨識規則白名單進行匹配,根據匹配結果進行判斷;允許訪問的報文根據工控數據規則和加密算法規則判斷報文的工控通信數據重要級和所需加密策略,實現在不影響原有的工控系統通信網絡的前提下,將連接的工控設備收發數據限定在小范圍內的加密安全通信。
    
                            
                            
    


    
                            

                            
    【技術實現步驟摘要】
    
                                
    本專利技術涉及工業控制網絡通訊安全領域,尤其是涉及一種工業控制設備安全訪問控制與加密轉發方法和裝置

    技術介紹
    1、當前,工業控制系統與物聯網、互聯網呈現出深度融合的態勢,大幅提升了工業控制系統的智能化、信息化程度,也引發了一系列新的安全挑戰。針對工控系統的各類新型攻擊技術和手段如劫持、非授權攻擊、工藝參數/操作攻擊、dos/ddos攻擊等,利用工控系統本身的軟件硬件特性和通信協議、操作指令和基礎設施生產裝置的弱點,難以被發現、跟蹤。
    2、傳統的工業防火墻等設備大部分局限于對報文ip、mac、端口、協議等常規參數,以及工控報文的功能碼等基礎的參數信息識別并對報文采取轉發或丟棄處理,不能對工控報文隱含的工藝參數、訪問權限、通信關系等工控協議層面信息進行解析,對上述劫持、非授權攻擊、工藝參數/操作攻擊、拒絕服務攻擊(dos/ddos)等基于工控協議的攻擊阻斷效果有限,且工控系統內允許轉發的工控報文往往直接采用明文傳輸,未針對協議內的工控數據不同的重要性分級加密,通信鏈路防護效果不佳,具有很大隱患。

    技術實現思路
    1、本專利技術的目的在于針對工業互聯網控制系統的安全風險與威脅,根據傳統防火墻等過濾設備僅能對報文的地址,類型等常規參數進行識別轉發,無法對工控報文的工控數據、通信關系等信息深入解析,缺少數據信息加密的缺陷,提供一種能對工控報文的常規參數、工控指令碼、工控數據、設備信息、應用程序信息、工藝參數、訪問權限、通信關系等信息進行解析,并能根據配置規則判斷工控數據重要級而選擇不同量級的加密算法策略對報文進行加密轉發的工業控制設備安全訪問控制與加密轉發方法和裝置。
    2、本專利技術針對上述技術問題主要是通過下述技術方案得以解決的:一種工業控制設備安全訪問控制與加密轉發方法,包括以下步驟:
    3、s1、接收工控報文以后,對工控報文中的常規參數進行解析:
    4、s2、根據解析得到的常規參數信息對工控報文內的工控參數進行解析;
    5、s3、將常規參數和工控參數與協議解析辨識規則白名單中的信息參數進行匹配,獲取匹配結果,協議解析辨識規則包括訪問規則和攻擊檢測規則、工控數據規則和加密算法規則;
    6、s4、如果工控報文來自加密通信鏈路,則根據訪問規則匹配結果進行以下判斷:
    7、判斷工控報文對本地連接的設備是否有讀寫訪問權限;
    8、判斷本地連接的設備是否為工控報文的目的設備;
    9、判斷本地連接的設備是否應該接收此工控報文與其數據;
    10、如果工控報文來自本地連接的設備,則根據訪問規則匹配結果進行以下判斷:判斷本地連接的設備是否為工控報文的發送設備;
    11、s5、根據攻擊檢測規則匹配結果判斷工控報文是否為利用工控協議發起的攻擊報文;
    12、s6、對于來自加密通信鏈路的工控報文,如果訪問規則匹配結果的三個判斷結果均為是,并且工控報文非攻擊報文,則將工控報文標識為安全報文,然后轉發給本地連接的設備;如果訪問規則匹配結果的三個判斷至少有任何一個為否,或者工控報文為攻擊報文,則將工控報文標識為非安全報文,不予轉發,此工控報文的處理過程結束;
    13、對于自來本地連接的設備的工控報文,如果訪問規則匹配結果的判斷結果均為是,并且工控報文非攻擊報文,則將工控報文標識為安全報文,然后進入步驟s7;如果訪問規則匹配結果的三個判斷至少有任何一個為否,或者工控報文為攻擊報文,則將工控報文標識為非安全報文,不予轉發,此工控報文的處理過程結束;
    14、s7、根據工控數據規則匹配結果和加密算法規則匹配結果判斷安全報文的重要級和轉發處理時需要采用的對應加密策略:工控報文如果為輕量數據則使用輕量級加密算法加密后轉發到加密通信鏈路;工控報文如果為重要數據則使用重量級加密算法加密后轉發到加密通信鏈路;輕量級加密算法和重量級加密算法均使用動態密鑰。
    15、工控報文加密輸出后,上傳至加密通信鏈路,確保裝置連接的本地工業控制設備與其他組裝置連接的工業控制設備之間的收發數據限定在小的允許范圍內實現數據的安全化加密傳輸。
    16、作為優選,所述步驟s1中,常規參數包括源mac、源ip、目的mac、目的ip、協議類型和端口號。源mac、目的mac為工業控制設備收發的工控報文中的收發節點的物理地址;源ip、目的ip為邏輯地址;工控報文端口號分為源端口號(source?port)和目的端口號(destination?port),用于標識和區分源端設備和目的端設備的應用進程;協議類型表示該工控報文所屬協議種類。
    17、作為優選,所述步驟s2中,工控參數包括指令碼(通信設備間的操作類型)、設備信息(設備硬件id、廠商、版本、序列號等)、應用程序信息(工控系統內運行的應用進程信息)、工藝參數(工控網絡報文中所傳輸的工藝參量與變化關系)、訪問權限(工控設備允許能接收、訪問的數據和功能)、工控數據和工控報文通信關系(包括報告分發型、客戶/服務器型、發布/預訂接收型)。
    18、設備信息表示使用的設備在網絡內用來確認通信收發雙方的身份標識,如設備硬件id、廠商、版本、序列號等。
    19、應用程序信息指工控系統內運行的應用進程,包括數據采集、人機界面、軟件應用、過程控制、數據庫、數據通信等功能。
    20、訪問權限信息,指工控網絡內根據在各種預定義的組中用戶的身份標識及其成員身份來限制各設備、用戶能訪問的信息項或控制信息,如一臺工控設備允許能接收的各類工控協議及其搭載數據,限制了訪問范圍,確保每臺工控設備只能接收符合權限的報文,防止信息泄露和盜竊。
    21、作為優選,解析得到指令碼獲得操作指令,解析工藝參數獲得工控設備的工藝參數,將操作指令和工藝參數的變化情況形成關聯信息,協議解析辨識規則白名單包括關聯信息的合法性。
    22、指令碼表示報文傳遞服務類型,即工控通信設備間的操作/指令類型,如modbus協議的指令碼(功能碼)為代表請求和響應類型的數字代碼,不同的指令碼表示不同的功能,例如功能碼0x01為讀取線圈狀態,0x02為讀取輸入狀態等。所述裝置通過解析工控報文內的指令碼得到該工控報文要執行的操作類型信息。
    23、工藝參數信息代表工控報文中所傳輸的工藝參量(如溫度、電流、水位、閥門開/關狀態等)及具體數值,所述裝置記錄每次解析工控報文工藝參數值,分析工藝參數變化趨勢、變化速度等實時情況,將工藝參數解析結果具體解析為工業生產中的具體工藝狀況(如某處的電流是多少a,某處的溫度是多少攝氏度,某處的閥門開或關等)和其變化信息(如某處電流在特定時間內的變化范圍,某處溫度隨時間的上升情況等)。該裝置結合解析的工控報文操作指令分析其與工藝參數變化的邏輯關系、因果關系等。即生產過程中特定工藝參數的變化是由某一操作控制指令發出導致,如某大壩開閘指令發出后,閘門才會打開等。生產過程中,一個變量值根據其他相關變量進行變化,此外該變量數值的變化,還會影響其它多個相關變量的變化,該裝本文檔來自技高網...
                            
    
                            
    【技術保護點】
    
                                
    1.一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,包括以下步驟:
    2.根據權利要求1所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,所述步驟S1中,常規參數包括源MAC、源IP、目的MAC、目的IP、協議類型和端口號。
    3.根據權利要求2所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,所述步驟S2中,工控參數包括指令碼、設備信息、應用程序信息、工藝參數、訪問權限、工控數據和工控報文通信關系。
    4.根據權利要求3所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,解析得到指令碼獲得操作指令,解析工藝參數獲得工控設備的工藝參數,將操作指令和工藝參數的變化情況形成關聯信息,協議解析辨識規則白名單包括關聯信息的合法性。
    5.根據權利要求3所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,所述工控報文通信關系包括:
    6.根據權利要求1或3所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,輕量數據包括實時測量值;重要數據包括控制系統算法配置、操作模式和報警參數。
    7.根據權利要求1所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,所述攻擊報文包括非授權攻擊、拒絕服務攻擊和參數篡改攻擊。
    8.根據權利要求1所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,加密轉發使用的動態密鑰更新方法為:
    9.一種工業控制設備安全訪問控制與加密轉發裝置,運行有如權利要求1所述的工業控制設備安全訪問控制與加密轉發方法,其特征在于,包括處理器、存儲器和至少2個以太網口,第一以太網口連接一臺工控設備,第二網口連接加密通信鏈路,以太網口收發工控報文,處理器使用并行處理方式對每條采集到的工控報文先解析常規參數,再根據上述常規參數進一步解析工控報文的工控信息,得到的所有工控信息緩存于存儲器內,后續與白名單配置規則匹配時讀取,各項協議解析辨識規則均判斷完成后本次工控報文信息清除并準備緩存下一條工控報文解析的信息;解析為需要轉發的安全報文使用配置的工控數據規則和加密算法規則繼續判斷報文內的工控數據重要級和轉發處理時需要采用的對應加密策略,工控報文加密輸出后,上傳至加密通信鏈路。
    10.根據權利要求9所述的一種工業控制設備安全訪問控制與加密轉發裝置,其特征在于,所述裝置上電后與上位機開展認證,具體認證過程為:
    ...
                            
    
                            
    【技術特征摘要】
    
                                
    1.一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,包括以下步驟:
    2.根據權利要求1所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,所述步驟s1中,常規參數包括源mac、源ip、目的mac、目的ip、協議類型和端口號。
    3.根據權利要求2所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,所述步驟s2中,工控參數包括指令碼、設備信息、應用程序信息、工藝參數、訪問權限、工控數據和工控報文通信關系。
    4.根據權利要求3所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,解析得到指令碼獲得操作指令,解析工藝參數獲得工控設備的工藝參數,將操作指令和工藝參數的變化情況形成關聯信息,協議解析辨識規則白名單包括關聯信息的合法性。
    5.根據權利要求3所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,所述工控報文通信關系包括:
    6.根據權利要求1或3所述的一種工業控制設備安全訪問控制與加密轉發方法,其特征在于,輕量數據包括實時測量值;重要數據包括控制系統算法配置、操作模式和報警參數。
    7.根據權利要求1所述的一種工業控制設備安...
                            
    
                            
    【專利技術屬性】
    
                                技術研發人員:李晴陳嘉烈
    
        申請(專利權)人:浙江騰瓏網安科技有限公司
    
        類型:發明
    
        國別省市:
    
                            
    
                            
                        
    
                    
    
                    
                    
                     
                
    
                
                
    
                    
    
                        網友詢問留言
                        已有0條評論
                    
    
                    
    
                        
    
                            
      
                                
    • 
                                
						

      還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。
      


                              
                            
    
                            
    
                                 1 

                            
    
                        
    
                        
                        
    
                            
    
                              
                            
    
                            
                        
    
                    
    
                
    
            
    
              
             
          
    
      
    
    
    

    
    
    




  


主站蜘蛛池模板:
av色欲无码人妻中文字幕|
制服在线无码专区|
日韩精品无码一区二区三区AV
|
亚洲AV无码一区二区三区牛牛|
亚洲AV无码久久精品蜜桃|
亚洲6080yy久久无码产自国产|
无码AV动漫精品一区二区免费|
日木av无码专区亚洲av毛片|
亚洲?V无码成人精品区日韩|
熟妇人妻AV无码一区二区三区|
精品人妻少妇嫩草AV无码专区|
中文午夜人妻无码看片|
亚洲AV无码成人精品区蜜桃
|
国产精品99无码一区二区|
久久久久久久人妻无码中文字幕爆|
国产午夜鲁丝片AV无码|
无码H黄肉动漫在线观看网站|
国产精品无码无片在线观看|
亚洲成av人片不卡无码久久|
亚洲AV无码之国产精品|
久久久久精品国产亚洲AV无码|
亚洲精品无码乱码成人|
丝袜无码一区二区三区|
国产精品无码MV在线观看|
中文字幕人成无码免费视频|
日韩丰满少妇无码内射|
久久久久亚洲av无码专区导航
|
无码国产精品一区二区免费vr|
国产aⅴ激情无码久久|
亚洲精品一级无码中文字幕|
无码 免费 国产在线观看91
|
亚洲av无码成人精品区在线播放|
一本久道综合在线无码人妻|
亚洲中文字幕久久精品无码2021|
亚洲av无码片在线播放|
无码人妻精品一区二区三区99仓本|
国产做无码视频在线观看浪潮
|
无码中文人妻在线一区二区三区|
无码精品国产VA在线观看|
国产网红无码精品视频|
老司机亚洲精品影院无码|