CN110166450A - 基于工业以太网的数据传输方法、装置以及通信设备 - Google Patents
基于工业以太网的数据传输方法、装置以及通信设备 Download PDFInfo
- Publication number
- CN110166450A CN110166450A CN201910412689.1A CN201910412689A CN110166450A CN 110166450 A CN110166450 A CN 110166450A CN 201910412689 A CN201910412689 A CN 201910412689A CN 110166450 A CN110166450 A CN 110166450A
- Authority
- CN
- China
- Prior art keywords
- access request
- message
- request message
- parsing
- industrial equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请涉及一种基于工业以太网的数据传输方法、装置以及通信设备。其中方法包括:包括:根据工业设备的配置信息映射端口,其中,配置信息包括工业设备的MAC地址;采用映射后的端口接收网络侧传输的包括工业设备的MAC地址的访问请求报文,并对访问请求报文进行解析;根据解析后的报文内容对访问请求报文进行验证;当验证通过时,向工业设备发送访问请求报文。采用本方法通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址,从而由通信设备负责与网络侧进行通信,而工业设备在网络侧则不可见,因此,有效的提高了工业设备的安全性,且保障了数据的私密性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种基于工业以太网的数据传输方法、装置以及通信设备。
背景技术
随着通信技术的发展,通过以太网构建网络在工业场景中的应用较为广泛。越来越多的设备都能通过网络进行互联。如图1所示,按照传统的网络架构,通过将工业设备10直接连接到网络上,服务器或者远程客户端20就可以通过网络直接访问连接到网络的工业设备10。
然而,连接到网络的工业设备10却存在容易受到网络攻击的风险,导致***安全性较低。
发明内容
基于此,有必要针对上述***安全性较低的问题,提供一种能够有效提高***安全性的基于工业以太网的数据传输方法、装置以及通信设备。
为了实现上述目的,一方面,本申请实施例提供了一种基于工业以太网的数据传输方法,包括:根据工业设备的配置信息映射端口,其中,配置信息包括工业设备的MAC地址;采用映射后的端口接收网络侧传输的包括工业设备的MAC地址的访问请求报文,并对访问请求报文进行解析;根据解析后的报文内容对访问请求报文进行验证;当验证通过时,向工业设备发送访问请求报文。
在其中一个实施例中,当验证通过后,所述方法还包括:对访问请求报文进行格式转换;则向工业设备发送访问请求报文,包括:向工业设备发送进行格式转换后的访问请求报文。
在其中一个实施例中,解析后的报文内容包括源地址;则根据解析后的报文内容对访问请求报文进行验证,包括:当预存的网络地址白名单中存在解析后的源地址时,则验证通过;当预存的网络地址白名单中不存在解析后的源地址时,则丢弃访问请求报文。
在其中一个实施例中,解析后的报文内容包括报文格式;当预存的网络地址白名单中存在解析后的源地址时,则根据解析后的报文内容对访问请求报文进行验证,还包括:当解析后的报文格式与预设的网络报文格式相匹配时,则验证通过;当解析后的报文格式与预设的网络报文格式不匹配时,则丢弃访问请求报文。
在其中一个实施例中,解析后的报文内容包括报文数据;当解析后的报文格式与预设的网络报文格式相匹配时,则根据解析后的报文内容对访问请求报文进行验证,还包括:当解析后的报文数据满足预设的过滤条件时,则验证通过;当解析后的报文数据不满足预设的过滤条件时,则丢弃访问请求报文。
另一方面,本申请实施例还提供了一种基于工业以太网的数据传输方法,包括:根据工业设备的配置信息映射端口,其中,配置信息包括工业设备的MAC地址;采用映射后的端口接收工业设备侧发送的数据包,其中,数据包携带了源地址和目标地址;当源地址与工业设备的MAC地址相匹配时,则根据目标地址对数据包进行验证;当验证通过时,向网络侧发送数据包。
在其中一个实施例中,当验证通过后,所述方法还包括:对数据包进行格式转换;则向网络侧发送数据包,包括:向网络侧发送进行格式转换后的数据包。
在其中一个实施例中,根据目标地址对数据包进行验证,包括:当预存的网络地址白名单中存在相同的目标地址时,则验证通过;当预存的网络地址白名单中不存在相同的目标地址时,则丢弃数据包。
又一方面,本申请实施例还提供了一种基于工业以太网的数据传输装置,包括:配置模块,用于根据工业设备的配置信息映射端口,配置信息包括工业设备的MAC地址;接收模块,用于接收网络侧传输的包括工业设备的MAC地址的访问请求报文;解析模块,用于对访问请求报文进行解析;验证模块,用于根据解析后的报文内容对访问请求报文进行验证;发送模块,用于当验证通过时,向工业设备发送访问请求报文。
再一方面,本申请实施例还提供了一种通信设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行计算机程序时实现如上所述方法的步骤。
上述基于工业以太网的数据传输方法、装置以及通信设备,通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址,从而由通信设备负责与网络侧进行通信,而工业设备在网络侧则不可见,因此,有效的提高了工业设备的安全性,且保障了数据的私密性。
附图说明
图1为工业以太网中采用传统技术进行数据传输的应用环境图;
图2为一个实施例中基于工业以太网的数据传输方法的应用环境图;
图3为工业以太网中采用传统技术进行数据传输的另一种应用环境图;
图4为另一个实施例中基于工业以太网的数据传输方法的应用环境图;
图5为一个实施例中基于工业以太网的数据传输方法的流程示意图;
图6为另一个实施例中基于工业以太网的数据传输方法的流程示意图;
图7为又一个实施例中基于工业以太网的数据传输方法的流程示意图;
图8为再一个实施例中基于工业以太网的数据传输方法的流程示意图;
图9为一个实施例中基于工业以太网的数据传输方法的流程示意图;
图10为一个实施例中基于工业以太网的数据传输装置的结构框图;
图11为一个实施例中基于工业以太网的数据传输装置的内部结构图;
图12为一个实施例中通信设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的基于工业以太网的数据传输方法,可以应用于如图2所示的应用环境中。如图2所示,远程设备102通过网络与工业设备104通信连接,其中,工业设备104与网络之间设置有通信设备106,该通信设备106运行在数据链路层,且映射工业设备104的MAC地址(Media Access Control Address,媒体访问控制地址),使得工业设备104通过通信设备106与网络中的远程设备102进行数据交互,从而避免了工业设备104直接与网络的交互,有效的提高了工业设备104的安全性。在本实施例中,远程设备102可以是服务器或远程客户端,其中服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现,远程客户端则可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。工业设备104可以是各种电机设备或控制器设备等。
通常,在工业应用中,工业设备104也可以是由多个网络模块组成的网络型工业设备。如图3所示,工业设备104本身就可以是一个复杂的***,包含多个网络模块,例如,工业设备104包括一个主控单元,同时包括n个部件,其具体可以是网络型驱动器、网络型IO模块、网络型信号采集模块等。如按照传统的方式,该工业设备104的所有单元都需要连接到网络上,从而各单元都存在容易受到网络攻击的风险,因此,对工业设备104各单元的安全性要求更高,且主控单元与各部件间的交互数据在整个网络可见,不具有保密性。
而本申请中的方案,如图4所示,通过将工业设备104的各单元连接到通信设备106,且将工业设备104的主控单元的MAC地址映射到通信设备106,使得工业设备104的各单元可以通过通信设备106与网络进行通信,因此,在网络侧只能看到通信设备106,而不能直接访问工业设备104的各单元,且工业设备104内各单元间的交互数据对网络不可见,从而有效的提高了工业设备104的安全性,降低了对工业设备104各单元的安全性要求,且保障了数据的私密性。
在一个实施例中,如图5所示,提供了一种基于工业以太网的数据传输方法,以该方法应用于图2或图4中的通信设备为例进行说明,其具体应用于通信设备从网络侧接收数据并向设备侧转发,该方法包括如下步骤:
步骤502,根据工业设备的配置信息映射端口。
其中,配置信息包括工业设备的MAC地址,因此,通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址,从而由通信设备负责与网络侧进行通信,而工业设备在网络侧则不可见。
步骤504,采用映射后的端口接收网络侧传输的包括工业设备的MAC地址的访问请求报文,并对访问请求报文进行解析。
当网络侧需要访问工业设备时,则发送相应的访问请求报文,其中,访问请求报文中携带了目标地址,即工业设备的MAC地址。由于通信设备映射了工业设备的MAC地址,因此由映射后的通信设备负责与网络侧进行通信,因此,网络侧发送的包含了工业设备的MAC地址的访问请求报文由映射后的通信设备接收。通信设备接收到网络侧传输的访问请求报文后,对访问请求报文进行解析,以获取解析后的报文内容。
步骤506,根据解析后的报文内容对访问请求报文进行验证。
其中,解析后的报文内容可以包括源地址、报文格式以及报文数据等。通信设备则根据上述解析后的报文内容对访问请求报文进行验证,以验证访问请求报文的合法性。
步骤508,当验证通过时,向工业设备发送访问请求报文。
当验证通过时,则表明该访问请求报文合法,因此,通信设备向工业设备转发该合法的访问请求报文。
步骤510,当验证不通过时,则丢弃对应的访问请求报文。
上述基于工业以太网的数据传输方法,通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址,从而由通信设备负责与网络侧进行通信,而工业设备在网络侧则不可见,因此,降低了工业设备被网络直接攻击的风险,有效的提高了工业设备的安全性,且保障了数据交互的私密性。
在一个实施例中,解析后的报文内容包括源地址;则根据解析后的报文内容对访问请求报文进行验证,具体可以包括:根据解析后的源地址对访问请求报文进行验证,当预存的网络地址白名单中存在对应的源地址时,则表示验证通过;当预存的网络地址白名单中不存在对应的源地址时,则表示验证不通过。在本实施例中,当验证不通过时,则丢弃对应的访问请求报文。本实施例通过对访问请求报文中源地址的验证,从而确保对应的访问请求报文的传输路径合法后再转发至工业设备,避免工业设备遭遇非法攻击。
在一个实施例中,解析后的报文内容还可以包括报文格式;当预存的网络地址白名单中存在对应的源地址时,则根据解析后的报文内容对访问请求报文进行验证还可以包括:根据解析后的报文格式对访问请求报文进行验证。其中,报文格式是指访问请求报文所属的协议类型,如超文本传输协议HTTP(HyperText Transfer Protocol)就是应用较为广泛的一种网络协议。在本实施例中,当解析后的报文格式与预设的网络报文格式相匹配时,则表示验证通过;当解析后的报文格式与预设的网络报文格式不匹配时,则表示验证不通过,从而可以丢弃对应的访问请求报文。
具体的,在本实施例中,可以将访问请求报文的报文格式作为进一步的验证条件。由于正常情况下网络中传输报文的报文格式通常为标准格式,因此,可以将常用的标准格式预先设置为安全的网络报文格式,只有当接收的访问请求报文的报文格式属于安全的网络报文格式时才转发至工业设备,从而进一步提高了工业设备的安全性。
在一个实施例中,解析后的报文内容还可以包括报文数据;当解析后的报文格式与预设的网络报文格式相匹配时,则根据解析后的报文内容对访问请求报文进行验证还可以包括:根据解析后的报文数据对访问请求报文进行验证。在本实施例中,通信设备可以根据工业设备的应用场景或是特殊性,预先设置一定的符合工业设备特性的数据过滤条件。当解析后的报文数据满足预设的过滤条件时,则验证通过;当解析后的报文数据不满足预设的过滤条件时,则验证不通过,从而可以丢弃对应的访问请求报文。
具体的,假设某一工业设备对时延的要求较高,因此其不希望在接收数据时占用大量的带宽而影响工业设备的正常运转,因此,可以通过通信设备预先设置可接收数据大小的数据过滤条件,只有当解析后的报文数据的数据大小满足数据过滤条件时,才将对应的访问请求报文转发至工业设备。因此,在满足安全性要求的情况下,还提高了***的灵活性。另外,在本实施例中,工业设备也可以根据自身的实际情况,在应用层做进一步的安全保护措施,如在应用层增加其他的过滤条件,从而更有利于定制方案的实现。
在一个实施例中,如图6所示,当验证通过后,上述基于工业以太网的数据传输方法还可以包括如下步骤:
步骤507,对访问请求报文进行格式转换。
具体的,由于正常情况下网络中传输报文的报文格式通常遵循标准网络协议,如HTTP、TCP(Transmission Control Protocol,传输控制协议)或FTP(File TransferProtocol,文件传输协议)等,而工业设备内部运行的数据传输格式则可以是标准的物理层协议,也可以是根据生产要求进行订制的个性化协议。因此,通信设备对访问请求报文进行验证并通过后,则可以进一步根据工业设备的格式要求对该访问请求报文进行格式转换,从而将具有标准网络协议的访问请求报文转换为适应工业设备需求的协议格式的报文,进而向工业设备发送进行格式转换后的访问请求报文。
具体的,当工业设备为如图4所示的包括一个主控单元以及n个部件的复杂***时,通信设备将进行格式转换后的访问请求报文发送给主控单元,主控单元则根据访问请求报文的具体命令对其他各部件进行控制,或者根据访问请求报文向通信设备返回对应的数据。从而使得工业设备内部的数据交互对网络侧不可见,进而提高了工业设备内部数据交互的保密性及安全性。
在一个实施例中,如图7所示,还提供了一种基于工业以太网的数据传输方法,以该方法应用于图2或图4中的通信设备为例进行说明,其具体应用于通信设备从设备侧接收数据并向网络侧转发,该方法包括如下步骤:
步骤702,根据工业设备的配置信息映射端口。
其中,配置信息包括工业设备的MAC地址,因此,通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址,从而由通信设备负责与网络侧进行通信,而工业设备在网络侧则不可见。
步骤704,采用映射后的端口接收工业设备侧发送的数据包,数据包携带了源地址和目标地址。
步骤706,当源地址与工业设备的MAC地址相匹配时,则根据目标地址对数据包进行验证。
步骤708,当验证通过时,向网络侧发送数据包。
步骤710,当验证不通过时,则丢弃对应的数据包。
在本实施例中,通信设备接收设备侧发送的数据包,并根据数据包中携带的源地址判断数据包是否由映射的工业设备发送,当源地址与映射的工业设备的MAC地址相同时,则进一步根据目标地址对数据包进行验证。当验证通过时,则向网络侧转发对应的数据包,否则丢弃对应的数据包。
上述基于工业以太网的数据传输方法,通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址,当工业设备需要向网络侧传输数据时,由通信设备向网络侧转发,而工业设备在网络侧则不可见,因此,降低了工业设备被网络直接攻击的风险,有效的提高了工业设备的安全性。
在一个实施例中,根据目标地址对数据包进行验证,具体可以包括:当预存的网络地址白名单中存在相同的目标地址时,则表示验证通过。当预存的网络地址白名单中不存在相同的目标地址时,则表示验证不通过,从而丢弃对应的数据包。本实施例通过对数据包中源地址和目标地址进行验证,从而确保数据包的传输路径合法后再向网络侧转发,避免将工业设备内部交互的数据泄露至网络,进而提高了数据传输的安全性。
在一个实施例中,如图8所示,当验证通过后,上述基于工业以太网的数据传输方法还可以包括如下步骤:
步骤707,对数据包进行格式转换。
具体的,由于正常情况下网络中传输报文的报文格式通常遵循标准网络协议,如HTTP、TCP或FTP等,而工业设备内部运行的数据传输格式则可以是标准的物理层协议,也可以是根据生产要求进行订制的个性化协议。因此,通信设备对工业设备发送的数据包进行验证并通过后,则可以进一步对数据包的格式进行转换,从而将具有个性化格式的数据包转换为具有标准网络格式的网络报文,进而向网络侧发送进行格式转换后的网络报文,以为设备侧与网络侧之间建立安全便捷的通信桥梁。
在一个实施例中,如图9所示,提供了一种基于工业以太网的数据传输方法,以该方法应用于图2或图4中的通信设备为例进行说明,具体包括如下步骤:
步骤902,通信设备上电并进入初始等待状态。
步骤904,接收工业设备的配置信息以映射端口。
其中,配置信息包括工业设备的MAC地址,通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址。当然,配置信息中还可以包括其他的配置参数,如网络地址白名单、常用的标准网络报文格式列表、适用于工业设备的报文格式列表和对应的格式转换协议以及其他的数据过滤条件等。
步骤906,通过工业设备启动通信设备的网络侧功能,使得通信设备进入工作模式。
步骤908,接收网络侧传输的访问请求报文或工业设备侧传输的数据包。
步骤910,当接收到网络侧传输的访问请求报文时,对访问请求报文的报文内容进行解析。
其中,报文内容包括源地址、目标地址、报文格式以及报文数据等。
步骤912,验证访问请求报文的源地址和目标地址。
步骤914,当验证通过时,对访问请求报文的报文格式进行验证;否则丢弃访问请求报文。
步骤916,当报文格式验证通过时,对访问请求报文的报文数据进行验证;否则丢弃访问请求报文。
步骤918,当报文数据验证通过时,对访问请求报文进行格式转换,以转换为与工业设备相对应的协议格式。
步骤920,向工业设备发送格式转换后的访问请求报文。
步骤922,当接收到工业设备侧传输的数据包时,对数据包的源地址和目标地址进行解析。
步骤924,对数据包的源地址和目标地址进行验证。
步骤926,当验证通过时,对数据包进行格式转换;否则丢弃数据包。
步骤928,向网络侧发送格式转换后的数据包。
上述基于工业以太网的数据传输方法,通过地址映射将工业设备的MAC地址映射到通信设备,使得通信设备具有与工业设备相同的MAC地址,从而由通信设备负责与网络侧进行通信,而工业设备在网络侧则不可见,因此,有效的提高了工业设备的安全性,且保障了数据的私密性。
应该理解的是,虽然图5-图9的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图5-图9中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图10所示,提供了一种基于工业以太网的数据传输装置,包括:配置模块1010、接收模块1020、解析模块1030、验证模块1040和发送模块1050,其中:
配置模块1010,用于根据工业设备的配置信息映射端口,其中,配置信息包括工业设备的MAC地址。接收模块1020,用于接收网络侧传输的包括工业设备的MAC地址的访问请求报文。解析模块1030,用于对访问请求报文进行解析。验证模块1040,用于根据解析后的报文内容对访问请求报文进行验证。发送模块1050,用于当验证通过时,向工业设备发送访问请求报文。
在一个实施例中,还包括格式转换模块1060,用于对访问请求报文进行格式转换。
在一个实施例中,接收模块1020还用于接收工业设备侧发送的数据包。解析模块1030还用于解析数据包的源地址和目标地址。验证模块1040还用于根据源地址和目标地址对数据包进行验证。发送模块1050还用于当验证通过时,向网络侧发送数据包。格式转换模块1060还用于对数据包进行格式转换。
关于基于工业以太网的数据传输装置的具体限定可以参见上文中对于基于工业以太网的数据传输方法的限定,在此不再赘述。上述基于工业以太网的数据传输装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个具体应用场景中,如图11所示,基于工业以太网的数据传输装置其内部结构具体可以包括网络侧状态管理及配置模块、设备侧状态管理及配置模块、网络侧与设备侧协议转换模块、设备侧与网络侧协议转换模块、网络侧数据链路层协议栈、设备侧数据链路层协议栈、网络侧数据报文过滤器、设备侧数据报文过滤器、网络侧物理Rx端口以及设备侧物理Tx端口。其中,网络侧状态管理及配置模块和设备侧状态管理及配置模块相当于图10中的配置模块1010;网络侧与设备侧协议转换模块、设备侧与网络侧协议转换模块、网络侧数据链路层协议栈以及设备侧数据链路层协议栈共同组成图10中的格式转换模块1060;网络侧数据报文过滤器和设备侧数据报文过滤器相当于图10中的验证模块1040;网络侧物理Rx端口以及设备侧物理Tx端口分别具有与图10中接收模块1020以及发送模块1050相同的功能。在一个实施例中,提供了一种通信设备,该通信设备可以是终端,其内部结构图可以如图11所示。该通信设备包括通过***总线连接的处理器、存储器和网络接口。其中,该通信设备的处理器用于提供计算和控制能力。该通信设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该通信设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于工业以太网的数据传输方法。
本领域技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的通信设备的限定,具体的通信设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种通信设备,包括存储器和处理器,其中,存储器存储有计算机程序,处理器执行该计算机程序时实现如下步骤:
根据工业设备的配置信息映射端口,其中,配置信息包括工业设备的MAC地址;采用映射后的端口接收网络侧传输的包括工业设备的MAC地址的访问请求报文,并对访问请求报文进行解析;根据解析后的报文内容对访问请求报文进行验证;当验证通过时,向工业设备发送访问请求报文。
在一个实施例中,当验证通过后,还包括:对访问请求报文进行格式转换;则向工业设备发送访问请求报文,包括:向工业设备发送进行格式转换后的访问请求报文。
在一个实施例中,解析后的报文内容包括源地址;则根据解析后的报文内容对访问请求报文进行验证,包括:当预存的网络地址白名单中存在源地址时,则验证通过;当预存的网络地址白名单中不存在源地址时,则丢弃对应的访问请求报文。
在一个实施例中,解析后的报文内容包括报文格式;则当预存的网络地址白名单中存在源地址时,根据解析后的报文内容对访问请求报文进行验证,还包括:当解析后的报文格式与预设的网络报文格式相匹配时,则验证通过;当解析后的报文格式与预设的网络报文格式不匹配时,则丢弃访问请求报文。
在一个实施例中,解析后的报文内容包括报文数据;则当解析后的报文格式与预设的网络报文格式相匹配时,根据解析后的报文内容对访问请求报文进行验证,还包括:当解析后的报文数据满足预设的过滤条件时,则验证通过;当解析后的报文数据不满足预设的过滤条件时,则丢弃访问请求报文。
在一个实施例中,处理器执行该计算机程序时还可以实现如下步骤:
根据工业设备的配置信息映射端口,其中,配置信息包括工业设备的MAC地址;采用映射后的端口接收工业设备侧发送的数据包,其中,数据包携带了源地址和目标地址;当源地址与工业设备的MAC地址相匹配时,则根据源地址和目标地址对数据包进行验证;当验证通过时,向网络侧发送数据包。
在一个实施例中,当验证通过后,还包括:对数据包进行格式转换;则向网络侧发送数据包,包括:向网络侧发送进行格式转换后的数据包。
在一个实施例中,根据源地址和目标地址对数据包进行验证,包括:当源地址与工业设备的MAC地址相匹配,且预存的网络地址白名单中存在相同的目标地址时,则验证通过;当源地址与工业设备的MAC地址不匹配,或者,预存的网络地址白名单中不存在相同的目标地址时,则丢弃数据包。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于工业以太网的数据传输方法,其特征在于,包括:
根据工业设备的配置信息映射端口,所述配置信息包括所述工业设备的MAC地址;
采用映射后的端口接收网络侧传输的包括所述工业设备的MAC地址的访问请求报文,并对所述访问请求报文进行解析;
根据解析后的报文内容对所述访问请求报文进行验证;
当验证通过时,向所述工业设备发送所述访问请求报文。
2.根据权利要求1所述的基于工业以太网的数据传输方法,其特征在于,当验证通过后,所述方法还包括:
对所述访问请求报文进行格式转换;
所述向所述工业设备发送所述访问请求报文,包括:
向所述工业设备发送进行格式转换后的访问请求报文。
3.根据权利要求1或2所述的基于工业以太网的数据传输方法,其特征在于,所述解析后的报文内容包括源地址;所述根据解析后的报文内容对所述访问请求报文进行验证,包括:
当预存的网络地址白名单中存在解析后的源地址时,则验证通过;
当预存的网络地址白名单中不存在解析后的源地址时,则丢弃所述访问请求报文。
4.根据权利要求3所述的基于工业以太网的数据传输方法,其特征在于,所述解析后的报文内容包括报文格式;所述当预存的网络地址白名单中存在解析后的源地址时,所述根据解析后的报文内容对所述访问请求报文进行验证,还包括:
当解析后的报文格式与预设的网络报文格式相匹配时,则验证通过;
当解析后的报文格式与预设的网络报文格式不匹配时,则丢弃所述访问请求报文。
5.根据权利要求4所述的基于工业以太网的数据传输方法,其特征在于,所述解析后的报文内容包括报文数据;所述当解析后的报文格式与预设的网络报文格式相匹配时,所述根据解析后的报文内容对所述访问请求报文进行验证,还包括:
当解析后的报文数据满足预设的过滤条件时,则验证通过;
当解析后的报文数据不满足预设的过滤条件时,则丢弃所述访问请求报文。
6.一种基于工业以太网的数据传输方法,其特征在于,包括:
根据工业设备的配置信息映射端口,所述配置信息包括所述工业设备的MAC地址;
采用映射后的端口接收工业设备侧发送的数据包,所述数据包携带了源地址和目标地址;
当所述源地址与所述工业设备的MAC地址相匹配时,则根据所述目标地址对所述数据包进行验证;
当验证通过时,向网络侧发送所述数据包。
7.根据权利要求6所述的基于工业以太网的数据传输方法,其特征在于,当验证通过后,所述方法还包括:
对所述数据包进行格式转换;
所述向网络侧发送所述数据包,包括:
向所述网络侧发送进行格式转换后的数据包。
8.根据权利要求6或7所述的基于工业以太网的数据传输方法,其特征在于,所述根据所述目标地址对所述数据包进行验证,包括:
当预存的网络地址白名单中存在相同的所述目标地址时,则验证通过;
当预存的网络地址白名单中不存在相同的所述目标地址时,则丢弃所述数据包。
9.一种基于工业以太网的数据传输装置,其特征在于,包括:
配置模块,用于根据工业设备的配置信息映射端口,所述配置信息包括所述工业设备的MAC地址;
接收模块,用于接收网络侧传输的包括所述工业设备的MAC地址的访问请求报文;
解析模块,用于对所述访问请求报文进行解析;
验证模块,用于根据解析后的报文内容对所述访问请求报文进行验证;
发送模块,用于当验证通过时,向所述工业设备发送所述访问请求报文。
10.一种通信设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910412689.1A CN110166450B (zh) | 2019-05-17 | 2019-05-17 | 基于工业以太网的数据传输方法、装置以及通信设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910412689.1A CN110166450B (zh) | 2019-05-17 | 2019-05-17 | 基于工业以太网的数据传输方法、装置以及通信设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110166450A true CN110166450A (zh) | 2019-08-23 |
| CN110166450B CN110166450B (zh) | 2021-11-05 |
Family
ID=67631132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910412689.1A Active CN110166450B (zh) | 2019-05-17 | 2019-05-17 | 基于工业以太网的数据传输方法、装置以及通信设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110166450B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929329A (zh) * | 2021-01-15 | 2021-06-08 | 西安交通大学 | 一种基于Ethernet/IP协议的集群控制***及其通信方法 |
| CN113194075A (zh) * | 2021-04-09 | 2021-07-30 | 海尔数字科技(青岛)有限公司 | 访问请求的处理方法、装置、设备及存储介质 |
| CN115297187A (zh) * | 2022-07-12 | 2022-11-04 | 重庆大学 | 一种网络通讯协议与总线协议的转换装置及集群*** |
| WO2023185823A1 (zh) * | 2022-03-30 | 2023-10-05 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1946053A (zh) * | 2006-01-14 | 2007-04-11 | 华为技术有限公司 | 一种运营商以太网与客户网络之间的数据传输方法和*** |
| CN101888296A (zh) * | 2010-01-20 | 2010-11-17 | 北京星网锐捷网络技术有限公司 | 一种影子用户检测方法、装置、设备和*** |
| CN103516820A (zh) * | 2012-06-25 | 2014-01-15 | 中兴通讯股份有限公司 | 基于mac地址的端口映射方法和装置 |
| WO2015127643A1 (en) * | 2014-02-28 | 2015-09-03 | Telefonaktiebolaget L M Ericsson (Publ) | Method and communication node for learning mac address in a layer-2 communication network |
| CN105208685A (zh) * | 2015-09-06 | 2015-12-30 | 杭州敦崇科技股份有限公司 | 代理ap的实现方法 |
| CN105939348A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | Mac地址认证方法以及装置 |
| CN106658426A (zh) * | 2016-12-02 | 2017-05-10 | 杭州华橙网络科技有限公司 | 一种基于无线WiFi的遥控通信建立方法及终端 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
-
2019
- 2019-05-17 CN CN201910412689.1A patent/CN110166450B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1946053A (zh) * | 2006-01-14 | 2007-04-11 | 华为技术有限公司 | 一种运营商以太网与客户网络之间的数据传输方法和*** |
| CN101888296A (zh) * | 2010-01-20 | 2010-11-17 | 北京星网锐捷网络技术有限公司 | 一种影子用户检测方法、装置、设备和*** |
| CN103516820A (zh) * | 2012-06-25 | 2014-01-15 | 中兴通讯股份有限公司 | 基于mac地址的端口映射方法和装置 |
| WO2015127643A1 (en) * | 2014-02-28 | 2015-09-03 | Telefonaktiebolaget L M Ericsson (Publ) | Method and communication node for learning mac address in a layer-2 communication network |
| CN105208685A (zh) * | 2015-09-06 | 2015-12-30 | 杭州敦崇科技股份有限公司 | 代理ap的实现方法 |
| CN105939348A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | Mac地址认证方法以及装置 |
| CN106658426A (zh) * | 2016-12-02 | 2017-05-10 | 杭州华橙网络科技有限公司 | 一种基于无线WiFi的遥控通信建立方法及终端 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929329A (zh) * | 2021-01-15 | 2021-06-08 | 西安交通大学 | 一种基于Ethernet/IP协议的集群控制***及其通信方法 |
| CN113194075A (zh) * | 2021-04-09 | 2021-07-30 | 海尔数字科技(青岛)有限公司 | 访问请求的处理方法、装置、设备及存储介质 |
| CN113194075B (zh) * | 2021-04-09 | 2023-04-18 | 海尔数字科技(青岛)有限公司 | 访问请求的处理方法、装置、设备及存储介质 |
| WO2023185823A1 (zh) * | 2022-03-30 | 2023-10-05 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
| CN115297187A (zh) * | 2022-07-12 | 2022-11-04 | 重庆大学 | 一种网络通讯协议与总线协议的转换装置及集群*** |
| CN115297187B (zh) * | 2022-07-12 | 2023-11-17 | 重庆大学 | 一种网络通讯协议与总线协议的转换装置及集群*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110166450B (zh) | 2021-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110166450A (zh) | 基于工业以太网的数据传输方法、装置以及通信设备 | |
| CN109543463A (zh) | 数据安全访问方法、装置、计算机设备及存储介质 | |
| CN110995956B (zh) | 基于LoRa的图片传输方法、装置、计算机设备及存储介质 | |
| US20230080588A1 (en) | Mqtt protocol simulation method and simulation device | |
| CN105491169A (zh) | 一种数据代理方法与*** | |
| CN109309684A (zh) | 一种业务访问方法、装置、终端、服务器及存储介质 | |
| CN105786630A (zh) | 一种基于中间件的Web API调控方法 | |
| US20200128042A1 (en) | Communication method and apparatus for an industrial control system | |
| DE60222455T2 (de) | Erstellung von Befehls-und Datenskripten zur Verwendung durch ein persönliches Sicherheitsgerät | |
| CN102035703A (zh) | 一种家庭无线网络及其实现方法 | |
| CN107734046A (zh) | 远程操作数据库的方法、服务端、客户端和*** | |
| CN110430276A (zh) | 基于docker的通信控制方法、装置、通信控制设备和存储介质 | |
| US20220061119A1 (en) | Accelerating control procedures over ble connection oriented services | |
| CN108259509A (zh) | 网络接入认证方法、***、计算机设备和存储介质 | |
| CN110365649A (zh) | 数据传输方法、数据接入设备、数据输出设备和*** | |
| CN101909011A (zh) | 报文传输方法、***、客户端和代理网关 | |
| CN111143857B (zh) | 一种数据分享方法、机器人控制器及存储介质 | |
| US11438448B2 (en) | Network application program product and method for processing application layer protocol | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| CN114205149A (zh) | 网络通信方法及装置 | |
| CN114095213A (zh) | 一种网络访问控制策略管理*** | |
| RU2633186C1 (ru) | Персональное устройство аутентификации и защиты данных | |
| JP2002026927A (ja) | カプセリング方法及び装置並びにプログラム記録媒体 | |
| CN113095940A (zh) | 基于同构多链的交易处理方法、区块链***、设备及介质 | |
| CN106600754A (zh) | 一种云计算虹膜识别门禁装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room W211, second floor, west block, Shenzhen Hong Kong industry university research base, South District, high tech Zone, Nanshan District, Shenzhen City, Guangdong Province Applicant after: Solid High Tech Co.,Ltd. Address before: Room W211, second floor, west block, Shenzhen Hong Kong industry university research base, South District, high tech Zone, Nanshan District, Shenzhen City, Guangdong Province Applicant before: GOOGOL TECHNOLOGY (SHENZHEN) Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |