CN114928486A - 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质 - Google Patents
一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质 Download PDFInfo
- Publication number
- CN114928486A CN114928486A CN202210538445.XA CN202210538445A CN114928486A CN 114928486 A CN114928486 A CN 114928486A CN 202210538445 A CN202210538445 A CN 202210538445A CN 114928486 A CN114928486 A CN 114928486A
- Authority
- CN
- China
- Prior art keywords
- upper computer
- digital certificate
- response message
- industrial control
- control protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质。通过连通与上位机的数字证书传输通道,与上位机建立基于数字证书的双向身份认证通道,并建立与上位机的加密传输链路,再接收来自上位机的请求报文,生成响应报文并对响应报文进行加密,将响应报文发回至上位机。针对外部入侵者容易利用工控协议传输且对于身份验证较为宽松的特点,极大提高了攻击终端设备(PLC)的难度,提高了终端设备(PLC)的安全性。同时,还解决了外部入侵者利用工控协议明文传输的特点,通过非法监听获取生产数据的技术问题,在不改变工控协议请求数据包的前提下,实现了安全摆渡且工控通信协议的适用范围广。
Description
技术领域
本申请属于工业控制网络安全技术领域,更具体的,涉及一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质。
背景技术
终端设备(如PLC)是专门为在工业环境下应用而设计的数字运算操作电子***。目前工业上使用的可编程逻辑控制器在功能上已经接近轻量级计算机,包括控制机器设备的数字量或模拟量输入/输出模块、制造处理流程及其他控制模块的电子***等。通常在工业控制现场中,工程师站等上位机与PLC等下位机一起构成一套完整的工业控制网络。上位机可以由外部网络直接连接终端设备,通过工控协议对下位机进行控制和数据采集,如获取测点数据、开关继电器、停止设备运行等。
随着工控环境从原本封闭隔离的局域网环境转变成开放互通的互联网环境,这种基于互信体系的控制***显得极为脆弱。攻击者可以利用工控协议对于身份验证较为宽松的特点,通过窃取与PLC通信的上位机的身份,从外部与工业局域网内部的终端设备建立通信连接,再通过对工控协议的监听、分析,截取并修改通信数据来实现控制终端设备。这种针对工业控制***攻击一旦发生,轻则导致数据泄露,关键生产资料被不法分子掌握,造成严重的经济损失;重则导致设备失控,甚至出现人员伤亡,给工业生产环境带来严重的安全隐患。
同时,由于绝大部分终端设备(plc)使用现有工控通信协议,大范围引进带有安全措施的新工控通信协议取代现有工控通信,不仅存在着较大的实施困难,而且也会显著地增加生产成本。
发明内容
有鉴于此,本申请提供了一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质,以解决入侵者通过伪造的身份接入终端设备,对终端设备植入恶意代码、进行危险操控和恶意嗅探数据等持续性危害的问题。
本申请的具体技术方案如下:
本申请第一方面提供一种基于数字证书的工控协议安全摆渡方法,包括:
连通与上位机的数字证书传输通道;
与上位机建立基于数字证书的双向身份认证通道,若身份认证不通过,则中断与上位机的数字证书传输通道;若身份认证通过,则建立与上位机的加密传输链路;
接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。
优选地,与上位机建立基于数字证书的双向身份认证通道具体为:
接收来自上位机的数字证书并对数字证书进行校验判断是否合法;
若校验不合法则发出警告信息,若校验合法则配置数字证书发送至上位机;
接收来自上位机的加密信息并进行解密,获取对称密钥;
采用对称密钥建立与上位机的加密传输链路。
优选地,所述数字证书的内容包括公钥、身份信息以及CA数字签名。
优选地,接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机具体为:
将请求报文转发至工业控制***内的终端设备;
终端设备根据请求报文生成响应报文并将响应报文原路返回;
接收来自终端设备的响应报文并进行加密后返回给上位机。
优选地,接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机具体为:
采集并缓存终端设备数据;
若请求报文是请求数据,则根据缓存的终端设备数据生成响应报文;
对响应报文加密并发送至上位机。
优选地,接收来自上位机的请求报文之后,对响应报文加密后发回至上位机之前,还进行:
对请求报文进行语义级解析,判断是否存在篡改数据;
若判断存在篡改数据,则对请求报文进行拦截;若判断不存在篡改数据,则与终端设备建立数据连接。
优选地,对请求报文进行语义级解析,判断是否存在篡改数据之后,还进行:
若判断请求报文存在篡改数据,则发送异常提醒信息至上位机。
本申请第二方面提供一种基于数字证书的工控协议安全摆渡装置,包括:
通信模块:用于连通与上位机的数字证书传输通道;
认证模块:用于与上位机建立基于数字证书的双向身份认证通道,若身份认证不通过,则中断与上位机的数字证书传输通道;若身份认证通过,则建立与上位机的加密传输链路;
加密模块:用于接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。
优选地,所述认证模块具体用于:
接收来自上位机的数字证书并对数字证书进行校验判断是否合法;
若校验不合法则发出警告信息,若校验合法则配置数字证书发送至上位机;
接收来自上位机的加密信息并进行解密,获取对称密钥;
采用对称密钥建立与上位机的加密传输链路。
优选地,所述数字证书的内容包括公钥、身份信息以及CA数字签名。
优选地,所述加密模块具体用于:
将请求报文转发至工业控制***内的终端设备;
终端设备根据请求报文生成响应报文并将响应报文原路返回;
接收来自终端设备的响应报文并进行加密后返回给上位机。
优选地,所述加密模块具体用于:
采集并缓存终端设备数据;
若请求报文是请求数据,则根据缓存的终端设备数据生成响应报文;
对响应报文加密并发送至上位机。
优选地,还包括解析模块,所述解析模块用于:
对请求报文进行语义级解析,判断是否存在篡改数据;
若判断存在篡改数据,则对请求报文进行拦截;若判断不存在篡改数据,则与终端设备建立数据连接。
优选地,还包括提醒模块,所述提醒模块用于:
若判断请求报文存在篡改数据,则发送异常提醒信息至上位机。
本申请第三方面提供一种基于数字证书的工控协议安全摆渡***,包括存储器和处理器,所述存储器中包括基于数字证书的工控协议安全摆渡程序,所述程序被所述处理器执行时,实现所述基于数字证书的工控协议安全摆渡方法的步骤。
本申请第四方面提供一种计算机可读存储介质,所述计算机可读存储介质中包括基于数字证书的工控协议安全摆渡程序,所述程序被处理器执行时,实现所述基于数字证书的工控协议安全摆渡方法的步骤。
综上所述,本申请提供了一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质。通过连通与上位机的数字证书传输通道,与上位机建立基于数字证书的双向身份认证通道,并建立与上位机的加密传输链路,再接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。针对外部入侵者容易利用工控协议传输且对于身份验证较为宽松的特点,极大提高了攻击终端设备(PLC)的难度,提高了终端设备(PLC)的安全性。同时,还解决了外部入侵者利用工控协议明文传输的特点,通过非法监听获取生产数据的技术问题,在不改变工控协议请求数据包的前提下,实现了安全摆渡且工控通信协议的适用范围广。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请基于数字证书的工控协议安全摆渡方法的流程图;
图2为本申请基于数字证书的工控协议安全摆渡装置的框图;
图3为本申请基于数字证书的工控协议安全摆渡***的框图。
具体实施方式
为使得本申请的目的、特征、优点能够更加的明显和易懂,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本申请实施例中,可编程逻辑控制器(Programmable Logic Controller)是一种专门为在工业环境下应用而设计的数字运算操作电子***。它采用一种可编程的存储器,在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程。
数字证书指在网络通讯中标志通讯各方身份信息的一个数字认证,可以用来识别对方的身份。
CA指证书的签发机构。
请参照图1,图1为本申请一种基于数字证书的工控协议安全摆渡方法的流程图。
本申请实施例提供一种基于数字证书的工控协议安全摆渡方法,包括:
S102:连通与上位机的数字证书传输通道;
S104:与上位机建立基于数字证书的双向身份认证通道,若身份认证不通过,则中断与上位机的数字证书传输通道;若身份认证通过,则建立与上位机的加密传输链路;
S106:接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。
需要说明的是,S102中实现了上位机和终端设备通信,并将所有外部会话进行安全摆渡,在网络层面上隔离上位机与终端设备。S104中通过双向身份认证通道,不持有合法数字证书的外部设备不能建立网络会话,进而无法访问终端设备。当网络中的上位机需要控制或获取终端设备数据时,必须先进行身份认证,认证通过后建立加密连接。S106中在通过校验的网络连接中,可与终端设备建立连接,再使用算法对报文来往的报文进行加解密运算。本申请的方法适用于以太网总线协议,还可以使用其他总线协议作为传输载体协议。
本申请的基于数字证书的工控协议安全摆渡方法针对外部入侵者容易利用工控协议传输且对于身份验证较为宽松的特点,极大提高了攻击终端设备(PLC)的难度;由于无法与终端设备直接建立网络会话,将针对终端设备(PLC)的攻击转化为针对上位机的攻击,提高了终端设备(PLC)的安全性。同时,还解决了外部入侵者利用工控协议明文传输的特点,通过非法监听获取生产数据的技术问题,在不改变工控协议请求数据包的前提下,实现了安全摆渡且工控通信协议的适用范围广。
根据本申请实施例,与上位机建立基于数字证书的双向身份认证通道具体为:
接收来自上位机的数字证书并对数字证书进行校验判断是否合法;
若校验不合法则发出警告信息,若校验合法则配置数字证书发送至上位机;
接收来自上位机的加密信息并进行解密,获取对称密钥;
采用对称密钥建立与上位机的加密传输链路。
需要说明的是,双向身份认证的过程是先接收、校验来自上位机的数字证书,再配置自己的数字证书发送至上位机进行校验,上位机通过产生随机数对接收到的数字证书中的公钥进行加密后发送至原处,最后接收来自上位机的加密信息并使用自己的私钥进行解密,从而获取对称密钥,完成双向身份认证。之后使用对称密钥建立与上位机的加密传输通道。
根据本申请实施例,所述数字证书的内容包括公钥、身份信息以及CA数字签名。
需要说明的是,使用数字证书实现身份识别和信息加密的过程中,数字证书中包含的公钥和私钥是特定的识别信息,通过检查识别信息来实现对证书持有者身份的认证。
根据本申请实施例,接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机具体为:
将请求报文转发至工业控制***内的终端设备;
终端设备根据请求报文生成响应报文并将响应报文原路返回;
接收来自终端设备的响应报文并进行加密后返回给上位机。
需要说明的是,该安全摆渡方法中由于摆渡工具可与终端设备相连接,请求报文可以转发至终端设备处理响应。
根据本申请实施例,接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机具体为:
采集并缓存终端设备数据;
若请求报文是请求数据,则根据缓存的终端设备数据生成响应报文;
对响应报文加密并发送至上位机。
需要说明的是,摆渡工具接收到上位机的请求后,可以根据情况使用缓存数据响应或把请求转发给终端设备,以便于减少数据响应的延迟和终端设备通信压力。
根据本申请实施例,接收来自上位机的请求报文之后,对响应报文加密后发回至上位机之前,还进行:
对请求报文进行语义级解析,判断是否存在篡改数据;
若判断存在篡改数据,则对请求报文进行拦截;若判断不存在篡改数据,则与终端设备建立数据连接。
需要说明的是,本方法可以对工控协议进行解析,阻止被篡改的报文通过并入侵至终端设备。
根据本申请实施例,对请求报文进行语义级解析,判断是否存在篡改数据之后,还进行:
若判断请求报文存在篡改数据,则发送异常提醒信息至上位机。
需要说明的是,本方法可以将被篡改的报文拦截,且向上位机发出异常提醒信息。
在本申请另一实施例中,接收来自上位机的数字证书并对数字证书进行校验具体为:
识别来自上位机的数字证书的签名信息以及授权信息;
判断签名信息与授权信息是否一致,若信息一致则校验通过;若信息不一致则校验不通过;
配置数字证书发送至上位机具体为:
识别来自上位机的数字证书的签名信息;
根据签名信息生成具有一定时效的随机口令;
对自身的数字证书引入随机口令发送至上位机。
需要说明的是,配置数字证书是指使用自身数字证书的公钥对其加密。签名信息指数字证书的基本信息,授权信息指由签发机构授权的用户信息,若两者不一致表明数字证书不合法。在数字证书校验通过后,以数字证书中的签名信息为基础,配置自己的数字证书。其中,签名信息可以包括用户ID信息、用户地址信息等。随机口令可以是通过对转码后的签名信息引入随机数和有效时间得到。
在本申请另一实施例中,生成响应报文并对响应报文加密具体为:
对响应报文的内容进行指纹算法运算得到响应报文的指纹信息;
根据响应报文的指纹信息配置签名算法;
采用签名算法对指纹信息进行签名加密。
需要说明的是,指纹算法可将响应报文信息转化为方便数据处理的指纹信息,签名算法可对这些指纹信息进行加密处理。指纹算法和签名算法可以采用本领域常规的算法规则。
在本申请另一实施例中,对请求报文进行语义级解析,判断是否存在篡改数据具体为:
对请求报文中起始行、头字段以及消息正文进行数据提取得到第一标识信息;
对请求报文的内容进行算法计算得到第二标识信息;
将第一标识信息与第二标识信息进行语义关联分析,判断是否一致,若两者信息一致,则不存在篡改数据;若两者信息不一致,则存在篡改数据。
需要说明的是,第一标识信息代表请求报文的呈现内容,第二标识信息代表请求报文的原始内容,若两者不一致表明请求报文可能被篡改。其中,语义关联分析可以是基于大数据技术对字段的属性和相似度进行分析。
请参照图2,图2为本申请一种基于数字证书的工控协议安全摆渡装置的框图。
本申请实施例提供一种基于数字证书的工控协议安全摆渡装置2,包括:
通信模块21:用于连通与上位机的数字证书传输通道;
认证模块22:用于与上位机建立基于数字证书的双向身份认证通道,若身份认证不通过,则中断与上位机的数字证书传输通道;若身份认证通过,则建立与上位机的加密传输链路;
加密模块23:接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。
本申请的基于数字证书的工控协议安全摆渡装置针对外部入侵者容易利用工控协议传输且对于身份验证较为宽松的特点,极大提高了攻击终端设备(PLC)的难度;由于无法与终端设备直接建立网络会话,将针对终端设备(PLC)的攻击转化为针对上位机的攻击,提高了终端设备(PLC)的安全性。同时,还解决了外部入侵者利用工控协议明文传输的特点,通过非法监听获取生产数据的技术问题,在不改变工控协议请求数据包的前提下,实现了安全摆渡且工控通信协议的适用范围广。
根据本申请实施例,所述认证模块具体用于:
接收来自上位机的数字证书并对数字证书进行校验判断是否合法;
若校验不合法则发出警告信息,若校验合法则配置数字证书发送至上位机;
接收来自上位机的加密信息并进行解密,获取对称密钥;
采用对称密钥建立与上位机的加密传输链路。
根据本申请实施例,所述数字证书的内容包括公钥、身份信息以及CA数字签名。
根据本申请实施例,所述加密模块具体用于:
将请求报文转发至工业控制***内的终端设备;
终端设备根据请求报文生成响应报文并将响应报文原路返回;
接收来自终端设备的响应报文并进行加密后返回给上位机。
根据本申请实施例,所述加密模块具体用于:
采集并缓存终端设备数据;
若请求报文是请求数据,则根据缓存的终端设备数据生成响应报文;
对响应报文加密并发送至上位机。
根据本申请实施例,还包括解析模块24,所述解析模块用于:
对请求报文进行语义级解析,判断是否存在篡改数据;
若判断存在篡改数据,则对请求报文进行拦截;若判断不存在篡改数据,则与终端设备建立数据连接。
需要说明的是,解析模块对工控协议进行语义级解析,防止被篡改的报文进入终端设备。
根据本申请实施例,还包括提醒模块25,所述提醒模块用于:
若判断请求报文存在篡改数据,则发送异常提醒信息至上位机。
需要说明的是,提醒模块用于当发现报文被篡改时,向上位机异常提醒信息,异常提醒信息用于提醒监控人员或运维人员对网络入侵进行监测。
在本申请另一实施例中,接收来自上位机的数字证书并对数字证书进行校验具体为:
识别来自上位机的数字证书的签名信息以及授权信息;
判断签名信息与授权信息是否一致,若信息一致则校验通过;若信息不一致则校验不通过;
配置数字证书发送至上位机具体为:
识别来自上位机的数字证书的签名信息;
根据签名信息生成具有一定时效的随机口令;
对自身的数字证书引入随机口令发送至上位机。
在本申请另一实施例中,生成响应报文并对响应报文加密具体为:
对响应报文的内容进行指纹算法运算得到响应报文的指纹信息;
根据响应报文的指纹信息配置签名算法;
采用签名算法对指纹信息进行签名加密。
在本申请另一实施例中,对请求报文进行语义级解析,判断是否存在篡改数据具体为:
对请求报文中起始行、头字段以及消息正文进行数据提取得到第一标识信息;
对请求报文的内容进行算法计算得到第二标识信息;
将第一标识信息与第二标识信息进行语义关联分析,判断是否一致,若两者信息一致,则不存在篡改数据;若两者信息不一致,则存在篡改数据。
请参照图3,图3为本申请一种基于数字证书的工控协议安全摆渡***的框图。
本申请实施例提供一种基于数字证书的工控协议安全摆渡***3,包括存储器31和处理器32,所述存储器31中包括基于数字证书的工控协议安全摆渡程序,所述程序被所述处理器32执行时,实现如下步骤:
连通与上位机的数字证书传输通道;
与上位机建立基于数字证书的双向身份认证通道,若身份认证不通过,则中断与上位机的数字证书传输通道;若身份认证通过,则建立与上位机的加密传输链路;
接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。
根据本申请实施例,与上位机建立基于数字证书的双向身份认证通道具体为:
接收来自上位机的数字证书并对数字证书进行校验判断是否合法;
若校验不合法则发出警告信息,若校验合法则配置数字证书发送至上位机;
接收来自上位机的加密信息并进行解密,获取对称密钥;
采用对称密钥建立与上位机的加密传输链路。
根据本申请实施例,所述数字证书的内容包括公钥、身份信息以及CA数字签名。
根据本申请实施例,生成响应报文并对响应报文加密后发回至上位机具体为:
将请求报文转发至工业控制***内的终端设备;
终端设备根据请求报文生成响应报文并将响应报文原路返回;
接收来自终端设备的响应报文并进行加密后返回给上位机。
根据本申请实施例,接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机具体为:
采集并缓存终端设备数据;
若请求报文是请求数据,则根据缓存的终端设备数据生成响应报文;
对响应报文加密并发送至上位机。
根据本申请实施例,接收来自上位机的请求报文之后,对响应报文加密后发回至上位机之前,还进行:
对请求报文进行语义级解析,判断是否存在篡改数据;
若判断存在篡改数据,则对请求报文进行拦截;若判断不存在篡改数据,则与终端设备建立数据连接。
根据本申请实施例,对请求报文进行语义级解析,判断是否存在篡改数据之后,还进行:
若判断请求报文存在篡改数据,则发送异常提醒信息至上位机。
在本申请另一实施例中,接收来自上位机的数字证书并对数字证书进行校验具体为:
识别来自上位机的数字证书的签名信息以及授权信息;
判断签名信息与授权信息是否一致,若信息一致则校验通过;若信息不一致则校验不通过;
配置数字证书发送至上位机具体为:
识别来自上位机的数字证书的签名信息;
根据签名信息生成具有一定时效的随机口令;
对自身的数字证书引入随机口令发送至上位机。
在本申请另一实施例中,生成响应报文并对响应报文加密具体为:
对响应报文的内容进行指纹算法运算得到响应报文的指纹信息;
根据响应报文的指纹信息配置签名算法;
采用签名算法对指纹信息进行签名加密。
在本申请另一实施例中,对请求报文进行语义级解析,判断是否存在篡改数据具体为:
对请求报文中起始行、头字段以及消息正文进行数据提取得到第一标识信息;
对请求报文的内容进行算法计算得到第二标识信息;
将第一标识信息与第二标识信息进行语义关联分析,判断是否一致,若两者信息一致,则不存在篡改数据;若两者信息不一致,则存在篡改数据。
本申请提供一种计算机可读存储介质,计算机可读存储介质中包括基于数字证书的工控协议安全摆渡程序,所述程序被处理器执行时,实现所述基于数字证书的工控协议安全摆渡方法的步骤,具体参见图1对方法步骤的描述,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种基于数字证书的工控协议安全摆渡方法,其特征在于,包括:
连通与上位机的数字证书传输通道;
与上位机建立基于数字证书的双向身份认证通道,若身份认证不通过,则中断与上位机的数字证书传输通道;若身份认证通过,则建立与上位机的加密传输链路;
接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。
2.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法,其特征在于,与上位机建立基于数字证书的双向身份认证通道具体为:
接收来自上位机的数字证书并对数字证书进行校验判断是否合法;
若校验不合法则发出警告信息,若校验合法则配置数字证书发送至上位机;
接收来自上位机的加密信息并进行解密,获取对称密钥;
采用对称密钥建立与上位机的加密传输链路。
3.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法,其特征在于,所述数字证书的内容包括公钥、身份信息以及CA数字签名。
4.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法,其特征在于,接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机具体为:
将请求报文转发至工业控制***内的终端设备;
终端设备根据请求报文生成响应报文并将响应报文原路返回;
接收来自终端设备的响应报文并进行加密后返回给上位机。
5.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法,其特征在于,接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机具体为:
采集并缓存终端设备数据;
若请求报文是请求数据,则根据缓存的终端设备数据生成响应报文;
对响应报文加密并发送至上位机。
6.根据权利要求1所述的基于数字证书的工控协议安全摆渡方法,其特征在于,接收来自上位机的请求报文之后,对响应报文加密后发回至上位机之前,还进行:
对请求报文进行语义级解析,判断是否存在篡改数据;
若判断存在篡改数据,则对请求报文进行拦截;若判断不存在篡改数据,则与终端设备建立数据连接。
7.根据权利要求6所述的基于数字证书的工控协议安全摆渡方法,其特征在于,对请求报文进行语义级解析,判断是否存在篡改数据之后,还进行:
若判断请求报文存在篡改数据,则发送异常提醒信息至上位机。
8.一种基于数字证书的工控协议安全摆渡装置,其特征在于,包括:
通信模块:用于连通与上位机的数字证书传输通道;
认证模块:用于与上位机建立基于数字证书的双向身份认证通道,若身份认证不通过,则中断与上位机的数字证书传输通道;若身份认证通过,则建立与上位机的加密传输链路;
加密模块:用于接收来自上位机的请求报文,生成响应报文并对响应报文加密后发回至上位机。
9.一种基于数字证书的工控协议安全摆渡***,其特征在于,包括存储器和处理器,所述存储器中包括基于数字证书的工控协议安全摆渡程序,所述程序被所述处理器执行时,实现如权利要求1~7任一项所述基于数字证书的工控协议安全摆渡方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括基于数字证书的工控协议安全摆渡程序,所述程序被处理器执行时,实现如权利要求1~7任一项所述基于数字证书的工控协议安全摆渡方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210538445.XA CN114928486B (zh) | 2022-05-18 | 2022-05-18 | 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210538445.XA CN114928486B (zh) | 2022-05-18 | 2022-05-18 | 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114928486A true CN114928486A (zh) | 2022-08-19 |
| CN114928486B CN114928486B (zh) | 2023-10-17 |
Family
ID=82809645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210538445.XA Active CN114928486B (zh) | 2022-05-18 | 2022-05-18 | 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114928486B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987688A (zh) * | 2023-03-20 | 2023-04-18 | 北京网藤科技有限公司 | 一种保障plc和上位机之间安全通信的方法及*** |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010127539A1 (zh) * | 2009-05-06 | 2010-11-11 | 中兴通讯股份有限公司 | 一种流媒体业务的接入认证方法及*** |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
| CN108337093A (zh) * | 2017-12-26 | 2018-07-27 | 福建联迪商用设备有限公司 | Pos设备身份识别方法、pos设备及服务器 |
| WO2018214719A1 (zh) * | 2017-05-26 | 2018-11-29 | 中国科学院沈阳自动化研究所 | 一种多融合联动响应的动态安全方法与*** |
| US20200013050A1 (en) * | 2018-07-06 | 2020-01-09 | Keir Finlow-Bates | Blockchain based payments for digital certificate provisioning of internet of things devices |
| CN111143856A (zh) * | 2019-12-27 | 2020-05-12 | 郑州信大捷安信息技术股份有限公司 | 一种plc远程固件升级***及方法 |
| CN111162911A (zh) * | 2019-12-27 | 2020-05-15 | 郑州信大捷安信息技术股份有限公司 | 一种plc固件升级***及方法 |
| CN211506488U (zh) * | 2020-03-05 | 2020-09-15 | 上海同裕机床设备有限公司 | 一种可信数据传输单元接入管理*** |
| CN113132388A (zh) * | 2021-04-21 | 2021-07-16 | 广东电网有限责任公司 | 一种数据安全交互方法及*** |
| CN113347004A (zh) * | 2021-06-04 | 2021-09-03 | 南京华盾电力信息安全测评有限公司 | 一种电力行业加密方法 |
| CN113364582A (zh) * | 2021-05-11 | 2021-09-07 | 国网浙江省电力有限公司电力科学研究院 | 一种变电站内通信密钥配置与更新管理的方法 |
-
2022
- 2022-05-18 CN CN202210538445.XA patent/CN114928486B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010127539A1 (zh) * | 2009-05-06 | 2010-11-11 | 中兴通讯股份有限公司 | 一种流媒体业务的接入认证方法及*** |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
| WO2018214719A1 (zh) * | 2017-05-26 | 2018-11-29 | 中国科学院沈阳自动化研究所 | 一种多融合联动响应的动态安全方法与*** |
| CN108337093A (zh) * | 2017-12-26 | 2018-07-27 | 福建联迪商用设备有限公司 | Pos设备身份识别方法、pos设备及服务器 |
| US20200013050A1 (en) * | 2018-07-06 | 2020-01-09 | Keir Finlow-Bates | Blockchain based payments for digital certificate provisioning of internet of things devices |
| CN111143856A (zh) * | 2019-12-27 | 2020-05-12 | 郑州信大捷安信息技术股份有限公司 | 一种plc远程固件升级***及方法 |
| CN111162911A (zh) * | 2019-12-27 | 2020-05-15 | 郑州信大捷安信息技术股份有限公司 | 一种plc固件升级***及方法 |
| CN211506488U (zh) * | 2020-03-05 | 2020-09-15 | 上海同裕机床设备有限公司 | 一种可信数据传输单元接入管理*** |
| CN113132388A (zh) * | 2021-04-21 | 2021-07-16 | 广东电网有限责任公司 | 一种数据安全交互方法及*** |
| CN113364582A (zh) * | 2021-05-11 | 2021-09-07 | 国网浙江省电力有限公司电力科学研究院 | 一种变电站内通信密钥配置与更新管理的方法 |
| CN113347004A (zh) * | 2021-06-04 | 2021-09-03 | 南京华盾电力信息安全测评有限公司 | 一种电力行业加密方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张菡、林浩: "PLC 控制***的上下位机安全通信方案", 信息技术与网络安全, no. 3, pages 65 - 70 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115987688A (zh) * | 2023-03-20 | 2023-04-18 | 北京网藤科技有限公司 | 一种保障plc和上位机之间安全通信的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114928486B (zh) | 2023-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11102226B2 (en) | Dynamic security method and system based on multi-fusion linkage response | |
| CN106789015B (zh) | 一种智能配电网通信安全*** | |
| Naik et al. | Cyber security—iot | |
| CN105656859B (zh) | 税控设备软件安全在线升级方法及*** | |
| CN103581173B (zh) | 一种基于工业以太网的数据安全传输方法、***及装置 | |
| KR101294280B1 (ko) | 패킷 미러링 방식으로 암호화된 https 통신 데이터를 모니터링하여 개인정보유출을 방지하는 개인정보 유출 방지 시스템 및 방법 | |
| CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
| CN104580233A (zh) | 一种物联网智能家居安全网关*** | |
| CN101695038A (zh) | 检测ssl加密数据安全性的方法及装置 | |
| CN107360175A (zh) | 车联网控车安全方法 | |
| CN113824705B (zh) | 一种Modbus TCP协议的安全加固方法 | |
| CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
| CN110099072A (zh) | 一种针对于工业物联网数据传输的安全防护方法 | |
| CN111787027A (zh) | 一种交通信息发布的安全防护***及方法 | |
| CN104883364A (zh) | 一种判断用户访问服务器异常的方法及装置 | |
| CN114928486B (zh) | 一种基于数字证书的工控协议安全摆渡方法、装置、***和存储介质 | |
| CN114553430A (zh) | 一种基于sdp的新型电力业务终端的安全接入*** | |
| CN107888548A (zh) | 一种信息验证方法及装置 | |
| CN107172078B (zh) | 一种基于应用服务的核心框架平台的安全管控方法和*** | |
| CN114189359B (zh) | 一种避免数据篡改的物联网设备、数据安全传输方法和*** | |
| CN112995140B (zh) | 安全管理***及方法 | |
| CN114640487B (zh) | 一种避免中断视频监控设备运行的gb35114标准实时检测***和方法 | |
| KR20110043371A (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
| CN110233735B (zh) | 一种并网电站工控***综合安全防护方法及*** | |
| CN103051639A (zh) | 一种可反脱机外挂的网络游戏反外挂***及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |