一种基于串行链路的工业网络安全防护方法技术

本发明专利技术公开了一种基于串行链路的工业网络安全防护方法和装置，包括：接收模块、第一筛选模块、第二筛选模块和传送模块，通过接收Modbus-RTU请求报文，并将所接收的请求报文保存至防火墙的缓存区，根据所保存的请求报文的循环冗余校验结果、报文长度和功能码范围，筛选出符合Modbus-RTU的报文，按照预设规则检查所筛选出报文的参数，并根据白名单或者黑名单规则再次筛选检查后的报文，获取再次筛选后的报文进行传送，这样可以有效的鉴别符合Modbus-RTU协议数据进行传输，从而可以防止恶意的信息破坏，防止管理人员的误操作保证了数据传输的正确性和安全性。

Industrial network security protection method based on serial link

The invention discloses an industrial network security protection method and device based on serial link comprises a receiving module, a first filter module, second filter module and a transmission module, by receiving the Modbus-RTU request message, and buffer the received request message to the preservation of the firewall, according to the results, the cyclic redundancy check request message saved the packet length and the function code range, selected in line with the Modbus-RTU message, according to predetermined rules check the selected message parameters, and according to the whitelist or blacklist rules again check after screening the message, get the message again after screening for transmission, which can effectively identify with Modbus-RTU protocol data transmission. In order to prevent malicious destruction of information, to prevent misuse of management personnel to ensure the accuracy of data transmission and Security.

【技术实现步骤摘要】
一种基于串行链路的工业网络安全防护方法
本专利技术涉及互联网
，尤指一种基于串行链路的工业网络安全防护方法和装置。
技术介绍
目前，随着工业4.0概念的普及，智能化、互联化是未来工业控制系统发展的重要趋势，从而越来越多的工业控制设备会接入到互联网中，其安全问题也成为影响工业控制系统稳定运行的一个重要因素。现有技术中，工业设备控制系统的工业设备更新慢，大量的工业设备依然是基于串行链路来进行通信和管理，同时，通过串口以太网转换器将这些工业设备连接到以太网中。但是，针对基于串行链路的工业网络的安全防护一直处于空白状态，无法对串行链路通信的数据进行有效的鉴别，从而无法防止恶意的信息破坏，也无法防止管理人员的误操作。
技术实现思路
为了解决上述技术问题，本专利技术提供了一种基于串行链路的工业网络的安全防护方法和装置，对串行链路通信的数据进行有效的鉴别，防止恶意的信息破坏和管理人员的误操作，保证数据传输的正确性和安全性。第一方面，本专利技术实施例提供一种基于串行链路的工业网络的安全防护方法，该方法包括：接收Modbus-RTU请求报文，并将所接收的请求报文保存至防火墙的缓存区；根据所保存的请求报文的循环冗余校验结果、报文长度和功能码范围，筛选出符合Modbus-RTU的报文；按照预设规则检查所筛选出报文的参数，并根据白名单或者黑名单规则再次筛选检查后的报文；获取再次筛选后的报文进行传送。第二方面，本专利技术实施例提供一种基于串行链路的工业网络的安全防护装置，该装置包括：接收模块、第一筛选模块、第二筛选模块和传送模块；所述接收模块，用于接收Modbus-RTU请求报文，并将所接收的请求报文保存至防火墙的缓存区；所述第一筛选模块，用于根据所保存的请求报文的循环冗余校验结果、报文长度和功能码范围，筛选出符合Modbus-RTU的报文；所述第二筛选模块，用于按照预设规则检查所筛选出报文的参数，并根据白名单或者黑名单规则再次筛选检查后的报文；所述传送模块，用于获取再次筛选后的报文进行传送。本专利技术实施例提供的一种基于串行链路的工业网络安全防护方法和装置，包括：接收模块、第一筛选模块、第二筛选模块和传送模块，通过接收Modbus-RTU请求报文，并将所接收的请求报文保存至防火墙的缓存区，根据所保存的请求报文的循环冗余校验结果、报文长度和功能码范围，筛选出符合Modbus-RTU的报文，按照预设规则检查所筛选出报文的参数，并根据白名单或者黑名单规则再次筛选检查后的报文，获取再次筛选后的报文进行传送，这样可以有效的鉴别符合Modbus-RTU协议数据进行传输，从而可以防止恶意的信息破坏，防止管理人员的误操作保证了数据传输的正确性和安全性。本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本专利技术技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本专利技术的技术方案，并不构成对本专利技术技术方案的限制。图1为本专利技术提供的基于串行链路的工业网络安全防护方法实施例一的流程示意图；图2为本专利技术提供的基于串行链路的工业网络安全防护装置实施例一的交互流程示意图；图3为本专利技术提供的基于串行链路的工业网络安全防护装置实施例二的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机装置中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本专利技术实施例涉及的方法可以用于基于串行链路的工业网络，该工业网络可以是由多个工业设备通过RS-232或者RS-485串口进行通信，并通过以太网转换器接入互联网的智能化工业网络。本专利技术实施例涉及的方法，旨在解决现有技术中针对基于串行链路的工业网络的安全防护一直处于空白状态，无法对串行链路通信的数据进行有效的鉴别和保护，从而无法防止恶意的信息破坏，也无法防止管理人员的误操作的技术问题。下面以具体地实施例对本专利技术的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。图1为本专利技术提供的一种基于串行链路的工业网络安全防护方法实施例一的流程示意图，本实施例涉及的是如何筛选出串行链路上符合用户要求的Modbus-RTU协议数据的具体过程。如图1所示，该方法包括：S101、接收Modbus-RTU请求报文，并将所接收的请求报文保存至防火墙的缓存区。具体的，根据工业网络中工业设备中数据的传输路径，指定防火墙的输入串口和输出串口，例如：可以指定防火墙的输入串口与支持Modbus-RTU的主设备相连，防火墙的输出串口与支持Modbus-RTU的从设备相连，其中，该Modbus-RTU可以是Modbus-RTU协议，该Modbus-RTU协议是Modbus通信协议中针对串行链路部分，然后分别设置防火墙的输入串口和输出串口相对应的串口参数，该串口参数包括串口波特率、数据位、停止位、校验位等，但并不限于此。另外，针对各种工业现场环境的考虑，不同工业设备的串口通信模式和串口传输参数也可能不同，例如常用的RS-232和RS-485串口通信接口所能够传输的距离、速度以及传输数据的稳定性就存在较大差异，因此，通过设置串口的通信模式和参数分别可实现不同通信模式和传输参数的串口之间进行正确、稳定的数据通信。防火墙的输入串口会向主设备接收需要传输的Modbus-RTU请求报文，该报文包括多个字符，并根据Modbus-RTU协议规范，每当确定超过3.5字符传输时间后，即将接收到的字符作为一帧数据保存到防火墙的缓存区中，但并不限于此。S102、根据所保存的请求报文的循环冗余校验结果、报文长度和功能码范围，筛选出符合Modbus-RTU的报文。具体的，将所保存的报文进行循环冗余校验(CyclicRedundancyCheck，简称：CRC校验)，该校验可以通过多项式计算对数据传输检错，并将得到的结果附在帧的后面，确认该报文的CRC校验的正确性以及报文长度和功能码范围的完整性，从而筛选出符合Modbus-RTU的报文，并且还可以根据用户的实际需求，根据安全检查策略设置检查报文的预设规则，按照预设规则来检查符合Modbus-RTU规范的报文，从而可以防止管理人员的误操作。S103、按照预设规则检查所筛选出报文的参数，并根据白名单或者黑名单规则再次筛选检查后的报文。具体的，可以根据用户的实际需求设置报文的安全检查策略，可以预设规则来检查所筛选的报文，该预设规则可以设置需要过滤或保护的参数，按照预设规则来检查所筛选出报文的参数，将检查后的报文根据白名单或者黑名单规则进行再次筛选，从而可以防止管理人员的误操作。S104、获取再次筛选后的报文进行传送。具体的，通过上述有效的鉴别，将筛选出的报文通过指定的输出串口进行传送，从而可以防止恶意的信息破坏，保证了数据传本文档来自技高网...

【技术保护点】
一种基于串行链路的工业网络安全防护方法，其特征在于，所述方法包括：接收Modbus‑RTU请求报文，并将所接收的请求报文保存至防火墙的缓存区；根据所保存的请求报文的循环冗余校验结果、报文长度和功能码范围，筛选出符合Modbus‑RTU的报文；按照预设规则检查所筛选出报文的参数，并根据白名单或者黑名单规则再次筛选检查后的报文；获取再次筛选后的报文进行传送。

【技术特征摘要】
1.一种基于串行链路的工业网络安全防护方法，其特征在于，所述方法包括：接收Modbus-RTU请求报文，并将所接收的请求报文保存至防火墙的缓存区；根据所保存的请求报文的循环冗余校验结果、报文长度和功能码范围，筛选出符合Modbus-RTU的报文；按照预设规则检查所筛选出报文的参数，并根据白名单或者黑名单规则再次筛选检查后的报文；获取再次筛选后的报文进行传送。2.根据权利要求1所述的方法，其特征在于，还包括：若筛选出不符合Modbus-RTU的报文，则丢弃所述报文。3.根据权利要求1所述的方法，其特征在于，所述参数包括：设备标识号、功能码、寄存器地址和寄存器值的范围。4.根据权利要求1所述的方法，其特征在于，所述白名单规则包括：若检查后的报文的参数全部符合预设规则，则将所述检查后的报文进行传输；若检查后的报文的参数有任一项不符合预设规则，则将所述检查后的报文进行丢弃。5.根据权利要求1所述的方法，其特征在于，所述黑名单规则包括：若检查后的报文的参数全部不符合预设规则，则将所述检查后的报文进行传输；若检查后的报文的参数有任一项符合预设规则，则将所述检查后的报文进行丢弃。6.一种基于串行链路的工业网络安全防护装置，其特征在于，所述装置包括：接收模块、第一筛...

【专利技术属性】
技术研发人员：张刚强，孟庆森，张帅，
申请(专利权)人：北京网御星云信息技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京,11