本申请提供了一种控制设备准入的方法、装置及相关产品。该方法包括:首先当检测到新设备计入控制系统局域网时,根据预设协议进行初步准入判断。当新设备满足初入准入条件之后,为新设备分配第一密钥,并利用该第一密钥对认证报文进行加密。当加密后的认证报文传输至设备端时,对加密后的认证报文含有的第一密钥与第二密钥进行比对验证。如果两者相同,表示认证成功,反馈认证成功结果。即表示新设备的端口为授权端口,运行用户访问。即通过预设协议初步准入判断和密钥加密方式进行二次判断,避免了只采用802.1X协议产生的适应性差的问题,提高了认证设备接入网络时的准确度,从而提高了控制设备的网络安全性。了控制设备的网络安全性。了控制设备的网络安全性。
【技术实现步骤摘要】
一种控制设备准入的方法、装置及相关产品
[0001]本申请涉及控制系统通信领域,尤其涉及一种控制设备准入的方法、装置及相关产品。
技术介绍
[0002]随着自动化控制技术的发展,越来越多的企业采用管理控制一体化控制系统,比如分布式控制系统(Distributed Control System)DCS。目前,对于管理控制一体化控制系统主要依赖于OPC软件对外提供实时数据。而OPC软件依赖的操作系统环境具有很大的安全漏洞,当由危险或易感染终端接入网络后,会存在网络攻击、勒索病毒等安全隐患,导致数据传输过程存在泄露风险。
[0003]现有技术可以采用基于802.1X协议作为终端接入网络的准入协议。即客户端端口安装802.1X协议的方式进行准入认证。具体过程为客户端发送认证请求,交换机把接收到的认证信息传递给认证服务器,认证服务器进行信息比对,来进行认证判断。然而,并非所有端口都可以安装802.1X协议,这使得该协议在使用过程中适配性差,进而认证设备准入网络的准确度低,从而导致控制设备的网络安全性差。
技术实现思路
[0004]有鉴于此,本申请提供了一种控制设备准入的方法、装置及相关产品,旨在通过预设协议进行初步准入判断,再利用密钥加密方法进行再次准入判断,从而避免只采用802.1X协议产生的适应性差的问题,提高认证设备准入网络的准确度,从而提升控制设备的网络安全性。
[0005]第一方面,本申请提供了一种控制设备准入的方法,所述方法包括:
[0006]当检测到新设备接入控制系统局域网时,根据预设协议对所述新设备进行初步准入判断;
[0007]响应于所述新设备满足初步准入条件,为所述新设备分配第一密钥;
[0008]根据所述第一密钥加密认证报文,并使加密后的所述认证报文传输至网络交换设备进行比对验证;
[0009]响应于所述第一密钥与第二密钥相同,反馈认证成功,确定所述新设备准入控制系统局域网。
[0010]可选的,所述根据所述第一密钥加密认证报文,并使加密后的所述认证报文传输至网络交换设备进行比对验证,包括:
[0011]根据预设加密算法和所述第一密钥加密所述认证报文;
[0012]将加密后的所述认证报文传输至交换设备的数据链路层;
[0013]解密加密后的所述认证报文获取所述第一密钥,并比对所述第一密钥与所述第二密钥是否相同进行验证。
[0014]可选的,所述为所述新设备分配第一密钥之后,所述方法还包括:
[0015]启动端口定时器;所述端口定时器用于获取预设时间对所述第一密钥进行定时更新;
[0016]根据所述端口定时器的预设时间对所述第一密钥和所述第二密钥进行定时更新;
[0017]所述响应于所述第一密钥与第二密钥相同,反馈认证成功,包括:
[0018]响应于定时更新后的所述第一密钥和所述第二密钥相同,反馈认证成功。
[0019]可选的,所述方法还包括:
[0020]响应于所述第一密钥与所述第二密钥不相同,反馈认证失败,确定所述新设备的端口为非授权端口;所述非授权端口为不允许用户访问的端口。
[0021]可选的,所述根据预设协议对所述新设备进行初步准入判断,包括:
[0022]判断所述新设备是否满足第一预设协议;
[0023]若是,则确定所述新设备满足初步准入条件;
[0024]如否,响应于所述新设备满足第二预设协议,确定所述新设备满足初步准入条件;所述第二预设协议为通过身份标识进行认证的协议。
[0025]可选的,所述方法还包括:
[0026]响应于新设备为首次登录的设备,为所述新设备分配第三密钥;所述第三密钥为端口专属密钥;
[0027]根据所述第三密钥对所述认证报文进行初次加密,并将加密后的认证报文传输至网络交换设备进行比对验证;
[0028]响应于所述第三密钥与第四密钥相同,确定所述新设备满足身份要求;
[0029]根据所述身份要求和所述预设协议确定所述新设备满足初步准入条件。
[0030]第二方面,本申请提供了一种控制设备准入的装置,该装置包括:
[0031]第一判断单元,用于当检测到新设备接入控制系统局域网时,根据预设协议对所述新设备进行初步准入判断;
[0032]分配单元,用于响应于所述新设备满足初步准入条件,为所述新设备分配第一密钥;
[0033]第二判断单元,用于根据所述第一密钥加密认证报文,并将加密后的所述认证报文传输至设备端进行比对验证;
[0034]响应单元,用于响应于所述第一密钥与第二密钥相同,反馈认证成功,确定所述新设备准入控制系统局域网。
[0035]第三方面,本申请实施例提供了一种电子设备。该设备包括:存储器和处理器。
[0036]存储器用于用于存储程序代码,并将程序代码传输给处理器。
[0037]处理器:用于根据程序代码中的指令执行第一方面中任一项所述控制设备准入的方法步骤。
[0038]第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储代码,所述代码被处理器执行时实现如第一方面中任一项所述控制设备准入的方法的步骤。
[0039]本申请提供了一种控制设备准入的方法、装置及相关产品。在执行所述方法时,首先当检测到新设备计入控制系统局域网时,根据预设协议进行初步准入判断。当新设备满足初入准入条件之后,为新设备分配第一密钥,并利用该第一密钥对认证报文进行加密。当
加密后的认证报文传输至设备端时,对加密后的认证报文含有的第一密钥与第二密钥进行比对验证。如果两者相同,表示认证成功,反馈认证成功结果。即表示新设备的端口为授权端口,运行用户访问。即通过预设协议初步准入判断和密钥加密方式进行二次判断,避免了只采用802.1X协议产生的适应性差的问题,从而提高认证设备准入网络的准确度,从而提升控制设备的网络安全性。
附图说明
[0040]为更清楚地说明本实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0041]图1为本申请实施例提供的一种控制设备准入的方法示例性应用场景图;
[0042]图2为本申请实施例提供的一种控制设备准入的方法流程图;
[0043]图3为本申请实施例提供的另一种控制设备准入的方法流程图;
[0044]图4为本申请实施例提供的另一种控制设备准入的方法流程图;
[0045]图5为本申请实施例提供的一种控制设备准入的装置结构示意图。
具体实施方式
[0046]本申请说明书和权利要求书及附图说明中的术语“第一”、“第二”“第三”、和“第四”等是用于区别不同对象,而不是用于限定特定顺序。
[0047]在本申请实施例中,“本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种控制设备准入的方法,其特征在于,所述方法包括:当检测到新设备接入控制系统局域网时,根据预设协议对所述新设备进行初步准入判断;响应于所述新设备满足初步准入条件,为所述新设备分配第一密钥;根据所述第一密钥加密认证报文,并使加密后的所述认证报文传输至网络交换设备进行比对验证;响应于所述第一密钥与第二密钥相同,反馈认证成功,确定所述新设备准入控制系统局域网。2.根据权利要求1所述方法,其特征在于,所述根据所述第一密钥加密认证报文,并使加密后的所述认证报文传输至网络交换设备进行比对验证,包括:根据预设加密算法和所述第一密钥加密所述认证报文;将加密后的所述认证报文传输至交换设备的数据链路层;解密加密后的所述认证报文获取所述第一密钥,并比对所述第一密钥与所述第二密钥是否相同进行验证。3.根据权利要求1所述方法,其特征在于,所述为所述新设备分配第一密钥之后,所述方法还包括:启动端口定时器;所述端口定时器用于获取预设时间对所述第一密钥进行定时更新;根据所述端口定时器的预设时间对所述第一密钥和所述第二密钥进行定时更新;所述响应于所述第一密钥与第二密钥相同,反馈认证成功,包括:响应于定时更新后的所述第一密钥和所述第二密钥相同,反馈认证成功。4.根据权利要求1所述方法,其特征在于,所述方法还包括:响应于所述第一密钥与所述第二密钥不相同,反馈认证失败,确定所述新设备的端口为非授权端口;所述非授权端口为不允许用户访问的端口。5.根据权利要求1所述方法,其特征在于,所述根据预设协议对所述新设备进行初步准入判断,包括:判断所述新设备是否满足第一预设协议;若是,则确定所述新设备满足初步准入条件;如否,响应于所述新设备满足第二预设协议,确定所述...
【专利技术属性】
技术研发人员:褚健,陈银桃,王磊阳,孙杭,罗冰,
申请(专利权)人:浙江中控技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。