【技术实现步骤摘要】
本专利技术涉及工业控制,更具体的说是涉及一种基于反向代理的工控协议访问控制系统和方法。
技术介绍
1、工业控制系统主要是用于监测、控制和自动化工业过程的意见和软件解决方案。随着数字化的浪潮,工业控制系统正朝着数字化和自动化的方向迅速发展。使用传感器、plc(可编程逻辑控制器)和现代控制算法,工业过程可以更精确、高效的管理。
2、而工业互联网的兴起使得工业设备能够实现更高程度的互联性和数据共享,云计算和云平台的应用使工业控制系统能够更好的实现远程监测、数据存储和分析。一些开源工业控制解决方案则变得更加流行,因为他们提供了低成本、可定制和可扩展的选项。
3、上述技术的发展,使得工业控制系统的网络安全问题日益突出,在现有的工业控制系统中,因使用大量的老化设备和技术,使得工控系统的安全维护和升级都变得很困难,而网络隔离、身份鉴别、权限控制、病毒查杀等相关网络安全技术的缺失,使得工业控制系统完全暴露在网络攻击者之下。
技术实现思路
1、针对以上问题,本专利技术的目的在于提供一种基于反向代理的工控协议访问控制系统和方法,通过反向协议代理的方式,对生产控制数据进行加密保护,实现了工控系统的安全访问控制,以及敏感的生产、实验数据的防泄漏。
2、本专利技术为实现上述目的,通过以下技术方案实现:一种基于反向代理的工控协议访问控制系统,包括:
3、前置服务器、后置服务器、隔离传输模块、采用工业控制协议的控制主机和工业设备;
4、前置服务器与控制
5、前置服务器,用于接入控制主机的协议数据,经过安全访问控制、数据检查后通过隔离传输模块发送至后置服务器;
6、后置服务器,用于对协议数据进行隔离接收,并对数据流进行身份信息进行验证;验证成功后,采用反向代理的方式将协议数据发送至相应的工业设备,并接收响应数据,采用加密传输的方式通过隔离传输模块将响应数据发送至前置服务器,由前置服务器进行解密操作后返回到相应的控制主机;
7、隔离传输模块,用于提供数据的隔离传输服务。
8、进一步,前置服务器包括:
9、生物信息采集模块,用于对控制主机的操控人员进行生物信息采集,为生物信息签发公钥和私钥,并存储到数据库中;
10、数据传输模块,用于接收控制主机下发的请求数据流,或向控制主机上传响应数据;
11、签名模块,用于根据请求数据流识别控制主机的操控人员的生物信息,识别通过后,利用私钥对请求数据流进行sm国密算法签名,并将签名后的协议数据发送至反向代理模块;
12、第一反向代理模块,用于根据协议数据确定接收协议数据的后置服务器;
13、数据检查模块,用于对协议数据进行安全数据过滤、信令数据过滤、安全内容检测以及病毒检查,检查通过后发送至数据封装模块;
14、数据封装模块,用于针对检测通过后的协议数据,使用固定封装格式,依据应用协议类型、会话id因子标识为一条唯一的数据流,通过对应的逻辑通道服务统一传输到隔离传输模块。
15、进一步,后置服务器包括:
16、协议数据导出模块,用于接收协议数据,并通过公钥进行sm验签、解封装操作,并发送至身份识别模块;
17、身份识别模块,用于将协议数据的身份信息与数据库中的身份信息和权限进行对比;比对成功后,将协议数据转发到相应的工业设备;对比失败后,则直接阻断数据;
18、数据响应模块,用于获取工业设备接收到协议数据后返回的响应数据。
19、进一步,后置服务器还包括:
20、检查过滤模块,用于对响应数据进行安全检测,并将检测成功后的响应数据发送至数据加密模块;
21、数据加密模块,用于通过公钥对响应数据进行sm加密以及对应的协议封装操作,并将加密后的响应数据发送至第二反向代理模块;
22、第二反向代理模块,用于确定接收加密后的响应数据的前置服务器,并通过隔离传输模块将加密后的响应数据发送至对应的前置服务器。
23、进一步,前置服务器还包括:
24、数据解密模块,用于接收加密后的响应数据,通过私钥完成数据的sm解密和协议解封装操作,生成原始的响应数据,并发送至数据传输模块。
25、进一步,隔离传输模块采用dpdk或udp单向隔离设备。
26、进一步,控制主机和工业设备采用的工业控制协议包括:
27、opc协议、modbus协议、iec104协议、61850协议。
28、相应的,本专利技术还公开了一种基于反向代理的工控协议访问控制方法,包括:
29、对控制主机的操控人员进行生物信息采集,为生物信息签发公钥和私钥,并存储到数据库中;
30、接收控制主机下发的请求数据流;
31、根据请求数据流识别控制主机的操控人员的生物信息,识别通过后,利用私钥对请求数据流进行sm国密算法签名;
32、根据协议数据确定接收协议数据的后置服务器;
33、对签名后的协议数据进行安全数据过滤、信令数据过滤、安全内容检测以及病毒检查;
34、使用固定封装格式,依据应用协议类型、会话id因子将签名后的协议数据标识为一条唯一的数据流,通过对应的逻辑通道服务统一传输到后置服务器;
35、通过公钥对将签名后的协议数据进行sm验签、解封装操作,生成原始协议数据;
36、将原始协议数据的身份信息与数据库中的身份信息和权限进行对比;比对成功后,将协议数据转发到相应的工业设备;对比失败后,则直接阻断数据。
37、进一步,所述方法还包括:
38、获取工业设备接收到协议数据后返回的响应数据;
39、对响应数据进行安全检测;
40、通过公钥对响应数据进行sm加密以及对应的协议封装操作,生成加密后的响应数据;
41、确定接收加密后的响应数据的前置服务器,并将加密后的响应数据发送至对应的前置服务器;
42、接收加密后的响应数据,通过私钥完成数据的sm解密和协议解封装操作,生成原始的响应数据;
43、将原始的响应数据上传到相应的控制主机。
44、对比现有技术,本专利技术有益效果在于:本专利技术公开了一种基于反向代理的工控协议访问控制系统和方法,通过反向协议代理的方式,支持更全面的工控应用场景,为客户提供更多、更全的应用数据交换;支持更方便的部署方式,减少客户网络改造成本、提升用户满意度;支持快捷、灵活的横向扩展模式,满足客户不断变化的网络流量需求。
45、本专利技术通过对生产控制数据进行sm签名、验签,敏感生产实验数据进行sm的加密、解密,有效的保护了工控系统的安全访问控制,并实现了敏感生产、实验数据的防泄漏。
46、由此可见,本专利技术与现有技术相比,具本文档来自技高网...
【技术保护点】
1.一种基于反向代理的工控协议访问控制系统,其特征在于,包括:前置服务器、后置服务器、隔离传输模块、采用工业控制协议的控制主机和工业设备;
2.根据权利要求1所述的基于反向代理的工控协议访问控制系统,其特征在于,所述前置服务器包括:
3.根据权利要求2所述的基于反向代理的工控协议访问控制系统,其特征在于,所述后置服务器包括:
4.根据权利要求3所述的基于反向代理的工控协议访问控制系统,其特征在于,所述后置服务器还包括:
5.根据权利要求4所述的基于反向代理的工控协议访问控制系统,其特征在于,所述前置服务器还包括:
6.根据权利要求1所述的基于反向代理的工控协议访问控制系统,其特征在于,所述隔离传输模块采用dpdk或udp单向隔离设备。
7.根据权利要求1所述的基于反向代理的工控协议访问控制系统,其特征在于,所述控制主机和工业设备采用的工业控制协议包括:
8.一种基于反向代理的工控协议访问控制方法,其特征在于,包括:
9.根据权利要求8所述的基于反向代理的工控协议访问控制方法,其特征在于
...【技术特征摘要】
1.一种基于反向代理的工控协议访问控制系统,其特征在于,包括:前置服务器、后置服务器、隔离传输模块、采用工业控制协议的控制主机和工业设备;
2.根据权利要求1所述的基于反向代理的工控协议访问控制系统,其特征在于,所述前置服务器包括:
3.根据权利要求2所述的基于反向代理的工控协议访问控制系统,其特征在于,所述后置服务器包括:
4.根据权利要求3所述的基于反向代理的工控协议访问控制系统,其特征在于,所述后置服务器还包括:
5.根据权利要求4所述的基于反...
【专利技术属性】
技术研发人员:郁兵斌,蒋荣,郑海树,
申请(专利权)人:南京中孚信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。