一种终端安全防护方法和设备,包括步骤:采用中断模式接收终端传输的工业过程数据;对终端传输的工业过程数据进行规约检查;根据IPSEC?VPN安全策略对规约检查后的工业过程数据加密、签名;将加密、签名后的工业过程数据通过VPN通道发送到主站;根据IPSEC?VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;对解密、验签、完整性校验后的数据或控制命令进行规约检查;将规约检查后的数据或控制命令发送到终端。上述终端安全防护方法和设备,通过对终端和主站传输的数据进行规约检查、加解密、完整性校验,提高了工业控制系统的安全性。
【技术实现步骤摘要】
终端安全防护方法和设备
本专利技术涉及信息安全密码
,特别是涉及一种终端安全防护方法和设备。
技术介绍
工业控制系统是对SCADA(数据采集与监视控制系统)、DCS(分散控制系统)、PCS(个人通讯服务)、PLC(可编程逻辑控制器)等多种控制系统的总称,广泛运用于电力、石油化工、水利、工业制造、市政等行业。工业控制系统由主站、网络和终端组成,其原理是终端采集工业过程数据,通过网络将数据送至主站,主站分析后通过网络向终端发送控制命令,终端执行命令并向主站返回结果。随着计算机和网络技术的发展,特别是信息化工业化深度融合以及互联网的快速发展,工业控制系统产品越来越多的采用通用协议、通用硬件、通用软件,以各种方式与互联网等公共网络连接,但是传统的工业控制系统在设计上基本没有考虑互连互通所必须的通信安全问题,几乎没有隔离功能,如果工业控制系统的任一点受到网络攻击,都有可能造成极大损失,因此工业控制系统的安全问题急需解决。
技术实现思路
基于此,有必要针对上述工业控制系统的安全问题,提供一种终端安全防护方法和设备。一种终端安全防护方法,包括步骤:采用中断模式接收终端传输的工业过程数据;对终端传输的工业过程数据进行规约检查;根据IPSECVPN安全策略对规约检查后的工业过程数据加密、签名;将加密、签名后的工业过程数据通过VPN通道发送到主站;根据IPSECVPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;对解密、验签、完整性校验后的数据或控制命令进行规约检查;将规约检查后的数据或控制命令发送到终端。上述终端安全防护方法,通过对终端传输的工业过程数据进行规约检查、加密、签名,通过VPN通道发送到主站;通过对主站通过VPN通道传输的控制命令解密、验签、完整性校验、规约检查,确保了终端和主站之间数据传输的安全性,使传输的数据防窃取、防篡改、抗重放等,提高了工业控制系统的安全性。一种终端安全防护设备,其中所述终端安全防化设备与终端相连,在终端与主站之间进行数据处理和传输,包括:与终端相连的串行控制模块,所述串行控制模块采用中断模式接收终端传输的工业过程数据或将规约检查后的数据或控制命令发送到终端;与所述串行控制模块相连的规约检查模块,所述规约检查模块对终端传输的工业过程数据进行规约检查或对解密、验签、完整性校验后的数据或控制命令进行规约检查;与所述规约检查模块相连的数据处理模块,所述数据处理模块根据IPSECVPN安全策略,对规约检查后的工业过程数据加密、签名或对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验。上述终端安全防护设备,通过规约检查模块和数据处理模块对终端与主站之间传输的数据进行规约检查、加解密、完整性校验,确保了终端和主站之间数据传输的安全性,使传输的数据防窃取、防篡改、抗重放等,提高了工业控制系统的安全性。附图说明图1为本专利技术方法实施例一的流程示意图;图2为本专利技术方法实施例二的流程示意图;图3为本专利技术装置实施例一的结构示意图;图4为本专利技术装置实施例二的结构示意图;图5为本专利技术装置实施例三的结构示意图。具体实施方式下面结合附图以具体实施例的方式对本专利技术终端安全防护方法的具体实施方式做详细描述。实施例一如图1所示,一种终端安全防护方法,包括步骤:S101、采用中断模式接收终端传输的工业过程数据;S102、对终端传输的工业过程数据进行规约检查,将不符合规约的工业过程数据丢弃;S103、根据IPSEC(互联网协议安全性)VPN(虚拟专用网络)安全策略对规约检查后的工业过程数据加密、签名;S104、将加密、签名后的工业过程数据通过VPN通道发送到主站;S105、根据IPSECVPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;S106、对解密、验签、完整性校验后的数据或控制命令进行规约检查;S107、将规约检查后的数据或控制命令发送到终端。上述终端安全防护方法,通过对终端传输的工业过程数据进行规约检查、加密、签名,通过VPN通道发送到主站;通过对主站通过VPN通道传输的控制命令解密、验签、完整性校验、规约检查,确保了终端和主站之间数据传输的安全性,使传输的数据防窃取、防篡改、抗重放等,提高了工业控制系统的安全性。实施例二实施例二与实施例一的区别是将规约检查后的控制命令发送到终端后,还将终端执行控制命令后的结果传输给主站。如图2所示,一种终端安全防护方法,包括步骤:S201、采用中断模式接收终端传输的工业过程数据;S202、对终端传输的工业过程数据进行规约检查,将不符合规约的工业过程数据丢弃;S203、根据IPSECVPN安全策略对规约检查后的工业过程数据加密、签名;S204、将加密、签名后的工业过程数据通过VPN通道发送到主站;S205、根据IPSECVPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;S206、对解密、验签、完整性校验后的数据或控制命令进行规约检查;S207、将规约检查后的数据或控制命令发送到终端;S208、采用中断模式接收终端传输的执行数据或控制命令后的结果;S209、对终端传输的执行数据或控制命令后的结果进行规约检查;S210、根据IPSECVPN安全策略对规约检查后的结果加密、签名;S211、将加密、签名后的结果通过VPN通道发送到主站。上述终端安全防护方法,通过对终端和主站之间传输的数据进行规约检查、加解密、完整性校验,确保了终端和主站之间数据传输的安全性,提高了工业控制系统的安全性。同时将终端执行主站控制命令后的结果传输给主站,使主站了解终端执行命令的情况,实时对终端的控制命令做出调整。下面结合附图以具体实施例的方式对本专利技术终端安全防护设备的具体实施方式做详细描述。实施例一如图3所示,一种终端安全防护设备120,其中所述终端安全防护设备120与终端110相连,在终端110与主站130之间进行数据处理和传输,包括:与终端110相连的串行控制模块121,所述串行控制模块121采用中断模式接收终端110传输的工业过程数据或将规约检查后的数据或控制命令发送到终端110;与所述串行控制模块121相连的规约检查模块122,所述规约检查模块122对终端110传输的工业过程数据进行规约检查或对解密、验签、完整性校验后的数据或控制命令进行规约检查;与所述规约检查模块122相连的数据处理模块123,所述数据处理模块123根据IPSECVPN安全策略,对规约检查后的工业过程数据加密、签名或对主站130分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验。在一个具体实施例中,支持128比特的国密SM1对称算法主要用于工业过程数据的加解密或控制命令的加解密。支持256比特的国密SM2非对称算法主要用于工业过程数据的签名、验签或控制命令的签名、验签。支持256比特的国密SM3算法主要用于工业过程数据的完整性校验或控制命令的完整性校验。上述终端安全防护设备,通过规约检查模块122和数据处理模块123对终端110与主站130之间传输的数据进行规约检查、加解密、完整性校验,确保了终端110和主站130之间数本文档来自技高网...
【技术保护点】
一种终端安全防护方法,其特征在于,包括步骤:采用中断模式接收终端传输的工业过程数据;对终端传输的工业过程数据进行规约检查;根据IPSEC?VPN安全策略对规约检查后的工业过程数据加密、签名;将加密、签名后的工业过程数据通过VPN通道发送到主站;根据IPSEC?VPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;对解密、验签、完整性校验后的数据或控制命令进行规约检查;将规约检查后的数据或控制命令发送到终端。
【技术特征摘要】
1.一种终端安全防护方法,其特征在于,包括步骤:采用中断模式接收终端传输的工业过程数据;对终端传输的工业过程数据进行规约检查;根据IPSECVPN安全策略对规约检查后的工业过程数据通过国密SM1对称算法进行加密、通过国密SM2非对称算法进行签名,IPSECVPN安全策略和密钥设于SOC芯片上;进行GPRS拨号,当拨号成功后,自动将拨号成功后获得的公网IP设置为默认网关,建立与主站的无线网络连接,将加密、签名后的工业过程数据通过VPN通道发送到主站;根据IPSECVPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令通过国密SM1对称算法进行解密、通过国密SM2非对称算法进行验签、通过国密SM3算法进行完整性校验;对解密、验签、完整性校验后的数据或控制命令进行规约检查;将规约检查后的数据或控制命令发送到终端;将规约检查后的数据或控制命令发送到终端后,还包括步骤:采用中断模式接收终端传输的执行数据或控制命令后的结果;对终端传输的执行数据或控制命令后的结果进行规约检查;根据IPSECVPN安全策略对规约检查后的结果加密、签名;将加密、签名后的结果通过VPN通道发送到主站,使主站根据加密、签名后的结果对终端的控制命令做出调整。2.一种终端安全防护设备,其特征在于,所述终端安全防护设备与终端相连,在终端与主站之间进行数据处理和传输,包括:与终端相连的串行控制模块,所述串行控制模块采用中断模式接收终端传输的工业过程数据或将规约检查后的数据或...
【专利技术属性】
技术研发人员:陈炯聪,梁智强,谢善益,黄曙,余南华,胡朝辉,江泽鑫,梁志宏,林丹生,
申请(专利权)人:广东电网公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。