一种自动采集并配置授权信息的方法及装置制造方法及图纸

本发明专利技术公开了一种自动采集并配置授权信息的方法及装置，能够避免控制工程师手动收集用于授权的信息，使得ICS系统的能够自采集、配置并扩展授权信息。本发明专利技术的自动采集并配置授权信息的方法包括：根据各工业控制设备的基本配置信息，访问各工业控制设备；根据各工业控制设备采用的通信协议和其控制资源的访问方式，检索各工业控制设备的控制资源，并获取各工业控制设备的控制资源的标识信息；根据各工业控制设备的所述控制资源的标识信息进行授权信息的配置。

【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种自动采集并配置授权信息的方法及装置，能够避免控制工程师手动收集用于授权的信息，使得ICS系统的能够自采集、配置并扩展授权信息。本专利技术的自动采集并配置授权信息的方法包括：根据各工业控制设备的基本配置信息，访问各工业控制设备；根据各工业控制设备采用的通信协议和其控制资源的访问方式，检索各工业控制设备的控制资源，并获取各工业控制设备的控制资源的标识信息；根据各工业控制设备的所述控制资源的标识信息进行授权信息的配置。【专利说明】一种自动采集并配置授权信息的方法及装置
本专利技术涉及工业控制的
，特别是一种自动采集并配置授权信息的方法及装置。
技术介绍
工业控制系统(Industrial Control System, ICS)是基于计算机的设施、系统和装置，用于远程监控和/或控制关键的过程和物理性能。工业控制系统从现场收集数据、处理并显示这些数据信息。在一些工业控制系统中，还需要回复控制命令给本地或远程控制装置。ICS系统传统上是一种封闭系统，用于满足功能性、安全性和可靠性的目标。并且传统的ICS系统由于依赖于专用网络和硬件，长期以来一直被认为是不受网络攻击影响的。但是随着网络技术的发展，对于保护ICS免受网络攻击的需求在过去几年显著增长。ICS系统与开放系统的结合、和不同利益相关者(例如合资企业、合作伙伴以及外包服务)间互联的增加、智能设备的发展、ICS与其他装置和软件间互联的增加，并且伴随着快速增加的网络入侵事件、更智能的黑客和恶意软件，这些都导致对ICS系统威胁和攻击的可能性的增加。ICS的典型操作情景如下:1、在(有时是远程的)控制现场、(有时是远程)地点部署一些控制设备工业控制设备(例如PLC、RTU等)，工业控制设备用于关键的控制操作。但这些控制设备工业控制设备一般只具有少量简单的，甚或没有任何访问控制功能。2、工程师通过一个或多个控制工作站，通过通信网络配置、监控和控制现场的工业控制设备。该通信网络一般采用基于TCP/IP的开放网络技术作为传输层与网络层，而将专用的ICS协议(例如，IEC60870-5、DNP3、Modbus、IEC61850,ProfiNet等)用于应用层控制通信。由于通信网络基于TCP/IP等开放技术，黑客有可能伪装成合法的控制工作站或者劫持控制工作站和现场的控制设备工业控制设备之间的通信，从而危及关键的控制操作。因此，ICS的系统安全性已经成为政府部门、股权所有者、工业基础设施运营者以及工业产品提供商越来越关心的课题。由于授权机制可以限制资源的访问权限只提供给合法用户，因此授权机制可以为ICS提供必要的保护。但是，在ICS系统或设备实现访问授权之前，需要控制工程师手动获取用于授权的资源或对象，并导入到授权组件(例如防火墙、网关等)中，并定义相应的授权策略，这就导致ICS系统的授权信息无法自动获取、配置并扩展，并且其过程对控制工程师不透明，需要控制工程师花费大量的时间、精力进行手工采集、配置授权信息。
技术实现思路
有鉴于此，本专利技术提出了一种自动采集并配置授权信息的方法，能够避免控制工程师手动采集用于授权的信息，使得ICS系统的能够自动采集、配置并扩展授权信息。本专利技术还提出一种授权装置及自动采集并配置授权信息的装置。因此，根据本专利技术一实施例，提供了一种自动采集并配置授权信息的方法，包括:根据各工业控制设备的基本配置信息，访问各工业控制设备；根据各工业控制设备采用的通信协议和其控制资源的访问方式，检索各工业控制设备的控制资源，并获取各工业控制设备的控制资源的标识信息；根据各工业控制设备的所述控制资源的标识信息进行授权信息的配置。从上述方案中可以看出，由于本专利技术实施例的方案能够自动访问各工业控制设备，并从各工业控制设备上自动检索控制资源，并获得控制资源的标识信息，使得能够根据这些获得的标识信息进行授权，避免了控制工程师手动采集用于授权的信息，将控制工程师从繁琐的工作中解放出来。本专利技术的方法还包括:预先获取各工业控制设备的基本配置信息，从而保证后续进行授权配置时无需每次都重新获取基本配置信息，可以直接根据各工业控制设备的基本配置信息访问即可。其中，工业控制设备的基本配置信息具体包括工业控制设备的地址信息，使得能够根据具体地址信息访问各工业控制设备。优选地，预先获取各工业控制设备的基本配置信息具体包括:接收用户输入的各工业控制设备的地址信息；或采用地址扫描技术获取各工业控制设备的地址信息。在此实施方式中，可以用户自动输入地址，或者通过扫描自动获得地址。优选地，工业控制设备的基本配置信息还包括:工业控制设备的用户名和密码；以及预先获取各工业控制设备的基本配置信息还包括:接收用户输入的各工业控制设备的用户名和密码，使得可以根据用户名和密码，访问指定地址的工业控制设备，进一步保证了整个系统的安全性。具体地，所述控制资源包括控制程序和/或控制参数。具体地，根据各工业控制设备的所述控制资源的标识信息进行授权信息的配置，具体包括:将各工业控制设备的所述控制资源的标识信息提供给用户，并根据用户输入的访问控制策略进行授权信息的配置；或者根据各工业控制设备的所述控制资源的标识信息，并根据用户预先设定的至少一个访问控制策略模板，进行授权信息的配置。本专利技术实施例还提供一种授权装置，包括:信息获取模块，用于根据各工业控制设备的基本配置信息，访问各工业控制设备，检索各工业控制设备的控制资源，并获取各工业控制设备的控制资源的标识信息；授权配置模块，用于根据各工业控制设备的所述控制资源的标识信息进行授权信息的配置。采用该授权获取装置，能够避免控制工程师手动收集用于授权的信息，使得ICS系统的能够自动采集、配置及扩展授权信息。优选地，该授权装置可以是网关或防火墙。网关或防火墙作为ICS系统的网络边界，能够自动进行授权配置。本专利技术实施例还提供一种自动采集并配置授权信息的装置，包括:访问模块，根据各工业控制设备的基本配置信息，访问各工业控制设备；获取模块，根据各工业控制设备采用的通信协议和其控制资源的访问方式，检索各工业控制设备的控制资源，并获取各工业控制设备的控制资源的标识信息；配置模块，根据各工业控制设备的所述控制资源的标识信息进行授权信息的配置。该自动采集并配置授权信息的装置可以应用于网关或防火墙中，能够避免控制工程师手动收集用于授权的信息，使得ICS系统的能够自配置及扩展授权信息。【专利附图】【附图说明】下面将通过参照附图详细描述本专利技术的优选实施例，使本领域的普通技术人员更清楚本专利技术的上述及其它特征和优点，附图中:图1为本专利技术实施例中的ICS系统的应用场景；图2为根据本专利技术实施例的自动采集并配置授权信息的方法流程图；图3为根据本专利技术实施例的授权装置的结构示意图；图4为根据本专利技术实施例的自动采集并配置授权信息的装置的结构示意图；图5示意出为对工业控制设备的资源的访问涉及到的两个不同的层次。其中，附图标号如下:图1中:1工业控制设备 2网关3广域网图2中:S201_S204步骤流程图3中:31信息获取模块 32授权配置模块·图4中:41访问模块42获取模块 43配置模块【具体实施方式】由于现有的ICS系统在实现授权之前，需要控制工程师手动收集各工业控制设备上本文档来自技高网...

【技术保护点】
一种自动采集并配置授权信息的方法，其特征在于，包括：根据各工业控制设备的基本配置信息，访问各工业控制设备；根据各工业控制设备采用的通信协议和其控制资源的访问方式，检索各工业控制设备的控制资源，并获取各工业控制设备的控制资源的标识信息；根据各工业控制设备的所述控制资源的标识信息进行授权信息的配置。

【技术特征摘要】

【专利技术属性】
技术研发人员：唐文，
申请(专利权)人：西门子公司，
类型：发明
国别省市：德国;DE