[发明专利]采用S7协议的工控系统安全防护方法及系统有效
| 申请号: | 201610165078.8 | 申请日: | 2016-03-22 |
| 公开(公告)号: | CN105847251B | 公开(公告)日: | 2018-10-30 |
| 发明(设计)人: | 陈惠欣 | 申请(专利权)人: | 英赛克科技(北京)有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京商专永信知识产权代理事务所(普通合伙) 11400 | 代理人: | 方挺;时寅 |
| 地址: | 100085 北京市海淀区上*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种采用S7协议的工控系统安全防护方法,包括:对来自客户端的外部访问请求进行TCP/IP层协议解析,确定客户端IP地址和端口号以根据客户端地址白名单确定所述外部访问请求的合法性;对所述外部访问请求进行组包,并检测组成的帧的完整性;根据应用功能白名单确定所述外部访问请求的合法性,并确定所述外部访问请求的应用功能是否为读写功能;当所述外部访问请求的应用功能是读写功能时,根据第二预设白名单确定所述外部访问请求的合法性。本发明还提供了相应的安全防护系统。本发明在TCP/IP层和应用层进行了多级安全防护,可以有效地抵御针对采用S7协议的工控设备或系统的各种攻击,有效地避免了现有技术中不具备安全防范机制导致的安全风险。 | ||
| 搜索关键词: | 采用 s7 协议 系统安全 防护 方法 系统 | ||
【主权项】:
1.一种采用S7协议的工控系统安全防护方法,包括:对外部访问请求进行TCP/IP层协议解析,根据第一预设白名单确定所述外部访问请求中的合法外部访问请求;对所述合法外部访问请求进行组包并进行帧完整性检测,以确定所述合法外部访问请求中通过帧完整性检测的帧完整外部访问请求;根据应用功能白名单确定所述帧完整外部访问请求的应用功能的合法性,并确定所述帧完整外部访问请求的应用功能是否为读写功能;当所述帧完整外部访问请求的应用功能不是读写功能时,允许所述帧完整外部访问请求根据TCP/IP协议组包并转发至内部通讯端口;否则根据第二预设白名单确定所述帧完整外部访问请求的读/写合法性;其中所述第一预设白名单为客户端地址白名单,所述第二预设白名单至少包括访问信息对象白名单和控制对象白名单;对所述合法外部访问请求进行组包并进行帧完整性检测包括:对所述合法外部访问请求根据RFC1006协议定义的帧结构进行组包;检测所述合法外部访问请求组成的RFC1006帧的完整性;当所述合法外部访问请求组成的RFC1006帧不完整时,阻断所述合法外部访问请求的TCP/IP连接;否则读取缓存数据,组成上层S7数据,检测所述合法外部访问请求组成的S7帧的完整性;当所述合法外部访问请求组成的S7帧不完整时,阻断所述合法外部访问请求的TCP/IP连接。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于英赛克科技(北京)有限公司,未经英赛克科技(北京)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610165078.8/,转载请声明来源钻瓜专利网。
- 上一篇:一种基于蓝牙无线加解密的电子签章方法
- 下一篇:验证信息发送、接收方法及装置
