本發(fā)明涉及互聯(lián)網技術領域，尤指一種基于串行鏈路的工業(yè)網絡安全防護方法和裝置。

背景技術：

目前，隨著工業(yè)4.0概念的普及，智能化、互聯(lián)化是未來工業(yè)控制系統(tǒng)發(fā)展的重要趨勢，從而越來越多的工業(yè)控制設備會接入到互聯(lián)網中，其安全問題也成為影響工業(yè)控制系統(tǒng)穩(wěn)定運行的一個重要因素。

現(xiàn)有技術中，工業(yè)設備控制系統(tǒng)的工業(yè)設備更新慢，大量的工業(yè)設備依然是基于串行鏈路來進行通信和管理，同時，通過串口以太網轉換器將這些工業(yè)設備連接到以太網中。

但是，針對基于串行鏈路的工業(yè)網絡的安全防護一直處于空白狀態(tài)，無法對串行鏈路通信的數(shù)據進行有效的鑒別，從而無法防止惡意的信息破壞，也無法防止管理人員的誤操作。

技術實現(xiàn)要素：

為了解決上述技術問題，本發(fā)明提供了一種基于串行鏈路的工業(yè)網絡的安全防護方法和裝置，對串行鏈路通信的數(shù)據進行有效的鑒別，防止惡意的信息破壞和管理人員的誤操作，保證數(shù)據傳輸?shù)恼_性和安全性。

第一方面，本發(fā)明實施例提供一種基于串行鏈路的工業(yè)網絡的安全防護方法，該方法包括：

接收Modbus-RTU請求報文，并將所接收的請求報文保存至防火墻的緩存區(qū)；

根據所保存的請求報文的循環(huán)冗余校驗結果、報文長度和功能碼范圍， 篩選出符合Modbus-RTU的報文；

按照預設規(guī)則檢查所篩選出報文的參數(shù)，并根據白名單或者黑名單規(guī)則再次篩選檢查后的報文；

獲取再次篩選后的報文進行傳送。

第二方面，本發(fā)明實施例提供一種基于串行鏈路的工業(yè)網絡的安全防護裝置，該裝置包括：接收模塊、第一篩選模塊、第二篩選模塊和傳送模塊；

所述接收模塊，用于接收Modbus-RTU請求報文，并將所接收的請求報文保存至防火墻的緩存區(qū)；

所述第一篩選模塊，用于根據所保存的請求報文的循環(huán)冗余校驗結果、報文長度和功能碼范圍，篩選出符合Modbus-RTU的報文；

所述第二篩選模塊，用于按照預設規(guī)則檢查所篩選出報文的參數(shù)，并根據白名單或者黑名單規(guī)則再次篩選檢查后的報文；

所述傳送模塊，用于獲取再次篩選后的報文進行傳送。

本發(fā)明實施例提供的一種基于串行鏈路的工業(yè)網絡安全防護方法和裝置，包括：接收模塊、第一篩選模塊、第二篩選模塊和傳送模塊，通過接收Modbus-RTU請求報文，并將所接收的請求報文保存至防火墻的緩存區(qū)，根據所保存的請求報文的循環(huán)冗余校驗結果、報文長度和功能碼范圍，篩選出符合Modbus-RTU的報文，按照預設規(guī)則檢查所篩選出報文的參數(shù)，并根據白名單或者黑名單規(guī)則再次篩選檢查后的報文，獲取再次篩選后的報文進行傳送，這樣可以有效的鑒別符合Modbus-RTU協(xié)議數(shù)據進行傳輸，從而可以防止惡意的信息破壞，防止管理人員的誤操作保證了數(shù)據傳輸?shù)恼_性和安全性。

本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現(xiàn)和獲得。

附圖說明

附圖用來提供對本發(fā)明技術方案的進一步理解，并且構成說明書的一部分，與本申請的實施例一起用于解釋本發(fā)明的技術方案，并不構成對本發(fā)明技術方案的限制。

圖1為本發(fā)明提供的基于串行鏈路的工業(yè)網絡安全防護方法實施例一的流程示意圖；

圖2為本發(fā)明提供的基于串行鏈路的工業(yè)網絡安全防護裝置實施例一的交互流程示意圖；

圖3為本發(fā)明提供的基于串行鏈路的工業(yè)網絡安全防護裝置實施例二的結構示意圖。

具體實施方式

為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白，下文中將結合附圖對本發(fā)明的實施例進行詳細說明。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互任意組合。

在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機裝置中執(zhí)行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本發(fā)明實施例涉及的方法可以用于基于串行鏈路的工業(yè)網絡，該工業(yè)網絡可以是由多個工業(yè)設備通過RS-232或者RS-485串口進行通信，并通過以太網轉換器接入互聯(lián)網的智能化工業(yè)網絡。

本發(fā)明實施例涉及的方法，旨在解決現(xiàn)有技術中針對基于串行鏈路的工業(yè)網絡的安全防護一直處于空白狀態(tài)，無法對串行鏈路通信的數(shù)據進行有效的鑒別和保護，從而無法防止惡意的信息破壞，也無法防止管理人員的誤操作的技術問題。

下面以具體地實施例對本發(fā)明的技術方案進行詳細說明。下面這幾個具體的實施例可以相互結合，對于相同或相似的概念或過程可能在某些實施例不再贅述。

圖1為本發(fā)明提供的一種基于串行鏈路的工業(yè)網絡安全防護方法實施例一的流程示意圖，本實施例涉及的是如何篩選出串行鏈路上符合用戶要求的 Modbus-RTU協(xié)議數(shù)據的具體過程。如圖1所示，該方法包括：

S101、接收Modbus-RTU請求報文，并將所接收的請求報文保存至防火墻的緩存區(qū)。

具體的，根據工業(yè)網絡中工業(yè)設備中數(shù)據的傳輸路徑，指定防火墻的輸入串口和輸出串口，例如：可以指定防火墻的輸入串口與支持Modbus-RTU的主設備相連，防火墻的輸出串口與支持Modbus-RTU的從設備相連，其中，該Modbus-RTU可以是Modbus-RTU協(xié)議，該Modbus-RTU協(xié)議是Modbus通信協(xié)議中針對串行鏈路部分，然后分別設置防火墻的輸入串口和輸出串口相對應的串口參數(shù)，該串口參數(shù)包括串口波特率、數(shù)據位、停止位、校驗位等，但并不限于此。另外，針對各種工業(yè)現(xiàn)場環(huán)境的考慮，不同工業(yè)設備的串口通信模式和串口傳輸參數(shù)也可能不同，例如常用的RS-232和RS-485串口通信接口所能夠傳輸?shù)木嚯x、速度以及傳輸數(shù)據的穩(wěn)定性就存在較大差異，因此，通過設置串口的通信模式和參數(shù)分別可實現(xiàn)不同通信模式和傳輸參數(shù)的串口之間進行正確、穩(wěn)定的數(shù)據通信。

防火墻的輸入串口會向主設備接收需要傳輸?shù)腗odbus-RTU請求報文，該報文包括多個字符，并根據Modbus-RTU協(xié)議規(guī)范，每當確定超過3.5字符傳輸時間后，即將接收到的字符作為一幀數(shù)據保存到防火墻的緩存區(qū)中，但并不限于此。

S102、根據所保存的請求報文的循環(huán)冗余校驗結果、報文長度和功能碼范圍，篩選出符合Modbus-RTU的報文。

具體的，將所保存的報文進行循環(huán)冗余校驗(Cyclic Redundancy Check，簡稱：CRC校驗)，該校驗可以通過多項式計算對數(shù)據傳輸檢錯，并將得到的結果附在幀的后面，確認該報文的CRC校驗的正確性以及報文長度和功能碼范圍的完整性，從而篩選出符合Modbus-RTU的報文，并且還可以根據用戶的實際需求，根據安全檢查策略設置檢查報文的預設規(guī)則，按照預設規(guī)則來檢查符合Modbus-RTU規(guī)范的報文，從而可以防止管理人員的誤操作。

S103、按照預設規(guī)則檢查所篩選出報文的參數(shù)，并根據白名單或者黑名單規(guī)則再次篩選檢查后的報文。

具體的，可以根據用戶的實際需求設置報文的安全檢查策略，可以預設 規(guī)則來檢查所篩選的報文，該預設規(guī)則可以設置需要過濾或保護的參數(shù)，按照預設規(guī)則來檢查所篩選出報文的參數(shù)，將檢查后的報文根據白名單或者黑名單規(guī)則進行再次篩選，從而可以防止管理人員的誤操作。

S104、獲取再次篩選后的報文進行傳送。

具體的，通過上述有效的鑒別，將篩選出的報文通過指定的輸出串口進行傳送，從而可以防止惡意的信息破壞，保證了數(shù)據傳輸?shù)恼_性和安全性。

本發(fā)明實施例提供的一種基于串行鏈路的工業(yè)網絡安全防護方法，該方法通過接收Modbus-RTU請求報文，并將所接收的請求報文保存至防火墻的緩存區(qū)，根據所保存的請求報文的循環(huán)冗余校驗結果、報文長度和功能碼范圍，篩選出符合Modbus-RTU的報文，按照預設規(guī)則檢查所篩選出報文的參數(shù)，并根據白名單或者黑名單規(guī)則再次篩選檢查后的報文，獲取再次篩選后的報文進行傳送，這樣可以有效的鑒別符合Modbus-RTU協(xié)議數(shù)據進行傳輸，從而可以防止惡意的信息破壞，防止管理人員的誤操作保證了數(shù)據傳輸?shù)恼_性和安全性。

進一步地，在上述實施例的基礎上，還包括：

若篩選出不符合Modbus-RTU的報文，則丟棄掉不符合的報文。

具體的，將不符合Modbus-RTU的報文丟棄掉，從而保證傳送的報文是符合Modbus-RTU的報文，并且可以提高數(shù)據傳送的速率。

進一步地，在上述實施例的基礎上，所述參數(shù)包括設備標識號、功能碼、寄存器地址和寄存器值的范圍。

具體的，可以根據用戶的實際需求，檢查所篩選出的報文的參數(shù)，該參數(shù)包括：設備標識號、功能碼、寄存器地址和寄存器值的范圍，可以分別檢查設備標識號，功能碼是否匹配用戶規(guī)則，寄存器地址和對應的寄存器值是否在用戶配置的范圍內，這樣使得只有滿足用戶許可條件的數(shù)據才可以訪問和控制設備，從而使得以太網和串口轉換器訪問工業(yè)設備時可以保證數(shù)據的安全。

進一步地，在上述實施例的基礎上，所述白名單規(guī)則還包括：

若檢查后的報文的參數(shù)全部符合預設規(guī)則，則將所述檢查后的報文進行傳輸；

若檢查后的報文的參數(shù)有任一項不符合預設規(guī)則，則將所述檢查后的報文進行丟棄。

具體的，在白名單規(guī)則下，只要該報文的參數(shù)與預設規(guī)則全部匹配中，則該報文會被允許發(fā)送到防火墻的輸出串口，反之，只要該報文有一項參數(shù)沒有與預設規(guī)則被匹配中，則將該報文全部丟棄，比如：假設預設規(guī)則是想過濾掉攜帶有包含設備標識號為03，功能碼為01，寄存器地址為AA，寄存機器值的范圍為16字節(jié)的字符含義的報文，則只有設備標識號、功能碼、寄存器地址和寄存器值的范圍全部與預設規(guī)則相同才允許發(fā)送，如果該報文攜帶有包含任一個參數(shù)，如：設備標識號與預設規(guī)則不相同，哪怕其他參數(shù)均相同或者不相同，都可以丟棄該報文，這樣可以丟棄掉不符合用戶要求的或者只允許符合用戶要求的數(shù)據，提高了用戶的體驗度。

可選地，在上述實施例的基礎上，所述黑名單規(guī)則包括：

若檢查后的報文的參數(shù)全部不符合預設規(guī)則，則將所述檢查后的報文進行傳輸；

若檢查后的報文的參數(shù)有任一項符合預設規(guī)則，則將所述檢查后的報文進行丟棄。

在黑名單規(guī)則下，只有匹配中規(guī)則的報文會被丟棄，其他的報文均發(fā)送到防火墻的輸出串口，比如：寄存器地址為DF，如果地址匹配DF則不允許發(fā)送。

具體的，在黑名單規(guī)則下，只要該報文的參數(shù)與預設規(guī)則全部沒有被匹配中，則該報文會被允許發(fā)送到防火墻的輸出串口，反之，只要該報文有一項參數(shù)檢查后與預設規(guī)則相匹配中，則將這些報文全部丟棄，比如：假設預設規(guī)則是想保護攜帶有包含設備標識號為03，功能碼為01，寄存器地址為AA，寄存機器值的范圍為16字節(jié)的字符含義的報文，則只有設備標識號、功能碼、寄存器地址和寄存器值的范圍全部與預設規(guī)則不相同的才允許發(fā)送，如果該報文中任一個參數(shù)，如：設備標識號與預設規(guī)則相同，哪怕其他參數(shù)均相同或者不相同，都可以丟棄該報文，這樣可以丟棄掉不符合用戶要求的或者只允許符合用戶要求的數(shù)據，提高了用戶的體驗度。

對于上述白名單或者黑名單的設置，用戶可根據實際情況進行靈活配 置，丟棄掉不符合用戶要求的或者只允許符合用戶要求的數(shù)據，使得只有滿足用戶許可條件的數(shù)據才可以訪問和控制設備，進一步地保證了數(shù)據的安全性。

進一步地，圖2為本發(fā)明實施例提供的基于串行鏈路的工業(yè)網絡安全防護裝置實施例一的結構示意圖，如圖2所示，該裝置包括：接收模塊10、第一篩選模塊20、第二篩選模塊30和傳送模塊40；

所述接收模塊10，用于接收Modbus-RTU請求報文，并將所接收的請求報文保存至防火墻的緩存區(qū)；

所述第一篩選模塊20，用于根據所保存的請求報文的循環(huán)冗余校驗結果、報文長度和功能碼范圍，篩選出符合Modbus-RTU的報文；

所述第二篩選模塊30，用于按照預設規(guī)則檢查所篩選出報文的參數(shù)，并根據白名單或者黑名單規(guī)則再次篩選檢查后的報文；

所述傳送模塊40，用于獲取再次篩選后的報文進行傳送。

本發(fā)明實施例提供的一種基于串行鏈路的工業(yè)網絡安全防護裝置，包括：接收模塊、第一篩選模塊、第二篩選模塊和傳送模塊，通過接收Modbus-RTU請求報文，并將所接收的請求報文保存至防火墻的緩存區(qū)，根據所保存的請求報文的循環(huán)冗余校驗結果、報文長度和功能碼范圍，篩選出符合Modbus-RTU的報文，按照預設規(guī)則檢查所篩選出報文的參數(shù)，并根據白名單或者黑名單規(guī)則再次篩選檢查后的報文，獲取再次篩選后的報文進行傳送，這樣可以有效的鑒別符合Modbus-RTU協(xié)議數(shù)據進行傳輸，從而可以防止惡意的信息破壞，防止管理人員的誤操作保證了數(shù)據傳輸?shù)恼_性和安全性。

進一步地，圖3為本發(fā)明提供的基于串行鏈路的工業(yè)網絡安全防護裝置實施例二的結構示意圖，如圖3所示，在上述實施例的基礎上，所述丟棄模塊50：

所述丟棄模塊50用于若篩選出不符合Modbus-RTU的報文，則丟棄所述報文。

本發(fā)明實施例提供的裝置，可以執(zhí)行上述方法實施例，其實現(xiàn)原理和技 術效果類似，在此不再贅述。

進一步地，在上述實施例的基礎上，所述參數(shù)包括：

設備標識號、功能碼、寄存器地址和寄存器值的范圍。

本發(fā)明實施例提供的裝置，可以執(zhí)行上述方法實施例，其實現(xiàn)原理和技術效果類似，在此不再贅述。

進一步地，在上述實施例的基礎上，所述傳送模塊40還用于：

若檢查后的報文的參數(shù)全部符合預設規(guī)則，則將所述檢查后的報文進行傳輸；

或者若檢查后的報文的參數(shù)全部不符合預設規(guī)則，則將所述檢查后的報文進行傳輸。

本發(fā)明實施例提供的裝置，可以執(zhí)行上述方法實施例，其實現(xiàn)原理和技術效果類似，在此不再贅述。

進一步地，如圖3所示，在上述實施例的基礎上，所述丟棄模塊50還用于：

若檢查后的報文的參數(shù)有任一項不符合預設規(guī)則，則將所述檢查后的報文進行丟棄；

或者若檢查后的報文的參數(shù)有任一項符合預設規(guī)則，則將所述檢查后的報文進行丟棄。

本發(fā)明實施例提供的裝置，可以執(zhí)行上述方法實施例，其實現(xiàn)原理和技術效果類似，在此不再贅述。

雖然本發(fā)明所揭露的實施方式如上，但所述的內容僅為便于理解本發(fā)明而采用的實施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬領域內的技術人員，在不脫離本發(fā)明所揭露的精神和范圍的前提下，可以在實施的形式及細節(jié)上進行任何的修改與變化，但本發(fā)明的專利保護范圍，仍須以所附的權利要求書所界定的范圍為準。