针对iec60870-5-101协议的安全防护方法及系统的制作方法

针对iec60870-5-101协议的安全防护方法及系统的制作方法
【技术领域】
[0001 ]本发明涉及工业信息技术领域，特别涉及一种针对IEC60870-5-101协议的安全防护方法及系统。
【背景技术】
[0002]IEC60870-5-101协议(IEClOl)是国际电工委员会TC-57技术委员会制定的一种远动通讯规约。IEC60870-5-101规定了电网数据采集和监控控制系统(SCADA)中主站和子站(远动终端)之间以问答方式进行数据传输的帧格式、链路层的传输规则、服务原语、应用数据结构、应用数据编码、应用功能和报文格式。为了提高通讯的实时性，IEC60870-5-101采用了只有物理层、数据链路层、应用层3层的增强性规约结构(EPA)。
[0003]目前，工业控制网络多采用传统的防火墙等设备对IEC60870-5-101协议传输进行安全防护。这些设备的基本原理是在链路层检测并隔离流经防护设备的异常信息流，防止已知病毒和攻击的入侵。但是这种方式无法对包含在合法数据流中的危险操作(如带有危险操作的控制命令)进行识别和阻止，即不能在应用层对异常信息流进行过滤，这可能会导致设备的运行出现异常甚至损毁。其主要特点是通过篡改正常工控协议参数达成破坏物理设备的目的。

【发明内容】

[0004]本发明的实施方式提供一种针对IEC60870-5-101协议的安全防护方法及系统，用于解决现有技术中基于IEC60870-5-101协议的工控系统通信时可靠性低的问题。
[0005]根据本发明的一个方面，提供了一种安全防护方法，所述方法包括:
[0006]接收外部访问请求；
[0007]对所述外部访问请求进行组包并检测所述外部访问请求的帧完整性；
[0008]根据第一预设白名单确定所述外部访问请求的合法性，并确定所述外部访问请求的帧类型，所述帧类型包括可变格式帧、固定格式帧和单字符帧；
[0009]当所述外部访问请求为固定格式帧或单字符帧时，允许所述外部访问请求通过并将所述外部访问请求转发至内部通讯端口；
[0010]当所述外部访问请求为可变格式帧时，根据第二预设白名单确定所述外部访问请求的合法性。
[0011 ]根据本发明的另一个方面，还提供了一种安全防护系统，包括:
[0012]访问请求接收端口，配置以接收外部访问请求；
[0013]组包/检测模块，配置以对所述外部访问请求进行组包并检测所述外部访问请求的帧完整性；
[0014]访问类型确定模块，配置以根据第一预设白名单确定所述外部访问请求的合法性，并确定所述外部访问请求的帧类型，所述帧类型包括可变格式帧、固定格式帧和单字符帧；
[0015]发送模块，配置以当所述外部访问请求为固定格式帧或单字符帧时，允许所述外部访问请求通过并将所述外部访问请求转发至内部通讯端口 ；
[0016]应用层确定模块，配置以当所述外部访问请求为可变格式帧时，根据第二预设白名单确定所述外部访问请求的合法性。
[0017]本发明的实施方式的针对IEC60870-5-101协议的安全防护方法及系统，在协议链路层和应用层进行了多级安全防护，可以有效地抵御针对采用IEC60870-5-101协议的工控设备或系统的多种攻击，确保采用IEC60870-5-101协议的各种工控设备和系统的保密性、完整性和可用性，有效地避免了传统的采用IEC60870-5-101协议的工控设备或系统不具备安全防范机制导致的安全风险。
【附图说明】
[0018]为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。需要说明，下面参照附图描述的内容仅是本发明的一些实施方式，本领域普通技术人员，可以根据这些附图及其说明获得其他的实施例。
[0019]图1为本发明一实施方式的安全防护方法的流程图；
[0020]图2为本发明另一实施方式的安全防护方法的流程图；
[0021 ]图3为本发明另一实施方式的安全防护方法的流程图；
[0022]图4为本发明另一实施方式的安全防护方法的流程图；
[0023]图5为本发明又一实施方式的安全防护方法的流程图；
[0024]图6为本发明一实施方式的安全防护系统的结构示意图。
【具体实施方式】
[0025]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在无需创造性劳动而获得的所有其他实施例，都属于本发明保护的范围。
[0026]需要说明的是，在不冲突的情况下，本申请中的实施方式及实施方式中的特征可以相互组合。
[0027]还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0028]图1是本发明一实施方式的安全防护方法的流程图。如图1所示，本发明的一实施方式的安全防护方法包括:
[0029]Sll:对接收到的外部访问请求进行组包；
[0030]S12:检测所述外部访问请求组成的帧的完整性；
[0031 ] S13:根据第一预设白名单确定所述外部访问请求的合法性，并确定所述外部访问请求的帧类型，所述帧类型包括可变格式帧、固定格式帧和单字符帧；
[0032]S14:当所述外部访问请求为固定格式帧或单字符帧时，允许所述外部访问请求通过，并将所述外部访问请求转发至内部通讯端口；
[0033]S15:当所述外部访问请求为可变格式帧时，根据第二预设白名单确定所述外部访问请求的合法性。
[0034]其中，本实施方式中的组包过程如下:
[0035]步骤I:将接收字节流保存在缓冲区中；
[0036]步骤2:寻找起始符，如果在缓冲区中没有找到起始符，则将缓冲区清空，产生日志记录，过程结束;如果找到起始符，检查是否有多余字节，如果起始符之前有多余字符，将该部分字节流从缓冲区移除并丢弃，产生日志记录，然后从起始符开始，继续寻找结束符，如果到缓冲区尾还没有找到结束符，则等待接收信息新的字节流，转步骤I。找到结束符，进入步骤3。
[0037]步骤3:取出的起始符与结束符之间(含起始符和结束符)的字节流，按IEClOl协议定义的校验计算方法，计算校验码，并与接收到的校验码进行比对，相同则为完整帧，否则为错误帧，丢弃，并产生日志记录。
[0038]本实施方式能够按照IEClOI协议对帧结构进行组包，对于无法通过CRC校验或帧结构不完整的报文，进行阻断过滤；白名单技术可以抵御恶意软件和有针对性的攻击，因为在默认情况下，任何未经批准的软件、工具和进程都不能在端点上运行。如果恶意软件试图在启用了白名单的端点安装，白名单技术会确定这不是可信进程，并否定其运行权限。
[0039]本实施方式中的安全防护方法，针